FIREWALLS
Realizado por: Jesús Ángel Pérez-Roca Fernández José Antonio Pereira Suárez Página 1
ÍNDICE Introducción Introducción ! ! "enta#as de los $ire%alls $ire%alls & & 'i(itaciones de los $ire%alls $ire%alls ) ) *ipos de $ire%alls $ire%alls + Fire%alls ,ard%are ,ard%are + + Fire%alls so$t%are so$t%are Principales tecnolog.as para los $ire%alls ,ard%are / Filtrado de pa0uetes pa0uetes / e ni2el de aplicación aplicación / / Fire%alls ,.3ridos ,.3ridos 4 Fire%alls de ni2el de aplicación de segunda generación generación 15 15 Ata0ues e intrusiones intrusiones 15 15 Pol.tica de seguridad en la red red 11 11 6on$iguración de un $ire%all en 'inu7 con ipta3les ipta3les 18 9ué es ipta3les; ipta3les; 18 6aracter.sticas del $ire%all a crear 1! 1!
reusar nuestra con$iguración de ipta3les 1+ 1+ ?indo%s Fire%all Fire%all 1/ @l $ire%all de ?indo%s ?indo%s 1/ 6ó(o $unciona $unciona 1/ 1/ ué ,ace > 0ué no ,ace ,ace 14 6on$iguración del Fire%all Fire%all 14 @7cepciones @7cepciones 85 tras con$iguraciones con$iguraciones 8) 6ó(o con$igurar Bone Alar( Alar( 8 Introducción Introducción 8 8 6on$iguración de Bone Alar( Alar( 8/ 2er2ie% 2er2ie% 84 84 Fire%all Fire%all !5 Progra( 6ontrol 6ontrol !8 !8 Alerts C 'ogs 'ogs !8 !8 @-Dail Protection Protection !! !! 3ser2aciones 3ser2aciones !! !! 6onclusiones 6onclusiones !& !& Ei3liogra$.a Ei3liogra$.a !)
Página 8
Introducción 'a seguridad ,a sido el principal te(a a tratar cuando una organización desea conectar su red pri2ada a Internet Sin to(ar to(ar en cuenta el el tipo de negocios se ,a incre(entado incre(entado el nu(ero de usuarios de redes pri2adas por la de(anda del acceso a los ser2icios de Internet tal es el caso del ?orld ?ide ?e3 G???H Internet Dail Ge-(ailH *elnet > File *rans$er Protocol GF*PH 'os ad(inistradores de red tienen 0ue incre(entar todo lo concerniente a la seguridad de sus siste(as de3ido a 0ue se e7pone la organización pri2ada de sus datos as. co(o la in$raestructura de sus redes a los usuarios (alintencionados (alintencionados Para superar estos te(ores > pro2eer el ni2el de protección re0uerida la organización necesita necesita seguir una pol.tica de seguridad seguridad para pre2enir pre2enir el acceso no autorizado de usuarios a los recursos propios de la red pri2ada > protegerse contra la e7portación pri2ada de in$or(ación Aun0ue una organización no esté conectada a Internet ésta de3er.a esta3lecer una pol.tica de seguridad interna para ad(inistrar el acceso de usuarios a partes de la red > proteger sensi3le(ente la in$or(ación pri2ada
a de$inido la organización responsa3le de la red Su (odo de $uncionar es indicado por la reco(endación RF6 844 0ue de$ine las caracter.sticas de co(porta(iento > re0ueri(ientos de interopera3ilidad 'a u3icación ,a3itual de un corta$uegos es el punto de cone7ión de la red r ed interna de la organización con la red e7terior 0ue nor(al(ente es InternetK de este (odo se protege la red interna de intentos de acceso no autorizados desde Internet 0ue puedan apro2ec,ar 2ulnera3ilidades de los siste(as de la red interna *a(3ién es $recuente conectar al $ire%all una tercera red lla(ada zona des(ilitarizada o DB en la 0ue se u3ican los ser2idores de la organización 0ue de3en per(anecer accesi3les desde la red e7terior Si está correcta(ente con$igurado un $ire%all aLade protección a una instalación in$or(ática pero en ningún caso caso de3e considerarse considerarse co(o su$iciente su$iciente 'a Seguridad Seguridad in$or(ática a3arca a3arca (ás á(3itos > (ás ni2eles de tra3a#o > protección *a(3ién puede o$recer control de acceso a los siste(as de un sitio Por e#e(plo algunos ser2idores pueden ponerse al alcance de redes e7ternas (ientras 0ue otros pueden cerrarse de una (anera e$ecti2a al acceso no deseado or.a del so$t%are (odi$icado > el so$t%are de seguridad adicional puede localizarse en el siste(a de $ire%all $ ire%all puede resultar (enos costoso 0ue si se distri3u>e en cada ser2idor o (á0uina @n particular los siste(as de contraseLa desec,a3les desec,a3les > otro so$t%are de autenticación agregado puede localizarse en el $ire%all en lugar de en cada siste(a al cual se necesita tener acceso desde Internet
Página !
*a(3ién ,a> 0ue tener en cuenta la seguridad interna Frecuente(ente se da (uc,o én$asis a un $ire%all pero si un ,acMer irru(pe en un siste(a a (enos 0ue éste tenga algunas pol.ticas de seguridad interna en $unciona(iento la red 0uede e7puesta Por esta razón (uc,as 2eces podr.a ser 3uena idea poner el ser2idor a disposición de internet $uera del $ire%all @s (u> pro3a3le 0ue los ser2icios 0ueden e7puestos a las a(enazas de Internet pero se podr.a tener $ácil(ente una réplica del ser2idor dentro del $ire%all > 0ue estu2iera disponi3le para una recuperación rápida *a(3ién se podr.a (antener toda la con$iguración del siste(a del ser2idor e7terno en un dispositi2o de al(acena(iento 2ol2iéndolo as. seguro contra (odi$icaciones
'a pri2acidad de3e ser una gran preocupación para toda red corporati2a de3ido a 0ue lo 0ue nor(al(ente se considerar.a in$or(ación inocua en realidad podr.a contener pistas útiles para un ,acMer tra 2enta#a es 0ue al pasar a tra2és de un $ire%all todo el acceso ,acia > desde Internet se puede lle2ar un registro de los accesos > proporcionar estad.sticas 2aliosas so3re el uso de la red
Ventajas de los firewalls 'os $ire%alls en Internet ad(inistran los accesos posi3les de Internet a la red pri2ada Sin un $ire%all cada uno de los ser2idores propios del siste(a se e7ponen al ata0ue de otros ser2idores en el Internet @sto signi$ica 0ue la seguridad en la red pri2ada depende de la dureza con 0ue cada uno de los ser2idores cuenta > es única(ente seguro tanto co(o la seguridad en la $ragilidad posi3le del siste(a @l $ire%all per(ite al ad(inistrador de la red de$inir un Nc,oMe pointN Ge(3udoH (anteniendo al (argen los usuarios no autorizados G,acMers craMers esp.as etcH $uera de la red pro,i3iendo potencial(ente la entrada o salida al 2ulnerar los ser2icios de la red > proporcionar la protección para 2arios tipos de ata0ues posi3les uda a si(pli$icar los tra3a#os de ad(inistración >a 0ue se consolida la seguridad en el siste(a $ire%all lo 0ue es (e#or 0ue distri3uirla en cada uno de los ser2idores 0ue integran nuestra red pri2ada @l $ire%all o$rece un punto donde la seguridad puede ser (onitorizada > si aparece alguna acti2idad sospec,osa éste generará una alar(a ante la posi3ilidad de 0ue ocurra un ata0ue o suceda algún pro3le(a en el transito de los datos @sto es (u> i(portante de cara a 0ue el ad(inistrador audite > lle2e un registro del trá$ico signi$icati2o a tra2és del $ire%all *a(3ién es i(portante 0ue el ad(inistrador de la red responda a las alar(as > e7a(ine regular(ente los registros de 3ase udar ali2iando el espacio de direcciona(iento acortando > eli(inando lo necesario para reenu(erar cuando la organización ca(3ie de Pro2eedor de Ser2icios de Internet GISPH Página &
