Neste tópico falarei sobre o uso do console Firewall do Windows com Segurança Avançada. Com este console temos acesso a um sem fim de configurações avançadas do Firewall do Windows. É possível criar Regras de Filtragem de Entrada, Regras de Filtragem de Saída, habilitar portas específicas do TCP/IP e assim por diante. Mostrarei como usar este console, através de um exemplo prático, passo-a-passo.

O Firewall do Windows com Segurança Avançada combina um firewall host e as configurações do protocolo IPSec, em um único console. Ao contrário de um firewall de perímetro, o Firewall do Windows com Segurança Avançada é executado em cada computador com o Windows 7 instalado e fornece proteção local contra ataques de rede que possam passar pela rede de perímetro ou ter origem dentro da sua rede local. Ele também fornece segurança da conexão entre computadores que permite exigir autenticação e proteção de dados para comunicações, através do uso do protocolo IpSec.

O Firewall do Windows com Segurança avançada é um firewall com monitoração de estado; ele verifica e filtra todos os pacotes do protocolo IP versão 4 (IPv4) e IP versão 6 (IPv6). Por padrão, o tráfego de entrada é bloqueado, a menos que seja a resposta a uma solicitação originada no próprio computador (tráfego solicitado) ou seja especificamente permitido (isto é, tenha sido criada uma regra de firewall para permitir o tráfego). Para permitir explicitamente o tráfego, você pode especificar um número de porta, um nome de aplicativo, um nome de serviço ou outros critérios por meio da definição de configurações do Firewall do Windows com Segurança Avançada.

Com o Firewall do Windows com Segurança Avançada, você pode solicitar ou exigir que os computadores autentiquem uns aos outros antes de se comunicarem e usem a integridade dos dados ou a criptografia de dados durante a comunicação. Esta já é a parte relacionada ao protocolo IPSec.

Antes de prosseguirmos, temos que abordar dois tópicos teóricos, de vital importância para entender como funciona e como configurar o Firewall do Windows com Segurança Avançada:

• Portas de Comunicação
• O Protocolo IPSec

Portas de Comunicação do TCP/IP:

Nesta item eu falarei sobre o conceito de portas de comunicação do TCP/IP Versão 4. Vamos iniciar falando um pouco sobre Pacotes e sobre os protocolos de Transporte

O TCP/IP, na verdade, é formado por um grande conjunto de diferentes protocolos e serviços de rede. O nome TCP/IP deriva dos dois protocolos mais importantes e mais utilizados, que são os seguintes:

• IP: É um protocolo de endereçamento, um protocolo de rede. Eu me arriscaria a afirmar que as principais funções do protocolo IP são endereçamento e roteamento, ou de uma maneira mais simples, fornecer uma maneira para identificar unicamente cada máquina da rede (endereço IP) e uma maneira de encontrar um caminho entre a origem e o destino (Roteamento).

• TCP: O TCP é um protocolo de transporte e executa importantes funções para garantir que os dados sejam entregues de uma maneira confiável, ou seja, sem que os dados sejam corrompidos ou alterados.

Vamos imaginar uma situação prática, onde você deseja enviar um arquivo com cerca de 10 MB de um computador de origem para um computador de destino. Uma das primeiras coisas que tem que ser feitas é encontrar uma rota, um caminho entre a origem e o destino. Este é o papel do protocolo IP, mais especificamente da função de roteamento. Uma vez encontrado o caminho, o próximo passo é dividir o arquivo de 10 MB em pacotes de tamanhos menores, os quais possam ser enviados pelos equipamentos da rede. Além da divisão em pacotes menores, o TCP/IP tem que garantir que os pacotes sejam entregues sem erros e sem alterações.

Pode também acontecer de os pacotes chegarem fora de ordem. O TCP/IP tem que ser capaz de identificar a ordem correta e entregar os pacotes para o programa de destino, na ordem correta. Por exemplo, pode acontecer de o pacote número 10 chegar antes do pacote número 9. Neste caso o TCP tem que aguardar a chegada do pacote número 9 e entregá-los na ordem correta. Somente após entregue o pacote 9 ao programa de destino é que deve ser entregue o pacote 10, somente depois o pacote 11 e assim por diante. Pode também acontecer de serem perdidos pacotes durante o transporte. Neste caso, o TCP tem que informar à origem de que determinado pacote não foi recebido no tempo esperado e solicitar que este seja retransmitido. Todas estas funções – garantir a integridade, a seqüêcia correta e solicitar retransmissão – são exercidas pelo protocolo TCP – Transmission Control Protocol. Além do TCP existe também o UDP, o qual não faz todas estas verificaçõe e é utilizado por determinados serviços. A seguir apresento uma descrição dos protocolos TCP e UDP e um estudo comparativo.

