FIREWALLS
289
A grande maioria das firewalls comerciais, assim como as que vamos ver a seguir, por predefinição, bloqueia todas as portas de entrada, de maneira que se quisermos facilitar o acesso ao nosso computador ou parte da nossa rede, a partir da Internet, temos de o configurar, bem como saber que porta ou portas usa a aplicação a que queremos dar acesso.
9.8.1
CONFIGURAR A FIREWALL DO WINDOWS 8
Ao ligarmo-nos pela primeira vez a uma rede no Windows 8, é-nos colocada a seguinte questão: Quer ativar a partilha entre PCs e ligar a dispositivos nesta rede? Esta questão tem duas respostas possíveis (Figura 9.5):
Não, não ativar partilha ou ligar a dispositivos. Para redes em locais públicos;
Sim, ativar partilha e ligar a dispositivos. Para redes domésticas ou de trabalho.
FIGURA 9.5 – Definir tipo de rede
A opção selecionada vai determinar a configuração inicial da firewall do Windows. A primeira opção, pensada para ligações em locais públicos como aeroportos, cafés, etc., impede que o computador esteja visível para outros computadores protegendo-o assim de qualquer tentativa de intrusão. A segunda opção deve ser selecionada somente quando queremos ligar a uma rede confiável, seja ela doméstica ou de trabalho; nesta opção a deteção de rede é ativada por defeito. Com a ativação da descoberta de rede é possível ao computador detetar outros computadores na mesma rede assim como ser visto © FCA – Editora de Informática
290
REDES DE COMPUTADORES
nessa mesma rede. Caso o computador esteja inserido numa rede com domínio, não é possível alterar o tipo de local de rede, já que isso só pode ser feito pelo administrador do domínio.
9.8.1.1 CONFIGURAÇÃO
Vamos então iniciar a configuração da firewall do Windows 8. Na pesquisa do Windows vamos escrever “firewall” e selecionar Definições (Figura 9.6).
FIGURA 9.6 – Pesquisar por firewall
No lado esquerdo do ecrã vão surgir as várias opções possíveis, vamos escolher Firewall do Windows (Figura 9.7). Não vamos falar das outras opções porque serão tratadas ao longo desta explicação acerca da firewall do Windows.
FIGURA 9.7 – Aceder à firewall do Windows
Isto fará abrir a página de definições da firewall do Windows onde podemos proceder a todas as configurações respeitantes à firewall da nossa máquina. Comecemos por analisar a informação fornecida por este ecrã. No lado esquerdo temos um menu com várias opções que nos permitem ativar ou desativar a firewall, alterar as definições de notificação da firewall ou aceder às
© FCA – Editora de Informática
FIREWALLS
291
definições avançadas; à direita do menu temos informações sobre o estado atual da firewall para redes privadas e para redes públicas (Figura 9.8).
FIGURA 9.8 – Firewall do Windows
Vamos agora ver em detalhe as opções oferecidas pela firewall do Windows. Analisando a figura podemos observar que neste caso em particular temos duas redes privadas e uma rede pública ativa, a firewall encontra-se ligada tanto para as redes privadas como para a pública, que bloqueia todas as ligações a aplicações que não estejam na lista de aplicações permitidas e notifica o utilizador sempre que a firewall bloquear uma nova aplicação. Estas são as definições por defeito em qualquer computador que use a firewall do Windows 8. Vamos analisar as várias opções de configuração da firewall. Comecemos pela opção Permitir que uma aplicação ou funcionalidade passe pela firewall do Windows. Ao selecionar esta opção abre uma nova janela onde podemos permitir, ou não, que determinada aplicação passe pela firewall (Figura 9.9). Para isso, basta selecionar a caixa de verificação à esquerda da aplicação a que pretendemos permitir o acesso, de seguida selecionar os tipos de rede em que a comunicação é permitida, e no final premir o botão OK. No entanto, a aplicação que queremos acrescentar à tabela de exceções pode não estar incluída na lista apresentada e, nesse caso, podemos acrescentá-la premindo o botão Permitir outra aplicação; isso fará abrir uma nova janela denominada Adicionar © FCA – Editora de Informática
294
REDES DE COMPUTADORES DEFINIÇÕES AVANÇADAS
A opção Definições avançadas do painel esquerdo transporta-nos para a janela Firewall do Windows com Segurança Avançada (Figura 9.12). Esta firewall é executada dentro do próprio computador e fornece segurança local contra ataques de rede que possam ter origem dentro da própria rede ou organização e ataques vindos do exterior que possam ter atravessado as defesas de uma firewall de perímetro. Esta firewall foi pensada para ambientes empresariais e com necessidades de segurança mais apertadas, no caso de um computador doméstico ou mesmo de uma rede doméstica, a firewall básica do Windows é perfeitamente capaz de dar conta do recado.