pro(ue2e el (étodo de cargo a los departa(entos dentro del (odelo de $inanzas de la organización *a(3ién o$rece un punto de reunión para la organización Si una de sus (etas es proporcionar > entregar ser2icios in$or(ación a consu(idores el $ire%all de Internet es ideal para desplegar ser2idores ??? > F*P 'a preocupación principal del ad(inistrador de red son los (últiples accesos a Internet 0ue se pueden registrar con un (onitor > un $ire%all en cada punto de acceso 0ue posee la organización ,acia el Internet @stos dos puntos de acceso signi$ican dos puntos potenciales de ata0ue a la red interna 0ue tendrán 0ue ser (onitorizados regular(ente
Limitaciones de los firewalls Ser2er GFPSH lo cual puede ser pro2ocado por un siste(a de seguridad 0ue esta incluido en una cone7ión directa S'IP o PPP del ISP @l $ire%all no puede protegerse de las a(enazas a 0ue esta so(etido por traidores o usuarios inconscientes @l $ire%all no puede pro,i3ir 0ue los traidores o esp.as corporati2os copien datos pri2ados en dispositi2os de al(acena(iento e7terno > su3straigan los datos del edi$icio @l $ire%all no puede proteger contra los ata0ues de la Ingenier.a Social por e#e(plo un ,acMer 0ue pretende ser un super2isor o un nue2o e(pleado despistado persuade al (enos so$isticado de los usuarios a 0ue le per(ita usar su contraseLa al ser2idor del corporati2o o 0ue le per(ita el acceso te(poral a la red @l $ire%all no puede protegerse contra los ata0ues posi3les a la red interna por 2irus in$or(áticos a tra2és de arc,i2os > so$t%are @l $ire%all no puede contar con un siste(a preciso de escaneado para cada tipo de 2irus 0ue se puedan presentar en los arc,i2os 0ue pasan a tra2és de el 'a solución real está en 0ue la organización de3e instalar so$t%are anti2irus en cada despac,o para protegerse de los 2irus 0ue llegan >a sea por Internet o por cual0uier dispositi2o $.sico Final(ente el $ire%all no puede protegerse contra los ata0ues posi3les en la trans$erencia de datos estos ocurren cuando aparente(ente datos inocuos son en2iados o copiados a un ser2idor interno > son e#ecutados creando un ata0ue Por e#e(plo una trans$erencia de datos podr.a causar 0ue un ser2idor (odi$icara los arc,i2os relacionados a la seguridad ,aciendo (ás $ácil el acceso de un intruso al siste(a
Página )
Tipos de firewalls 'os Fire%all tradicionales son de ,ard%are es decir un dispositi2o espec.$ico instalado en una red para le2antar una de$ensa > proteger a la red del e7terior Son utilizados en entornos pro$esionales: el ad(inistrador de red de$ine una serie de reglas para per(itir el acceso > detiene los intentos de cone7ión no per(itidos 'os Fire%all personales son progra(as 0ue $iltran el trá$ico 0ue entra > sale de una co(putadora autoriza o no los accesos desde el e7terior
Firewalls hardware 'os $ire%all de ,ard%are se utilizan (ás en e(presas > grandes corporaciones Oor(al(ente son dispositi2os 0ue se colocan entre el router > la cone7ión tele$ónica 6o(o 2enta#as pode(os destacar 0ue al ser independientes del P6 no es necesario con$igurarlos cada 2ez 0ue reinstala(os el siste(a operati2o > no consu(en recursos del siste(a Su (a>or incon2eniente es el (anteni(iento >a 0ue son di$.ciles de actualizar > de con$igurar correcta(ente 'os $ire%alls ,ard%are pueden ser ad0uiridos co(o un producto independiente pero reciente(ente los $ire%alls ,ard%are suelen encontrarse integrados en routers de 3anda anc,a > de3er.an ser considerados una parte i(portante de cara a la con$iguración de una red especial(ente cuando se usa una cone7ión de 3anda anc,a 'os $ire%alls ,ard%are pueden ser e$ecti2os con (u> poca o ninguna con$iguración pre2ia > pueden proteger todas las (á0uinas de una red local 'a (a>or.a tienen co(o (.ni(o cuatro puertos para conectarse a otras (á0uinas pero para redes (ás grandes e7isten otras soluciones de negocio 'os $ire%alls ,ard%are usan $iltrado de pa0uetes para e7a(inar la ca3ecera de un pa0uete > as. deter(inar su origen > su destino @sta in$or(ación se co(para con un con#unto de reglas prede$inidas o creadas por el usuario 0ue deter(inan si el pa0uete tiene 0ue ser redirigido o descartado 6o(o con cual0uier otro dispositi2o electrónico un usuario con conoci(ientos generales so3re in$or(ática puede conectar un $ire%all a#ustar unas cuantas opciones > ponerlo a $uncionar e todas $or(as para asegurarse de 0ue un $ire%all está con$igurado para una protección > seguridad ópti(as podr.a ser necesario aprender las caracter.sticas espec.$icas del (odelo de $ire%all instalado có(o acti2arlas > có(o pro3ar el $ire%all para asegurarse de 0ue está protegiendo la red de $or(a correcta Oo todos los $ire%alls son iguales por lo 0ue es (u> i(portante leer el (anual de instrucciones > toda la docu(entación 0ue 2iene con el producto Adicional(ente la página %e3 del $a3ricante puede tener ta(3ién cierta in$or(ación interesante de cara al usuario pri(erizo Para pro3ar el ni2el de seguridad de un $ire%all ,ard%are se pueden usar ,erra(ientas de terceros o 3uscar en Internet un ser2icio gratuito de prue3a de $ire%alls online 'a prue3a del $ire%all es una parte (u> i(portante del (anteni(iento >a 0ue sir2e para sa3er si el $ire%all está 3ien con$igurado > la protección 0ue nos o$rece es ópti(a @ntre los principales $a3ricantes de $ire%alls ,ard%are destacan 6,ecMpoint > 6isco
Página +
