Tutorial de TCP/IP – Parte 17 – ICF – Internet Connection Firewall (Windows XP)

Introdução:

Esta √© a d√©cima s√©tima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos b√°sicos do protocolo TCP/IP. Na Parte 2 falei sobre c√°lculos bin√°rios, um importante t√≥pico para entender sobre redes, m√°scara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endere√ßos, na Parte 4 fiz uma introdu√ß√£o ao roteamento e na Parte 5 apresentei mais alguns exemplos/an√°lises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divis√£o de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresenta√ß√£o de um dos servi√ßos mais utilizados pelo TCP/IP, que √© o Domain Name System: DNS. O DNS √© o servi√ßo de resolu√ß√£o de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem d√ļvidas, √© a maior rede TCP/IP existente. Na Parte 9 fiz uma introdu√ß√£o ao servi√ßo Dynamic Host Configuration Protocol ‚Äď DHCP. Na Parte 10 fiz uma introdu√ß√£o ao servi√ßo Windows Internet Name Services ‚Äď WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunica√ß√£o. Parte 12, mostrei como s√£o efetuadas as configura√ß√Ķes de portas em diversos aplicativos que voc√™ utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informa√ß√Ķes sobre portas de comunica√ß√£o. Na Parte 13 falei sobre a instala√ß√£o e a configura√ß√£o do protocolo TCP/IP. Na Parte 14 fiz uma introdu√ß√£o sobre o protocolo de roteamento din√Ęmico RIP e na Parte 15 foi a vez de fazer a introdu√ß√£o a um outro protocolo de roteamento din√Ęmico, o OSPF. Na Parte 16 voc√™ aprendeu sobre um recurso bem √ļtil do Windows 2000: O compartilhamento da conex√£o Internet, oficialmente conhecida como ICS ‚Äď Internet Conection Sharing. Este recurso √© √ļtil quando voc√™ tem uma pequena rede, n√£o mais do que cinco m√°quinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das m√°quinas tem conex√£o com a Internet. Voc√™ pode habilitar o ICS no computador que tem a conex√£o com a Internet. Com isso os demais computadores da rede tamb√©m passar√£o a ter acesso √† Internet.

Nesta d√©cima s√©tima parte, aprenderemos a utilizar o ICF‚Äď Internet Connection Firewall (Firewall de Conex√£o com a Internet). O ICF faz parte do Windows XP e do Windows Server 2003, n√£o estando dispon√≠vel no Windows 2000. O ICF tem como objetivo proteger o acesso do usu√°rio contra ‚Äúataques‚ÄĚ e ‚Äúperigos‚ÄĚ vindos da Internet.

Ao nos conectarmos com a Internet estamos em contato com o mundo; e o mundo em contato conosco. A Internet √© uma ‚Äúvia de m√£o dupla‚ÄĚ, ou seja, podemos acessar recursos em servidores do mundo inteiro, por√©m o nosso computador tamb√©m pode ser acessado por pessoas do mundo inteiro, se n√£o tomarmos alguns cuidados b√°sicos com seguran√ßa.

Regra n√ļmero 1: Sempre utilize um bom programa de anti-v√≠rus. Escolha o programa de sua prefer√™ncia, existem muitos, instale e utilize. √Č inadmiss√≠vel n√£o utilizar um programa anti-v√≠rus. Os custos s√£o muito baixos, existindo inclusive programas gratuitos, em compara√ß√£o com os riscos que se corre em n√£o usar um anti-v√≠rus. Mensagens contendo anexos com v√≠rus, sites com conte√ļdo din√Ęmico que pode causar danos, etc, s√£o muitas as amea√ßas e o anti-v√≠rus √© capaz de nos proteger de grande parte delas. No site www.invasao.com.br, voc√™ encontra uma an√°lise comparativa, sobre os principais anti-v√≠rus do mercado.

Regra n√ļmero 2: Informa√ß√£o. Procure estar sempre atualizados sobre novos tipos de v√≠rus, novos tipos de ataques e perigos que possam comprometer a seguran√ßa do seu computador. Para informa√ß√Ķes sobre seguran√ßa da informa√ß√£o consulte regularmente o seguinte site: www.invasao.com.br

Regra n√ļmero 3: Se voc√™ usa o Windows XP ou o Windows Server 2003, aprenda a utilizar e configurar o IFC (justamente o assunto desta parte do tutorial). √Č o que voc√™ aprender√° nesta parte do tutorial. Mostrarei o que √© o IFC, quais as suas fun√ß√Ķes e como configur√°-lo para proteger o computador que voc√™ utiliza, para acessar a Internet.

