| Artículos | 01 DIC 2001

Uso y configuración del cortafuegos de Windows XP

Tags: Histórico
José M. Alarcón.
El nuevo sistema operativo de Microsoft viene equipado con un cortafuegos llamado Servidor de Seguridad de Conexión a Internet. Veamos cómo activarlo y configurarlo correctamente para protegernos de accesos no deseados a nuestro sistema.

Como hemos comentado en los diversos artículos que hemos publicado sobre Windows XP, éste viene equipado con un sistema de protección de comunicaciones pensado para los usuarios que se conectan directamente a Internet. Éste es un tema cuya importancia hemos tratado en diversas ocasiones en la revista (ver la comparativa de cortafuegos personales en el número 173 de PC World, febrero de 2001).
El Servidor de Seguridad de Conexión a Internet (ICF: Internet Connection Firewall) es un cortafuegos sencillo pero efectivo. Puede proteger a un único ordenador o a toda la red interna en caso de utilizar la conexión compartida para que varios equipos salgan a Internet.
Al ser gratuito (ya que está integrado en el sistema) vamos a aprender a sacarle todo el partido posible para protegernos de ataques exteriores.

1- Activar el cortafuegos
Lo primero es activar el cortafuegos. La operación no podría ser más sencilla. Basta con acceder a las propiedades de nuestra conexión a Internet pulsando con el botón derecho sobre su icono (en InicioConectar a... por ejemplo, o si no, desde el Panel de Control).
En la ventana que aparece disponemos de una pestaña Opciones avanzadas, situada a la derecha de todo. Tal y como ilustra la figura sólo debemos marcar la casilla de la parte superior que reza: Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet.
Esto es suficiente para activar ICF con las opciones predeterminadas. Como veremos a continuación, podemos modificar su comportamiento utilizando el botón Configuración de la parte inferior derecha, que ahora estará activado.

2- Permisos especiales para servicios habituales
ICF se considera un servidor de seguridad “con estado”. Esto quiere decir que supervisa todos los aspectos de las comunicaciones que pasan por él e inspecciona las direcciones de origen y destino de cada mensaje que administra. Para impedir que el tráfico no solicitado de la parte pública de la conexión entre en la parte privada, el cortafuegos mantiene una tabla de todas las comunicaciones que tienen origen en el equipo. Todo el tráfico entrante de Internet se compara con las entradas de la tabla. Sólo se permite que el tráfico entrante de Internet llegue a los equipos de la red cuando hay una entrada en la tabla que muestra que el intercambio de comunicación se inició en el equipo o en la red privada. Ello implica que si alguien desde el exterior lanza una petición a alguno de los servicios de red de nuestro equipo, el cortafuegos no se lo permite. De este modo, aunque tengamos activado compartir archivos, u otro servicio cualquiera, si alguien intenta conectarse a él no será capaz.
Existen ocasiones, sin embargo, en las que sería deseable que otras personas pudieran acceder a algunos servicios que ponemos a su disposición, y que por lo tanto no todas las comunicaciones se encuentren bloqueadas. Por ejemplo, si disponemos de una conexión permanente a Internet mediante cable o ADSL podemos instalar un servidor web en nuestro equipo y servir documentos para nuestros amigos. O podemos poner un servidor FTP para que los conocidos descarguen o nos manden archivos.
Si dejamos la configuración por defecto del cortafuegos, todas estas comunicaciones se bloquearán y no habrá forma de que nuestros colaboradores accedan al sistema.
En la pestaña Servicios de la ventana de Configuración avanzada aparecen por defecto algunos servicios típicos que podemos tener en nuestro equipo, como son el escritorio remoto, servicios de correo electrónico o de páginas web. Si disponemos de alguno de ellos y queremos que esté accesible desde el exterior sólo tenemos que marcar la casilla correspondiente. Hay que tener cuidado con lo que habilitamos y tenemos que estar seguros de lo que hacemos, o podríamos abrir un agujero de seguridad en nuestro sistema.

3- Permisos para servicios adicionales
Si estamos utilizando algún servidor que no está contemplado en la lista de servicios de la ventana de Configuración avanzada no hay ningún problema, ya que podemos definir nuevos servicios a nuestro gusto.
Por ejemplo, imaginemos que estamos utilizando un juego en red que utiliza el puerto UDP 147 y queremos que nuestros amigos puedan conectarse con nosotros a través de Internet para una partida conjunta. Lo que debemos hacer es añadir un nuevo servicio pulsando el botón Agregar de la parte inferior izquierda de la ventana.
En la ventana emergente fijamos las propiedades del servicio que queremos abrir al exterior. Primeramente le otorgamos un nombre descriptivo (Descripción del servicio). En el campo inmediatamente inferior especificamos el nombre o dirección IP del equipo en el que reside el servidor. Esto se debe a que no tiene por qué residir en nuestro propio equipo, sino en cualquier otro de la red local que acceda a Internet a través del nuestro gracias a la conexión compartida a Internet (nuestro equipo actúa de proxy).
Por fin sólo debemos indicar el tipo de protocolo a utilizar para el envío de los paquetes (TCP o UDP) y el número de los puertos a utilizar para el envío y la recepción de los datos, que en general no tienen por qué coincidir. Con esto ya tenemos información suficiente para que el cortafuegos pueda permitir el tráfico hacia el servidor.

4- Registro de seguridad
El cortafuegos impide las comunicaciones que se originan fuera del equipo (los intentos de acceso desde Internet) a menos, como se ha visto, que una entrada de la ficha Servicios permita el paso. Al contrario que otros cortafuegos que muestran un mensaje de notificación cada vez que alguien intenta una conexión no permitida, ICF descarta de forma silenciosa las comunicaciones no solicitadas, con lo que se detienen intentos de intrusión comunes como la exploración de puertos. Tales notificaciones se tendrían que enviar con tanta frecuencia que se convertirían en un verdadero fastidio (cualquiera que tenga conexión permanente a Internet sabe lo asiduos que son los rastreos de puertos y otro tipo de exploraciones desde el exterior). En su lugar, ICF puede crear un registro de seguridad para ver la actividad, de la que el servidor de seguridad hace un seguimiento. El estudio del registro de seguridad nos permite descubrir ataques frustrados, reconocer comunicaciones poco habituales así como el uso no autorizado de caballos de Troya y demás software maligno.
Este registro se mantiene en un archivo de texto que por defecto está situado en C:\windows\pfirewall.log. Desde la pestaña Registro de seguridad podemos cambiar su ubicación y controlar algunos aspectos de la información que se guarda.
El cortafuegos no limita a las conexiones originadas dentro de nuestro sistema, por lo que no impedirá que caballos de Troya como Netbus o Backoriffice se conecten automáticamente con el exterior y permitan que algún malintencionado tome control del equipo. Dado que los puertos de estos troyanos son sobradamente conocidos, no está de más que habilitemos la opción de Registrar conexiones correctas y que de vez en cuando revisemos el archivo de registro para detectar excesivas comunicaciones a través de esos puertos conocidos.
Puede encontrar una detallada descripción del formato de estos archivos de registro en el archivo d

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información