HOW TO MSN – Conversas Duplicadas nos Eventos do Firewall

HOW TO MSN – Conversas Duplicadas nos Eventos do Firewall Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Firewall 6.5 6.5.0 22/09/11 28/02/11 1 de 1 Introdução
Apresentaremos nesse FAQ qual o motivo, em alguns casos, de ocorrer logs duplicados de conversas de MSN nos
eventos do Firewall Aker.
Solução
Para uma administração mais consistente do Firewall Aker é inevitável a prática de auditorias nos logs e eventos do
firewall. Os administradores que realizam essa prática com atenção, já devem ter se deparado com a situação de
conversas duplicadas de MSN nos eventos do firewall. À primeira vista, intui-se que está ocorrendo algum problema
com a filtragem dos eventos do Proxy MSN. No entanto, veremos que não ocorre problema algum e que a explicação
para tal ocorrência é tão lógica quanto parece.
Vamos supor o seguinte cenário fictício:
Empresa: Exemplo
Domínio: exemplo.com
Usuário 1: [email protected]
Usuário 2: [email protected]
No firewall da empresa Exemplo estamos com o Proxy MSN habilitado. Os usuários Marcelo e Diana estão
acessando o MSN e ambos estão atrás do mesmo firewall na rede. Quando o usuário Marcelo envia uma mensagem
para Diana, os eventos do firewall registram duas vezes a mensagem enviada, tal como:
Agora vamos a explicação: Observe na imagem que a mensagem enviada pelo usuário Marcelo é registrada duas
vezes nos eventos. Quando o usuário Marcelo envia a mensagem “Oi Diana, tudo bom ! Isso é um teste !”, no
momento da saída, o firewall loga a mensagem nos eventos e encaminha essa mensagem ao servidor provedor do
serviço Messenger na Internet para que o mesmo reencaminhe essa mensagem ao usuário destinatário. É exatamente
durante esse reencaminhamento que a mensagem é duplicada. Quando o servidor do Messenger reencaminha a
mensagem ao destinatário Diana, antes que chegue ao destino, essa mensagem passa novamente pelo mesmo firewall
em função dos dois usuários estarem conectados a mesma rede. Assim, a mensagem é registrada novamente. Por fim,
ocorre que todas as mensagens trocadas entre os dois usuários serão logadas duas vezes nos eventos do Aker.
Considerações Finais
Podemos concluir que sempre precisamos visualizar os eventos e logs com muita atenção e tentar entender sob o
ponto de vista de redes como a comunicação se estabelece entre os serviços e aplicações. Ou seja, precisamos abstrair
determinadas situações como essa, pois apesar de serem bastante lógicas, em muitos dos casos nos induzem ao erro.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br