NxSkinBR Documentation

(1)

NxSkinBR Documentation

Versión 0.2

Bruno Emanuel

(2)

(3)

Índice general

1. Comienzo 3

1.1. Recursos mínimos necesarios . . . 3

1.2. Instalación . . . 3

1.3. Atualizando o NxFilter. . . 11

1.4. Iniciar e/ou Parar NxFilter . . . 11

1.5. Configurando o Cliente DNS. . . 12

1.6. Integração com o Active Directory. . . 13

1.7. Quando o NxFilter não Inicializa . . . 15

1.8. Instalando o NxCloud . . . 16

2. Categorias - Classificação de Domínios 19 2.1. O que é uma classificação de domínios? . . . 19

2.2. Usando a Jahaslist, Cloudlist. . . 20

2.3. Reclassificação de um domínio . . . 20

3. Autenticação 23 3.1. NxFilter e Autenticação . . . 23

3.2. Integração com o AD. . . 24

3.3. Single Sign-On com AD usando NxLogon . . . 26

3.4. Single Sign-On com AD usando VxLogon . . . 31

3.5. Single sign-on com AD usando NxMapper . . . 32

3.6. Single Sign-On usando CxLogon . . . 34

3.7. Single Sign-On usando autenticação 802.1x . . . 35

3.8. Script de Login Personalizado para SSO. . . 36

3.9. A Ordem dos métodos/modos de autenticação . . . 37

4. Entender la GUI 39 4.1. GUI - Config . . . 39

4.2. GUI - DNS . . . 42

4.3. GUI - Usuário . . . 44

4.4. GUI - Policy / Política . . . 46

4.5. GUI - Categoria . . . 48

4.6. GUI - NxClassifier . . . 48

4.7. GUI - Whitelist . . . 50

4.8. GUI - Dashboard, Logging, Report . . . 50

5. Agentes/Clientes 53

(4)

5.3. NxUpdate e atualização dinâmica de IP . . . 56

5.4. Controlando aplicações com NxClient. . . 57

5.5. Proxy filter com NxClient . . . 58

5.6. NxForward para exibir a página de bloqueio em HTTPS . . . 59

6. NxCloud 61 6.1. O que é NxCloud? . . . 61

6.2. Instalação do NxCloud . . . 63

6.3. Diferenças entre NxFilter e NxCloud . . . 64

6.4. Tipos de Contas Business and Home . . . 64

6.5. Criando Bilhetagem própria . . . 65

6.6. NxRelay - para identificar usuários de outras redes . . . 66

7. Personalización o mejoras de NxFilter y sus clientes 69 7.1. GUI - Estrutura de diretórios e padronização dos nomes . . . 69

7.2. GUI - Acessando a base de dados . . . 70

7.3. GUI - Javadoc para classes Dao and Data . . . 72

7.4. Propriedades OEM . . . 72

7.5. Modelos para email e página de bloqueio . . . 72

7.6. Otros puntos a observar . . . 72

7.7. Criando seu próprio pacote de instalação dos agentes . . . 73

8. NxClassifier 77 8.1. O que é NxClassifier . . . 77

8.2. O que é uma regra de classificação? . . . 77

8.3. Mesclando as listas de bloqueios da internet. . . 78

9. Servidor DNS 79 9.1. Forward. . . 79

9.2. Caching. . . 79

9.3. DNS Autoritativo. . . 79

9.4. DNS Dinâmico . . . 80

9.5. Evitando ataques DDOS . . . 81

10. Otro 83 10.1. Cluster com NxFilter . . . 83

10.2. Controle de Banda com NxFilter ( Bandwidth ) . . . 85

10.3. Detectando e prevenindo ações de malware/botnet . . . 86

10.4. Removendo anúncios embutidos em páginas . . . 87

10.5. Exportar Syslog . . . 87

10.6. Ajustes de rendimiento . . . 88

10.7. Gerar relatórios usando Graylog . . . 89

10.8. Permissão de Acesso aos Relatórios . . . 90

10.9. DNS over HTTPS - Se livrando da censura . . . 90

11. FAQ 93 11.1. Posso burlar o NxFilter usando endereço IP para acessar sites? . . . 93

11.2. Mesmo tendo alterado o NxFilter continua bloqueando/permitindo o acesso ao site . . . 93

11.3. Como obrigar o usuário a usar o NxFilter? . . . 94

11.4. Como o NxFilter determina que política aplicar a um usuário? . . . 94

11.5. Qual forma mais rápida de bloquear “facebook.com”? . . . 94

11.6. Desejo bloquear o “facebook.com” apenas para um determinado grupo . . . 94

11.7. Como alterar a porta do servidor web do NxFilter? . . . 95

(5)

11.8. Como resetar a senha de administrador? . . . 95

11.9. Posso vincular o NxFilter a um determinado endereço IP? . . . 95

11.10. Como fazer o bypass do meu domínio local? . . . 95

11.11. Tenho de usar a correspondência exata do que estou pesquisando no log ? . . . 96

11.12. Por que preciso autenticar novamente após a parada para almoçar?. . . 96

11.13. Como aplicar meu próprio certificado SSL? . . . 96

11.14. Como habilitar o modo de debug? . . . 96

11.15. Como oculto o alerta de SSL? . . . 97

11.16. Não vejo o nome do meu usuário em “Logging > Request”. . . 97

11.17. Como evitar qualquer registro de log? . . . 97

11.18. Como alterar a timezone? . . . 97

11.19. Meus Browsers ficam fechando e abrindo após o NxClient iniciar . . . 98

11.20. Como forçar o usuário a fazer o logout? . . . 98

11.21. NxFilter deixa de funcionar após o erro “Queue full” . . . 98

11.22. Como restringir acesso a resultados com conteúdo pornográfico no Google e/ou Youtube? . . . 99

11.23. O que é o erro “Too many requests” ? . . . 99

11.24. Como aumentar a quantidade de licenças?. . . 99

11.25. A Conexão ficou mais rápida após a instalação do NxFilter! . . . 100

11.26. Consigo usar o NxCloud como DNS sem me autenticar? . . . 100

11.27. NxFilter oferece suporte a IPv6? . . . 100

11.28. Atualizando da v3 para a v4 . . . 100

Índice 101

(6)

(7)

NxSkinBR Documentation, Versión 0.2

Contenido:

(8)

(9)

CAPÍTULO

1

Comienzo

La forma más rápida de iniciar el uso de NxFilter es seguir estos pasos

1.1 Recursos mínimos necesarios

Windows, Linux, FreeBSD o cualquier otro OS que tenga soporte para Java 7 o 8. 768 MB RAM.

4 GB de espacio disponible. UDP/53, TCP/80, TCP/443.

Advertencia:

OpenJDK o Oracle JDK versión 9 es incompatible con el servidor Web del sistema. Se recomienda el uso de la versión 8 del Java.

De forma predeterminada, NxFilter utiliza 768 MB de memoria. Este es el requisito mínimo, entonces para entornos con cientos de usuarios esto puede no ser elbastante. Para saber cómo asignar más recursos acceda:

Desempeño

1.2 Instalación

1.2.1 Qual instalar?

O NxFilter tem 2 variações: 1. NxFilter v4

(10)

Pode ser usado para qualquer próposito, inclusive para uso comercial. A licença de uso do NxFilter v4 permite este ser modificado, ajustado, adaptado e redistribuido. A lista Jahaslist pode ser usada para teste por 30 dias sem nenhuma restrição, após o prazo a lista fica com liberação para 20 usuários.

2. NxCloud

Outra variação do NxFilter para área comercial com ambientes variados, feito para uso na nuvem.

1.2.2 Instalando no Windows

O pacote de instalação do Windows é disponibilizado no nosso site. Quando fizer o download e executar “nxfilter-x.y.z.exe” aparecerá a seguinte tela

Após diversos “Next”, deverá ser criado o serviço do NxFilter no Windows. Se for retornada a seguinte mensagem, tudo ocorreu bem.

(11)

Para acessar a interface administrativa, abra o browser de sua preferência e acesse pelo endereço http://localhost/admin. Ou se você tiver criado - durante a instalação - o ícone no desktop, dê dois cliques no mesmo. Se a tela abaixo aparecer o NxFilter está ativo.

Nota: No primeiro login o usuário é admin e a senha admin.

