Escolar Documentos
Profissional Documentos
Cultura Documentos
17 - IfC - Internet Firewall Connection
17 - IfC - Internet Firewall Connection
Esta é a décima sétima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
básicos do protocolo TCP/IP. Na Parte 2falei sobre cálculos binários, um importante
tópico para entender sobre redes, máscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereços, na Parte 4 fiz uma introdução ao roteamento e na Parte
5apresentei mais alguns exemplos e análises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divisão de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentação de um dos serviços mais utilizados pelo TCP/IP, que é o Domain Name
System: DNS. O DNS é o serviço de resolução de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dúvidas, é a maior rede TCP/IP existente.
Na Parte 9 fiz uma introdução ao serviço Dynamic Host Configuration Protocol – DHCP.
Na Parte 10 fiz uma introdução ao serviço Windows Internet Name Services – WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicação.
Na Parte 12, mostrei como são efetuadas as configurações de portas em diversos
aplicativos que você utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informações sobre portas de comunicação. Na Parte 13 falei sobre a instalação e
a configuração do protocolo TCP/IP. Na Parte 14 fiz uma introdução sobre o protocolo
de roteamento dinâmico RIP e na Parte 15 foi a vez de fazer a introdução a um outro
protocolo de roteamento dinâmico, o OSPF. NaParte 16 você aprendeu sobre um
recurso bem útil: O compartilhamento da conexão Internet, oficialmente conhecida
como ICS – Internet Connection Sharing. Este recurso é útil quando você tem uma
pequena rede, não mais do que cinco máquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das máquinas tem conexão com a Internet. Você
pode habilitar o ICS no computador que tem a conexão com a Internet. Com isso os
demais computadores da rede também passarão a ter acesso à Internet.
Introdução
Regra número 2: Informação. Procure estar sempre atualizado sobre novos tipos de
vírus, novos tipos de ataques e perigos que possam comprometer a segurança do seu
computador. Para informações sobre segurança da informação consulte regularmente o
seguinte site:www.invasao.com.br ewww.terra.com.br/tecnologia, bem como a minha
coluna semanal emhttp://www.juliobattisti.com.br/coluna
Função do Firewall
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 2/17
24/1/2014 Julio Battisti
Um único computador conectado à Internet, quer seja via uma conexão dial-up ou via uma
conexão de acesso rápido: Para esta situação configuramos o ICF no computador que está
conectado à Internet. O ICF protejerá o computador de uma série de ataques originados na
Internet.
Uma pequena rede onde somente um computador tem conexão com à Internet: Nestas
situações é comum o computador que tem acesso à Internet, compartilhar esta conexão com os
demais computadores da rede (veja a Parte 16 deste tutorial). Neste caso, quando o computador
que tem acesso à Internet estiver conectado, todos os demais passarão a ter acesso à Internet.
Ou seja, existe um único ponto de acesso à Internet que é o computador no qual existe uma
conexão, quer seja dial-up ou de acesso rápido. Nesta situação temos que proteger o
computador que está conectado à Internet, com isso protegeremos também os demais
computadores da rede. Nesta configuração, configuramos o computador com acesso à Internet
para usar o ICF.
Uma rede empresarial com um grande número de computadores ligados em rede: Nestes
casos também é comum existir um único ponto de acesso à Internet, o qual é compartilhado para
todos os computadores da rede. Porém para grandes redes empresariais é exigido um alto nível
de sofisticação, capacidade de bloqueio e filtragem e proteção que somente produtos específicos
são capazes de fornecer. Nestas situações é comum existir um conjunto de equipamentos e
programas que atua como um Firewall para toda a rede da empresa. Obviamente que nestas
situações não é indicado o uso do ICF do Windows XP.
O ICF é considerada uma firewall "de estado". Ela monitora todos os aspectos das
comunicações que cruzam seu caminho e inspeciona o endereço de origem e de
destino de cada mensagem com a qual ele lida. Para evitar que o tráfego não solicitado
da parte pública da conexão (a Internet) entre na parte privada da rede (o seu
computador conectado à Internet), o ICF mantém uma tabela de todas as
comunicações que se originaram do computador no qual está configurado o ICF.
