Vamos ver um pouco da teoria sobre as Regras do Firewall, antes de partirmos para os exemplos práticos. O Administrador pode criar regras (de entrada ou de saída) para definir qual o tipo de tráfego (de entrada e da saída), será permitido no Computador. As regras podem estar associadas a tráfego de programas, serviços do sistema, computadores ou usuários, portas de comunicação e uma série de outros critérios, o que as torna uma ferramenta de grande utilidade e praticidade e ao mesmo templo com infinitas possibilidades de configurações e combinações.

Associada com uma regra do firewall podemos ter três diferentes ações: permitir a conexão, permitir apenas uma conexão que esteja protegida pelo uso do protocolo IPSec (Internet Protocol Security) ou bloquear explicitamente a conexão. A ação configurada será tomada em relação ao tráfego que atender aos critérios da regra. Ou seja, todo tráfego de chegada que atender aos critérios de uma regra de entrada, terá a respectiva ação configurada na regra, agindo sobre o tráfego. Todo tráfego de saída que atender aos critérios de uma regra de saída, terá a respectiva ação configurada na regra de saída, agindo sobre o tráfego.

As regras podem ser criadas para tráfego de entrada ou de saída, podendo ser configuradas para computadores ou usuários, para programas, serviços ou para uma porta e o protocolo. Você pode especificar a qual tipo de adaptador de rede a regra será aplicada: rede local (LAN), conexão sem fio, acesso remoto (como uma conexão de rede virtual privada) ou todos os tipos. Você também pode configurar a regra para ser aplicada quando um perfil específico ou qualquer perfil está sendo usado.

Vejam a flexibilidade que o administrador tem, durante a criação de uma ou mais regras. Conforme as necessidades de segurança forem mudando, pode ser que você precise alterar, criar, desabilitar ou excluir regras. Isso tudo é possível de ser feito usando o console Firewall do Windows com Segurança Avançada.

Se existir mais de uma regra para um determinado tráfego, existe uma ordem de precedência para a aplicação das regras. As regras de firewall são aplicadas com a seguinte precedência:

• Bypass Autenticado (ou seja, regras que substituem regras de bloqueio)

• Bloquear conexão

• Permitir conexão

• Comportamento do perfil padrão (permitir ou bloquear conexão, conforme especificado na guia Perfil da caixa de diálogo Propriedades do Firewall do Windows com Segurança Avançada, descrita anteriormente).

Regras de entrada:

As regras de entrada permitem ou bloqueiam explicitamente o tráfego que corresponde aos critérios contidos na regra. Por exemplo, você pode configurar uma regra para permitir explicitamente que o tráfego protegido pelo protocolo IPSec passe para área de trabalho remota através do firewall, mas seja bloqueado caso não esteja protegido pelo protocolo IPSec. Você também pode configurar a ação que o Firewall do Windows com Segurança Avançada executará, se as conexões serão permitidas ou bloqueadas, quando nenhuma regra de entrada for usada.

Regras de saída:

As regras de saída são aquelas que permitem ou negam explicitamente o tráfego, originado no computador do usuário e que atende aos critérios da regra. Por exemplo, é possível configurar uma regra para bloquear explicitamente o tráfego de saída para um computador através do firewall, mas permitir esse mesmo tráfego para outros computadores. Por padrão, o tráfego de saída é permitido. Portanto, é necessário criar uma regra de saída para bloqueá-lo.

Relação entre regras de firewall e regras de segurança da conexão:

As regras de firewall permitem o tráfego através do firewall, mas não o protegem. Para proteger o tráfego com o protocolo IPSec, você pode criar regras de segurança da conexão. Entretanto, a criação de uma regra de segurança da conexão não permite o tráfego através do firewall. Para isso, é necessário criar uma regra de firewall caso o tráfego não seja permitido pelo comportamento padrão do firewall. As regras de segurança da conexão não se aplicam a programas nem a serviços; elas aplicam-se entre os computadores que compõem os dois pontos de extremidade. Isso é devido a característica do protocolo IPSec ser um protocolo ponto a ponto, conforme já descrito anteriormente.

Nota: Conforme descrevi anteriormente, as configurações do IPSec estão fora do Escopo deste livro. Para uma referência completa sobre como configurar dois ou mais computadores para utilizarem o IPSec, para uma comunicação segura, consulte o Capítulo 27 “Configuring Windows Firewall and IPSec”, do livro “Windos 7 – Resource Kit”, publicado pela Microsoft Press. Mais informações em http://www.microsoft.com/mspress

Entendendo o que é Tráfego de Entrada Não Solicitado:

O Firewall do Windows é considerado um firewall “de estado”. Ele monitora todos os aspectos das comunicações que cruzam seu caminho e inspeciona o endereço de origem e de destino de cada mensagem/pacote com o qual ele lida. Para evitar que o tráfego não solicitado da parte pública da conexão (a Internet ou uma rede externa) entre na parte privada da rede (o seu computador conectado à Internet), o Firewall do Windows mantém uma tabela de todas as comunicações que se originaram do computador no qual está configurado o Firewall do Windows. No caso de um único computador, o Firewall do Windows acompanha o tráfego originado do computador. Quando usado com o compartilhamento de conexão, no caso de uma pequena rede com o Windows 7, o Firewall do Windows acompanha todo o tráfego originado no computador onde o Firewall do Windows está habilitado e também nos demais computadores da rede. Todo o tráfego de entrada da Internet é comparado às entradas na tabela e só tem permissão para alcançar os computadores na sua rede quando houver uma entrada correspondente na tabela mostrando que a troca de comunicação foi iniciada na rede doméstica.