(12)

1.2.3 Instalando no Debian

É disponibilizado o pacote “deb” para o Ubuntu/Debian Linux na área de Downloads. Para instalá-lo, primeiro instale o Java e o Sudo. Baixo o pacote através do comando wget e então instale usando o comando dpkg. Feito isso bastará iniciá-lo usando o script instalado através com o pacote.:

$ su - root

$ apt-get install openjdk-7-jre sudo

$ wget http://www.nxfilter.org/download/nxfilter-4.0.6.deb $ sudo dpkg -i nxfilter-4.0.6.deb

$ systemctl enable nxfilter $ systemctl start nxfilter

Em versões do Debian anteriores a 8, ele deverá estar usando o Upstart ao invés do SystemD. Para esses casos o procedimento de parada e inicialização do serviço deve ser:

$ sudo stop nxfilter $ sudo start nxfilter

Para acessar a interface administrativa, abra o seu browser de preferëncia e entre o endereço «http: //<ip_servidor_nx>/admin». Se, por exemplo, você instalou o servidor NxFilter em uma máquina com o IP “192.168.100.2” digite «http://192.168.100.2/admin».

O procedimento de atualização é bem simples, garanta que o serviço do NxFilter esteja parado.:

$ sudo systemctl stop nxfilter.service $ sudo dpkg -i nxfilter-4.0.6.deb $ sudo systemctl start nxfilter.service

Em versões do Debian anteriores a 8, ele deverá estar usando o Upstart ao invés do SystemD. Para esses casos o procedimento de parada e inicialização do serviço deve ser:

1.2.4 Usando o Ubuntu

É disponibilizado o pacote “deb” para o Ubuntu Linux na área de Downloads. Para instalá-lo, primeiro instale o Java. Baixo o pacote através do comando wget e então instale usando o comando dpkg. Feito isso bastará iniciá-lo usando o script instalado através com o pacote.

Nota:

No Youtube há oTutorial1_.

Advertencia:

1_{https://www.youtube.com/watch?v=INQ4dRwE3PU}

(13)

O OpenJDK 9 pode causar instabilidade no servidor web ( responsável pela GUI ), por isso é recomendado o uso do OpenJDK 8.

Instalando

$ sudo apt-get install openjdk-8-jre

$ wget http://www.nxfilter.org/download/nxfilter-4.3.3.3.deb $ sudo dpkg -i nxfilter-4.3.3.3.deb

$ sudo systemctl enable nxfilter.service $ sudo systemctl start nxfilter.service

Atualizando

$ sudo systemctl stop nxfilter.service $ sudo dpkg -i nxfilter-4.3.3.3.deb $ sudo systemctl start nxfilter.service

Removendo

sudo dpkg -r nxfilter

A partir do Ubuntu 18, o serviço “”systemd-resolved”” usa a porta UDP/53. Antes de instalar o NxFilter você deve desativá-lo. Para isso execute

sudo service systemd-resolved stop

sudo systemctl disable systemd-resolved.service

Em versões do Ubuntu anteriores a 16.04, ele deverá estar usando o Upstart ao invés do SystemD. Para esses casos o procedimento de parada e inicialização do serviço deve ser:

1.2.5 Usando o Docker

2

Charles Gunzelman fez imagens Docker para o NxFilter. Ele as disponibilizou no seguinte endereço:

Charles Gunzelman’s NxFilter Docker images1 2_{https://www.docker.com/}

1_{https://github.com/packetworks/docker-nxfilter}

(14)

Para usar o NxFilter como um container os parâmetros abaixo podem ser utilizados para dispor os serviços: docker run -dt \ --name nxfilter \ -v nxfilter-conf:/nxfilter/conf \ -v nxfilter-log:/nxfilter/log \ -v nxfilter-db:/nxfilter/db \ -p 53:53/udp \ -p 80:80 \ -p 443:443 \ -p 19002-19004:19002-19004 \ packetworks/nxfilter-base:latest

1.2.6 Instalando com RPM

Rob Asher criou os pacotes RPM para o NxFilter. Ele distribui os pacotes no site abaixo: Rob Asher’s NxFilter-RPMs:https://bitbucket.org/DeepWoods/nxfilter-rpms

Para instalar o NxFilter usando o comando “yum”, instale antes o repositório do Rob Asher, :: yum installhttp://deepwoods.net/repo/deepwoods/deepwoods-release-6-2.noarch.rpm

Assim, será possível instalar o NxFilter conforme abaixo, :: yum install nxfilter

Há também outros pacotes no repositório. :: yum install nxcloud

yum install nxrelay

Nota: Esses pacotes verificam todas as dependências para o NxFilter, inclusive o Java.

1.2.7 Instalando no Alpine Linux

A versão usada para exemplo é o Alpine Linux 3.4.0.

Para instalação no Alpine Linux será usado o pacote zip disponibilizado na área de Downloads. Como pré-requisito é necessário instalar o OpenJDK, nesse caso instalaremos o OpenJDK 8.

No Alpine o pacote do OpenJDK é disponibolizado no repositório community, entre em /etc/apk/ repositoriese deverá haver uma linha descomentada como a descrita: http://dl-2.alpinelinux.org/ alpine/v3.4/community

Após esse procedimento instale o OpenJDK JRE 8.

$ su - root

# apk --update add openjdk8-jre ca-certificates # update-ca-certificates

Advertencia: O comando “”update-ca-certificates”” pode retornar uma mensagem de alerta “Warning” porém isso não é prejudicial para o processo

(15)

Após a instalação do Java faça o download do pacote do NxFilter através do comando wget e então descompacte usando o comando unzip.

$ su - root # cd ~ # wget -t0 -c http://www.nxfilter.org/download/nxfilter-4.0.6.zip # cd / # mkdir nxfilter # cd nxfilter # unzip ~/nxfilter-4.0.6.zip # chmod +x /nxfilter/bin/*.sh

Feito isso vamos criar os scripts para iniciar e parar o NxFilter, para que o mesmo fique como serviço e inicie/pare automaticamente no Alpine Linux.

$ su - root # cd /etc/local.d

# echo '/nxfilter/bin/startup.sh -d' > nxfilter.start # echo '/nxfilter/bin/shutdown.sh' > nxfilter.stop # chmod +x nxfilter*

# rc-update add local

Agora vamos inicializar o sistema:

$ su - root

# service local start

Para saber se o mesmo está em execução, espere alguns segundos após inicializar e entre com o comando:

$ /nxfilter/bin/ping.sh

Atualizando

$ su - root # cd /nxfilter

# /nxfilter/bin/shutdown.sh -- Aguarde alguns segundos # unzip ~/nxfilter-4.0.x.zip # /nxfilter/bin/startup.sh $ sudo start nxfilter

1.2.8 Outras distribuições Linux

Nota: Em geral, quando se instala o NxFilter em sistemas Linux

(16)

É preciso ter acesso como usuário root Ter o Java 7 ou superior instalado

Pode iniciar NxFilter em modo daemon usando o parâmetro “-d” ao executar o script startup.sh

Advertencia: A versão 9 do OpenJDK causa instabilidades no servidor WEB do NxFilter ( GUI ), por isso é recomendada a utilização da versão 8.

Instalando

1. Baixe o arquivo nxfilter-x.y.y.z.zip a partir da área de Download. 2. Extraia o arquivo zip na pasta /nxfilter

3. Entre na pasta /nxfilter/bin e execute chmod +x *.sh 4. Execute startup.sh

$ wget -t0 -c http://www.nxfilter.org/download/nxfilter-x.y.y.z.zip $ mkdir /nxfilter && cd /nxfilter

$ unzip ~-/nxfilter-x.y.y.z.zip $ chmod +x /nxfilter/bin/*.sh $ /nxfilter/bin/startup.sh

Para acessar a GUI de administração, entre com o endereço ip do servidor NxFilter no browser, “http: //<ip_servidor>/admin”. Usuário e senha inicial são “admin” e “admin”.

Nota: Você pode inicializar o NxFilter automáticamente usando o arquivo “/etc/rc.local”. Considerando que o

(17)

ter fora instalando em “/nxfilter”, basta adicionar a linha “/nxfilter/bin/startup.sh -d” no arquivo “/etc/rc.local”. Não esqueça do parâmetro “-d” pois ele coloca o serviço NxFilter como daemon.

1.2.9 Instalando no Windows manualmente

Para instalar o NxFilter de forma manual, utilize o pacote zip. Ainda sim é possível executá-lo como um serviço Windows com um script batch incluso no pacote.

1. Baixe o arquivo nxfilter-x.y.z.zip na área de Downloads. 2. Extraia o arquivo zip na pasta c:/nxfilter.

3. Acesse a pasta c:/nxfilter/bin. 4. Execute o script startup.bat.

* Se deseja instalar o NxFilter como um serviço no Windows execute ``c:/nxfilter/bin/ ˓→instsvc.bat``. Ele criará o serviço ``NxFilter``. Para remover o serviço rode ``c:/ ˓→nxfilter/bin/unstsvc.bat``.

