Firewall Pessoal – Mais Segurança para sua estação de Trabalho

Fernando Augusto do Valle

Pós graduando do Centro Universitário Barão de Mauá
Ribeirão Preto/SP

vallef@gmail.com, fernandovalle@exorcistadesistemas.net

Abstract virtualização Virtualbox para a criação de um

firewall pessoal, que se colocará entre o
Nowadays, almost every computer is connected
sistema operacional Windows, e a rede. Esta
to a network. The need for a security
ferramenta foi escolhida por ter versões para
connection is a reality. Not everyone have the
vários sistemas operacionais, e ser de fácil
possibility to have a server with some kind of
configuração.
service that gives this kind of security. To
establish a connection on a public network, like Um esquema do funcionamento pode ser vista
schools, shopping centers, and others, one na Figura 1.
more layer can be introduced to protect the
user’s computer. A Virtual Firewall can be
created and run between the computer and the
network, and better, this firewall is a virtual one,
with no need for a new computer or device.
1. Introdução
Com a crescente demanda por estar sempre
conectado a internet, seja para uso profissional
ou por lazer, faz da necessidade de se ter uma
conexão segura um item que não pode faltar
para ninguém. Isso aumenta quando utilizamos
um meio de conexão público para alcançar a
internet. Existem vários meios para se
assegurar de que os dados que saem de seu
computador, cheguem em segurança ao seu
Figura 1 - Esquema de Funcionamento.
destino: Túneis com Secure Shell (SSH); Virtual
Private Network – Redes Privadas Virtuais 2. Instalando o Virtualbox
(VPN), entre outros, cumprem muito bem este
A instalação do programa é bem simples.
papel. Mas nem sempre podemos contar com
Deve-se baixar a versão mais recente do
um servidor onde podemos criar um vínculo
programa do site do site www.virtualbox.org.
para uma conexão segura. Usuários
Quando da formulação deste texto, a versão
domésticos, especialmente, que necessitam
mais recente era a de número 3.0.0, mas para
acessar dados de redes públicas passam por
este caso vamos usar a última versão estável
este problema. Uma alternativa seria o uso de
da série 2 (2.2.4r47978). Deve-se escolher a
um dispositivo externo a estação que traga
versão de seu sistema operacional. Neste
uma barreia a mais para a segurança da
artigo usaremos a versão x86/amd64. Quando
estação. O problema neste caso seria o uso de
terminar de fazer o download execute o arquivo
mais um aparelho a ser levado na bolsa, alem
que foi colocado em seu computador.
do que, nem sempre este dispositivo irá
permitir uma conexão a uma rede sem fio, O instalador irá perguntar sobre a instalação de
sendo necessário o uso de um cabo para drivers adicionais para o funcionamento do
efetuar a conexão a rede. Neste artigo Virtualbox. Aceite a pergunta e aguarde o
mostrarei como usar a ferramenta de termino da instalação do software. Após a
instalação terminar, um novo item aparecerá
como dispositivo de rede denominado
VirtualBox Host-Only Network. Este dispositivo
virtual será o caminho de saída para nossa
rede.
A seguir deve-se escolher qual será o
dispositivo físico que é usado para conectar
realmente a rede. Adaptadores ethernet ligados
por meio de cabo são mais simples e tem maior
chance de funcionar. Isso porque alguns
dispositivos wirelles podem não funcionar em
modo bridge, o que impossibilita esta
configuração. Uma saída para o uso de uma
rede wirelless seria o uso de um adaptador
USB. Mesmo alguns modelos de baixo custo
têm um bom funcionamento e possuem as
características necessárias para o
funcionamento desta configuração. Para este
artigo será utilizado o adaptador Ovislink EVO-
W108USB. Figura  3  -­  Dispositivo  Real

A figura 2 mostra a tela de dispositivos de rede Feitas estas configurações nos dispositivos de
do sistema Windows, onde podemos ver o rede, devemos criar uma máquina virtual para
adaptador criado pelo Virtualbox, e também os usarmos como firewall.
dois dispositivos do computador que estão
desativados. Eles foram deixados desativados,
pois um sistema como o Windows, onde
algumas alterações são feitas automaticamente
pelo sistema, minimizamos a possibilidade de
alterações não desejadas.