Na prática o que acontece é o seguinte: quando você acessa um recurso da Internet, por exemplo, acessa o endereço de um site, o computador que você está usando envia para a Internet uma requisição, solicitando que a página seja carregada no seu Navegador. Assim pode acontecer com todos os computadores da rede, cada um enviando as suas requisições. O Firewall do Windows faz uma tabela com todas as requisições enviadas pelos computadores da sua rede interna para a Internet. Cada informação que chega no Firewall do Windows, vinda da Internet é verificada. Se esta informação é uma resposta a uma das requisições que se encontra na tabela de requisições, significa que esta informação pode ser enviada para o computador que fez a requisição. Se a informação que está chegando não corresponde a uma resposta de uma das requisições pendentes, significa que pode ser um ataque vindo da Internet, ou seja, alguém tentando acessar o seu computador. Este tipo de informação é bloqueada pelo Firewall do Windows. Vejam que desta forma o Firewall do Windows está protegendo o seu computador, evitando que informações não solicitadas (não correspondentes a respostas para requisições enviadas) possam chegar até o seu computador ou a sua rede, e neste caso o Firewall do Windows está “cortando o fogo” vindo da Internet.

Podemos configurar o Firewall do Windows para simplesmente bloquear este tipo de informação não solicitada ou, para além de bloquear, gerar um registro de eventos (log), com informações sobre estas tentativas, conforme já descrito no exemplo prático da lição anterior. Também é possível, com o uso de regras de entrada, fazer com que só seja aceito o tráfego de entrada para o qual exista uma regra permitindo o tráfego. Por exemplo, se você está usando regras de entrada e criou uma regra para bloquear um determinado tráfego de entrada, este será bloqueado, mesmo que seja uma resposta a uma solicitação gerada internamente. Esta é realmente uma das grandes novidades do Firewall do Windows 7 em relação as versões anteriores,  pois com o uso destas regras, temos uma flexibilidade muito maior, com inúmeras opções possíveis de configurações e bloqueios.

Como o Firewall do Windows com Segurança Avançada bloqueia, por padrão, todo o tráfego TCP/IP de entrada não solicitado, pode ser que você precise configurar regras de programas, de portas e de serviços do sistema para os programas ou os serviços que estão atuando como servidores. Ou seja, podemos configurar o Firewall do Windows para permitir a entrada de informações que correspondem a determinados serviços. Por exemplo, se você tem uma conexão 24 horas e utiliza o seu computador como um servidor Web, no qual está disponível um site pessoal, você deve configurar o Firewall do Windows para aceitar requisições HTTP; caso contrário, o seu computador não poderá atuar como um servidor Web e todas as requisições dos usuários serão bloqueadas pelo Firewall do Windows. Também aprenderemos a fazer estas configurações nos próximos tópicos.

Importante: As configurações de uma regra de firewall adicionam níveis crescentes de restrição aos critérios da regra que deverão ser atendidos pelas solicitações de conexão. Por exemplo, se você não especificar um programa ou serviço na guia Programas e Serviços, todos os programas e serviços terão permissão para se conectarem se atenderem a outros critérios. Portanto, adicionar critérios mais detalhados torna a regra cada vez mais restritiva, diminuindo a probabilidade de ela ser atendida, o que fará com que cada vez mais tráfego de entrada seja bloqueado. Por isso que você deve ter cuidado ao criar as regras, para que somente sejam definidos os critérios realmente necessários.

Para adicionar um programa à lista de regras, você deve especificar o caminho completo para o arquivo executável (.exe) usado pelo programa. Um serviço do sistema que é executado em seu próprio arquivo .exe exclusivo e não é hospedado por um contêiner de serviços é considerado como sendo um programa e pode ser adicionado à lista de regras. Da mesma maneira, um programa que se comporta como um serviço do sistema e é executado independentemente de um usuário estar ou não conectado ao computador também é considerado um programa, desde que seja executado em seu próprio arquivo .exe exclusivo.

Nota: A inclusão de contêineres de serviços ou programas que hospedam serviços, como o Svchost.exe, o Dllhost.exe e o Inetinfo.exe, à lista de regras sem outras restrições na regra pode tornar o computador vulnerável a ameaças de segurança, pois uma vez que o container foi permitido, qualquer programa que executar dentro do container, terá também permissão de execução. Além disso, a inclusão desses contêineres poderia gerar conflito com outras diretivas do sistema de proteção de serviços nos computadores que estivessem executando esta versão do Windows.

Quando você adiciona um programa à lista de regras, o Firewall do Windows com Segurança Avançada abre (desbloqueia) e fecha (bloqueia) dinamicamente as portas necessárias para o programa. Quando o programa está em execução e está escutando tráfego de entrada, o Firewall do Windows com Segurança Avançada abre as portas necessárias; quando o programa não está em execução ou não está escutando o tráfego de entrada, o Firewall do Windows com Segurança Avançada fecha as portas. Devido a esse comportamento dinâmico, a inclusão de programas na lista de regras é o método recomendado para permitir que o tráfego de entrada não solicitado passe pelo Firewall do Windows com Segurança Avançada. Esta é outra novidade do Windows 7, que é de fundamental importância para a segurança. Ou seja, as portas usadas por um programa, para o qual existe uma regra de entrada, somente ficarão abertas enquanto o programa estiver em execução e não o tempo todo, o que reduz bastante o que chamamos tecnicamente de “superfície de ataque”.

