Outpost Firewall

Outpost Firewall PRO 2.0 15/08/03

Num mundo cada vez mais informatizado e conectado, a segurança torna-se um fator cada vez mais necessário. Para isso, o uso de um bom firewall torna-se quase obrigatório. Mas são tantos firewalls disponíveis, qual eu devo escolher?! Neste tutorial eu mostrarei as funções do Agnitum Outpost Firewall 2.0 PRO e veremos se ele pode ser a sua opção de segurança :) ... Entre no site da Agnitum (http://www.agnitum.com/) para baixar a última versão do Outpost Firewall PRO (versão 2.0.238 no momento em que este tutorial está sendo escrito). Ele funciona em Windows 98/ME/NT/2000 e XP, e é shareware por 30 dias. Após este período você terá que desembolsar US$ 39,95 para comprá-lo. Exite também uma versão freeware. A instalação não exige maiores explicações, basta seguir o assistente. Porém a tela abaixo chamou a minha atenção: ela permite que você mude o idioma do programa - e para a nossa alegria o português brasileiro está disponível!

Ao final da instalação, um assistente se abrirá. Nas duas telas que se seguem, basta marcar a opção Apply auto configuration para que os programas mais comuns de acesso à Internet e a rede sejam

http://www.agnitum.com/

liberados para acessos externos. Ao final o programa pedirá para reiniciar o computador, basta clicar em OK.

Usando:

Após reiniciar o computador, uma tela aparecerá lhe lembrando que você só poderá usar o Outpost Firewall 2.0 PRO por 30 dias gratuitamente. Clique em Continuar para sair desta tela.

Agora o firewall será aberto. Esta janela mostra as mudanças efetuadas em cada atualização do programa. Clique em Fechar para sair desta tela.

Esta é a tela principal do programa. A parte esquerda da tela mostram uma lista com a opção de visualizar as portas da internet abertas pelos serviços do Windows e por outros programas, além de mostrar uma lista com os pacotes recebidos e enviados que foram bloqueados e que

foram permitidos. Na parte direta da tela, você pode ver com mais detalhes as opções listadas na parte direita da tela.

Na barra de ferramentas você tem a opção de modificar as maneira com que o firewall vigiará seu computador. Deixe selecionada a opção Assistente de regras para que cada programa tenha regras personalizadas.

Alguns programas já vêm configurados (como o Internet Explorer) mas se você tentar entrar com algum programa desconhecido pelo

firewall, uma tela de configuração de regras aparecerá. Para que o programa sempre tenha acesso a internet, marque a opção Permitir todas as atividades para esta aplicação e clique em OK. Se sempre quiser bloquear a aplicação, marque a opção Parar todas as atividades para esta aplicação. Se você não tem certeza se esta aplicação é segura, você pode bloqueá-la ou permiti-la apenas por esta vez (botão Bloquear Agora e Permitir Agora respectivamente). Caso escolha uma destas opções, a a tela de regras aparecerá novamente se a aplicação tentar acessar a Internet.

Os firewalls também precisam de atualizações e o Outpost Firewall não foge à regra: para atualizar seu firewall acesse o Menu Ferramentas > Atualização Agnitum. Você pode escolher entre a atualização Automática (que atualiza todos os componentes que devem ser atualizados) e a Personalizada (em que você escolhe o que será atualizado). Escolha a atualização automática e clique em Next> para atualizá-lo.

Configurando:

Para configurar seu Outpost Firewall, acesse o Menu Opções > Geral ou aperte a tecla F2 do teclado.

Guia Geral: Opções diversas do programa, como se o firewall será minimizado para a área de notificação (Minimizar para a Bandeja do Sistema) e se o programa exigirá senha para proteger as configurações (Proteção por senha)

Guia Aplicação: Nesta guia você verá as regras já criadas, poderá modificá-las (Editar), removê-las (Remover) ou adicionar uma regra nova (Adicionar).

Guia Política: Aqui você também poderá mudar a maneira com que o Outpost Firewall protegerá seu computador, sendo que você terá uma breve explicação da diferença entre cada nível de proteção.