Firewall de Conex√£o com a Internet ‚Äď ICF

Se f√≥ssemos traduzir firewall literalmente, seria uma parede corta-fogo. Esta denomina√ß√£o pode parecer sem sentido pr√°tico, mas veremos que a fun√ß√£o √© exatamente esta. O firewall √© como se fosse uma parede, um prote√ß√£o, colocada entre o seu computador e a Internet. O fogo neste caso seriam os ataques e demais perigos vindos da Internet. A fun√ß√£o do Firewall √© bloquear (cortar) estes perigos (fogo). Um Firewall pode fazer mais do que isso, ele tamb√©m pode ser utilizado para bloquear determinados tipos de tr√°fegos a partir do seu computador para a Internet. Esta utiliza√ß√£o √© mais comum em redes de grandes empresas, onde existe um Firewall entre a rede da empresa e a Internet. Todo acesso √† Internet passa, obrigatoriamente, pelo Firewall. Atrav√©s de configura√ß√Ķes adeq√ľadas √© poss√≠vel bloquear determinados tipos de informa√ß√Ķes que n√£o tem a ver com o trabalho dos funcion√°rios. Por exemplo, podemos, atrav√©s do Firewal, impedir o acesso a arquivos de v√≠deo e √°udio. Mas este n√£o √© o caso do uso do ICF, o qual √© mais indicado para um computador conectado diretamente √† Internet ou para uma pequena rede na qual um dos computadores tem acesso √† Internet e compartilha esta conex√£o com os demais computadores (para detalhes sobre o compartilhamento de conex√£o, consulte a Parte 16). Na Figura a seguir temos um diagrama que ilustra a fun√ß√£o de um Firewall:


 


Função do Firewall

A utiliza√ß√£o do ICF depende da configura√ß√£o que estamos utilizando, ou seja, se temos um √ļnico computador, uma pequena rede ou uma rede empresarial. Vamos considerar estas tr√™s situa√ß√Ķes distintas:

¬∑  Um √ļnico computador conectado √† Internet, quer seja via uma conex√£o dial-up ou via uma conex√£o de acesso r√°pido: Para esta situa√ß√£o configuramos o ICF no computador que est√° conectado √† Internet. O ICF protejer√° o computador de uma s√©rie de ataques originados na Internet.

¬∑  Uma pequena rede onde somente um computador tem conex√£o com √† Internet: Nestas situa√ß√Ķes √© comum o computador que tem acesso √† Internet, compartilhar esta conex√£o com os demais computadores da rede (veja a Parte 16 deste tutorial). Neste caso, quando o computador que tem acesso √† Internet estiver conectado, todos os demais passar√£o a ter acesso √† Internet. Ou seja, existe um √ļnico ponto de acesso √† Internet que √© o computador no qual existe uma conex√£o, quer seja dial-up ou de acesso r√°pido. Nesta situa√ß√£o temos que proteger o computador que est√° conectado √† Internet, desta maneira estaremos protegendo todos os demais. Nesta configura√ß√£o, configuramos o computador com acesso √† Internet para usar o ICF.

¬∑  Uma rede empresarial com um grande n√ļmero de computadores ligados em rede: Nestes casos tamb√©m √© comum existir um √ļnico ponto de acesso √† Internet, o qual √© compartilhado para todos os computadores da rede. Por√©m para grandes redes empresariais √© exigido um alto n√≠vel de sofistica√ß√£o, capacidade de bloqueio e filtragem e prote√ß√£o que somente produtos espec√≠ficos s√£o capazes de fornecer. Nestas situa√ß√Ķes √© comum existir um conjunto de equipamentos e programas que atua como um Firewall para toda a rede da empresa. Obviamente que nestas situa√ß√Ķes n√£o √© indicado o uso do ICF do Windows XP.