Firewalls software @stos progra(as son los (ás co(unes en los ,ogares >a 0ue a parte de resultar (uc,o (ás econó(icos 0ue el ,ard%are su instalación > actualización es (ás sencilla @so s. presentan algunos pro3le(as in,erentes a su condición: consu(en recursos del P6 algunas 2eces no se e#ecutan correcta(ente o pueden ocasionar errores de co(pati3ilidad con otro so$t%are instalado Actual(ente los siste(as operati2os (ás (odernos co(o ?indo%s P > 'inu7 integran soluciones 3ásicas de $ire%all en algunos casos co(o en el so$t%are li3re son (u> potentes > $le7i3les pero re0uieren un gran conoci(iento en redes > puertos necesarios para las aplicaciones Para no tener pro3le(as e7isten una serie de ,erra(ientas e7ternas 0ue $acilitan este tra3a#o de protección Para los usuarios nor(ales la (e#or opción de $ire%alls es un $ire%all so$t%are 'os $ire%alls so$t%are se instalan en el ordenador Gco(o cual0uier otro progra(aH > pueden ser con$igurados de di2ersas (aneras per(itiendo cierto control so3re su $uncionalidad > sus caracter.sticas de protección 'os $ire%alls so$t%are protegen el ordenador ante ata0ues e7ternos 0ue intentan o3tener el control de la (á0uina o conseguir acceso a la (is(a > dependiendo del progra(a de $ire%all puede ta(3ién proporcionar protección contra los 2irus tro>anos > gusanos (ás co(unes Duc,os $ire%alls so$t%are tienen controles de$inidos por el usuario para esta3lecer una co(partición segura de arc,i2os e i(presoras > para 3lo0uear aplicaciones no seguras e i(pedir 0ue se e#ecuten en el siste(a Adicional(ente los $ire%alls so$t%are pueden incorporar ta(3ién controles de pri2acidad $iltrado de %e3s > (uc,o (ás 'o (alo 0ue tiene este tipos de $ire%alls es 0ue al contrario de lo 0ue ocurre con los $ire%alls ,ar%are los $ire%alls so$t%are sólo protegen el ordenador en el 0ue están instalados > no protegen la red entera as. 0ue cada ordenador necesitará tener instalado el $ire%all so$t%are Al igual 0ue ocurre con los $ire%alls ,ard%are ,a> un gran nú(ero de $ire%alls so$t%are en el (ercado e3ido a 0ue el $ire%all so$t%are de3e estar sie(pre e#ecutándose en cada ordenador de3er.a tenerse en cuenta los recursos 0ue necesita para e#ecutarse > ta(3ién es i(portante co(pro3ar 0ue no ,a>a ninguna inco(pati3ilidad de cara a la elección del $ire%all so$t%are usará sólo una pe0ueLa parte de los recursos del (is(o @s i(portante (onitorizar el $ire%all so$t%are una 2ez instalado > descargar e instalar las actualizaciones disponi3les periódica(ente 'as di$erencias entre los dos tipos de $ire%alls son a(plias > la (e#or protección para una red es utilizar los dos >a 0ue cada uno o$rece caracter.sticas de seguridad di$erentes Actualizar el $ire%all > el siste(a operati2o es esencial para (antener una protección opti(a as. co(o co(pro3ar 0ue el $ire%all está conectado > $uncionando correcta(ente
Página
Principales tecnolo!as para los firewalls hardware Filtrado de pa"uetes @ste tipo de $ire%all proporciona control de acceso en el ni2el IP > acepta o rec,aza los pa0uetes 3asándose en el origen en las direcciones de la red de destino > en tipo de aplicaciones 'os $ire%alls de $iltrado de pa0uetes proporcionan un ni2el de seguridad (u> si(ple por un precio relati2a(ente econó(ico @ste tipo de $ire%alls por lo general son transparentes para los usuarios
Debilidades:
1 Son 2ulnera3les ante los ata0ues dirigidos a protocolos superiores a los del protocolo del ni2el de red >a 0ue éste es el único ni2el 0ue co(prenden 8 e3ido a 0ue el protocolo de ni2el de red re0uiere ciertos conoci(ientos acerca de sus detalles técnicos > 0ue no todos los ad(inistradores cuentan con ellos los $ire%alls de $iltrado de pa0uetes son por lo general (ás di$.ciles de con$igurar > de 2eri$icar lo cual incre(enta los riesgos de tener siste(as con con$iguraciones erróneas agu#eros en la seguridad > $allas ! Oo pueden ocultar la topolog.a de red pri2ada > por lo tanto e7ponen a la red pri2ada al (undo e7terior & Oo todas las aplicaciones de Internet están soportadas por los $ire%alls de $iltrado de pa0uetes ) @stos $ire%alls no sie(pre soportan algunas de las cláusulas de las pol.ticas de seguridad co(o la autenticación de ni2el de usuario > el control de acceso por ,ora del d.a
De ni#el de aplicación @ste tipo de $ire%alls proporcionan control de acceso en el ni2el de aplicación Por lo tanto actúa co(o una puerta de enlace al ni2el de aplicación entre dos redes e3ido a 0ue estos $ire%alls $uncionan en este (is(o ni2el tienen la capacidad de e7a(inar el trá$ico con detalle lo cual ,ace 0ue sean (ás seguros 0ue los $ire%alls de $iltrado de pa0uetes Ade(ás este tipo de $ire%all general(ente es (ás lento 0ue el de $iltrado de pa0uetes de3ido al e7a(en riguroso del trá$ico Por Página /
lo tanto ,asta cierto grado son (olestos restricti2os > co(ún(ente re0uieren 0ue los usuarios ca(3ien su co(porta(iento o 0ue utilicen un so$t%are especial con el $in de lograr los o3#eti2os de las pol.ticas Por este (oti2o los $ire%alls de ni2el de aplicación no son transparentes para los usuarios
Ventajas:
1 e3ido a 0ue entienden al protocolo de ni2el de aplicación pueden de$enderse en contra de todos los ata0ues 8 Por lo general son (uc,o (ás $áciles de con$igurar de3ido a 0ue no re0uieren 0ue se conozcan todos los detalles acerca de los protocolos de los ni2eles (ás 3a#os ! Pueden ocultar la topolog.a de la red pri2ada & Pueden soportar (ás pol.ticas de seguridad inclu>endo la autenticación de ni2el de usuario > el control de acceso de ,ora del d.a
Firewalls h!$ridos 6onscientes de las de3ilidades de los $ire%alls de $iltrado de pa0uetes > de los de ni2el de aplicación algunos pro2eedores ,an introducido $ire%alls ,.3ridos 0ue co(3inan las técnicas de los otros dos tipos Aun0ue estos productos ,.3ridos intentan resol2er algunas de las de3ilidades anterior(ente (encionadas introducen 2arias de3ilidades in,erentes en los $ire%alls de ni2el de aplicación co(o las 0ue se descri3ieron en la lista anterior
Página 4
Debilidad: e3ido a 0ue
los $ire%alls ,.3ridos siguen 3asándose en los (ecanis(os de $iltrado de pa0uetes para soportar ciertas aplicaciones aún tienen las (is(as de3ilidades en la seguridad
Firewalls de ni#el de aplicación de seunda eneración @ste tipo de $ire%alls continúa siendo un $ire%all de ni2el de aplicación pero se encuentra en su segunda generación la cual resuel2e el pro3le(a de la trans$erencia 0ue se presenta3a en las 2ersiones anteriores sin sacri$icar el dese(peLo Ventajas:
1 Pueden utilizarse co(o un $ire%all de intranet de3ido a su transparencia > a 0ue su dese(peLo general es (a>or 8 Pueden proporcionar una co(pleta traducción de direcciones de red ade(ás de 0ue ocultan la topolog.a de la red ! Soportan (ás (ecanis(os a2anzados de autenticación de ni2el de usuario
%ta"ues e intrusiones Pode(os de$inir co(o ata0ues todas a0uellas acciones 0ue suponen una 2iolación de la seguridad de nuestro siste(a con$idencialidad integridad o disponi3ilidad @stas acciones se pueden clasi$icar de (odo genérico según los e$ectos causados co(o: ●
Interrupción: cuando un recurso del
siste(a es destruido o se 2uel2e no disponi3le
●
Intercepción: una entidad no
●
Modificación: alguien no autorizado consigue acceso a una in$or(ación
autorizada consigue acceso a un recurso
(anipularla ●
Fabricación: cuando se insertan o3#etos $alsi$icados en el siste(a
Página 15
> es capaz de