Podemos configurar o ICF para simplesmente bloquear este tipo de informação não
solicitada ou, para além de bloquear, gerar um log de registro, com informações sobre
estas tentativas. Aprenderemos a fazer estas configurações nos próximos tópicos.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 3/17
24/1/2014 Julio Battisti
4. Será aberta a janela Firewall do Windows. Se você tiver mais de uma conexão de
rede (por exemplo, uma conexão de rede local e uma conexão via Modem), você
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 4/17
24/1/2014 Julio Battisti
6. Após ter feito as configurações desejadas, clique em OK, para aplicá-las e fechar
a janela Firewall do Windows.
Nota: Para ativar/desativar o ICF você deve ter feito o logon como Administrador ou
como um usuário com permissões de Administrador. Para todos os detalhes sobre a
criação e administração de usuários no Windows XP, consulte o Capítulo 6 do meu
livro: “Windows XP Home & Professional Para Usuários e Administradores – Segunda
Edição”.
O log de segurança da Firewall de conexão com a Internet (ICF) permite que você
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 5/17
24/1/2014 Julio Battisti
Registrar em log os pacotes eliminados, isto é, pacotes que foram bloqueados pelo Firewall. Essa
opção registrará no log todos os pacotes ignorados que se originarem da rede doméstica ou de
pequena empresa ou da Internet.
Registrar em log as conexões bem-sucedidas, isto é, pacotes que não foram bloqueados. Essa
opção registrará no log todas as conexões bem-sucedidas que se originarem da rede doméstica
ou de pequena empresa ou da Internet.
Quando você marca a caixa de seleção Listar conexões de saída bem-sucedidas, são
coletadas informações sobre cada conexão bem-sucedida que passe pela firewall. Por
exemplo, quando alguém da rede se conecta com êxito a um site da Web usando o
Internet Explorer, é gerada uma entrada no log. Devemos ter cuidado com esta opção,
pois dependendo do quanto usamos a Internet, ao marcar esta opção será gerado um
grande número de entradas no log de segurança do ICF, embora seja possível limitar o
tamanho máximo do arquivo no qual são gravadas as entradas do log, conforme
aprenderemos mais adiante.
Por padrão, ao ativarmos o ICF, o log de segurança não é ativado. Para ativá-lo, de tal
maneira que passem a ser registrados eventos no log de segurança, siga os passos
indicados a seguir (Windows XP):
Registrar em logo os pacotes eliminados: Marque esta opção para que todos os pacotes
ignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados no
log de segurança do ICF.
Registrar em log as conexões bem-sucedidas: Marque esta opção para que todas as conexões
bem-sucedidas que se originaram da sua rede local ou da Internet serão registradas no log de
segurança.
Campo Nome: Neste campo definimos o nome do arquivo onde serão gravadas as entradas do
log de segurança. Por padrão é sugerido o seguinte caminho: C:\Windows\pfirewall.log.
Substitua C:\Windows pela pasta onde está instalado o Windows XP, caso este tenha sido
instalado em outra pasta.
Limite de tamanho: Define o tamanho máximo para o arquivo do log de segurança. O tamanho
máximo admitido para o arquivo de log é 32.767 quilobytes (KB). Quando o tamanho máximo for
atingido, as entradas de log mais antigas serão descartadas.
11. Faça uma conexão com a Internet e acesse alguns sites, abra o Outlook e envie
algumas mensagens. Isto é para gerar tráfego através do Firewall, para que sejam
geradas entradas no log de segurança.
Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de
segurançao.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 7/17
24/1/2014 Julio Battisti
13. Abra o arquivo definido como aqruivo de log, que por padrão é o arquivo
C:\Windows\pfirewall.log. Caso você tenha alterado esta opção, abra o respectivo
arquivo.
Na Figura a seguir temos uma visão de algumas entradas que foram gravadas no
arquivo de log:
Observe que cada entrada segue um padrão definido, como por exemplo:
Onde:
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 8/17
24/1/2014 Julio Battisti
Se você tem uma conexão permanente com a Internet e quer utilizar o seu
computador com Windows XP como um servidor Web (disponibilizando páginas), um
servidor ftp (disponibilizando arquivos para Download) ou outro tipo de serviço da
Internet, você terá que configurar o ICF para aceitar requisições para tais serviços.
Lembre que, por padrão, o ICF bloqueia todo tráfego vindo da Internet, que não seja
resposta a uma requisição da rede interna, enviada pelo usuário. Se você vai utilizar o
seu computador como um Servidor, o tráfego vindo de fora corresponderá as
requisição dos usuários, requisições estas que terão que passar pelo ICF para chegarem
até o servidor e ser respondidas.
Por padrão nenhum dos serviços está habilitado, o que garante uma maior segurança.
