ZoneAlarm Help Br

ZoneAlarm Help Br
Tutorial do ZoneAlarm
Flávio Gomes
16/03/2006
Sumário
INSTALAÇÃO DO ZONEALARM ......................................................................................... 3
INTRODUÇÃO ........................................................................................................................... 5
CONCEITOS BÁSICOS ............................................................................................................. 6
Permissão para Programas ...................................................................................................... 6
Atividade de Servidor ............................................................................................................... 6
Alertas do Firewall .................................................................................................................... 6
Entendendo o alerta do Firewall ............................................................................................. 7
SEÇÃO ALERTS & LOGS ......................................................................................................... 7
O INTERNET LOCK E O AUTOMATIC LOCK .................................................................... 7
O Automatic Lock ...................................................................................................................... 8
O BOTÃO STOP .......................................................................................................................... 8
SEÇÃO FIREWALL .................................................................................................................... 9
Níveis de segurança da Trusted Zone .................................................................................... 9
Níveis de segurança da Internet Zone ................................................................................... 9
A Aba Zones .............................................................................................................................. 10
SEÇÃO PROGRAM CONTROL ............................................................................................ 11
Direitos de Acesso .................................................................................................................... 11
Server ......................................................................................................................................... 12
O Pass Lock ............................................................................................................................... 12
Remoção de Programas .......................................................................................................... 12
SEÇÃO E-MAIL PROTECTION ............................................................................................ 13
Autorizando a conexão de um computador da rede ........................................................ 14
O que fazer para barrar uma invasão com o ZoneAlarm................................................ 14
Tutorial do ZoneAlarm Free
INSTALAÇÃO DO ZONEALARM
Após você fornecer algumas informações e concordar com a licença de uso (License
Agreement), ZoneAlarm pergunta se você deseja iniciar o ZoneAlarm. Clique em Yes.
Em seguida surge a tela ZoneLabs Security Options na qual você poderá selecionar
entre o ZoneAlarm Pro ou o ZoneAlarm. Marque a segunda opção e clique em Next
(Seguinte).
Na tela Configure Web Surfing Access ZoneAlarm pede para configurar automaticamente o seu navegador. Deixe Yes (recommended) e clique em Next.
Se ocorrer a tela Configuration Sucessful a instalação foi bem sucedida. Clique em
Done. ZoneAlarm pede para reiniciar o computador, clique em OK.
Após a reinicialização ser completada surge um pequeno tutorial e em seguida o ZoneAlarm
é iniciado.
INTRODUÇÃO
Firewall é um aplicativo que impede acessos não autorizados a qualquer computador,
esteja este conectado à Internet (principalmente se a conexão for do tipo banda larga) ou
à uma rede local.
ZoneAlarm é um firewall pessoal com três níveis de segurança como opções, ele também
tem um registro das ocorrências de segurança e um protetor contra trojans e vírus.
Quando alguma aplicação do seu computador tentar acessar a Internet, ZoneAlarm se
assegura de ter a sua permissão. Assim nenhum programa conseguirá enviar dados de
seu computador para a internet, à não ser aqueles que você autorizar.
Na janela principal do ZoneAlarm, à esquerda, existe um menu com cinco
seções: Overview, Firewall, Program Control, Antivirus Monitoring (funcional
somente na versão Pro), E-mail Protection e Alerts & Logs.
No topo da janela, ao lado esquerdo, estão os gráficos de fluxo de entrada (IN)
e saída (OUT) de dados pela Internet. A barra vermelha mostra dados sendo
enviados para fora de seu micro para a Internet enquanto a barra verde mostra
dados sendo recebidos.
Em seguida, temos o botão Stop, um clique (de emergência) será suficiente
para interromper a transmissão da Internet imediatamente. Clique em Stop
para parar imediatamente toda a conexão se você suspeita que está sob ataque.
O cadeado representa a opção Lock/Unlock e tem a função de bloquear os programas
que acessam a Internet. Similar ao botão Stop, mas pode ser ativado automaticamente
quando seu computador está inativo (ver Automatic Lock).
E por fim, na área de programas ativos, são visualizados os ícones dos programas abertos e que estão acessando a Internet. Um ícone piscante significa que o programa está
enviando e recebendo dados neste exato momento.
