Unidade de Administrao de Sistemas Microinformtica

Manual ZoneAlarm 3

Lus Andrade
Setembro 2002

Manual ZoneAlarm

ndice
NDICE .......................................................................................................................................................2 INTRODUO ..........................................................................................................................................3 REQUISITOS .............................................................................................................................................4 MANUAL....................................................................................................................................................5 BARRA DE FERRAMENTAS DASHBOARD TOOLBAR...................................................................................5 INTERNET LOCK .......................................................................................................................................5 STOP .........................................................................................................................................................6 ACTIVE PROGRAMS...................................................................................................................................6 ALL SYSTEMS ACTIVE ...............................................................................................................................6 HELP ........................................................................................................................................................6 FIREWALL.................................................................................................................................................7 Main....................................................................................................................................................7 Zones.................................................................................................................................................10 PROGRAM CONTROL...............................................................................................................................12 Main..................................................................................................................................................12 Programs ..........................................................................................................................................16 ALERTS & LOGS .....................................................................................................................................20 Main..................................................................................................................................................20 Log Viewer........................................................................................................................................22 E-MAIL PROTECTION ..............................................................................................................................25 Main..................................................................................................................................................25 OVERVIEW .............................................................................................................................................26 Status.................................................................................................................................................26 Product Info ......................................................................................................................................27 Preferences .......................................................................................................................................28 CONFIGURAO ACONSELHADA...................................................................................................30 CONCLUSO ..........................................................................................................................................36

Pgina 2 de 36

Manual ZoneAlarm

Introduo
Dentre as vrias firewalls existentes no mercado, o ZoneAlarm da Zone Labs tem sido bastante popular no combate a intrusos. Por ser uma aplicao Free para uso pessoal (no para uso generalizado) e pelo elevado grau de configurao e proteco, este manual destina-se a quem pretende mais segurana para qualquer computador que esteja ligado a uma rede local ou Internet. O ZoneAlarm tambm protege contra programas maliciosos, tipo Spyware e Trojans(Cavalo-de-Tria), permitindo que o utilizador controle o trfego de e para a Internet, e como as aplicaes acedem Internet. Esta firewall bloqueia tentativas de ligao no autorizadas do computador Internet atravs de um nvel designado High Security Level, que faz com que o PC fique invisvel para a Internet (ou para a rede local), deixando assim de ser um alvo para hackers e invasores. Este um dos vrios nveis que o ZoneAlarm possui e altamente recomendado. Quando alguma aplicao do PC tentar aceder Internet, o ZoneAlarm pede permisses ao utilizador. Assim nenhum programa conseguir enviar dados do computador para a Internet, a no ser aqueles que forem devidamente autorizados pelo utilizador. Com o passar do tempo, a firewall vai aprendendo ao que pode e no pode aceder. O ZoneAlarm aparece como um cone no system tray e aparece como um processo denominado zonealarm.exe.

Figura 1 Aspecto dos cones no System Tray (o primeiro representa um alerta e o segundo o trfego de entrada e sada de dados)

O download da firewall gratuita pode ser feito atravs do site Web em http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp e deve-se efectuar o registo em nome prprio caso queira utilizar o programa pessoalmente. Existe tambm uma verso Pro, que inclui mais funcionalidades e fica responsabilidade de cada um adquiri-lo, assim como o download da verso normal. Optamos por no adquirir o ZoneAlarm, pois o seu uso no nosso ambiente ser responsabilidade de cada utilizador. O intuito deste manual somente ajudar aqueles que j o possuem ou aqueles que pretendem uma firewall pessoal da qual sejam responsveis.

ZoneAlarm is free for individual and not-for-profit charitable entity use (excluding governmental entities and educational institutions). For-profit business entities, governmental entities, or educational institutions, your license will be free for an introductory sixty (60) day period but you must purchase a valid end-user license after 60 days in order to continue using the software.

Pgina 3 de 36

Manual ZoneAlarm

Requisitos
O ZoneAlarm 3 compatvel com Microsoft Windows 95/98/Me/NT/2000. Em termos de requisitos de sistema a Zone Labs aconselha como mnimo: IBM PC ou 100% compatvel; Processador 486 (ou superior); Windows 95/98/ME/NT/2000/XP; 8MB RAM; 3MB espao livre em disco.

Pgina 4 de 36

Manual ZoneAlarm

Manual
As explicaes que se seguem esto orientadas descrio dos painis ou botes e respectivas opes do ZoneAlarm, para ser de fcil consulta numa fase inicial ou posterior.

Barra de Ferramentas Dashboard Toolbar

O ZoneAlarm pode ser minimizado como uma "dashboard toolbar", o que permite uma referncia visual rpida da actividade da Internet. Para restaurar a janela principal do ZoneAlarm, basta pressionar duas vezes o boto ZoneAlarm na toolbar (Figura 1). Pode tambm ser visto de forma simples (Figura 2) ou expandida como veremos mais adiante. Para alternar entre estes dois modos necessrio pressionar o pequeno boto em forma de seta no canto inferior direito da aplicao.

Figura 2 ZoneAlarm Resumido

Internet Lock

Figura 3 Aspecto de desbloqueio e bloqueio de envio e recepo de dados.