FIGURA 9.12 – Firewall do Windows com Segurança Avançada
Entre as vantagens da firewall do Windows com Segurança Avançada salientam-se três:
Redução do risco de ataques à segurança da rede – reduz a superfície de ataque a um computador reduzindo simultaneamente a probabilidade de um ataque bem-sucedido. Quando utilizada no Windows Server 2012, usa uma das características do sistema operativo, o NAP (Network Access Protection), assegura que os computadores clientes obedecem às políticas que definem as características e configurações de máquinas que se podem ligar à rede;
© FCA – Editora de Informática
FIREWALLS
295
Salvaguarda de dados sensíveis, através da integração com IPsec, força a que a comunicação de rede seja sujeita a autenticação, ajudando assim à proteção e confidencialidade dos dados;
Aumenta o valor do investimento atual – como é uma firewall incorporada no sistema operativo e integrada no Active Directory, Domain Services e políticas de grupo, não necessita de hardware ou software adicionais, bastando só por si para uma proteção eficaz do sistema.
Se observarmos a Figura 9.12 podemos ver que a firewall do Windows 8 apresenta três perfis diferentes, de modo que podemos aplicar diferentes regras para redes privadas e para redes públicas:
Perfil de domínio – usado somente caso o computador esteja inserido num domínio;
Perfil privado – usado caso o computador esteja ligado a uma rede de trabalho ou mesmo a uma rede caseira;
Perfil público – usado caso o computador esteja ligado a uma rede pública, isto é, um aeroporto, centro comercial, ponto de acesso sem fios, ligação direta à Internet, etc.
Como já foi referido anteriormente, sempre que nos ligamos a uma nova rede é-nos colocada a questão se a rede é pública ou privada, o que irá indicar à firewall do Windows qual o perfil a ser utilizado. Um só computador pode utilizar múltiplos perfis dependendo da situação em que se encontre. Tomemos como exemplo um portátil. Quando ligado na empresa, cuja rede está controlada por um domínio, usa o perfil de domínio. Ao fim do dia, numa passagem pelo centro comercial, liga-se à rede pública do centro e o perfil usado será o público. Ao chegar a casa, liga-se à rede de casa e o perfil usado passará a ser o privado. Vamos agora ver como configurar os perfis da firewall. Comecemos por premir a opção Propriedades da Firewall do Windows, na janela Firewall do Windows com propriedades avançadas. A janela de propriedades da firewall do Windows tem um separador para cada um dos perfis e um quarto separador correspondente às definições de IPsec (Figura 9.13). Por predefinição o Windows bloqueia as ligações de entrada e permite as ligações de saída para qualquer um dos perfis; no entanto, nesta janela pode alterar essa definições, isto é, podemos, para um determinado perfil, por © FCA – Editora de Informática
SCANS DE REDE
327
10.1.2 CONFIGURAR UM SCAN À REDE
Para configurar um scan a uma rede, escolhemos a opção Scans e selecionamos New Scan. É-nos apresentada a janela da Figura 10.3.
FIGURA 10.3 - Criação de um novo scan
Aqui, podemos atribuir um nome ao scan, se queremos que seja executado neste momento, o tipo de política e se pretendemos executar o scan a um equipamento de rede específico, a um intervalo de IP ou a toda a rede. Neste caso, vamos efetuar um scan interno a toda a rede, como mostra a Figura 10.4.
