Atualmente é imprescindível proteger seu computador desktop conectado à Internet, mas muitas vezes o custo das proteções não anima muito. O que acha então de utilizar simplesmente a melhor proteção do mercado sem gastar um único Real? Irresistível…

Segurança forte com VMWare e IPCop

O sistema operacional GNU/Linux é reconhecido no mundo todo por sua segurança, leveza e estabilidade. No entanto, poucos se aventuram a usá-lo no desktop, mesmo sabendo que é mais seguro navegar com ele do que com o Windows. É compreensível, muitos acham mais conveniente permanecer no Windows a ter que aprender. Mas que isso é inseguro não há mais dúvidas.

Então, que tal usar o Linux para dar mais segurança ao Windows? Esta solução já é presente em grande parte das empresas, onde um computador dedicado rodando Linux faz a função de gateway e firewall para proteção da rede interna. Isso deixa de fora aquela pessoa que tem apenas um PC e quer simplesmente navegar com tranqüilidade.

Será possível ter a segurança de um firewall Linux mesmo tendo apenas uma máquina baseada em Windows? Sim, é possível!

Com o VMware podemos virtualizar nosso computador e rodar dois, três, quatro ou mais sistemas operacionais de uma vez só. Assim é possível executar Windows e Linux simultaneamente, e também é possível fazer com que esse sistema Linux seja o gateway e firewall da máquina Windows, basta organizá-los em uma rede virtual.

Nossa proposta não é usar Linux como ambiente de produção, apenas como uma camada entre o Windows e a Internet, sem alterar as funcionalidades do Windows instalado.

Ou seja, o Linux rodará dentro do VMware e este, por sua vez, será apenas mais um software em seu deskop, sob o Windows, tal como apresentado na figura de entrada desta matéria. Há inúmeras distribuições GNU/Linux especialmente voltadas para gateways, a maioria bastante leve e pouco exigente em relação ao hardware.

Uma das melhores atualmente é o IPCop (http://www.ipcop.org), muito fácil de usar e que tem tradução para o idioma português, além de ser bastante leve.
Um dos pontos positivos do VMWare é a capacidade de copiar máquinas virtuais inteiras.

O hardware virtual é o mesmo em todos os computadores, isso significa que a mesma máquina virtual que criamos em nosso laboratório vai funcionar no seu PC. É devido a essa razão que, inclusive, estamos disponibilizando nossa máquina virtual para download no site http://www.revistapcecia.com.br .

O arquivo tem 30 MB, aproximadamente. Assim você não precisa instalar o IPCop nem configurar nada, basta copiá-la e executá-la. A máquina virtual é composta de duas interfaces de rede, 32MB de memória e um disco de 100MB. No HD virtual está instalado o IPCop, que já foi configurado para fazer a função de gateway e firewall para a máquina local.

Você também precisará fazer downloads de alguns arquivos gratuitos. Um deles é o VMware Player, um software específico para a execução de uma máquina virtual no seu sistema, que pode ser baixado do site http://www.vmware.com e tem aproximadamente 40 MB. O último é o programa FireDaemon, que será usado para executar o VMware Player como um serviço do Windows.

DOWNLOADS

Máquina Virtual Gateway CLICA AQUI

FireDaemon
CLICA AQUI

VMware Player
http://www.vmware.com/download/player/
Instalando a máquina virtual
Agora que você já baixou todos os programas, vamos fazer as configurações baseadas na dupla IPCop e VMware Player.

Inicialmente instale o VMware Player e depois descompacte a máquina virtual com o IPCop no diretório C:\IPCop. Insistimos para que a máquina fique neste diretório, pois o pacote já está configurado para trabalhar exatamente neste local.

Se você quiser modificar sua posição terá que fazer adaptações no FireDaemon, que por sinal não são difíceis.

O VMware Player é instalado com uma configuração padronizada, mas nós vamos ajustá-la de acordo com nossa necessidade usando o utilitário VMNETCFG.EXE, que fica escondido dentro do diretório onde o VMware Player foi instalado (não existe um ícone para ele no Menu Iniciar). Este utilitário configura as interfaces de rede disponíveis para o VMware, podendo tanto criar interfaces virtuais quanto se ligar a uma interface física através de um bridge ou de um NAT.

A configuração padrão do VMware traz três interfaces de rede, sendo uma delas a VMnet0 ligada diretamente a uma placa de rede física e duas chamadas VMnet1 e VMnet8 como adaptadores de rede virtuais. O VMware oferece vários serviços de rede como DHCP, NAT e outros, todos configurados neste utilitário.

Nosso caso é o seguinte: precisamos de uma placa de rede física totalmente dedicada para o IPCop e de uma placa virtual que será usada para nosso sistema Windows se comunicar com o gateway IPCop. Não desejamos NAT, nem DHCP (pois o IPCop tem esta função), portanto desabilite-os (figuras 2 e 3).

