INTRODUÇÃO: (Pode pular, são apenas palavras, palavras e nada mais...)
O objetivo deste post é oferecer uma configuração do Guarddog que seja suficiente para o usuário desktop navegar tranquilamente na Internet, sem deixar sua máquina vulnerável a ataques de negação de serviço, ladrões de senhas, crackers diversos etc.
O Kernel do Linux inclui um excelente firewall, chamado
Iptables. Mas escrever regras para ele não é tarefa fácil para leigos, daí a utilidade de programas como o Guarddog, que antes de ser um firewall à la Rwindows, é, na verdade, um configurador do Iptables.
Muitos usuários, na hora de escolher um firewall, têm preferido instalar o Firestarter, por sua semelhança com aqueles encontrados para o Rwindows, por estar em língua portuguesa, por colocar um ícone na barra de tarefas, por ter maior exposição na mídia especializada, por ter um visual bonitinho etc. No entanto, não são poucos os que se decepcionam ao encontrar problemas como impossibilidade de abrir páginas, dificuldade de estabelecer regras, portas abertas e outros. Por ser apenas um usuário comum, sem conhecimentos de programação, eu também encontrei problemas assim e me frustrei bastante.
No entanto, depois de descobrir o Guarddog, nunca mais procurei outro programa porque ele me atendeu totalmente. Sua configuração é simples e precisa ser feita uma única vez. Apesar de seus menus estarem em Inglês, bastam alguns cliques para deixar seu micro protegido.
INSTALAÇÃO:Abra o Synaptic, procure por
guarddog e peça instalar
...OU abra um terminal e digite:
sudo apt-get install guarddog
Será instalada também a biblioteca
gawk. Os dois pacotes são pequenos: somados, não chegam a 1,5 megas
CONFIGURAÇÃO:O programa coloca um ícone em seu menu
Internet ou no
Sistema, dependendo de sua distribuição. No entanto, se você simplesmente clicar nele, você estará rodando o programa como usuário comum e, assim, não poderá fazer modificações nas opções-padrão. Para que isso seja possível, abra seu Editor de Menus e no campo
Comando, escreva:
gksudo /usr/bin/guarddog OU
kdesu /usr/bin/guarddog, conforme esteja rodando o Ubuntu ou o Kubuntu, respectivamente. Salve, saia e clique no ícone outra vez.
Uma segunda maneira de abri-lo é por linha de comando:
sudo /usr/bin/guarddog
Aberto o programa, surgirá uma tela que diz, entre outras coisas, que o Guarddog não encontrou nenhum arquivo de configuração e que isso se deve, provavelmente (no nosso caso,
certamente), porque ele está sendo invocado pela primeira vez. Clique em
OK e pronto. Diga-se de passagem que essa tela só aparecerá de novo se você removê-lo e reinstalá-lo.
Em seguida, aparecerá a tela principal, que é a que nos interessa. Sem meias-palavras, vamos em frente:
Clique na aba
Protocol, depois de ter confirmado que em
Defined Network Zones (à esquerda), a zona
Internet está salientada.
Você agora está na tela onde faremos todas as configurações. Os diversos serviços estão dispostos como se fossem sub-menus de menus. Vamos abrir cada um desses pseudo-menus e ver o que encontramos:
1 -
CHATAí estão os vários serviços de chat, como ICQ, MSN, NetMeeting. Note que todas as caixas de verificação à direita estão em branco. Isso porque o Guarddog, por padrão, bloqueia todas as portas. Por outro lado, se você clicar em AOL Instant Messenger (por exemplo), do lado esquerdo da tela surgirá um texto com a descrição desse protocolo (
Description) e, logo abaixo, uma cotação quanto aos riscos que ele oferece (
Security Risk). Esses
Riscos de Segurança dividem os serviços em 03 categorias: Low, Medium e High, isto é, Baixo, Médio e Alto. Portanto, atenção aí.
