Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
>>> Firewall no roteador
Altieres, estou com uma dúvida e ninguém sabe me responder. Me ajude! É verdade que quando usamos roteador Wi-Fi, o único firewall habilitado (e que fica operacional) é o do roteador? De que adianta então deixar o firewall do PC habilitado? Posso desabilitar o firewall do PC? Obrigado desde já!
Cesare Schatten
Quando você usa um roteador Wi-Fi comum, ou mesmo um roteador cabeado doméstico, todos os computadores a ele conectados ganham IPs internos da rede, ou seja, não são acessíveis pela internet. Isso significa que toda a comunicação externa (WAN) deve passar antes pelo seu roteador.
Como o roteador não sabe qual é o computador destino de uma conexão, ele rejeitará todas as conexões que não foram iniciadas por computadores da própria rede local (LAN). Quando um computador da LAN inicia a conexão, o roteador "lembra" disso quando a conexão é respondida, ou "volta", ele saberá para qual computador os dados devem ser encaminhados. Esse é um sistema chamado de Network Address Translation - NAT.
Mesmo que o roteador não tenha um "firewall" propriamente dito, o NAT age como firewall, pois bloqueia todas as conexões externas, exceto quando é configurada uma regra específica de redirecionamento. Isso torna, sim, certas configurações do firewall irrelevantes, pois muitas conexões não chegarão ao computador para que o firewall realize o bloqueio.
No entanto, como o NAT cria limitações para alguns programas e ele não é por si só considerado um recurso de segurança, os roteadores possuem tecnologias, como o Universal Plug'n'Play (UPnP) e o NAT Port Mapping Protocol (NAT-PMP) que permitem que os programas voltem a abrir conexões externas. Isso, claro, é relevante apenas no caso de o seu computador já ter sido infectado.
Mas, diferentemente de um firewall no seu PC, não há aviso do roteador quando um software tenta usar esses recursos para liberar conexões externas. Alguns roteadores que têm esses recursos não oferecem opção para desativá-los e a maioria não permite que as portas abertas por esses recursos sejam monitoradas.
Em alguns casos, roteadores também são configurados com um chamado "DMZ". O DMZ é o computador que recebe todas as conexões que o roteador não identificou. Nesse caso, esse computador fica exatamente como ficaria sem que ele estivesse atrás do NAT e não tem nenhuma proteção.
O NAT também não interfere em nada com a rede interna. Portanto, quando você conecta seu notebook a uma rede Wi-Fi pública ou de outras pessoas, o firewall do Windows será necessário. Além disso, o NAT não oferece nenhum controle para conexões de saída, caso esse controle seja desejado.
Resumindo, embora o NAT e/ou o firewall do roteador ofereça sim segurança contra alguns tipos de ataques e de fato se sobreponha ao firewall do sistema, pois é a primeira barreira, o firewall no PC ainda pode permanecer ativo por outros motivos, entre eles o fato de que só o firewall do sistema tem condições de monitorar as permissões por aplicativo. Os recursos não entram em conflito, mas qualquer acesso precisa ser duplamente liberado – no roteador (via redirecionamento de porta manual, UPnP ou NAT-PMP) e no firewall do sistema.
>>> Serviço de VPN
Oi! Gostaria de saber se, se eu fizer uma conexão VPN, isso significa que eu posso mandar, por exemplo, um e-mail tranquilamente sem me preocupar se poderei ser possivelmente hackeado? Seria como se eu tivesse 'criptografando' a minha mensagem? Que tipo de proteção esse serviço realmente oferece? E, outra dúvida, é se eu posso confiar em qualquer aplicativo que se propõe a fazer uma ligação VPN, uma vez que tenho percebido ultimamente um aumento de oferta desses aplicativos oferecendo 'hospedagem' em servidores de vários lugares do mundo. Obrigado,
Felipe Fernandes.