2-

3-

Também não precisamos de tantas interfaces de rede, bastam duas. Na aba Host Virtual Adapters você pode eliminar a interface VMnet8, que não será usada (figura 4).

4-

Há ainda um outro detalhe a configurar. O VMWare cria uma bridge (ponte) entre o dispositivo VMnet0 e alguma dentre as placas de rede presentes na máquina, o que corresponde a exatamente o que queremos, mas faz isso de forma automática e não temos como saber qual interface ele escolherá (muitos computadores têm mais de uma interface de rede). Além do que, mesmo que seu PC tenha apenas uma placa de rede, não custa nada configurar corretamente.
Observe a figura 5.

5-

Esse é o resultado que queremos: a interface VMnet0 está travada na placa de rede Realtek 8139, enquanto a interface VMnet1 é uma rede virtual. Ao lado de cada interface há um botão que permite configurar a sub-rede onde aquela interface deve operar.
Não se preocupe com o valor digitado ali, ele será substituído por DHCP posteriormente.

Pronto, podemos fechar o programa e reiniciar o sistema para que as novas configurações de interfaces de rede do VMware entrem em ação. A configuração não está pronta, temos um bom caminho a percorrer ainda, pois até agora apenas ajustamos as definições de rede do VMware. Falta ainda mudar o comportamento do Windows para que ele não use a placa de rede física, e também configurar o IPCop.

O próximo passo é proibir o Windows de acessar a placa de rede. Fazemos isso facilmente, basta abrir as propriedades de rede e clicar duas vezes na placa de rede física, no nosso caso a Realtek 8139. Aparecerá uma listagem de protocolos e serviços que o Windows tem permissão de usar naquela placa. Desmarque todos, exceto o VMware Bridge Protocol (figura 6).

6-

Com isso, estamos proibindo o Windows de usar qualquer um desses serviços nesta placa, apenas o VMware poderá fazê-lo com o seu protocolo de bridge, o que na prática fará com que apenas a máquina virtual rodando IPCop tenha o direito de acessar a rede externa.

O Windows poderá apenas usar a placa de rede virtual, que aparece ao lado da placa física, como se ela existisse de verdade (figura 7).

7-

Qual será o IP desta placa virtual? Não precisamos nos preocupar com isso, pois o IPCop tem um servidor de DHCP que se encarrega de fornecer um número para ela. Poderíamos muito bem definir um IP manualmente, mas no futuro pretendemos usar essa máquina virtual para outras coisas e o servidor DHCP nos facilitará as coisas. Para que a interface consulte o servidor DHCP basta entrar nas suas propriedades, selecionar o protocolo TCP/IP e clicar no botão Propriedades. Então, é só configurá-la para Obter um endereço IP automaticamente(figura . Por enquanto, ela não encontrará o servidor DHCP, pois não iniciamos a máquina virtual ainda, mas logo resolveremos isso.

8-

Executando
A instalação não é difícil, mas exige atenção a alguns detalhes. De agora em diante é mais fácil, pois o IPCop já está configurado para funcionar corretamente. No final do artigo o VMware será executado como um serviço, mas por enquanto precisamos configurar algumas coisas manualmente, portanto vamos executar a máquina virtual.
Execute o VMware Player. Você notará que ele já abre automaticamente a caixa para abrir arquivos de imagem virtual. Localize o arquivo IPCop.vmx na pasta do IPCop e em seguida clique em abrir (figura 9).

9-

Após isso, o VMPlayer constatará que a máquina virtual foi copiada (ela foi mesmo), já que você fez download da máquina que criamos aqui no laboratório. Isso não é um problema, ele só quer saber se deve criar um novo identificador para ela. Selecione ?Create? (figura 10) e clique em OK.

10-

Surgirá rapidamente a tela de boas vindas do VMware e logo em seguida o bootloader do IPCop. Selecione a primeira opção, de cima para baixo. Se preferir, não faça coisa alguma nessa tela porque a primeira opção é a padrão e será executada automaticamente em poucos segundos. O que acontece agora é uma das coisas mais interessantes para quem usa o VMware pela primeira vez: o sistema operacional hospedado realiza um procedimento de boot completo. Muitos se surpreendem com isso, pois acreditavam que o VMware era uma maneira de rodar programas de outros sistemas, mas ele na verdade executa o sistema operacional inteiro, como se não houvesse um outro já em execução. Aguarde um pouco, logo o boot terminará e surgirá a tela de logon do IPCop Linux.
Há dois usuários registrados nessa máquina virtual, chamam-se root e admin. O usuário root possui permissão especial para alterar o sistema operacional IPCop instalado na máquina virtual, enquanto o usuário adminnão altera nada no sistema operacional, mas pode fazer o que quiser dentro das configurações do gateway/firewall/proxy. A senha para ambos é pcecia, e isso é algo que você deve mudar imediatamente. Portanto, antes de mais nada, faça o logon com o usuário root e use a senha pcecia.
Ao clicar dentro da janela do VMPlayer o cursor do mouse desaparece e o teclado passa a inserir comandos nele. Para retirar o controle de teclado e mouse da máquina virtual você deve pressionar CTRL+ALT simultaneamente, pois o VMware entende essa combinação como uma instrução para devolver o controle à interface do sistema operacional local. É comum nos atrapalharmos um pouco no início, mas isso só acontecerá na fase de configuração. Depois disso nunca mais veremos a cara do VMPlayer.
Você agora deve estar no prompt de comando do IPCop. Não precisamos conhecer nenhum comando típico do Linux para continuar a configuração, o IPCop conta com o programa setup para configurar tudo. Simplesmente digite o comando setup e você se deparará com a interface ilustrada na figura 11.

