17 - IfC - Internet Firewall Connection

24/1/2014 Julio Battisti

http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 1/17

Tutorial de TCP/IP – Parte 17 – IFC – Internet Firewall

Connection (Windows XP)

Introdução:

Esta é a décima sétima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectosbásicos do protocolo TCP/IP. Na Parte 2falei sobre cálculos binários, um importantetópico para entender sobre redes, máscara de sub-rede e roteamento. Na Parte 3 faleisobre Classes de endereços, na Parte 4 fiz uma introdução ao roteamento e na Parte5apresentei mais alguns exemplos e análises de como funciona o roteamento ena Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão de umarede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz umaapresentação de um dos serviços mais utilizados pelo TCP/IP, que é o Domain NameSystem: DNS. O DNS é o serviço de resolução de nomes usado em todas as redesTCP/IP, inclusive pela Internet que, sem dúvidas, é a maior rede TCP/IP existente.Na Parte 9 fiz uma introdução ao serviço Dynamic Host Configuration Protocol – DHCP.Na Parte 10 fiz uma introdução ao serviço Windows Internet Name Services – WINS.Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicação.Na Parte 12, mostrei como são efetuadas as configurações de portas em diversosaplicativos que você utiliza e os comandos do Windows 2000/XP/2003 utilizados paraexibir informações sobre portas de comunicação. Na Parte 13 falei sobre a instalação ea configuração do protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolode roteamento dinâmico RIP e na Parte 15 foi a vez de fazer a introdução a um outroprotocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre umrecurso bem útil: O compartilhamento da conexão Internet, oficialmente conhecidacomo ICS – Internet Connection Sharing. Este recurso é útil quando você tem umapequena rede, não mais do que cinco máquinas, conectadas em rede, todas com oprotocolo TCP/IP instalado e uma das máquinas tem conexão com a Internet. Vocêpode habilitar o ICS no computador que tem a conexão com a Internet. Com isso osdemais computadores da rede também passarão a ter acesso à Internet.

Nesta décima sétima parte, aprenderemos a utilizar o IFC – Internet FirewallConnection (Firewall de Conexão com a Internet). O IFC faz parte do Windows XP e doWindows Server 2003, não estando disponível no Windows 2000. O IFC tem comoobjetivo proteger o acesso do usuário contra “ataques” e “perigos” vindos daInternet. Vou abordar a versão do Firewall baseada no Windows XP com oService Pack 2 instalado. Caso você ainda não tenha instalado o SP2,recomendo fazê-lo com a maior brevidade possível, pois, em termos desegurança, o SP2 é indispensável. Se você está usando o Windows XP sem oSP2, poderá haver diferenças nos passos práticos, descritos neste tutorial, oqual é baseado no Windows XP cm o SP2 instalado.

Introdução

Ao nos conectarmos com a Internet estamos em contato com o mundo; e o mundoem contato conosco. A Internet é uma “via de mão dupla”, ou seja, podemos acessarrecursos em servidores do mundo inteiro, porém o nosso computador também podeser acessado por pessoas do mundo inteiro, se não tomarmos alguns cuidados básicoscom segurança.

Regra número 1: Sempre utilize um bom programa de anti-vírus. Escolha o programade sua preferência, existem muitos, instale e utilize. É inadmissível não utilizar umprograma anti-vírus. Os custos são muito baixos, existindo inclusive programas

http://www.juliobattisti.com.br/artigos/windows/tcpip_p1.asp








gratuitos, em comparação com os riscos que se corre em não usar um anti-vírus.Mensagens contendo anexos com vírus, sites com conteúdo dinâmico que podemcausar danos, etc, são muitas as ameaças e o anti-vírus é capaz de nos proteger degrande parte delas. No site www.invasao.com.br, você encontra uma análisecomparativa, sobre os principais anti-vírus do mercado.

Regra número 2: Informação. Procure estar sempre atualizado sobre novos tipos devírus, novos tipos de ataques e perigos que possam comprometer a segurança do seucomputador. Para informações sobre segurança da informação consulte regularmente oseguinte site:www.invasao.com.br ewww.terra.com.br/tecnologia, bem como a minhacoluna semanal emhttp://www.juliobattisti.com.br/coluna

Regra número 3: Se você usa o Windows XP ou o Windows Server 2003, aprenda autilizar e configurar o IFC (justamente o assunto desta parte do tutorial). É o que vocêaprenderá nesta parte do tutorial. Mostrarei o que é o IFC, quais as suas funções ecomo configurá-lo para proteger o computador que você utiliza, para acessar aInternet.