CONCEITOS BÁSICOS
Permissão para Programas
Quando um programa tenta acessar a Internet pela primeira vez,
ZoneAlarm vai perguntar se você deseja que ele acesse realmente
a Internet. Selecionando Allow permite que o programa acesse a
Internet até que você encerre tal programa. Selecionando Deny
nega o acesso a Internet, evitando que o programa envie dados
para a Internet.
O modo de acesso padrão à Internet para todas as aplicações é
solicitar sua permissão a cada vez que você rodar o programa.
Checando a opção Remember this setting a aplicação receberá
ou não tal acesso à Internet sem solicitar a cada vez a sua permissão para tal. Isto é útil para as aplicações, como seu navegador ou seu e-mail, que você
sempre necessita usar para acessar à Internet. Do mesmo modo, como descrito, aplicase para os avisos: Changed Program, Repeat Program, Server Program.
Atividade de Servidor
ZoneAlarm permite que você detecte e controle programas que trabalhem como Internet
server - tais programas ficam no estado de espera para requisições vindas de outros
computadores. O ZoneAlarm destaca as aplicações que estão escutando a Internet com
o símbolo de uma mão segurando o ícone de tais programas. ZoneAlarm negará acesso
à Internet, e mostrará uma janela pop-up, quando um programa sem permissão de agir
como um server começar a escutar ativamente alguma conexão.
Alertas do Firewall
Quando o firewall bloqueia comunicações da Internet ele mostra
uma janela de Alerta, para seu conhecimento do bloqueio efetuado.
O padrão é o ZoneAlarm dar uma notificação de Alerta na forma
de uma janela pop-up amarela. Este alerta contém a origem, o
destino, o protocolo, a porta, a data e a hora da comunicação
bloqueada. No caso da comunicação bloqueada for para fora
do micro, o Alerta irá incluir qual foi a aplicação que foi bloqueada.
Pode-se desligar as notificações de Alerta (Don’t show this dialog
again). Do mesmo modo, como descrito, aplica-se para os alertas: Blocked Program e
Internet Lock alert.
Entendendo o alerta do Firewall
Na imagem acima, por exemplo, temos:
1. “The firewall has blocked... 172.16.211.65...”: É o endereço IP do computador que está
enviando os pacotes que foram bloqueados.
2. “Time”: É a data e a hora em que o alerta ocorreu.
3. “1st of 4 alerts”: É o número de alertas que já ocorreram desde o primeiro.
SEÇÃO ALERTS & LOGS
Existem dois tipos de alertas: os alertas de programas, gerados pelas tentativas de acesso à Internet dos programas do usuário, e os alertas do Firewall, gerados por supostas
tentativas de invasão, ou acesso ao computador do usuário através de programas spywares.
Os alertas de programas sempre são mostrados, pois eles sempre requerem confirmação
do usuário. Já os alertas do Firewall, não requerem iniciativa alguma do usuário, pois o
software o está protegendo em tempo integral. Servem apenas para avisar dessa proteção. Se você achar os alertas do firewall inconvenientes habilite Off.
Alert Events Shown:
• On: Todos os tipos de alertas serão exibidos
• Off: Apenas os alertas de programas serão exibidos.
Clicando em Advanced (Avançado), o usuário será remetido à janela de Controle de
Logs. São possíveis as seguintes configurações:
Log Archive Setting: Selecionando a caixa Archive log
text files daily, opta-se pela criação diária de arquivos
de Log.
Log Archive Location: Informa o local do arquivo de Log.
Há opção para alterar do endereço do arquivo, clicando
em Browse.
Current log size: Indica o tamanho atual do arquivo de
Log. Para limpar as ocorrências do arquivo de Log, basta
clicar em Delete Log.
Para restabelecer a configuração padrão, basta clicar
em "Reset to Default".
O INTERNET LOCK E O AUTOMATIC LOCK
O Internet Lock permite parar os acessos dos programas à Internet.
Clicando nesta trava altera-se o acesso de unlock (desbloqueado) para
lock (bloqueado) e vice-versa.
O Automatic Lock
Localizado na seção Program Control, aba Main, a finalidade do recurso Automatic Lock
é automatizar a função Lock vista acima.
Portanto, este é um recurso valioso quando o computador fica conectado à Internet
durante longos períodos de inatividade. Para ativá-lo basta selecionar o campo ON.