Guia Plug-Ins: Aqui você verá todos os extras que o Outpost Firewall trás. Para configurar os extras do programa, selecione-o na lista e clique em Configurar.

Detecção de Ataque: Este extra do Outpost Firewall permite que você configure quando você será notificado de uma tentativa de ataque (basta deslizar o controle para o nível de alerta desejado). Em Bloquear intrusos você poderá bloquear o IP do responsável pela tentativa de invasão por um determinado período.

Conteúdo Ativo: Aqui você poderá configurar quais itens serão executados em páginas da Internet (Páginas Web) e em e-mail e newsgoups (Mail, News). Você poderá desabilitar até pop-ups, mas o bloqueador deste extra não é o mais eficiente que existe (totalmente compreensível pois o programa não foi feito para isso).

Propaganda > Texto HTML: Bom, o Outpost Firewall 2.0 PRO também tem um bloqueador de banners. Aqui você poderá ativar o bloqueador segundo palavras-chave, mas não aconselho pois a navegação fica muito lenta com este filtro.

Propaganda > Tamanho da Imagem: Já este filtro é bem mais eficiente. Ele trava as imagens conforme o tamanho delas, basta escolher o tamanho. O melhor é que a velocidade da navegação não é afetada.

Conclusão:

O Outpost Firewall se mostrou nos testes um firewall confiável e cheio de funções e o que me deixou surpreso, entretanto, foi sua "estranhíssima" leveza: em todos os testes que fiz durante o tutorial ele não superou 4 Mb de memória RAM ocupada, o que o torna uma excelente escolha para máquinas com pouca memória e/ou lentas ;) ...

Ora aqui vai um pequeno exemplo de como configurar as regras da Outpost.. e já que estamos a falar na mula.. lá vai: eMule Bowfish -> Requesitos: Portas TCP 4662 e UDP 4672.. A finalidade é manter a mula a receber comunicações do exterior nestas 2 portas através dos seguintes passos: "Options" -> "Application" -> "Emule.exe" -> "Edit" -> "Creat/modify Rules"* -> "new":

* Desactivem as regras pré-defenidas.. there's no need 4 that.. 1ª -> eMule Bowlfish Inbond (TCP): Where the protocol is "TCP".. and Where the direction is "Inbond".. and Where the local port is "4662".. "Allow it".. 2ª -> eMule Bowlfish Inbond (UDP): Where the protocol is "UDP".. and Where the direction is "Inbond".. and Where the local port is "4672".. "Allow it".. 3ª -> eMule Bowlfish Outbond (TCP): Where the protocol is "TCP".. and Where the direction is "Outbond".. "Allow it".. 4ª -> eMule Bowlfish Outbond (UDP): Where the protocol is "UDP".. and Where the direction is "Outbond".. "Allow it".. 5ª -> eMule Bowlfish Block Inbond (TCP): Where the protocol is "TCP".. and Where the direction is "Inbond".. "block it".. 6ª -> eMule Bowlfish Block Inbond (UDP): Where the protocol is "UDP".. and Where the direction is "Inbond".. "block it".. E pronto.. desta forma não teram a mula a questionar-vos um corno.. e devidamente protegida.. hehehe.. PS - O mesmo exemplo se aplica aos restantes programas.. é só questão de saber as portas que o mesmo utiliza

As minhas alteracoes: 1.) eMule Bowlfish Inbound (TCP) Where the protocol is "TCP" and Where the direction is "Inbound" and Where the local port is "4662" Allow it 2.) eMule Bowlfish Inbound (UDP) Where the protocol is "UDP" and Where the direction is "Inbound" and Where the local port is "4672" Allow it 3.) eMule Bowlfish Outbound (TCP) Where the protocol is "TCP" and Where the direction is "Outbound" and Where the local port is "4662" Allow it 4.) eMule Bowlfish Outbound (TCP) - connection to server Where the protocol is "TCP" and Where the direction is "Outbound" and Where the remote port is "4661" Allow it 5.) eMule Bowlfish Outbound (UDP): Where the protocol is "UDP" and Where the direction is "Outbound" and Where the local port is "4672" Allow it 6.) eMule Bowlfish Block Inbound (TCP) Where the protocol is "TCP" and Where the direction is "Inbound" Block it 7.) eMule Bowlfish Block Inbound (UDP) Where the protocol is "UDP" and Where the direction is "Inbound"