O denominado boto ZoneAlarm's Internet Lock, ou simplesmente Lock, controla se os dados podem transitar entre o nosso computador e a rede. Ao carregar no boto em forma de aloquete (o aloquete fica fechado ou aberto) pode-se bloquear as aplicaes em execuo no computador de enviar e receber dados, ao nvel da Internet ou da rede de confiana, excepto aquelas para as quais h permisses para ultrapassar o bloqueio. Para desbloquear basta carregar novamente no boto em forma de aloquete

Pgina 5 de 36

Manual ZoneAlarm que passa a unlocked (aberto). Deve ser usado em caso de insegurana na rede de confiana ou na Internet.

Stop

Figura 4 Boto Stop

O boto da Figura 4 permite parar todo o trfego de entrada e sada, inclusive os programas que esto marcados com permisso para ultrapassar o bloqueio. Deve ser usado em caso extremo, ou seja, um ataque de um Trojan, por exemplo. Para voltar a activar a actividade basta premir o boto novamente e as ligaes e transferncias de dados das aplicaes devem ser reiniciadas.

Active programs
A rea dos programas activos mostra os cones dos programas (Figura 5) que esto a ser executados e que esto a aceder Internet na actual sesso. O cone pisca quando o programa est a emitir ou a receber dados. O smbolo em forma de uma mo sob o cone indica que o programa est activo como servidor e est escuta de pedidos. Mais adiante ver-se- melhor este tema. Para ver a informao sobre dos programas que aparecem, basta parar o rato sobre o cone do programa.

Figura 5 Programas activos

All systems active

Esta rea pode mostrar duas mensagens: A mensagem All Systems Active indica que o ZoneAlarm est a funcionar normalmente A mensagem Error. Please Reboot indica que no est protegido pelo ZoneAlarm porque o processo subjacente da segurana no est a funcionar. Deve-se reiniciar o computador para permitir que ZoneAlarm corrija o problema.

Help

Figura 6- Boto de Ajuda

Pgina 6 de 36

Manual ZoneAlarm Este boto permite obter ajuda atravs do ficheiro de Help do ZoneAlarm localizado no disco. Tambm se encontram links para informao On-line directamente do painel onde esteja.

Firewall
Main
O painel Firewall na etiqueta Main mostra o nvel de segurana e as permisses gerais de servidor para as Zonas de confiana e Internet. Isto , o ZoneAlarm divide a rede em duas zonas: a Zona Confivel e a Zona Internet. A Zona Confivel constituda por todos os computadores em quem confiamos, como por exemplo os computadores da rede local ou de casa. A Zona Internet inclui tudo o que desconhecido, ou ainda o que est fora da rede confivel, ou seja em princpio a Internet. Por defeito nesta zona que se encontram os PCs at serem configurados como confiveis.

Figura 7 Painel de Configurao de Segurana

O ZoneAlarm permite configurar os nveis de segurana independentemente na Trusted Zone e na Internet Zone, permitindo ligaes com servios de total confiana na rede confivel, ao mesmo tempo que impede ligaes Internet.

Pgina 7 de 36

Manual ZoneAlarm Cada zona tem um selector designado security level, que permite seleccionar um nvel diferente de segurana para cada zona. As configuraes por defeito so Medium para a Trusted Zone e High para a Internet Zone. Com o aumento dos nveis de segurana, o firewall dinamicamente coloca mais restries de acesso ao computador. O nvel aconselhado para a Trusted Zone Mdio Med. O que difere do Medium para o High que neste ltimo so bloqueados acessos rede e servios do sistema . Os nveis de segurana possveis para a Zona Confivel so os seguintes: Low (baixo) Garante privilgios de aplicaes e do Internet Lock e deixa o PC visvel aos outros computadores da Trusted Zone. A firewall no bloqueia a partilha de ficheiros ou impressoras ou o trfego para e desde a Trusted Zone. Medium (mdio) Recomendado para PCs ligados Internet atravs da rede local e est por defeito na Trusted Zone. Partilhas de ficheiros e impressoras, alm de servios do Windows(NetBIOS) so permitidos para computadores pertencentes Trusted Zone. High (alto) Nvel mais elevado de segurana que fornece alguma flexibilidade ao nvel de aplicaes. O firewall bloqueia o acesso dentro da Trusted Zone ao Windows (servios NetBIOS) alm da partilha de ficheiros e impressoras. O computador fica no Modo Stealth(Invisvel): todas as portas, no utilizadas por um programa em execuo, so bloqueadas e no so visveis para a Trusted Zone. Este modo abre automaticamente as portas somente quando um programa com permisses necessita delas. Em relao Internet Zone o nvel por defeito o High. Como na Zona Confivel, o aumento do nvel de segurana implica maiores restries. Os nveis possveis para a Internet Zone so os seguintes: Low (baixo) No aconselhado para esta zona. Garante privilgios de aplicaes e do Internet Lock e deixa o PC visvel aos outros computadores da Internet Zone. A firewall no bloqueia a partilha de ficheiros ou impressoras ou o trfego para e desde a Internet Zone. Medium (mdio) Partilhas de ficheiros e impressoras, alm de servios do Windows so permitidos para computadores pertencentes Internet Zone. O firewall bloqueia o acesso da Internet Zone ao Windows (servios NetBIOS). High (alto) Nvel muito recomendado. O firewall bloqueia o acesso de fora, da Internet Zone, para o Windows (servios NetBIOS) alm da partilha de ficheiros e impressoras. O computador fica no Modo Stealth (Invisvel): todas as portas, no utilizadas por um programa em execuo, so bloqueadas e no so visveis para a Internet Zone. Este modo abre automaticamente as portas somente quando um programa com permisses necessita delas. As checkboxes block servers (Figura 8) para cada zona existentes visveis atravs do boto Advanced em Firewall na etiqueta Main permitem prevenir a tentativa de qualquer programa actuar como servidor para aquela zona. Ao seleccionar esta opo, nenhuma aplicao ter permisso de ficar escuta de ligaes de entrada para tal zona - mesmo se tiver seleccionada a opo "Allow Server" no painel Pgina 8 de 36