Para habilitar os serviços necessários, siga os seguintes passos:
1. Faça o logon com uma conta com Permissão de Administrador e abra o Painel de
controle: Iniciar -> Painel de controle.
4. Será aberta a janela Firewall do Windows. Se você tiver mais de uma conexão de
rede (por exemplo, uma conexão de rede local e uma conexão via Modem), você
poderá fazer as configurações de serviços, individualmente, em cada conexão. Na
janela Firewall do Windows, dê um clique na guia Avançado. No nosso exemplo, temos
duas conexões de Rede local (Conexão local e Conexão local 2) e o Firewall está
habilitado nas duas conexões. Para configurar os serviços de uma das conexões, clique
na respectiva conexão para marcá-la e dê um clique no botão Configurações...,ao lado
da lista de conexões
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 9/17
24/1/2014 Julio Battisti
Você também pode utilizar o botão Adicionar..., para adicionar novos serviços, não
constantes na lista.
Para configurar o padrão de tráfego ICMP através do Firewall, siga os passos indicados
a seguir:
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 10/17
24/1/2014 Julio Battisti
1. Faça o logon com uma conta com Permissão de Administrador e abra o Painel de
controle: Iniciar -> Painel de controle.
4. Será aberta a janela Firewall do Windows. Se você tiver mais de uma conexão de
rede (por exemplo, uma conexão de rede local e uma conexão via Modem), você
poderá fazer as configurações do protocolo ICMP, individualmente, em cada conexão.
Na janela Firewall do Windows, dê um clique na guia Avançado. No nosso exemplo,
temos duas conexões de Rede local (Conexão local e Conexão local 2) e o Firewall está
habilitado nas duas conexões. Para configurar as opções do protocolo ICMP de uma das
conexões, clique na respectiva conexão para marcá-la e dê um clique no botão
Configurações...,ao lado da lista de conexões
Permitir solicitação de eco na entrada: Se esta opção estiver marcada, as mensagens enviadas
para este computador serão repetidas para o remetente. Por exemplo, se alguém de fora der um
ping para este computador, uma resposta será enviada. Se esta opção estiver desmarcada o
computador não responderá a comandos como pint e tracert.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 11/17
24/1/2014 Julio Battisti
Permitir solicitação de carimbo de data/hora de entrada: Os dados enviados para o
computador podem ser confirmados por uma mensagem indicando quando foram recebidos.
Permitir solicitação de roteador de entrada: Se esta opção estiver marcada o computador será
capaz de responder às solicitações sobre quais rotas ele conhece.
Permitir destino de saída inacessível: Os dados enviados pela Internet, tendo como destino
este computador e, que não conseguiram “chegar” até ele devido a algum erro serão
descartados e será exibida uma mensagem explicando o erro e informando que o destino está
inacessível. A mensagem será exibida no computador de origem, o qual tentou enviar dados para
este computador, dados estes que não conseguiram chegar.
Permitir hora de saída ultrapassada: Se o computador descartar uma transmissão de dados por
precisar de mais tempo para concluí-la, ele enviará ao remetente uma mensagem informando que
o tempo expirou.
Permitir redirecionamento: Os dados enviados pelo computador seguirão uma rota alternativa,
se uma estiver disponível, caso o caminho (rota) padrão tenha sido alterado.
6. Marque as opções que forem necessárias, de acordo com as funções que estiver
desempenhando o comuptador.
A primeira novidade é que o próprio nome mudou. Antes do SP2, o Firewall era
referenciado como ICF. A partir do SP2, passamos a utilizar a denominação Firewall do
Windows. Com o SP2 foram introduzidas uma série de modificações, bastante
significativas, as quais trouxeram muitas melhorias e uma maior segurança.
Novidade 01 - O Firewall do Windows é Ativado por padrão: Nas versões anteriores, antes do
SP2, o Firewall vinha desativado por padrão. O usuário é que tinha que ativar o Firewall,
manualmente, usando os passos descritos anteriormente. Com o SP2, o Firewall do Windows é
ativado por padrão, o que oferece uma maior proteção, por padrão, contra ataques e invasões
vindas da Internet. Isso também ajuda a proteger qualquer conexão de rede que seja
adicionada ao sistema, pois o Firewall será ativado, por padrão, para qualquer nova conexão de
rede que for adicionada.
4. Na guia Geral, você tem a opção “Não permitir exceções”. Se você marcar esta
opção, nenhuma exceção será permitida. Para o nosso exemplo, mantenha esta opção
desmarcada.
