Aviso de segurança de 5 minutos – Usando o Firewall de conexão com a Internet

Mesmo que você esteja pensando em investir em um software ou hardware de firewall de terceiros, considere o uso do ICF (Internet Connection Firewall, Firewall de conexão com a Internet) do Windows XP para ajudar a proteger sua rede doméstica ou de pequena empresa. O ICF está incluído no Windows XP Home Edition e no Windows XP Professional. Como tal, ele é adequado para soluções domésticas ou de pequena empresa, em que o número de usuários e computadores a serem protegidos é relativamente pequeno. Se você não estiver usando um firewall, o ICF oferece uma proteção robusta sem custo extra. Se você já usa algum, o ICF pode ser usado para segmentar a rede dentro do firewall ou para proteger computadores específicos para que o restante da rede interna não possa acessá-lo. (Se o número de usuários for um pouco maior, considere o produto Microsoft ISA (Internet Security and Acceleration)(site em inglês), um firewall profissional que funciona com Windows 2000 e Windows Server 2003.)

Os dados são transferidos pela Internet via IP (Internet Protocol, protocolo Internet). Sendo assim, todo computador conectado à Internet usa esse protocolo. O computador conectado à Internet tem um endereço IP que o identifica de maneira exclusiva. As comunicações IP seguem para portas específicas. Por exemplo, uma solicitação enviada para um computador pela porta 80 é enviada ao seu servidor Web ( HTTP). Da mesma forma, uma solicitação enviada para a porta 25 do mesmo computador é uma solicitação do protocolo SMTP(Simple Mail Transfer Protocol), portanto deve ser tratada pelo software do servidor de mensagens. O servidor Web jamais tem conhecimento do tráfego na porta 25 e o servidor de mensagens não tem noção do tráfego na porta 80.

Por padrão, a ativação do ICF bloqueia automaticamente todas as comunicações proveniente de computadores alheios enviada para todas as portas do computador. Basicamente, isso faz com que o computador fique invisível para rastreadores de portas, ferramentas de invasão que testam repetidamente várias portas de um endereço de rede para ver como uma máquina pode ser atacada. Os hackers freqüentemente executam os rastreadores de porta em serviços ADSL ou de modem a cabo para tentar encontrar máquinas desprotegidas; com o ICF em execução(site em inglês), eles nunca verão seu computador.

Para permitir que usuários da Internet comuniquem-se com seu computador (como se você estivesse usando um servidor Web ou um programa comum ponto a ponto, como o Morpheus), você pode optar por permitir a comunicação pelas portas especificadas(site em inglês) clicando no botão Configurações da guia Avançado da janela de propriedades da conexão de rede pública. Embora os vírus Code Red e Nimda demonstrem a importância dos serviços de correção mesmo quando não estão expostos por um firewall, se você abrir uma porta para o mundo externo, é vital que você instale e mantenha atualizados quaisquer patches desse serviço. O Windows Update é uma maneira fácil de garantir que os serviços do Windows XP estão atualizados.

Protegendo um único computador

Se o computador estiver conectado diretamente à Internet ou se não houver um firewall entre o computador e a Internet, habilite o ICF para limitar o acesso ao seu computador a origens desconhecidas. Sem o ICF ou outro tipo de firewall, o computador fica exposto a todos os outros computadores da Internet, deixando dados e serviços abertos a um possível ataque.

Figura 1 Sem um firewall, o computador fica exposto a todos os computadores da Internet.

Para eliminar toda comunicação não solicitada proveniente de outros computadores, basta habilitar o ICF(site em inglês) com sua configuração padrão clicando na caixa de seleção da guia Avançado da janela de propriedades da conexão de rede. No entanto, se você estiver hospedando um serviço e desejar que outros computadores possam acessá-lo, será necessário informar o ICF sobre isso. O exemplo clássico é um servidor Web. O ICF é facilmente configurável para qualquer serviço que você possa executar no computador e vem pré-configurado com definições para protocolos e serviços comuns como HTTP, FTP e SMTP. Mesmo que o serviço ou os aplicativosque você deseja expor não estejam na lista padrão, você pode adicioná-los(sites em inglês) definindo as portas TCP interna e externa que eles utilizam.