Para configurá-lo basta clicar em Custom. Surgirá um novo painel com as opções:
Lock Mode to Use When Enabled (Modo Trava Automática Quando Habilitado): Nesse campo o usuário deve determinar a partir de quando o sistema estará bloqueado.
Estando a opção "on" marcada, o usuário pode escolher
entre o bloqueio automático após um período de tempo
ocioso de tantos minutos (Lock after XX minutes of
inactivity) ou quando o Screensaver (Proteção de tela)
entrar em ação (Lock when screensaver activates).
When Lock Engages (Quando a Trava Automática Estiver
Ativa): Aqui o usuário deverá escolher entre Allow passlock programs to access the Internet e Block all Internet
access. A primeira função permite que programas configurados com o Pass Lock tenham acesso à Internet, apesar do bloqueio estar ativado, enquanto a segunda bloqueia todos os acessos à Internet.
Após determinar a configuração desejada, clique em OK.
O BOTÃO STOP
Clicando no botão stop cessa imediatamente todo o tráfego Internet. Clique
neste botão se você imaginar que um programa pode estar sendo usado para
acessar a Internet, nesse momento, de modo suspeito e não autorizado.
O botão stop pára com todo e qualquer acesso à Internet, independentemente da configuração Pass Lock existente no painel Programs. Muito útil para parar um trojan ou outro
programa que esteja para ganhar acesso à suas informações privadas. Para reativar o
acesso à Internet clique novamente no botão stop.
SEÇÃO FIREWALL
Nesta seção podemos configurar a segurança, determinando a forma de proteção, indicar máquinas confiáveis, habilitar e desabilitar conexões internas (Redes) e externas
(Internet).
Na aba Main há duas opções: Internet Zone (Zona da Internet) e Trusted Zone (Zona de
Confiança). A primeira, irá protegê-lo de computadores fora de rede local (Internet). A
segunda determina o acesso de computadores conectados numa rede local (LAN) ou a
outros computadores especificamente designados como seguros. Para acrescentar computadores na Zona de Confiança, é utilizada a aba Zones, como veremos a seguir.
Cada zona tem um seletor security level, permitindo que se possa selecionar um diferente
nível de segurança (Low, Medium ou High) para cada uma. Com o incremento dos
níveis de segurança, o firewall dinamicamente coloca mais restrições de acesso para o
seu computador, protegendo você de ameaças potenciais. O controle de Zonas na versão
Free é limitado. O fabricante nos remete a versão Pro para um controle mais específico.
Níveis de segurança da Trusted Zone
O padrão para a Trusted Zone é Medium. As opções possíveis são as seguintes:
• High (Alto): Modo invisível. Seu computador fica oculto para outros computadores.
Compartilhamentos não são permitidos.
• Medium (Médio): Modo compartilhado. Seu computador pode ser visto por outros
computadores e os recursos do seu computador podem ser compartilhados.
• Low (Baixo): Firewall desligado.
Níveis de segurança da Internet Zone
O padrão para a Internet Zone é High. As opções possíveis são as seguintes:
• High (Alto): Modo invisível. Seu computador fica oculto para outros computadores.
Compartilhamentos não são permitidos.
• Medium (Médio): Modo visível mas protegido. Seu computador fica visível para outros computadores mas estes não podem compartilhar dos recursos do seu computador. O acesso ao serviço NetBIOS do Windows fica bloqueado.
• Low (Baixo): Firewall desligado.
Clicando no botão Advanced (Avançado), abre-se a janela Advanced Settings, com algumas opções de configuração para as Zonas de Internet e Local:
Block Trusted Zone servers / Block Internet Zone servers:
Marcando a caixa de seleção dessas opções, todos os
programas estarão impedidos de funcionar como servidores nas zonas Local ou Internet. É recomendável
deixar essas opções desmarcadas.
Allow uncommon protocols at high security: Selecione
essa opção para que os protocolos incomuns sejam
submetidos ao nível de segurança alto.
Allow Outgoing DNS/DHCP in Trusted Zone on High
setting: Selecione esta opção para a saída em Alta
segurança de DNS/DHCP na Zona Local.