O ICF √© considerada uma firewall "de estado". Ela monitora todos os aspectos das comunica√ß√Ķes que cruzam seu caminho e inspeciona o endere√ßo de origem e de destino de cada mensagem com a qual ela lida. Para evitar que o tr√°fego n√£o solicitado da parte p√ļblica da conex√£o (a Internet) entre na parte privada da rede (o seu computador conectado √† Internet), o ICF mant√©m uma tabela de todas as comunica√ß√Ķes que se originaram do computador no qual est√° configurado o ICF.

No caso de um √ļnico computador, o ICF acompanha o tr√°fego originado do computador. Quando usado com o compartilhamento de conex√£o, no caso de uma pequena rede com o Windows XP, o ICF acompanha todo o tr√°fego originado no computador com o ICF habilitado e nos demais computadores da rede. Todo o tr√°fego de entrada da Internet √© comparado √†s entradas na tabela e s√≥ tem permiss√£o para alcan√ßar os computadores na sua rede quando houver uma entrada correspondente na tabela mostrando que a troca de comunica√ß√£o foi iniciada na rede dom√©stica.

Na pr√°tica o que acontece o seguinte: quando voc√™ acessa um recurso da Internet, por exemplo acessa o endere√ßo de um site, o computador que voc√™ est√° usando, envia para a Internet uma requisi√ß√£o, solicitando que a p√°gina seja carregada no seu Navegador, por exemplo. Assim pode acontecer com todos os computadores da rede, cada um enviando as suas requisi√ß√Ķes. O ICF faz uma tabela com todas as requisi√ß√Ķes enviadas para a Internet. Cada informa√ß√£o que chega no ICF, vinda da Internet √© verificada. Se esta informa√ß√£o √© uma resposta a uma das requisi√ß√Ķes que encontra-se na tabela de requisi√ß√Ķes, significa que esta informa√ß√£o pode ser enviada para o computador que fez a requisi√ß√£o. Se a informa√ß√£o que est√° chegando, n√£o corresponde a uma resposta de uma das requisi√ß√Ķes pendentes, significa que pode ser um ataque vindo da Internet, ou seja, algu√©m tentando acessar o seu computador. Este tipo de informa√ß√£o √© bloqueada pelo ICF. Vejam que desta forma o ICF est√° protejando o seu computador, evitando que informa√ß√Ķes n√£o solicitadas (n√£o correspondentes a respostas para requisi√ß√Ķes enviadas) possam chegar at√© o seu computador ou a sua rede, neste caso o ICF est√° ‚Äúcortando o fogo‚ÄĚ vindo da Internet.

Podemos configurar o ICF para simplesmente bloquear este tipo de informa√ß√£o n√£o solicitada ou, para al√©m de bloquear, gerar um log de registro, com informa√ß√Ķes sobre estas tentativas. Aprenderemos a fazer estas configura√ß√Ķes nos pr√≥ximos t√≥picos.

Tamb√©m podemos configurar o ICF para permitir a entrada de informa√ß√Ķes que correspondem a determinados servi√ßos. Por exemplo, se voc√™ tem uma conex√£o 24 horas e utilzia o seu computador como um servidor Web, no qual est√° dispon√≠vel um site pessoal, voc√™ deve configurar o ICF para aceitar requisi√ß√Ķes HTTP, caso contr√°rio, o seu computador n√£o poder√° atuar como um servidor Web e todas as requisi√ß√Ķes dos usu√°rios ser√£o bloqueadas pelo ICF. Tamb√©m aprenderemos a fazer estas configura√ß√Ķes nos pr√≥ximos t√≥picos.

Ao ativar o ICF, toda a comunica√ß√£o de entrada, vinda da Internet, ser√° examindada. Alguns programas, principalmente os de email, podem apresentar um comportamento diferente quando o ICF estiver ativado. Alguns programas de email pesquisam periodicamente o servidor de email para verificar se h√° novas mensagens, enquanto alguns deles aguardam notifica√ß√£o do servidor de email. As notifica√ß√Ķes vindas do servidor n√£o ter√£o requisi√ß√Ķes correspondentes na tabela de requisi√ß√Ķes e com isso ser√£o bloqueadas. Neste caso o cliente de email deixaria de receber as notifica√ß√Ķes do servidor.