Nota Técnica: Você pode usar regras do programa para permitir que tráfego de entrada não solicitado passe pelo Firewall do Windows com Segurança Avançada somente se o programa usar Windows Sockets (Winsock) para criar atribuições de porta. Se um programa não utilizar o padrão Winsock para atribuir portas, é necessário determinar quais portas o programa usa e adicioná-las à lista de regras.

Definindo configurações de porta e de protocolo:

Em alguns casos, se não for possível adicionar um programa ou um serviço do sistema à lista de regras, você precisará determinar qual ou quais portas o programa ou serviço utiliza e, então, adicioná-la(s) à lista de regras do Firewall do Windows com Segurança Avançada.

Ao adicionar uma porta à lista de regras, você deve especificar o protocolo e o número da porta. As portas podem ser especificadas somente com os protocolos TCP e UDP. Quando você adiciona uma porta TCP ou UDP à lista de regras, ela é aberta (desbloqueada) toda vez que o Firewall do Windows com Segurança Avançada está em execução, independentemente de haver ou não um programa ou serviço do sistema escutando o tráfego nela.

Definindo configurações de usuário e computador:

Você pode configurar a regra de firewall para ser aplicada apenas se usuários ou grupos especificados solicitarem uma conexão ou se um computador ou um grupo de computadores especificado solicitá-la. Essas configurações serão adicionadas a quaisquer outras restrições que você tenha especificado para a regra. Nos veremos como fazer estas configurações em alguns exemplos práticos, que faremos logo a seguir.

Definindo configurações de escopo:

Você pode configurar a regra do firewall para ser aplicada apenas se um computador especificado for o computador local ou apenas se um computador especificado for o computador remoto. Também é possível especificar grupos de computadores por endereço IP individual, sub-rede, intervalo de endereços IP ou palavra-chave (computadores WINS, por exemplo); no entanto, não é possível especificar um grupo do Active Directory. Nos veremos como fazer estas configurações em alguns exemplos práticos, que faremos logo a seguir.

Bem, peço desculpas pelo quantia de teoria, mas é um assunto realmente complexo. Daria para “enrolar” um bom pouco a mais, mas acho que já dá para partir para alguns exemplos práticos.

Regras de Entrada e de Saída – Exemplos Práticos:

Exemplo Prático 01: Neste primeiro exemplo vamos supor que você instalou um novo jogo que funciona em rede, via Internet. Só que para funcionar, o jogo precisa que você permita uma determinada porta no Firewall do Windows. Apenas a título de exemplo, vamos supor que o jogo precisa da porta TCP 4444. Para que este suposto jogo possa funcionar corretamente, temos que criar uma regra de entrada que aceite tráfego na porta TCP 4444. Então vamos a prática.

Exemplo Prático: Para criar uma Regra de Entrada, que aceite tráfego na porta TCP 4444, siga os passos indicados a seguir:

1.         Faça o logon com a conta Administrador ou com uma conta com permissão de Administrador.

2.         Abra o Painel de Controle: Iniciar -> Painel de Controle e na lista Exibir por selecione a opção Ícones pequenos.

3.         Abra a opção Ferramentas Administrativas.

4.         Abra a opção Firewall do Windows com Segurança Avançada.

5.         Será exibida a tela principal do Firewall.

6.         No painel da esquerda clique na opção Regras de Entrada e aguarde alguns instantes. Logo logo será exibida uma longa lista, com todas as regras de entrada já existentes, conforme indicado na Figura 18:15.

7.         Observe que a maioria das regras está em cor verde, o que indica que a referida regra está Habilitada. Outras estão em cor cinza. Regras em cor cinza estão desabilitadas.

8.         Para habilitar uma regra que esteja desabilitada, basta clicar com o botão direito do mouse na regra a ser habilitada e, no menu de opções que é exibido, clicar em Habilitar Regra.

9.         Para desabilitar uma regra que esteja habilitada, basta clicar com o botão direito do mouse na regra a ser desabilitada e, no menu de opções que é exibido, clicar em Desabilitar Regra.

Figura 18.15 – Lista de Regras de Entrada já existentes.

10.       Você também pode ver as propriedades de uma regra, simplesmente dando um clique duplo na regra. Será exibida a janela de propriedades da regra, com uma série de guias, com várias configurações, as quais aprenderemos a fazer logo em seguida.

11.       Agora vamos partir para criação de uma regra de entrada, a qual habilita o tráfego através da porta TCP 4444.

12.       Clique na opção Regras de Entrada, no painel da esquerda.

13.       No painel Ações, no lado direito, clique no link Nova Regra...

Dica: Ou, se preferir, clique com o botão direito do mouse em Regras de Entrada e, no menu de opções que é exibido, clique em Nova Regra... Ou ainda, clique na opção Regras de Entrada, para selecioná-la e depois selecione o comando Ação -> Nova Regra...

