CONFIGURAO DO SERVIDOR ZEROSHELL

Aps realizar o download da ISO no site oficial da ZeroShell necessrio realizar

algumas configuraes bsicas para comear a disponibilizar os servios de rede. Por padro
desabilitado todos os servios (Proxy, DHCP, Firewall, DNS). Abaixo mostrado a tela inicial
de carregamento do sistema. Aguarde alguns instantes e o sistema comeara a carregar.
Figura 1 - Tela inicial de inicio do sistema

Fonte:
elaborao dos autores

Figura 2 - Tela inicial aps o carregamento do servidor

Fonte: elaborao dos autores

Na imagem acima mostrado na parte superior o nome do Servidor e a sua respectiva

verso(3.3.2) e a data atual do servidor. Abaixo do titulo mostrado as informaes bsica do
sistema:
Tabela 1 - Informaes do servidor
Hostname
CPU
Kernel
Memoria do sistema
Uptime
Load (carga)

identificao da do servidor
configurao do processor
verso do kernel do linux
tamanho da memria atual
tempo ligado
quantidade de carga utilizada(atual, mxima, mdia ),

Profile

valores so tratados na casa do 0 a 1.0

arquivo de configurao do servidor
Por padro o ZEROSHELL informa nesta tela a identificao do IP de configurao

via navegador e os seus respectivos dados de acesso (login e senha).

MENU DE COMANDOS (COMMAND MENU)
Figura 3 - menu de commandos

O menu de comandos uma das informaes que todo o administrador de rede deve
ter conhecimento. Neste menu realizado as configuraes bsicas iniciais para deixar o
servidor em condies de ser configurado.O menu identificado com letras entre < >.
Tabela 2 - informaes sobre o menu de commando
LETRA
A
D

MENU
Installation
manager
Profile Manager

Shell Prompt

Reboot

OBS
Instalao do Servidor no Disco
Rgido.
Administrao dos profiles, arquivos
de configurao personalizado, para
eventuais recuperao das
configuraes.
Administrao do servidor por linha
de comando. Utilizado para realizar a
instalao de plugins.
Reinicar o servidor.

H
U
W

Shutdown
Utilities
WiFi Manager

Change admin
password
Show Routing
Table
Show Firewall
Rules
Show Network
Interfaces
Fail-Safe Mode

IP Manager

T
F
N

Desligar o servidor.
Configurao para disponibilizar
ponto de acesso por rede sem fio.
Mudar senha de administrador.
Mostrar tabela de rotas.
Mostrar polticas de firewall.
Mostrar as interfaces de redes.
Trabalhar em modo de segurana.
Desabilita as polticas de firewall e o
acesso administrativo via navegador.
Configurao de IP das placas de
redes.

REALIZANDO A INSTALAO DO DISCO RGIDO

Para realizar a instalao no disco rgido necessrio acessar o menu abaixo indicado
pela seta vermelha, Installation Manager. Digite a letra A.
Figura 4 - Tela de instalao

Ao acessar o menu Installation Manager mostrado a lista de locais que poder ser
instalado o servidor. Nesta imagem mostrado um Harddisk identificado pelo numero 1.
Neste caso para instalar o servidor neste Device necessrio aperta o numero 1 do teclado,
para selecionar o Harddisk. Ser informado que todos os dados do disco sero deletados,
confirme digitando yes e apertando ENTER. Selecione o console que ser acessado o

servidor, digite VGA, e aperte ENTER. Aps digite null para deixar o Kernel em modo
silencioso, ou seja, carregar somente os mdulos necessrios.

Tela Installation Manager

Aguarde a concluso da instalao.

Tela de instalao do servidor

Aps a instalao ser perguntado se desejas realizar a configurao de um
Profile(arquivo que guarda as configuraes do sistema), digite YES. Dever ser respondido
algumas perguntas, como: Profile description [DEFAULT PROFILE] (nome do profile), xx:
Servidor Principal. Hostname(Nome do Servidor): digite o nome , ex: servidorprincipal.com.

Admin password(senha do administrador para acessar a administrao pelo navegador).

LDAP Base(configrao do LDAP, servidor de autenticao), ex: dc= servidorprincipal,
dc=com. KERBEROS 5 REALM, ex: SERVIDORPRINCIPAL.COM. Management
Interface( dispositivo de administrao da rede), digite qual o dispositivo da rede interna.
Defina o IP da interface, ex: 192.168.0.1. Defina a mascara de rede, ex: 255.255.255.0, Defina
o Gateway, ex: 192.168.0.1.
Aps a criao do Profile necessrio o carregamento do mesmo. Para isso digite D,
conforme mostrado abaixo.