11-

Antes de entrar na configuração de rede, configure o Fuso horário como Brazil/East para o litoral brasileiro ou Brazil/West para o planalto central. Veja ainda que existe Brazil/Acre para esse estado e Brazil/DeNoronha para o mais famoso arquipélago brasileiro.
Agora selecione Redee na tela seguinte escolha Configurações de endereço para então escolher a interface RED O IPCop dá nome de GREEN(verde) para a rede que está protegida por ele, e RED(vermelho) para a rede na qual ele está conectado e julga perigosa, ou seja, a Internet. Nossa máquina virtual já trouxe a interface ?GREEN? corretamente configurada, você não deve mexer nela. Mas a RED é dependente da maneira como você se conecta à Internet, que pode ser através de um modem roteador ou de um modem bridge tradicional. Como cada caso é um caso, aqui você deve configurar o IP que o provedor de acesso lhe forneceu, ou, se você usa um modem roteador, basta deixar a configuração em DHCP, tal como já está por padrão.
Em seguida selecione Configurações de DNS e Gateway e preencha os três campos nesta tela com os endereços IP do DNS primário, secundário e gateway padrão, respectivamente, todos fornecidos pelo provedor. Se você tem um modem com servidor DHCP, deixe todos os campos em branco. Agora, volte à tela principal do programa, a da figura 11.
Falta somente configurar as senhas de root e admin o que pode ser facilmente feito nos dois últimos itens do menu. Use senhas diferentes e difíceis de descobrir. Os usuários desta máquina, sejam eles seus filhos ou funcionários, não podem ter acesso às configurações do IPCop.
Com isso finalizamos essa fase de configuração. A próxima fase será feita através de um browser. Abra seu navegador preferido e no campo endereço digite http://172.16.0.1:81. Este é o IP do computador virtual rodando o IPCop Linux. Sempre que você precisar configurar algo pode entrar nessa página, e talvez seja útil criar um bookmark diretamente para lá. Não tem problema, pois para alterar as opções é necessário saber a senha, mas se você preferir uma solução totalmente transparente então deixe sem bookmark.
Se o navegador reclamar que não foi possível encontrar o endereço, talvez sua interface de rede não tenha conseguido obter o IP diretamente do servidor DHCP do IPCop. Abra a janela de conexões de rede, clique na interface virtual VMnet1 com o botão direito do mouse e selecione a opção Reparar. Confira o IP obtido por esta interface olhando no canto inferior esquerdo da janela, ele deverá estar na faixa compreendida entre 172.16.0.100 e 172.16.0.200, que é a rede virtual à qual o seu Windows pertence agora (figura 12). Se o IP for outro fora dessa classe, então algo saiu errado, tente observar se todos os passos foram seguidos corretamente até aqui.

12-

Se tudo correu bem, uma nova interface abrirá, via HTML, utilizando agora uma conexão SSH. Observe que a porta TCP 81 já não está mais sendo utilizada, cedendo lugar à porta 445. A primeira tela que surge é a tela ?Sistema / Principal?. Veja que a interface gráfica é bastante simples e objetiva.
Já que o IPCop está em português, será fácil continuar. Consulte a tela Situação > Situação do sistemae veja os serviços que estão ativados ou não (figura 13).

13-

Vá logo para Serviços > URL Filter e insira os domínios e URLs que devem ser bloqueadas. Isso não será difícil para você, leitor da PC&CIA, porque em nosso site existe um arquivo com uma extensa coleção de domínios e URLs a serem bloqueadas (nossa máquina virtual já trás boa parte deles bloqueados). O IPCop também se mantém atualizado com a lista negra (black list) do site http://www.squidguard.org, uma das maiores listas de sites não-recomendados do mundo. Esta lista negra é dividida por categorias, vistas na figura 14, e você pode decidir quais quer bloquear.
Também é possível fazer uma listabranca, que é o oposto da outra, proibindo os acessos a todo e qualquer site exceto os que estiverem listados. Após configurar suas listas de bloqueio/permissão, não esqueça de clicar em Salvar

14-

Quer mais segurança? Então vá para Serviços > Detecção de Intrusão e marque as caixas Green Snort e Red Snort. Veja que é possível fazer com que o IPCop atualize as regras do Snort, mas será necessário que o usuário se inscreva no serviço em http://www.snort.org. É recomendável fazer isso, evidentemente (figura 15).

