FIREWALLS
Contents
1. Internet Zone For Firewall protection from unknown E computers Trusted Zone For sharing with trusted computers Trusted Zone Security Se Medium gt Rie The Internet Zone contains all of the computers on the Med Web by default Use the T Zones tab to add AS computers to the Trusted Zone O el La opci n Trusted Zone Security la dejamos en Medium En la misma pantalla pinchando en el bot n ADVANCED en la ventana Advanced Settings Security las nicas opciones que deben estar marcadas son las tres ltimas Allow Outgoing DNS DHCP in Trusted Zone on High Setting Allow Outgoing DNS DHCP in Internet Zone on High Setting y Disable Keyboard and Mouse Protection SI Advanced Settings A Security General settings TF Block Internet Zone servers Allow uncommon protocols at high security 7 Allow Outgoing DNS DHCP in Trusted Zone on High setting Vv Allow Outgoing DNS DHCP in Internet Zone on High setting V Disable Keyboard and Mouse Protection OK Cancel No es necesario cambiar nada en la pestafia Zones para un usuario nico sin conexi n de red P gina 31 Program Control Nos muestra dos pesta as Main y Programs En Main dejamos Program Control en Medium High no est disponible en la versi n gratuita y Automatic Lock en Off El bot n Custom nos permite configurar el Auto Lock para bloquear el acceso a Internet cuando se activa el protector de p2. Seleccione esto cuando se conecte a una red p blica en ubicaciones menos seguras como por ejemplo aeropuertos Recibir un aviso cuando Firewall de Windows termine de bloquear los programas Se omitir n las selecciones en la ficha Excepciones Y Desactivado no se recomienda Evite usar esta configuraci n Si desactiva Firewall de Windows puede que este equipo sea m s vulnerable a virus e intrusos Qu m s debo saber acerca de Firewall de Windows El primer cambio consiste en el modo en el que queremos configurar el Firewall activado desactivado o activado sin excepciones Este ltimo modo resulta de gran utilidad para equipos con movilidad ya que si nos encontramos en un lugar publico podemos simplemente marcando esta opci n cerrar completamente el acceso al PC en cuesti n Excepciones Permitir excepciones tiene ciertos riesgos Cada vez que permite una excepci n para que un programa se comunique a trav s de Firewall de Windows el equipo se vuelve m s vulnerable Permitir una excepci n es como hacer un agujero en el servidor de seguridad Si hay demasiados agujeros no queda mucha pared en el muro que es el servidor de seguridad Los piratas inform ticos suelen usar software que examina Internet en busca de equipos con conexiones sin proteger Si tiene muchas excepciones y puertos abiertos el equipo puede ser mucho m s vulnerable Para contribuir a reducir el riesgo para la seguridad e Permita una
3. N mero de puerto 1119 Qu riesgo existe al abrir un puerto Cambiar mbito Cancelar Otra de las configuraciones de este apartado es el rango de direcciones IP al que vamos a permitir el acceso Se dividen en tres tipos las de mi red Intranet o red interna t cnicamente la misma subred cualquiera o un rango definido a mano en una lista de direcciones IP Permitir excepciones a pesar del riesgo En ocasiones puede que desee que alguien pueda conectarse a su equipo a pesar del riesgo por ejemplo cuando espere recibir un archivo enviado a trav s de un programa de mensajer a instant nea o cuando participe en un juego con varios jugadores en Internet Por ejemplo si intercambia mensajes instant neos con alguien que desea enviarle un archivo como una fotograf a Firewall de Windows le preguntar si desea desbloquear la conexi n y permitir que la fotograf a llegue a su equipo O bien si desea participar en un juego de red con varios amigos en Internet puede agregar el juego como excepci n para que el servidor de seguridad permita que la informaci n del juego llegue al equipo Para agregar un programa a la lista de excepciones 1 Haga clic en Inicio y a continuaci n en Panel de control 2 En el Panel de control haga clic en Firewall de Windows 3 En la ficha Excepciones en Programas y servicios active la casilla de verificaci n correspondiente al programa o servicio que desee permitir y haga clic en
4. n y uso del sistema La pol tica de acceso a la red que define los servicios que se permitir n o negar n de manera expl cita desde la red restringida es la pol tica de m s alto nivel Tambi n define c mo se utilizar n estos servicios La pol tica de m s bajo nivel define c mo se restringir en realidad el acceso y determinar los servicios especificados en la pol tica de nivel superior Sin embargo una pol tica no debe volverse un documento aislado sino que debe ser til Es imprescindible que la pol tica de seguridad de red se vuelva parte de la pol tica de seguridad de la compa a Una pol tica de seguridad es muy importante al instalar un firewall en una compa a debido a que se ala cu les son los valores que vale la pena proteger y cu les son las acciones o procedimientos para la administraci n de riesgos que se deben seguir con el fin de proteger los valores corporativos Con frecuencia las pol ticas de seguridad de red integran aspectos de seguridad de pol ticas anteriores Por lo general las compa as buscan asistencia externa cuando configuran por primera vez la pol tica de seguridad de su red Hay dos pol ticas b sicas en la configuraci n de un cortafuegos y que cambian radicalmente la filosof a fundamental de la seguridad en la organizaci n e Politica restrictiva Se deniega todo el tr fico excepto el que est expl citamente permitido El cortafuegos obstruye todo el tr fico y hay que habilita