*a(3ién se pueden ordenar por (odalidades de ata0ue según la $or(a de actuar: Escaneo de puertos: esta técnica consiste en 3uscar puertos a3iertos > $i#arse en los 0ue ● puedan ser recepti2os o de utilidad Ataques de autentificación: cuando un atacante suplanta a una persona con ● autorización (o(ento 0ue se encuentran agu#eros de seguridad en los siste(as operati2os protocolos de red o aplicaciones Ataques de denegación de servicio !oS": consiste en saturar un ser2idor con pedidos ● $alsos ,asta de#arlo $uera de ser2icio ●
Explotación de errores: suceden en el
Consejos para defenderse de este tipo de ataques: ● ●
● ● ●
Dantener el siste(a operati2o > las aplicaciones actualizadas el acceso no autorizado a nuestro ordenador e el tra3a#o del $ire%all 6a(3iar las contraseLas 0ue 2iene por de$ecto en el siste(a operati2o Poner especial cuidado a la ,ora de co(partir arc,i2os > recursos
Pol!tica de seuridad en la red 'a decisión de instalar un $ire%all puede estar in$luenciada por dos ni2eles de pol.tica de red: instalación > uso del siste(a 'a pol.tica de acceso a la red 0ue de$ine los ser2icios 0ue se per(itirán o negarán de (anera e7pl.cita desde la red restringida es la pol.tica de (ás alto ni2el *a(3ién de$ine có(o se utilizarán estos ser2icios 'a pol.tica de (ás 3a#o ni2el de$ine có(o se restringirá en realidad el acceso > deter(inará los ser2icios especi$icados en la pol.tica de ni2el superior Sin e(3argo una pol.tica no de3e 2ol2erse un docu(ento aislado sino 0ue de3e ser útil @s i(prescindi3le 0ue la pol.tica de seguridad de red se 2uel2a parte de la pol.tica de seguridad de la co(paL.a i(portante al instalar un $ire%all en una co(paL.a de3ido a 0ue seLala cuáles son los 2alores 0ue 2ale la pena proteger > cuáles son las acciones o procedi(ientos para la ad(inistración de riesgos 0ue se de3en seguir con el $in de proteger los 2alores corporati2os 6on $recuencia las pol.ticas de seguridad de red integran aspectos de seguridad de pol.ticas anteriores Por lo general las co(paL.as 3uscan asistencia e7terna cuando con$iguran por pri(era 2ez la pol.tica de seguridad de su red Qa> dos pol.ticas 3ásicas en la con$iguración de un corta$uegos > 0ue ca(3ian radical(ente la $iloso$.a $unda(ental de la seguridad en la organización: ●
#ol$tica restrictiva: Se deniega todo el trá$ico e7cepto el 0ue está e7pl.cita(ente
per(itido @l corta$uegos o3stru>e todo el trá$ico > ,a> 0ue ,a3ilitar e7presa(ente el trá$ico de los ser2icios 0ue se necesiten trá$ico e7cepto el 0ue esté e7pl.cita(ente denegado 6ada ser2icio potencial(ente peligroso necesitará ser aislado 3ásica(ente caso por caso (ientras 0ue el resto del trá$ico no será $iltrado
●
#ol$tica per%isiva: Se per(ite todo el
'a pol.tica restricti2a es la (ás segura >a 0ue es (ás di$.cil per(itir por error trá$ico Página 11
potencial(ente peligroso (ientras 0ue en la pol.tica per(isi2a es posi3le 0ue no se ,a>a conte(plado algún caso de trá$ico peligroso > sea per(itido por de$ecto
Confiuración de un firewall en Linu& con ipta$les '(u) es ipta$les* iptables es la ,erra(ienta 0ue nos per(ite con$igurar las reglas del siste(a de $iltrado de pa0uetes del Mernel de 'inu7 desde su 2ersión 8& Gen 88 era ipc,ainsH 6on esta ,erra(ienta podre(os crearnos un $ire%all adaptado a nuestras necesidades Su $unciona(iento es si(ple: a ipta3les se le proporcionan unas reglas especi$icando cada una de ellas unas deter(inadas caracter.sticas 0ue de3e cu(plir un pa0uete Ade(ás se especi$ica para esa regla una acción o target 'as reglas tienen un orden > cuando se reci3e o se en2.a un pa0uete las reglas se recorren en orden ,asta 0ue las condiciones 0ue pide una de ellas se cu(plen en el pa0uete > la regla se acti2a realizando so3re el pa0uete la acción 0ue le ,a>a sido especi$icada @stas acciones se plas(an en los 0ue se deno(inan targets 0ue indican lo 0ue se de3e ,acer con el pa0uete 'os (ás usados son 3astante e7pl.citos: A&&E#' !R(# > RE)E&' pero ta(3ién ,a> otros 0ue nos per(iten $uncionalidades aLadidas > algunas 2eces interesantes: L(* MIRR(R @n cuanto a los pa0uetes el total del siste(a de $iltrado de pa0uetes del Mernel se di2ide en tres tablas cada una con 2arias chains a las 0ue puede pertenecer un pa0uete de la siguiente (anera ●
●
●
filter: *a3la por de$ecto para
los pa0uetes 0ue se re$ieran a nuestra (á0uina
I+#,': Pa0uetes reci3idos para nuestro siste(a
F(RWAR!: Pa0uetes enrutados a tra2és de
(,'#,': Pa0uetes generados en nuestro siste(a >
nat: *a3la re$erida a
nuestro siste(a 0ue son en2iados
los pa0uetes enrutados en un siste(a con Das0uerading
#RER(,'I+*: Para alterar
los pa0uetes según entren
(,'#,': Para alterar
#(S'R(,'I+*: Para alterar los pa0uetes cuando están a punto para salir
pa0uetes generados local(ente antes de enrutar
%angle: Alteraciones (ás especiales de pa0uetes
#RER(,'I+*: Para alterar los pa0uetes entrantes antes de enrutar
(,'#,': Para alterar
los pa0uetes generados local(ente antes de enrutar
ado 0ue el soporte para el $ire%all está integrado en el Mernel de 'inu7 G +etfilterH para poder usar ipta3les tendre(os 0ue asegurarnos de 0ue nuestro núcleo ad(ite el uso de iptables > 0ue aLadi(os a la con$iguración del núcleo todos a0uellos targets 0ue 2a>a(os a necesitar Gaun0ue sie(pre es 3ueno tener los (ás posi3lesH
Página 18
Caracter!sticas del firewall a crear Para crear nuestro sencillo $ire%all do(éstico tendre(os pri(ero 0ue preguntarnos 0ué es lo 0ue desea(os 0ue ,aga 'o (ás usual en un e0uipo 0ue se usa para cone7iones a Internet de (anera nor(al Gno es ser2idor de nada etcH es 0ue desee(os de nuestro $ire%all lo siguiente: ue per%ita reali-ar conexiones '&# ,acia a$uera de nuestra (á0uina Gsi no no ● podr.a(os ,acer casi nadaH ue no per%ita reali-ar conexiones '&# desde afuera .acia nuestra %/quina para ● e2itar 0ue alguien intente conectarse a nuestros ser2idores %e3 $tp telnet ue per%ita el tr/fico de paquetes '&# paquetes que no estable-can conexiones" en ● a%bas direcciones pues necesita(os trá$ico 3idireccional de pa0uetes al usar casi cual0uier cosa en Internet ue pro.iba el tr/fico ,!# desde afuera de nuestra %/quina a e7cepción del ● necesario para las respuestas por parte de nuestros ser2idores !+S 0ue pro2endrán de su puerto <P )! @n caso de tener una intranet 0ue no aplique estas restricciones al tr/fico proveniente ● de 0 enviado .acia la intranet >a 0ue en esta red interna pro3a3le(ente s. nos interese poder acceder re(ota(ente a nuestra (á0uina +so $,sico de ipta$les Para crear nuestro $ire%all necesitare(os e#ecutar algunos co(andos 3ásicos so3re iptables: ●
Para crear una nue2a regla al $inal de las >a e7istentes en una chain deter(inada: $ /sbin/iptables -A [chain] [especificacion_de_la_regla] [opciones]
Para insertar una regla en una posición deter(inada de la lista de reglas de una chain deter(inada:
●
$ /sbin/iptables -I [chain] [posición]
Página 1!