Protegendo vários computadores

Por conta própria, o ICF pode proteger um único computador com uma conexão à Internet, ou um computador conectado diretamente a um serviço ADSL ou modem a cabo. Em conjunto com o ICS(Internet Connection Sharing, Compartilhamento de conexão com a Internet), também incluído nas versões do Windows XP, um único computador com o ICF com duas placasde rede (sites em inglês) pode funcionar como firewall para toda a rede doméstica.

Figura 2 Uma rede pequena está compartilhando uma conexão protegida usando o ICS.

Nesse ambiente, o ICF é configurado à Internet na conexão de rede pública(site em inglês) e o ICS na conexão da rede privada interna. Se você configurar o ICF na placa privada, estará dizendo ao computador que a rede privada não é confiável e para limitar a comunicação entre ela e o computador. Por exemplo, o ICF não permite a comunicação entre os clientes ICS da rede e o servidor ICS, impedindo que todos os computadores da rede privada acessem a conexão que você está tentando compartilhar.

Se você possui um hardware de firewall sem recurso de compartilhamento de conexão, pode usar o ICS junto com ele para fornecer uma solução similar. Configure a rede conforme ilustrado acima, mas conecte a NIC externa ao firewall. Exatamente como acima, configure o ICS na conexão interna; como você já possui um firewall, não precisará habilitar o ICF na conexão externa para o firewall.

Publicando serviços para o resto do mundo

O servidor ICF funciona como um proxy para todas as máquinas internas. Se um cliente ICS precisar comunicar-se com uma máquina externa, pedirá que o servidor ICS, que também está executando o ICF, estabeleça a comunicação. O servidor envia a solicitação para a rede pública e, em seguida, encaminha a resposta de volta ao cliente. Por isso, o endereço IP do cliente não é revelado. Se o computador externo tentar iniciar uma nova conversa, ele enviará toda a comunicação para o servidor ICF. Isso pode não ser o que você deseja. Se você quiser que os computadores da Internet acessem um serviço particular de uma máquina da rede, como um servidor Web, será possível configurar(site em inglês) o servidor ICF para redirecionar o tráfego de portas específicas para uma máquina interna. Fazendo isso, os computadores externos enviam as solicitações da Internet para o servidor ICF que, por sua vez, encaminha as mesmas para o computador interno que hospeda o serviço.

Ação Se você quiser permitir que computadores externos usem um servidor Web em uma máquina da rede local, faça o seguinte:

1. Confirme se o ICS e o ICF estão habilitados e funcionando corretamente.
2. No servidor ICF, abra a janela Propriedades de Conexão da conexão habilitada pelo ICF.
3. Vá para a guia Avançado e clique em Configurações.
4. Vá para a guia Serviços da janela Configurações Avançadas, desmarque a caixa Servidor Web (HTTP) e clique em Editar.
5. Na janela Configurações de Serviço, digite o nome do servidor Web interno.

É importante observar que tanto o ICS quanto o ICF devem estar habilitados(site em inglês) para usar esses recursos de redirecionamento.

Esteja alerta

Um aspecto importante de qualquer solução de firewall é prestar atenção no tráfego pelo firewall. Qualquer solução de segurança implantada deve ser monitorada para garantir sua eficiência. O ICF possui um recurso de registro em log de segurança que pode ser habilitado(sites em inglês) para registrar todos os pacotes recusados (negados), todas as conexões bem-sucedidas ou ambos. Você deve ativar o registro em log de segurança e verificar periodicamente os logs em relação a ataques.

O ICS e o ICF oferecem uma solução eficiente e econômica para proteger redes pequenas em casa e no trabalho. Embora com bem pouco tempo e trabalho(site em inglês) seja possível implantar uma solução para proteger sua rede contra a maioria dos ataques, um planejamento cuidadoso é o ideal para aumentar a defesa da segurança. Os serviços ICS e ICF são peças importantes do quebra-cabeça de segurança, mas não conte apenas com eles como armas de defesa. O uso de senhas fortes, de antivírus e a implementação de segurança física são alguns exemplos de medidas adicionais(site em inglês) que você pode tomar para aumentar a segurança.