Digite A, para selecionar o profile para ativar.

Selecione o Profile criado.

Aps selecionado o profile, ser perguntado que necessrio reiniciar o servidor, tecle
Y, para sim

CONFIGURAO DO COMPUTADOR QUE ACESSAR VIA NAVEGADOR

O servidor ZEROSHELL no possui interface grfica para a administrao dos
sistemas administrativos, isso uma vantagem, pois o sistema possui uma totalidade de 210
MB com todos os servios bsicos includos. O seu carregamento se torna muito rpido.
Destacamos tambm a segurana envolvido em no ter um sistema bsico integrado, pois
quanto menos pacotes instalado menos torna o sistema vulnervel a falhas. Essas falhas torna
o servidor sujeito a invases, comprometendo toda a estrutura de rede na organizao.
Por padro o ZEROSHELL escolhe o IP 192.168.0.75, mascara de rede 255.255.255.0.
Conforme mostrado, possvel alterar o IP do servidor atravs da criao do profile ou
atravs do menu de comando item letra I, IP Manager.
Neste momento utilizaremos uma mquina WINDOWS XP SP3. As mesmas
configuraes so vlidas para qualquer sistema operacional.
Aps inicializao do Sistema Operacional necessrio deixar o endereo IP na
mesma faixa de rede do servidor. Para isso teremos que acessar as configuraes da placa de
rede e atribuir manualmente o IP da mesma faixa do servidor.

Configurao do IP no computador que acessar via navegador

Na imagem acima temos a configurao manual do endereo IP do computador que

administrar o servidor. Erros comuns so atribuir o mesmo IP do servidor ao computador que
acessar o sistema. No item sinalizado pela letra A(colocar o IP do computador), no item
B(necessrio definir a mascara de rede, a mesma atribuda no IP do servidor), no item
C(atribuir o computador que ser o porto para a rede externa, neste caso, por padro defina o
mesmo IP do servidor ZEROSHELL).
ACESSANDO O SERVIDOR VIA NAVEGADOR
Utilizaremos o navegador Mozila Firefox para acessar a rea administrativa do
servidor atravs do sistema operacional WINDOWS XP SP3. Aps abrir o navegador
necessrio informar o endereo do servidor

Navegador do computador que acessar o servidor via navegador

Algumas observaes so os itens A (endereo do servidor ZEROSHELL), e no item
B teremos que adicionar exceo para o certificado, visando manter uma conexo segura.
Devemos baixar o certificado de acordo com a imagem abaixo e incorporar na lista de
entidades certificadoras.

Download do certificado de autenticao, parte 1

Download do certificado de autenticao, parte 2

A incorporao do certificado do ZEROSHELL no Mozila Firefox realizado

seguindo o caminho do menu 1- FERRAMENTAS, 2- Opes, 3- Avanado, 4- Aba
criptografia, 5- Item certificado, 6- Aba autoridades, 7- Importar. Conforme a imagem abaixo.

Importar certificado de autoridade.

Seleo do arquivo da certificadora, parte 1

Seleo do arquivo da certificadora, parte 2

Por questes de segurana o administrador de rede dever atentar que o arquivo de

certificao o mesmo que foi fornecido no endereo do servidor.
O ZEROSHELL apresenta uma tela inicial bem organizada e de fcil visualizao com
os itens de configurao adequados para quem administrar os servios.

A
I

B
C

E
D

L
G
M

H
Tela inicial do servidor ZEROSHELL

Abaixo ser mostrado as observaes referente aos itens da figura acima relacionado.
LETR
A
A

OBSERVAO
- nesta parte exibido a verso do servidor
- About (detalhamento da utilizao)
- Exibio da carga de conexes dos usurios logado no sistema. CNTop
(lista os usurios que utilizam as conexes)
- Opo de Logout(sair com segurana),

Reboot(reiniciar o sistema),

Shutdown (Desligar)
- Informao de hardware do servidor(Kernel, memria total, quantidade de
memria (%) usada.
- Uptime(tempo do servidor ligado)
- Graphics, visualizao de estatsticas da utilizao do uso (Carga de

trabalho, memria, etc)

Configurao de pacotes, profiles, rede, configurar o relgio do servidor, a
segurana de acesso pelo navegador, segurana de acesso por SSH,

D
E
F
G
H
I
J

Script/Cron(firewall, cron, testes de script, wifi, etc)

Pacotes disponveis para download
Mudar a linguagem do sistema
Noticias atualizada sobre o servidor
Pacotes instalados
Ultimas registros no log do sistema
Monitorao de alertas do sistema
Menu de configurao do servidor, acesso a logs, testes de ping,
configurao dos alertas de monitoramento(envio de alertas por email e

SMS)
Administrao de usurios, grupos, LDAP, RADIUS, contas dos usurios,

configurao do portal captivo

Configurao de rede (hosts, roteamento, DNS, DHCP, VPN, Qualidade do

Servio, Balanceamento de carga de rede

Configurao do Firewall(modo interativo), Proxy transparente com bloqueio
de paginas(blacklist) e permisso de acesso a pginas (whitelist), Protocolos
de certificao e autenticao.