Firewall de Conexão com a Internet – ICF

Se fóssemos traduzir firewallliteralmente, seria uma parede corta-foga. Estadenominação pode parecer sem sentido prático, mas veremos que a função éexatamente esta. O firewall é como se fosse uma parede, um proteção, colocada entreo seu computador e a Internet. O fogo neste caso seriam os ataques e demais perigosvindos da Internet. A função do Firewall é bloquear (cortar) estes perigos (fogo). UmFirewall pode fazer mais do que isso, ele também pode ser utilizado para bloqueardeterminados tipos de tráfegos a partir do seu computador para a Internet. Estautilização é mais comum em redes de grandes empresas, onde existe um Firewall entrea rede da empresa e a Internet. Todo acesso à Internet passa, obrigatoriamente, peloFirewall. Através de configurações adeqüadas é possível bloquear determinados tipos deinformações que não tem a ver com o trabalho dos funcionários. Por exemplo,podemos, através do Firewal, impedir o acesso a arquivos de vídeo e áudio. Mas estenão é o caso do uso do ICF, o qual é mais indicado para um computador conectadodiretamente à Internet ou para uma pequena rede na qual um dos computadores temacesso à Internet e compartilha esta conexão com os demais computadores (paradetalhes sobre o compartilhamento de conexão, consulte aParte 16). Na Figura a seguirtemos um diagrama que ilustra a função de um Firewall:

Função do Firewall

http://www.invasao.com.br/

http://www.invasao.com.br/

http://www.terra.com.br/tecnologia

http://www.juliobattisti.com.br/coluna



A utilização do ICF depende da configuração que estamos utilizando, ou seja, se temosum único computador, uma pequena rede ou uma rede empresarial. Vamos considerarestas três situações distintas:

Um único computador conectado à Internet, quer seja via uma conexão dial-up ou via umaconexão de acesso rápido: Para esta situação configuramos o ICF no computador que estáconectado à Internet. O ICF protejerá o computador de uma série de ataques originados naInternet.Uma pequena rede onde somente um computador tem conexão com à Internet: Nestassituações é comum o computador que tem acesso à Internet, compartilhar esta conexão com osdemais computadores da rede (veja a Parte 16 deste tutorial). Neste caso, quando o computadorque tem acesso à Internet estiver conectado, todos os demais passarão a ter acesso à Internet.Ou seja, existe um único ponto de acesso à Internet que é o computador no qual existe umaconexão, quer seja dial-up ou de acesso rápido. Nesta situação temos que proteger ocomputador que está conectado à Internet, com isso protegeremos também os demaiscomputadores da rede. Nesta configuração, configuramos o computador com acesso à Internetpara usar o ICF.Uma rede empresarial com um grande número de computadores ligados em rede: Nestescasos também é comum existir um único ponto de acesso à Internet, o qual é compartilhado paratodos os computadores da rede. Porém para grandes redes empresariais é exigido um alto nívelde sofisticação, capacidade de bloqueio e filtragem e proteção que somente produtos específicossão capazes de fornecer. Nestas situações é comum existir um conjunto de equipamentos eprogramas que atua como um Firewall para toda a rede da empresa. Obviamente que nestassituações não é indicado o uso do ICF do Windows XP.

O ICF é considerada uma firewall "de estado". Ela monitora todos os aspectos dascomunicações que cruzam seu caminho e inspeciona o endereço de origem e dedestino de cada mensagem com a qual ele lida. Para evitar que o tráfego não solicitadoda parte pública da conexão (a Internet) entre na parte privada da rede (o seucomputador conectado à Internet), o ICF mantém uma tabela de todas ascomunicações que se originaram do computador no qual está configurado o ICF.

No caso de um único computador, o ICF acompanha o tráfego originado docomputador. Quando usado com o compartilhamento de conexão, no caso de umapequena rede com o Windows XP, o ICF acompanha todo o tráfego originado nocomputador com o ICF habilitado e nos demais computadores da rede. Todo o tráfegode entrada da Internet é comparado às entradas na tabela e só tem permissão paraalcançar os computadores na sua rede quando houver uma entrada correspondente natabela mostrando que a troca de comunicação foi iniciada na rede doméstica.

