| Artículos | 01 MAR 2005

Firewalls y servicios Windows

Tags: Histórico
Seguridad II
Jaime Sánchez.
En esta entrega vamos a ver cómo actuael filtrado de paquetes, las nociones básicas y la configuración de un firewall, y el uso y errores comunes de un proxy.

Nivel de dificultad: Medio
Objetivo del artículo: Uso de filtrado, Proxy y firewalls.
Herramientas necesarias: Windows XP SP2, Nmap, Netstat.

Hoy en día existen dos tipos de firewalls que dominan el mercado: los proxys (application proxys) y los encargados del filtrado de paquetes (packet filtering gateways). La principal misión de estas máquinas es simple: proteger una red de otra. Generalmente la red que se debe proteger es la propia (nuestra responsabilidad), y de la que la protegemos es una red externa con la que no podemos mantener ningún tipo de vínculo de confianza y desde la que se pueden producir intentos de intrusión. Muchos piensan que el hecho de colocar un firewall en una red privada evitará todos los problemas de seguridad o rechazará cualquier intento de ataque externo o interno. Eso es evidentemente falso. El principal problema es que un fire-wall tiene que estar cuidadosamente configurado para obtener un buen rendimiento y una buena defensa. Muchas empresas han sido víctimas de ataques porque sus sistemas de defensa estaban configurados por defecto, sin mantener o sin ser monitorizados. Si no cometemos ningún error y configuramos y mantenemos nuestro equipo correctamente, las probabilidades de conseguir una buena seguridad son muy altas. Debemos también tener en cuenta que éste es sólo un eslabón de la cadena de seguridad. Cualquier atacante que se encuentre con un firewall correctamente configurado tratará de buscar otra forma de acceder al sistema, atacando máquinas que guarden relación con éste, utilizando relaciones de confianza, etc.

Tipos de firewall
En general, un firewall puede trabajar en la capa de red o en la de transporte, donde investigará los paquetes IP y las cabeceras TCP de los paquetes que tratan de entrar en la red, así como los que tratan de salir de ella, y su misión es dejarlos pasar o bloquearlos en ese punto, dependiendo de las reglas (rules) que hayamos marcado en el filtrado. Veamos algún ejemplo sencillo de tipo de firewall.
Dual-Homed Host: con este término queremos decir que se trata de una máquina que tiene dos o más interfaces de red (controladoras o tarjetas de red). Por norma general, cada interfaz está conectada a una red diferente. También se puede usar este tipo para encaminar el tráfico entre las diferentes redes, aunque este uso hoy en día es menos común por el uso de routers. El punto fuerte es que no se permite el reenvío de ningún trafico TCP/IP. Eso quiere decir que vamos a diferenciar dos redes diferentes, la interna asegurada, y la externa con acceso a otra red no segura (como puede ser Internet).
Bastion Host: es un firewall crucial para la seguridad de toda la red. Es el punto central y neurálgico de la seguridad de toda una organización que puede tener cientos de máquinas, por lo que debe ser monitorizado de cerca por los administradores de la red. Está expuesto a auditorías frecuentes y dispone de mecanismos de autenticación segura. Esta máquina va a ser el único punto de enlace entre nuestra red y el exterior. En ciertas configuraciones, un equipo con dos tarjetas de red (visto en el apartado anterior), puede actuar como Bastion Host,
Firewalled Host: muchas veces no es necesario o posible tener unos mecanismos de seguridad tan altos (debido a su alto coste y mantenimiento), o simplemente se quiere proteger cada equipo de forma individual. También es posible asegurar un PC doméstico mediante el uso de firewalls, como veremos a continuación. Existe diverso software para este propósito, y no debe ser complicado de comprender y utilizar para el usuario.

Windows XP SP2: firewall integrado
Hace unos meses que el Service Pack 2 de Windows XP vio la luz, y con él una serie de mejoras para la seguridad del equipo. Entre ellas tenemos la novedad de que trae un firewall integrado que podemos configurar de forma bastante sencilla y visual. Se trata de ICF (Internet Connection Firewall).
Una vez que instalemos el SP2, podemos encontrarlo en Inicio » Panel de Control » Firewall de Windows. Nos encontraremos ante una nueva pantalla que nos permite activar/desactivar esta funcionalidad. Debemos comprender cómo funciona. Se trata de una especie de escudo que nos protegerá y bloqueará aquel tráfico que se dirija a nuestra máquina y que nosotros no hayamos solicitado. Por ejemplo, podremos navegar y recibir tráfico HTTP debido a una petición de nuestro navegador, pero sin embargo no podremos recibir peticiones en nuestro equipo. Todos los agujeros estáticos de nuestra máquina son cerrados automáticamente. Este método de protección se aplica para los virus y gusanos que se expanden a través de máquinas Windows por Internet, sin intervención del usuario. Además, deberemos “enseñar” a nuestro firewall qué programas son de confianza y tienen permisos para emitir y recibir peticiones a través de Internet.
Si deseamos activarlo, pulsaremos sobre la pestaña Activado. Con esto estamos logrando bloquear todas las peticiones entrantes en el equipo salvo aquellas que especifiquemos en la pestaña Excepciones.
Si entramos en esta pestaña, podremos ver la pequeña configuración por defecto de nuestro firewall. Podemos activar, por ejemplo, Compartir archivos e impresoras a través de NetBIOS. Pulsando en el botón Modificar, veremos los parámetros configurados. Como podemos observar, tiene activada la lista de puertos TCP 139 y 445, y UDP 137 y 138, necesarios para el funcionamiento del servicio. Veremos una columna llamada Ámbito. Se trata del entorno de red en el que va a funcionar el filtrado:
Cualquier equipo: serán capaces de conectarse a estos puertos todos los equipos, ya estén dentro de nuestra subred, pertenezcan a otro segmento, o se trate de un equipo cualquiera de Internet.
Sólo mi red: sólo se permite conectarse a estos puertos a aquellos equipos que estén dentro de nuestra subred. Por ejemplo, si nuestro equipo tiene la dirección IP 192.168.0.12, podrán conectarse todas aquellas máquinas dentro del rango de la red local 192.168.0.X
Lista personalizada: debería ser la opción a marcar para obtener una máxima seguridad. Nos permite escoger de forma individualizada las direcciones IP y equipos que permitimos que se conecten al nuestro. A diferencia del caso anterior, podemos definir solamente una máquina de toda nuestra subred para compartir archivos.
En este caso, hemos visto cómo definir qué máquinas pueden acceder a algún puerto en el que dispongamos de algún servicio corriendo. Pero existe otro patrón para nuestro ICF (Internet Connection Firewall). Es posible definir también programas que abran conexiones y envíen y reciban datos sin definir un patrón. Es decir, si disponemos de un programa que funciona a través de Internet que no sabemos qué puertos utiliza (aunque podríamos averiguarlo con la documentación o con comandos como netstat), podemos darle privilegios y confianza para que gestione las conexiones sin que el firewall intervenga. Este podría ser el caso de MSN Messenger. Si no lo tenemos en nuestra lista, pulsaremos el botón Agregar Programa. Se abrirá una ventana nueva, con menú con los diferentes programas que Windows tiene instalados y registrados. Si no encontramos el programa, pulsamos el botón Examinar y accederemos a

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información