Allow Outgoing DNS/DHCP in Internet Zone on High setting: Selecione esta opção para a
saída em Alta segurança de DNS/DHCP na Zona de Internet.
Disable Windows Firewall: Desativa o firewall do Windows XP.
A Aba Zones
Esta permite que computadores selecionados possam se conectar com o seu computador em seu nível de segurança Trusted
Zone. Você poderá acrescentar à sua Trusted
Zone: web sites, endereços IP e subredes.
O botão Add permite adicionar um host ou
site, um endereço IP, uma faixa de endereços IP, ou uma subrede IP. Você ainda pode
confirmar (Apply), editar (Edit) e/ou remover
(Remove) os itens citados.
As opções do botão Add são as seguintes:
Host / Site
Adiciona um nome de computador ou um site a sua Trusted Zone. Você deverá digitar
o nome do computador ou poderá entrar um nome, por exemplo: ftp.zonelabs.com ou
ftpserver.
IP Address
Adiciona um único endereço IP que se refere a um único computador a sua Trusted
Zone.
IP Range
Adiciona uma faixa de IP a sua Trusted Zone.
IP Subnet
Adiciona uma subrede a sua Trusted Zone. Útil em lugares onde a rede local seja
dividida em múltiplas subredes. Por exemplo, se a impressora está em outra subrede, o
firewall bloqueará o acesso à impressora. Adicionando a subrede da impressora a sua
Trusted Zone você poderá usar a impressora, tanto quanto quaisquer outros computadores desta subrede.
SEÇÃO PROGRAM CONTROL
Na área Controle de Programas podemos ativar a trava automática (já visto em Automatic
Lock), definir os direitos de acesso e o Pass Lock (ultrapassar trava) de cada programa
em cada uma das zonas.
Na aba Main temos o Program Control. Possui quatro níveis de controle de acesso dos
programas:
• OFF (Desligado): Esta opção incapacitará a proteção de longo curso e não é aconselhável.
• LOW (Baixo): Opção indicada para uso até que todos os programas que necessitam
de tráfego pela Internet ou sub-rede tenham sido registrados pelo Program Control.
• MEDIUM (Médio): Os programas têm que pedir acesso de Internet e propriedades
de servidor.
• HIGH (Alto): O Nível alto traz proteção extra contra o abuso de programas confiados.
Esta proteção está disponível apenas na versão ZoneAlarm PRO.
Clique na aba Programs para visualizar uma lista de todos os programas que já tiveram,
ou tentaram, acesso à Internet. Você pode rever e reconfigurar cada direito de acesso,
para cada programa na sua Trusted Zone e/ou na Internet Zone (Access). A coluna
Server permite que você controle quais aplicações podem executar função de servidor. A
coluna Pass Lock (cadeado) permite que você decida se uma aplicação pode conectarse mesmo que a função Lock esteja ativada. Qualquer aplicação da lista pode ser removida.
Direitos de Acesso
Na aba Programs temos cada direito de acesso de cada aplicação para
cada uma das zonas. Para alterar os direitos de acesso, basta clicar e
escolher uma das três opções: Allow, Block ou Ask.
A marca verde permite um programa se conectar sempre, sem necessitar de sua
confirmação a cada vez. O X vermelho previne acesso à Internet até você alterar
para uma marca verde ou uma marca de interrogação. Se você nega acesso de uma
aplicação à Trusted Zone, ZoneAlarm não permitirá também que tal programa acesse
a Internet Zone. A marca de interrogação (configuração padrão) alertará você e te
pedirá permissão a cada vez que um programa tentar acessar a Internet.
Server
ZoneAlarm controla as aplicações servidoras. Tais aplicações ficam escutando por requisições de conexão externas e respondem à essas requisições. Aplicações de comunicação, tipo ICQ, NetMeeting ou MSN Messenger,
tipicamente requerem direitos de servidor para que consigam funcionar corretamente sob o ZoneAlarm. ZoneAlarm identifica tais aplicações logo em seguida à sua
execução, permitindo que você assinale direitos delas agirem como tal.
A maioria dos trojans (cavalos de tróia) são, de fato, aplicações
servidoras que permitem a lamers controlar seu computador remotamente. Para um maior controle, ZoneAlarm deixa que você
indique se um servidor pode se comunicar com a Internet Zone,
ou se ele é restrito à Trusted Zone. Se uma aplicação, tentar
responder à uma requisição remota, sem a sua prévia permissão, ZoneAlarm detectará tal comportamento e emitirá um aviso
para seu conhecimento.