Manual ZoneAlarm Programs em Programs Control. Isto permite que o utilizador bloqueie, temporariamente, toda a actividade de actuao de aplicaes como servidores para essa zona, sem que se necessite modificar as configuraes de forma permanente. Alm destas chekboxes temos ainda as Allow DNS/DHCP in Internet Zone on High Setting ou Allow DNS/DHCP in Trusted Zone on High Setting que permitem que o acesso aos servidores de DNS ou DHCP se faam s respectivas zonas mesmo que estejam em nvel mximo de segurana. Uma outra possibilidade a Allow uncommon protocols at high security que permite o uso de protocolos desconhecidos em nvel de alta segurana. Quando este controlo no seleccionado, estes protocolos esto permitidos somente na segurana mdia.

Figura 8 Painel Avanado de segurana da Firewall

Salienta-se ainda, que existe a possibilidade de colocar as definies originais (boto Reset to Default no fundo do ecr cinza).

Pgina 9 de 36

Manual ZoneAlarm

Zones

Figura 9 Configurao avanada das Zonas

O painel Zones (Figura 9) permite aumentar o alcance da Trusted Zone, assim como a configurao da segurana da Zona Confivel num nvel mais alto, ao permitir que determinados computadores (confiveis) possam ou no ter ligao ao nosso computador abrangido pelo nvel de segurana Trusted Zone. Os computadores considerados no confiveis ficam sempre no nvel Internet Zone. A(s) linha(s) em que aparece na coluna Entry Type com um tipo designado Adapter Subnet mostra todas as placas de rede e de dial-up. Por defeito o adaptador adiciona todos os computadores dessa sub rede Internet Zone. Se a rede for uma pequena LAN, ento automaticamente sero adicionados todos os computadores locais Internet Zone. Inicialmente pode ser irritante, pois no possvel comunicao com a rede, at se adicionar os computadores Zona Confivel. Se o computador estiver numa Local Area Network (LAN) e ao verificar na entrada da placa de rede, s ficam seleccionados os computadores da mesma sub rede na Internet Zone. Por esse motivo devem-se adicionar as restantes sub redes que sero consideradas confiveis ou mesmo a sub rede em que se encontra caso seja considerado uma Zona Confivel. Para adicionar outros computadores Trusted Zone, deve-se ento pressionar o boto Add que permite escolher adicionar um host (ou site) por nome, um endereo IP,

Pgina 10 de 36

Manual ZoneAlarm uma gama de endereos IP ou uma sub rede IP. Em todos possvel acrescentar uma descrio. Vejamos em maior detalhe: Host/Site Permite adicionar um nome de computador Trusted Zone. Para isso, basta escrever uma descrio e o nome do computador. Podese introduzir um nome do tipo domain-style name (tal como "ftp.fe.up.pt") ou um nome Windows-style (tal como "FTPSERVER"). O boto Lookup permite verificar e preencher o endereo IP do computador. Se os endereos IP associados aos nomes dos computadores forem mudados aps colocar o computador na zona de confiana, aqueles endereos IP modificados no ficaram automaticamente adicionados zona confivel. Nesse caso, deve-se utilizar o boto Edit e alterar o IP atravs do boto Lookup. IP Address - Permite adicionar um endereo IP que se refira a um nico computador da Trusted Zone. IP Range Onde se pode definir uma gama de IPs consecutivos para a Trusted Zone. IP Subnet Aqui pode-se adicionar uma subnet Trusted Zone. til em locais onde a Local Area Network esteja dividida em mltiplas sub redes. Por exemplo, se a impressora da rede est numa sub rede diferente do seu computador, a Dynamic Firewall bloquear o acesso impressora. Ao adicionar a subnet da impressora Trusted Zone estamos a permitir a utilizao da impressora da rede, assim como quaisquer outros computadores da sub rede da impressora.

Se de um momento para o outro torna-se necessrio deixar que um computador seja considerado de confiana, no necessrio apag-lo mas sim coloc-lo na Zona Internet , pois mais tarde pode ter interesse que regresse zona de confiana. Para esse efeito, clica-se em Edit e em Zone alteramos para a zona pretendida. Quaisquer alteraes devem ser seguidas de Apply para terem efeito.

Pgina 11 de 36

Manual ZoneAlarm

Program Control
Main
Quando um programa tenta aceder Internet ou rede local ou tentar actuar como servidor pela primeira vez (Figura 10), o ZoneAlarm vai perguntar se quer que ele aceda realmente uma das zonas referidas. Ao seleccionar "Yes" estar a permitir que o programa se ligue uma das zonas referidas at que seja terminado pelo utilizador; se seleccionar "No" estar a negar o acesso at que o programa seja terminado pelo utilizador.