Block it 8.) eMule Bowlfish Block Outbound (TCP) Where the protocol is "TCP" and Where the direction is "Outbound" Block it 9.) eMule Bowlfish Block Outbound (UDP) Where the protocol is "UDP" and Where the direction is "Outbound" Block it ---- edit: ver abaixo. _________________ Hunt A Rig Daisy and Come On Rock'in Easy! Configuração de servidores VPN e firewall

Há dois métodos de utilizar um firewall com um servidor VPN:

• Servidor VPN à frente do firewall. O servidor VPN está

conectado à Internet e o firewall fica situado entre o servidor

VPN e a intranet.

• Servidor VPN atrás do firewall. O firewall está conectado à

Internet e o servidor VPN fica situado entre o firewall e a

intranet.

Servidor VPN à frente do firewall

Quando o servidor VPN estiver situado à frente do firewall e conectado à Internet, será preciso adicionar filtros de pacotes à interface da Internet que permitam somente a passagem do tráfego VPN de ida e volta do endereço IP da interface da Internet do servidor VPN.

No caso do tráfego de entrada, quando os dados encapsulados são decriptografados pelo servidor VPN, eles são encaminhados para o firewall. Com o uso de filtros, o firewall permite que o tráfego seja encaminhado para recursos da intranet. Como o único tráfego que atravessa o servidor VPN é gerado por clientes VPN autenticados, nessa situação, a filtragem do firewall pode ser utilizada para impedir que usuários VPN acessem recursos específicos da intranet. Como o único tráfego de Internet permitido na intranet deve passar pelo

servidor VPN, esse método também impede o compartilhamento de FTP (protocolo de transferência de arquivos) e de recursos da Web na intranet com usuários da Internet de fora da VPN.

A ilustração a seguir mostra o servidor VPN à frente do firewall.

Na interface da Internet do servidor VPN, configure os seguintes filtros de entrada e saída usando o Roteamento e Acesso Remoto:

Filtros de pacotes para PPTP (protocolo de encapsulamento ponto a ponto)

Configure os seguintes filtros de entrada com a ação de filtro definida para Ignorar todos os pacotes, exceto os que atenderem aos critérios abaixo:

• Endereço IP de destino da interface da Internet do servidor

VPN, máscara de sub-rede 255.255.255.255 e porta TCP de

destino 1723.

Esse filtro permite o tráfego de manutenção do encapsulamento

PPTP do cliente PPTP para o servidor PPTP.


VPN, máscara de sub-rede 255.255.255.255 e identificação de

protocolo IP 47.

Esse filtro permite a passagem dos dados de encapsulamento



VPN, máscara de sub-rede 255.255.255.255 e porta de origem

TCP [estabelecida] 1723.

Esse filtro é necessário somente quando o servidor VPN estiver

atuando como cliente VPN (um roteador de chamada) em uma

conexão VPN de roteador a roteador. O tráfego TCP

[estabelecido] só é aceito quando o servidor VPN tiver iniciado

a conexão TCP.

Configure os seguintes filtros de saída com a ação de filtro definida para Ignorar todos os pacotes, exceto os que atenderem aos critérios abaixo:

• Endereço IP de origem da interface da Internet do servidor


origem 1723.


PPTP do servidor VPN para o cliente VPN.


VPN, máscara de sub-rede 255.255.255.255 e identificação de

protocolo IP 47.





destino 1723.

Esse filtro só é necessário quando o servidor VPN estiver


conexão VPN de roteador a roteador. O tráfego TCP

[estabelecido] só é enviado quando o servidor VPN tiver

iniciado a conexão TCP.

Para obter mais informações, consulte Adicionar filtros PPTP.