* Para rodar o NxFilter como um serviço ``net start NxFilter``. * Parar o serviço ``net stop NxFilter``.

* Utilizando o serviço do NxCloud:

Iniciar - net start NxCloud Parar - net stop NxCloud

1.3 Atualizando o NxFilter

São disponibilizados um instalador Windows e um pacote “deb” para instalação e atualização do NxFilter. Porém em alguns casos pode ser mais conveniente usar o pacote “zip”. Então para atualizar usando o pacote “zip”:

1. Faça o download do arquivo “nxfilter-x.x.x.zip”. 2. Pare o NxFilter.

3. Descompacte o arquivo zip de modo a sobrepor os arquivos já existentes. 4. Inicie o NxFilter.

1.4 Iniciar e/ou Parar NxFilter

São disponibilizados alguns scripts para o NxFilter no diretório /nxfilter/bin: Iniciar o serviço : startup.sh

Parar o serviço : shutdown.sh

Verificar se o serviço está no ar : ping.sh

No Windows você pode usar os arquivos .bat invés dos .sh.

Quando rodar o NxFilter como serviço no Windows utilize “net start NxFilter” para iniciar e “net stop NxFilter” para parar.

Usando o NxCloud, execute “net start NxCloud” para iniciar e “net stop NxCloud” para parar o serviço.

(18)

1.5 Configurando o Cliente DNS

Após a instalação do NxFilter para monitorar e/ou filtrar a atividade na sua rede você precisa fazer com que o NxFilter seja o servidor DNS das sua rede.

Windows

Linux

(19)

A forma mais simples de configurar o Servidor DNS para seus usuários seria modificando a configuração de rede do sistema operacional conforme mostrado logo acima.

Porém se sua rede tem muitos computadores é provável que você utilize o serviço DHCP. Então você só precisa configurar no seu servidor DHCP informando que o servidor DNS de suas estações será o NXFilter.

Se você tiver um firewall você pode forçar os usuários a usar o NxFilter como servidor de DNS bloqueando qualquer tráfego de saída para 53/UDP e 53/TCP. Assim garantirá que o único servidor DNS utilizado será o NxFilter.

1.6 Integração com o Active Directory

O NxFilter tem integração com o AD. A seguir será explicada a integração do AD com o NxFilter, quando usá-lo e como implementálo.

1.6.1 O que é a integração com o AD

Um dos motivos para se integrar o NxFilter com o AD é ter a possibilidade de aplicar políticas baseados em Usuários e Grupos. Também pode não desejar que os usuários se autentiquem em uma página extra de autenticação só para poder utilizar a internet, permitindo autenticação apenas quando fizessem Login nas estações de trabalho. Então a integração permite que se use a mesma conta do AD para identificar os usuários e ativar Single Sign-On.

(20)

1.6.2 Importação de Usuário

No NxFilter a integração com o AD funciona importanto os usuários e grupos existentes no AD. Isso significa que você permitirá o NxFilter acessar seus usuários e grupos. Para fazer esse procedimento acesse User & Group > Active Directory.

Após a importação dos usuários e grupos, seus usuários conseguirão usar suas credenciais na página de Login do NxFilter.

1.6.3 Single Sign-On (SSO) com Active Directory

O objetivo do SSO é aproveitar as credenciais utilizadas ao se autenticar na máquina, evitando assim que os usuários tenham de acessar a página de login do NxFilter. Para usar a capacidade do Single Sign-On (SSO) além da integração com o AD é preciso utilizar um agente com o NxFilter. Há diversos Agentes disponíveis para tal finalidade. São:

NxLogon NxMapper NxClient NxUpdate

Você pode usar apenas um deles ou mais de um de modo a se complementarem.

Nota: Para mais informações, leia as partes sobre Single Sign-On ou os devidos Agentes

1.6.4 Servidor MS DNS e NxFilter

Quando você publicar o NxFilter em um ambiente com Active Directory você pode se preocupar com a possibilidade de quebrar a integridade do serviço do AD pelo fato de que o NxFilter atuará como servidor DNS e o papel de servidor DNS em uma estrutura com AD é muito importante. Porém não desabilitaremos ou substituiremos o Servidor DNS do AD. Nossa abordagem é trabalhar com o servidor DNS já existente do AD de forma cooperativa.

Mas a ideia não é desabilitar ou substituir o servidor DNS AD existente. Nosso objetivo é trabalhar com o servidor DNS AD de forma colaborativa. Então você precisa manter seu servidor MS DNS mesmo que use o NxFilter como servidor DNS para toda a sua rede.

1. Onde instalar

Em alguns ambientes tentam instalar o NxFilter dentro do próprio controlador de Domínio (AD). Mas como dito antes, já existe um servidor DNS no AD, é o seu servidor MS DNS. O correto é instalar o NxFilter em outro servidor de modo que evite conflito de portas, no caso do DNS ( 53/udp e 53/tcp ).

2. Atualização dinâmica de IP

O Servidor MS DNS no MS Active Directory executa diversas operações. Ele permite que os terminais/hosts saibam onde estão os recursos que utilizam registros SRV. E mantem uma Zona DNS para todos os terminais/hosts. Ele também faz atualização dinâmica do IP quando o endereço IP da máquina é alterado.

Para manter todas essas coisas funcionando o NxFilter faz um bypass de consultas internas que seriam de cargo do servidor AD, direcionando automaticamente - de modo transparente - para o servidor MS DNS. Ele entende que se você tem um servidor MS DNS no Domain Controller ( DC ) é dele que seus usuários são importados.

3. Que servidor upstream utilizar no NxFilter

(21)

Você pode se perguntar sobre que servidor DNS utilizar como upstream para o NxFilter pois você já tem um servidor DNS que é o seu servidor MS DNS . Você pode usar qualquer servidor DNS como upstream, inclusive o próprio servidor MS DNS. O NxFilter continua´ra direcionando as suas consultas internas para seu servidor AD, isso não impedirá o funcionamento do NxFilter. Então você pode usar o servidor DNS que achar melhor.

Advertencia: Ao usar seu servidor MS DNS como upstream leve em conta que o mesmo terá per-missão para consulta na internet.

4. Configuração Manual para o servidor MS DNS.

Após fazer a importação dos seus usuários e grupos no AD, NxFilter tentará automáticamente usar seu servidor MS DNS, baseado nas configurações da sua importação porém algumas vezes se deseja usar outro servidor MS DNS. Ou pode se deseja ter uma redundância do MS DNS. Neste caso, você pode fazer todas as alterações na página de configuração do Active Directory na GUI do NxFilter. Para ter redundância na consulta de servidores DNS você pode inserir os servidores separando por vírgulas.

Nota: Você pode ter de ativar “Atualização Dinâmica Insegura” em Propriedades na Zona do servidor MS DNS para que o NxFilter faça a atualização dos IP das estações diretamente na Zona.

1.6.5 Exemplo de um ambiente em produção

Suponha que na empresa ACME o ambiente é composto por diversos desktops com Windows, alguns Macbooks e recentemente foram adquiridos muitos Chromebooks. Os usuários da rede ainda trazem seus smartphones Android e iPhone. E claro para garantir a qualidade dos serviços na rede você tem servidores Linux para manter os sites, sistemas e compartilhamento de arquivos.

Há ainda o interesse de controlar os acessos dentro ou fora do escritórios, mantendo os logins de usuários através de contas no AD.

A primeira coisa a se fazer é configurar/organizar o AD com seus usuários e grupos da rede, em seguida preparar o NxFilter para importar as contas de usuários e grupos do AD. E então usar o NxLogon nos desktops Windows. Porém o NxLogon não funciona nos MacBooks. Para os Mac você pode usar o NxMapper, só precisa instalar o NxMapper no controlador de domínio.

Já para os notebooks você pode instalar o NxClient. NxClient atua, basicamente, como um agente de filtro remoto para o NxFilter mas eles tentarão fazer o SSO quanto estiverem na rede local.

Já para seus servidores é melhor não filtrálos, então defina IP estático para eles e use outro servidor DNS para eles -afinal - geralmente você não precisa bloquear nada - de consulta DNS - para os servidores.

Para os smartphones Android e iPhone, não tem preocupação, afinal o NxFilter tem sua página de login ( estilo Captive Portal ) e eles acessarão a mesma normalmente para autenticar.

1.7 Quando o NxFilter não Inicializa

Quando o NxFilter não inicializa, a primeira coisa a se verificar é o conteúdo do arquivo de log, geralmente fica em /nxfilter/log/nxfilter.log. Nesse arquivo é possível encontrar a possível causa do problema.