TCP – Uma Visão Geral:

O Transmission Control Protocol (TCP) é, sem dúvidas, um dos mais importantes protocolos da família TCP/IP. É um padrão definido na RFC 793, "Transmission Control Protocol (TCP)", que fornece um serviço de entrega de pacotes confiável e orientado por conexão. Ser orientado por conexão, significa que todos os aplicativos baseados em TCP como protocolo de transporte, antes de iniciar a troca de dados, precisam estabelecer uma conexão. Na conexão são fornecidas, normalmente, informações de autenticação/logon, as quais identificam o usuário que está tentando estabelecer a conexão. Um exemplo típico são os aplicativos de FTP (Cute – FTP, ES-FTP e assim por diante). Para que você acesse um servidor de FTP, você deve fornecer um nome de usuário e senha. Estes dados são utilizados para identificar e autenticar o usuário. Após a identificação e autenticação, será estabelecida uma sessão entre o cliente de FTP e o servidor de FTP.

Algumas características do protocolo TCP:

• Garante a entrega de datagramas IP: Esta talvez seja a principal função do TCP, ou seja, garantir que os pacotes sejam entregues sem alterações, sem terem sido corrompidos e na ordem correta. O TCP tem uma série de mecanismos para garantir esta entrega.

• Executa a segmentação e reagrupamento de grandes blocos de dados enviados pelos programas e Garante o seqüenciamento adequado e entrega ordenada de dados segmentados: Esta característica refere-se a função de dividir grandes arquivos em pacotes menores e transmitir cada pacote separadamente. Os pacotes podem ser enviados por caminhos diferentes e chegar fora de ordem. O TCP tem mecanismos para garantir que, no destino, os pacotes sejam ordenados corretamente, antes de serem entregues ao programa de destino.

• Verifica a integridade dos dados transmitidos usando cálculos de soma de verificação: O TCP faz verificações para garantir que os dados não foram alterados ou corrompidos durante o transporte entre a origem e o destino. 

• Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmações seletivas, também são enviadas confirmações negativas para os dados que não foram recebidos: No destino o TCP recebe os pacotes, verifica se estão OK e, em caso afirmativo, envia uma mensagem positiva para a origem, confirmando cada pacote que foi recebido corretamente. Caso um pacote não tenha sido recebido ou tenha sido recebido com problemas, o TCP envia uma mensagem negativa ao computador de origem, solicitando uma retransmissão do pacote. Com esse mecanismo, apenas pacotes com problemas terão que ser reenviados, o que reduz o tráfego na rede e agiliza o envio dos pacotes.

• Oferece um método preferencial de transporte para programas que devem usar uma transmissão confiável de dados, baseada em sessões, como bancos de dados cliente/servidor e programas de correio eletrônico: Ou seja, o TCP é muito mais confiável do que o UDP (conforme mostrarei mais adiante) e é indicado para programas e serviços que dependam de uma entrega confiável de dados.

Funcionamento do TCP:

O TCP baseia-se na comunicação ponto a ponto entre dois hosts de rede. O protocolo TCP recebe os dados de programas e processa esses dados como um fluxo de bytes. Os bytes são agrupados em segmentos que o TCP numera e seqüência para entrega. Estes segmentos são mais conhecidos como “Pacotes”.

Antes que dois hosts TCP possam trocar dados, devem primeiro estabelecer uma sessão entre si. Uma sessão TCP é inicializada através de um processo conhecido como um tree-way handshake (algo como Um Aperto de Mão Triplo). Esse processo sincroniza os números de seqüência e oferece informações de controle necessárias para estabelecer uma conexão virtual entre os dois hosts.

De uma maneira simplificada, o processo de tree-way handshake, pode ser descrito através dos seguintes passos:

• O computador de origem solicita o estabelecimento de uma sessão com o computador de destino: Por exemplo, você utiliza um programa de FTP (origem) para estabelecer uma sessão com um servidor de FTP (destino).

• O computador de destino recebe a requisição, verifica as credenciais enviadas (tais como as informações de logon e senha) e envia de volta para o cliente, informações que serão utilizadas pelo cliente, para estabelecer efetivamente a sessão. As informações enviadas nesta etapa são importantes, pois é através destas informações que o servidor irá identificar o cliente e liberar ou não o acesso.