O Pass Lock
Habilitando Pass Lock permite que um programa ultrapasse a Automatic Lock. Use esta
característica para permitir programa de e-mail checar novos e-mails mesmo quando o
acesso para todas as zonas estiver bloqueado.
Se um de seus programas gerar erros ligados a uma conexão Internet, é possível que ele
tenha tentado acessar a internet quando a Automatic Lock tenha sido acionada. Se você
desejar permitir isso, tenha certeza de habilitar o Pass Lock.
Remoção de Programas
Para remover um programa da lista clique com o botão direito do mouse no aplicativo que
deseja remover e clique na opção Remove. Remover um programa da lista não previne
ZoneAlarm de monitorá-lo. ZoneAlarm irá detectar o programa na próxima vez que ele
tentar acessar a Internet.
SEÇÃO E-MAIL PROTECTION
Além das funções de Firewall, o ZoneAlarm oferece aos usuários uma proteção adicional
de e-mail, garantindo proteção extra contra Scripts maliciosos recebidos nas caixas postais.
O MailSafe básico protege seu computador de anexos de e-mail recebidos, que contenham códigos maliciosos ou vírus. No MailSafe Básico estes anexos ficam em quarentena, impedindo a execução sem sua permissão. A quarentena oferecida pelo MailSafe
Básico protege apenas arquivos VBScript (*.VBS). Se houver interesse em melhorar a
proteção, o MailSafe Avançado oferece proteção para 45 anexos de e-mail adicionais,
incluindo arquivos .EXE, .COM e .SCR e está disponível na versão do ZoneAlarm Pro.
Basic MailSafe Settings:
• On - Permitirá ao Firewall interceptar todos os anexos de e-mail em formato VisualBasic
Script (VBS), remetendo-os à quarentena.
• Off - Desativa a proteção de e-mail do MailSafe Básico.
Autorizando a conexão de um computador da rede
O ZoneAlarm impede o acesso aos seus arquivos por outros computadores da rede,
mesmo que uma pasta esteja configurada para compartilhar arquivos. Para autorizar um
computador a acessar seus arquivos, vá na seção Firewall, aba Zones, clique em Add e
escolha a opção IP Address. No campo Zone, selecione Trusted. No campo IP Address,
informe o endereço IP do computador que quer autorizar compartilhamento.
Obs.: Para saber o Endereço IP de um computador execute o programa ipconfig no
prompt de comando do computador.
O que fazer para barrar uma invasão com o ZoneAlarm
Os microcomputadores podem sofrer invasões principalmente de: trojan, spyware,
screenlogger ou keylogger. Além dos inofensivos mas incômodos adware. Desse modo,
você deve prestar atenção nas janelas pop-up NEW PROGRAM e SERVER PROGRAM.
Nelas geralmente vem descrito o programa que está tentando acessar a Internet.
No exemplo acima, o navegador “Internet Explorer” e o controle “Generic Host Process
for Win32 Services” estão querendo ter acesso à Internet. Ambos são produtos do Sistema Operacional Microsoft Windows, portanto, legítimos.
O que pode ser confirmado em Product name, na seção Program Control, aba Programs,
Entry Detail.
No entanto, se o programa for desconhecido ou se não faz parte da lista de programas
instalados por você, é prudente bloquear este até você confirmar a procedência do mesmo.
E-Book feito por Flávio Gomes - http://fmgos.wordpress.com
Esse material é gratuito e deve permanecer assim. O foco deste material não é o profissional de segurança da
informação. A intenção é orientar de forma básica as pessoas que não possuem conhecimento específico no
assunto.
Todos os nomes registrados são propriedade de seus respectivos donos. As imagens de programas e processos
registrados contidos neste material também são devidamente creditadas, como observado, e são usadas neste
material apenas para fins ilustrativos e educacionais.
É permitido imprimir ou distribuir livremente esse material desde que citada a fonte.
Outros e-books:
1. História do PC - O surgimento do computador pessoal
2. Planeta Hacker
3. Micro Seguro
4. ZoneAlarm Help Br - Tutorial do ZoneAlarm