Na prática o que acontece o seguinte: quando você acessa um recurso da Internet,por exemplo acessa o endereço de um site, o computador que você está usando, enviapara a Internet uma requisição, solicitando que a página seja carregada no seuNavegador, por exemplo. Assim pode acontecer com todos os computadores da rede,cada um enviando as suas requisições. O ICF faz uma tabela com todas as requisiçõesenviadas para a Internet. Cada informação que chega no ICF, vinda da Internet éverificada. Se esta informação é uma resposta a uma das requisições que encontra-sena tabela de requisições, significa que esta informação pode ser enviada para ocomputador que fez a requisição. Se a informação que está chegando, nãocorresponde a uma resposta de uma das requisições pendentes, significa que pode serum ataque vindo da Internet, ou seja, alguém tentando acessar o seu computador ou asua rede local. Este tipo de informação é bloqueada pelo ICF. Vejam que desta forma oICF está protejando o seu computador, evitando que informações não solicitadas (nãocorrespondentes a respostas para requisições enviadas) possam chegar até o seucomputador ou a sua rede, neste caso o ICF está “cortando o fogo” vindo da Internet.

Podemos configurar o ICF para simplesmente bloquear este tipo de informação nãosolicitada ou, para além de bloquear, gerar um log de registro, com informações sobreestas tentativas. Aprenderemos a fazer estas configurações nos próximos tópicos.



Também podemos configurar o ICF para permitir a entrada de informações quecorrespondem a determinados serviços. Por exemplo, se você tem uma conexão 24horas e utilzia o seu computador como um servidor Web, no qual está disponível umsite pessoal, você deve configurar o ICF para aceitar requisições HTTP, caso contrário,o seu computador não poderá atuar como um servidor Web e todas as requisições dosusuários serão bloqueadas pelo ICF. Também aprenderemos a fazer estasconfigurações nos próximos tópicos.

Ao ativar o ICF, toda a comunicação de entrada, vinda da Internet, será examindada.Alguns programas, principalmente os de email, podem apresentar um comportamentodiferente quando o ICF estiver ativado. Alguns programas de email pesquisamperiodicamente o servidor de email para verificar se há novas mensagens, enquantoalguns deles aguardam notificação do servidor de email. As notificações vindas doservidor não terão requisições correspondentes na tabela de requisições e com issoserão bloqueadas. Neste caso o cliente de email deixaria de receber as notificações doservidor.

O Outlook Express, por exemplo, procura automaticamente novas mensagens emintervalos regulares, conforme configuração do Outlook. Quando há novas mensagens,o Outlook Express envia ao usuário uma notificação. A ICF não afetará ocomportamento desse programa, porque a solicitação de notificação de novasmensagens é originada dentro do firewall, pelo próprio Outlook. O firewall cria umaentrada em uma tabela indicando a comunicação de saída. Quando a resposta à novamensagem for confirmada pelo servidor de email, o firewall procurará e encontrará umaentrada associada na tabela e permitirá que a comunicação se estabeleça. O usuário,em seguida, será notificado sobre a chegada de uma nova mensagem.

Nota: No entanto, o Outlook do Office 2000, é conectado a um servidor MicrosoftExchange que utiliza uma chamada de procedimento remoto (RPC) para enviarnotificações de novos emails aos clientes. Ele não procura novas mensagensautomaticamente quando está conectado a um servidor Exchange. Esse servidor onotifica quando chegam novos emails. Como a notificação RPC é iniciada no servidorExchange fora da firewall, não no Outlook do Office 2000, que está dentro da firewall, oICF não encontra a entrada correspondente na tabela e não permite que as mensagensRPC passem da Internet para a rede doméstica. A mensagem de notificação de RPC éignorada. Os usuários podem enviar e receber mensagens, mas precisam verificar apresença de novas mensagens manualmente, ou seja, a verificação de novasmensagens tem que partir do cliente.

Como ativar/desativar o Firewall de Conexão com a Internet

Para ativar/desativar o Firewall de Conexão com a Internet, siga os passos indicados aseguir (Windows XP Professional):

1. Abra o Painel de controle: Iniciar -> Painel de controle.

2. Se você estiver no modo de exibição por Categoria dê um clique no link Alternarpara o modo de exibição clássico. Se você já estiver no modo de exibição clássico vápara o próximo passo.

3. Todas as configurações do Firewall de Conexão são feitas através da opção Firewalldo Windows, do Painel de Controle. Dê um clique duplo na opção Firewall do Windows.

4. Será aberta a janela Firewall do Windows. Se você tiver mais de uma conexão derede (por exemplo, uma conexão de rede local e uma conexão via Modem), você



poderá habilitar ou desabilitar o IFC, individualmente, em cada conexão. Na janelaFirewall do Windows, dê um clique na guia Avançado. Será exibida a janela indicada naFigura a seguir. No nosso exemplo, temos duas conexões de Rede local (Conexão locale Conexão local 2) e o Firewall está habilitado nas duas conexões. Para habilitar oFirewall, basta marcar a caixa de seleção ao lado da respectiva conexão. Paradesabilitar o Firewall em um ou mais conexões, basta desmarcar a caixa de seleção, aolado da respectiva conexão.