• O computador de origem recebe as informações de confirmação enviadas pelo servidor e envia estas confirmações de volta ao servidor. O servidor recebe as informações, verifica que elas estão corretas e estabelece a sessão. A partir deste momento, origem e destino estão autenticados e aptos a trocar informações usando o protocolo TCP. Se por algum motivo, as informações enviadas pela origem não estiverem corretas, a sessão não será estabelecida e uma mensagem de erro será enviada de volta ao computador de origem.

Depois de concluído o tree-way handshake inicial, os segmentos são enviados e confirmados de forma seqüencial entre os hosts remetente e destinatário. Um processo de handshake semelhante é usado pelo TCP antes de fechar a conexão para verificar se os dois hosts acabaram de enviar e receber todos os dados.

Os segmentos TCP são encapsulados e enviados em datagramas IP, conforme apresentado na Figura 18.5, obtida na ajuda do Windows:

Figura 18.6 – Segmentos do TCP.

O conceito de Portas TCP:

Os programas TCP usam números de porta reservados ou conhecidos, conforme apresentado na Figura 18.7:

Figura 18.7 – Portas do TCP.

O que é uma Porta TCP?

Bem, sem entrar em detalhes técnicos do TCP/IP, vou explicar, através de um exemplo prático, o conceito de porta. Vamos imaginar um usuário, utilizando um computador com conexão à Internet. Este usuário, pode, ao mesmo tempo, acessar um ou mais sites da Internet, usar o Windows Mail para ler suas mensagens de email, estar conectado a um servidor de FTP, usando um programa como o WS-FTP, para fazer download de um ou mais arquivos, estar jogando DOOM através da Internet e assim por diante.

Todas as informações que este usuário recebe estão chegando através de pacotes que chegam até a placa de Modem ou até o Modem ADSL, no caso de uma conexão de alta velocidade do tipo ADSL. A pergunta que naturalmente surge é:

Como o Windows sabe para qual dos programas se destina cada um dos pacotes que estão chegando no computador?

Por exemplo, chega um determinado pacote. Este pacote é para uma das janelas do Navegador, é para o cliente de FTP, é um comando do DOOM, é referente a uma mensagem de email ou qual é o programa destinatário deste pacote?

A resposta para esta questão é o mecanismo de portas utilizado pelo TCP/IP. Cada programa trabalha com um protocolo/serviço específico, ao qual está associado um número de porta. Por exemplo, o serviço de FTP, normalmente opera na porta 21 (na verdade usa duas portas, uma para controle e outra para o envio de dados, mas esta já é outra história). Todo pacote que for enviado do servidor FTP para o cliente, terá, além dos dados que estão sendo enviados, uma série de dados de controle, tais como o número do pacote, código de validação dos dados e também o número da porta de comunicação que está sendo utilizada. Quando o pacote chega no computador de destino, o Windows 7 lê no pacote o número da porta e sabe para qual programa o pacote deve ser encaminhado.

Por exemplo, se você está utilizando um cliente de FTP para fazer um download, os pacotes que chegarem, com informação de Porta = 21, serão encaminhados para o cliente de FTP, o qual irá ler o pacote e dar o destino apropriado. Outro exemplo, o protocolo HTTP, utilizado para o transporte de informações de um servidor Web até o seu navegador, opera, por padrão, na porta 80. Os pacotes que chegarem, destinados à porta 80, serão encaminhados para o navegador. Se houver mais de uma janela do navegador aberta, cada uma acessando diferentes páginas, o sistema inclui informações, além da porta, capazes de identificar cada janela individualmente. Com isso, quando chega um pacote para a porta 80, o sistema identifica para qual das janelas do navegador se destina o referido pacote.

Em resumo: O uso do conceito de portas, permite que vários programas estejam em funcionamento, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores.

O lado do servidor de cada programa que usa portas TCP escuta as mensagens que chegam e verifica a informação de porta contida em cada pacote que chega. Todos os números de porta de servidor TCP menores que 1.024 (e alguns números mais altos) são reservados e registrados pela Internet Assigned Numbers Authority (IANA, autoridade de números atribuídos da Internet). Por exemplo, o serviço HTTP (servidor Web), instalado em um servidor, fica sempre “escutando” os pacotes que chegam ao servidor. Os pacotes destinados a porta 80, serão encaminhados pelo sistema operacional para processamento do servidor Web.

A tabela a seguir é uma lista parcial de algumas portas de servidor TCP conhecidas usadas por programas baseados em TCP padrão.

