Pré-Requisitos: Conhecimento básico de redes e de Internet.
Metodologia: Habilitação e configuração do IFC.
Técnica: Descrição e exemplos práticos, passo-a-passo.

Se fóssemos traduzir firewall literalmente, seria uma “parede corta-fogo”. Esta denominação pode parecer sem sentido prático, mas veremos que a função é exatamente esta. O firewall é como se fosse uma parede, um proteção, colocada entre o seu computador e a Internet. O fogo neste caso seriam os ataques e demais perigos vindos da Internet. A função do Firewall é bloquear (cortar) estes perigos (fogo). Um Firewall pode fazer mais do que isso, ele também pode ser utilizado para bloquear determinados tipos de tráfegos a partir do seu computador para a Internet e vice-versa. Esta utilização é mais comum em redes de grandes empresas, onde existe um Firewall entre a rede da empresa e a Internet. Todo acesso à Internet passa, obrigatoriamente, pelo Firewall. Através de configurações adeqüadas é possível bloquear determinados tipos de informações que não tem  a ver com o trabalho dos funcionários. Por exemplo, é possível, através do Firewal, impedir o acesso a arquivos de vídeo e áudio. Mas este não é o caso do uso do ICF, o qual é mais indicado para um computador conectado diretamente à Internet ou para uma pequena rede na qual um dos computadores tem acesso à Internet e compartilha esta conexão com os demais computadores, usando o ICS, descrito anteriormente. Na Figura 20.28 temos um diagrama que ilustra a função de um Firewall.

Figura 20.28 Função do Firewall.

A utilização do ICF depende da configuração que estamos utilizando, ou seja, se temos um único computador, uma pequena rede ou uma rede empresarial. Vamos considerar estas três situações distintas:

• Um único computador conectado à Internet, quer seja via uma conexão dial-up ou via uma conexão de acesso rápido: Para esta situação configuramos o ICF no computador que está conectado à Internet. O ICF protegerá o computador de uma série de ataques originados na Internet.
• Uma pequena rede onde somente um computador tem conexão com à Internet: Nestas situações é comum o computador que tem acesso à Internet, compartilhar esta conexão com os demais computadores da rede, usando a funcionalidade do ICS, descrita anteriormente. Neste caso, quando o computador que tem acesso à Internet estiver conectado, todos os demais passarão a ter acesso à Internet. Ou seja, existe um único ponto de acesso à Internet que é o computador no qual existe uma conexão, quer seja dial-up ou de acesso rápido. Nesta situação temos que proteger o computador que está conectado à Internet, desta maneira estaremos protegendo todos os demais. Nesta configuração, configuramos o computador com acesso à Internet para usar o ICF.
• Uma rede empresarial com um grande número de computadores ligados em rede: Nestes casos também é comum existir um único ponto de acesso à Internet, o qual é compartilhado para todos os computadores da rede. Porém para grandes redes empresariais é exigido um alto nível de sofisticação, capacidade de bloqueio e filtragem e proteção que somente produtos específicos são capazes de fornecer. Nestas situações é comum existir um conjunto de equipamentos e programas que atua como um Firewall para toda a rede da empresa. Obviamente que nestas situações não é indicado o uso do ICF.

O ICF é considerada uma firewall "de estado". Ela monitora todos os aspectos das comunicações que cruzam seu caminho e inspeciona o endereço de origem e de destino de cada mensagem com a qual ela lida. Para evitar que o tráfego não solicitado da parte pública da conexão (a Internet) entre na parte privada da rede (o seu computador conectado à Internet), o ICF mantém uma tabela de todas as comunicações que se originaram do computador no qual está configurado o ICF. No caso de um único computador, o ICF acompanha o tráfego originado do computador. Quando usado com o compartilhamento de conexão, no caso de uma pequena rede com o Windows Server 2003, o ICF acompanha todo o tráfego originado no computador ICF e nos demais computadores da rede. Todo o tráfego de entrada da Internet é comparado às entradas na tabela e só tem permissão para alcançar os computadores na rede interna. quando houver uma entrada correspondente na tabela mostrando que a troca de comunicação foi iniciada na rede doméstica.