A guia Avançado das propriedades da conexão Internet

5. A recomendação é de sempre manter o IFC ativado, em todas as conexões derede que você tiver. Com isso você irá garantir um nível maior de proteção, contra umasérie de ameaças, vindas da Internet.

6. Após ter feito as configurações desejadas, clique em OK, para aplicá-las e fechara janela Firewall do Windows.

Nota: Para ativar/desativar o ICF você deve ter feito o logon como Administrador oucomo um usuário com permissões de Administrador. Para todos os detalhes sobre acriação e administração de usuários no Windows XP, consulte o Capítulo 6 do meulivro: “Windows XP Home & Professional Para Usuários e Administradores – SegundaEdição”.

Como ativar/desativar o log de Segurança do ICF

O log de segurança da Firewall de conexão com a Internet (ICF) permite que você



escolha quais as informações serão registradas no log. Com o uso do Log deSegurança é possível:

Registrar em log os pacotes eliminados, isto é, pacotes que foram bloqueados pelo Firewall. Essaopção registrará no log todos os pacotes ignorados que se originarem da rede doméstica ou depequena empresa ou da Internet.

Registrar em log as conexões bem-sucedidas, isto é, pacotes que não foram bloqueados. Essaopção registrará no log todas as conexões bem-sucedidas que se originarem da rede domésticaou de pequena empresa ou da Internet.

Quando você marca a caixa de seleção Registrar em log os pacotes eliminados(veremos como fazer isso no próximo tópico), as informações são coletadas a cadatentativa de tráfego pela firewall a qual tenha sido detectada e negada/bloqueada peloICF. Por exemplo, se as configurações do protocolo ICMP não estiverem definidas parapermitir solicitações de entrada, como as enviadas pelos comandos Ping e Tracert, euma solicitação deste tipo, for recebida de fora da rede, ela será ignorada/bloqueada eserá feito um registro no log. Os comandos ping e tracert são utilizados para verificarse computadores de uma rede estão conectados a rede. Estes comandos sãobaseados em um protocolo chamado ICMP – Internet Control Message Protocol. O ICFpode ser configurado para não aceitar este protocolo (aprenderemos a fazer estasconfigurações mais adiante). Neste caso, toda vez que utilizarmos os comandos pingou tracert, será feita uma tentativa de trafegar informações usando o protocolo ICMP,o que será bloqueado pelo Firewall e ficará registrado no log de segurança.

Quando você marca a caixa de seleção Listar conexões de saída bem-sucedidas, sãocoletadas informações sobre cada conexão bem-sucedida que passe pela firewall. Porexemplo, quando alguém da rede se conecta com êxito a um site da Web usando oInternet Explorer, é gerada uma entrada no log. Devemos ter cuidado com esta opção,pois dependendo do quanto usamos a Internet, ao marcar esta opção será gerado umgrande número de entradas no log de segurança do ICF, embora seja possível limitar otamanho máximo do arquivo no qual são gravadas as entradas do log, conformeaprenderemos mais adiante.

O log de segurança é produzido com o formato de arquivo de log estendido no padrãoW3C, que é um formato padrão definido pela entidade que define padrões para ainternet, o W3. Maiores informações no site: www.w3.org. O arquivo no qual está o logde segurança é um arquivo de texto comum, o qual pode ser lido utilizando um editorde textos como o Bloco de notas.

Como configurar o log de segurança do IFC:

Por padrão, ao ativarmos o ICF, o log de segurança não é ativado. Para ativá-lo, de talmaneira que passem a ser registrados eventos no log de segurança, siga os passosindicados a seguir (Windows XP):

1. Abra o Painel de controle: Iniciar -> Painel de controle.


3. Todas as configurações do Firewall de Conexão são feitas através da opçãoFirewall do Windows, do Painel de Controle. Dê um clique duplo na opção Firewall doWindows.

4. Será aberta a janela Firewall do Windows. Na janela Firewall do Windows, dê um

http://www.w3.org/



clique na guia Avançado. Será exibida a guia de Configurações Avançadas.

5. Na guia Avançado, dê um clique no botão Configurações..., ao lado da opção Logde segurança.

6. Será exibida a janela Configurações de log, com as opções indicadas na Figura aseguir:

Configurando opções do log de segurança do ICF

Nesta guia temos as seguintes opções:

Registrar em logo os pacotes eliminados: Marque esta opção para que todos os pacotesignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados nolog de segurança do ICF.Registrar em log as conexões bem-sucedidas: Marque esta opção para que todas as conexõesbem-sucedidas que se originaram da sua rede local ou da Internet serão registradas no log desegurança.Campo Nome: Neste campo definimos o nome do arquivo onde serão gravadas as entradas dolog de segurança. Por padrão é sugerido o seguinte caminho: C:\Windows\pfirewall.log.Substitua C:\Windows pela pasta onde está instalado o Windows XP, caso este tenha sidoinstalado em outra pasta.Limite de tamanho: Define o tamanho máximo para o arquivo do log de segurança. O tamanhomáximo admitido para o arquivo de log é 32.767 quilobytes (KB). Quando o tamanho máximo foratingido, as entradas de log mais antigas serão descartadas.