"Hackeado" é uma palavra complicada, Felipe. A VPN protege você de algumas coisas, sim, mas não ajuda muito em outras circunstâncias. De maneira simplificada, quando você acessa a internet normalmente, seu acesso é dessa forma:
PC > Rede Local > Rota > Destino
Observe que a "rota" aqui inclui o seu provedor de acesso à internet e todos os provedores intermediários entre você e o destino – normalmente, há pelo menos dois provedores envolvidos. Muitas vezes, mais. Qualquer ponto intermediário é capaz de ler sua conexão e os dados.
No entanto, quando você usa uma conexão criptografada, como por exemplo em SSL, nos sites com o "cadeado" e HTTPS, a conexão ocorre um pouco diferente. Entre colchetes está o trecho da conexão que é criptografado:
PC > [Rede Local > Rota] > Destino
Isso significa que todos sistemas no caminho entre seu PC e o destino, embora possam interceptar seus dados, não conseguirão realizar a leitura dos mesmos, pois o conteúdo está criptografado. Só o destino poderá decodificar as informações. No caso da VPN, o acesso é assim:
PC > [Rede Local > Rota] > VPN > Rota > Destino
Quando o conteúdo é criptografado pelo destino, o acesso é assim:
PC > [[Rede Local > Rota] > VPN > Rota] > Destino
Veja que existem duas criptografias agora: uma termina na VPN, a outra termina no destino. No acesso VPN mais tradicional, quando a VPN é a rede da empresa, por exemplo, a própria VPN é o destino, da maneira que a conexão toda foi criptografada.
Mas perceba que, caso não exista uma criptografia direta entre você e o destino, tanto o acesso normal como o acesso VPN incluem uma rota em que os dados não têm criptografia.
Ou seja, uma VPN pode servir para o seguinte:
1. Burlar restrições da rede local. Caso a rede local esteja bloqueando determinados conteúdos e o acesso à VPN esteja liberado, a conexão à VPN permitirá que esses conteúdos bloqueados sejam acessados, pois a rede local não pode mais enxergar o que está sendo acessado.
2. Quando você usa uma rede Wi-Fi pública, em que há um grande risco de interceptação de dados na rede local, o uso da VPN protege seus dados contra os bisbilhoteiros da rede, porque os dados visíveis na rede local estão criptografados.
3. Esconder sua identidade. A VPN ficará registrada como a origem das suas conexões na web. Alguns serviços de VPN oferecem a promessa de "anonimato". No entanto, muitos serviços na verdade mantêm registros de acesso e podem fornecer sua identidade à polícia caso qualquer investigação seja realizada, então é preciso ter cuidado ao apostar nesse "recurso".
4. Acessar recursos da empresa restritos à rede local a partir de outras redes.
5. Quando uma conexão com a VPN é mais rápida do que diretamente a outros serviços.
Somente os pontos 3 e 4 justificariam o uso de uma VPN na sua casa: o anonimato ou uma conexão com a rede da faculdade ou trabalho, por exemplo. Os pontos 1 e 2 são úteis em redes externas, quando você está acessando a partir de redes que não confia ou sobre as quais você não tem nenhum controle (em alguns casos, a própria rede de um país pode ser de baixa confiança e uma VPN internacional serve de recurso anticensura). O caso 5 é muito pontual; pode acontecer com um game, por exemplo, em que a VPN consegue oferecer uma conexão mais veloz com o servidor do jogo, ou para serviços de comunicação específicos.
Respondendo sua pergunta: se você usa um serviço de e-mail com criptografia (SSL/HTTPS) e fica atento durante o acesso – para não aceitar um certificado forjado, por exemplo -, não faz muita diferença acessar o e-mail diretamente ou da VPN. A VPN oferece uma tranquilidade a mais e é, sim, sua única proteção no caso de acesso a sites comuns a partir de redes públicas.
A VPN não é nenhuma bala de prata terá maior efeito quando usada para um fim específico. A VPN não necessariamente realiza qualquer filtragem de segurança em seus dados e não vai protegê-lo de vírus. Além disso, como a própria VPN terá acesso aos seus dados que trafegam na rede sem criptografia, ela mesma pode sofrer um ataque e comprometer seus dados.
(Imagem: StockExchange)
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/pacotao-de-seguranca-firewall-no-roteador-e-como-funciona-uma-vpn.html
Nenhum comentário:
Postar um comentário