5. si disponemos de intranet permitiremos todo el tr fico que provenga de nuestro interfaz de red interna Por ejemplo imaginando que tuvi semos una ethernet en el interfaz ethO har amos sbin iptables A INPUT i eth0 j ACCEPT El hecho de que omitamos la direcci n de origen de destino implica que nos referimos a todas Tercera regla impediremos el paso de cualquier paquete TCP proviniente del exterior que intente establecer una conexi n con nuestro equipo Estos paquetes se reconocen por tener el flag SYN asertado y los flags ACK y FIN desasertados Para decirle a la regla que reconozca espec ficamente estos paquetes usaremos una opci n que se puede usar cuando el protocolo del paquete es declarado como tcp la opci n syn De la siguiente manera sbin iptables A INPUT p tcp syn j REJECT reject with icmp port unreachable Y vemos tambi n el uso de una opci n del target REJECT que nos permite elegir de qu manera debe ser rechazado el paquete Posibles valores son icmp net unreachable icmp host unreachable icmp port unreachable icmp proto unreachable icmp net prohibited y icmp host prohibited Cuarta regla Antes de declarar que deseamos prohibir cualquier tr fico UDP hacia nuestra m quina y dado que las reglas se recorren en orden hasta que una de ellas se activa con el paquete tendremos que a adir ahora una regla que nos permita recibir las respuestas de nuestro s servidor es DNS cuando nuestro sis
6. Aceptar P gina 23 Windows Firewall General Exceptions Advanced Windows Firewall is blocking incoming network connections except for the Programs and services selected below Adding exceptions allows some programs to work better but maght increase your securty risk Programs and Services Name Mi le and Printer Shang Incoming Connection VPN L2TP Incoming Connection VPN PPTP Y Y Remote Assistance C Remote Desktop DI UPrP Framework v maopen Caa 4 Display a notiicabon when Windows Firewall blocks a program What are the risks of allowing exceptions Si el programa 0 servicio que desea permitir no aparece en la lista 1 Haga clic en Agregar programa 2 En el cuadro de di logo Agregar un programa haga clic en el programa que desee agregar y despu s haga clic en Aceptar El programa aparecer seleccionado en la ficha Excepciones debajo de Programas y servicios 3 Haga clic en Aceptar Sugerencia Si el programa o servicio que desea permitir no se menciona en el cuadro de di logo Agregar un programa haga clic en Examinar localice el programa que desea agregar y a continuaci n haga doble clic en l Como ltimo recurso abra un puerto Si sigue sin encontrar el programa puede abrir un puerto en su lugar Un puerto es como una peque a puerta en el servidor de seguridad que permite que las comunicaciones pasen por ella Para especificar qu puerto abrir en la ficha Excepciones haga
7. clic en Agregar puerto Cuando abra un puerto recuerde volver a cerrarlo cuando haya terminado de usarlo Agregar una excepci n es mejor que abrir un puerto porque e Es mas f cil e No necesita saber qu n mero de puerto usar e Es m s seguro que abrir un puerto porque el servidor de seguridad s lo est abierto mientras el programa espera recibir la conexi n P gina 24 Otras configuraciones Los usuarios avanzados pueden abrir puertos para conexiones individuales y configurar su mbito con el fin de reducir las oportunidades de que los intrusos se conecten a un equipo o una red Para ello abra Firewall de Windows haga clic en la ficha Opciones avanzadas y utilice las opciones de configuraci n de Configuraci n de conexi n de red En Opciones Avanzadas podemos encontrar otras configuraciones generales del Firewall Desde este cuadro de di logo podremos configurar el archivo de log las conexiones que se ver n afectadas por el Firewall deber an ser todas y el ICMP Internet Control Message Protocol Firewall de Windows General Excepciones Opciones avanzadas Configuraci n de conexi n de red Firewall de Windows se habilit para las conexiones de red seleccionadas a continuaci n Para agregar excepciones a cualquier conexi n selecci nela y haga clic en Configuraci n M Conexi n 1394 Conexi n de rea local Conexi n de red Bluetooth Registro de seguridad Puede crea
8. del sistema es destruido o se vuelve no disponible e Intercepci n una entidad no autorizada consigue acceso a un recurso e Modificaci n alguien no autorizado consigue acceso a una informaci n y es capaz de manipularla e Fabricaci n cuando se insertan objetos falsificados en el sistema P gina 10 Tambi n se pueden ordenar por modalidades de ataque seg n la forma de actuar e Escaneo de puertos esta t cnica consiste en buscar puertos abiertos y fijarse en los que puedan ser receptivos o de utilidad e Ataques de autentificaci n cuando un atacante suplanta a una persona con autorizaci n e Explotaci n de errores suceden en el momento que se encuentran agujeros de seguridad en los sistemas operativos protocolos de red o aplicaciones e Ataques de denegaci n de servicio DoS consiste en saturar un servidor con pedidos falsos hasta dejarlo fuera de servicio Consejos para defenderse de este tipo de ataques e Mantener el sistema operativo y las aplicaciones actualizadas e Un buen firewall con el que evitaremos el escaneo de puertos y el acceso no autorizado a nuestro ordenador e Un antivirus que apoye el trabajo del firewall Cambiar las contrase as que viene por defecto en el sistema operativo e Poner especial cuidado a la hora de compartir archivos y recursos Pol tica de seguridad en la red La decisi n de instalar un firewall puede estar influenciada por dos niveles de pol tica de red instalaci
9. excepci n nicamente cuando la necesite en realidad e No permita nunca una excepci n para un programa que no reconozca e Quite una excepci n cuando ya no la necesite En versiones anteriores esta configuraci n se deb a realizar a mano con lo que muchos usuarios se ve an incapaces de realizarla Para dar permisos a un programa pulse el bot n Agregar programa P gina 20 Firewall de Windows Excepciones Opciones avanzadas Firewall de Windows est bloqueando las conexiones de red entrantes a excepci n de los programas y servicios especificados a continuaci n Si agrega excepciones algunos programas funcionar n mejor pero se puede aumentar el riesgo de seguridad Programas y servicios Asistencia remota O Compartir archivos e impresoras O Entorno UPnP O Escritorio remoto Agregar programa Agregar puerto Eliminar Ji 4 Mostrar una notificaci n cada vez que Firewall de Windows bloquee un programa Cu les son los riesgos al permitir excepciones y seleccione el programa que desea a adir P gina 21 Agregar un programa x Para permitir la comunicaci n con un programa al agregarlo a la lista de Excepciones seleccione dicho programa o haga clic en Examinar para buscar un programa no mostrado Programas mm File Merger v1 0 sa Formatter Plus A F Secure 55H Authentication Agent F Secure SSH Client MZ GraphE dit DirectShow SDK Filter Graph E