Para obter uma lista atualizada e completa de todas as portas TCP conhecidas e registradas atualmente, consulte o seguinte endereço:

http://www.iana.org/assignments/port-numbers

UDP – Uma Visão Geral:

O User Datagram Protocol (UDP) é um padrão TCP/IP e está definido pela RFC 768, "User Datagram Protocol (UDP)." O UDP é usado por alguns programas em vez do TCP, para o transporte rápido de dados entre hosts TCP/IP. Porém o UDP não fornece nenhuma garantia de entrega e nem verificação de dados. De uma maneira simples, dizemos que o protocolo UDP manda os dados para o destino; se vai chegar ou se vai chegar corretamente, sem erros, só Deus sabe. Pode parecer estranho esta característica do UPD, porém você verá que em determinadas situações, o fato de o UDP ser muito mais rápido do que o TCP (por não fazer verificações e por não estabelecer sessões), o uso do UDP é recomendado.

O protocolo UDP fornece um serviço de pacotes sem conexão que oferece entrega com base no melhor esforço, ou seja, UDP não garante a entrega ou verifica o seqüenciamento para qualquer pacote. Um host de origem que precise de comunicação confiável deve usar TCP ou um programa que ofereça seus próprios serviços de seqüenciamento e confirmação.

As mensagens UDP são encapsuladas e enviadas em datagramas IP, conforme apresentado na Figura 18.8:

Figura 18.8 – Pacote do UDP.

Portas UDP:

O conceito de porta UDP é idêntico ao conceito de portas TCP, embora tecnicamente, existam diferenças na maneira como as portas são utilizadas em cada protocolo. A idéia é a mesma, por exemplo, se um usuário estiver utilizando vários programas baseados em UDP, ao mesmo tempo, no seu computador, é através do uso de portas, que o sistema operacional sabe a qual programa se destina cada pacote UDP que chega.

O lado do servidor de cada programa que usa UDP escuta as mensagens que chegam no seu número de porta conhecido, associado com cada serviço. Todos os números de porta de servidor UDP menores que 1.024 (e alguns números mais altos) são reservados e registrados pela Internet Assigned Numbers Authority (IANA, autoridade de números atribuídos da Internet).

Cada porta de servidor UDP é identificada por um número de porta reservado ou conhecido. A tabela a seguir mostra uma lista parcial de algumas portas de servidor UDP conhecidas usadas por programas baseados em UDP padrão.

Para obter uma lista atualizada e completa de todas as portas UDP conhecidas e registradas atualmente, consulte o seguinte endereço:

http://www.iana.org/assignments/port-numbers

Comparando UDP e TCP:

Geralmente, as diferenças na maneira como UDP e TCP entregam os dados assemelham-se às diferenças entre um telefonema e um cartão postal. O TCP funciona como um telefonema, verificando se o destino está disponível e pronto para a comunicação. O UDP funciona como um cartão postal — as mensagens são pequenas e a entrega é provável, mas nem sempre garantida.

O protocolo UDP é geralmente usado por programas que transmitem pequenas quantidades de dados ao mesmo tempo ou têm necessidades em tempo real. Nessas situações, a baixa sobrecarga do UDP (pois este não faz as verificações que são feitas pela TCP) e as capacidades de broadcast do UDP (por exemplo, um datagrama, vários destinatários) são mais adequadas do que o  TCP.

O UDP contrasta diretamente com os serviços e recursos oferecidos por TCP. A tabela a seguir compara as diferenças em como a comunicação TCP/IP é tratada dependendo do uso de UDP ou TCP para o transporte de dados.

Tanto UDP quanto TCP usam portas para identificar as comunicações para cada programa TCP/IP, conforme descrito anteriormente.

O Comando netstat – exibindo informações sobre portas de comunicação:

O comando netstat está disponível no Windows 2000, Windows XP, Windows Vista, Windows 7, no Windows Server 2003, Wnidows Server 2008, Windows Server 2012 e no Windows 8. Este comando exibe estatísticas do protocolo TCP/IP e as conexões atuais da rede TCP/IP. A seguir apresento alguns exemplos de utilização do comando netstat e das opções de linha de comando disponíveis.

• netstat –a: O comando netstat com a opção –a Exibe todas as portas de conexões e de escuta. Conexões de servidor normalmente não são mostradas. Ou seja, o comando mostra as portas de comunicação que estão na escuta, isto é, que estão aptas a se comunicar. Na listagem a seguir mostro um exemplo do resultado da execução do comando netstat –a, em um computador com o nome micro01. O estado LISTENING significa, esperando, na escuta, ou seja, aceitando conexões na referida porta. O estado ESTABLISHED significa que existe uma conexão ativa na respectiva porta.