[especificacion_de_la_regla] [opciones]
Para 3orrar una regla en una posición deter(inada de la lista de reglas de una chain deter(inada:
●
$ /sbin/iptables -D [chain] [posición] ●
Para todas las reglas de una chain deter(inada: $ /sbin/iptables -F [chain]
●
Para listar las reglas de una chain deter(inada: $ /sbin/iptables -L [chain]
'a especificación de reglas se ,ace con los siguientes pará(etros Gespeci$icando a0uellos 0ue se necesiteH: 1p 2protocolo3: Protocolo al 0ue pertenece el pa0uete ● ●
1s 2origen3: irección de origen del pa0uete puede ser un no(3re de ,ost una dirección
IP nor(al o una dirección de red Gcon (áscara de $or(a dirección(áscaraH ●
1d 2destino3: Al igual 0ue el anterior
puede ser un no(3re de ,ost dirección de red o
dirección IP singular ●
1i 2interfa-1entrada3: @speci$icación del inter$az por el 0ue se reci3e el pa0uete
●
1o 2interfa-1salida3: Inter$az por el 0ue se 2a
●
243 1f : @speci$ica 0ue la regla se re$iere al segundo > siguientes $rag(entos de un pa0uete
a en2iar el pa0uete
$rag(entado Si se antepone se re$iere sólo al pri(er pa0uete o a los pa0uetes no $rag(entados ● -j [target]: Oos per(ite elegir el target al 0ue se de3e en2iar ese pa0uete esto es la acción a lle2ar a ca3o con él Algunas de las opciones 0ue se per(iten en los co(andos de arri3a son: ●
1v: Dodo verboso útil so3re todo con ipta3les -'
●
1n: las direcciones IP
> nú(eros de puertos se (ostrarán nu(érica(ente Gsin resol2er
no(3resH ●
11line1nu%bers: Duestra los nú(ero de regla de cada regla de (anera 0ue sea (ás $ácil
identi$icarlas para realizar operaciones de inserción 3orrado
Creación del firewall Para crear nuestro $ire%all ire(os introduciendo una a una las reglas 0ue necesita(os: Pri(era regla: per%itire%os cualquier tr/fico que provenga de nuestro interfa- de loopbac5 lo" para ello insertare(os en el chain IOP<* G0ue se encarga de los pa0uetes 0ue llegan con destino a nuestra (á0uinaH de la ta3la filter la siguiente regla: $ /sbin/iptables -A INP! -i lo -" A##P!
Página 1&
Atención: es i(portante a0u. respetar las %a06sculas pues los no(3res del chain > del target son I+#,' > A&&E#' no input o accept
Segunda regla: si dispone%os de intranet7 per%itire%os todo el tr/fico que provenga de nuestro interfa- de red interna Por e#e(plo i(aginando 0ue tu2iése(os una et,ernet en el inter$az eth% ,ar.a(os: $ /sbin/iptables -A INP! -i eth% -" A##P!
@l ,ec,o de 0ue o(ita(os la dirección de origen de destino i(plica 0ue nos re$eri(os a todas *ercera regla: i%pedire%os el paso de cualquier paquete '&# proviniente del exterior que intente establecer una conexión con nuestro equipo @stos pa0uetes se reconocen por tener el $lag STO asertado > los $lags A6U > FIO desasertados Para decirle a la regla 0ue reconozca espec.$ica(ente estos pa0uetes usare(os una opción 0ue se puede usar cuando el protocolo del pa0uete es declarado co(o tcp la opción 11s0n e la siguiente (anera: $ /sbin/iptables -A INP! -p tcp --s&n -" '(#! --re"ect-)ith ic*p-port-+nreachable
T 2e(os ta(3ién el uso de una opción del target RE)E&' 0ue nos per(ite elegir de 0ué (anera de3e ser rec,azado el pa0uete Posi3les 2alores son ic%p1net1unreac.able ic%p1.ost1 unreac.able ic%p1port1unreac.able ic%p1proto1unreac.able ic%p1net1pro.ibited > ic%p1 .ost1pro.ibited 6uarta regla: Antes de declarar 0ue desea(os pro,i3ir cual0uier trá$ico <P ,acia nuestra (á0uina > dado 0ue las reglas se recorren en orden ,asta 0ue una de ellas se acti2a con el pa0uete tendre%os que a8adir a.ora una regla que nos per%ita recibir las respuestas de nuestro9s servidor9es !+S cuando nuestro siste(a les realice alguna consulta @stas respuestas 2.a <P
saldrán del puerto )! del ser2idor OS 'a regla pues será: $ /sbin/iptables -A INP! -p +dp --so+rce-port , -" A##P!
onde 11source1port es una opción presente cuando el protocolo es udp Gta(3ién cuando es tcpH > nos per(ite en este caso especi$icar 0ue la consulta pro2enga del puerto destinado al OS uinta regla: #ro.ibi%os a.ora el resto del tr/fico ,!# 'a regla de por s. i(plica a todo el trá$ico <P pero co(o un pa0uete sólo acti2ará esta regla si no ,a acti2ado la anterior los pa0uetes <P re$erentes a una transacción con un ser2idor de no(3res no se 2erán a$ectados
Página 1)
$ /sbin/iptables -A INP! -p +dp -" '(#! --re"ect-)ith ic*pport-+nreachable
ado 0ue los targets por de$ecto G deno%inados policy o pol$ticaH en la ta3la $ilter son A66@P* si un pa0uete no acti2a ninguna de las reglas será aceptado de (anera 0ue no tendre(os 0ue preocuparnos de por e#e(plo los pa0uetes de trá$ico nor(al de *6P >a 0ue estos serán aceptados al no acti2ar regla alguna Si a,ora escri3i(os: $ /sbin/iptables -L -.