14.       Será aberto o Assistente para Nova Regra de Entrada, conforme indicado na Figura 18.16.

15.       Na primeira etapa, você deve informar que tipo de regra você deseja criar. Estão disponíveis os seguintes tipos:

• Programa: Esta é a opção que vem selecionada por padrão. Esse tipo de regra de firewall é utilizado para permitir a conexão baseada no programa que está tentando efetuar conexão. Ela facilita a configuração para permitir conexões do Microsoft Outlook, Windows Media Player, Windows Messenger ou de outros programas bastante utilizados via Internet e que podem ser bloqueados pelo Firewall com Segurança Avançada. Também é útil em caso de dúvidas sobre a porta ou outras configurações necessárias para permitir o acesso a um determinado programa. Para criar este tipo de regra, você só precisa especificar o caminho para o arquivo executável (.exe) do programa. Lembrando que no Windows 7 temos uma novidade importante. As portas utilizadas pelo programa somente serão abertas enquanto o programa estiver em execução e serão fechadas, imediatamente, após o program ser fechado. Vejam que com isso reduzimos bastante o que é tecnicamente chamado de “superfície de ataque”, pois as portas utilizadas pelo programa somente permanecem abertas durante o tempo realmente necessário, ou seja, somente enquanto o programa estiver sendo executado.

Figura 18.16 – Assistente para Nova Regra de Entrada.

• Porta: Use esse tipo de regra de firewall para permitir a conexão baseada na porta pela qual o usuário ou computador remoto está tentando efetuar conexão. Especifique o protocolo (UDP ou TCP) e a porta local. É possível especificar mais de um número de porta. Este é o tipo que vamos utilizar para este nosso primeiro exemplo prático.

• Predefinida: Esse tipo de regra é utilizado para permitir a conexão selecionando um dos programas ou serviços disponíveis em uma lista. A maioria dos programas e serviços disponíveis em computadores com o Windows 7, irá constar na lista.

• Personalizado: Use esse tipo de regra de firewall para criar uma regra que você possa configurar conforme necessário para permitir a conexão baseada em critérios não incluídos nos outros tipos de regras.

16.       Selecione a opção Porta e clique no botão Avançar, para seguir para a próxima etapa do assistente.

17.       Será exibida a janela indicada na Figura 18.17.

Figura 18.17 – Definindo a porta a ser liberada pela Regra.

18.       Nesta etapa você define se será uma porta TCP ou UDP e o número da porta. Você pode liberar mais de uma porta. Para isso, basta informar os diferentes números de portas, separados por vírgula. Por exemplo, para liberar as portas 4444 e 4445, você preencheria o campo Portas locais, da seguinte maneira: 4444 , 4445

19.       Selecione a opção TCP e no campo Portas locais digite 4444.

20.       Clique no botão Avançar, para seguir para a próxima etapa do assistente.

21.       Será exibida a janela indicada na Figura 18.18. Nesta janela você deve informar o tipo de ação que deve ser tomado, sempre que chegar um pacote de entrada, o qual atende os critérios contidos na regra, ou seja, tentando se comunicar com a porta TCP 4444.

Figura 18.18 – Definindo a Ação associada com a regra.

Estão disponíveis as seguintes opções:

• Permitir a conexão: Esta opção irá permitir uma conexão que corresponda a todos os critérios especificados. No nosso exemplo, se a conexão for para a porta TCP 4444 será permitida, pois atende aos critérios da regra que estamos criando. Esta opção permitirá conexões independentemente de elas estarem protegidas por IPSec, conforme definido por uma regra de segurança de conexão.

• Permitir a conexão, se for segura: Esta opção é utilizada para definir que somente serão permitidas conexões protegidas pelo protocolo IPSec. Essas configurações são definidas em uma regra de segurança de conexão. As conexões de computadores ou usuários que não atenderem aos critérios definidos nesta regra serão filtradas de acordo com as configurações padrão do perfil ativo. Quando essa opção é selecionada, a página Usuários e Computadores é adicionada automaticamente ao assistente. Você pode usar essa página para especificar os usuários ou computadores a quem deseja conceder acesso ou pode deixá-la em branco e, assim, permitir que todos os usuários e computadores tenham acesso a ela. Se você optar por especificar usuários ou computadores, deverá usar um método de autenticação que inclua informações sobre o usuário ou o computador, conforme apropriado, pois o Firewall do Windows com Segurança Avançada usará o método de autenticação da regra de segurança para fazer a correspondência com os usuários e computadores especificados. Por exemplo, para computadores, você pode usar Computador (Kerberos V5) ou Certificado de Computador com mapeamento de certificado para conta habilitado. Se você não especificar usuários ou computadores, poderá usar qualquer método de autenticação.

• Exigir que as conexões sejam criptografadas: Esta opção somente será habilitada quando a opção “Permitir a conexão, se for segura” for selecionada e você clicar no botão Personalizar... Usamos esta opção para exigir que todas as comunicações que correspondam aos critérios da regra usem a criptografia de dados como definido em uma regra de segurança de conexão. Se o computador não oferecer suporte à criptografia de dados, a conexão será bloqueada.

• Substituir regras de bloqueio: Esta opção somente será habilitada quando a opção “Permitir a conexão, se for segura” for selecionada e você clicar no botão Personalizar... Use esta opção para permitir que as conexões que corresponderem a essa regra de firewall substituam quaisquer regras de bloqueio de firewall. Esta opção também é conhecida como bypass autenticado. Em geral, as regras que bloqueiam conexões explicitamente têm prioridade sobre as que permitem conexões. Se você usar esta opção, a conexão será permitida mesmo que outra regra a bloqueie. Esta opção é mais usada para verificadores de vulnerabilidade. Caso contrário, as regras de bloqueio de firewall que corresponderem aos mesmos critérios da regra de firewall prevalecerão e as conexões serão bloqueadas. Se você selecionar esta opção, terá que especificar pelo menos um computador ou grupo de computadores para autorização na página Usuários e Computadores do assistente.