***************************************************************************

Conexões  ativas

  Proto   Endereço local         Endereço  externo       Estado

  TCP     MICRO01:epmap        MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:microsoft-ds   MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:1046        MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:1051         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:1058         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:1097         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:1595         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:2176         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:2178         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:2216         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:2694         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:2706         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3236         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3279         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3282         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3285        MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3302         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3322         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3335         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3336         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:3691         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:4818         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:4820         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:4824         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:4829        MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:6780         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:6787         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:9495         MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:42510        MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:netbios-ssn   MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:microsoft-ds   MICRO02:1352        ESTABLISHED

  TCP     MICRO01:1595         SERVIDOR02:microsoft-ds   ESTABLISHED

  TCP     MICRO01:2694         SERVIDOR02:microsoft-ds  ESTABLISHED

  TCP     MICRO01:2706         SERVIDOR03:1352       ESTABLISHED

  TCP     MICRO01:3236         SERVFILES01:microsoft-ds   ESTABLISHED

  TCP     MICRO01:3279         EMAILSERVER:microsoft-ds   ESTABLISHED

  TCP     MICRO01:3282         EMAILSERVER:microsoft-ds  ESTABLISHED

  TCP     MICRO01:3285         EMAILSERVER:microsoft-ds   ESTABLISHED

  TCP     MICRO01:3323         DRFSTMSRV22:1352       TIME_WAIT

  TCP     MICRO01:3335         66.139.77.16:http      CLOSE_WAIT

  TCP     MICRO01:3336         66.139.77.16:http      CLOSE_WAIT

  TCP     MICRO01:3691         SRV01:microsoft-ds     ESTABLISHED

  TCP    MICRO01:4200        MICRO01.abc.com:0  LISTENING

  TCP     MICRO01:4829         a209-249-123-216.deploy.akamaitechnologies.com:https    CLOSE_WAIT

  UDP    MICRO01:microsoft-ds  *:*                    

  UDP     MICRO01:1027        *:*                    

  UDP     MICRO01:1042        *:*                    

  UDP     MICRO01:1403        *:*                    

  UDP     MICRO01:3632        *:*                    

  UDP     MICRO01:3636        *:*                    

  UDP     MICRO01:38037       *:*                    

  UDP     MICRO01:38293       *:*                    

  UDP     MICRO01:netbios-ns  *:*                    

  UDP     MICRO01:netbios-dgm  *:*                    

  UDP     MICRO01:isakmp      *:*                    

  UDP     MICRO01:42508       *:*                    

  UDP     MICRO01:1186        *:*                    

  UDP     MICRO01:3212        *:*                    

  UDP     MICRO01:3221        *:*                    

  UDP     MICRO01:3555        *:*      

***************************************************************************

• netstat –e: Esta opção exibe estatísticas sobre a interface Ethernet do computador. A interface Ethernet é, normalmente, a placa de rede local, que conecta o computador a rede da empresa. Esta opção pode ser combinada com a opção –s, que será descrita mais adiante. A seguir, na Figura 18.9, temos um exemplo da execução do comando netstat –e:

Figura 18.9 – Execução do comando netstat -e

• netstat –n: Exibe endereços e números de porta em forma numérica (em vez de tentar pesquisar o nome). A seguir um exemplo da execução do comando netstat –n:

Conexões  ativas

  Proto   Endereço local          Endereço externo       Estado

  TCP     10.1.1.11:49419         10.1.1.3:139           ESTABLISHED

  TCP     10.1.1.11:50265         72.51.43.149:80        ESTABLISHED

  TCP     10.1.1.11:50267         72.51.43.149:80        ESTABLISHED

  TCP     127.0.0.1:12080         127.0.0.1:50249        ESTABLISHED

  TCP     127.0.0.1:12080         127.0.0.1:50266        ESTABLISHED

  TCP     127.0.0.1:50145         127.0.0.1:50146        ESTABLISHED

  TCP     127.0.0.1:50146         127.0.0.1:50145        ESTABLISHED

  TCP     127.0.0.1:50147         127.0.0.1:50148        ESTABLISHED

  TCP     127.0.0.1:50148         127.0.0.1:50147        ESTABLISHED

  TCP     127.0.0.1:50249         127.0.0.1:12080        ESTABLISHED

  TCP     127.0.0.1:50266         127.0.0.1:12080        ESTABLISHED

netstat –s: Exibe estatística por protocolo. Por padrão, são mostradas estatísticas para TCP, UDP,  ICMP (Internet Control Message Protocol, protocolo de acesso às mensagens de Internet) e IP. A opção -p pode ser utilizada para especificar um ou mais protocolos para os quais devem ser exibidas estatísticas.