Outra parte importante a se verificar é se não está havendo conflito de portas e a instalação do Java. O NxFilter usa as portas: UDP/53, TCP/80, TCP/443, TCP/19001. Para o Cluster usa ainda as portas: TCP/19002, TCP/19003, TCP/19004. Isto por que além do NxFilter ser um servidor DNS e Web ( por conta das páginas de administração,

(22)

autenticação e bloqueio ), ele tem as portas próprias para comunicação entre os serviços. Então, caso haja algum outro servidor DNS ou Web rodando no mesmo servidor o NxFilter não inicializará ou inicializará de modo incorreto. Sobre a instalação Java, se você usa o instalador do NxFilter para Windows, na marioria dos casos você não terá problema algum, porém, se você instalar o NxFilter de modo manual ou inicializá-lo manualmente sem usar o gestor de serviços do Windows você pode encontrar alguns problemas relacionados ao Java. Para evitar esse tipo de problema o Java deverá ser instalado previamente e você tem de configurar de maneira correta as variáveis de ambiente para o Java.

Se você está em um ambiente Windows com o Java configurado corretamente, você receberá a seguinte mensagem ao digitar java na linha de comando.

No ambiente Windows você deverá ter as seguinte variáveis:

JAVA_HOME = C:Program FilesJavajre7 PATH = %JAVA_HOME %bin;C:bin

Se está usando um Sistema Operacional Linux, NxFilter tentará encontrar primeiro o java em /usr/bin e depois em /usr/local/bin então caso não haja o comando java nesses diretórios você precisa alterar o scripts em /nxfilter/binou definir a variável JAVA_HOME com o caminho correto.

Para configurar a variável PATH para o Java você pode seguir os passos em http://java.com/en/download/help/path.xml.

1.8 Instalando o NxCloud

NxCloud nada mais é que um NxFilter modificado. É possível instalar e executar o NxCloud da mesma forma como é feito com o NxFilter.

Porém diferente do NxFilter, após sua instalação, você ainda não pode usar o servidor DNS. Isso por que o NxCloud é um programa para atender múltiplos clientes visando prestar um serviço comercial. É suposto que você não o usará na sua rede interna. Seus clientes é que o usarão em suas redes. Então você precisa criar uma conta para cada um dos seus clientes primeiro.

No NxCloud existem 3 tipos de usuários: Admin > Operator > User

(23)

1. Admin - é você, que administra todos os operadores.

2. Operator - É o seu cliente, ele gerencia os usuários finais e as políticas. 3. User - É o usuário final, o usuário do serviço DNS.

Então é necessário criar antes o operador. Para fazer isso entre na GUI do NxCloud como administrador e então vá ao menu “Operator”. Você pode criar um operador nessa área.

Quando for criado um operador ele terá criado por padrão um usuário e uma política como o mesmo nome do operador. E a senha padrão para o operador é também o seu nome. Uma vez que seja criado um operador é possível se autenticar com a conta do mesmo e configurar um usuário para testes.

:: É preciso associar seu endereço IP ao usuário padrão do seu primeiro operador para poder testá-lo.

(24)

(25)

CAPÍTULO

2

Categorias - Classificação de Domínios

2.1 O que é uma classificação de domínios?

Esta é uma parte essencial para que um filtro DNS possa bloquear os sitesi se baseando em categorias. O NxFilter tem algumas formas de fazer essa classificação:

1. Jahaslist

Jahaslist é utilizado por padrão no NxFilter para fazer a classificação de domínios. Ela também tem suporte a classificação dinâmica dos sites através da engine NxClassifier, que é um “motor” de classificação automática de sites que fica integrado ao NxFilter quando usa a Jahaslist.

Para mais informações sobre a funcionalidade do NxClassifier e como adicionar registros à Jahaslist leia a seçãoNxClassifier.

Nota: Junto com o pacote do NxFilter é disponibilizada uma licença de testes de 30 dias sem limite de dispositivos e uma licença de uso para 20 dispositivos. Uma vez instalado o NxFilter é ativada uma licença ilimitada por 30 dias, após isso é ativado o pacote da licença para 20 dispositivos.

2. Cloudlist

É o nosso serviço terceirizado hospedado na nuvem que você pode contratar. Provê a classificação de mais de 30 milhões de domínios de forma prévia e ainda faz classificação dos demais de maneira dinâmica. Além de todas as vantagens, como o serviço está na nuvem você não precisa se preocupar com a disponibilidade, atualização ou importação.

Advertencia: Desde a versão 4.1.3, o NxFilter vem com uma licença de teste de 30 dias da Cloudlist para 50 dispositivos.

3. Globlist

(26)

Globlist é a uma nova blacklist, disponível desde o NxFilter v4.2.0. Essa lista tem mais de 400 mil domínios, divididos em 3 categorias que são: ADS, Phishing/Malware e Pornô. A atualização é feita automaticamente. Globlist permite o uso de apenas um nível de política.

2.2 Usando a Jahaslist, Cloudlist

As listas Jahaslist e Cloudlist são produtos comerciais. Você pode adquirir a licença em nossa homepage. Para adquirir a licença daJahaslist

Para adquirir a licença daCloudlist

2.2.1 Ativando a licença

Após a aquisição da licença para a Jahaslist você receberá um arquivo “license.lic”. Siga os passos:

1. Copie o arquivo “license.lic” na pasta “conf” dentro do diretório de instalação do nxfilter, ex: “”/nxfilter/conf”“. 2. Selecione em “Categoria > Sistema” a opção de uso da Jahaslist

3. Reinicie o NxFilter

2.2.2 Contando o número de usuários

NxFilter contabiliza o número de usuários autenticado ou o número de endereços IP registrados diaria-mente. Se um deles excede o número de licenças adquiridas aparecerá como um usuário bloqueado nos registros de log do sistema. E os domínios consultados por esses usuários sem licença serão registrados como “Não Classificado”. Porém como essa é uma mensagem de alerta não ocorrerá o bloqueio no lado do usuário.

Nota: Para idenficar quantos usuários tem em sua rede, acesse o relatório de uso dos últimos 30 dias em “Relatório > Uso”.

2.3 Reclassificação de um domínio

É possível adicionar domínios diretamente nas categorias do sistema. Ele trabalha usando os domínios adicionados nas categorias personalizadas. Mesmo que você já tenha esse domínio na sua blacklist a classificação personalizada a sobrepõe.

Então o resultado é imediato. Não há a necessidade de verificar o relatório novamente e esperar isso ser refletido. Há duas formas de reclassificação.

1. Adicionar os domínios em “Category > System”, ou

2. Em “Logging > Request”, clicar no domínio desejado e uma janela popup permitirá a reclassificação.

(27)

(28)

(29)

CAPÍTULO

3

Autenticação

O NxFilter provê diversas formas de autenticação, incluindo Single Sign-On integrado com AD

3.1 NxFilter e Autenticação

3.1.1 Porquê autenticar?

Quando o NxFilter é instalado ele vem com somente uma política e ela é aplicada a todos os usuários da sua rede. Porém como faria se você estivesse trabalhando para uma escola - por exemplo - como administrador de sistemas e você deseja aplicar uma política baseada em usuários e grupos? Criando para estudantes uma política mais rígida e para professores uma política menos restritiva sem ter como identificá-los? Então é preciso distinguir os usuários ativando a autenticação.

3.1.2 Que autenticação usar?

Nxfilter tem suporte a diversos modos de autenticação. É possível escolher um deles ou mesclá-los de modo a identi-ficar através de um deles.

1. Autenticação baseada em IP

O modo mais simples de autenticação. Quando se usa IP estático no desktop está pode ser a melhor alternativa. Apenas um endereço IP associado a um usuário criado na GUI do NxFilter. É possivel também associar uma faixa de IPs a um usuário.

Nota: Muitas pessoas tentam usar a autenticação baseada em IP sem ativar a mesma em “Config > Setup”. Porém a autenticação baseada em endereço IP ainda precisa que seja habilitado antes o método de autenticação.

2. Autenticação baseada em Senha

(30)

Quando é ativada a autenticação o NxFilter bloqueia qualquer usuário que tentar usar a Internet, apresen-tando a página de Login - a menos que já tenham se autenticado ou tenham seu endereço IP já associado. Para passar da página de login seus usuários precisam entrar com as senhas definidas antes. Você pode setar a senha para cada usuário na GUI NxFilter.

3. Autenticação baseada em LDAP

Se você tem um servidor OpenLDAP ou AD, seus usuários pode se autenticar usando as mesmas creden-ciais registradas no LDAP.

Advertencia: Para usar essa funcionalidade você precisa importar seus usuários do servidor LDAP antes.

4. Autenticação por token

NxFilter tem uma funcionalidade especial chamada “Login Token”.