Se você usa algum(ns) desses serviços, clique na caixa de verificação para liberá-lo(s). Note-se que, se você clicar de novo por engano, seu pequeno "
v" transforma-se em "
x", o que significa que você
rejeita o protocolo. Nesse caso, clique mais 02 vezes, a primeira para bloqueá-lo e a segunda para permiti-lo.
2 -
DATA SERVEHabilite: CDDB e FreeDB, se você ripa CDs e DICT, se você tem o costume de consultar os dicionários on-line que vêm com o Ubuntu e o Kubuntu; se não, deixe em branco.
3 -
FILE TRANSFERObrigatórios mesmo, só HTTPS e HTTP, senão você não conseguirá abrir páginas na Internet. Porém se, como quase todos nós, você baixa pacotes variados via FTP, além de trocar músicas, vídeos e filmes, habilite BitTorrent Peer, BitTorrent Tracker, Fasttrack, FTP, Gnutella e quaisquer outros que
conhecer. Curiosidade: observe que até hoje o AudioGalaxy está aí (inexplicavelmente, já que ele foi fechado há muuuuito tempo
.
4 -
GAMESHabilite o(s) que usar; não é o meu caso, porisso deixo tudo em branco.
5 -
INTERACTIVE SESSIONSe você tem impressora conectada ao micro, habilite o IPP, pois o CUPS precisa dele.
6 -
MAILHabilite ao menos POP3 e SMTP, para receber e enviar e-mails através de seu provedor.
7 -
MEDIAPelo sim, pelo não, marque ambos.
8 -
MISCELLANEOUSMarque PGP Key Server, para autenticar chaves de criptografia.
9 -
NETWORKHabilite o protocolo DNS, para conseguir conexão com a Internet.
10 -
USER DEFINEDComo você (ainda) não definiu nenhuma regra particular, essa seção estará em branco.
Se souber e quiser definir alguma, clique na aba
Advanced e depois em
New Protocol e insira na caixa
Name o nome do protocolo, em seguida escolha o tipo em
Type (TCP ou UDP) e defina a porta em
Ports.
Se se arrepender, é só clicar em
Delete Protocol e sua regra será apagada. O que você estabelecer aparecerá habilitado nessa seção.
Warren Woodford, o nome por trás do MEPIS (que instala o Guarddog por padrão), acrescentou as regras abaixo. Eu deletei todas e não senti falta, mesmo porque não sei prá que elas servem. Mas se você sabe e acha que são úteis, aproveite-as; melhor ainda, diga prá nós:
NAME.......TYPE.....PORThttp-88....TCP...........88
loc...........TCP..........8765
3030.......TCP..........3030
stun.........UDP.........3478
sip...........UDP.........5060
lisa..........TCP..........7741
Tudo pronto? Clique em
Apply. Você receberá uma mensagem dizendo que o programa vai sobrescrever suas regras de firewall e que isso pode
arruinar sua conexão. Clique em
Continue, sem medo de ser feliz. O programa vai escrever essas novas regras. Clique em
Ok para sair.
Se, por algum motivo inexplicável, você quiser desabilitar o Guarddog, é só clicar na aba
Advanced e depois em
Disable Firewall, sem esquecer de salvar, naturalmente.
TESTAR CONFIGURAÇÃO:Para testar se seu micro está mesmo protegido, visite as páginas abaixo:
1 -
SHIELDS UP! --------------->
https://www.grc.com/x/ne.dll?bh0bkyd2Clique em
Proceed, depois em
All Services Ports. Na página seguinte, sua máquina será minuciosamente examinada, com cada quadradinho representando uma porta. O desejável é que, no final, todas estejam
verdes, o que significa que estão
BLINDADAS e que a palavra
PASSED (passou) apareceça duas vezes embaixo. Uma porta
azul significa que ela está apenas
FECHADA no momento e uma
vermelha quer dizer que está
ABERTA. Se houver alguma nesse estado, a palavra
FAILED (falhou) será escrita lá embaixo. Nesse caso, reabra o Guarddog e reedite suas regras.