e3er.a(os o3tener algo co(o: #hain INP! polic& A##P! 000 pac1ets2 3,045 b&tes6 p1ts b&tes target prot opt in o+t so+rce destination 3337 035 A##P! all -- lo an& an&)here an&)here % % A##P! all -- eth% an& an&)here an&)here % % '(#! tcp -- an& an& an&)here an&)here tcp flags89:N2'9!2A#5/9:N re"ect-)ith ic*p-port-+nreachable % % A##P! +dp -- an& an& an&)here an&)here +dp spt8do*ain % % '(#! +dp -- an& an& an&)here an&)here re"ect-)ith ic*pport-+nreachable #hain F;'5 b&tes6 p1ts b&tes target prot opt in o+t so+rce destination
e (odo 0ue nuestro pe0ueLo > 3ásico $ire%all do(éstico >a está con$igurado Ouestro e0uipo es a,ora (uc,.si(o (ás seguro puesto 0ue los ata0ues a nuestro siste(a re0uerir.an a,ora (uc,a (ás ela3oración tie(po > es$uerzo por parte del atacante de (anera 0ue nuestra condición de insignificantes >a e(pezará a ser i(portante co(o garante de seguridad
-uardar . reusar nuestra confiuración de ipta$les Pero si una 2ez realizadas estas con$iguraciones apagáse(os nuestro e0uipo todo esto se perder.a > tendr.a(os 0ue 2ol2er a realizar una a una las sentencias de con$iguración Para e2itar esto ipta3les cuenta con dos progra(as au7iliares: ipta3les-sa2e e ipta3les-restore el pri(ero de los cuales nos per(ite sacar por salida estándar el contenido de nuestras ta3las IP > el segundo nos per(ite a partir de la salida generada por ipta3les-sa2e recuperar la con$iguración de las ta3las
Página 1+
e (anera 0ue para 2olcar la con$iguración de nuestro $ire%all en un $ic,ero e#ecutare(os: $ /sbin/iptables-sa.e -c ? [fichero]
onde 1c es una opción 0ue nos per(ite guardar los contadores del nú(ero de pa0uetes 0ue acti2aron cada regla T cuando 0uera(os podre(os recuperar la con$iguración del $ire%all con: $ /sbin/iptables-restore -c @ [fichero]
@n cu>o caso 1c tiene el (is(o signi$icado 0ue con iptables-sa.e @stas lla(adas a iptables-sa.e e ipatbles-restore podrán ser incluidas en los scripts adecuados para 0ue se lle2en a ca3o de (anera auto(ática en el arran0ue > el cierre del siste(a @n caso de ser usuarios de Red Qat 'inu7 a partir de su 2ersión 1 una 2ez con$igurado el $ire%all con iptables tal > co(o se ,a descrito en este art.culo > una 2ez sal2ada la con$iguración con iptables-sa.e en el arc,i2o /etc/sysconfig/iptables se pueden acti2ar los scripts 0ue arrancarán > cerrarán el $ire%all auto(ática(ente al arrancar > apagar el e0uipo (ediante la 'ext Mode Setup ,tilit0 G9usr9sbin9setupH en la sección S0ste% Services
Página 1
/indows Firewall El firewall de /indows @l siste(a operati2o ?indo%s P con Ser2ice PacM 8 GSP8H inclu>e un Fire%all lla(ado ,asta a,ora Ser2idor de seguridad de cone7ión a Internet o I6F 0ue está acti2ado de $or(a predeter(inada @sto signi$ica 0ue la (a>or parte de los progra(as no podrán aceptar co(unicaciones de Internet 0ue no ,a>an solicitado a (enos 0ue decida catalogarlos co(o e7cepciones Qa> dos progra(as 0ue de (anera predeter(inada se agregan a la lista de e7cepciones > pueden aceptar co(unicaciones no solicitadas de Internet: Asistente para trans$erencia de arc,i2os > con$iguraciones > 6o(partir i(presoras > arc,i2os
Puesto 0ue los ser2idores de seguridad restringen la co(unicación entre el e0uipo e Internet es posi3le 0ue tenga 0ue a#ustar la con$iguración de algunos progra(as 0ue $uncionan (e#or con una cone7ión a3ierta Puede ,acer una e7cepción con estos progra(as de (odo 0ue se puedan co(unicar a tra2és de Fire%all de ?indo%s #ara abrir Fireall de Windos
1 Qaga clic en Inicio > a continuación ,aga clic en #anel de control 8 @n el Panel de control ,aga clic en &entro de seguridad de Windos
! Qaga clic en Fireall de Windos
Cómo funciona 6uando alguien en Internet o en una red intenta conectarse a un e0uipo ese intento se conoce co(o solicitud no solicitada 6uando el e0uipo reci3e una solicitud no solicitada Fire%all de ?indo%s 3lo0uea la cone7ión Si utiliza un progra(a por e#e(plo de (ensa#er.a instantánea o un #uego de red con 2arios #ugadores 0ue tiene 0ue reci3ir in$or(ación desde Internet o de una red el ser2idor de seguridad le pregunta si desea 3lo0uear o des3lo0uear Gper(itirH la cone7ión "erá una 2entana co(o la 0ue se (uestra a continuación
Página 1/
Si elige des3lo0uear la cone7ión Fire%all de ?indo%s crea una e7cepción de (odo 0ue el ser2idor de seguridad no se interpondrá cuando ese progra(a tenga 0ue reci3ir in$or(ación en el $uturo
(u) hace . "u) no hace ●
A0uda a evitar que virus 0 gusanos infor%/ticos lleguen a un e0uipo
●
#ide el per%iso del usuario para 3lo0uear o
des3lo0uear ciertas solicitudes de cone7ión
uno 0ue al(acene los intentos correctos > $allidos de conectarse a un e0uipo @sto puede ser de utilidad co(o ,erra(ienta de solución de pro3le(as +o detecta o des.abilita los virus 0 gusanos infor%/ticos si >a se encuentran en el ● e0uipo Por ese (oti2o de3er.a instalar ta(3ién so$t%are anti2irus > (antenerlo actualizado para a>udar a i(pedir 0ue 2irus gusanos > otras a(enazas para la seguridad daLen el e0uipo o lo usen para propagarse +o i%pide que el usuario abra correo electrónico con arc.ivos ad;untos peligrosos ● Oo a3ra arc,i2os ad#untos de correo electrónico 0ue pro2enga de re(itentes 0ue no conozca Incluso aun0ue conozca > con$.e en el origen del (ensa#e de3e actuar con precaución Si alguien a 0uien conoce le en2.a un arc,i2o ad#unto en el correo electrónico o3ser2e la l.nea de asunto cuidadosa(ente antes de a3rirlo Si la l.nea de asunto parece un gali(at.as o no tiene sentido para usted consulte al re(itente antes de a3rirlo ●
&rea un registro de seguridad si desea tener
3ande#a de entrada Sin e(3argo algunos progra(as de correo electrónico pueden ser2ir de a>uda en ese propósito
●
+o i%pide que el correo no solicitado o spa% aparezca en la
Confiuración del Firewall @l acceso a la con$iguración del Fire%all ta(3ién es directa(ente accesi3le desde el panel de control donde podre(os encontrar un icono 0ue pone Fire%all de ?indo%s 0ue al pulsarlo nos (uestra el siguiente cuadro de dialogo:
Página 14
@l pri(er ca(3io consiste en el (odo en el 0ue 0uere(os con$igurar el Fire%all: acti2ado desacti2ado o acti2ado sin e7cepciones @ste últi(o (odo resulta de gran utilidad para e0uipos con (o2ilidad >a 0ue si nos encontra(os en un lugar pu3lico pode(os si(ple(ente (arcando esta opción cerrar co(pleta(ente el acceso al P6 en cuestión
E&cepciones Per(itir e7cepciones tiene ciertos riesgos 6ada 2ez 0ue per(ite una e7cepción para 0ue un progra(a se co(uni0ue a tra2és de Fire%all de ?indo%s el e0uipo se 2uel2e (ás 2ulnera3le Per(itir una e7cepción es co(o ,acer un agu#ero en el ser2idor de seguridad Si ,a> de(asiados agu#eros no 0ueda (uc,a pared en el (uro 0ue es el ser2idor de seguridad 'os piratas in$or(áticos suelen usar so$t%are 0ue e7a(ina Internet en 3usca de e0uipos con cone7iones sin proteger Si tiene (uc,as e7cepciones > puertos a3iertos el e0uipo puede ser (uc,o (ás 2ulnera3le Para contri3uir a reducir el riesgo para la seguridad: Per(ita una e7cepción única(ente cuando la necesite en realidad ● ● Oo per(ita nunca una e7cepción para un progra(a 0ue no reconozca uite una e7cepción cuando >a no la necesite ● @n 2ersiones anteriores esta con$iguración se de3.a realizar a (ano con lo 0ue (uc,os usuarios se 2e.an incapaces de realizarla Para dar per(isos a un progra(a pulse el 3otón Agregar progra(a
Página 85
> seleccione el progra(a 0ue desea aLadir:
Página 81
Si no se encuentra en la lista puede 3uscarlo pulsando el 3oton @7a(inar el cual le a3rirá un @7plorador de Arc,i2os de su P6 @l Fire%all detecta auto(ática(ente los puertos 0ue usa el progra(a seleccionado > los a3re cuando ese progra(a se e#ecuta cerrándolos cuando el progra(a se cierra Aun0ue seleccionando un progra(a en el cuadro de diálogo de @7cepciones > pulsando el 3otón Dodi$icar pode(os controlar indi2idual(ente los puertos 0ue se a3ren al e#ecutar el progra(a
esde la 2entana de e7cepciones ta(3ién es posi3le aLadir si(ple(ente puertos tanto *6P co(o <P pulsando en el 3otón VAgregar puertoV
Página 88
tra de las con$iguraciones de este apartado es el rango de direcciones IP al 0ue 2a(os a per(itir el acceso Se di2iden en tres tipos: las de (i red GIntranet o red interna técnica(ente la (is(a su3redH cual0uiera o un rango de$inido a (ano en una lista de direcciones IP #er%itir excepciones a pesar del riesgo
@n ocasiones puede 0ue desee 0ue alguien pueda conectarse a su e0uipo a pesar del riesgoK por e#e(plo cuando espere reci3ir un arc,i2o en2iado a tra2és de un progra(a de (ensa#er.a instantánea o cuando participe en un #uego con 2arios #ugadores en Internet Por e#e(plo si interca(3ia (ensa#es instantáneos con alguien 0ue desea en2iarle un arc,i2o Gco(o una $otogra$.aH Fire%all de ?indo%s le preguntará si desea des3lo0uear la cone7ión > per(itir 0ue la $otogra$.a llegue a su e0uipo 3ien si desea participar en un #uego de red con 2arios a(igos en Internet puede agregar el #uego co(o e7cepción para 0ue el ser2idor de seguridad per(ita 0ue la in$or(ación del #uego llegue al e0uipo Para agregar un progra(a a la lista de e7cepciones: 1 Qaga clic en Inicio > a continuación en #anel de control 8 @n el Panel de control ,aga clic en Fireall de Windos ! @n la $ic,a Excepciones en #rogra%as 0 servicios acti2e la casilla de 2eri$icación correspondiente al progra(a o ser2icio 0ue desee per(itir > ,aga clic en Aceptar
Página 8!