Figura 10 Alerta de um novo programa

Por defeito, para aceder uma dessas zonas e para todas as aplicaes a firewall solicita permisses a cada vez que um programa executado. Ao seleccionar a opo "Remember answer", a aplicao memorizar ou no o acesso Internet sem solicitar vrias vezes permisses para tal. Isto til para as aplicaes, como o browser ou email, que so muito utilizados para aceder Internet. Estas configuraes podem ser alteradas em Programs.

Pgina 12 de 36

Manual ZoneAlarm

Figura 11 Painel principal de Configurao Programas

Neste painel pode-se definir o nvel de segurana dos programas que est dividido em: Mdio(Medium) os programas so autenticados; os programas obedecem s permisses; obedecem alertas: o Novo (Figura 10) - estes alertas ocorrem quando um programa pede permisso de acesso para a primeira vez. Pode-se responder sim ou no; o Repetido (Figura 12) estes alertas ocorrem quando o programa pede a permisso de acesso outra vez. Pode-se responder sim ou no;

Pgina 13 de 36

Manual ZoneAlarm

Figura 12 Alerta de programa repetido

o Modificado (Figura 13) - estes alertas ocorrem quando um programa que esteja a pedir permisso de acesso ou de servidor foi alterado desde o seu ltimo pedido. Pode-se responder sim ou no;

Figura 13 Alerta de programa modificado

programas requerem permisses de servidor atravs de um alerta do tipo Servidor Server (Figura 14): esse alertas ocorrem quando um programa pede a permisso de servidor ao qual podemos responder sim ou no.

Figura 14 Alerta de programa em modo servidor

Pgina 14 de 36

Manual ZoneAlarm Baixo(Low) os programas ficam em modo aprendizagem, ou seja, questionam sempre tudo; no h alertas; Desligado(Off) os programas no se autenticam nem aprendem; no obecedem s permisses; no h alertas; permitido direitos de acesso e de servidor aos programas.

Figura 15 Boto Custom de acesso ao painel de configurao Auto-Lock

No item Automatic lock existente em Program Control na etiqueta Main e na opo On da Figura 15 pode-se activar o bloqueio automtico do trfego de rede, excepto as aplicaes com direitos de execuo mesmo com bloqueio. H um outro boto denominado Program Wizard que permite ajudar na configurao de programas que acedem Internet, tais como o Web browser. Existe ainda a possibilidade de recolocar as definies originais (boto Reset to Default no fundo do ecr cinza). O boto Custom da Figura 15 permite visualizar em pormenor o Painel Automatic Lock - Figura 16. Desta forma, o painel de configurao Auto-Lock permite configurar o bloqueio automtico. Deve-se activar esta opo quando no estiver a ser utilizado o computador ou no estiver a aceder Internet. Pode-se configurar o ZoneAlarm tambm para ligar automaticamente o bloqueio quando o screen saver for activado, alm da opo referente a um perodo de inactividade, que pode ser por um tempo determinado pelo utilizador. Se o acesso Internet for bloqueado pela activao do screen saver, este ser desbloqueado assim que o screen saver for desactivado. Entretanto se o Automatic Lock for despoletado por perodo de inactividade, para desbloquear o acesso Internet ter-se- que premir o boto Lock. O ZoneAlarm permite ainda optar por dar a uma aplicao permisses para passar por cima do bloqueio opo Allow the pass-lock programs to access the Internet. Por exemplo, para permitir que um programa de e-mail possa verificar mensagens mesmo quando o acesso Internet estiver bloqueado para todas as demais aplicaes. Isto pode ser feito atravs do painel Program Control na etiqueta

Pgina 15 de 36

Manual ZoneAlarm Programs e na aplicao pretendida sobre a interseco da linha do programa com a coluna Pass Lock (com um aloquete) deve-se clicar e seleccionar Pass Lock. Outra hiptese mais drstica seleccionar Block All Internet access, ou seja, termina toda o trfego de entrada e sada para todas as aplicaes.

Figura 16 Painel de Configurao Auto-Lock

Programs
No Painel Program Control em Programs (Figura 17) permite especificar diferentes permisses de acesso para cada programa em cada Zona. Por exemplo, podese querer que um programa de FTP aceda totalmente Internet, mas que restrinja um programa de e-mail para a Zona Confivel.

Pgina 16 de 36

Manual ZoneAlarm

Figura 17 Painel de Programas

O ZoneAlarm permite detectar e controlar programas que trabalham em modo Server programas que ficam espera de requisies vindas de outros computadores. Muitos Trojans agem como servidores ao aguardarem instrues vindas de clientes remotos (possivelmente hackers). Esta configurao feita em Programs. O ZoneAlarm negar acesso Internet e zona de confiana, e mostrar uma janela popup, quando um programa sem permisso de agir como um servidor comear a escutar activamente alguma ligao. Os programas como o ICQ, ou o NetMeeting, necessitam de direitos de servidor para poder funcionar adequadamente com o ZoneAlarm. Na Dashboard em Programs so mostrados cones que piscam quando uma aplicao est a receber ou enviar dados da Internet. Um servidor (na verdade uma aplicao servidora) que esteja em escuta (listening) indicado com uma mo sob o cone. Para compreender melhor estas funcionalidades basta entrar na etiqueta Programs, onde se pode ver uma lista de programas com as mais recentes aplicaes que acederam/acedem Internet/Trusted. Nesta lista pode-se modificar cada direito de acesso/servidor para cada programa na sua Zona de confiana e/ou na Zona Internet atravs das checkboxes existentes ao premir o boto do rato sobre o programa onde surge um menu popup conforme a Figura 18.