• Bloquear a conexão: Esta opção irá bloquear, explicitamente, todas as comunicações que atenderem os critérios especificados. No nosso exemplo, se selcionarmos esta opção, todas as comunicações que tentarem utilizar a porta TCP 4444 serão bloqueadas. A ação de bloqueio prevalece sobre a ação de permissão, a menos que a opção Substituir regras de bloqueio esteja selecionada quando a regra do firewall for criada. Por exemplo, se houver um determinado tráfego que atende aos critérios de uma regra que libera o acesse, mas atende também os critérios de uma outra regra que bloqueia o acesso, o acesso será bloqueado, pois bloquear tem precedência sobre permitir, a não ser que a opção Substituir regras de bloqueio esteja selecionada quando a regra foi criada.

Dica: Também é possível ajustar essas configurações na caixa de diálogo Propriedades de Regra de Firewall. Para alterar a ação de uma regra, clique com o botão direito do mouse na regra, selecione Propriedades e use a guia Geral.

22.       Para o nosso exemplo queremos permitir o tráfego de entrada na porta TCP 4444. Para isso, selecione a opção Permitir a conexão.

23.       Clique no botão Avançar, para seguir para a próxima etapa do assistente.

24.       Será exibida a janela indicada na Figura 18.19, para que você selecione em quais perfis esta regra deverá estar ativa.

25.       Observe que, por padrão, a regra vem configurada para ser ativada em todos os três perfis disponíveis, conforme indicado na Figura 18.19.

26.       Mantenha a regra ativada nos três perfis e clique em Avançar, para seguir para a próxima etapa do assistente.

Figura 18.19 – Definindo em quais perfis a regra será ativada.

27.       Será exibida a tela final do assistente, onde você deve inserir o nome da regra e uma descrição. A descrição é opcional. Eu sempre recomendo colocar uma descrição, para facilitar a identificação do que é a regra, quais os seus critérios e por que ela foi criada. Na Figura 18.20 temos uma exemplo de uma boa descrição.

Figura 18.20 – Definindo um nome e a descrição para a Regra.

28.       Clique no botão Concluir.

Pronto, a nova regra foi criada e já deve ser exibida na lista de Regras de Entrada, no console Firewall do Windows com Segurança Avançada. Vejam que com o uso do assistente e com o conhecimento básico sobre o TCP/IP e sobre portas do TCP/IP, foi relativamente simples a criação de uma nova regra. Por isso que eu insisti bastante nos pontos teóricos que, embora as vezes se tornem maçantes, são de vital importância para que você aprenda a utilizar os recursos disponíveis no Firewall do Windows com Segurança Avançada.

Exemplo Prático 02: Neste segundo exemplo, vamos aprender a configurar as propriedades de um Regra do Firewall do Windows com Segurança Avançada. A título de exemplo, vamos configurar as propriedades da regra Porta TCP 4444 – Permite o Tráfego, criada no Exemplo 01. Então, mãos à obra.

Exemplo Prático: Para configurar as propriedades da regra de entrada Porta TCP 4444 – Permite o Tráfego, criada no Exemplo 01, siga os passos indicados a seguir:

1.         Faça o logon com a conta Administrador ou com uma conta com permissão de Administrador.

2.         Abra o Painel de Controle: Iniciar -> Painel de Controle e na lista Exibir por selecione a opção Ícones pequenos.

3.         Abra a opção Ferramentas Administrativas.

4.         Abra a opção Firewall do Windows com Segurança Avançada.

5.         Será exibida a tela principal do Firewall.

6.         No painel da esquerda clique na opção Regras de Entrada e aguarde alguns instantes. Logo logo será exibida uma longa lista, com todas as regras de entrada já existentes, dentre as quais deve estar incluída a regra Porta TCP 4444 – Permite o Tráfego.

7.         Localize a regra Porta TCP 4444 – Permite o Tráfego e dê um clique duplo sobre ela, para exibir a janela de propriedades da regra. Será exibida a janela de propriedades da Regra, com a guia Geral selecionada por padrão, conforme indicado na Figura 18.21:

8.         Nesta guia podemos configurar as seguintes opções:

• Nome: Neste campo você pode alterar o nome para a regra.

• Descrição: Neste campo você pode alterar a descrição da regra.

• Habilitado: Está opção é utilizada para habilitar (marcada) ou para desabilitar (desmarcada) a regra.

• No grupo Ação você define qual ação deve ser tomada pelo Firewall, para o tráfego que atender aos requisitos da regra. Estas opções foram descritas, em detalhes, no exemplo prático anterior, quando criamos a Regra de Entrada.

9.         Defina as configurações desejadas e clique na guia Programas e Serviços. Serão exibidas as opções indicadas na Figura 18.22:

Figura 18.21 – A guia Geral da janela de Propriedades da Regra.

Figura 18.22 – A guia Programas e Serviços da janela de Propriedades da Regra.