Ela é usada para autenticar usuários remotos ou filtros. Esse token é registrado para cada usuário de forma automática quando você o cria ou importa. O Token é utilizado para diferenciar usuários remotos com os agentes NxClient ou IPs dinâmicos com NxUpdate.

5. Single Sign-On através do AD

Muitas pessoas desejam autenticar seus usuários de forma transparante. Ou simplesmente não querem que os mesmos tenham de digitar mais uma vez suas credências.

NxFilter provê integração com AD. Uma vez que tenha implementado o mesmo seus usuários não pre-cisarão passar pela tela de autenticação e eles já estarão visiveis na GUI do NxFilter com seus logins e grupos do AD.

3.2 Integração com o AD

O NxFilter oferece integração com o AD, porém algumas pessoas acham complexo o seu entendimento. Por esse motivo nessa parte do tutorial explicaremos o funcionamento da integração com o NxFilter, quando usá-lo e como implementá-lo no nível conceitual.

3.2.1 Mas o que vem a ser a integração com o AD?

Um dos motivos do interesse em uso do NxFilter com AD é para que se possa aplicar as políticas de restrição baseadas no usuários e grupos do AD. E também evitar que se tenha de criar mais uma base de usuários só para controlar o uso de internet, exceto casos em que eles se autentiquem em seu próprio computador. Para o NxFilter, “integração com AD” significa usar a mesma conta de usuário existente no AD para distinguir os níveis de acesso dos usuários e ter o SSO usando o AD da empresa.

3.2.2 Importando os usuários

Tendo o conhecimento do que é a “integração com AD” e o motivo para usá-la, será explicado agora como usá-la. A primeira coisa a se fazer para ativar esse recurso é importar os usuários e grupos do AD. O que significa que é necessário permitir que o NxFilter tome conhecimento dos usuários e grupos. Para fazer isso basta acessar o menu “User & Group > Active Directory”.

Após a importação de usuários e grupos, seus usuários estará aptos a se autenticar no NxFilter utilizando suas creden-ciais registradas no AD. Então foi alcançado a integração do NxFilter com o AD.

(31)

3.2.3 Single sign-on (SSO) com Active Directory (AD)

Pode-se dizer que aplicando os passos acima já se tem integração com o AD. Porém, em alguns casos, não é inter-essante para o usuário ter mais uma página de autenticação pedindo suas credenciais, por isso o próximo passo é implementar o SSO com o AD.

Para implementar o SSO é necessário lançar mão do uso de um agente trabalhando com o NxFilter. Existem diversos

agentesno NxFilter que permitem tal funcionalidade, são NxLogon, NxMapper e NxClient. Você pode usar um ou mais de modo que se complementem e que atendam sua necessidade.

Nota: Para mais informações, leia sobre o SSO e os Agentes do NxFilter neste mesmo tutorial

Servidor MS DNS e NxFilter

Ao colocar o NxFilter em um ambiente com AD pode haver a preocupação acerca da possibilidade de se quebrar a integrade do AD já que o NxFilter é um servidor DNS e o papel do Servidor DNS no AD é muito importante. Mas não se tem o objetivo de desativar ou substituir o servidor DNS do AD. A abordagem correta é fazer com que o NxFilter trabalhe em conjunto com o servidor DNS do AD.

Para manter o funcionamento do Servidor MS DNS em conjunto com o NxFilter, os passos são:

1. Onde instalar ? Como já existe o servidor MS DNS, não se deve instalar o NxFilter dentro do servidor AD, isso causaria conflito nos serviços. O correto é instalar o NxFilter em outro servidor para evitar tal conflito. 2. Atualização dinâmica dos Desktops/Dispositivos O Servidor DNS no AD tem diversas obrigações. Permite que os clientes do AD tenham conhecimento de seus recursos através dos registros SRV. E mantém uma zona DNS para cada cliente. Ainda atualiza dinâmicamente o relacionamento cliente <-> IP, informando as alterações do endereço IP. Para que isso tudo continue funcionando o NxFilter faz um bypass para consultas DNS ao domínio do AD para servidor MS DNS automaticamente. Assumindo que os usuários já foram importados.

3. Qual o servidor DNS Upstream usado no NxFilter? É comum a duvida sobre que servidor DNS deve ser usado como Upstream no NxFilter, principalmente quando já tem um servidor DNS na rede como o MS DNS do AD. Pode ser usado como Upstream qualquer servidor DNS no NxFilter, inclusive o MS DNS. NXFilter continuará direcionando as consultas internas para seu AD. Então pode usar como upstream qualquer servidor DNS que achar melhor, desde que ele consiga retornar os domínios existentes na internet também.

4. Configuração manual do servidor MS DNS. Após a importação de usuários e grupos do AD, o NxFilter ten-tará trabalhar com seu servidor MS DNS de modo automático, baseado na importação do AD configurada, porém algumas vezes é desejado ter um endereço diferente do servidor MS DNS. Ou até mesmo ter algu-ma redundâncias de servidores MS DNS. Neste caso, é possivel fazer toda essa configuração na página de configuração de importação do AD. Para ter mais de um servidor DNS basta separar por vírgulas.

Nota: Pode ser necessário permitir “Atualização Dinâmica” nas propriedades da zona em seu servidor MS DNS para que o NxFilter possa atualizar os endereços IP dos seus terminais na zona do MS DNS.

Caso de uso

Ambiente Empresa ACME SA tem:

1. Estações de trabalho Windows, Linux e alguns notebooks Mac. Recentemente adquiriu diversos Chromebooks.

(32)

2. Usuários de smartphones iPhone e Android.

3. Mais servidores Linux que mantém seu próprio website e compartilhamento de arquivos. 4. Funcionários que fazem serviço externo e usam notebooks [ Windows e Macbooks ]

A Empresa ACME deseja controlar o acesso a internet dos usuários que estão dentro e fora do escritório, todos autenticando com sueus usuários no AD.

Os procedimentos para uma completa implementação são: Configurar e importar usuários e grupos do AD no NxFilter. Preparar os terminais internos:

• Windows - instalar o NxLogon

• Linux - autenticação através da página de Login do próprio NxFilter

• MacBooks - não trabalham com NxLogon, mas usam NxMapper. Então para atender essa demanda, basta instalar e rodar o NxMapper no DC do AD.

Equipamentos para serviço externo:

• NxClient nos notebooks. NxClient é, basicamente, um agente remoto para o NxFilter mas ainda tem a funcionalidade de SSO quando os dispositivos estiverem na empresa.

Servidores - o melhor é não filtrar/controlar com o NxFilter e usar outro servidor DNS para eles ou - se ainda tiver interesse de usá-los com NxFilter - criar uma política que permita o acesso a tudo. Geralmente não é preciso bloquear nada em servidores. Vale lembrar que o servidor consumirá uma licença.

Smartphones ( iPhone e Androids ) - autenticação através da página de Login do NxFilter.

3.3 Single Sign-On com AD usando NxLogon

Quando se tem um servidor AD é possível utilizar o recurso de Single Sign-On e não emitir mais uma solicitação de Login a seus usuários. Para isso é disponibilizado o agente NxLogon. Quando o NxLogon é executado ele cria e atualiza a sessão de login desse mesmo usuário no NxFilter.

Caso não deseje instalar este programa em cada PC na sua rede é possível usar um Script de Logon na GPO. Este script de logon será executado toda vez que um usuário se autenticar no AD e lançar o NxLogon.

Nota: Antes de iniciar esse processo é preciso importar usuários e grupos do AD. Para importá-los leia o procedimento emGUI - Usuário.

Advertencia: O agente NxLogon usa a porta 19002/TCP para se comunicar o NxFilter. Ela precisa estar liberada no seu firewall - caso haja um.

Se o uso do NxLogon for um pouco complicado é possível usar o agente NxMapper.

Siga os passos abaixo para executar o NxLogon através do GPO. 1. Baixe o pacote nxlogon-x.x.zip em <https://nxfilter.net.br>.

2. Altere o endereço IP em nxlogon.bat para o IP do seu servidor NxFilter. Se estiver usando um cluster Nx você pode colocar múltiplos IPs apenas separando-os por espaço.

(33)

3. Abra “Ferramentas Administrativas > Usuários e Computadores do Active Directory” em seu Domain Controller (DC).

4. Abra a aba “Política de Grupo” em Propriedade do seu Domínio AD.

5. Clique no botão “Editar” e então vá em “Configuração do Usuário > Configurações do Windows > Scripts ( Logon/Logoff )”

(34)

6. Clique em “Logon” e clique em “Adicionar” então clique em “Navegar”. Você verá o diretório “Logon” para se-lecionar o arquivo. Copie seu “nxlogon.bat” e “nxlogon.exe” do diretório gerado pelo pacote NxLogon, contido no diretório “Logon”. Você pode arrastar e soltar os arquivos no diretório.