Na prática o que acontece é o seguinte: quando você acessa um recurso da Internet, por exemplo acessa o endereço de um site, o computador que você está usando, envia para a Internet uma requisição, solicitando que a página seja carregada no seu Navegador, por exemplo. Assim pode acontecer com todos os computadores da rede, cada um enviando as suas requisições. O ICF faz uma tabela com todas as requisições enviadas para a Internet. Cada informação que chega no ICF, vinda da Internet é verificada. Se esta informação é uma resposta a uma das requisições que encontra-se na tabela de requisições, significa que esta informação pode ser enviada para o computador que fez a requisição. Se a informação que está chegando, não corresponde a uma resposta a nenhuma das requisições pendentes, significa que pode ser um ataque vindo da Internet, ou seja, alguém tentando acessar o seu computador, a sua rede. Este tipo de informação é bloqueada pelo ICF. Vejam que desta forma o ICF está protegendo o seu computador, evitando que informações não solicitadas (não correspondentes a respostas para requisições enviadas) possam chegar até o seu computador ou a sua rede, neste caso o ICF está “cortando o fogo” vindo da Internet.

Podemos configurar o ICF para simplesmente bloquear este tipo de informação não solicitada ou, para além de bloquear, gerar um log de registro, com informações sobre estas tentativas. Aprenderemos a fazer estas configurações nos próximos tópicos.

Também podemos configurar o ICF para permitir a entrada de informações que correspondem a determinados serviços. Por exemplo, se você tem uma conexão 24 horas e utiliza o seu computador como um servidor Web, no qual está disponível um site pessoal, você deve configurar o ICF para aceitar requisições HTTP vindas da Internet, caso contrário, o seu computador não poderá atuar como um servidor Web e todas as requisições dos usuários da Internet serão bloqueadas pelo ICF. Também aprenderemos a fazer estas configurações nos próximos tópicos.

Ao ativar o ICF, toda a comunicação de entrada, vinda da Internet, será examindada, antes de ser repassada para o computador de destino. Alguns programas, principalmente os de email, podem apresentar um comportamento diferente quando o ICF estiver ativado. Alguns programas de email pesquisam periodicamente o servidor de email para verificar se há novas mensagens, enquanto alguns deles aguardam notificação do servidor de email. As notificações vindas do servidor não terão requisições correspondentes na tabela de requisições e com isso serão bloqueadas. Neste caso o cliente de email deixaria de receber as notificações do servidor.

O Outlook Express, por exemplo, procura automaticamente novas mensagens em intervalos regulares, conforme as configurações do Outlook. Quando há novas mensagens, o Outlook Express envia ao usuário uma notificação. A ICF não afetará o comportamento desse programa, porque a solicitação de notificação de novas mensagens é originada dentro do firewall, como uma requisição do próprio cliente. O firewall cria uma entrada em uma tabela indicando a comunicação de saída. Quando a resposta à nova mensagem for confirmada pelo servidor de email, o firewall procurará e encontrará uma entrada associada na tabela e permitirá que a comunicação se estabeleça. O usuário, em seguida, será notificado sobre a chegada de uma nova mensagem.

Como ativar/desativar o Firewall de Conexão com a Internet.

Para ativar/desativar o Firewall de Conexão com a Internet, faça o seguinte:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o Painel de controle.
3.         Dê um clique duplo na opção Network Connections (Conexões de rede).
4.         Serão exibidas as conexões de rede e a conexão com a Internet (ou conexões, caso você tenha mais do que uma conexão configurada). Clique com o botão direito do mouse na sua conexão Internet. No menu que surge dê um clique na opção Properties (Propriedades). Será exibida a janela de Propriedades da conexão com a Internet.
5.         Dê um clique na guia Advanced (Avançado). Serão exibidas as opções indicadas na Figura 20.29.

Figura 20.29 A guia Advanced das propriedades da conexão Internet.

6.         Nesta guia, em Internet Connection Firewall (Firewall de conexão com a Internet), selecione uma das opções a seguir:

• Para ativar o firewall de conexão com a Internet (ICF), marque a caixa de seleção Protect my computer and networking by limitting or preventing access to this computer from the Internet (Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet).
• Para desativar o firewall de conexão com a Internet (ICF), desmarque a caixa de seleção Protect my computer and networking by limitting or preventing access to this computer from the Internet (Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet).

7.         Dê um clique no botão OK para aplicar as configurações selecionadas.

Nota: Para ativar/desativar o ICF você deve ter feito o logon como Administrador ou como um usuário com permissões de Administrador.

Como ativar/desativar o log de Segurança do ICF.
O log de segurança do Firewall de conexão com a Internet (ICF) permite que usuários avançados escolham as informações a serem registradas. Com ele, é possível:

• Registrar em log os pacotes eliminados, isto é, pacotes que foram bloqueados no Firewall. Essa opção registrará no log todos os pacotes ignorados que se originarem da rede doméstica ou de pequena empresa ou da Internet.
• Registrar em log as conexões bem-sucedidas, isto é, pacotes que não foram bloqueados. Essa opção registrará no log todas as conexões bem-sucedidas que se originarem da rede doméstica ou de pequena empresa ou da Internet.