10.       Esta guia é utilizada para criar regras associadas a um determinado programa ou serviço. Para associar a regra a um programa ou serviço, basta informar o caminho completo para o arquivo .exe do respectivo programa ou serviço. Cabe, mais uma vez, salientar, que se você definir mais do que um critério para uma regra, os critérios serão ligados por um E lógico, ou seja, a regra somente será atendida se todos os critérios forem satisfeitos. No nosso exemplo, temos uma regra que tem como critério a porta TCP 4444. Se usarmos a guia Programas e Serviços para definir mais um critério, por exemplo o programa C:\MeuJogo\Jogo.exe, teremos dois critérios definidos: Porta TCP 4444 E Programa C:\MeuJogo\Jogo.exe. Se houver um tráfego, que atende ao critério porta TCP 4444, mas não for do programa Jogo.exe, este será descartado, pois não atende aos dois critérios da regra. Nesta guia podemos configurar as seguintes opções:

• Programas - Todos os programas que atendem a condições específicas: Esta é a opção padrão e aceita pacotes vindos de qualquer programa, desde que as demais condições da regra sejam atendidas (no nosso exemplo, porta TCP 4444). Deixar esta opção selecionada é equivalente a não impor uma restrição em relação a programas, para esta regra.

• Programas - Este programa: Essa opção é utilizada para definir um programa associado à regra. É possível especificar o caminho do programa (inclusive variáveis de ambiente) ou procurar e selecionar o arquivo executável do programa (.exe).

• Serviços: Você pode clicar no botão Configurações... Será exibida a janela Personalizar Configurações de Serviços, indicada na Figura 18.23. Nesta janela você pode definir se a regra irá responder a todos os serviços ou a um serviço específico. Por exemplo, você pode querer bloquear a comunicação através de uma porta específica, somente para um determinado serviço. Neste caso você pode criar uma regra definindo a porta específica como critério, como ação da regra escolher Bloquear e nesta janela escolher o serviço desejado. Neste exemplo, será bloqueado o tráfego na porta especificada, somente para o serviço selecionado. Para os demais serviços e programas, o tráfego não estará bloqueado, na porta selecionada pela regra. Este é mais um exemplo que mostra o quão flexível e poderoso é o recurso de criação de regras de entrada e regras de saída, do Firewall do Windows com Segurança Avançada. Nesta janela temos as seguintes opções:

Figura 18.23 – Personalizando Configurações de Serviços para a Regra.

10.       Após definir as configurações desejadas é só clicar em OK para fechar a janela Personalizando Configurações de Serviços. Você estará de volta à guia Programas e Serviços.

11.       Defina as configurações desejadas. Agora vamos ver o funcionamento da guia Computadores e também da guia Usuários. O funcionamento destas duas guis é idêntico, por isso vamos descrevê-las em conjunto. Clique na guia Computadores. Serão exibidas as opções indicadas na Figura 18.23:

Figura 18.23 – A guia Usuários e Computadores.

12.       Na guia Computadores e na Guia usuários você pode especificar quais usuários e computadores terão o tráfego aceito, desde que atendam aos demais critérios da regra. No nosso exemplo, estamos criando uma regra para permitir tráfego na porta TCP 4444. Podemos definir também que somente determinados usuários ou computadores tenham permissão para conectar com o nosso computador, usando a porta TCP 4444. Por exemplo, suponha que esta porta seja utilizada por um determinado jogo somente irá jogar com mais dois ou três amigos do seu prédio. Você pode dar permissão somente para o nome de logon destes amigos (guia Usuários) ou somente para os computadores que eles utilizam (guia computadores), de tal forma que outros usuários e computadores, que não os seus amigos, não poderão acessar o seu computador usando a porta TCP 4444. Esta é uma medida adicional de segurança e, mais uma vez, demonstra a flexibilidade e o poder das regras de entrada e de saída do Firewall do Windows com Segurança Avançada. Porém temos um detalhe importante, pois para usar essas opções, a ação da regra de firewall deve estar definida como Permitir apenas conexões seguras. Deve haver uma regra de segurança de conexão correspondente para os computadores ou usuários especificados por essa regra de firewall. É o uso do IPSec, o qual conforme já descrevi anteriormente, está fora do escopo deste livro. As informações sobre o computador e sobre o usuário derivam da credencial usada pela regra de segurança de conexão. As credenciais devem ser uma credencial do protocolo de autenticação Kerberos versão 5 ou um certificado com mapeamento de contas habilitado. Na prática, esta é uma configuração mais utilizada em redes baseadas no Active Directory, com um domínio criado. Por exemplo, você pode criar regras no computador do Presidente da empresa, definindo quais computadores e usuários podem se conectar ao computador do Presidente. Isso aumenta, bastante, a segurança de estações de trabalho que realmente precisam de proteção extra, como por exemplo o computador do presidente da empresa, os computadores dos membros da diretoria, dos funcionários do setor de pesquisa e de outros setores estratégicos da empresa.

13.       Defina as configurações desejadas e clique na guia Protocolos e Portas. Serão exibidas as opções indicadas na Figura 18.24:

Figura 18.24 – A guia Protocolos e Portas.

14.       Nesta guia você define as configurações de portas associadas com a regra. Você define se será uma porta TCP ou UDP. Você pode configurar as opções para uma ou mais portas locais e uma ou mais portas remotas. Para informar mais de uma porta (local ou remota), basta separar os números de portas por vírgulas. É importante entender bem o que significa fazer estas configurações de Porta. A nossa regra tem um critério bem definido: Porta TCP 4444. Este guia é utilizada para refinar ainda mais a regra. Se você especificou o tipo de protocolo Personalizado, pode especificar um protocolo usando o número dele. Você pode usar qualquer número de protocolo listado pela autoridade de números atribuídos da Internet (IANA http://www.iana.org).

