Introducao
O que é Firewall? Na definição do pt.wikipedia:
“Firewall (em português: muro
anti-chamas) é um dispositivo de uma rede de computadores que tem por objetivo
aplicar uma política de segurança a um determinado ponto da rede. e filtros de
pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Este
dispositivo de segurança existe na forma de software e de hardware, a
combinação de ambos normalmente é chamado de "appliance". A
complexidade de instalação depende do tamanho da rede, da política de
segurança, da quantidade de regras que controlam o fluxo de entrada e saída de
informações e do grau de segurança desejado.”
Então é um mecanismo que atua como
"defesa" de um computador ou de uma rede, controlando o acesso ao
sistema por meio de regras e a filtragem de dados.
Firewall do Windows com Segurança Avançada
Começando com
Windows Vista® e Windows Server® 2008, as configurações do
Firewall do Windows® e do protocolo IPsec (Internet Protocol security) são
combinadas em uma única ferramenta, o snap-in Console de Gerenciamento
Microsoft (MMC) do Firewall do Windows com Segurança Avançada.
O snap-in MMC do
Firewall do Windows com Segurança Avançada substitui os dois snap-ins IPsec
anteriores, as Diretivas de Segurança IP e o Monitor de Segurança IP, para
configurar os computadores que estiverem executando Windows Vista e
Windows Server 2008. Os snap-ins IPsec anteriores ainda são incluídos no
Windows para gerenciar computadores clientes que estejam executando
Windows Server® 2003, Windows XP ou Microsoft®
Windows 2000. Embora os computadores com Windows Vista e Windows
Server 2008 também possam ser configurados e monitorados usando os
snap-ins IPsec anteriores, você não pode usar ferramentas antigas para
configurar os muitos novos recursos e opções de segurança introduzidos no
Windows Vista e Windows Server 2008. Para aproveitar esses novos
recursos, você deve fazer as configurações usando o snap-in Firewall do Windows
com Segurança Avançada, ou os comandos no contexto advfirewall da
ferramenta Netsh.
O que o Firewall do Windows com Segurança Avançada faz?
Firewall do Windows
com Segurança Avançada fornece várias funções em um computador com
Windows Vista ou Windows Server 2008:
- Filtragem de todo o tráfego de IP
versão 4 (IPv4) e IP versão 6 (IPv6) entrando ou saindo do
computador. Por padrão, o tráfego de entrada é bloqueado, a menos que seja
a resposta a uma solicitação de saída anterior do computador (tráfego
solicitado) ou seja especificamente permitido por uma regra criada para
permitir o tráfego. Por padrão, todo o tráfego de saída é permitido,
exceto para regras de proteção de serviço que impedem os serviços padrão
de se comunicarem de maneiras inesperadas. Você pode escolher permitir o
tráfego com base em números de porta, endereços IPv4 ou IPv6, o caminho e
o nome de um aplicativo ou o nome de um serviço que esteja em execução no
computador, ou outros critérios.
- Proteger o tráfego da rede entrando ou saindo
do computador com o protocolo IPsec para verificar a integridade do
tráfego da rede, autenticar a identidade dos computadores ou usuários de
envio e recebimento, e opcionalmente criptografar o tráfego para oferecer
confidencialidade.
Quem estaria interessado nesse recurso?
Iniciando com o
Windows XP Service Pack 2, o Firewall do Windows é habilitado por
padrão nos sistemas operacionais cliente da Microsoft. O Windows
Server 2008 é o primeiro sistema operacional servidor da Microsoft a ter o
Firewall do Windows habilitado por padrão. Como o Firewall do Windows é ativado
por padrão, cada administrador de um servidor com Windows Server 2008 deve
estar ciente desse recurso e entender como configurar o firewall para permitir
o tráfego da rede necessário.
O Firewall do
Windows com Segurança Avançada pode ser totalmente configurado usando o snap-in
MMC do Firewall do Windows com Segurança Avançada ou os comandos disponíveis no
contexto advfirewall da ferramenta de linha de comando Netsh. As
ferramentas gráficas e de linha de comando suportam o gerenciamento do Firewall
do Windows com Segurança Avançada no computador local ou em um computador
remoto com Windows Server 2008 ou Windows Vista que está na rede. As
configurações criadas usando uma dessas ferramentas podem ser implantadas nos
computadores conectados à rede usando a Diretiva de Grupo.