10. no abriendo adjuntos no solicitados que recibamos por e mail y a n en el caso de los solicitados revis ndolos en una carpeta con uno o dos antivirus al d a antes de ejecutarlos Conclusiones El Firewall proporciona la mayoria de las herramientas para complementar su seguridad en una red mediante la imposici n de pol ticas de seguridad en el acceso a los recursos de la red y hacia la red externa Es importante establecer una monitorizaci n constante que nos permitir detectar un posible intruso y as proteger la informaci n Es pr cticamente imposible que protejamos al 100 nuestra red de crakers cuando dentro de nuestra organizaci n puede existir personal traidor y que puede sabotear nuestro sistema P gina 34 Bibliograf a 1 Manual de Firewalls Marcus Goncalves Editorial McGraw Hill 2 Cortamegis inform tica Wikipedia la enciclopedia libre 3 Radiogr fica Costarricense S A http Awww racsa co cr consejos_navegacion proteccion firewalls index html 4 Beneficios de un firewall en Internet http www lanrouter com content view 38 71 5 Limitaciones de un firewall http www lanrouter com content view 39 72 6 Firewall la muralla defensiva de un PC http www terra es tecnologia articulo html tec10589 htm 7 Diferentes tipos de intrusiones y ataques http www terra es tecnologia articulo html tec 1 0590 htm 8 Firewalls http html rincondelvago com firewalls html 9 The Differences and Featur
11. solicitadas de Internet Asistente para transferencia de archivos y configuraciones y Compartir impresoras y archivos Puesto que los servidores de seguridad restringen la comunicaci n entre el equipo e Internet es posible que tenga que ajustar la configuraci n de algunos programas que funcionan mejor con una conexi n abierta Puede hacer una excepci n con estos programas de modo que se puedan comunicar a trav s de Firewall de Windows Para abrir Firewall de Windows 1 Haga clic en Inicio y a continuaci n haga clic en Panel de control 2 En el Panel de control haga clic en Centro de seguridad de Windows a Security Center icip protect your PC Security Estentiats EO thes AA are IA by AA GO dee e a A Lo e rl Te help A yor computar ser te teow IRA IMA D IA OF CCH IA IOMA pad tna rd ard heso Earnet n ane up bo disto dees tr Net De reter Manage security settings for Y internet Options D Automatic Updater 12 Wievbr a Foro nl 3 Haga clic en Firewall de Windows C mo funciona Cuando alguien en Internet o en una red intenta conectarse a un equipo ese intento se conoce como solicitud no solicitada Cuando el equipo recibe una solicitud no solicitada Firewall de Windows bloquea la conexi n Si utiliza un programa por ejemplo de mensajer a instant nea o un juego de red con varios jugadores que tiene que recibir informaci n desde Internet o de una red el servidor de seguridad le pregunta
12. E di A 33 o A bodes A E A 33 PP SS E sien 34 A E E EAEE AEE EAEE EEEREN 35 P gina 2 Introducci n La seguridad ha sido el principal tema a tratar cuando una organizaci n desea conectar su red privada a Internet Sin tomar en cuenta el tipo de negocios se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web WWW Internet Mail e mail Telnet y File Transfer Protocol FTP Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas debido a que se expone la organizaci n privada de sus datos as como la infraestructura de sus redes a los usuarios malintencionados Para superar estos temores y proveer el nivel de protecci n requerida la organizaci n necesita seguir una pol tica de seguridad para prevenir el acceso no autorizado de usuarios a los recursos propios de la red privada y protegerse contra la exportaci n privada de informaci n Aunque una organizaci n no est conectada a Internet sta deber a establecer una pol tica de seguridad interna para administrar el acceso de usuarios a partes de la red y proteger sensiblemente la informaci n privada Un firewall es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones permiti ndolas o prohibi ndolas seg n las pol ticas de red que haya definido la organizaci n responsable de la
13. FIREWALLS Realizado por Jes s Angel P rez Roca Fern ndez Jos Antonio Pereira Su rez P gina 1 NDICE O E O d 3 Ventajas de los firewalls ssenarisi ieena a REEE A EE EEREN ETE 4 Limitaciones de los RS A aa 5 Tipos de Firewall ri is 6 A EEEE PRN CD DES EAE sua EEEa 6 A ERA A A AER A AEE EASi 7 Principales tecnolog as para los firewalls pardas aa 8 Filtrado d RES e tas 8 Di A 8 Firewalls O PNR ARARAS DON SRS AN eee 9 Firewalls de nivel de aplicaci n de segunda generaciOM cccssssccessessscesscessecsnencsecsseacoseneees 10 ES IES ii RES 10 Politicade seguridad enla Ted iD 11 Configuraci n de un firewall en Linux con iptables ooooooiocnnoccconccoonaconnnonnnonnnccono cono nonncconcccnnocnnes 12 IMEI o 12 Caracteristicas del firewall Orear an ii 13 Usa b sico de Mable oc acolo canes A ERE E 13 Creacion del firewall ia 14 Guardar y reusar nuestra configuraci n de iptables ooooonocinnccnnciconoconnnonnnonnncconoconn nono coon cnc nccnnnos 16 Windows O dpto 18 A A AREA 18 A RR a O RR NASA 0 IRS 18 Qu ha e y gu CA TASS PORRA NBR SRD RR PAREDE anew DER ONES O DE RR SS 19 CBA SUAS TE Firewall aerieni ee EER E DR DR PNAD PR SPEA RO 19 EAS E NR RD O INN AR E 20 o ERRO ROUND RC RR RR 25 C mo configurar Zon AGIA sadio a GA O UCG lata 27 E Os aa O AREE 27 CONEICC de Zone Alarmi A A 28 OR A A VR 29 sff as RR RR SR ae SEE R a A EEEE 30 Programi CO As 32 A A O E 32 E Mail P