O Outlook Express, por exemplo, procura automaticamente novas mensagens em intervalos regulares, conforme configuração do Outlook. Quando há novas mensagens, o Outlook Express envia ao usuário uma notificação. A ICF não afetará o comportamento desse programa, porque a solicitação de notificação de novas mensagens é originada dentro do firewall, pelo próprio Outlook. O firewall cria uma entrada em uma tabela indicando a comunicação de saída. Quando a resposta à nova mensagem for confirmada pelo servidor de email, o firewall procurará e encontrará uma entrada associada na tabela e permitirá que a comunicação se estabeleça. O usuário, em seguida, será notificado sobre a chegada de uma nova mensagem.

Nota: No entanto, o Office 2000 Outlook √© conectado a um servidor Microsoft Exchange que utiliza uma chamada de procedimento remoto (RPC) para enviar notifica√ß√Ķes de novos emails aos clientes. Ele n√£o procura novas mensagens automaticamente quando est√° conectado a um servidor Exchange. Esse servidor o notifica quando chegam novos emails. Como a notifica√ß√£o RPC √© iniciada no servidor Exchange fora da firewall, n√£o no Office 2000 Outlook, que est√° dentro da firewall, o ICF n√£o encontra a entrada correspondente na tabela e n√£o permite que as mensagens RPC passem da Internet para a rede dom√©stica. A mensagem de notifica√ß√£o de RPC √© ignorada. Os usu√°rios podem enviar e receber mensagens, mas precisam verificar a presen√ßa de novas mensagens manualmente, ou seja, a verifica√ß√£o de novas mensagens tem que partir do cliente.

Como ativar/desativar o Firewall de Conex√£o com a Internet

Para ativar/desativar o Firewall de Conex√£o com a Internet, siga os passos indicados a seguir (Windows XP Professional):

1. Abra o Painel de controle: Iniciar -> Painel de controle.
2. Se você estiver no modo de exibição por Categoria dê um clique no link Alternar para o modo de exibição clássico. Se você já estiver no modo de exibição clássico vá para o próximo passo.
3. D√™ um clique duplo na op√ß√£o Conex√Ķes de rede.
4. Ser√£o exibidas as conex√Ķes de rede e a conex√£o com a Internet (ou conex√Ķes, caso voc√™ tenha mais do que uma conex√£o configurada). Clique com o bot√£o direito do mouse na sua conex√£o Internet. No menu que surge d√™ um clique na op√ß√£o Propriedades. Ser√° exibida a janela de Propriedades da conex√£o com a Internet.
5. D√™ um clique na guia Avan√ßado. Ser√£o exibidas as op√ß√Ķes indicadas na Figura a seguir:

 

 

A guia Avançado das propriedades da conexão Internet

6. Na guia Avan√ßado, em Firewall de conex√£o com a Internet, selecione uma das op√ß√Ķes a seguir:

¬∑  Para ativar o firewall de conex√£o com a Internet (ICF), marque a caixa de sele√ß√£o Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet.

¬∑  Para desativar o firewall de conex√£o com a Internet (ICF), desmarque a caixa de sele√ß√£o Proteger o computador e a rede limitando ou impedindo o acesso a este computador pela Internet.

7. D√™ um clique no bot√£o OK para aplicar as configura√ß√Ķes selecionadas.

Nota: Para ativar/desativar o ICF voc√™ deve ter feito o logon como Administrador ou como um usu√°rio com permiss√Ķes de Administrador. Para todos os detalhes sobre a cria√ß√£o e administra√ß√£o de usu√°rios no Windows XP, consulte o Cap√≠tulo 6 do meu livro: ‚ÄúWindows XP Home & Professional Para Usu√°rios e Administradores‚ÄĚ

Como ativar/desativar o log de Segurança do ICF

O log de seguran√ßa da Firewall de conex√£o com a Internet (ICF) permite que usu√°rios avan√ßados escolham as informa√ß√Ķes a serem registradas. Com ele, √© poss√≠vel:

¬∑  Registrar em log os pacotes eliminados, isto √©, pacotes que foram bloqueados no Firewall. Essa op√ß√£o registrar√° no log todos os pacotes ignorados que se originarem da rede dom√©stica ou de pequena empresa ou da Internet.

¬∑  Registrar em log as conex√Ķes bem-sucedidas, isto √©, pacotes que n√£o foram bloqueados. Essa op√ß√£o registrar√° no log todas as conex√Ķes bem-sucedidas que se originarem da rede dom√©stica ou de pequena empresa ou da Internet.