5. Clique na guia Exceções. Observe que, por padrão, já vem algumas exceções
ativadas, conforme indicado na Figura a seguir:
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 13/17
24/1/2014 Julio Battisti
9. Você pode clicar em um programa da lista para marcá-lo e depois clicar no botão
Editar. Por exemplo, clique no item Compartilhamento de Arquivo e Impressora, para
marcá-lo e depois clique no botão Editar. Será aberta a janela Editar um serviço,
indicada na Figura a seguir, onde são exibidas as portas utilizadas pelo programa (no
caso o Serviço de Compartilhamento de Arquivo e Impressora). Se necessário, você
pode desabilitar uma ou mais das portas utilizadas por um programa/serviço. Só
desabilite uma porta, se você tiver certeza do que está fazendo, com base na
documentação do programa, pois ao desabilitar uma ou mais portas, determinadas
funcionalidades do programa em questão, poderão deixar de funcionar corretamente.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 14/17
24/1/2014 Julio Battisti
10. Após ter feito as alterações desejadas, clique em OK para fechar a janela Editar
um Serviço. Você estará de volta à guia Exceções.
11. Você pode usar o botão Adicionar porta..., para adicionar uma porta específica
(tanto UDP quanto TCP), à lista de exceções do Firewall. Por exemplo, se você tem um
programa que precisa utilizar a porte TCP 2500, você pode usar o botão Adicionar
porta..., para adicionar esta porta à lista de exceções do Firewall do Windows. Com
isso, o programa que utiliza a porta TCP 2500, poderá funcionar, normalmente, mesmo
com o Firewall ativado. Observe que com isso, o Firewall do Windows nos oferece, ao
mesmo tempo, segurança e flexibilidade.
12. Após ter configurado as exceções desejadas, clique em OK para fechar a janela
de configurações do Firewall do Windows.
Novidade 04 - Modo operacional “Ativado sem exceções”: Este recurso permite desativar
facilmente todas as exceções na lista de exceções do Firewall do Windows. Embora você precise
delas para usar determinados programas, às vezes é recomendável desativar todas as exceções
para obter segurança máxima. Por exemplo, se você usar seu computador no ponto de acesso
de um aeroporto ou em um cyber café, ele estará vulnerável a vírus e outras ameaças à
segurança. Configurando o Firewall do Windows para “Ativado sem exceções” sempre que usar o
computador em um local público, você reduzirá os riscos Quando voltar a usar o computador em
uma configuração mais segura, você poderá habilitar a lista de exceções novamente sem
problemas.
Para habilitar o modo operacional “Ativado sem exceções”, siga os passos indicados a
seguir:
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 15/17
24/1/2014 Julio Battisti
Novidade 05 - Restaurar padrões: Com o tempo, ao adicionar programas ou portas à lista de
exceções do Firewall do Windows, é possível que ele seja configurado indevidamente para
aceitar tráfego de entrada não solicitado, comprometendo a segurança do computador. Nas
versões anteriores do Firewall do Windows (chamado anteriormente de firewall de conexão com
a Internet ou ICF), não havia uma maneira prática e rápida de reverter para as configurações e
padrões originais. Esta opção permite restaurar o Firewall do Windows a suas configurações
padrão. Além disso, esses padrões podem ser modificados para oferecer opções de configuração
personalizadas.
fechá-la.
Conclusão
Nesta parte do tutorial mostrei como funciona o serviço firewall do Windows XP,
conhecido como ICF – Internet Connection Firewall. O ICF apresenta funcionalidades
básicas e um nível de proteção satisfatório para usuários domésticos e de pequenas
redes. Para redes empresarias, sem nenhuma dúvida, faz-se necessária a utilização de
produtos projetados especificamente para proteção e desempenho. Um destes
produtos é o Internet Security and Acceleration Server – ISA Server. Maiores detalhes
no seguinte endereço:http://www.microsoft.com/isaserver
Ao fazer uma conexão com a Internet estamos em contato com o mundo; e o mundo
em contato conosco. A Internet é uma “via de mão dupla”, ou seja, podemos acessar
recursos em servidores do mundo inteiro, porém o nosso computador também pode
ser acessado por pessoas do mundo inteiro, se não tomarmos alguns cuidados básicos
com segurança.
Para nos proteger contra estes “perigos digitais”, aprendemos a habilitar e configurar o
ICF – Internet Connector Firewall. Aprendemos sobre o conceito de Firewall e como
configurar o ICF.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp 17/17