Pgina 17 de 36

Manual ZoneAlarm

Figura 18 Chekboxes

Temos ento 4 colunas no Painel de Programas: Programs - mostra o nome e a verso do programa. Ao clicar sobre um programa mostrar em Entry Detail: o o o o o Nome do programa; O nome do ficheiro usado para aceder Internet; A localizao do ficheiro; Verso do Programa; Data de Criao e tamanho do ficheiro.

Checkboxes Access- Mostra cada direito de acesso de cada aplicao para cada uma das zonas. Para alterar esses direitos de acesso, basta clicar num dos dois pontos na coluna Access relativos s zonas: A marca check mark Allow(verde) d permisso ao programa para se ligar sempre, sem necessitar de sua confirmao cada vez que efectua uma ligao. Ao permitir que um programa ligue-se sempre na Internet Zone, o ZoneAlarm tambm permitir que o programa ligue-se sempre na Trusted Zone. O X (vermelho) - Block previne acesso at que se altere para uma check mark ou um question mark (marca de interrogao). Ao negar acesso a uma aplicao Trusted Zone, o ZoneAlarm no permitir tambm que tal programa aceda Internet Zone. A Internet Zone no pode possuir direitos de acesso superiores ao da Trusted Zone. A question mark (marca de interrogao) - Ask que est definida por defeito, faz com que surja um alerta e pea permisso cada vez que um programa tentar efectuar uma ligao. Os programas no podem ter direitos de acesso maiores na Internet Zone do que na Trusted Zone. Por exemplo, um browser no pode ter acesso Internet Zone, se ele no possuir direitos de acesso Trusted zone.

Checkboxes Server - Permitem o controlo de quais aplicaes podem executar funes de servidor. Algumas aplicaes ficam escuta de requisies de ligaes de entrada externas (incoming connection requests) e respondem a essas requisies. Nesse caso, est-se a dar a permisso essa aplicao de actuar como servidor. Aplicaes de comunicao como o ICQ e NetMeeting, normalmente requerem direitos de servidor para funcionarem correctamente. O ZoneAlarm identifica tais aplicaes logo a seguir a sua execuo e permite que temporariamente Pgina 18 de 36

Manual ZoneAlarm sejam dados direitos delas agirem como servidores. A maior parte dos Trojans (trojan horse ou Cavalos de Tria) so aplicaes do tipo servidor que permitem a hackers controlar remotamente o computador. Para um maior controlo, possvel indicar que um programa servidor pode comunicar-se com a Internet Zone, ou se ele est restrito Trusted Zone. Se uma aplicao tentar responder uma requisio remota sem permisso prvia, o ZoneAlarm detectar tal comportamento e emitir um aviso. Outra utilidade desta opo permitir os updates dos antivrus que se ligam periodicamente a servidores de FTP. A marca check mark Allow(verde) d permisso ao programa para ficar sempre escuta. Ao dar essa permisso na Internet Zone, o ZoneAlarm tambm d permisses ao programa na Trusted Zone assim como nas zonas dos direitos de acesso. O X (vermelho) - Block previne escutas at que se altere para uma check mark ou um question mark (marca de interrogao). Ao negar a funo de servidor a uma aplicao Trusted Zone, o ZoneAlarm no permitir tambm que tal programa fique escuta na Internet Zone. A Internet Zone no pode possuir direitos de servidor superiores ao da Trusted Zone. A question mark (marca de interrogao) - Ask que est definida por defeito, faz com que surja um alerta e pea permisso cada vez que um programa tentar ficar em modo servidor. Os programas no podem ter direitos de servidor maiores na Internet Zone do que na Trusted Zone. Por exemplo, um programa no pode ficar escuta na Internet Zone, se ele no possuir direitos de servidor na Trusted zone.

Pass Lock (chave) - permite que se um determinado programa estiver com a checkbox seleccionada em Pass Lock, esta aplicao possa se ligar mesmo que o Automatic Lock esteja activo. Normalmente encontra-se em modo normal.

Qualquer programa pode ser removido da lista atravs do Remove que surge aps clique com boto direito do rato sobre a aplicao a remover. Da mesma forma um programa pode ser adicionado atravs do boto Add ou com um clique com boto direito do rato atravs de Add.

Pgina 19 de 36

Manual ZoneAlarm

Alerts & Logs

Main
Quando a firewall bloqueia comunicaes da Internet mostrada uma janela vermelha do tipo popup de alerta (Figura 19) que informa o utilizador do bloqueio efectuado. Este alerta contem a origem, o destino, o protocolo, a porta, a data e a hora da comunicao bloqueada. No caso da comunicao bloqueada e efectuada de dentro para fora do PC, o alerta ir incluir qual foi a aplicao que foi bloqueada.

Figura 19 Alerta de bloqueio

Os Alertas podem ser registados num ficheiro de texto ou podem ser desligadas as notificaes de alerta por meio de uma janela do tipo popup atravs das opes On ou Off (Figura 20).