14. a del firewall Configuraci n del filtro Usuario de E del flujo de datos aplicaciones dirigido foo com hacia foo com del usuario Usuario Red no confiable No Si Recipiente de bits Interfaz Interfaz Interfaz de red de red de red Firewall de gateway de aplicaci n Socks Usuario IP Debilidad Debido a que los firewalls h bridos siguen bas ndose en los mecanismos de filtrado de paquetes para soportar ciertas aplicaciones a n tienen las mismas debilidades en la seguridad Firewalls de nivel de aplicaci n de segunda generaci n Este tipo de firewalls contin a siendo un firewall de nivel de aplicaci n pero se encuentra en su segunda generaci n la cual resuelve el problema de la transferencia que se presentaba en las versiones anteriores sin sacrificar el desempe o Ventajas 1 Pueden utilizarse como un firewall de intranet debido a su transparencia y a que su desempe o general es mayor 2 Pueden proporcionar una completa traducci n de direcciones de red adem s de que ocultan la topolog a de la red 3 Soportan m s mecanismos avanzados de autenticaci n de nivel de usuario Ataques e intrusiones Podemos definir como ataques todas aquellas acciones que suponen una violaci n de la seguridad de nuestro sistema confidencialidad integridad o disponibilidad Estas acciones se pueden clasificar de modo gen rico seg n los efectos causados como e Interrupci n cuando un recurso
15. a web del fabricante puede tener tambi n cierta informaci n interesante de cara al usuario primerizo Para probar el nivel de seguridad de un firewall hardware se pueden usar herramientas de terceros o buscar en Internet un servicio gratuito de prueba de firewalls online La prueba del firewall es una parte muy importante del mantenimiento ya que sirve para saber si el firewall est bien configurado y la protecci n que nos ofrece es ptima Entre los principales fabricantes de firewalls hardware destacan Checkpoint y Cisco P gina 6 Firewalls software Estos programas son los m s comunes en los hogares ya que a parte de resultar mucho m s econ micos que el hardware su instalaci n y actualizaci n es m s sencilla Eso s presentan algunos problemas inherentes a su condici n consumen recursos del PC algunas veces no se ejecutan correctamente o pueden ocasionar errores de compatibilidad con otro software instalado Actualmente los sistemas operativos m s modernos como Windows XP y Linux integran soluciones b sicas de firewall en algunos casos como en el software libre son muy potentes y flexibles pero requieren un gran conocimiento en redes y puertos necesarios para las aplicaciones Para no tener problemas existen una serie de herramientas externas que facilitan este trabajo de protecci n Para los usuarios normales la mejor opci n de firewalls es un firewall software Los firewalls software se instalan en e
16. antallas etc y poder controlar esto con contrase a La idea es impedir que alguien se conecte a Internet cuando no estamos nosotros en la computadora Sin embargo tenga en cuenta que la conexi n telef nica igualmente se realiza con su costo correspondiente s lo que no se puede navegar ni bajar o subir correo etc Cualquiera podr a intentar conectarse en su ausencia y si bien no podr a hacer nada la cuenta telef nica seguir a corriendo t ngalo en cuenta Por lo pronto olvid monos de esta opci n Program Control Choose Medium program Program Control control for the first few days you use ZoneAlarm Medium This lets ZoneAlarm learn P and secure your programs aa Choose High program control after you have used your browser e mail chat nd other Internet programs a se tie Lock at least once Program Control Off Automatic Option Enable the On Automatic Lock if you leave your computer online and Off unattended for long periods En la leng eta Programs no hacemos nada Es aqu donde ir quedando la lista de los programas a los que les permitamos ingresar a Internet Internet Explorer Outlook Express GetRight el antivirus etc Si alguna vez queremos borrarlo de la lista o modificar su acci n lo podremos hacer desde aqu Alerts amp Logs Nos muestra dos pesta as Main y Log Viewer En Main Alert Events Shown debe estar en Off de lo contrario nos volveremos parano
17. ble O O ACCEPT udp any any anywhere anywhere udp spt domain O O REJECT udp any any anywhere anywhere reject with icmp port unreachable Chain FORWARD policy ACCEPT 0 packets 0 bytes pkts bytes target prot opt in out source destination Chain OUTPUT policy ACCEPT 15046 packets 4218K bytes pkts bytes target prot opt in out source destination De modo que nuestro peque o y b sico firewall dom stico ya est configurado Nuestro equipo es ahora much simo m s seguro puesto que los ataques a nuestro sistema requerir an ahora mucha m s elaboraci n tiempo y esfuerzo por parte del atacante de manera que nuestra condici n de insignificantes ya empezar a ser importante como garante de seguridad Guardar y reusar nuestra configuraci n de iptables Pero si una vez realizadas estas configuraciones apag semos nuestro equipo todo esto se perder a y tendr amos que volver a realizar una a una las sentencias de configuraci n Para evitar esto iptables cuenta con dos programas auxiliares iptables save e iptables restore el primero de los cuales nos permite sacar por salida est ndar el contenido de nuestras tablas IP y el segundo nos permite a partir de la salida generada por iptables save recuperar la configuraci n de las tablas P gina 16 De manera que para volcar la configuraci n de nuestro firewall en un fichero ejecutaremos sbin iptables save c gt fichero Donde e es una opc