• netstat –p: Mostra conexões para o protocolo especificado por protocolo, que pode ser tcp ou udp. Se utilizado com a opção -s para exibir estatísticas por protocolo, protocolo pode ser tcp, udp, icmp ou ip. .A seguir um exemplo da execução do comando netstat –p, onde são exibidas informações somente sobre o protocolo ip: netstat –s –p ip:

C:\Windows\system32>netstat -s -p ip

Estatísticas de IPv4

   Pacotes recebidos                     = 644164

   Erros de cabeçalho recebidos          = 0

   Erros de endereço recebidos           = 10

   Datagramas encaminhados               = 0

   Protocolos desconhecidos recebidos    = 0

   Pacotes recebidos descartados         = 238

   Pacotes recebidos entregues           = 684382

   Solicitações de saída                 = 662095

   Descartes de roteamento               = 0

   Pacotes de saída descartados          = 6

   Pacote de saída sem rota              = 1

   Reagrupamento necessário              = 0

   Reagrupamento bem-sucedido            = 0

   Falhas de reagrupamento               = 0

   Datagramas fragmentados c/ êxito      = 0

   Falhas/ fragmentação de datagramas    = 0

   Fragmentos criados                    = 0

• netstat –r: Exibe o conteúdo da tabela de roteamento do computador. Exibe os mesmos resultados do comando route print.

• A opção intervalo: Você pode definir um intervalo, dentro do qual as estatísticas geradas pelo comando netstat serão atualizadas. Por exemplo, você pode definir que sejam exibidas as estatísticas do protocolo ICMP e que estas sejam atualizadas de cinco em cinco segundos. Ao especificar um intervalo, o comando ficará executando, indefinidamente e atualizando as estatísticas, dentro do intervalo definido. Para suspender a execução do comando, basta pressionar Ctrl+C. O comando a seguir irá exibir as estatísticas do protocolo IP e irá atualizá-las a cada 10 segundos:

netstat –s –p ip 10

Muito bem, neste tópico eu fiz uma apresentação dos protocolos TCP e UDP, os quais são responsáveis pelo transporte de pacotes em redes baseadas no TCP/IP. Você também aprendeu sobre as diferenças entre os protocolos TCP e UDP e sobre o conceito de porta de comunicação. Estes conceitos serão importantes para entender a criação de regras no Firewall do Windows. A seguir, antes de partirmos para a prática, vamos ver um pouco mais de teoria. Desta vez sobre o protocolo IPSec.

Uma introdução ao protocolo IPSec:

O IPSec é um conjunto de padrões utilizados para garantir uma comunicação segura entre dois computadores, mesmo que as informações estejam sendo enviadas através de um meio não seguro, como por exemplo a Internet. Observe que esta definição é parecida com a definição de VPN apresentada no Capítulo 19 do livro Windows Server 2003 – Curso Completo, 1568 páginas, de minha autoria, publicado pela Editora Axcel Books. Por isso que a combinação L2TP/IPSec é uma das opções para a criação de conexões do tipo VPN (veja Capítulo 19 do referido livro).

O IPSec é baseado em um modelo ponto a ponto, no qual dois computadores, para trocar informações de maneira segura, usando IPSec, devem “concordar” com um conjunto comum de regras e definições do IPSec. Com o uso do IPSec e das tecnologias associadas, os dois computadores são capazes de se autenticar mutuamente e manter uma comunicação segura, com dados criptografados, mesmo usando um meio não seguro, como a Internet.

O uso do protocolo IPSec apresenta funcionalidades importantes quando existe uma necessidade de grande segurança na comunicação entre dois computadores. A seguir apresento as principais destas características:

• Uma proteção agressiva contra ataques à rede privada e à Internet mantendo a facilidade de uso. Ao mesmo tempo que fornece uma proteção efetiva contra ataques e tentativas de captura dos dados, o IPSec é fácil de configurar, com o uso de políticas de segurança e do Firewall do Windows com Segurança Avançada.