Pgina 20 de 36

Manual ZoneAlarm

Figura 20 Painel de activao de alertas popup

Figura 21 Trfego de entrada e sada e respectivo histrico

Na Dashboard esquerda do boto Stop possvel verificar a informao entre PC e Internet (Figura 21), isto , que entra no PC (barras verdes download - IN) e que sai (barras vermelhas upload - OUT). Estas barras acedem quando uma aplicao est a receber e a enviar informao conforme a quantidade. Atravs do boto Advanced (Figura 22) pode-se determinar quando, onde e como ZoneAlarm guarda e gera ficheiros de log. Na opo Archive log text files daily se estiver activa faz com que sejam gerados ficheiros de log dirios, caso contrrio, no fica guardado em ficheiro e somente aparece na etiqueta Log Viewer explicada mais a diante. Em Log Archive Location pode-se definir outro caminho atravs do boto Browse para guardar o ficheiro ZAlog.txt ou alterar o seu nome, ou ainda atravs do boto Delete Log pode-se apagar o ficheiro de log. Se a opo diria estiver activa o ZoneAlarm arquiva os alertas em ficheiros diferentes, sendo um para cada dia. Ainda nesta janela pode-se ver o tamanho actual do ficheiro de log. Por fim, em Log Archive Appearance pode definir se o ficheiro de log fica guardado em linhas cujas colunas ficam separadas por Tab, vrgula(comma) ou ponto e vrgula(semicolon). Salienta-se ainda, que existe a possibilidade de colocar as definies originais (boto Reset to Default).

Pgina 21 de 36

Manual ZoneAlarm

Figura 22 Painel avanado de alertas

Log Viewer
Para ver os alertas deve-se ir etiqueta Log Viewer no painel Alerts & Logs (Figura 23). Pode-se ver os n recentes alertas na opo View only the last ... alerts. Na parte central visualizada a lista dos n alertas guardados de acordo com alertas da Firewall, programas ou outros.

Pgina 22 de 36

Manual ZoneAlarm

Figura 23 Painel de alertas

A lista de alertas pode ser vista de forma ordenada por uma das colunas, atravs do clique no cabealho da coluna que indica a direco do ordenamento (em forma de uma pequena seta) que pode ser normal ou inverso. Seguem-se em detalhe o significado de cada uma das colunas: Rating O nvel de alerta pode ser alto ou mdio (High ou Medium). Os altos so aqueles que provavelmente so causados pela actividade de um hacker ou tem ms intenes ou ainda por actividade em modo servidor no autorizado. Os alertas mdios podem ser causados por trfego no desejado. Date/Time Data e hora do alerta. Type Tipo de alerta: Firewall, Program, ou Lock Enabled. Protocol Protocolo utilizado pelo trfego que causou o alerta. Program - Nome do programa que tenta emitir ou receber dados (aplicase somente aos alertas do tipo Program). Source IP - O endereo IP do computador que emitiu o trfego que ZoneAlarm bloqueou. Destination IP - O endereo IP de destino do computador para o qual o trfego bloqueado foi enviado. Direction o sentido do trfego bloqueado. A direco "incoming" o trfego de entrada no computador. A direco "outgoing" para fora, ou seja, o trfego foi enviado do nosso computador. Action Taken Como o trfego foi tratado pelo ZoneAlarm.

Pgina 23 de 36

Manual ZoneAlarm Count N. de vezes que um alerta do memo tipo com a mesma origem, destino, protocolo ocorreu numa sesso. Source DNS - O nome do computador que emitiu o trfego que causou o alerta. Destination DNS - O nome do destinatrio pretendido do trfego que causou o alerta.

Se for recebido um alerta da firewall porque ZoneAlarm bloqueou o trfego de um computador que afinal pretende-se partilhar recursos com ele, pode-se adicionar esse computador zona de confiana directamente da lista dos alertas. Para isso necessrio clicar com o boto direito do rato sobre o endereo IP da fonte que ser quer adicionar e seleccionar Add to Zone seguido de Trusted ou atravs do boto Add to Zone tambm seguido de Trusted pois assim o PC passa automaticamente zona de confiana. Alm disso, a caixa de detalhe da entrada (Entry Detail) no fundo da janela indica detalhes do alerta seleccionado atualmente na lista dos alertas. Os campos do detalhe da entrada so os mesmos que aqueles da lista de alertas, mas indicado num formato de fcil leitura. Caso no se consiga uma interpretao do alerta possvel enviar um pedido de anlise aos laboratrios da Zone Labs. Para isso necessrio clicar com o boto direito do rato sobre a linha que se pretende analisar e escolher More Info ou atravs do boto More Info no fundo da janela seguido de confirmao com Ok em ambos os modos. Em Clear List cinzento no fundo da janela, pode-se apagar todas as entradas da lista visvel no ecr. Pode-se ainda ver todas estas entradas no registo do ZoneAlarm existente no Windows 2000 em Winnt\Internet Logs\ ZAlog.txt. No Windows 9X, Me ou XP est em Windows\Internet Logs\ ZAlog.txt. O ficheiro Zalog.txt contm vrios registos caracterizados pelos seguintes campos: Type O tipo de evento gerado que pode ser: FWIN A firewall bloqueou um pacote de entrada de dados no nosso computador. Alguns, mas no todos os pacotes so tentativas de ligao. FWOUT - A firewall bloqueou um pacote de sada de dados do nosso computador. FWROUTE - A firewall bloqueou um pacote que no era dirigido ao nosso computador, mas foi distribudo atravs dele. FWLOOP - A firewall bloqueou um pacote dirigido ao adaptador local (127.0.0.1). PE - Uma aplicao pediu permisso de acesso.