Quando você marca a caixa de seleção Registrar em log os pacotes eliminados (veremos como fazer isso no próximo tópico), as informações são coletadas a cada tentativa de tráfego pela firewall detectada e negada/bloqueada pelo ICF. Por exemplo, se as configurações do protocolo de controle de mensagens da Internet (ICMP) não estiverem definidas para permitir solicitações de eco de entrada, como as enviadas pelos comandos Ping e Tracert, e uma solicitação de eco de fora da rede for recebida, ela será ignorada e será feita uma entrada no log. Os comandos ping e tracert são utilizados para verificar se computadores de uma rede estão conectados a rede. Estes comandos são baseados em um protocolo chamado ICMP – Internet Control Message Protocol. O ICF pode ser configurado para não aceitar este protocolo (aprenderemos a fazer estas configurações mais adiante). Neste caso, toda vez que utilizarmos os comandos ping ou tracert, será feita uma tentativa de trafegar informações usando o protocolo ICMP, o que será bloqueado pelo Firewall e ficará registrado no log de segurança.

Quando você marca a caixa de seleção Listar conexões de saída bem-sucedidas, são coletadas informações sobre cada conexão bem-sucedida que passe pela firewall. Por exemplo, quando alguém da rede se conecta com êxito a um site da Web usando o Internet Explorer, é gerada uma entrada no log.  Devemos ter cuidado com esta opção, pois dependendo do quanto usamos a Internet, ao marcar esta opção será gerado um grande número de entradas no log de segurança do ICF, embora seja possível limitar o tamanho máximo do arquivo no qual são gravadas as entradas do log, conforme aprenderemos mais adiante.

O log de segurança é produzido com o formato de arquivo de log estendido W3C, que é um formato padrão definido pela entidade que define padrões para a internet, o w3c. Maiores informações no site: www.w3.org. O arquivo no qual está o log de segurança é um arquivo de texto comum, o qual pode ser lido utilizando um editor de textos como o Bloco de notas.

Como ativar opções do log de segurança:

Por padrão, ao ativarmos o ICF, o log de segurança não é ativado. Para ativá-lo, de tal maneira que passem a ser registrados eventos no log de segurança, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de Administrador.
2.         Abra o Painel de controle.
3.         Dê um clique duplo na opção Network Connections (Conexões de rede).
4.         Serão exibidas as conexões de rede e a conexão com a Internet (ou conexões, caso você tenha mais do que uma conexão configurada).
5.         Clique com o botão direito do mouse na conexão Internet, para a qual você ativou o ICF e, no menu de opções que é exibido, clique em Properties (Propriedades).
6.         Na janela de Propriedades dê um clique na guia Advanced (Avançado).
7.         Nesta guia, dê um clique no botão Settings... (Configurações...).
8.         Será exibida a janela Configurações avançadas. Dê um clique na guia Security Logging (Log de segurança). Serão exibidas as opções indicadas na Figura 20.30:

Figura 20.30 Configurando opções do log de segurança do ICF.

Nesta guia temos as seguintes opções:

• Log dropped packets (Registrar em logo os pacotes eliminados): Marque esta opção para que todos os pacotes ignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados no log de segurança do ICF.
• Log sucessful connections (Registrar em log as conexões bem-sucedidas): Marque esta opção para que todas as conexões bem-sucedidas que se originaram da rede privada ou da Internet sejam registradas no log de segurança.
• Campo Name (Nome): Neste campo definimos o nome do arquivo onde serão gravadas as entradas do log de segurança. Por padrão é sugerido o seguinte caminho: C:\Windows\pfirewall.log. Substitua C:\Windows pela pasta onde está instalado o Windows Server 2003, caso este tenha sido instalado em outra pasta.
• Size limit (Limite de tamanho): Define o tamanho máximo para o arquivo do log de segurança. O tamanho máximo admitido para o arquivo de log é 32.767 quilobytes (KB). Quando o tamanho máximo for atingido, as entradas de log mais antigas serão descartadas.

9.         Marque a opção Log dropped packets (Registrar em log os pacotes eliminados).
10.       Marque a opção Log sucessful connections (Registrar em log as conexões bem sucedidas).
11.       Dê um clique no botão OK para aplicar as novas configurações.
12.       Você estará de volta à guia Advanced da janela de Propriedades da conexão. Dê um clique no botão OK para fechar esta janela.
13.       Faça uma conexão com a Internet e acesse alguns sites, abra o Outlook e envie algumas mensagens. Isto é para gerar tráfego através do Firewall, para que sejam geradas entradas no log de segurança.

Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de segurança.

14.       Abra o bloco de Notas.
15.       Abra o arquivo definido como aqruivo de log, que por padrão é o arquivo C:\Windows\pfirewall.log. Caso você tenha alterado esta opção, abra o respectivo arquivo.

Na Figura 20.31 temos uma visão de algumas entradas que foram gravadas no arquivo de log.

Figura 20.31 O arquivo do log de segurança.

Observe que cada entrada segue um padrão definido, como por exemplo:

2002-03-18 23:07:57 DROP UDP    200.176.2.10    200.176.165.149 53 3013 379 - - - - - - -

Data            Hora        Ação    Prot.   End. IP origem  End. IP Destino   po  pd     tamanho.

Onde:

Prot.     = Protocolo utilizado para comunicação.
po        = Porta de origem.
pd        = Porta de destino.     

Nota: Estas informações são especialmente úteis para técnicos em segurança e redes, que conhecem bem o protocolo TCP/IP, possam analisar a origem de possíveis ataques. Para um curso sobre TCP/IP, consulte o livro: “TCP/IP Internet Protocolos & Tecnologias, 3ª Edição”, Fernando Albuquerque, Editoar Axcel Books – www.axcel.com.br.

16.       Feche o arquivo de log.

Nota: Para desabilitar o log de segurança, repita os passos de 1 a 10 e desmarque as opções desejadas. Por exemplo, se você não deseja registrar um log das conexões bem sucedidas, as quais não representam perigo de ataque, desmarque a opção  Log sucessful connections (Registrar em log as conexões bem sucedidas).

Habilitando serviços que serão aceitos pelo ICF.

Se você tem uma conexão permanente com a Internet e quer utilizar o seu computador com Windows Server 2003 como um servidor Web (disponibilizando páginas), um servidor ftp (disponibilizando arquivos para Download) ou outro tipo de serviço da Internet, você terá que configurar o ICF para aceitar requisições para tais serviços. Lembre que, por padrão, o ICF bloqueia todo tráfego vindo da Internet, que não seja resposta a uma requisição enviada pelo usuário. Se você vai utilizar o seu computador como um Servidor, o tráfego vindo de fora corresponderá as requisição dos usuários, requisições estas que terão que passar pelo ICF para chegarem até o servidor e ser respondidas.

Por padrão nenhum dos serviços está habilitado, o que garante uma maior segurança. Para habilitar os serviços necessários, siga os seguintes passos:

1.         Faça o logon como Administrador ou com uma conta com permissão de Administrador.
2.         Abra o Painel de controle.
3.         Dê um clique duplo na opção Network Connections (Conexões de rede).
4.         Serão exibidas as conexões de rede e a conexão com a Internet (ou conexões, caso você tenha mais do que uma conexão configurada).
5.         Clique com o botão direito do mouse na conexão Internet, para a qual você ativou o ICF e, no menu de opções que é exibido, clique em Properties (Propriedades).
6.         Na janela de Propriedades dê um clique na guia Advanced (Avançado).
7.         Nesta guia, dê um clique no botão Settings... (Configurações...).
8.         Será exibida a janela Configurações avançadas. Dê um clique na guia Services (Serviços). Serão exibidas as opções indicadas na Figura 20.32:

Figura 20.32 Habilitando/desabilitando serviços para o ICF.

Para habilitar um determinado serviço, basta marcar a caixa de seleção ao lado do respectivo serviço. Ao clicar em um determinado serviço, será aberta, automaticamente, uma janela de configurações de serviço. Esta janela vem com o valor padrão para os parâmetros de configuração do respectivo serviço (porta, nome, etc).Você não poderá alterar estes valores.

Você também pode utilizar o botão Adicionar..., para adicionar novos serviços, não constantes na lista. Na janela de propriedades do serviço que está sendo habilitado, você deve informar o nome ou o número IP do computador no qual está instalado o serviço que está sendo habilitado. Esta janela é idêntica à janela de habilitações de serviços com o NAT, descrita anteriormente.
9.         Após ter habilitados os serviços necessários, dê um clique no botão OK para aplicar as alterações.
10.       Você estará de volta à janela Propriedades da conexão. Dê um clique no botão OK para fechá-la.

Configurações do protocolo ICMP para o Firewall.

Conforme descrito anteriormente, o protocolo ICMP é utilizado por uma série de utilitários de rede, utilitários estes que são usados pelo Administrador da rede para fazer testes de conexões e monitorar equipamentos e linhas de comunicação. Por padrão o ICF bloqueia o tráfego ICMP. Nós podemos personalizar a maneira como o tráfego ICMP será tratado pelo ICF. Podemos liberar todo o tráfego ICMP ou apenas determinados tipos de uso, para funções específicas.