Filtros de pacotes para L2TP/IPSec (protocolo de encapsulamento de camada 2 com segurança do protocolo Internet)

Configure os seguintes filtros de entrada com a ação de filtro definida para Ignorar todos os pacotes, exceto os que atenderem aos critérios abaixo:

http://technet.microsoft.com/pt-br/library/cc783364%28WS.10%29.aspx


VPN, máscara de sub-rede 255.255.255.255 e porta UDP de

destino 500.

Esse filtro permite o tráfego IKE (troca de chaves na Internet)

para o servidor VPN.



destino 1701.

Esse filtro permite o tráfego L2TP do cliente VPN para o

servidor VPN.



destino 4500.

Esse filtro permite o tráfego de conversão de endereços de rede

traversal (NAT-T) do IPSec.

Configure os seguintes filtros de saída com a ação de filtro definida para Ignorar todos os pacotes, exceto os que atenderem aos critérios abaixo:



origem 500.

Esse filtro permite o tráfego IKE a partir do servidor VPN.



origem 1701.

Esse filtro permite o tráfego L2TP do servidor VPN para o

cliente VPN.



origem 4500.

Esse filtro permite o tráfego NAT-T do IPSec.

Para obter mais informações, consulte Adicionar L2TP através de filtros IPSec.

Não há filtros obrigatórios para tráfego ESP no protocolo IP de 50. O cabeçalho ESP é removido pelos componentes do IPSec antes que o pacote L2TP seja passado para <b>Roteamento e acesso remoto</b>.

Importante

• Não é recomendável a implantação do tráfego NAT-T do IPSec

em servidores VPN do Windows que estejam localizados atrás

de conversores de endereço de rede. Quando um servidor

estiver atrás de um conversor de endereço de rede e o servidor

usar o tráfego NAT-T do IPSec, poderá ocorrer um

comportamento indesejado em conseqüência do modo como os

conversores de endereço de rede convertem o tráfego da rede.

Servidor VPN atrás do firewall

Em uma configuração mais comum, o firewall fica conectado à Internet, e o servidor VPN é um recurso da intranet conectado à Rede de Perímetro. O servidor VPN dispõe de uma interface tanto na rede de perímetro quanto na intranet. Nessa situação, o firewall deve ser configurado com filtros de entrada e saída na interface da Internet que permitam a passagem do tráfego de manutenção de encapsulamento e dos dados encapsulados para o servidor VPN. Filtros adicionais podem permitir a passagem do tráfego para servidores Web, FTP e de outros tipos na rede de perímetro. Para obter uma camada de segurança adicional, o servidor VPN também poderá ser configurado com filtros de pacotes PPTP ou L2TP/IPSec na interface da rede de perímetro.

Como o firewall não dispões das chaves de criptografia para cada conexão VPN, ele só poderá filtrar os cabeçalhos em texto simples dos dados encapsulados. Em outras palavras, todos os dados encapsulados passam pelo firewall. Isso, entretanto, não representa um risco de segurança, pois a conexão VPN exige um processo de autenticação que impede o acesso não autorizado posterior ao servidor VPN.

A ilustração a seguir mostra o servidor VPN atrás do firewall na rede de perímetro.



No caso das interfaces da Internet e da rede de perímetro no firewall, configure os seguintes filtros de entrada e saída usando o software de configuração do firewall:

Filtros de pacotes para PPTP

Filtros de pacotes de entrada e saída separados podem ser configurados na interface da Internet e na interface da rede de perímetro.

Filtros da Interface da Internet

Configure os seguintes filtros de pacotes de entrada na interface de Internet do firewall para possibilitar estes tipos de tráfego:

• Endereço IP de destino da interface da rede de perímetro do

servidor VPN e porta TCP de destino 1723 (0x6BB).




servidor VPN e identificação de protocolo IP 47 (0x2F)




servidor VPN e porta TCP de origem 1723 (0x6BB).