A tabela a seguir, contida na Ajuda do Windows 7, fornece uma lista parcial dos protocolos e dos respectivos números, bem como uma descrição resumida do protocolo.

15.       Defina as configurações desejadas e clique na guia Escopo. Serão exibidas as opções indicadas na Figura 18.25:

Figura 18.25 – A guia Escopo.

16.       O escopo é o endereço local e o endereço remoto de uma regra de fierwall de entrada e de saída. Você utiliza-o para especificar os endereços IP, os intervalos, as sub-redes ou as palavras-chave (aplica-se somente a computadores remotos) que representam endereços IP do computador local ou remoto da regra. A regra é, então, aplicada a qualquer conexão entre qualquer um dos endereços locais e remotos que também atenda aos outros critérios da regra. As palavras-chave representam tipos de servidor, como Sub-rede Local, Servidor DNS, Servidor DHCP, Servidores WINS e Gateway Padrão. Os endereços IP são gerados pela expansão das palavras-chave em tempo de execução. A regra é aplicada entre qualquer computador da lista Endereços Locais e qualquer computador da lista Endereços Remotos. Lembrando que com o Windows 7 é possível ter mais de uma interface de rede instalada (por exemplo, uma interface Ethernet padrão e uma interface de Rede Wireless) e também é possível ter mais de um endereço IP configurado na mesma interface, conforme vimos no Capítulo 15. Com o uso da guia Escopo, posso definir se a regra se aplicará as comunicações através de todos os endereços IP locais ou deve ser aplicada somente quando a comunicação for através de um ou mais dos endereços IP configurados localmente. Esta é uma maneira de refinar ainda mais a regra. Assim como é possível limitar quanto aos endereços IP locais, também é possível limitar quanto aos endereços IP remotos. Por exemplo, se você quer que esta regra se aplique somente quando você recebe pacotes de um determinado grupo de computadores, basta especificar o endereço IP destes computadores. Também é possível informar faixas de endereços IP ou o endereço IP de uma rede, de tal forma que a regra se aplique a todos os computadores da referida rede. Para mais detalhes sobre endereço IP, faixas de endereço e endereço de rede, consulte o Capítulo 15 e o Anexo, no final do livro. Nunca é demais salientar o nível de refinamento que é possível atingir com as regras do firewall. Posso limitar a aplicação da regra a determinados serviços ou programas, a protocolos específicos, a usuários ou computadores específicos, a endereços IP específicos e assim por diante. As possibilidades são realmente infindáveis.

16.       Defina as configurações desejadas e clique na guia Avançado. Serão exibidas as opções indicadas na Figura 18.26:

Figura 18.26 – A guia Avançado.

17.       Nesta guia você define as seguintes opções:

• Perfis: Neste grupo você define se a regra será aplicada em todos os perfis ou somente em determinados perfis. O padrão é Todos os perfis. Para aplicar a regra somente a determinados perfis deixe selecionados somente os perfis aos quais a regra deve ser aplicada.

• Tipo de interface: Você pode clicar no botão Personalizar para especificar o tipo de interface ao qual a regra de segurança de conexão é aplicada, incluindo rede local (LAN), adaptador de rede sem fio, acesso remoto ou todos os tipos de conexão de rede. Ao clicar no botão Personalizar..., será exibida a janela indicada na Figura 18.27. Nesta janela você define se a regra será aplicada a todos os tipos de interface ou somente em determinados tipos. O padrão é Todos os tipos de interface. Para aplicar a regra somente a determinados tipos de interface, marque a opção Estes tipos de interface e deixe selecionados somente os tipos de interface aos quais a regra deve ser aplicada. Feitas as configurações desejadas clique em OK. Você estará de volta à guia Avançado, da janela de Propriedades da regra.

Figura 18.27 – A janela Personalizar Tipo de Interface.

• Percurso de borda: Selecione a opção Permitir percurso de borda para ter o aplicativo, o serviço ou a porta em que a regra é usada globalmente endereçável e acessível de fora por um dispositivo NAT ou de borda. Esta opção deve ser tentada, caso você esteja em uma rede que usa o protocolo NAT e a regra não está funcionando corretamente.

18.       Feitas as configurações desejadas clique em OK para fechar a janela de propriedades da regra.

19.       Você estará de volta ao console Firewall do Windows com Segurança Avançada. Feche-o.

A seguir faremos um último exemplo, para encerrarmos este tópico. Veremos como criar uma regra de entrada, para aceitar requisições HTTP na porta 80. Com isso permitiremos que o computador funcione como um servidor Web, aceitando requisições vindas de fora, o que não seria possível sem a criação de uma regra, pois por padrão, conforme já descrito anteriormente, o Firewall bloqueia todo o tráfego externo que não corresponde a uma resposta de uma requisição interna. Então vamos a prática.

Exemplo Prático 03: Neste segundo exemplo, vamos criar uma regra de entrada, para aceitar tráfego HTTP na porta 80 (na verdade vamos criar uma regra que aceita tráfego TCP na porta 80, pois o HTTP roda em cima do TCP), o que permitirá configurar o nosso computador como um servidor Web.