Figura  2  -­  Dispositivos  de  Rede

Todas as ligações do adaptador de rede físico

(cabeado ou wifi) devem ser desabilitadas.
Podemos ver pela figura 3 que apenas a Figura  4  -­  Endereço  de  Rede
ligação com o item VirtualBox Bridged
Networking Driver deve ser mantido ativo. 3. Configurando o Firewall

As ligações do dispositivo virtual devem ser
como se fossem de um dispositivo real.
Devendo até mesmo, possuir um número de
endereçamento IP (Internet Protocol) fixo. No
caso deste exemplo as configurações ficaram
como na figura 4.
Usaremos neste artigo o SmoothWall [1], um
firewall leve e de fácil configuração. Outros
softwares, tanto gratuitos como pagos,
poderiam ser usados aqui. Temos como
exemplo PFSense, IPCop, ou mesmo uma
distribuição Linux ou BSD com regras
personalizadas de segurança e roteamento. O
SmoothWall pode ser encontrado em. Após
fazer o download do arquivo, podemos dar
início a configuração da máquina virtual.
A criação de um firewall virtual para esta
finalidade, não precisa de uma máquina virtual
com muito espaço em disco ou memória
principal. Um espaço em disco maior seria
necessário se o firewall a ser implementado
fosse ser utilizado, por exemplo, como cache
de rede. A única diferença entre esta máquina
virtual e uma máquina de uso comum é a
necessidade de duas placas de rede. Na
configuração de rede devemos habilitar dois
adaptadores. O primeiro deverá ser conectado
a Placa de rede exclusiva de hospedeiro (host
only), e ter como nome o VirtualBox Host-Only
Ethernet Adapter. O segundo adaptador deverá
ser conectado a Placa em modo Bridge e ter o
nome da placa física que estiver sendo
utilizada. Neste caso Ovislink 11b/g Wireless
Adapter. A primeira placa será a placa interna
de nossa rede. A segunda a que fará a conexão
com a rede externa. O diagrama 1 mostra
como tudo funcionará.
Para a instalação do software, devemos dizer
para o VirtualBox utilizar o arquivo com o
SmoothWall como se este fosse a leitora de
CD/DVD-ROM. Após estas configurações
efetuadas, e as mudanças também efetuadas
nas placas de rede do sistema Windows,
podemos instalar o SmoothWall na máquina
vitrtual.
A instalação é quase toda automática. Devendo
apenas ser confirmado com OK a cada passo.
Ao final uma tela de congratulações será
exibida. Confirme o Ok para continuar. Será
perguntado se você deseja restaurar uma
configuração anterior. Diga que não. Escolha o
tipo de teclado da máquina. Para teclados sem
a tecla “ç” escolha o us-acentos. Escolha agora
o nome da máquina virtual. Se desejar
mantenha o nome sujerido pela instalação. No
passo seguinte será necessário escolher a
forma padrão de como o firewall irá se
comportar. O sujerido é “Half-open” (Meio
aberto), onde a maioria das requisições de se
originam na rede interna serão permitidos,
exceto pelos que forem considerados danosos.
Pode-se escolher também os padrão “Open”
(Aberto), onde todas as requisições serão
permitidas, e você terá de colocar
posteriormente as regras de bloqueio, ou
“Closed” (Fechada), onde todas as requisições
serão negadas, e depois terão de ser
colocadas as regras de liberação. Pode-se
escolher o padrão que é “Half-open”.
As próximas configurações são importantes.
Elas definem o modo físico como o firewall vai
se comportar. No menu que se apresenta
temos quatro opções que devem ser
configuradas. Na primeira, “Network
configuration type” (Tipo de configuração de
rede), escolhemos o modo de configuração da
rede. Para o caso deste artigo devemos
escolher a opção “Green + Red” (Verde +
Vermelho). Isso diz para o sistemas que
teremos duas placas de rede, a primeira
(Green) será a placa interna, ela deverá ser a
placa que configuramos como “host only” nas
configurações da máquina virtual no VirtualBox.
A segunda placa (Red) será a placa externa, e
deverá ser a que foi configurada como
“Bridged” nas configurações do VirtualBox.
Na segunda opção do menu, “Drivers and card
assignment” (Controladoras e escolha de
placa), O sistema tenta escolher a melhor
controladora para as placas, e define qual
placa irá ser usada para qual finalidade (interna
ou externa).
Deve-se escolher a opção de mudança das
configurações e então pedir para o sistema
procurar pelas placas instaladas. O ideal na
hora de configurar as placas no VirtualBox é
colocá-las na ordem de interna e externa, para
que quando chegar nesta etapa o sistema