7. Marque a opção Registrar em log os pacotes eliminados.

8. Marque a opção Registrar em log as conexões bem sucedidas.

9. Dê um clique no botão OK para aplicar as novas configurações.

10. Você estará de volta à guia Avançado da janela de Configurações do Firewall. Dêum clique no botão OK para fechar esta janela.

11. Faça uma conexão com a Internet e acesse alguns sites, abra o Outlook e enviealgumas mensagens. Isto é para gerar tráfego através do Firewall, para que sejamgeradas entradas no log de segurança.

Agora vamos abrir o arquivo e ver os eventos que foram gravados no log desegurançao.



12. Abra o bloco de Notas.

13. Abra o arquivo definido como aqruivo de log, que por padrão é o arquivoC:\Windows\pfirewall.log. Caso você tenha alterado esta opção, abra o respectivoarquivo.

Na Figura a seguir temos uma visão de algumas entradas que foram gravadas noarquivo de log:

O arquivo do log de segurança.

Observe que cada entrada segue um padrão definido, como por exemplo:

2002-03-18 23:07:57 DROP UDP 200.176.2.10 200.176.165.149 53 3013 379- - - - - - -

Data Hora Ação Prot. End. IP origem End. IP Destino po pdtamanho.

Onde:

Prot. = Protocolo utilizado para comunicação.po = Porta de origem.pd = Porta de destino.

Nota: Estas informações são especialmente úteis para técnicos em segurança deredes, os quais conhecem bem o protocolo TCP/IP, para que eles possam analisar aorigem de possíveis ataques. Para mais detalhes sobre Portas no Protocolo TCP/IP,consulte a Parte 12deste tutorial.

14. Feche o arquivo de log.

Nota: Para desabilitar o log de segurança, repita os passos de 1 a 6 e desmarque asopções desejadas. Por exemplo, se você não deseja registrar um log das conexõesbem sucedidas, as quais não representam perigo de ataque, desmarque a opção Registrar em log as conexões bem sucedidas.

Habilitando serviços que serão aceitos pelo ICF



Se você tem uma conexão permanente com a Internet e quer utilizar o seucomputador com Windows XP como um servidor Web (disponibilizando páginas), umservidor ftp (disponibilizando arquivos para Download) ou outro tipo de serviço daInternet, você terá que configurar o ICF para aceitar requisições para tais serviços.Lembre que, por padrão, o ICF bloqueia todo tráfego vindo da Internet, que não sejaresposta a uma requisição da rede interna, enviada pelo usuário. Se você vai utilizar oseu computador como um Servidor, o tráfego vindo de fora corresponderá asrequisição dos usuários, requisições estas que terão que passar pelo ICF para chegarematé o servidor e ser respondidas.

Por padrão nenhum dos serviços está habilitado, o que garante uma maior segurança.Para habilitar os serviços necessários, siga os seguintes passos:

1. Faça o logon com uma conta com Permissão de Administrador e abra o Painel decontrole: Iniciar -> Painel de controle.



4. Será aberta a janela Firewall do Windows. Se você tiver mais de uma conexão derede (por exemplo, uma conexão de rede local e uma conexão via Modem), vocêpoderá fazer as configurações de serviços, individualmente, em cada conexão. Najanela Firewall do Windows, dê um clique na guia Avançado. No nosso exemplo, temosduas conexões de Rede local (Conexão local e Conexão local 2) e o Firewall estáhabilitado nas duas conexões. Para configurar os serviços de uma das conexões, cliquena respectiva conexão para marcá-la e dê um clique no botão Configurações...,ao ladoda lista de conexões

5. Será exibida a janela Configurações avançadas. Dê um clique na guia Serviços,será exibida a janela indicada na Figura a seguir:



Habilitando/desabilitando serviços para o ICF.

Para habilitar um determinado serviço, basta marcar a caixa de seleção ao lado dorespectivo serviço. Ao clicar em um determinado serviço, será aberta,automaticamente, uma janela Configurações de serviço. Esta janela vem com o valorpadrão para os parâmetros de configuração do respectivo serviço. Somente altereestes valores se você souber exatamente o que cada parâmetro significa, pois aoinformar parâmetros incorretamente, o serviço deixará de funcionar.