ADMINISTRAO DOS PROFILES

Os profiles so arquivos de configurao que salva todas as informaes referente a
configurao do servidor. Podendo realizar backups de segurana e a sua restaurao.
Importante dizer que pode ter vrios profiles em um mesmo servidor, porm somente um
ativo.
Para criar um profile acessa-se no menu lateral esquerdo System>Setup, com isso a
pgina recarregada e no menu horizontal superior, acessa-se profile. A pgina ser alterada
para a pgina de gerenciamento de profiles.Conforme mostrado na figura abaixo:

Pagina de administrao de profiles

possvel realizar o backup conforme mostra a seta amarela na figura acima. gerado
um arquivo .bck, que poder ser importado para alguma futura instalao de servidor.

Arquivo de backup do profile

Caso deseje criar um novo profile basta selecionar a partio e clicar em Create Profile(figura
xxx ) ser aberta um popup com informaes a serem inseridas( figura xx )

Cria
o de profile

Popup de criao de Profile

Criar profile uma grande ferramenta do ZEROSHELL, garante que teremos sempre
configuraes personalizadas e seguras, restaurando as configuraes a qualquer momento.
CONFIGURAES DE REDE
A configurao da rede se torna de fcil administrao quando usamos o navegador
para a administrao. possvel configurar o IP do servidor, criar VLAN, definir o
GATEWAY, configurar a NAT(figura xx), criao de nova VPN, adicionar modem 3G(Figura
xx ), etc.

Pagina de configurao de rede

No exemplo da figura abaixo temos duas placas de redes, sendo que uma aponta para a
rede interna(esquerda) e a outra aponta pra a rede externa(direita). Conforme figura abaixo.

Configurao da NAT
Podemos adicionar um modem 2G/3G de forma rpida. Realizamos testes com modem
2G/3G, obtendo resultado satisfatrio, para isso basta plugarmos na servidor aonde encontrase o ZEROSHELL na porta USB o modem 2G/3G da operadora. O ZEROSHEL j localiza a
porta aonde est plugado o modem e oferece as opes de configurao. O modem 2G/3G se
torna um importante aliado, pois podemos usar como balanceamento na conexo e em caso de
perda do sinal da internet o 2G/3G entra em ao e no deixa os servios com a rede externa
seja derrubada. Conforme figura abaixo.

Configurao de modem 2G/3G

CONFIGURANDO A HORA DO SERVIDOR

A configurao da hora do servidor importante, pois facilita a auditoria nos Logs
gerados pelo servidor. O servidor possui a opo de sincronizar com os servidores NTP ou
realizar de forma manual a configurao da hora.

Acesso da configurao da hora do sistema

Configurao da hora do sistema

SEGURANA NO ACESSO VIA NAVEGADOR E SSH
A administrao do servidor realizada pelo navegador, por questes de segurana
devemos permitir somente computadores autorizados para acessar o IP do servidor, bem como
a utilizao do SSH. Por padro o ZEROSHELL permite o acesso para qualquer computador
da rede(Figura xxx), visando as boas prticas de segurana, iremos definir somente um
computador para a realizao das configuraes do servidor.

Configurao padro do ZEROSHELL para acesso da rea administrativa via navegador

A configurao de segurana dever ser iniciado desabilitando a opo Auto-autorize
LAN( autorizar automaticamente todos da rede), aps isso dever ser fornecido o IP da
maquina que ir administrar o servidor, bem como a interface. Como boas prticas de

segurana, necessrio que a mquina que ir administrar tenha o seu IP amarrado pelo MAC
da placa de rede, atravs da configurao do DHCP(demonstrado no CAP xxx).

Configurao de segurana de acesso pelo navegador

Teste de segurana do acesso administrativo pelo navegador

A segurana no acesso pelo SSH feita de maneira igual ao do acesso no navegador,
porm por padro o SSH no est habilitado, devendo ser habilitado para que se possa realizar
as configuraes desejadas.