7. Selecione o arquivo copiado na pasta o “nxlogon.bat” como um script de logon para adicionar.

(35)

8. Agora toda vez que um usuário se autenticar no sistema “logon.bat” será executado e vai executar “nxlogon.exe”. Você pode verificar se o processo está rodando no Gereciador de Tarefas do Windows.

(36)

9. No Servidor NxFilter será possível visualizar o resultado do processo. Assim que o usuário se autentica é feita uma requisição pelo NxLogon

(37)

Nota: Se deseja fechar a sessão do usuário no NxFilter imeditamente após o usuário fazer logout use o script “nxlo-goff.bat” como script de logoff na GPO.

Quando você rodar múltiplas instâncias do NxLogon no mesmo PC com múltiplos usuários ele pode causar confusão no processo de detecção.Se usuários podem aparecer com nomes diferentes na visualização do log. Para impedir múltiplas instâncias no mesmo sistema use o parâmetro “-bm”.

3.4 Single Sign-On com AD usando VxLogon

O VxLogon é uma versão no formato de Script baseada no NxLogon. Em alguns casos houveram ambientes com problemas com o NxLogon, já que ele é um arquivo EXE e alguns antivírus acabam retornando falsos positivos com relação a ele. Por esse motivo foi criada essa versão do NxLogon usando VBScript. Ele mais simples e rápido. VxLogon é suportado pelo NxFilter a partir da versão 4.1.8.

3.4.1 Rodando

Para executá-lo é necessário registrar o script “vxlogon.vbs”, contido no pacote do VxLogon, como um script de logon do Windows através de GPO. No lado do NxFilter, você precisa ativá-lo em “Config > VxLogon”.

Nota: Caso não tenha trabalhado ainda com GPO e scripts de logon, veja como fazer emSingle Sign-On com AD usando NxLogon.

Diferente do NxLogon, o VxLogon não precisa que seja informado o IP do Servidor.

(38)

3.4.2 Restrições de Segurança

O VxLogon utiliza o protocolo DNS, tornando as coisas muito mais fáceis e simples. Porém, alguns usuários poderiam tentar burlar o sistema se autenticando com outro usuário para ter permissões com menos restrições já que os comandos utilizados ficam visíveis em um script. Para evitar esse tipo de problema, foi adicionado um procedimento de segurança durante a ativação do VxLogon.

Então o VxLogon utiliza o protocolo DNS para estabelecer a comunicação com o servidor NxFilter e foram criados domínios únicos para efetuar o Logon e o Logoff.

Em “Config > VxLogon”, há os parâmetros: Logon Domain : vxlogon.example.com Logoff Domain: vxlogoff.example.com

É permitida a alteração desses domínios de acordo com a necessidade do ambiente. Após a alteração desses parâmetros no servidor é preciso alterar os arquivos a seguir no pacote do VxLogon para conter o novo endereço:

vxlogon.vbs vxlogoff.bat

Advertencia: Como é utilizado o comando “nslookup” é importante manter o ponto final na escrita do domínio.

3.4.3 Análise/Testes do script

Rodar o script “vxlogon.vbs” diretamente no CMD não trará nenhum retorno por causa do programa padrão utilizado pela engine VBScript, o “wscript”. Mas caso deseje debugar o script, isso pode ser feito utilizando o “cscript”

cscript vxlogon.vbs

E no servidor execute o NxFilter sem o modo daemon, dessa maneira também poderá visualizar as ocorrências do lado do servidor enquanto testa o script “vxlogon”.

3.5 Single sign-on com AD usando NxMapper

Enquanto que usar o NxLogon seja a melhor solução para SSO com AD, algumas pessoas encontram dificuldade na sua configuração por envolver ajustes de GPO e script de logon.

Então é oferecida uma alternativa mais fácil de implementar o SSO.Quando você instala o NxMapper no seu Domain Controller ele vai buscar o nome do usuário e o endereço IP ao se autenticar no AD e cria a sessão no NxFilter.

Nota: Se deseja usar o recurso de SSO no AD é preciso, antes de qualquer coisa, importar usuários e grupos do seu AD. Para fazer isso leia a parte “GUI - User”.

(39)

3.5.1 Instalando e executando o NxMapper

O instalador do NxMapper para Windows é disponibilizado na nossa seção de Download. Ele instalará o NxMapper como um serviço do Windows. Após instalá-lo, aparecerá a tela de configuração.

Nota:

1. NxMapper precisa ser instalado no Domain Controller.

2. Você pode adicionar diversos IP separados por vírgulas, caso tenha um cluster de NxFilter. 3. NxMapper usa a porta TCP/19002 para se comunicar com o NxFilter.

Após modificar os arquivos de configuração, teste sua configuração antes e então inicie o serviço.

3.5.2 Diferença de uso com o NxLogon

Apesar de ser facilmente confundido com o NxLogon, NxMapper tem suas limitações.

A sessão criada com o NxMapper pode expirar. Enquanto que o NxLogon atualiza as informações da sessão a todo minuto, NxMapper cria ou atualiza somente quando o usuário faz algo no controlado de domínio. Uma vez que a sessão expira os usuários serão redirecionados para a tela de login do NxFilter. Para evitar que isso ocorra você pode aumentar o tempo da sessão em Config > Setup > Block and Authentication > Login session TTL.

Nota: A sessão pode expirar já que o NxMapper não a atualiza. Mas enquanto houver atividade ( consulta de DNS ) o NxFilter renovará a sessão. Ela só chegará a expirar em casos como quando o usuário faz uma grande pausa no uso do terminal de trabalho.

3.5.3 Terminal server exclusion

Quando o NxMapper é usado, podem haver problemas com o Terminal Server do Windows. Se existirem múltiplos usuários em um só sistema o endereço IP do sistema será associado ao último usuário detectado pelo NxMapper. O que significa que seus usuários podem aparecer no NxFilter com um nome diferente. Para evitar esse tipo de problema a melhor solução seria vincular um IP para o seu terminal server.

(40)

3.6 Single Sign-On usando CxLogon

CxLogon é o mais novo agente para SSO do NxFilter, funciona a partir da versão 4.3 do NxFilter. Ao contrário do NxLogon ou NxMapper, não é necessário inicializá-lo com uma GPO ou deixá-lo rodando no controlador de domínio ( servidor AD ). Só é preciso instalá-lo no usuário do sistema e ele criará a sessão no NxFilter com o usuário registrado no sistema. A vantagem desse recurso é que desobriga a existência do AD para se ter o recursos de SSO.

Nota: Mas não impede o uso do NxFilter intragrado ao AD.

3.6.1 Funcionamento

Assim como os outros agentes para SSO, é necessário criar um usuário no NxFilter antes de usar o CxLogon. Porém, ao contrário dos outros agentes, ele criará uma requisição de acesso caso não encontre o usuário registrado no sistema em que ele foi executado. Você pode aprovar tal requisição em “User > Login Request” e um usuário será criado automaticamente.

Nota: O NxFilter tem de ser o único serviço de DNS utilizado pela estação/terminal na sua rede. Caso contrário o CxLogon não conseguirá encontrar o servidor NxFilter.

3.6.2 CxLogon no Windows

Ao instalar o sistema em um PC ele entrará em modo de execução como um serviço. Se deseja instalar em diversas estações isso pode ser feito através de uma GPO no AD usando o pacote MSI disponibilizado.

3.6.3 CxLogon no MAC

Existe um instalador para o Mac OS. Ao instalá-lo, ele criará o diretório “/Library/cxlogon” e o arquivo “/Li-brary/LauachDaemon/org.nxfilter.cxlogon.plist” para que o mesmo seja inicializado automaticamente.

Para verificar seu funcionamento, faça

sudo /Library/cxlogon/bin/test.sh

Iniciar e parar o serviço manualmente:

#Iniciar

sudo /bin/launchctl load -w /Library/LaunchDaemons/org.nxfilter.cxlogon.plist

#Para

sudo /bin/launchctl unload -w /Library/LaunchDaemons/org.nxfilter.cxlogon.plist

Desinstalar o sistema .. code-block:: bash sudo /Library/cxlogon/uninstall-mac.sh

3.6.4 CxLogon no Chromebook

Para o Chrome há uma extensão do CxLogon para os usuários do Chromebook. É importante destacar que por conta disso o sistema só roda quando o Chrome é aberto. Isso pode causar um certo incomodo, para contornar isso é possível

(41)

ainda criar um usuário padrão vinculado a uma faixa de IPs e atribuir uma política com privilégios básicos com acesso a determinados sites.