Você também pode utilizar o botão Adicionar..., para adicionar novos serviços, nãoconstantes na lista.

6. Após ter habilitados os serviços necessários, dê um clique no botão OK paraaplicar as alterações.

7. Você estará de volta à janela Propriedades da conexão. Dê um clique no botãoOK para fechá-la.

Configurações do protocolo ICMP para o Firewall

Conforme descrito anteriormente, o protocolo ICMP é utilizado por uma série deutilitários de rede, utilitários estes que são usados pelo Administrador da rede para fazertestes de conexões e monitorar equipamentos e linhas de comunicação. Por padrão oICF bloqueia o tráfego ICMP. Nós podemos personalizar a maneira como o tráfegoICMP será tratado pelo ICF. Podemos liberar todo o tráfego ICMP ou apenasdeterminados tipos de uso, para funções específicas.

Para configurar o padrão de tráfego ICMP através do Firewall, siga os passos indicadosa seguir:



1. Faça o logon com uma conta com Permissão de Administrador e abra o Painel decontrole: Iniciar -> Painel de controle.



4. Será aberta a janela Firewall do Windows. Se você tiver mais de uma conexão derede (por exemplo, uma conexão de rede local e uma conexão via Modem), vocêpoderá fazer as configurações do protocolo ICMP, individualmente, em cada conexão.Na janela Firewall do Windows, dê um clique na guia Avançado. No nosso exemplo,temos duas conexões de Rede local (Conexão local e Conexão local 2) e o Firewall estáhabilitado nas duas conexões. Para configurar as opções do protocolo ICMP de uma dasconexões, clique na respectiva conexão para marcá-la e dê um clique no botãoConfigurações...,ao lado da lista de conexões

5. Será exibida a janela Configurações avançadas. Dê um clique na guia ICMP, seráexibida a janela indicada na Figura a seguir:

Configurando o tráfego ICMP através do Firewall.

Na guia ICMP podemos marcar/desmarcar as seguintes opções:

Permitir solicitação de eco na entrada: Se esta opção estiver marcada, as mensagens enviadaspara este computador serão repetidas para o remetente. Por exemplo, se alguém de fora der umping para este computador, uma resposta será enviada. Se esta opção estiver desmarcada ocomputador não responderá a comandos como pint e tracert.



Permitir solicitação de carimbo de data/hora de entrada: Os dados enviados para ocomputador podem ser confirmados por uma mensagem indicando quando foram recebidos.

Permitir solicitação de máscara de entrada: A máscara de entrada é um parâmetro deconfiguração do protocolo TCP/IP, parâmetro este que é utilizado pelo protocolo para definir seduas máquinas que estão tentando se comunicar, pertencem a mesma rede ou a redesdiferentes (veja todos os detalhes na Parte 2). Se este parâmetro estiver marcado, ocomputador será capaz de fornecer diversas informações sobre a rede a qual ele está conectado.Esta opção é importante quando estamos utilizando programas de gerenciamento de rede que,utilizam o protocolo ICMP para obter informações sobre os equipamentos da rede.

Permitir solicitação de roteador de entrada: Se esta opção estiver marcada o computador serácapaz de responder às solicitações sobre quais rotas ele conhece.

Permitir destino de saída inacessível: Os dados enviados pela Internet, tendo como destinoeste computador e, que não conseguiram “chegar” até ele devido a algum erro serãodescartados e será exibida uma mensagem explicando o erro e informando que o destino estáinacessível. A mensagem será exibida no computador de origem, o qual tentou enviar dados paraeste computador, dados estes que não conseguiram chegar.

Permitir retardamento de origem de saída: Quando a capacidade de processamento de dadosde entrada do computador não for compatível com a taxa de transmissão dos dados que estãochegando, os dados serão descartados e será solicitado ao remetente que diminua a velocidadede transmissão.

Permitir problema no parâmetro de saída: Se este computador descartar dados devido a umproblema no cabeçalho dos pacotes de dados, ele enviará ao remetente uma mensagem de erroinformando que há um cabeçalho inválido.

Permitir hora de saída ultrapassada: Se o computador descartar uma transmissão de dados porprecisar de mais tempo para concluí-la, ele enviará ao remetente uma mensagem informando queo tempo expirou.

Permitir redirecionamento: Os dados enviados pelo computador seguirão uma rota alternativa,se uma estiver disponível, caso o caminho (rota) padrão tenha sido alterado.