18. caci n agregado puede localizarse en el firewall en lugar de en cada sistema al cual se necesita tener acceso desde Internet P gina 3 Tambi n hay que tener en cuenta la seguridad interna Frecuentemente se da mucho nfasis a un firewall pero si un hacker irrumpe en un sistema a menos que ste tenga algunas pol ticas de seguridad interna en funcionamiento la red quede expuesta Por esta raz n muchas veces podr a ser buena idea poner el servidor a disposici n de internet fuera del firewall Es muy probable que los servicios queden expuestos a las amenazas de Internet pero se podr a tener f cilmente una r plica del servidor dentro del firewall y que estuviera disponible para una recuperaci n r pida Tambi n se podr a mantener toda la configuraci n del sistema del servidor externo en un dispositivo de almacenamiento volvi ndolo as seguro contra modificaciones La privacidad debe ser una gran preocupaci n para toda red corporativa debido a que lo que normalmente se considerar a informaci n inocua en realidad podr a contener pistas tiles para un hacker Otra ventaja es que al pasar a trav s de un firewall todo el acceso hacia y desde Internet se puede llevar un registro de los accesos y proporcionar estad sticas valiosas sobre el uso de la red Ventajas de los firewalls Los firewalls en Internet administran los accesos posibles de Internet a la red privada Sin un firewall cada uno de los servidores propios del sis
19. de aplicaci n Socks Debilidades 1 Son vulnerables ante los ataques dirigidos a protocolos superiores a los del protocolo del nivel de red ya que ste es el nico nivel que comprenden 2 Debido a que el protocolo de nivel de red requiere ciertos conocimientos acerca de sus detalles t cnicos y que no todos los administradores cuentan con ellos los firewalls de filtrado de paquetes son por lo general m s dif ciles de configurar y de verificar lo cual incrementa los riesgos de tener sistemas con configuraciones err neas agujeros en la seguridad y fallas 3 No pueden ocultar la topolog a de red privada y por lo tanto exponen a la red privada al mundo exterior 4 No todas las aplicaciones de Internet est n soportadas por los firewalls de filtrado de paquetes 5 Estos firewalls no siempre soportan algunas de las cl usulas de las pol ticas de seguridad como la autenticaci n de nivel de usuario y el control de acceso por hora del d a De nivel de aplicaci n Este tipo de firewalls proporcionan control de acceso en el nivel de aplicaci n Por lo tanto act a como una puerta de enlace al nivel de aplicaci n entre dos redes Debido a que estos firewalls funcionan en este mismo nivel tienen la capacidad de examinar el tr fico con detalle lo cual hace que sean m s seguros que los firewalls de filtrado de paquetes Adem s este tipo de firewall generalmente es m s lento que el de filtrado de paquetes debido al exame
20. dican lo que se debe hacer con el paquete Los m s usados son bastante expl citos ACCEPT DROP y REJECT pero tambi n hay otros que nos permiten funcionalidades a adidas y algunas veces interesantes LOG MIRROR En cuanto a los paquetes el total del sistema de filtrado de paquetes del kernel se divide en tres tablas cada una con varias chains a las que puede pertenecer un paquete de la siguiente manera e filter Tabla por defecto para los paquetes que se refieran a nuestra m quina INPUT Paquetes recibidos para nuestro sistema FORWARD Paquetes enrutados a trav s de nuestro sistema OUTPUT Paquetes generados en nuestro sistema y que son enviados e nat Tabla referida a los paquetes enrutados en un sistema con Masquerading PREROUTING Para alterar los paquetes seg n entren OUTPUT Para alterar paquetes generados localmente antes de enrutar POSTROUTING Para alterar los paquetes cuando est n a punto para salir e mangle Alteraciones m s especiales de paquetes PREROUTING Para alterar los paquetes entrantes antes de enrutar OUTPUT Para alterar los paquetes generados localmente antes de enrutar Dado que el soporte para el firewall est integrado en el kernel de Linux Netfilter para poder usar iptables tendremos que asegurarnos de que nuestro n cleo admite el uso de iptables y que a adimos a la configuraci n del n cleo todos aquellos targets que vayamos a necesitar aunque siempre es bueno tener los
21. direcci n IP singular e i interfaz entrada Especificaci n del interfaz por el que se recibe el paquete e o interfaz salida Interfaz por el que se va a enviar el paquete e f Especifica que la regla se refiere al segundo y siguientes fragmentos de un paquete fragmentado Si se antepone se refiere s lo al primer paquete o a los paquetes no fragmentados e j target Nos permite elegir el target al que se debe enviar ese paquete esto es la acci n a llevar a cabo con l Algunas de las opciones que se permiten en los comandos de arriba son e v Modo verboso til sobre todo con iptables L e n las direcciones IP y n meros de puertos se mostrar n num ricamente sin resolver nombres e line numbers Muestra los n mero de regla de cada regla de manera que sea m s f cil identificarlas para realizar operaciones de inserci n borrado Creaci n del firewall Para crear nuestro firewall iremos introduciendo una a una las reglas que necesitamos Primera regla permitiremos cualquier tr fico que provenga de nuestro interfaz de loopback lo para ello insertaremos en el chain INPUT que se encarga de los paquetes que llegan con destino a nuestra m quina de la tabla filter la siguiente regla sbin iptables A INPUT i lo j ACCEPT P gina 14 Atenci n es importante aqu respetar las may sculas pues los nombres del chain y del target son INPUT y ACCEPT no input o accept Segunda regla