CxLogon na Web Store

3.7 Single Sign-On usando autenticação 802.1x

A partir da versão 4.3.4.3, o NxFilter oferece suporte a autenticação usando 802.1x através de um servidor embutido de RADIUS Account. Isso significa que é possível ter single sign-on em smartphone e diversos dispositivos móveis em sua rede. Só é necessário importar usuários e grupos do seu servidor AD, LDAP do Google G Suite para que seus usuários estejam sincronizados na base do NxFilter.

3.7.1 Como funciona

O protocolo Radius Accounting recebe os usuários através da autenticação do Wi-FI. O Nxfilter age como um servidor RADIUS accounting e é necessário que o roteador Wi-Fi envie as requisições de RADUS Accounting para o NxFilter.

Advertencia:

Vale destacar que o NxFilter não faz a parte de autenticação do RADIUS, essa parte é feita pelo seu servidor de autenticação RADIUS.

Caso esteja usando o Active Diretory (AD) seu servidor de autenticação pode ser o NPS - Windows Network Policty Server. Então o NxFilter não quebra a cadeia de autenticação do RADIUS.

3.7.2 Integração com o AD

Antes de qualquer coisa, importe seus usuários e grupos do seu AD, veja mais em GUI - Usuário . Após ter feito isso você precisa configurar o servidor RADIUS Accounting do NxFilter, vá em “User > RADIUS”. É simples, você não precisa alterar nada a mais que a Chave Compartilhada ( Shared Secret ). Por último, você precisa configurar o Roteador Wi-FI e o Windows NPS ( Network Policy Server ).

Consejo:

Caso tenha dúvidas sobre a configuração do NPS, acesse [https://blog.ui.com/2016/11/04/ managing-radius-authentication-unifi/| Configurando a autenticação via RADIUS no UniFi]

Exemplo de configuração do RADIUS no NPS.

(42)

3.7.3 Integração com o G Suite ou OpenLDAP

Não é muito diferente do procedimento executado no AD. Você faz a importação dos usuários e grupos do G Suíte ou do OpenLDAP em “User > OpenLDAP” e então configura o roteador, o servidor de autenticação RADIUS e então envia as requisições de RADIUS Accounting para o NxFilter.

Truco:

Para importar os usuários e grupos do G Suite LDAP, leia esse post «Importando usuários do GSuíte_»

3.7.4 Lentidão no primeiro acesso

Pode ocorrer alguma demora na primeira requisição de autenticação usando o RADIUS Accounting após a validação do usuário na autenticação do Wi-Fi. Uma das razões é que no primeiro momento os usuários estão bloqueados no NxFilter por não estarem autenticados. A solução é definir um usuário que tenha todo o range da IPs da sua rede Wi-Fi. Crie esse usuário na GUI do NxFilter e associe esse range de IPs. Os usuários autenticados na Wi-Fi terão esse usuário padrão por alguns segundos antes do NxFilter validar a requisição do RADIUS Accounting e após isso eles serão autenticados com o usuário correto.

3.8 Script de Login Personalizado para SSO

Atualmente NxFilter suporta SSO com AD. Em todo caso algumas pessoas querem outros tipos de vali-dadores. Por exmeplo, você pode querer que o SSO seja aplicado ao seu OpenLDAP.

(43)

NxFilter tem uma API para permitir a criação de sessões através do protocolo HTTP. Você precisa escrever seu próprio script de login para executar uma determinada página no servidor Web do NxFilter. E então seus usuários não precisarão acessar a página de login do NxFilter.

Existem alguns exemplos em /nxfilter/example/login_user.jsp. Inicialmente o acesso a página é restrito apenas a localhost, por questões de segurança, mas você pode editar o arquivo JSP e permitir chamadas a partir da sua rede local.

O caminho para executar essa página é :

Nota: http://192.168.0.100/example/login_user.jsp?ip=192.168.0.100&uname=john

Como podes ver a página recebe 2 parâmetros. O primeiro é o IP da máquina do usuário e o segundo é o nome do usuário.

Advertencia: Não esqueça de importar ou criar os usuários no NxFilter.

Um ponto a se considerar quando for feito o script é que tem de ser verificar uma forma da página ser chamada periodicamente. Lembre que há no NxFilter o conceito de tempo de sessão. Se não houver atividade de um usuário autenticado por um determinado tempo a sessão expirará. Então se você não deseja que a página de Login fique aparecendo para os seus usuários, é preciso fazer o refresh na página desse script de tempos em tempos.

Há 3 métodos na classe UserLoginDao que são utilizados pelo script de login:

createIPSession(String ip, String uname) // Cria a sessão de login com IP e usuário

deleteIPSession(String ip) // Fecha a sessão informando o IP

findUser(String ip) // Localiza o usuário com base no IP informado.

Nota: Todas as paginas de exemplo estão em /nxfilter/webapps/example.

3.9 A Ordem dos métodos/modos de autenticação

NxFilter permite diversas formas de autenticação ao mesmo tempo. Porém há uma ordem a ser seguida. Você precisa entender essa ordem para poder montar sua configuração de controle.

A ordem é:

1. Associar a um determinado IP

Essa associação é a primeira, então verifica se o endereço IP está associado a uma determinado faixa ou permitir alguns usuários se autenticar sem o procedimento de login.

2. Sessão por IP

Sessão por IP é o login sendo criado e mantido no NxFilter através de SSO ou página de login, exatamente nessa ordem.

3. IP range association

Quando se faz necessário permitir o acesso de um usuário qualquer sem que este precise se autenticar você pode criar/associar o mesmo a uma faixa de IPs que cubra toda a sua rede.

(44)

Mas você pode desejar distinguir os usuários fazendo a associação através de um único IP ou Sessão por IP. Então o vínculo ao range de IPs é aplicado por último.

Então temos a ideia de que “Se aplica primeiro o range mais próximo”. Se houver faixas de IP cadastradas, quanto menor a faixa maior a prioridade de aplicação antes das outras faixas.

(45)

CAPÍTULO

4

Entender la GUI

La comprensión de las opciones disponibles en la interfaz de administración NxFilter

4.1 GUI - Config

Área com os principais parâmetros de configuração do NxFilter.

4.1.1 Config > Setup > Block and Authentication

Block Redirection IP

É o endereço IP do próprio NxFilter. Se houver alguma requisição de um domínio bloqueado, ele será redirecio-nado para este endereço IP. Geralmente ele é preenchido automáticamente durante o processo de instalação.

Nota: Para adicionar mais de um endereço IP separe-os por vírgulas. Isso pode ser usado em caso de redundância ou cluster.

External Redirection IP

Quando usar um agente remoto para filtrar requisições DNS ( como o NxClient ) você pode precisar usar um IP diferente do inserido em Block Redirection IP para casos onde o agente esteja sendo executado fora da sua rede. Deixando esse campo vazio o sistema usará mesmo registrado em Block Redirection IP para redirecionar requisições do agente remoto

IPv6 Redirection IP

É preciso definir esse endereço quando NxFilter é usado como servidor DNS na rede IPv6.

Enable Authentication

Essa opção deve ser ativada quando é utilizado algum método de autenticação, inclusive Autenticação vinculada a IP.

Após habilitar está opção, qualquer usuário ainda não autenticado será direcionado para a página de login. Desse modo só conseguirão navegar na internet após se autenticar.

(46)

Login Domain

URL para a página de login.

Nota: ex) login.nxfilter.org

Logout Domain

URL para forçar o término da sessão do usuário.

Nota: ex) logout.nxfilter.org

Login Session TTL

NxFilter mantém a sessão do usuário por um tempo determinado. Isso pode ser necessário para casos em que o computador seja compartilhado com outras pessoas, desse modo não haverá requisições DNS por um determi-nado tempo.

Atingindo o tempo definido nesse parâmetro a sessão do usuário expira e ele precisará se autenticar novamente.

4.1.2 Config > Setup > Syslog

O NxFilter permite que se exporte os registros para um Servidor Syslog. Você pode montar seu próprio sistema de relatórios ou pode monitorar todos os registros em real-time.

Syslog Host

Endereço do servidor para o qual serão enviados os dados.

Syslog Port

Porta UDP usada para se comunicar com o servidor.

Export Blocked Only

Enviar somente os registros de bloqueios.

From Each Node

Por padrão, o cluster NxFilter envia os dados para o Syslog apenas pelo nó Master. Ativando essa opção, cada nó envia seus próprios dados.

Enable Remote Logging

Ativar o envio para o Servidor Syslog definido em Syslog Host.

4.1.3 Config > Setup > NetFlow

O sistema tem suporte a controle de banda. Isso é possível através da importação de dados do NetFlow. Para mais detalhes leia em Controle de Banda neste mesmo tutorial.