Si el progra(a Go ser2icioH 0ue desea per(itir no aparece en la lista: 1 Qaga clic en Agregar progra%a 8 @n el cuadro de diálogo Agregar un progra%a ,aga clic en el progra(a 0ue desee agregar > después ,aga clic en Aceptar @l progra(a aparecerá seleccionado en la $ic,a Excepciones de3a#o de #rogra%as 0 servicios ! Qaga clic en Aceptar Sugerencia: Si el progra(a o ser2icio 0ue desea per(itir no se (enciona en el cuadro de diálogo Agregar un progra(a ,aga clic en Exa%inar localice el progra(a 0ue desea agregar > a continuación ,aga do3le clic en él &o%o 6lti%o recurso7 abra un puerto
Si sigue sin encontrar el progra(a puede a3rir un puerto en su lugar a ter(inado de usarloH Agregar una e7cepción es (e#or 0ue a3rir un puerto por0ue: ● ●
@s (ás $ácil Oo necesita sa3er 0ué nú(ero de puerto usar
@s (ás seguro 0ue a3rir un puerto por0ue el ser2idor de seguridad sólo está a3ierto (ientras el progra(a espera reci3ir la cone7ión
●
Página 8&
0tras confiuraciones 'os usuarios a2anzados pueden a3rir puertos para cone7iones indi2iduales > con$igurar su á(3ito con el $in de reducir las oportunidades de 0ue los intrusos se conecten a un e0uipo o una red Para ello a3ra Fire%all de ?indo%s ,aga clic en la $ic,a (pciones avan-adas > utilice las opciones de con$iguración de &onfiguración de conexión de red @n pciones A2anzadas pode(os encontrar otras con$iguraciones generales del Fire%all esde este cuadro de diálogo podre(os con$igurar el arc,i2o de log las cone7iones 0ue se 2erán a$ectadas por el Fire%all Gde3er.an ser todasH > el I6DP GInternet 6ontrol Dessage ProtocolH
@l apartado (ás interesante es el 0ue a$ecta a las cone7iones >a 0ue nos per(ite gestionar todo lo anterior pero esta 2ez por cone7ión lo 0ue en caso de disponer por e#e(plo de una tar#eta de red > un (óde( nos per(itirá gestionar cada uno de ellos de (anera di$erente Por últi(o destacar el 3otón 0ue nos per(ite restaurar los 2alores por de$ecto e7tre(ada(ente útil si nos encontra(os de prue3as
Página 8)
Por últi(o en el apartado de con$iguración I6DP pode(os des,a3ilitar el 0ue e0uipos e7ternos nos ,agan VPingV para sa3er si nuestra (á0uina está encendida Para ello des(ar0ue VPer(itir solicitud de eco entranteV aun0ue si tene(os acti2o el ser2icio SDE en el puerto *6P &&) estas solicitudes se per(iten auto(ática(ente
Página 8+
Cómo confiurar 1one %larm Introducción 'os tro>anos 0ue pueden instalarse en el (is(o > ro3arnos in$or(ación 'os escaneos a 0ue nos 2e(os en$rentados cada 2ez 0ue na2ega(os de 0uienes 3uscan una respuesta o una puerta a3ierta en nuestra co(putadora T el (a>or peligro: 0ue un tro>ano esté acti2o > escuc,ando BoneAlar( es una utilidad 0ue 2iene en nuestra a>uda > es gratuita @l concepto es si(ple BA nos a2isa 0ue aplicación intenta conectarse a Internet > pone en nuestras (anos el per(it.rselo o no Du> si(ple Si el @7plorer o el utlooM intentan ,acerlo cuando (enos si nosotros no ,e(os e#ecutado nada 0ue tenga ese no(3re @ntonces si(ple(ente le indica(os a BA 0ue no le per(ita conectarse BoneAlar( controla los datos 0ue $lu>en de nuestro P6 ,acia la red > per(ite a los usuarios decidir 0ué aplicaciones pueden acceder el Internet T si siente pánico un 3otón ro#o 3lo0uea todas las cone7iones Página 8
BoneAlar( tal 2ez no sea la panacea para 0uienes sientan te(or del ata0ue de un cracMer pero ,ará (ás segura su cone7ión T sin dudas es una ,erra(ienta i(prescindi3le #unto a un 3uen anti2irus (onitoreando T lo es aún (ás si su cone7ión a Internet es dedicada GAS' ca3le (óde( etcH @s $ácil de usar > no necesita conoci(ientos técnicos co(o en el caso de otros N$ire%allsN Gcorta$uegosH Ade(ás per(ite 0ue usted colo0ue un NcandadoN con cla2e para 0ue cuando usted no esté nadie pueda conectarse a Internet Gpodrá lla(ar al pro2eedor pero ningún progra(a podrá co(unicarse con la redH Ade(ás co(o 2alor agregado el BA i(pide 0ue un 2irus del tipo NgusanoN o 0ue utilice el lengua#e "ES G"isual Easic ScriptH co(o el 'o2e'etter > tantos otros se propague a tra2és del correo electrónico alertándonos de su presencia 'uego del proceso de instalación e#ecutando el arc,i2o 0ue descarga(os de Internet el BA 0uedará en la 3ande#a de siste(a GS>stra>H o sea lo 2ere(os presente al lado del relo# 6uando nos conecte(os a Internet por pri(era 2ez luego de ello el progra(a interceptará cual0uier progra(a 0ue intente conectarse @S@ nuestra co(putadora o cual0uier intento de cual0uier especie de cone7ión de un progra(a o sitio QA6IA nuestra co(putadora Si(ple(ente de3e(os contestar la pregunta 0ue el BA nos ,ará por cada progra(a 0ue use(os por pri(era 2ez Gco(o el na2egador el progra(a de correo etcH si desea(os 0ue se conecte sie(pre si lo desea(os ,acer solo cuando el BA nos pregunte o si no desea(os 0ue se conecte nunca 'o ideal es decirle 0ue se conecte sie(pre a cosas co(o el na2egador > el progra(a de correo > lo de(ás de acuerdo a su uso de#ar 0ue nos pregunte cada 2ez 0ue intente conectarse > a,. decidir si lo de#a(os o no 'uego de este pri(er contacto es (u> raro 0ue el BA nos 2uel2a a interru(pir con sus preguntas pero se (antendrá alerta co(o $iel guardián
Confiuración de 1one %larm A3riendo el BA con un do3le clic so3re su icono se nos presenta una sencilla con$iguración de solo cinco opciones: ● 2er2ie% Fire%all ● Progra( 6ontrol ● Alerts C 'ogs ● @-Dail Protection ● @7isten ta(3ién en la parte superior un 3otón ro#o con la le>enda S*P > un candado Página 8/