Esse filtro só será necessário quando o servidor VPN estiver


conexão VPN de roteador a roteador. Esse filtro só deve ser

usado em conjunto com os filtros de pacotes PPTP descritos em

servidor VPN à frente do firewall e configurado na interface da

rede de perímetro do servidor VPN. Com a permissão de todo o

tráfego para o servidor VPN a partir da porta TCP 1723, existe a

possibilidade de ocorrência de ataques à rede a partir de fontes

na Internet que utilizam essa porta.

Configure os seguintes filtros de saída na interface da Internet do firewall para permitir estes tipos de tráfego:

• Endereço IP de origem da interface da rede de perímetro do





servidor VPN e identificação de protocolo IP 47 (0x2F).











tráfego originário do servidor VPN para a porta TCP 1723,

existe a possibilidade de ocorrência de ataques à rede a partir

de fontes na Internet que utilizam essa porta.

Filtros na interface da rede de perímetro

Configure os seguintes filtros de entrada na interface da rede de perímetro do firewall para permitir estes tipos de tráfego:






servidor VPN e identificação de protocolo IP 47 (0x2F).











tráfego originário do servidor VPN para a porta TCP 1723,



Configure os seguintes filtros de pacotes de saída na interface de rede de perímetro do firewall para possibilitar estes tipos de tráfego:






servidor VPN e identificação de protocolo IP 47 (0x2F)











tráfego originário da porta TCP 1723 para o servidor VPN ,



Filtros de pacotes para L2TP/IPSec

Filtros de pacotes de entrada e saída separados podem ser configurados na interface da Internet e na interface da rede de perímetro.

Filtros da Interface da Internet

Configure os seguintes filtros de pacotes de entrada na interface de Internet do firewall para possibilitar estes tipos de tráfego:


servidor VPN e porta UDP de destino 500 (0x1F4).

Esse filtro permite o tráfego IKE para o servidor VPN.

• Endereço IP de destino da interface de rede de perímetro do

servidor VPN e porta de destino UDP 4500 (0x1194).

Esse filtro permite o tráfego NAT-T IPSec para o servidor VPN.


servidor VPN e identificação de protocolo IP 50 (0x32).

Esse filtro permite o tráfego IPSec ESP do cliente VPN para o

servidor VPN.

Configure os seguintes filtros de pacotes de saída na interface da Internet do firewall para permitir estes tipos de tráfego:


servidor VPN e porta UDP de origem 500 (0x1F4).


• Endereço IP de origem da interface de rede de perímetro do

servidor VPN e porta de origem UDP 4500.

Esse filtro permite o tráfego NAT-T IPSec do servidor VPN.



Esse filtro permite o tráfego IPSec ESP do servidor VPN para o

cliente VPN.

Não há necessidade de filtros para o tráfego L2TP na porta UDP 1701. Todo o tráfego L2TP no firewall, incluindo manutenção de encapsulamento e dados encapsulados, é criptografado como carga IPSec ESP.

Importante








Filtros na interface da rede de perímetro

Configure os seguintes filtros de pacotes de entrada na interface da rede de perímetro do firewall para permitir estes tipos de tráfego:


servidor VPN e porta UDP de origem 500 (0x1F4).


• Endereço IP de origem da interface de rede de perímetro do

servidor VPN e porta de origem UDP 4500.

Esse filtro permite o tráfego NAT-T IPSec do servidor VPN.



Esse filtro permite o tráfego IPSec ESP do servidor VPN para o

cliente VPN.

Configure os seguintes filtros de pacotes de saída na interface de rede de perímetro do firewall para possibilitar estes tipos de tráfego:


servidor VPN e porta UDP de destino 500 (0x1F4).

Esse filtro permite o tráfego IKE para o servidor VPN.

• Endereço IP de destino da interface de rede de perímetro do

servidor VPN e porta de destino UDP 4500 (0x1194).

Esse filtro permite o tráfego NAT-T IPSec para o servidor VPN.



Esse filtro permite o tráfego IPSec ESP do cliente VPN para o

servidor VPN.

Não há necessidade de filtros para o tráfego L2TP na porta UDP 1701. Todo o tráfego L2TP no firewall, incluindo manutenção de encapsulamento e dados encapsulados, é criptografado como carga IPSec ESP.

Importante








Documents

Outpost Firewall