Quando voc√™ marca a caixa de sele√ß√£o Registrar em log os pacotes eliminados (veremos como fazer isso no pr√≥ximo t√≥pico), as informa√ß√Ķes s√£o coletadas a cada tentativa de tr√°fego pela firewall detectada e negada/bloqueada pelo ICF. Por exemplo, se as configura√ß√Ķes do protocolo de controle de mensagens da Internet (ICMP) n√£o estiverem definidas para permitir solicita√ß√Ķes de eco de entrada, como as enviadas pelos comandos Ping e Tracert, e uma solicita√ß√£o de eco de fora da rede for recebida, ela ser√° ignorada e ser√° feito um registro no log. Os comandos ping e tracert s√£o utilizados para verificar se computadores de uma rede est√£o conectados a rede. Estes comandos s√£o baseados em um protocolo chamado ICMP ‚Äď Internet Control Message Protocol. O ICF pode ser configurado para n√£o aceitar este protocolo (aprenderemos a fazer estas configura√ß√Ķes mais adiante). Neste caso, toda vez que utilizarmos os comandos ping ou tracert, ser√° feita uma tentativa de trafegar informa√ß√Ķes usando o protocolo ICMP, o que ser√° bloqueado pelo Firewall e ficar√° registrado no log de seguran√ßa.

Quando voc√™ marca a caixa de sele√ß√£o Listar conex√Ķes de sa√≠da bem-sucedidas, s√£o coletadas informa√ß√Ķes sobre cada conex√£o bem-sucedida que passe pela firewall. Por exemplo, quando algu√©m da rede se conecta com √™xito a um site da Web usando o Internet Explorer, √© gerada uma entrada no log. Devemos ter cuidado com esta op√ß√£o, pois dependendo do quanto usamos a Internet, ao marcar esta op√ß√£o ser√° gerado um grande n√ļmero de entradas no log de seguran√ßa do ICF, embora seja poss√≠vel limitar o tamanho m√°ximo do arquivo no qual s√£o gravadas as entradas do log, conforme aprenderemos mais adiante.

O log de seguran√ßa √© produzido com o formato de arquivo de log estendido W3C, que √© um formato padr√£o definido pela entidade que define padr√Ķes para a internet, o w3c. Maiores informa√ß√Ķes no site: www.w3.org. O arquivo no qual est√° o log de seguran√ßa √© um arquivo de texto comum, o qual pode ser lido utilizando um editor de textos como o Bloco de notas.

Como ativar op√ß√Ķes do log de seguran√ßa:

Por padrão, ao ativarmos o ICF, o log de segurança não é ativado. Para ativá-lo, de tal maneira que passem a ser registrados eventos no log de segurança, siga os passos indicados a seguir (Windows XP):

1. Faça o logon como Administrador ou com uma conta com permissão de Administrador.
2. Abra o Painel de controle: Iniciar -> Painel de controle.
3. Se você estiver no modo de exibição por Categoria dê um clique no link Alternar para o modo de exibição clássico. Se você já estiver no modo de exibição clássico vá para o próximo passo.
4. D√™ um clique duplo na op√ß√£o Conex√Ķes de rede.
5. Ser√£o exibidas as conex√Ķes de rede e a conex√£o com a Internet (ou conex√Ķes, caso voc√™ tenha mais do que uma conex√£o configurada).
6. Dê um clique na conexão para a qual você ativou o ICF.
7. No painel da esquerda, no grupo de op√ß√Ķes Tarefas da rede, d√™ um clique na op√ß√£o Alterar as configura√ß√Ķes desta conex√£o.
8. Dê um clique na guia Avançado.
9. Na guia Avan√ßado, d√™ um clique no bot√£o Configura√ß√Ķes...
10. Ser√° exibida a janela Configura√ß√Ķes avan√ßadas. D√™ um clique na guia Log de seguran√ßa. Ser√£o exibidas as op√ß√Ķes indicadas na Figura a seguir:


 


Configurando op√ß√Ķes do log de seguran√ßa do ICF

Nesta guia temos as seguintes op√ß√Ķes:

¬∑  Registrar em logo os pacotes eliminados: Marque esta op√ß√£o para que todos os pacotes ignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados no log de seguran√ßa do ICF.

¬∑  Registrar em log as conex√Ķes bem-sucedidas: Marque esta op√ß√£o para que todas as conex√Ķes bem-sucedidas que se originaram da sua rede local ou da Internet ser√£o registradas no log de seguran√ßa.