encontre primeiramente a placa interna e
depois a externa. Outra alternativa é escolher
modelos diferente de placa no VirtualBox para
cada uma delas. Assim será fácil saber qual o
sistema está configurando neste passo.
Depois de definidas as placas, devemos
configurar os endereços de cada uma. A
terceira opção, “Address settings”
(Configurações de endereço), cuida disso.
Deve-se escolher qual placa iremos configurar
primeiro. Escolhendo a primeira (Green), e
devemos, como ele nos alerta, escolher um
endereço fixo para esta placa, já que será por
meio dela que faremos a conexão da estação
com o firewall.
Escolha uma faixa de endereço que seja As configurações efetuadas posteriormente no
diferente da usada pela rede a qual iremos firewall não serão de abrangência deste artigo.
conectar a placa externa. Neste exemplo
4. Segurança
iremos usar um endereço na faixa 192.168.1.0,
de máscara 255.255.255.0. Um argumento contra este tipo de estrutura é a
de que, uma máquina virtual pode trazer a
A configuração da placa vermelha deve
insegurança de um invasor conseguir passar
acompanhar a rede externa a qual ela irá se
da máquina virtual para à real, sem passar pelo
conectar. Se a rede externa possuir um
dispositivo de rede. Este tipo de invasão,
servidor que forneça endereços, pode-se
conhecido como invasão de camada 2, pode
escolher o modo “DHCP” (Dynamic Host
acontecer, mas seria improvável. Com o uso de
Configuration Protocol) em sua configuração.
versões sempre atualizadas do programa de
Caso este serviço não esteja disponível, deve-
virtualização, e da máquina real, este tipo de
se escolher um endereço fixo dentro da faixa
invasão é praticamente impossível.
da rede extena. Para este artigo iremos deixar
em “DHCP”. O uso deste sistema pode ter o lado positivo de
não ter um programa de firewall funcionando no
A última opção deste menu “DNS and Gateway
mesmo sistema que utilizam-se os aplicativos.
settings” (Configurações de DNS e Gateway),
A preocupação de se usar um firewall é
depende da escolha feita no item anterior. Caso
comprovada com a implantação deste tipo de
tenha-se escolhido a opção de DHCP, não será
software nos sistemas operacionais de hoje.
preciso configurar esta última opção, já que o
Mas como alguns softwares fazem mudanças
serviço fornece estes endereços
próprias em firewalls nos sistemas onde estão
automaticamente. Caso a escolha anterior
instalados, ter um firewall funcionando em uma
tenha sido de um endereço fixo, então estes
máquina separada aumenta a segurança do
endereços também devem ser fornecidos.
sistema.
Feitas estas configurações, devemos escolher
5. Conclusão
a opção “Done” (Feito). Um novo menu será
apresentado, mas estas opções podem ser O uso deste sistema, mesmo que não tendo
configuradas posteriormente. apelo comercial, pode ter sua eficácia em uso
diário. Com uma configuração relativamente
Escolhendo a opção “Finished” (Terminado),
simples, como vimos no item 2 e 3, e uso de
uma tela é apresentada, e deve-se informar a
softwares gratuitos, podemos colocar uma
senha de administração. A seguir é perguntado
camada de segurança a mais em sistemas que
sobre a senha do usuário principal (root).
precisem utilizar redes abertas para se
Com isso termina-se a configuração do comunicar com a internet.
SmoothWall. A máquina virtual irá desligar e
Outros softwares podem ser utilizados para dar
ligar novamente carregando as configurações
ainda mais segurança para o sistema. O uso de
efetuadas.
bloqueios de sites, listas negras e brancas de
Todas estas configurações podem ser mudadas bloqueio, e regras mais rígidas de acesso,
posteriormente através da página de podem bloquear até o mais SmoothWall
configuração Web, ou pelo console da máquina Express 3.0 SP1 - Released 8th January 2009
virtual. intrusivo software que tentar acessar a internet,
ou invadir o sistema.
Para mais detalhes sobre as configurações de
instalação, mudanças posteriores, assim como Referências
configurações de permissões e bloqueios do
[1] SmoothWall Express 3.0 SP1 - Released 8th
firewall, podemos encontrados em [1].
January 2009. SmoothWall Ltd. Disponível
Com as configurações realizadas tanto na em:<http://www.smoothwall.org/get/index.php>.
máquina real, como na máquina virtual, o Acesso em: 03 de jul. 2009.
sistema deve estar pronto para usar a internet
através do firewall.