Você deve rever esta
seção no Firewall do Windows com Segurança Avançada caso esteja em um dos
seguintes grupos:
- Planejadores e analistas de TI que estão
avaliando o produto tecnicamente
- Planejadores e designers de TI do Enterprise
- Profissionais de TI que implantam ou administram
soluções de segurança em rede na sua organização
Que funcionalidade nova esse recurso oferece?
O Firewall do
Windows com Segurança Avançada consolida duas funções que são gerenciadas
separadamente nas versões anteriores do Windows. Além disso, a principal
funcionalidade de cada componente do firewall e IPsec do Firewall do Windows
com Segurança Avançada é sensivelmente aperfeiçoada no Windows Vista e
Windows Server 2008.
O Firewall do Windows é ativado por padrão
|
O Firewall do
Windows tem sido ativado por padrão nos sistemas operacionais clientes do
Windows desde o Windows XP Service Pack 2, mas o Windows
Server 2008 é a primeira versão de servidor do sistema operacional do
Windows a ter o Firewall do Windows ativado por padrão. Isso tem implicações
sempre que um aplicativo ou serviço instalado tiver permissão de receber
tráfego de entrada não solicitado pela rede. Muitos aplicativos antigos não
são projetados para funcionar com um firewall baseado em host e talvez não
funcionem corretamente, a menos que você defina regras para permitir que esse
aplicativo aceite tráfego de rede de entrada não solicitada. Quando você
instala uma função ou recurso de servidor incluída com o Windows
Server 2008, o instalador habilita ou cria automaticamente regras de
firewall para ter certeza de que a função ou recurso do servidor funcione
corretamente. Para determinar as configurações do firewall que devem ser
configuradas para um aplicativo, entre em contato com o fornecedor do
aplicativo. A configuração do Um computador executando o
Windows Server 2003 que foi atualizado para o Windows
Server 2008 mantém o mesmo estado operacional de firewall que tinha
antes da atualização. Se o firewall estava desativado antes da atualização,
permanecerá desativado após a atualização. É altamente recomendável que você
ative o firewall assim que confirmar que os aplicativos no servidor funcionam
com o firewall conforme a configuração, ou assim que você configurar as
regras de firewall apropriadas para os aplicativos que estão em execução no
computador.
|
O gerenciamento da diretiva IPsec é simplificado
Em versões
anteriores do Windows, as implementações de servidor ou isolamento de domínio
às vezes exigiam a criação de um grande número de regras IPsec para certificar
que o tráfego de rede necessário estava protegido adequadamente, ao mesmo tempo
em que ainda permitiam tráfego de rede necessário que não pudesse ser protegido
com IPsec.
A necessidade de um
conjunto grande e complexo de regras IPsec foi reduzida graças a um novo
comportamento padrão para negociação de IPsec que solicita mas não necessita de
proteção IPsec. Quando essa configuração é usada, o IPsec envia uma tentativa
de negociação de IPsec, ao mesmo tempo em que envia pacotes de texto simples
para o computador de destino. Se o computador de destino responder e concluir
com êxito a negociação, a comunicação de texto simples será interrompida e a
comunicação subseqüente será protegida por IPsec. Entretanto, se o computador
de destino não responder à negociação de IPsec, a tentativa de texto simples
poderá continuar. As versões anteriores do Windows aguardavam três segundos
após a tentativa de negociação de IPsec antes de tentarem se comunicar usando
texto simples. Isso resultava em atrasos significativos de desempenho do tráfego
que não podia ser protegido e tinha que ser repetido em texto simples. Para
evitar esse atraso do desempenho, um administrador tinha que criar várias
regras IPsec para dar conta de diferentes requisitos de cada tipo de tráfego de
rede.
O novo comportamento
permite a opção de solicitar, mas não exige proteção IPsec para realizar quase
tão bem quanto tráfego não protegido, porque ele não exige mais um atraso de
três segundos. Isso permite que você proteja o tráfego onde é necessário, sem
ter que criar muitas regras que permitam explicitamente as exceções
necessárias. Isso resulta em um ambiente mais seguro, menos complexo e mais
fácil de solucionar problemas.