• Um conjunto de serviços de proteção baseados em criptografia e protocolos de segurança. A criptografia é um dos elementos principais do IPSec, para garantir que os dados não possam ser acessados por pessoas não autorizadas. Neste ponto é importante salientar que existem diferentes formas de uso do IPSec com o Windows Server 2003 e com o Windows 7. Uma delas é usando o IPSec padrão, conforme definido pelos padrões do IETF. Este uso é conhecido como uso do IPSec no modo de túnel. Já uma implementação específica da Microsoft, usa o IPSec em conjunto com o L2TP, sendo o L2TP o responsável pela criptografia dos dados. Este modo é conhecido como modo de transporte. No modo de túnel somente é possível usar o IPSec em redes baseadas em IP. Já no modo de transporte, o L2TP é um protocolo de nível de transporte, por isso é possível usar IPSec/L2TP para transportar não apenas pacotes IP, mas também IPX, NetBEUI e assim por diante.

• Segurança do começo ao fim. Os únicos computadores na comunicação que devem saber sobre a proteção de IPSec são o remetente e o receptor, ou seja, o meio através do qual os pacotes são enviados não precisa estar habilitado ao IPSec.

• A capacidade de proteger a comunicação entre grupos de trabalho, computadores de rede local, clientes e servidores de domínio, escritórios de filiais que podem ser fisicamente remotos, extranets, clientes móveis e administração remota de computadores. 

Configuração baseada em diretivas de segurança:

Os métodos de segurança mais fortes que são baseados em criptografia têm a capacidade de aumentar muito a sobrecarga administrativa. A implementação do IPSec no Windows Server evita esse problema implementando a administração do IPSec com base em diretivas de segurança, configuradas via GPOs. As configurações feitas nas GPOs do domínio, se aplicam, automaticamente, as estações de trabalho com o Windows 7, as quais fazem parte do domínio.

Nota: Para detalhes completos sobre Group Policy Objects (GPOs), consulte  capítulo 18 do livro Windows Server 2003 – Curso Completo, 1568 páginas, de minha autoria. Todos os detalhes sobre o livro em https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=CWIN000019

Em vez de aplicativos ou sistemas operacionais, você usa as diretivas para configurar o IPSec. Os administradores de segurança da rede podem configurar as diretivas de IPSec abrangendo desde aquelas apropriadas a computadores únicos a um domínio Active Directory, site ou unidade organizacional, já que as diretivas de aplicação do IPSec são configuradas via GPO.

Uma maneira mais simples de fornecer proteção dos dados:

A implementação da IPSec  no nível de transporte IP (Camada de rede, nível 3) permite um alto nível de proteção com pouca sobrecarga. A distribuição da IPSec não requer nenhuma alteração nos aplicativos ou sistemas operacionais existentes, basta configurar o IPSec através do Firewall do Windows 7, para que o computador passe a usar o IPSec. Automaticamente, todos os programas instalados no computador, passarão a utilizar o IPSec para troca de informações com outros computadores também habilitados ao IPSec. Isso é bem mais fácil de implementar e de administrar do que ter que configurar a criptografia e segurança em cada aplicativo ou serviço.

Outros mecanismos de segurança que operam sobre a camada de rede 3, como Secure Sockets Layer (SSL), só fornecem segurança a aplicativos habilitados ao SSL, como os navegadores da Web tais como o Internet Explorer ou o FireFox. Você deve modificar todos os outros aplicativos para proteger as comunicações com SSL. Os mecanismos de segurança que operam abaixo da camada de rede 3, como criptografia de camada de vínculo, só protegem o vínculo, mas não necessariamente todos os vínculos ao longo do caminho de dados. Isso torna a criptografia da camada de vínculos inadequada para proteção de dados do princípio ao fim na Internet ou na Intranet da empresa.

A implementação do IPSec na Camada de rede 3 fornece proteção para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP, ICMP, etc. A principal vantagem de informações seguras nessa camada é que todos os aplicativos e serviços que usam IP para transporte de dados podem ser protegidos com IPSec, sem nenhuma modificação nos aplicativos ou serviços (para proteger protocolos diferentes de IP, os pacotes devem ser encapsulados por IP).

Características e componentes do protocolo IPSec:

Quando o IPSec é habilitado e dois computadores passam a se comunicar usando IPSec, algumas modificações são efetuadas na maneira como é feita a troca de informações entre estes computadores.

A primeira mudança é que o protocolo IPSec adiciona um cabeçalho (Header) em todos os pacotes. Este cabeçalho é tecnicamente conhecido como AH (Authentication header). Este cabeçalho desempenha três importantes funções:

• É utilizado para a autenticação entre os computadores que se comunicarão usando IPSec.

• É utilizado para verificar a integridade dos dados, ou seja, para verificar se os dados não foram alterados ou corrompidos durante o transporte.