Configurao da segurana de acesso pelo SSH

Programa PUTTY para acesso via SSH

Servidor ZEROSHELL acessado atravs PUTTY

CONFIGURANDO O MONITOR DE ALERTAS

O ZEROSHELL possui uma opo de remessa de alertas. A importncia desse
mecanismo muito importante e til, pois o administrador de rede informado de eventos
que ocorre com o servidor, sendo um importante aliado na deteco de incidentes que podero
ocasionar problemas na rede. Em questes de segurana possvel detectar ataques de
negao de servio, ataques de fora bruta, etc. Os alertas podem ser configurados para ser
enviados para o e-mail ou via SMS.
Por padro o envio de email e SMS esto desativados, devendo ser configurado e
ativados manualmente, conforme mostrado na figura abaixo.

Tela de configurao de envio de alertas

CONFIGURANDO DHCP
A configurao do DHCP realizado pelo menu esquerdo NETWORK>DHCP. Por
padro o ZEROSHELL deixa desabilitado o DHCP. Para iniciar os servios necessrio
primeiro configurar uma nova SUBNET (figura xxx). O servidor permite que seja
disponibilizado at 3(trs) faixas de IP personalizadas, configurao do GATEWAY, DNS
padro. possvel realizar de forma rpida a fixao do IP por MAC. Caso o administrador
queira adicionar opes no DHCP possvel realizar atravs do boto advanced.

Pgina de configurao inicial do DHCP

Ao clicar em NEW aberto uma janela de definio da subnet. O servidor lista as
placas de redes disponveis. Necessrio neste momento informar a placa de rede que est
configurada para ser a interna a rede. Aps a configurao o DHCP ser ativado
automaticamente. Na figura xxx , definimos um range de IP 192.168.0.10 a 192.168.0.15, ou
seja, somente ser fornecido IPS nesta faixa. Definimos tambm o IP pelo MAC do
computador que acessa via navegador. Foi definido tambm o GATEWAY e o DNS do
servidor. Todos os computadores conectados a rede recebero por padro utilizaro essas
configuraes. A opo LEASES, mostra a tabela de IPS dos computadores das faixas de IPS
configuradas (figura xxx). H a possibilidade de exibir somente os computadores ativos no
momento, basta selecionar a opo Show only active leases (mostrar somente os ativos).

Janela de definio da subnet da rede

Pagina de configurao do DHCP

Tabela de computadores que receberam IP atravs do DHCP.

CONFIGURANDO PROXY TRANSPARENTE
O ZEROSHELL trabalha com Proxy transparente e com o antivrus ClamAV. Usar o
Proxy de forma transparente facilita a administrao, tendo em vista que os navegadores no
sero configurados. O Proxy transparente captura automaticamente todas as solicitaes dos
clientes pela porta 80. Utilizar o Proxy do ZEROSHELL se torna mais seguro devido a
utilizao do antivrus ClamAV que possui atualizao diria automtica(definido pelo
usurio atravs da configurao Number of checks per Day) e ainda verifica vrus nas
imagens.Por padro o Proxy no habilitado automtica, tendo que ser habilitado atravs da

marcao do ENABLE na pagina de administrao do Proxy. O servidor utiliza de duas

opes para a filtragens de pginas, a BLACKLIST(lista negra) e a WHITELIST(lista
branca). A BLACKLIST contem todos os sites no permitidos para os usurios. Basta
adicionar os sites boto manager e deixar a opo ENABLE (habilitado) ativo. Para bloquear
todas as pginas do site, basta adicionar o /* ao final de cada site, exemplo:
www.terra.com.br/*.

Pagina de gerenciamento de acessos aos sites

Para utilizar o Proxy necessrio especificar a placa de rede que estar sendo
capturada. Para isso na diviso HTTP Capturing Rules, clica-se no boto com o smbolo de
+ e ser aberta uma pgina (como representada na figura 18), no campo Action selecionase Capture Request, no campo Source Interface seleciona-se a interface de onde os dados
vo ser capturados, no caso a interface interna, no campo Source IP o endereo IP da
mquina de origem e no campo Destination IP o endereo IP da mquina de destino, caso
no preencha esse campo a regra valer para todas as mquinas da rede. Aps os campos
preenchidos clica-se no boto Save.

Pgina de gerenciamento de captura do proxy

Pagina inicial do servio de Proxy

Pgina de acesso no autorizado do Proxy transparente

Por padro as pginas de erro so carregadas na linguagem ingls, para realizar a
mudana preciso acessar via SSH ou atravs do servidor(tecla o arquivo encontrado em /
root/kerbynet.cgi/template/havp.conf

(figura

xxx).

,e

descomentar

linha

TEMPLATEPATH /usr/local/etc/havp/templates/en. Para modificar para linguagem brasileira

TEMPLATEPATH /usr/local/etc/havp/templates/br (figura xxx).