Router IP

O endereço IP do servidor que enviará os dados NetFlow ao NxFilter.

Listen Port

Porta do coletor NetFlow ( Protocolo UDP ).

Run Collector

Ativar o coletor. Após alterar esse parâmetro é necessário reiniciar o NxFilter.

(47)

4.1.4 Config > Setup > Misc

Admin Domain

URL para acesso a GUI de administração do NxFilter. Se, por exemplo, você registrar admin.nxfilter.org a área de administração será acessível através do endereço http://admin.nxfilter.org/admin.

Nota: Isso só funcionará quando você estiver usando o NxFilter como seu servidor DNS. Caso contrário você precisará registrar o domínio em seu próprio servidor DNS.

Bypass Microsoft Update

Caso sua rede tenha estações Windows essa opção permite que os updates não sejam bloqueados. Habilitando esta opção os domínios e subdomínios microsoft.com e windowsupdate.com não exigirão autenticação nem será bloqueados.

Logging Retention Period

Tempo em que os registros ficarão armazenados.

SSL Only to Admin GUI

Forçar que o acesso a área de administração seja feito apenas através de HTTPS/Página segura. Uma vez que esta opção seja habilitada você será redirecionado para o endereço HTTPS automáticamente, mesmo que esteja colocando o endereço HTTP.

Auto Backup

Backups são executados todos os dias a “01:00” e ficam gravados na pasta “/nxfilter/backup”. Os arquivos de backup terão o prefixo “auto-“.

Agent Policy Update Period

Os agentes disponibilizados pelo NxFilter baixam suas políticas periodicamente. Essa frequência é determinada por esse parâmetro.

4.1.5 Config > Admin

Você pode alterar o usuário administrador e a senha da GUI de administração aqui.

Nota: “Client Password” é para configuração do agente remote. Ele é usado para acessar a página de configuração do CxBlock.

“Report Password” é para permitir que o gestor de relatórios acesse os menus de logging/report na GUI

4.1.6 Config > Alert

NxFilter envia um email de alerta informando dos blocks recentes ou caso algum nó do cluster caia.

Por exemplo, caso deseje enviar um email de alerta para “admin @ nxfilter.org” de “alert200 @ gmail.com” a cada 15 minutos a configuração seria :

Admin email : admin @ nxfilter.org SMTP host : smtp:gmail.com SMTP host : 465

SMTP SSL : on SMTP user : alert200

(48)

SMTP password : **** Alert period : Every 15 minutes

4.1.7 Config > Allowed IP

NxFilter permite que se faça restrição de acesso baseado em IP para funcionalidades como serviço DNS, GUI ou redirecionamento para login. Isso pode ser útil quando NxFilter é utilizado com endereço de IP público. Você pode fazer uma ACL com permissões e exclusões nessa área.

4.1.8 Config > Backup

Forçar o backup das configurações. Os arquivos ficarão gravados em “/nxfilter/backup”.

4.1.9 Config > Block Page

Personalização da pagina de bloqueio, login e boas vindas. Quando editar a página de bloqueio podem ser usados os seguintes parâmetros caso deseje deixar a página com mais informações.

#{domain} : Domínio bloqueado #{reason} : Motivo do bloqueio #{user} : Usuário autenticado

#{group} : Grupos aos quais o usuário pertence #{policy} : Que política foi aplicada

#{category} : Categorias em que se enquadra ou o domínio bloqueado

4.1.10 Config > Cluster

NxFilter tem a possibilidade de trabalhar em cluster. Você pode ativar seu NxFilter como um nó principal ou secundário em um Cluster. Após alterações na configuração do cluster você precisa reiniciar seu NxFilter para que as mudanças sejam aplicadas.

4.2 GUI - DNS

NxFilter é basicamente um servidor DNS com a habilidade de aplicar filtros. Estes são os parâmetros relacionados a configuração do Serviço DNS.

4.2.1 DNS > Setup > DNS Setup

Upstream DNS server

NxFilter funciona como um servidor de encaminhamento DNS. É obrigatório ter ao menos um servidor de Upstream DNS para o NxFilter.

Upstream DNS Query Timeout

Timeout para uma consulta DNS retornar do seu servidor Upstream DNS.

Upstream DNS Load Balance

Opção para ativar balanceamento de carga entre seus servidores de upstream DNS.

(49)

Max Client Cache TTL

O TTL pode ser modificado para uma resposta de registro DNS a partir do NxFilter. Se for definido o valor “60” o NxFilter modificará o cache TTL para “60” caso ele seja superior a esse valor.

0 - Ignorará o valor TTL enviado pelo servidor Upstream

60 - Ignora somente se o valor for inferior a “60”, caso seja superior força com que o mesmo seja “60” A ideia principal dessa funcionalidade é minimizar os efeitos causados pelo cache dns do cliente. Em todo caso se no seu ambiente houver mais de 1.000 usuários é interessante desligar essa funcionalidade de alteração do TTL para obter melhor performance.

Response Cache Size

NxFilter tem seu próprio cache DNS, que é alimentado a partir do servidor Upstream. Geralmente, quanto maior o cache melhor a performance.

Nota: Atualmente o NxFilter comporta 200.000 registros e é suficiente para a maioria dos ambientes.

Use Persistent Cache

O NxFilter mantém 1 milhão de registros DNS em seu próprio banco. Tendo um cache constante você não perderá acesso aos domínios acessados na sua rede, mesmo que os servidores DNS da sua região caiam. Seus usuários terão acesso sem problemas.

Minimal Responses

É possível enviar somente os registros “Answer” em uma resposta DNS do NxFilter e ignorar seções como “Additional” e “Autority”, reduzindo assim o tamanho do pacote a ser retornando e melhorando a performance.

4.2.2 DNS > Setup > Local DNS

Local DNS Server

Quando já um servidor DNS para resolver os endereços do domínio interno/local insira o ip dele nessa área. Você pode inserir múltiplos servidores DNS separando-os por “,” visando redundância.

Local Domain

Quando existe um domínio o qual você deseja fazer o foward para seu servidor DNS local adicione o mesmo nesse campo. É possível adicionar multimpos domínios separando-os por “,”.

Advertencia: Não use “*” ou qualquer outro caracter especial para um domínio local

Local DNS Query Timeout

Timeout para uma consulta DNS feita no seu servidor de DNS local.

Upstream DNS Load Balance

Habilitar o balanceamento de carga para seus servidores de DNS locais.

Use Local DNS

Ativa o uso de DNS Local.

Nota: Se você configurar um servidor DNS local para seu domínio local, todas as consultas DNS para seu domínio local serão direcionadas sem regras não tendo autenticação, filtro e registros dessas consultas.

(50)

4.2.3 DNS > Setup > Dynamic DNS

NxFilter suporta o serviço de DNS dinâmico. Para saber como leia,”Servidor DNS Dinâmico” nesse mesmo tutorial.

4.2.4 DNS > Setup > Misc

Drop Hostname Without Domain

Útil para ambientes que usem NxFilter ou NxCloud nas nuvens e que não necessita resolver hostnames.

Drop PTR For Private IP

Descarta consultas para endereços IP privados. Indicado para ambientes que rodem o NxFilter em nuvem.

4.2.5 DNS > Zone File

Quando você usa NXFilter como um servidor DNS autoritativo você pode precisar configurar um arquivo de Zona. É utilizado o mesmo padrão usado em arquivos de zona do serviço BIND. Para saber mais sobre servidores de DNS Autoritativos, acesse nesse tutorial.

4.2.6 DNS > Redirection

Redirecionamento Domínio para IP ou domínio para domínio é possivel de ser feito com NxFilter. Ele funciona como um registro DNS alterado.

4.2.7 DNS > Zone Transfer

Em algumas situações pode ser necessário importar uma zona DNS a partir de outro servidor DNS. Ao ser configurada uma zona para transferência, o NxFilter importa a mesma constantemente usando o protocolo IXFR.

4.3 GUI - Usuário

Você pode criar ou importar usuários e grupos nessa área. Há suporte a importação de usuários do AD ou OpenLDAP.

4.3.1 Criando o usuário

Para criar um usuário vá em “User & Group > User”. Existem 3 tipos de usuários no NxFilter 1. IP user

O Usuário tem um endereço de IP ou um Range de IPs e será automaticamente vinculado a ele(s). 2. Password user

Se você definir uma senha para um usuário ele se classifica como “password user”. Você pode usar a senha para se autenticar no NxFilter.

3. LDAP user

Quando você importa usuários dos servidores LDAP ou AD ele se tornam LDAP users. Podem usar as credenciais definidas no servidor LDAP ou AD na página de login do NxFilter.