6. Marque as opções que forem necessárias, de acordo com as funções que estiverdesempenhando o comuptador.

7. Após ter marcado as opções necessárias, dê um clique no botão OK para aplicaras alterações.

8. Você estará de volta à janela Propriedades do Firewall. Dê um clique no botão OKpara fechá-la.

Novidades do Firewall do Windows XP SP2

A primeira novidade é que o próprio nome mudou. Antes do SP2, o Firewall erareferenciado como ICF. A partir do SP2, passamos a utilizar a denominação Firewall doWindows. Com o SP2 foram introduzidas uma série de modificações, bastantesignificativas, as quais trouxeram muitas melhorias e uma maior segurança.

Novidade 01 - O Firewall do Windows é Ativado por padrão: Nas versões anteriores, antes doSP2, o Firewall vinha desativado por padrão. O usuário é que tinha que ativar o Firewall,manualmente, usando os passos descritos anteriormente. Com o SP2, o Firewall do Windows éativado por padrão, o que oferece uma maior proteção, por padrão, contra ataques e invasõesvindas da Internet. Isso também ajuda a proteger qualquer conexão de rede que sejaadicionada ao sistema, pois o Firewall será ativado, por padrão, para qualquer nova conexão derede que for adicionada.

Novidade 02 - Maior segurança no momento da inicialização: Antes do SP2, quando oWindows XP era inicializado, havia um pequeno espaço de tempo entre os serviços de redeserem inicializados e o firewall ser ativado, pequeno período este, durante o qual o computadorficava vulnerável (sem a proteção do Firewall). Com o SP2, durante a inicialização e odesligamento, o driver do firewall usa uma regra chamada “filtro de inicialização” para evitar



ataques durante esses breves períodos de tempo. Uma vez ligado e em execução, o Firewall doWindows carrega as configurações personalizadas pelo usuário e remove os filtros deinicialização. Isso torna o computador menos vulnerável a ataques durante as operações deinicialização e desligamento.

Novidade 03 - Lista de exceções do Firewall do Windows: Talvez você veja um alerta desegurança ao executar um programa que exija conexão e comunicação bidirecional (enviar ereceber dados), através de uma rede ou da Internet. Por exemplo, muitos jogos multi-usuáriosda Internet, usam portas de comunicação que são bloqueadas pelo Firewall do Windows, porpadrão. Geralmente, são as mesmas portas usadas por vírus, trojans e pelos crackers paratentar invadir e acessar indevidamente o computador do usuário. Para abrir uma porta para umjogo, você pode adicioná-lo à lista de exceções do Firewall do Windows. A porta será abertasomente quando o jogo estiver em andamento e será fechada assim que ele terminar. Com isso,as portas utilizadas por estes jogos e programas, somente ficarão abertas enquanto o jogoestiver em execução. Este bloqueio garante um elevado grau de segurança contra ataques decrackers, contra o seu computador.

Para adicionar um programa à lista de Exceções do Firewall do Windows, siga os passosindicados a seguir:

1. Faça o logon como Administrador ou com uma conta com permissão deAdministrador.

2. Abra o Painel de Controle: Iniciar -> Painel de Controle.

3. Abra a opção Firewall do Windows.

4. Na guia Geral, você tem a opção “Não permitir exceções”. Se você marcar estaopção, nenhuma exceção será permitida. Para o nosso exemplo, mantenha esta opçãodesmarcada.

5. Clique na guia Exceções. Observe que, por padrão, já vem algumas exceçõesativadas, conforme indicado na Figura a seguir:



Figura – Configurando Exceções no Firewall do Windows.

6. Para adicionar um novo programa, à lista de exceções, clique no botão Adicionarprograma. Será exibida a janela Adicionar um programa, com a lista de programasinstalados no seu computador. Clique no programa a ser adicionado e clique em OK.Você estará de volta à guia Exceções, com o novo programa já adicionado.

7. Você pode habilitar ou desabilitar as exceções, para os programas adicionados àlista de exceções. Para isso, basta marcar ou desmarcar a caixa de seleção, ao lado donome do programa.

8. Para remover um programa da lista de Exceções, clique no programa paraselecioná-lo e depois clique no botão Excluir. Será exibida uma mensagem deconfirmação. Clique em Sim, para confirmar a exclusão do programa, da lista deexceções.

9. Você pode clicar em um programa da lista para marcá-lo e depois clicar no botãoEditar. Por exemplo, clique no item Compartilhamento de Arquivo e Impressora, paramarcá-lo e depois clique no botão Editar. Será aberta a janela Editar um serviço,indicada na Figura a seguir, onde são exibidas as portas utilizadas pelo programa (nocaso o Serviço de Compartilhamento de Arquivo e Impressora). Se necessário, vocêpode desabilitar uma ou mais das portas utilizadas por um programa/serviço. Sódesabilite uma porta, se você tiver certeza do que está fazendo, com base nadocumentação do programa, pois ao desabilitar uma ou mais portas, determinadasfuncionalidades do programa em questão, poderão deixar de funcionar corretamente.