Se quiser, clique em
Text Summary para ver um breve resumo do teste.
Em conexões de banda larga, o processo dura pouco mais de um minuto.
2 -
SYGATE ONLINE ----------------------->
http://scan.sygatetech.com/Clique em
SCAN NOW para um teste rápido, em que a Sygate tentará descobrir o nome de seu computador e os serviços que ele está rodando. Se tudo estiver ok, você receberá as seguintes mensagens:
Unable to determine your computer name! (Não foi possível descobrir o nome de seu micro!)
e Unable to detect any running services! (Não foi possível descobrir qualquer serviço em execução!).
A duração também é de mais ou menos um minuto.
A seguir, clique em
QUICK SCAN e/ou
STEALTH SCAN +
Scan Now, para que suas portas sejam examinadas. No final, a coluna
STATUS deverá apresentar a palavra
BLOCKED para todos os serviços.
Você deve testar os dois tipos ou somente o segundo, porque eles realizam diferentes testes, sendo o segundo mais completo que o primeiro. Ambos são rápidos, demoram um ou dois minutos cada.
Isto deverá ser o suficiente, mas se você for do tipo paranóico
ou se gostou da brincadeira , clique em
TROJAN SCAN +
Scan Now, para ver se sua máquina está exposta a cavalos-de-tróia. Somente portas abertas serão mostradas, portanto o ideal é que não apareça nenhuma. Esse teste é demorado, em torno de vinte minutos dependendo de sua conexão.
TCP Scan examina 1024 portas TCP usadas por serviços abertos. Nunca experimentei, pois demora, segundo a página, uns 45 minutos.
Aqui também, somente serão exibidas as portas abertas.
UDP Scan usará diversas técnicas para ver se seu micro bloqueia pacotes UDP. Segundo a página, isso demora uns 20 minutos, mas aqui foi rapidinho: mal começou o teste e já recebi as seguintes mensagens:
We have determined that you have a firewall blocking UDP ports! (Detectamos que seu firewall está bloqueando todas as portas!)
eWe are unable to scan any more UDP ports on IP: número tal (Não conseguimos escanear mais nenhuma porta UDP no IP número tal)
Legal, heim?
Veja se você também consegue esse resultado. Senão, volte ao Guarddog etc etc etc.
ICMP Scan, que demoraria 10 minutos, ainda não foi implementado. Ele veria se você está vulnerável a Pings.
É claro que esses testes valem para qualquer firewall, seja ele do Linux, Rwindows, Mac ou sei lá que mais. Portanto, se você quer testar seu Zone Alarm ou seu
ridículo firewall que acompanha o Xuxa Park por padrão, estes são os lugares certos.
PALAVRAS FINAIS1 - Página Oficial do Guarddog ------------->
http://www.simonzone.com/software/guarddog/Entre muias outras coisas, lá você encontra pacotes prontos para diversos sabores do Linux e ainda um pacote binário para o caso de você ter instalada uma distro para a qual não existe pacote pré-compilado (exemplo: Slackware).
2 - Página Oficial do gawk ------------------------>
http://www.gnu.org/software/gawk/Fraquinha, mas dificilmente você precisará dela.
3 - Como o próprio título já diz, essa é uma
configuração básica,
suficiente para mim e para a maioria dos micros desktop. Se você trabalha com redes e/ou tem um conhecimento mais profundo do Iptables, provavelmente será capaz de estabelecer regras mais complexas e apropriadas para seu ambiente de trabalho.
4 - Essa configuração foi testada por mim nos dois sítios acima e feita em minhas duas máquinas, que rodam Ubuntu 5.10, Kanotix Eastern Edition RC4, Kubuntu 6.06 Flight 3 e MEPIS 6 Beta 2, estes dois últimos com atualizações diárias.
Já testei também em diversas versões do Kalango, Resulinux e Kurumin, em casas de amigos.
Bom proveito!
Abraços.