Pgina 24 de 36

Manual ZoneAlarm ACCESS O Program Control impediu que uma aplicao do nosso computador acedesse recursos remotos. LOCK - A firewall bloqueou um pacote porque o Internet Lock foi accionado. MS Um anexo de um e-mail atravs do MailSafe ficou em quarentena.

Date A data do alerta, no formato yyyy/mm/dd. Time A hora do alerta. Este campo indica tambm a diferena das horas entre a hora local e a de Greenwich (GMT). Source O endereo IP do computador que emitiu o pacote bloqueado, e a porta utilizada, ou o programa no nosso computador que pediu a permisso de acesso. Destination O endereo IP e a porta do computador para onde o pacote bloqueado seria enviado. Transport O protocolo (tipo do pacote) envolvido. Ex.: TCP, UDP, ICMP, ou IGMP. Seguem-se dois exemplos de registos que podem surgir no ficheiro de log:
FWOUT,2002/08/09,07:05:02+1:00GMT,192.168.50.100:2817,192.168.50.78:8080,TCP (flags:S)

O ZoneAlarm bloqueou um pedido de sada naquela data e hora, que saiu do PC 192.168.50.100 pela porta 2817 (nosso PC) em direco ao 192.168.50.78 na porta 8080 (outro PC) atravs do protocolo TCP .
FWIN,2002/08/08,20:42:38 +1:00 GMT, 192.168.50.220:137, 192.168.50.100:137,UDP

O ZoneAlarm bloqueou um pedido de entrada naquela data e hora, que saiu do PC 192.168.50.220 pela porta 137 (outro PC) em direco ao 192.168.50.100 na porta 137 (nosso PC) atravs do protocolo UDP .

E-mail Protection
Main
O ZoneAlarm Basic MailSafe est activo por defeito e pode ser desactivado ou activado no painel E-mail Protection na opo Off/On em Basic MailSafe Settings.

Figura 24 Proteco de mail

Pgina 25 de 36

Manual ZoneAlarm O ZoneAlarm analisa anexos do tipo Visual Basic Script em e-mails recebidos enquanto ZoneAlarm estiver a ser executado e coloca em quarentena tais anexos(renomeando o ficheiro) e emite um aviso antes da execuo desses anexos. Estes scripts so programas que podem causar danos em ficheiros, como foi o caso do worm "Love Letter". O ZoneAlarm MailSafe no apaga esses scripts, porm protege o PC de danos atravs da identificao dos scripts ao sugerir o cancelamento do script antes da sua execuo. evidente que aconselha-se o uso de um bom antivrus pois esta proteco do ZoneAlarm muito rudimentar.

Overview
Status
Atravs do painel Overview em Status (Figura 25) pode-se visualizar se o computador est seguro, ver um resumo da actividade do ZoneAlarm, ver se o ZoneAlarm est actualizado e aceder ao tutorial. Em Blocked Intrusions mostra-nos quantas vezes o ZoneAlarm e o MailSafe agiram para nos proteger, e quanto alertas eram de nvel elevado. Em Inbound, Outbound, e E-mail protection, ou seja, a rea de proteco fornece-nos informao a nvel de firewall, programa, e ajustes da segurana do E-mail em termos de segurana. Resume tambm a atividade da segurana de cada tipo. Em Inbound se estiver configurarado com segurana o ZoneAlarm adverte se a segurana estiver demasiado baixa. Alm disso, informa quantos alertas ocorreram desde a ltima restaurao em reset to default pode-se limpar os contadores de Inbound, Outbound, e E-mail protection, o que chamamos restaurao. Em Outbound se estiver configurarado com segurana o ZoneAlarm adverte se a segurana do programa for desligada. Alm disso, tambm informa quantos alertas ocorreram desde a ltima restaurao. Em E-mail protection pode-se ver se o MailSafe est activo. A mensagem do texto mostra-nos quantos anexos foram colocados em quarentena desde a ltima restaurao. Em Tutorial permite ver um tutorial para aprender os princpios de como ZoneAlarm trabalha. Na caixa do Update pode-se verificar se o ZoneAlarm est actualizado, assim como tambm fornece um acesso rpido aos updates do produto quando estes chegam. Por baixo, h um link para download de uma verso experimental do ZoneAlarm Pro.