@l candado nos de#a 3lo0ueado el acceso a Internet de cual0uier progra(a Incluso pode(os agregarle una cla2e > su P6 podrá lla(ar al pro2eedor pero ningún progra(a podrá co(unicarse con la red @l 3otón ro#o es una (edida de seguridad 0ue nos tran0uiliza Si lo pulsa(os todas las cone7iones a la red se paralizan de in(ediato *a(3ién 2e(os al lado del 3otón de S*P con la le>enda IO*@RO@* unas 3arras 0ue nos (uestra el trá$ico @ > QA6IA nuestro P6 Gsi(ple(ente sir2e para 2er si ,a> trans$erencia de datos acti2as o noH > al lado del candado los iconos de los progra(as a3iertos capaces de conectarse a Internet GPR=RADSH Poniendo el cursor so3re ellos 2ere(os su no(3re Wsta es la con$iguración aconse#ada para sus principales opciones:
0#er#iew
@n la lengXeta S'A',S nos (uestra el estado actual del progra(a > de nuestro siste(a Oo ,a> 0ue ca(3iar nada en principio @s sólo una pantalla in$or(ati2a sólo nos (uestra in$or(ación de la 2ersión del producto > otros datos relacionados Oo ,a> 0ue ca(3iar ninguna in$or(ación i(portante all. #R(!,&' I+F(
@n #REFERE+&ES la in$or(ación 3ásica durante la instalación no es necesario ca(3iarla sal2o la opción <=ide %0 I# address .en applicable< 0ue oculta nuestra dirección IP cuando se Página 84
en2.a un alerta a Bone 'a3s
Firewall
Oos (uestra dos pestaLas: Dain > Bones @n Main la opción one Securit0< la de#a(os en <=ig.< G2er en o3ser2aciones (ás adelanteH
Página !5
'a opción <'rusted >one Securit0< la de#a(os en one on =ig. Setting< one on =ig. Setting< >
Oo es necesario ca(3iar nada en la pestaLa >ones para un usuario único Gsin cone7ión de redH
Página !1
Proram Control
Oos (uestra dos pestaLas: Dain > Progra(s @n Main de#a(os <#rogra% &ontrol< en Mediu% GQig, no está disponi3le en la 2ersión gratuitaH > poder controlar esto con contraseLa 'a idea es i(pedir 0ue alguien se conecte a Internet cuando no esta(os nosotros en la co(putadora Sin e(3argo tenga en cuenta 0ue la cone7ión tele$ónica igual(ente se realiza Gcon su costo correspondienteH sólo 0ue no se puede na2egar ni 3a#ar o su3ir correo etc 6ual0uiera podr.a intentar conectarse en su ausencia > si 3ien no podr.a ,acer nada la cuenta tele$ónica seguir.a corriendo téngalo en cuenta Por lo pronto ol2idé(onos de esta opción
@n la lengXeta #rogra%s no ,ace(os nada @s a0u. donde irá 0uedando la lista de los progra(as a los 0ue les per(ita(os ingresar a Internet GInternet @7plorer utlooM @7press =etRig,t el anti2irus etcH Si alguna 2ez 0uere(os 3orrarlo de la lista o (odi$icar su acción lo podre(os ,acer desde a0u. %lerts 2 Los
Oos (uestra dos pestaLas: Dain > 'og "ie%er @n Main otras lindezas 0ue suelen (andarnos algunos sitios ade(ás de todas las posi3les intrusiones e7ternas Pero es i(portante tener en cuenta 0ue no 2er las alertas no signi$ica 0ue este(os desprotegidos sino 0ue BA nos (antendrá protegidos sin (olestarnos
Página !8
@n la pestaLa Log ?ieer 2ere(os la lista de posi3les intrusiones etc *iene sólo 2alor docu(ental > rara 2ez de3e(os apelar a e7a(inar su contenido E34ail Protection
'as opciones son (n 0 (ff para <asic MailSafe< 'a de#a(os en (+ @n la 2ersión gratuita del BA esto nos protege de la e#ecución de ad#untos con e7tensión B?S sola(ente
0$ser#aciones Oo e7isten pro3le(as destaca3les en (antener la con$iguración de one Securit0< Gen FIREWALLH en (á7i(a seguridad GQig,H es (ás es aconse#a3le (antener esta opción en <=ig.< e cual0uier (odo pode(os per$ecta(ente N3a#arN esta con$iguración a luego su3irla a <=ig.< si tu2iéra(os alguna di$icultad con la cone7ión a algún sitio en particular T todo ello Nen calienteN o sea 0ue los ca(3ios son to(ados en el (o(ento 'a opción =I*= 2uel2e in2isi3le a nuestro P6 ante los o#os del (undo e7terior en ca(3io la opción ME!I,M de#a el P6 2isi3le pero igual(ente S@= luego <'est M0 S.ields4< > <#robe M0 #orts4or.a S'EAL'=4 > los puertos 4 GFingerH /5 GQ**PH 115 GPP!H > 1&! GIDAPH &L(SE! GcerradosH lo 0ue signi$ica 0ue el P6 es reconocida -Nestá a,.N para 0uien escanea > para los sitios 0ue necesitan esto para identi$icarnos co(o N2i2osN Página !!
para per(itirnos 3a#ar arc,i2os por e#e(plo- pero lo (ás i(portante están 6@RRAS lo 0ue signi$ica 0ue nadie podrá acceder por ellos a nuestro P6 Recorde(os 0ue de3e(os su(ar al BA un 3uen anti2irus 0ue nos prote#a de tro>anos Aún cuando el BA nos a2isa si un progra(a de nuestro P6 intenta conectarse a Internet Gcosa 0ue de3e(os per(itir en el caso del Internet @7plorer utlooM @7press etcH no ser.a con2eniente de#ar 0ue lo ,aga un progra(a 0ue no conoce(os ano o gusano eli(inándolo si lo $uera 6o(o sie(pre de3e(os tener (u> claro 0ue la principal 3arrera seguire(os siendo nosotros no e#ecutando progra(as sin re2isarlos antes con un anti2irus al d.a no a3riendo ad#untos no solicitados 0ue reci3a(os por e-(ail > aún en el caso de los solicitados re2isándolos en una carpeta con uno o dos anti2irus al d.a antes de e#ecutarlos
Conclusiones @l Fire%all proporciona la (a>oria de las ,erra(ientas para co(ple(entar su seguridad en una red G(ediante la i(posición de pol.ticas de seguridadH en el acceso a los recursos de la red > ,acia la red e7terna @s i(portante esta3lecer una (onitorización constante 0ue nos per(itirá detectar un posi3le intruso > as. proteger la in$or(ación @s práctica(ente i(posi3le 0ue prote#a(os al 155 Y nuestra red de craMers cuando dentro de nuestra organización puede e7istir personal traidor > 0ue puede sa3otear nuestro siste(a
Página !&
