| Artículos | 01 DIC 2005

Comunicaciones sin sustos en XP

Tags: Histórico
Cortafuegos del Service Pack 2 para Windows XP
José M. Alarcón.
La mayor actualización del sistema operativo de Microsoft, el Service Pack 2 para Windows XP, viene equipadA con un renovado cortafuegos. Éste ofrece mejores características que el servidor de Seguridad de Conexión a Internet que incluye originalmente el sistema. Veamos cómo activarlo y configurarlo correctamente para protegernos de accesos no deseados a nuestro sistema.

Estado del cortafuegos
La versión original de Windows XP venía equipada de fábrica con un sistema de protección de comunicaciones pensado para los usuarios que se conectan directamente a Internet. Esta inclusión por sí sola presentaba una gran mejora de seguridad frente a otras versiones de los sistemas operativos de Microsoft. Sin embargo, por defecto éste venía desactivado y había que configurarlo manualmente.
Conscientes de este problema, en el Service Pack 2 de Windows XP, los chicos de Microsoft quisieron atajar esta situación y proporcionar un cortafuegos mejor y que viniese activado por defecto. De hecho el SP2 está orientado fundamentalmente a las mejoras de seguridad del sistema, por lo que es muy recomendable que lo instales si no lo has hecho ya. PC World ha entregado este software gratuito de actualización en su número 213 (noviembre de 2004).
Si hemos instalado el SP2 ya tendremos el cortafuegos habilitado y con las reglas más comunes configuradas automáticamente. Podemos ver su configuración si vamos a Inicio » Panel de control » Firewall de Windows. En caso de no estar activado en condiciones normales se nos notifica este hecho con un globo al lado del reloj que insiste en que debemos activarlo.
En la mayor parte de las situaciones no conviene marcar la opción de No permitir excepciones ya que eso implicará en la práctica el aislamiento completo de nuestro equipo de la red, tanto en entrada como en salida de paquetes de información.

Excepciones de seguridad
El cortafuegos de Windows es un servidor de seguridad “con estado”. Esto quiere decir que supervisa todos los aspectos de las comunicaciones que pasan por él e inspecciona las direcciones de origen y destino de cada mensaje que administra. Para impedir que el tráfico no solicitado de la parte pública de la conexión entre en la parte privada (es decir, que no haya entradas no solicitadas desde Internet o desde la red local a nuestro equipo), el cortafuegos mantiene una tabla de todas las comunicaciones que tienen origen en el equipo. Todo el tráfico entrante se compara con las entradas de la tabla. Sólo se permite que el tráfico entrante llegue a los equipos de la red cuando hay un registro en la tabla que muestra que el intercambio de comunicación se inició en el equipo o en la red privada. Ello implica que si alguien desde el exterior lanza una petición a alguno de los servicios de red de nuestro equipo (por ejemplo un servidor web que tengamos instalado o, en el peor de los casos, un troyano), el cortafuegos no se lo permite. De este modo, aunque tengamos activado por ejemplo el servicio para compartir archivos, u otro servicio cualquiera, cuando alguien intente conectarse a él no será capaz.
Hay que tener esto en cuenta cuando realmente deseemos que alguien acceda a algún servicio local de nuestra máquina. Por ejemplo, si disponemos de una conexión permanente a Internet mediante cable o ADSL y una dirección IP estática (fija) podemos instalar un servidor web en nuestro equipo y servir documentos para nuestros amigos. O podemos poner un servidor FTP para que los conocidos descarguen o nos manden archivos.
Si dejamos la configuración por defecto del cortafuegos todas estas comunicaciones se bloquearán y no habrá forma de que nuestros colaboradores accedan al sistema.
En la pestaña Excepciones de la ventana de configuración avanzada aparecen por defecto algunos servicios típicos que podemos tener en nuestro equipo, como son el escritorio remoto, servicios de correo electrónico o de páginas web. Si disponemos de alguno de ellos y queremos que esté accesible desde el exterior sólo tenemos que marcar la casilla correspondiente. Hay que tener cuidado con lo que habilitamos y tenemos que estar seguros de lo que hacemos o podríamos abrir un agujero de seguridad en nuestro sistema.

Excepciones y servicios personalizados
Si estamos utilizando algún servidor que no está contemplado en la lista de servicios de la ventana de configuración no hay ningún problema, ya que podemos definir nuevos servicios a nuestro gusto.
Por ejemplo, imaginemos que estamos utilizando un juego en red que utiliza el puerto UDP 147 y queremos que nuestros amigos puedan conectarse con nosotros a través de Internet para una partida conjunta. Lo que debemos hacer es añadir un nuevo servicio pulsando el botón Agregar puerto de la parte inferior de la ventana de excepciones.
En la ventana emergente fijamos las propiedades del servicio que queremos abrir al exterior. Primeramente le otorgamos un nombre descriptivo que será el que aparezca en la lista para darnos cuenta de a qué se refiere la excepción. En el campo inmediatamente inferior especificamos el puerto al que queremos permitir la conexión (en nuestro ejemplo el 147).
También debemos indicar el tipo de protocolo a utilizar para el envío de los paquetes (TCP o UDP). Debes consultar la documentación de tu servicio para ver qué tipo de protocolo utiliza. La mayoría de los protocolos comunes de Internet usan TCP. UDP se suele utilizar en servicios en los que la pérdida de pequeñas cantidades de información no supone un problema, como por ejemplo servicios de streaming de vídeo, telefonía IP y similares.
Con esto ya tenemos información suficiente para que el cortafuegos pueda permitir el tráfico hacia el servidor.
Sin embargo se puede afinar un poco más el ajuste utilizando el botón Cambiar ámbito que vemos abajo a la izquierda. Con los datos básicos proporcionados antes estamos abriendo el puerto a cualquiera que desee conectarse. Especificando el ámbito podemos restringir las entradas para que sólo puedan acceder los equipos de nuestra red local o únicamente ciertas direcciones IP que especifiquemos, con lo que se aumenta considerablemente la seguridad si no queremos hacerlo público.
Si analizas las reglas existentes verás que no todas se refieren a puertos de comunicación. Hay otras que hacen referencia a programas ejecutables almacenados en tu disco duro. Esto es así para permitir que ciertos programas inicien comunicaciones con el exterior y reciban las correspondientes respuestas independientemente del puerto que utilicen. Eso facilita mucho la configuración de estos programas pero puede suponer un problema de seguridad. El cortafuegos nos avisará con una notificación cuando algún nuevo programa intente establecer comunicaciones con el exterior o se ponga a escuchar en un puerto en espera de peticiones. Se nos preguntará si deseamos permitirlo o no. Sólo debemos admitirlo en caso de ser un ejecutable que conozcamos o podríamos quedar a merced de algún troyano o programa zombi.

Opciones avanzadas
La última pestaña que nos queda por ver es la de Opciones avanzadas. En ella escogeremos en primer lugar sobre qué conexiones de las disponibles en nuestro equipo queremos que actúe el cortafuegos. Lo recomendable siempre es que las dejemos marcadas todas. Al desmarcar cualquiera de ellas quedará desprotegido todo el tráfico que la atraviese, así que mucho cuidado. Con el botón Configuración

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información