Cami
nho arquivo de configurao havp.conf

Arquivo de configurao havap.config

CONFIGURANDO O FIREWALL
O firewall do ZEROSHELL um forte aliado para a proteo da rede. A sua
configurao muito fcil de ser implementada. Encontramos nas configuraes do servidor o
bloqueio de aplicaes (camada 7). Existe uma lista com os principais programas e
protocolos. H duas maneiras de configurar o firewall, atravs da interface grfica, ou atravs
dos comandos. Primeiramente pelo modo dos comandos, para isso na pgina web do
ZeroShell no menu vertical esquerdo acessa-se System > Setup a pgina ser redirecionada
para a pgina inicial da configurao do ZeroShell, no menu superior acessa-se
Startup/Cron ir abrir uma nova janela (Figura xxx). Nessa janela na parte superior a um
objeto de seleo, seleciona-se Firewall. Nesta janela de acordo com a cadeia se insere as
regras do firewall iptables.

Pagina inicial do firewall do servidor

O ZEROSHELL por padro desabilita a utilizao do firewall no modo manual,
preciso habilitar de acordo com a seta mostrada abaixo.

Configurao manual do firewall

Para adicionar as regras no modo interface grfica, basta clicar no boto
add(adicionar) na listagem das regras na pagina inicial do firewall, que ser aberto um popup
para a colocao das regras.

Adicionar regras do firewall em modo grfico

CONFIGURAO PORTAL CAPTIVO
O Portal Captivo uma forma interativa de autenticao dos usurios da rede para a
utilizao dos servios de internet. O ZEROSHELL possibilita uma administrao desse
recurso de forma rpida e funcional. Existe opes de limitar o consumo de banda por
usurio, horrios, etc. O ZEROSHELL possui um plugin que complementa ainda mais o uso
do Portal Captivo, este se chama ZEROTRUST e aps a sua instalao colocado uma srie
de recursos extras para esse tipo de servio. A configurao a seguir realizado sem o plugin
ZEROTRUST.
O acesso do Portal Captivo feito atravs do menu no lado esquerdo(USERS>
Captive Portal). Por padro o servio encontra-se desabilitado, necessrio escolher a
interface da placa de rede interna ante de ativar o servio.

Pgina inicial do Portal Captivo

Na tela inicial mostrado os usurios conectados, bem como o seu endereo IP e
MAC. No lado direito temos alguns parmetros que podem ser habilitados, como proteo de
DoS, identificao dos clientes pelo IP ou MAC, se permitido conexo simultnea com o
mesmo login, e o tempo de validade da autenticao quando inativo as atividade.

Tela de login padro do Portal Captivo

O ZEROSHELL permite que a pgina de login seja personalizada pelo administrador
de rede. possvel tambm realizar a traduo manualmente das palavras exibidas neste

servio. Na figura xx , temos a pgina de personalizao da pgina de autenticao. Nas setas

so exibidos as principais configuraes. possvel informar ao servidor que caso de sucesso
na autenticao o usurio vai automaticamente para a sua pagina requisitada ou ento
redirecionado para outra pgina, por exemplo a intranet.

Pagina de configurao de customizao da rea de autenticao

Pgina para modificao da imagem da pgina de login

necessrio que se conhea as dimenses da imagem a ser adicionada. Para que no
fique deformado no momento de ser exibido na tela de login.

Modificao do logotipo da tela de login com a utilizao do braso da Escola de

Comunicaes
possvel a realizao da traduo da pgina. Devemos acessar o menu Language
(linguagem) para definir qual linguagem utilizar, ou customizar a mesma. preciso definir
cada palavra/frase.

Pagina de customizao da linguagem

Pgina de login aps a personalizao

A administrao dos usurios feito atravs do menu Accounting (contabilidade),
onde mostra em nmeros os usurios registrado e os seus usos na rede (trafego utilizado,
tempo conectado, etc). Nessa pgina possvel definir classes para cada grupos de usurios,
atravs do Accounting Classes, podemos definir a banda total que pode ser usuada, o tempo
de conexo, largura de banda, etc.( Figura xxx ).

Pgina de contabilidade de usos no servio de rede

Pgina de definio de classes para usurios

Para adicionar usurios necessrio acessar o menu USERS(menu esquerdo) e clicar

na aba Add (adicionar). mostrado uma pgina para a colocao dos dados do usurio, bem
como definir a que classe pertence.

Pgina de criao da conta do usurio na rede

Pgina com os dados preenchidos.

Lista dos usurios com acesso a rede

CONFIGURAO VPN