FIGURA 10.4 - Atribuição dos dados ao scan
Para começar o scan, basta selecionar a opção Create Scan e aguardar que o mesmo termine, como mostra a Figura 10.5. Dependendo do número de equipamentos de rede que temos ligados à nossa rede, este processo pode demorar minutos ou horas. A barra com a indicação Running pode ficar nos 0% durante algum tempo. © FCA – Editora de Informática
328
REDES DE COMPUTADORES
FIGURA 10.5 - Atribuição dos dados ao scan
10.1.3 RESULTADOS DO SCAN
Após o término da operação anterior, podemos ver os resultados do scan na opção Listing Results, como mostra a Figura 10.6.
FIGURA 10.6 - Resultado do scan
Ao selecionarmos o resultado, somos reencaminhados para a imagem seguinte (Figura 10.7), onde podemos ver os hosts que foram verificados e respetivas vulnerabilidades.
FIGURA 10.7 - Resultado do scan (hosts)
Vamos selecionar o host com o IP 192.168.1.2 e verificar quais as vulnerabilidades encontradas e respetiva solução (Figura 10.8). Como são muitas, vamos analisar as mais importantes, ou seja, as que estão assinaladas com as etiquetas “critical” e “high”, pois são estas as que necessitam de resolução imediata.
© FCA – Editora de Informática
330
REDES DE COMPUTADORES
Neste caso, a vulnerabilidade é simples de resolver, bastando instalar uma atualização do sistema operativo, mais especificamente a atualização 2009005 ou posterior. Se pretendermos saber mais informação sobre a vulnerabilidade em análise, basta ler a restante informação apresentada e clicar nos links apresentados (Figura 10.10).
FIGURA 10.10 - Informação detalhada sobre uma das vulnerabilidades © FCA – Editora de Informática
SCANS DE REDE
333
10.2 ARMITAGE Este programa (Figura 10.16) é mais agressivo, pois permite detetar as falhas na rede e explorá-las. Em conjunto com o Metasploit, pesquisa quais os exploits existentes para tirar partido das falhas, sendo assim uma ótima ferramenta para quem pretende proteger a rede ou para quem pretende atacá-la.
FIGURA 10.16 - O Armitage
Tal como o Nessus, o Armitage, após ter feito um scan à rede, mostra-nos os hosts detetados e respetivos IP, qual o sistema operativo em utilização, os serviços e as portas abertas sujeitas a ataque. No canto superior esquerdo da Figura 10.16, existe uma lista de exploits que podem ser utilizados em ataques. Na barra de ferramentas do Armitage (Figura 10.17) temos opções como a Hosts, onde definimos o tipo de scan que vamos efetuar, ou a Attacks, que permite identificar todos os tipos de ataques disponíveis.
FIGURA 10.17 - Barra de ferramentas do Armitage © FCA – Editora de Informática
334
REDES DE COMPUTADORES
Para compreender melhor o funcionamento deste programa, vamos efetuar uma pesquisa à rede e que tipo de pesquisas podemos efetuar.
10.2.1 CONFIGURAR UM SCAN À REDE
Para efetuarmos um scan à rede, selecionamos a opção Hosts (Figura 10.18) e escolhemos qual a ferramenta que pretendemos (Nmap Scan ou MSF Scans). O Nmap é um programa de scan que pode ser utilizado, em modo consola no Linux, de forma independente do Armitage. Neste caso, é parte integrante do programa que estamos a analisar.
FIGURA 10.18 - A opção Hosts do Armitage
Dentro da opção Nmap Scan (Figura 10.19) temos várias opções já definidas, como efetuar um scan intensivo, rápido, com deteção de portas, entre outras. Vamos selecionar a opção Intensive Scan, all TCP ports.
FIGURA 10.19 - Tipos de scan disponíveis
Desta forma, o Armitage, com o Nmap, vai pesquisar todos os equipamentos da rede, quais os serviços e portas que estão abertas e que são alvo de ataques. De seguida, é necessário introduzir ou um IP de determinado host de rede, ou todo o segmento de rede. Como mostra a Figura 10.20, vamos efetuar um scan a toda a rede 192.168.1.0, sem nos esquecermos da máscara de sub-rede, /24. © FCA – Editora de Informática