¬∑  Campo Nome: Neste campo definimos o nome do arquivo onde ser√£o gravadas as entradas do log de seguran√ßa. Por padr√£o √© sugerido o seguinte caminho: C:\Windows\pfirewall.log. Substitua C:\Windows pela pasta onde est√° instalado o Windows XP, caso este tenha sido instalado em outra pasta.

¬∑  Limite de tamanho: Define o tamanho m√°ximo para o arquivo do log de seguran√ßa. O tamanho m√°ximo admitido para o arquivo de log √© 32.767 quilobytes (KB). Quando o tamanho m√°ximo for atingido, as entradas de log mais antigas ser√£o descartadas.

11. Marque a opção Registrar em log os pacotes eliminados.
12. Marque a op√ß√£o Registrar em log as conex√Ķes bem sucedidas.
13. D√™ um clique no bot√£o OK para aplicar as novas configura√ß√Ķes.
14. Você estará de volta à guia Avançado da janela de Propriedades da conexão. Dê um clique no botão OK para fechar esta janela.
15. Faça uma conexão com a Internet e acesse alguns sites, abra o Outlook e envie algumas mensagens. Isto é para gerar tráfego através do Firewall, para que sejam geradas entradas no log de segurança.

Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de segurançao.

16. Abra o bloco de Notas.
17. Abra o arquivo definido como aqruivo de log, que por padrão é o arquivo C:\Windows\pfirewall.log. Caso você tenha alterado esta opção, abra o respectivo arquivo.

Na Figura a seguir temos uma vis√£o de algumas entradas que foram gravadas no arquivo de log.

 


O arquivo do log de segurança.

Observe que cada entrada segue um padr√£o definido, como por exemplo:

2002-03-18

23:07:57

DROP

UDP

200.176.2.10

200.176.165.149

53

3013

379

- - - - - - -

Data

Hora

Ação

Prot.

End. IP origem

End. IP Destino

po

pd

tamanho.

 


Onde:

Prot. = Protocolo utilizado para comunicação.
po = Porta de origem.
pd = Porta de destino.

Nota: Estas informa√ß√Ķes s√£o especialmente √ļteis para t√©cnicos em seguran√ßa e redes, que conhecem bem o protocolo TCP/IP, possam analisar a origem de poss√≠veis ataques. Para mais detalhes sobre Portas no Protocolo TCP/IP, consulte a Parte 12 deste tutorial.

18. Feche o arquivo de log.

Nota: Para desabilitar o log de seguran√ßa, repita os passos de 1 a 10 e desmarque as op√ß√Ķes desejadas. Por exemplo, se voc√™ n√£o deseja registrar um log das conex√Ķes bem sucedidas, as quais n√£o representam perigo de ataque, desmarque a op√ß√£o Registrar em log as conex√Ķes bem sucedidas.

Habilitando serviços que serão aceitos pelo ICF

Se voc√™ tem uma conex√£o permanente com a Internet e quer utilizar o seu computador com Windows XP como um servidor Web (disponibilizando p√°ginas), um servidor ftp (disponibilizando arquivos para Download) ou outro tipo de servi√ßo da Internet, voc√™ ter√° que configurar o ICF para aceitar requisi√ß√Ķes para tais servi√ßos. Lembre que, por padr√£o, o ICF bloqueia todo tr√°fego vindo da Internet, que n√£o seja resposta a uma requisi√ß√£o da rede interna, enviada pelo usu√°rio. Se voc√™ vai utilizar o seu computador como um Servidor, o tr√°fego vindo de fora corresponder√° as requisi√ß√£o dos usu√°rios, requisi√ß√Ķes estas que ter√£o que passar pelo ICF para chegarem at√© o servidor e ser respondidas.