Figura – Editando as portas de um programa/serviço.

10. Após ter feito as alterações desejadas, clique em OK para fechar a janela Editarum Serviço. Você estará de volta à guia Exceções.

11. Você pode usar o botão Adicionar porta..., para adicionar uma porta específica(tanto UDP quanto TCP), à lista de exceções do Firewall. Por exemplo, se você tem umprograma que precisa utilizar a porte TCP 2500, você pode usar o botão Adicionarporta..., para adicionar esta porta à lista de exceções do Firewall do Windows. Comisso, o programa que utiliza a porta TCP 2500, poderá funcionar, normalmente, mesmocom o Firewall ativado. Observe que com isso, o Firewall do Windows nos oferece, aomesmo tempo, segurança e flexibilidade.

12. Após ter configurado as exceções desejadas, clique em OK para fechar a janelade configurações do Firewall do Windows.

Novidade 04 - Modo operacional “Ativado sem exceções”: Este recurso permite desativarfacilmente todas as exceções na lista de exceções do Firewall do Windows. Embora você precisedelas para usar determinados programas, às vezes é recomendável desativar todas as exceçõespara obter segurança máxima. Por exemplo, se você usar seu computador no ponto de acessode um aeroporto ou em um cyber café, ele estará vulnerável a vírus e outras ameaças àsegurança. Configurando o Firewall do Windows para “Ativado sem exceções” sempre que usar ocomputador em um local público, você reduzirá os riscos Quando voltar a usar o computador emuma configuração mais segura, você poderá habilitar a lista de exceções novamente semproblemas.

Para habilitar o modo operacional “Ativado sem exceções”, siga os passos indicados aseguir:




4. Na guia Geral, marque a opção “Não permitir exceções” e clique em OK.

5. Para desativar o modo operacional “Ativado sem exceções”, siga os passos de 1a 3 novamente e, na guia Geral, desmarque a opção “Não permitir exceções” e cliqueem OK



Novidade 05 - Restaurar padrões: Com o tempo, ao adicionar programas ou portas à lista deexceções do Firewall do Windows, é possível que ele seja configurado indevidamente paraaceitar tráfego de entrada não solicitado, comprometendo a segurança do computador. Nasversões anteriores do Firewall do Windows (chamado anteriormente de firewall de conexão coma Internet ou ICF), não havia uma maneira prática e rápida de reverter para as configurações epadrões originais. Esta opção permite restaurar o Firewall do Windows a suas configuraçõespadrão. Além disso, esses padrões podem ser modificados para oferecer opções de configuraçãopersonalizadas.

Para restaurar as configurações Padrão do Firewall do Windows, siga os passosindicados a seguir:




4. Clique na guia Avançado. Na guia Avançado, clique no botão Restaurar padrões,indicado na Figura a seguir:

Figura– A opção Restaurar padrões.

5. Será exibida uma mensagem de confirmação. Clique em Sim para restaurar asconfigurações padrão do Firewall do Windows.

6. Você estará de volta à janela de configurações do Firewall. Clique em OK para



fechá-la.

Conclusão

Nesta parte do tutorial mostrei como funciona o serviço firewall do Windows XP,conhecido como ICF – Internet Connection Firewall. O ICF apresenta funcionalidadesbásicas e um nível de proteção satisfatório para usuários domésticos e de pequenasredes. Para redes empresarias, sem nenhuma dúvida, faz-se necessária a utilização deprodutos projetados especificamente para proteção e desempenho. Um destesprodutos é o Internet Security and Acceleration Server – ISA Server. Maiores detalhesno seguinte endereço:http://www.microsoft.com/isaserver

Ao fazer uma conexão com a Internet estamos em contato com o mundo; e o mundoem contato conosco. A Internet é uma “via de mão dupla”, ou seja, podemos acessarrecursos em servidores do mundo inteiro, porém o nosso computador também podeser acessado por pessoas do mundo inteiro, se não tomarmos alguns cuidados básicoscom segurança.

Para nos proteger contra estes “perigos digitais”, aprendemos a habilitar e configurar oICF – Internet Connector Firewall. Aprendemos sobre o conceito de Firewall e comoconfigurar o ICF.

http://www.microsoft.com/isaserver

17 - IfC - Internet Firewall Connection

Documents

Transcript of 17 - IfC - Internet Firewall Connection