Suporte para IP Autenticado (AuthIP)
Nas versões
anteriores do Windows, o IPsec suportava somente o protocolo IKE (Internet Key
Exchange) para negociar as associações de segurança do IPsec. O
Windows Vista e o Windows Server 2008 suportam uma extensão para IKE
conhecida como IP Autenticado (AuthIP). O AuthIP fornece capacidades de
autenticação adicionais como:
- Suporte para novos tipos de credenciais que
não estão disponíveis somente no IKE. Entre elas estão as seguintes:
certificados de integridade fornecidos pelo servidor HRA (Autoridade de
Registro de Autoridade), que é parte de uma implantação NAP (Proteção do
Acesso à Rede); certificados baseados em usuário; credenciais de usuário
Kerberos; e credenciais de usuário ou computador NTLM versão 2. Estes são
tipos de credenciais adicionais que o IKE suporta, como certificados
baseados em computador, credenciais Kerberos para a conta do computador ou
simples chaves pré-compartilhadas.
- Suporte para autenticação usando várias
credenciais. Por exemplo, o IPsec pode ser configurado para exigir que as
credenciais de computador e usuário sejam processadas com sucesso, antes
da permissão do tráfego. Isso aumenta a segurança da rede, reduzindo a
chance de um computador confiável ser usado por um usuário não confiável.
Suporte para proteção do membro do domínio para o tráfego do controlador
de domínio, usando IPsec
Versões anteriores
do Windows não suportam o uso do IPsec para proteger o tráfego entre
controladores de domínio e computadores membros de domínio. Windows Vista
e Windows Server 2008 suportam a proteção do tráfego de rede entre
computadores membros de domínio e controladores de domínio usando IPsec, ao
mesmo tempo em que ainda habilitam um computador membro não-domínio a se juntar
a um domínio usando o controlador de domínio protegido por IPsec.
Suporte criptográfico aperfeiçoado
A implementação de
IPsec no Windows Vista e Windows Server 2008 suporta algoritmos
adicionais para o principal modo de negociação de SAs:
- Elliptic Curve Diffie-Hellman P-256, um
algoritmo de curva elíptica que usa um grupo de curva aleatória de 256
bits.
- Elliptic Curve Diffie-Hellman P-384, um
algoritmo de curva elíptica que usa um grupo de curva aleatória de 384
bits.
Também são
suportados os métodos de criptografia a seguir, que usam AES (Advanced
Encryption Standard):
- AES com CBC (cipher block chaining) e um
tamanho de chave de 128 bits (AES 128).
- AES com CBC e um tamanho de chave de 192 bits
(AES 192).
- AES com CBC e um tamanho de chave de 256 bits
(AES 256).
As configurações podem mudar dinamicamente com base no tipo de local de
rede
Windows Vista
e Windows Server 2008 podem notificar aplicativos habilitados por rede,
como o Firewall do Windows, sobre alterações nos tipos de locais de rede
disponíveis por meio de qualquer adaptador de rede conectado, conexões dial-up,
redes privadas virtuais (VPNs) etc. O Windows suporta três tipos de locais de
rede, e os programas podem usar esses tipos de locais para aplicar
automaticamente o conjunto apropriado de opções de configuração. Os aplicativos
devem ser escritos para aproveitar esse recurso e receber notificações de
alterações nos tipos de locais de local de rede. O Firewall do Windows com
Segurança Avançada no Windows Vista e Windows Server 2008 pode
fornecer diferentes níveis de proteção com base no tipo de local de rede ao
qual o computador está conectado. Os tipos de locais de rede são:
- Domínio. Esse
tipo de local de rede é selecionado quando o computador é membro de um
domínio, e o Windows determina se o computador está atualmente conectado à
rede que hospeda o domínio. Essa seleção é automática, com base na
autenticação bem-sucedida com um controlador de domínio na rede.
- Privado. Esse
tipo de local de rede pode ser selecionado para as redes em que o usuário
confia, como redes domésticas ou de pequenos escritórios. As configurações
atribuídas a esse tipo de local são normalmente mais restritivas que uma
rede de domínio, porque não se espera que uma rede doméstica seja tão
ativamente gerenciada quanto uma rede de domínio. Uma rede detectada
recentemente nunca é atribuída automaticamente ao tipo de local Privado.