22. ditor ai B GSpot Codec ID Utility 2 21 8 Intemet Explorer WE Kaspersky Anti Virus Personal o Macromedia Dreamweaver Mx 2004 a Macromedia Extension Manager E makeavis Ruta Ct rchivos de programa Codec Pack de ELI Examinar Cambiar mbito Cancelar Si no se encuentra en la lista puede buscarlo pulsando el boton Examinar el cual le abrir un Explorador de Archivos de su PC El Firewall detecta autom ticamente los puertos que usa el programa seleccionado y los abre cuando ese programa se ejecuta cerr ndolos cuando el programa se cierra Aunque seleccionando un programa en el cuadro de di logo de Excepciones y pulsando el bot n Modificar podemos controlar individualmente los puertos que se abren al ejecutar el programa Modificar unservico Puede configurar individualmente los puertos asociados con este servicio Para abrir un puerto active su casilla de verificaci n mbito Subred TCP 445 Subred UDP 137 Subred UDP 138 Subred Nombre Cambiar mbito Cancelar Desde la ventana de excepciones tambi n es posible a adir simplemente puertos tanto TCP como UDP pulsando en el bot n Agregar puerto P gina 22 Agregar un puerto xj Use esta configuraci n para abrir un puerto a trav s de Firewall de Windows Para encontrar el n mero y protocolo del puerto consulte la documentaci n del programa o servicio que desea usar Nombre NEWS
23. e suelen encontrarse integrados en routers de banda ancha y deber an ser considerados una parte importante de cara a la configuraci n de una red especialmente cuando se usa una conexi n de banda ancha Los firewalls hardware pueden ser efectivos con muy poca o ninguna configuraci n previa y pueden proteger todas las m quinas de una red local La mayor a tienen como m nimo cuatro puertos para conectarse a otras m quinas pero para redes m s grandes existen otras soluciones de negocio Los firewalls hardware usan filtrado de paquetes para examinar la cabecera de un paquete y as determinar su origen y su destino Esta informaci n se compara con un conjunto de reglas predefinidas o creadas por el usuario que determinan si el paquete tiene que ser redirigido o descartado Como con cualquier otro dispositivo electr nico un usuario con conocimientos generales sobre inform tica puede conectar un firewall ajustar unas cuantas opciones y ponerlo a funcionar De todas formas para asegurarse de que un firewall est configurado para una protecci n y seguridad ptimas podr a ser necesario aprender las caracter sticas espec ficas del modelo de firewall instalado c mo activarlas y c mo probar el firewall para asegurarse de que est protegiendo la red de forma correcta No todos los firewalls son iguales por lo que es muy importante leer el manual de instrucciones y toda la documentaci n que viene con el producto Adicionalmente la p gin
24. equipo o lo usen para propagarse e No impide que el usuario abra correo electr nico con archivos adjuntos peligrosos No abra archivos adjuntos de correo electr nico que provenga de remitentes que no conozca Incluso aunque conozca y conf e en el origen del mensaje debe actuar con precauci n Si alguien a quien conoce le env a un archivo adjunto en el correo electr nico observe la l nea de asunto cuidadosamente antes de abrirlo Si la l nea de asunto parece un galimat as o no tiene sentido para usted consulte al remitente antes de abrirlo e No impide que el correo no solicitado o spam aparezca en la bandeja de entrada Sin embargo algunos programas de correo electr nico pueden servir de ayuda en ese prop sito Configuraci n del Firewall El acceso a la configuraci n del Firewall tambi n es directamente accesible desde el panel de control donde podremos encontrar un icono que pone Firewall de Windows que al pulsarlo nos muestra el siguiente cuadro de dialogo P gina 19 Firewall de Windows General Excepciones Opciones avanzadas Firewall de Windows est ayudando a proteger su equipo Firewall de Windows ayuda a proteger su equipo al impedir que usuarios sin autorizaci n obtengan acceso a su equipo a trav s de Internet o una red Y os Esta configuraci n no permite que ning n origen externo se conecte al equipo excepto aqu llos seleccionados en la ficha Excepciones C No permitir excepciones
25. es of Hardware amp Software Firewalls http www webopedia com DidY ouknow Hardware Software 2004 firewall types asp 10 Configuraci n de un firewall en Linux con iptables El Rinc n del Programador http www elrincondelprogramador com default asp pag articulos leer asp amp id 14 11 Windows Firewall http www uned es csi sistemas secure seguridad docs xp firewall htm 12 C mo configurar Zone Alarm http www vsantivirus com za htm 13 Seguridad Firewall Firewall por hardware o software http www dric com mx seguridad firewall firewalll php cat 4 amp scat 4 P gina 35
26. i n que nos permite guardar los contadores del n mero de paquetes que activaron cada regla Y cuando queramos podremos recuperar la configuraci n del firewall con sbin iptables restore c lt fichero En cuyo caso c tiene el mismo significado que con iptables save Estas llamadas a iptables save e ipatbles restore podr n ser incluidas en los scripts adecuados para que se lleven a cabo de manera autom tica en el arranque y el cierre del sistema En caso de ser usuarios de Red Hat Linux a partir de su versi n 7 1 una vez configurado el firewall con iptables tal y como se ha descrito en este articulo y una vez salvada la configuraci n con iptables save en el archivo etc sysconfig iptables se pueden activar los scripts que arrancar n y cerrar n el firewall autom ticamente al arrancar y apagar el equipo mediante la Text Mode Setup Utility usr sbin setup en la secci n System Services P gina 17 Windows Firewall El firewall de Windows El sistema operativo Windows XP con Service Pack 2 SP2 incluye un Firewall llamado hasta ahora Servidor de seguridad de conexi n a Internet o ICF que est activado de forma predeterminada Esto significa que la mayor parte de los programas no podr n aceptar comunicaciones de Internet que no hayan solicitado a menos que decida catalogarlos como excepciones Hay dos programas que de manera predeterminada se agregan a la lista de excepciones y pueden aceptar comunicaciones no