Por padrão nenhum dos serviços está habilitado, o que garante uma maior segurança. Para habilitar os serviços necessários, siga os seguintes passos:

1. Faça o logon como Administrador ou com uma conta com permissão de Administrador.
2. Abra o Painel de controle: Iniciar -> Painel de controle.
3. Se você estiver no modo de exibição por Categoria dê um clique no link Alternar para o modo de exibição clássico. Se você já estiver no modo de exibição clássico vá para o próximo passo.
4. D√™ um clique duplo na op√ß√£o Conex√Ķes de rede.
5. Ser√£o exibidas as conex√Ķes de rede e a conex√£o com a Internet (ou conex√Ķes, caso voc√™ tenha mais do que uma conex√£o configurada).
6. Dê um clique na conexão para a qual você ativou o ICF.
7. No painel da esquerda, no grupo de op√ß√Ķes Tarefas da rede, d√™ um clique na op√ß√£o ‚ÄúAlterar as configura√ß√Ķes desta conex√£o‚ÄĚ.
8. Dê um clique na guia Avançado.
9. Na guia Avan√ßado, d√™ um clique no bot√£o Configura√ß√Ķes...
10. Ser√° exibida a janela Configura√ß√Ķes avan√ßadas. D√™ um clique na guia Servi√ßos, ser√° exibida a janela indicada na Figura a seguir:

 

 


Habilitando/desabilitando serviços para o ICF.

Para habilitar um determinado servi√ßo, basta marcar a caixa de sele√ß√£o ao lado do respectivo servi√ßo. Ao clicar em um determinado servi√ßo, ser√° aberta, automaticamente, uma janela Conigura√ß√Ķes de servi√ßo. Esta janela vem com o valor padr√£o para os par√Ęmetros de configura√ß√£o do respectivo servi√ßo. Somente altere estes valores se voc√™ souber exatamente o que cada par√Ęmetro significa, pois ao informar par√Ęmetros incorretamente, o servi√ßo deixa de funcionar.

Você também pode utilizar o botão Adicionar..., para adicionar novos serviços, não constantes na lista.

11. Ap√≥s ter habilitados os servi√ßos necess√°rios, d√™ um clique no bot√£o OK para aplicar as altera√ß√Ķes.
12. Você estará de volta à janela Propriedades da conexão. Dê um clique no botão OK para fechá-la.

Configura√ß√Ķes do protocolo ICMP para o Firewall

Conforme descrito anteriormente, o protocolo ICMP √© utilizado por uma s√©rie de utilit√°rios de rede, utilit√°rios estes que s√£o usados pelo Administrador da rede para fazer testes de conex√Ķes e monitorar equipamentos e linhas de comunica√ß√£o. Por padr√£o o ICF bloqueia o tr√°fego ICMP. N√≥s podemos personalizar a maneira como o tr√°fego ICMP ser√° tratado pelo ICF. Podemos liberar todo o tr√°fego ICMP ou apenas determinados tipos de uso, para fun√ß√Ķes espec√≠ficas.

Para configurar o padrão de tráfego ICMP através do Firewall, faça o seguinte:

1. Faça o logon como Administrador ou com uma conta com permissão de Administrador.
2. Abra o Painel de controle: Iniciar -> Painel de controle.
3. Se você estiver no modo de exibição por Categoria dê um clique no link Alternar para o modo de exibição clássico. Se você já estiver no modo de exibição clássico vá para o próximo passo.
4. D√™ um clique duplo na op√ß√£o Conex√Ķes de rede.
5. Ser√£o exibidas as conex√Ķes de rede e a conex√£o com a Internet (ou conex√Ķes, caso voc√™ tenha mais do que uma conex√£o configurada).
6. Dê um clique na conexão para a qual você ativou o ICF.
7. No painel da esquerda, no grupo de op√ß√Ķes Tarefas da rede, d√™ um clique na op√ß√£o ‚ÄúAlterar as configura√ß√Ķes desta conex√£o‚ÄĚ.
8. Dê um clique na guia Avançado.
9. Na guia Avan√ßado, d√™ um clique no bot√£o Configura√ß√Ķes...
10. Ser√° exibida a janela Configura√ß√Ķes avan√ßadas. D√™ um clique na guia ICMP, ser√° exibida a janela indicada na Figura a seguir:


 

 


Configurando o tráfego ICMP através do Firewall.

Na guia ICMP podemos marcar/desmarcar as seguintes op√ß√Ķes:

¬∑  Permitir solicita√ß√£o de eco na entrada: As mensagens enviadas para este computador ser√£o repetidas para o remetente. Por exemplo, se algu√©m de fora der um ping para este computador, uma resposta ser√° enviada. Se esta op√ß√£o estiver desmarcada o computador n√£o responder√° a comandos como ping e tracert.

¬∑  Permitir solicita√ß√£o de carimbo de data/hora de entrada: Os dados enviados para o computador podem ser confirmados por uma mensagem indicando quando foram recebidos.