Nota: Na verdade já existe uma regra para fazer esta função. É a regra de entrada chamada: Tráfego HTTP de Entrada dos Serviços da World Wide Web. Na prática, para tornar o nosso computador um servidor Web, após a instalação do IIS, bastaria habilitar a regra “Tráfego HTTP de Entrada dos Serviços da World Wide Web”. Para isso, bastaria acessar a opção Regras de Entrada, localizar esta regra, clicar com o botão direito do mouse sobre ela e, no menu de opções que é exibido, clicar em Habilitar Regra. Mas, a título de exemplo, mostrarei, passo-a-passo, como criar esta regra.

Exemplo Prático: Para criar uma regra de entrada, que aceite tráfego na TCP na porta 80, que é a porta utilizada pelo HTTP. Siga os passos indicados a seguir:

1.         Faça o logon com a conta Administrador ou com uma conta com permissão de Administrador.

2.         Abra o Painel de Controle: Iniciar -> Painel de Controle e na lista Exibir por selecione a opção Ícones pequenos.

3.         Abra a opção Ferramentas Administrativas.

4.         Abra a opção Firewall do Windows com Segurança Avançada.

5.         Será exibida a tela principal do Firewall.

6.         No painel da esquerda clique na opção Regras de Entrada e aguarde alguns instantes. Logo logo será exibida uma longa lista, com todas as regras de entrada já existentes.

7.         Agora vamos partir para criação de uma regra de entrada, a qual habilita o tráfego através da porta TCP 80. Lembrando que a porta 80 é a porta utilizada pela HTTP. Ao liberar esta porta, estamos habilitando o funcionamento do IIS, ou seja, o seu computador poderá atuar como um servidor Web, respondendo a requisições na porta 80, o que não seria possível sem a regra, pois todas as solicitações vindas de fora seriam descartadas, por não serem respostas a solicitações originadas internamente na rede, conforme já descrito anteriormente.

8.         Clique na opção Regras de Entrada, no painel da esquerda.

9.         No painel Ações, no lado direito, clique no link Nova Regra...

Dica: Ou, se preferir, clique com o botão direito do mouse em Regras de Entrada e, no menu de opções que é exibido, clique em Nova Regra... Ou ainda, clique na opção Regras de Entrada, para selecioná-la e depois selecione o comando Ação -> Nova Regra...

10.       Será aberto o Assistente para Nova Regra de Entrada, conforme indicado na Figura 18.16, anteriormente.

11.       Na primeira etapa, você deve informar que tipo de regra você deseja criar. Os tipos disponíveis já foram descritos anteriormente, no Exemplo 01. Selecione a opção Porta e clique no botão Avançar, para seguir para a próxima etapa do assistente.

12.       Nesta etapa você define se será uma porta TCP ou UDP e o número da porta. Você pode liberar mais de uma porta. Para isso, basta informar os diferentes números de portas, separados por vírgula. Por exemplo, para liberar as portas 4444 e 4445, você preencheria o campo Portas locais, da seguinte maneira: 4444 , 4445

13.       Selecione a opção TCP e no campo Portas locais digite 80.

14.       Clique no botão Avançar, para seguir para a próxima etapa do assistente.

15.       Nesta etapa você deve informar o tipo de ação que deve ser tomado, sempre que chegar um pacote de entrada, o qual atende os critérios contidos na regra, ou seja, tentando se comunicar com a porta TCP 80. As opções disponíveis nesta etapa já foram detalhadamente descritas no Exemplo 01.

16.       Para o nosso exemplo queremos permitir o tráfego de entrada na porta TCP 80, para que o computador possa funcionar como um servidor Web. Para isso, selecione a opção Permitir a conexão.

17.       Clique no botão Avançar, para seguir para a próxima etapa do assistente.

18.       Nesta etapa você deve selecionar em quais perfis esta regra deverá estar ativa. Observe que, por padrão, a regra vem configurada para ser ativada em todos os três perfis disponíveis. Mantenha a regra ativada nos três perfis e clique em Avançar, para seguir para a próxima etapa do assistente.

19.       Será exibida a tela final do assistente, onde você deve inserir o nome da regra e uma descrição. A descrição é opcional. Eu sempre recomendo colocar uma descrição, para facilitar a identificação do que é a regra, quais os seus critérios e por que ela foi criada. Na Figura 18.28 temos um exemplo de uma boa descrição. Defina o nome e a descrição indicados na Figura 18.28.

20.       Clique no botão Concluir.

Pronto, a nova regra foi criada e já deve ser exibida na lista de Regras de Entrada, no console Firewall do Windows com Segurança Avançada. Vejam que com o uso do assistente e com o conhecimento básico sobre o TCP/IP e sobre portas do TCP/IP, foi relativamente simples a criação de uma nova regra. Por isso que eu insisti bastante nos pontos teóricos, no ínicio deste tópico, onde abordei em detalhes sobre o conceito de portas do TCP/IP. Embora as vezes a teoria possa se tornar maçante, é de vital importância para que você aprenda a utilizar os recursos disponíveis no Firewall do Windows com Segurança Avançada.

Muito bem, sobre o Firewall do Windows com Segurança Avançada era isso. Claro que não esgotamos o assunto. Teria toda a parte de configurações do IPSec, monitoramento das regras e por aí vai. E como o espaço é limitado, vamos encerrar este tópico por aqui mesmo. Acesse regularmente o meu site www.juliobattisti.com.br, onde você encontrará artigos sempre atualizados sobre o Windows 7, com informações complementares a este livro. Os artigos serão publicados diretamente em /artigos/

Figura 18.28 – Definindo um nome e a descrição para a Regra.