Pgina 26 de 36

Manual ZoneAlarm

Figura 25 Painel Status

Product Info
Ao entrar na etiqueta Product Info (Figura 26) pode-se ver que verso de ZoneAlarm est a ser usada, experimentar atravs de uma licena de 30 dias o ZoneAlarm Pro, alcanar a rea tcnica de suporte do Web site dos laboratrios da Zone Labs e mudar o registo. A rea de Version Information mostra que verso do ZoneAlarm, e que verso do motor da segurana de TrueVector, est a ser usada. O driver TrueVector deve estar activo para que o ZoneAlarm possa trabalhar correctamente, pois o componente fundamental da segurana do ZoneAlarm. o motor do TrueVector que examina o trfego do Internet e refora regras de segurana. A rea de Licensing Information mostra que o ZoneAlarm no requer uma chave de licena. Em Try Now pode descarregar o ZoneAlarm Pro. Na parte de Support and Update Information h um link de suporte tcnico para FAQs, pesquisa de problemas e outra informao tcnica no Web site dos laboratrios da Zone Labs. Por fim em Registration mostra se o ZoneAlarm est registado. Se o registo estiver "pendente", significa que foi submetida a informao do registo, mas o ZoneAlarm no recebeu ainda a confirmao do registo da Zone Labs. Para alterar o

Pgina 27 de 36

Manual ZoneAlarm registo de nome, empresa, ou E-mail basta clicar em Change Reg.. Para registar aparece um boto Register que permite efectuar o registo On-line.

Figura 26 Painel Product Info

Preferences
Ao entrar na etiqueta Preferences (Figura 27) pode-se configurar o ZoneAlarm para notificar automaticamente de updates do produto, ajustar as opes gerais de controle do ZoneAlarm e configurar ajustes da privacidade para comunicaes com a Zone Labs. Em Check for updates pode-se seleccionar para notificar automaticamente (opo Automatically) o ZoneAlarm de updates disponveis. Caso se pretenda fazer esta verificao manualmente deve-se seleccionar a opo Manually. O boto Check for Update permite actualizar a aplicao sempre que necessrio. Na zona General a opo Show ZoneAlarm on top during Internet activity se seleccionada faz com que a janela do ZoneAlarm fique sobreposta todas as janelas abertas restantes sempre que ocorra actividade da Internet, o que no aconselhvel pois pode tornar-se muito aborrecido. A opo "Load ZoneAlarm at startup" que est por defeito permite o arranque automtico do ZoneAlarm no Startup do Windows. Esta caracterstica pode ser desactivada se for desmarcada a checkbox "Load ZoneAlarm at startup". Ao fazer a desactivao apenas os programas executados aps o activao

Pgina 28 de 36

Manual ZoneAlarm manual do ZoneAlarm so efectivamente controlados. A opo Remember the last tabs visited in the panels permite que o ZoneAlarm comece na ltima etiqueta aberta desde a ltima vez que fechou o Dashboard ou a prpria janela do ZoneAlarm. Em Show ou Hide mostra ou esconde o texto explicativo que aparece esquerda de cada etiqueta do ZoneAlarm. Se seleccionar o Hide, pode-se ainda indicar a presena de texto explicativo para o painel em que est, ao clicar na ligao Show Text no fundo dos painis. Em Contact with Zone Labs na opo Alert me with a pop-up before I make contact se seleccionada permite que o ZoneAlarm nos advirta antes do contacto com a Zone Labs para troca de informao do registo, inicie updates do produto ou encontre mais informao sobre um alerta. A opo Hide my IP address when applicable significa a no incluso do endereo IP quando for submetido um alerta aos AlertAdvisor da Zone Labs. Isto impede que a Zone Labs, assim como qualquer outro possa interceptar a mensagem e identificar o computador. A opo Hide the last octet of my IP address utilizada para para no incluir os ltimos trs dgitos (por o exemplo, o 192.168.100.XXX) do endereo IP quando se contacta o AlertAdvisor.

Figura 27 Painel Preferences

Pgina 29 de 36

Manual ZoneAlarm

Configurao Aconselhada
Este tpico tem como objectivo mostrar uma configurao segura e funcional o mais abrangente possvel. Segue-se ento uma srie de figuras que indicam o que se aconselha em termos de configurao para o ZoneAlarm. Painel de Alertas:

Opo muito incmoda desactivada

Figura 28- Painel de Alertas Aconselhado

Pgina 30 de 36

Manual ZoneAlarm

Gravar logs dirios muito importante

Figura 29- Painel Avanado de Alertas Aconselhado

Pgina 31 de 36

Manual ZoneAlarm Painel de Programas:

Nvel de segurana de programas deve ser Mdio

Opo bloqueio automtico activada

Figura 30- Painel de Bloqueio Aconselhado

Pgina 32 de 36

Manual ZoneAlarm Painel da Firewall:

Zona Internet High Zona Trusted Medium

Figura 31- Painel da Firewall

Pgina 33 de 36

Manual ZoneAlarm

Definir Subredes Confiveis: Rede de Servidores (IP Range) Servidor de antivrus DNS WINS Impressoras Subnet Local Outros PCs com ligaes permanentes

Figura 32- Painel de Zonas

Pgina 34 de 36

Manual ZoneAlarm Painel de Preferncias: Actualizaes automticas activadas Arranque automtico da Firewall activado

Avisar trocas de informao com a Zone Labs activado

Figura 33- Painel de Preferncias

No enviar endereo IP para Zone Labs

Pgina 35 de 36

Manual ZoneAlarm

Concluso
Este manual serve como ponto de partida para aumentar a segurana do seu PC em ambiente Windows atravs da firewall ZoneAlarm. Para os utilizadores do Windows XP, esta firewall muito mais completa do que aquela que o Windows XP traz de raiz. O uso desta ferramenta da responsabilidade do utilizador, assim como a sua manuteno. Na eventualidade de alguma dvida pode-se recorrer ajuda dos botes de ajuda da firewall ou atravs do meu e-mail: andrade@fe.up.pt.

Pgina 36 de 36