• Impede ataques do tipo repetição, onde pacotes IPSec são capturados e em seguida reenviados ao destino, em uma tentativa de ter acesso ao computador de destino. O cabeçalho de autenticação impede este tipo de ataque, pois contém informações que permite ao destinatário identificar se um pacote já foi entregue ou não. No cabeçalho AH estão, dentre outras, as seguintes informações: A identificação do próximo cabeçalho, o tamanho do cabeçalho, parâmetros de segurança, número de sequencia e autenticação de dados (contém informações para a verificação da integridade de dados).

Nota: Um detalhe importante a salientar é que o cabeçalho de identificação não é criptografado e não é utilizado para criptografar dados. Conforme o nome sugere ele contém informações para a autenticação e para verificação da integridade dos dados.

Mas além da autenticação mútua e da verificação da integridade dos dados é preciso garantir a confidencialidade dos dados, ou seja, se os pacotes forem capturados é importante que não possam ser lidos a não ser pelo destinatário. A confidencialidade garante que os dados somente sejam revelados para os verdadeiros destinatários. Para garantir a confidencialidade, o IPSec usa  pacotes no formato Encapsulating Security Payload (ESP). Os dados do pacote são criptografados antes da transmissão, garantindo que os dados não possam ser lidos durante a transmissão mesmo que o pacote seja monitorado ou interceptado por um invasor. Apenas o computador com a chave de criptografia compartilhada será capaz de interpretar ou modificar os dados. Os algoritmos United States Data Encryption Standard (DES padrão dos Estados Unidos), DES (Data Encryption Standard) e 3DES (Triple Data Encryption Standard) são usados para oferecer a confidencialidade da negociação de segurança e do intercâmbio de dados de aplicativo. O Cipher Block Chaining (CBC) é usado para ocultar padrões de blocos de dados idênticos dentro de um pacote sem aumentar o tamanho dos dados após a criptografia. Os padrões repetidos podem comprometer a segurança fornecendo uma pista que um invasor pode usar para tentar descobrir a chave de criptografia. Um vetor de inicialização (um número inicial aleatório) é usado como o primeiro bloco aleatório para criptografar e descriptografar um bloco de dados. Diferentes blocos aleatórios são usados junto com a chave secreta para criptografar cada bloco. Isso garante que conjuntos idênticos de dados não protegidos sejam transformados em conjuntos exclusivos de dados criptografados.

Usando as tecnologias descritas, o protocolo IPSec apresenta as seguintes características/funcionalidades:

• Em redes baseadas no Active Directory e no modelo de domínios, a configuração e habilitação do IPSec é baseada no uso de Políticas de Segurança. Não existe outra maneira de criar, configurar e habilitar o IPSec a não ser com o uso de uma GPO. Isso facilita a configuração e aplicação do IPSec a grupos de computadores, como por exemplo, todos os computadores do domínio ou de um site ou de uma unidade organizacional.

• Quando dois computadores vão trocar dados usando IPSec, a primeira etapa é fazer a autenticação mútua entre os dois computadores. Nenhuma troca de dados é efetuada, até que a autenticação mútua tenha sido efetuada com sucesso.

• O IPSec utiliza o protocolo Kerberos para autenticação dos usuários. O Kerberos é o protocolo padrão para autenticação no Active Directory, desde o lançamento do Windows 2000 Server.

• Quando dois computadores vão se comunicar via IPSec, é criada uma SA (Securtiy Association – associação de segurança) entre os computadores. Na SA estão definidas as regras de comunicação, os filtros a serem aplicados e o conjunto de chaves que será utilizado para criptografia e autenticação.

• O protocolo IPSec pode utilizar certificados de chave pública para confiar em computadores que utilizam outros sistemas operacionais, como por exemplo o Linux.

• O IPSec fornece suporte ao pré-compartilhamento de uma chave de segurança (preshared key support). Em situações onde não está disponível o uso do protocolo Kerberos, uma chave, como por exemplo a definição de uma senha, pode ser configurada ao criar a sessão IPSec. Esta chave tem que ser informada em todos os computadores que irão trocar dados de forma segura, usando IPSec.

• Conforme descrito anteriormente, o uso do IPSec é absolutamente transparente para os usuários e aplicações. O computador é que é configurado para usar o IPSec. Os programas instalados neste computador passam a usar o IPSec, sem que nenhuma modificação tenha que ser efetuada nos respectivos programas. Os dados são interceptados pelo sistema operacional e a comunicação é feita usando IPSec, sem que os usuários tenha que fazer quaisquer configurações adicionais.

Muito bem, com este pouco de teoria, teremos condições de entender melhor como funciona o Firewall do Windows com Segurança Avançada e também aprendermos a criar regras de entrada e de saída.