27. icos con el anuncio de cada ping paquete de control y otras lindezas que suelen mandarnos algunos sitios adem s de todas las posibles intrusiones externas Pero es importante tener en cuenta que no ver las alertas no significa que estemos desprotegidos sino que ZA nos mantendr protegidos sin molestarnos P gina 32 Alert Events Shown On Do not show any informational alerts Program alerts will still be displayed En la pesta a Log Viewer veremos la lista de posibles intrusiones etc Tiene s lo valor documental y rara vez debemos apelar a examinar su contenido E Mail Protection Las opciones son On y Off para Basic MailSafe La dejamos en ON En la versi n gratuita del ZA esto nos protege de la ejecuci n de adjuntos con extensi n VBS solamente Basic MailSafe Settings On Basic Mail5 ate 1 enabled Observaciones No existen problemas destacables en mantener la configuraci n de Internet Zone Security en FIREWALL en m xima seguridad High es m s es aconsejable mantener esta opci n en High De cualquier modo podemos perfectamente bajar esta configuraci n a Medium y luego subirla a High si tuvi ramos alguna dificultad con la conexi n a alg n sitio en particular Y todo ello en caliente o sea que los cambios son tomados en el momento La opci n HIGH vuelve invisible a nuestro PC ante los ojos del mundo exterior en cambio la opci n MEDIUM deja el PC visible pero igualme
28. l espacio de direccionamiento acortando y eliminando lo necesario para reenumerar cuando la organizaci n cambie de Proveedor de Servicios de Internet ISP P gina 4 Un firewall de Internet es el punto perfecto para auditar o registrar el uso de Internet Esto permite al administrador de red justificar el gasto que implica la conexi n a Internet localizando con precisi n los cuellos de botella potenciales del ancho de banda y promueve el m todo de cargo a los departamentos dentro del modelo de finanzas de la organizaci n Tambi n ofrece un punto de reuni n para la organizaci n Si una de sus metas es proporcionar y entregar servicios informaci n a consumidores el firewall de Internet es ideal para desplegar servidores WWW y FTP La preocupaci n principal del administrador de red son los m ltiples accesos a Internet que se pueden registrar con un monitor y un firewall en cada punto de acceso que posee la organizaci n hacia el Internet Estos dos puntos de acceso significan dos puntos potenciales de ataque a la red interna que tendr n que ser monitorizados regularmente Limitaciones de los firewalls Un firewall no puede protegerse contra aquellos ataques que se efect en fuera de su punto de operaci n Por ejemplo si existe una conexi n sin restricciones que permita entrar a nuestra red protegida el usuario puede hacer una conexi n SLIP o PPP al Internet Los usuarios suelen irritarse cuando se requiere una autenticaci
29. l ordenador como cualquier otro programa y pueden ser configurados de diversas maneras permitiendo cierto control sobre su funcionalidad y sus caracter sticas de protecci n Los firewalls software protegen el ordenador ante ataques externos que intentan obtener el control de la m quina o conseguir acceso a la misma y dependiendo del programa de firewall puede tambi n proporcionar protecci n contra los virus troyanos y gusanos m s comunes Muchos firewalls software tienen controles definidos por el usuario para establecer una compartici n segura de archivos e impresoras y para bloquear aplicaciones no seguras e impedir que se ejecuten en el sistema Adicionalmente los firewalls software pueden incorporar tambi n controles de privacidad filtrado de webs y mucho m s Lo malo que tiene este tipos de firewalls es que al contrario de lo que ocurre con los firewalls harware los firewalls software s lo protegen el ordenador en el que est n instalados y no protegen la red entera as que cada ordenador necesitar tener instalado el firewall software Al igual que ocurre con los firewalls hardware hay un gran n mero de firewalls software en el mercado Debido a que el firewall software debe estar siempre ejecut ndose en cada ordenador deber a tenerse en cuenta los recursos que necesita para ejecutarse y tambi n es importante comprobar que no haya ninguna incompatibilidad de cara a la elecci n del firewall software Un buen firewall softwa
30. m s posibles P gina 12 PONER CG IP Met liter Configuration Commection trackang required far masy NAT FTP protocol support IRC protocol support Userspace queueing via ME TLIMA DPERIMENTAL WP tables support required for filtermgimasa NA 1 Hnit match support MAC ataress match support netfilter MARK match support Madtiple port match support TOS match support LENGTH match support TTL match support Icpeiss match support Connec tien state match support Next Caracter sticas del firewall a crear Para crear nuestro sencillo firewall dom stico tendremos primero que preguntarnos qu es lo que deseamos que haga Lo m s usual en un equipo que se usa para conexiones a Internet de manera normal no es servidor de nada etc es que deseemos de nuestro firewall lo siguiente e Que permita realizar conexiones TCP hacia afuera de nuestra m quina si no no podr amos hacer casi nada e Que no permita realizar conexiones TCP desde afuera hacia nuestra m quina para evitar que alguien intente conectarse a nuestros servidores web ftp telnet X e Que permita el tr fico de paquetes TCP paquetes que no establezcan conexiones en ambas direcciones pues necesitamos tr fico bidireccional de paquetes al usar casi cualquier cosa en Internet e Que prohiba el tr fico UDP desde afuera de nuestra m quina a excepci n del necesario para las respuestas por parte de nuestros servidores DNS que provendr n de su p