Monitorando sem ser visto

Muito bem, o VMware está instalado e corretamente configurado, o IPCop já estava instalado dentro da máquina virtual e agora também está corretamente configurado para a sua máquina. A navegação na Internet está funcionando, o que mais poderíamos querer?
Que tal esconder o IPCop e torná-lo completamente transparente? O que vamos propor agora fará com que ele inicialize automaticamente com o Windows, reinicialize toda vez que for fechado, suspenda a máquina virtual quando o Windows for desligado e rode totalmente em segundo plano, sem sequer ter um ícone na barra de tarefas.
O truque para fazer isso tudo é rodar o VMPlayer como um serviço e não como um aplicativo normal. Essa operação é um tanto complicada para ser feita manualmente, portanto vamos utilizar um excelente software chamado FireDaemon, que cria serviços facilmente e tem uma interface simples de usar. O FireDaemon é um software comercial, mas há uma versão Lite disponível na Internet que funciona perfeitamente bem, apenas com a limitação de só poder criar um único serviço. Para nosso uso, porém, isso é suficiente, portanto instale o FireDaemon (disponível no nosso site) e execute-o.
Antes de prosseguir, pare a máquina virtual clicando no botão X do VMware Player. Ao terminar com o FireDaemon, ele mesmo inicializará a máquina novamente, portanto ela não pode estar rodando para evitar confusões.
Ao iniciar o FireDaemon você se deparará com uma interface que não mostra nenhum serviço instalado. Entre no menu Service > New, o programa lhe apresentará uma interface para criação de um novo serviço. Você não precisa criar manualmente o serviço, pois no diretório C:\IPCop há um arquivo chamado IPCop.xml que contém a definição do serviço. Clique no ícone Abrir (aquela pastinha amarela, o segundo botão) e selecione esse arquivo (figura 16).

16-

Ao abri-lo o FireDaemon configurará um serviço chamado IPCop. Agora basta clicar em Install para que o serviço seja criado, instalado e inicializado automaticamente (figura 17).

17-

Repare que na janela principal do FireDaemon o serviço consta como ?Runing? (em execução), mas não há qualquer janela do VMware indicando que a máquina virtual esteja rodando. Acredite, ela está, mas de forma oculta, como um serviço do Windows. Abra o navegador e acesse novamente a página de configuração http://172.16.0.1:81 para se certificar de que tudo esteja rodando. Se a página não abrir, é porque o IPCop não está rodando. Neste caso, certifique-se de que o serviço está mesmo rodando pelo FireDaemon e refaça os passos descritos acima, caso necessário.

Conclusão
O que você tem agora é uma navegação segura. Seu computador está protegido por um computador virtual rodando Linux e contando com serviços de proxy, firewall, filtragem de URLs, detecção de intrusão e muitos outros recursos. Ele também registra todos os sites visitados, assim você sempre saberá onde seu filho ou funcionário andou.
E o que é melhor, esta nossa solução é totalmente gratuita e não deixa a desejar nem mesmo para os consagrados (e pagos) ISA Server, da Microsoft ou o Multi Network Firewall 2, da Mandriva. Nem mesmo nos recursos disponíveis, pois seu IDS é bastante flexível e os gráficos com as estatísticas de utilização de rede que podem ser gerados, são simplesmente o que todo usuário deseja.
Observe que os softwares antivírus não foram substituídos e devem ser utilizados no seu Windows. Um novo firewall no Windows protegido pelo IPCop é perfeitamente dispensável, você pode inclusive desabilitar o que acompanha o Windows XP SP2. Se quiser, instale um anti spyware, mas de preferência um que não seja executado em segundo plano para evitar consumo de recursos. De qualquer forma, na pior das hipóteses, o IPCop não abrirá a porta TCP solicitada por um eventual spyware que consiga atingir seu computador.
O desempenho do seu sistema não será muito prejudicado com essa solução baseada em máquina virtual, nos nossos testes perdemos apenas 45MB de memória RAM e a utilização do microprocessador foi muito baixa, usando apenas cerca de 8% do processador quando foram abertas sete páginas simultaneamente. E foi só durante o carregamento delas. Quando a dupla proxy/firewall está trabalhando, depois de abertas, naturalmente o uso de processador cai para 0%. E se é verdade que com maior atividade na rede esse percentual será mais elevado, já passou da hora de fazermos uma maior utilização de nosso hardware, né?