Um usuário deve escolher explicitamente a atribuição da rede ao tipo de
local Privado.
- Público. Esse
tipo de local de rede é atribuído por padrão a todas as redes detectadas
recentemente. As configurações atribuídas a esse tipo de local normalmente
são as mais restritivas, devido aos riscos de segurança que se encontram
em uma rede pública.
|
O recurso do tipo
de local de rede é mais útil em computadores clientes, especialmente os
portáteis, que provavelmente se movem de rede para rede. Um servidor
provavelmente não é móvel, portanto, uma estratégia sugerida para um
computador típico que esteja executando o Windows Server 2008 é
configurar igualmente os três perfis.
|
Integração do Firewall do Windows e do gerenciamento do IPsec em uma
única interface de usuário
No
Windows Vista e no Windows Server 2008, a interface de usuário do
firewall e os componentes do IPsec estão agora combinados no snap-in MMC do Firewall
do Windows com Segurança Avançada, e os comandos no contexto advfirewall
da ferramenta de linha de comando Netsh. As ferramentas usadas no
Windows XP, Windows Server 2003 e Windows 2000 — as
configurações de Diretiva de Grupo do modelo administrativo do Firewall do
Windows, os snap-ins MMC Diretiva de Segurança IP e Monitor de
Segurança IP, e os contextos ipsec e firewall do comando
Netsh — ainda estão disponíveis, mas não suportam nenhum dos recursos mais
recentes incluídos no Windows Vista e Windows Server 2008. O ícone do
Firewall do Windows no Painel de Controle também está presente, mas é
uma interface de usuário final para gerenciar a funcionalidade básica do
firewall e não apresenta as opções avançadas exigidas por um administrador.
Usando as várias
ferramentas para firewall e IPsec nas versões mais recentes do Windows, os
administradores podem criar acidentalmente configurações conflitantes, como uma
regra IPsec que faça um tipo específico de pacote de rede ser descartado, mesmo
que uma regra de firewall permita a presença do mesmo tipo de pacote de rede.
Isso pode resultar em cenários de solução de problemas muito difíceis. A
combinação das duas funções reduz a possibilidade de criar regras conflitantes
e ajuda a garantir a proteção adequada do tráfego desejado.
Suporte total para proteção de tráfego de rede IPv4 e IPv6
Todos os recursos
de firewall e IPsec disponíveis no Windows Vista e no Windows
Server 2008 estão disponíveis para proteger tanto o tráfego de rede IPv4
quanto o IPv6.
Eu preciso alterar algum código existente?
Se você criar um
software projetado para ser instalado com Windows Vista ou Windows
Server 2008, deverá ter certeza de que a ferramenta de instalação
configure corretamente o firewall, criando ou habilitando regras que permitam
que o tráfego da rede do seu programa passe pelo firewall. O programa deve
reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows: domínio,
privado e público, respondendo corretamente a uma alteração no
tipo de local de rede. Uma alteração no tipo de local de rede pode resultar em
diferentes regras de firewall funcionando no computador. Por exemplo, se você
deseja que o aplicativo apenas seja executado em um ambiente seguro, como um
domínio ou rede privada, as regras de firewall devem impedir que o aplicativo
envie tráfego de rede quando o computador estiver em uma rede pública. Se o
tipo de local de rede mudar inesperadamente enquanto o aplicativo estiver em
execução, ele deve tratar a alteração normalmente.
Conclusão
Sua importância é cada vez maior, não
somente para o uso em redes, mas também para o uso doméstico. Portanto, se
decidir usar um firewall em seu computador, procure por soluções conhecidas
para seu sistema operacional. Existem muitas que são gratuitas, contam com
configurações pré-definidas que exigem pouco conhecimento e não consomem muitos
recursos do computador (assim como existem outras, que exigem experiência no
assunto). Para administradores de rede, obviamente, o uso de firewall é tido
como uma obrigação.
Bibliografia
<
http://pt.wikipedia.org/wiki/Firewall>
<
http://www.infowester.com/firewall.php>
Nenhum comentário:
Postar um comentário