Para configurar o padrão de tráfego ICMP através do Firewall, faça o seguinte:

1.         Faça o logon como Administrador ou com uma conta com permissão de Administrador.
2.         Abra o Painel de controle.
3.         Dê um clique duplo na opção Network Connections (Conexões de rede).
4.         Serão exibidas as conexões de rede e a conexão com a Internet (ou conexões, caso você tenha mais do que uma conexão configurada).
5.         Clique com o botão direito do mouse na conexão Internet, para a qual você ativou o ICF e, no menu de opções que é exibido, clique em Properties (Propriedades).
6.         Na janela de Propriedades dê um clique na guia Advanced (Avançado).
7.         Nesta guia, dê um clique no botão Settings... (Configurações...).
8.         Será exibida a janela Configurações avançadas. Dê um clique na guia ICMP. Serão exibidas as opções indicadas na Figura 20.33:

Figura 20.33
 Configurando o tráfego ICMP através do Firewall.
 
Na guia ICMP podemos marcar/desmarcar as seguintes opções:

• Allow incoming echo request (Permitir solicitação de eco na entrada): As mensagens enviadas para este computador serão respondidas para o remetente. Por exemplo, se alguém de fora der um ping para este computador, uma resposta será enviada. Se esta opção estiver desmarcada o computador não responderá a comandos como pint e tracert.
• Allow incoming timestamp request (Permitir solicitação de carimbo de data/hora de entrada): Os dados enviados para o computador podem ser confirmados por uma mensagem indicando quando foram recebidos.
• Allow incoming mask request (Permitir solicitação de máscara de entrada). A máscara de entrada é um parâmetro de configuração do protocolo TCP/IP (veja Capítulo 2), parâmetro este que é utilizado pelo protocolo para definir se duas máquinas que estão tentando se comunicar, pertencem a mesma rede ou a redes diferentes. Se este parâmetro estiver marcado, o computador será capaz de fornecer diversas informações sobre a rede a qual ele está conectado. Esta opção é importante quando estamos utilizando programas de gerenciamento de rede que, utilizam o protocolo ICMP para obter informações sobre os equipamentos da rede.
• Allow incoming router request (Permitir solicitação de roteador de entrada): Se esta opção estiver marcada o computador será capaz de responder às solicitações sobre quais rotas ele conhece.
• Allow outgoing destination unreachable (Permitir destino de saída inacessível): Os dados enviados pela Internet, tendo como destino este computador e,  que não conseguiram “chegar” até ele devido a algum erro serão descartados e será exibida uma mensagem explicando o erro e informando que o destino está inacessível. A mensagem será exibida no computador de origem, o qual tentou enviar dados para este computador, dados estes que não conseguiram chegar.
• Allow outgoing source quench (Permitir retardamento de origem de saída): Quando a capacidade de processamento de dados de entrada do computador não for compatível com a taxa de transmissão dos dados que estão chegando, os dados serão descartados e será solicitado ao remetente que diminua a velocidade de transmissão.
• Allow outgoing parameter problem (Permitir problema no parâmetro de saída): Se este computador descartar dados devido a um problema no cabeçalho dos pacotes de dados, ele enviará ao remetente uma mensagem de erro informando que há um cabeçalho inválido.
• Allow outgoing time exceeded (Permitir hora de saída ultrapassada): Se o computador descartar uma transmissão de dados por precisar de mais tempo para concluí-la, ele enviará ao remetente uma mensagem informando que o tempo expirou.
• Allow redirect (Permitir redirecionamento): Os dados enviados pelo computador seguirão uma rota alternativa, se uma estiver disponível, caso o caminho (rota) padrão tenha sido alterado.

9.         Marque as opções que forem necessárias, de acordo com as funções que estiver desempenhando o comuptador.
10.       Após ter marcado as opções necessárias, dê um clique no botão OK para aplicar as alterações.
11.       Você estará de volta à janela Propriedades da conexão. Dê um clique no botão OK para fechá-la.

O ICF apresenta funcionalidades básicas e um nível de proteção satisfatório para usuários domésticos e de pequenas redes. Para redes empresarias, sem nenhuma dúvida, faz-se necessária a utilização de produtos projetados especificamente para proteção e desempenho. Um destes produtos é o Internet Security and Acceleration Server – ISA Server. Maiores detalhes no seguinte endereço: http://www.microsoft.com/isaserver.