¬∑  Permitir solicita√ß√£o de m√°scara de entrada: A m√°scara de entrada √© um par√Ęmetro de configura√ß√£o do protocolo TCP/IP, par√Ęmetro este que √© utilizado pelo protocolo para definir se duas m√°quinas que est√£o tentando se comunicar, pertencem a mesma rede ou a redes diferentes. Se este par√Ęmetro estiver marcado, o computador ser√° capaz de fornecer diversas informa√ß√Ķes sobre a rede a qual ele est√° conectado. Esta op√ß√£o √© importante quando estamos utilizando programas de gerenciamento de rede que, utilizam o protocolo ICMP para obter informa√ß√Ķes sobre os equipamentos da rede.

¬∑  Permitir solicita√ß√£o de roteador de entrada: Se esta op√ß√£o estiver marcada o computador ser√° capaz de responder √†s solicita√ß√Ķes sobre quais rotas ele conhece.

¬∑  Permitir destino de sa√≠da inacess√≠vel: Os dados enviados pela Internet, tendo como destino este computador e, que n√£o conseguiram ‚Äúchegar‚ÄĚ at√© ele devido a algum erro ser√£o descartados e ser√° exibida uma mensagem explicando o erro e informando que o destino est√° inacess√≠vel. A mensagem ser√° exibida no computador de origem, o qual tentou enviar dados para este computador, dados estes que n√£o conseguiram chegar.

¬∑  Permitir retardamento de origem de sa√≠da: Quando a capacidade de processamento de dados de entrada do computador n√£o for compat√≠vel com a taxa de transmiss√£o dos dados que est√£o chegando, os dados ser√£o descartados e ser√° solicitado ao remetente que diminua a velocidade de transmiss√£o.

¬∑  Permitir problema no par√Ęmetro de sa√≠da: Se este computador descartar dados devido a um problema no cabe√ßalho dos pacotes de dados, ele enviar√° ao remetente uma mensagem de erro informando que h√° um cabe√ßalho inv√°lido.

¬∑  Permitir hora de sa√≠da ultrapassada: Se o computador descartar uma transmiss√£o de dados por precisar de mais tempo para conclu√≠-la, ele enviar√° ao remetente uma mensagem informando que o tempo expirou.

¬∑  Permitir redirecionamento: Os dados enviados pelo computador seguir√£o uma rota alternativa, se uma estiver dispon√≠vel, caso o caminho (rota) padr√£o tenha sido alterado.

11. Marque as op√ß√Ķes que forem necess√°rias, de acordo com as fun√ß√Ķes que estiver desempenhando o comuptador.
12. Ap√≥s ter marcado as op√ß√Ķes necess√°rias, d√™ um clique no bot√£o OK para aplicar as altera√ß√Ķes.
12. Você estará de volta à janela Propriedades da conexão. Dê um clique no botão OK para fechá-la.

Conclus√£o

Nesta parte do tutorial mostrei como funciona o servi√ßo firewall do Windows XP, conhecido como ICF ‚Äď Internet Connection Firewall. O ICF apresenta funcionalidades b√°sicas e um n√≠vel de prote√ß√£o satisfat√≥rio para usu√°rios dom√©sticos e de pequenas redes. Para redes empresarias, sem nenhuma d√ļvida, faz-se necess√°ria a utiliza√ß√£o de produtos projetados especificamente para prote√ß√£o e desempenho. Um destes produtos √© o Internet Security and Acceleration Server ‚Äď ISA Server. Maiores detalhes no seguinte endere√ßo: http://www.microsoft.com/isaserver.

Ao fazer uma conex√£o com a Internet estamos em contato com o mundo; e o mundo em contato conosco. A Internet √© uma ‚Äúvia de m√£o dupla‚ÄĚ, ou seja, podemos acessar recursos em servidores do mundo inteiro, por√©m o nosso computador tamb√©m pode ser acessado por pessoas do mundo inteiro, se n√£o tomarmos alguns cuidados b√°sicos com seguran√ßa.

Para nos proteger contra estes ‚Äúperigos digitais‚ÄĚ, aprendemos a habilitar e configurar o ICF ‚Äď Internet Connector Firewall. Aprendemos sobre o conceitod e Firewall e como configurar o ICF.