31. n adicional requerida por un Firewall Proxy Server FPS lo cual puede ser provocado por un sistema de seguridad que esta incluido en una conexi n directa SLIP o PPP del ISP El firewall no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes El firewall no puede prohibir que los traidores o esp as corporativos copien datos privados en dispositivos de almacenamiento externo y substraigan los datos del edificio El firewall no puede proteger contra los ataques de la Ingenier a Social por ejemplo un hacker que pretende ser un supervisor o un nuevo empleado despistado persuade al menos sofisticado de los usuarios a que le permita usar su contrase a al servidor del corporativo o que le permita el acceso temporal a la red El firewall no puede protegerse contra los ataques posibles a la red interna por virus inform ticos a trav s de archivos y software El firewall no puede contar con un sistema preciso de escaneado para cada tipo de virus que se puedan presentar en los archivos que pasan a trav s de el La soluci n real est en que la organizaci n debe instalar software antivirus en cada despacho para protegerse de los virus que llegan ya sea por Internet o por cualquier dispositivo f sico Finalmente el firewall no puede protegerse contra los ataques posibles en la transferencia de datos estos ocurren cuando aparentemente datos inocuos son enviados o copiados a un servidor interno y son ejecutado
32. n riguroso del tr fico Por P gina 8 lo tanto hasta cierto grado son molestos restrictivos y com nmente requieren que los usuarios cambien su comportamiento o que utilicen un software especial con el fin de lograr los objetivos de las pol ticas Por este motivo los firewalls de nivel de aplicaci n no son transparentes para los usuarios Enrutador de filtrado PD PD de paquetes a Internet Gateway de aplicaci n Sistemas del sitio gt Ventajas 1 Debido a que entienden al protocolo de nivel de aplicaci n pueden defenderse en contra de todos los ataques 2 Por lo general son mucho m s f ciles de configurar debido a que no requieren que se conozcan todos los detalles acerca de los protocolos de los niveles m s bajos 3 Pueden ocultar la topolog a de la red privada 4 Pueden soportar m s pol ticas de seguridad incluyendo la autenticaci n de nivel de usuario y el control de acceso de hora del d a Firewalls h bridos Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de aplicaci n algunos proveedores han introducido firewalls h bridos que combinan las t cnicas de los otros dos tipos Aunque estos productos h bridos intentan resolver algunas de las debilidades anteriormente mencionadas introducen varias debilidades inherentes en los firewalls de nivel de aplicaci n como las que se describieron en la lista anterior P gina 9 M quina del usuario M quin
33. nte SEGURO Existe una p gina web http grc com default htm seleccione Shields Up y luego Test My Shields y Probe My Ports que nos permite revisar la seguridad de los puertos de nuestro ordenador Podemos probarlo con el ZA activo Con la opci n HIGH el resultado va a ser STEALTH ocultos los puertos peligrosos existen pero est n invisibles para cualquier escaneo de puertos desde el exterior Con la opci n MEDIUM el resultado es la mayor a STEALTH y los puertos 79 Finger 80 HTTP 110 POP3 y 143 IMAP CLOSED cerrados lo que significa que el PC es reconocida est ah para quien escanea y para los sitios que necesitan esto para identificarnos como vivos P gina 33 para permitirnos bajar archivos por ejemplo pero lo m s importante est n CERRADOS lo que significa que nadie podr acceder por ellos a nuestro PC Recordemos que debemos sumar al ZA un buen antivirus que nos proteja de troyanos A n cuando el ZA nos avisa si un programa de nuestro PC intenta conectarse a Internet cosa que debemos permitir en el caso del Internet Explorer Outlook Express etc no ser a conveniente dejar que lo haga un programa que no conocemos Un antivirus complementar esta acci n identificando al troyano o gusano elimin ndolo si lo fuera Como siempre debemos tener muy claro que la principal barrera seguiremos siendo nosotros no ejecutando programas sin revisarlos antes con un antivirus al d a
34. podr comunicarse con la red Adem s como valor agregado el ZA impide que un virus del tipo gusano o que utilice el lenguaje VBS Visual Basic Script como el LoveLetter y tantos otros se propague a trav s del correo electr nico alert ndonos de su presencia Luego del proceso de instalaci n ejecutando el archivo que descargamos de Internet el ZA quedar en la bandeja de sistema Systray o sea lo veremos presente al lado del reloj Cuando nos conectemos a Internet por primera vez luego de ello el programa interceptar cualquier programa que intente conectarse DESDE nuestra computadora o cualquier intento de cualquier especie de conexi n de un programa o sitio HACIA nuestra computadora Simplemente debemos contestar la pregunta que el ZA nos har por cada programa que usemos por primera vez como el navegador el programa de correo etc si deseamos que se conecte siempre si lo deseamos hacer solo cuando el ZA nos pregunte o si no deseamos que se conecte nunca Lo ideal es decirle que se conecte siempre a cosas como el navegador y el programa de correo y lo dem s de acuerdo a su uso O dejar que nos pregunte cada vez que intente conectarse y ah decidir si lo dejamos o no Luego de este primer contacto es muy raro que el ZA nos vuelva a interrumpir con sus preguntas pero se mantendr alerta como fiel guardi n Configuraci n de Zone Alarm Abriendo el ZA con un doble clic sobre su icono se nos presenta
35. r expresamente el tr fico de los servicios que se necesiten e Pol tica permisiva Se permite todo el tr fico excepto el que est expl citamente denegado Cada servicio potencialmente peligroso necesitar ser aislado b sicamente caso por caso mientras que el resto del tr fico no ser filtrado La pol tica restrictiva es la m s segura ya que es m s dif cil permitir por error tr fico P gina 11 potencialmente peligroso mientras que en la pol tica permisiva es posible que no se haya contemplado alg n caso de tr fico peligroso y sea permitido por defecto Configuraci n de un firewall en Linux con iptables Qu es iptables iptables es la herramienta que nos permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux desde su versi n 2 4 en 2 2 era ipchains Con esta herramienta podremos crearnos un firewall adaptado a nuestras necesidades Su funcionamiento es simple a iptables se le proporcionan unas reglas especificando cada una de ellas unas determinadas caracter sticas que debe cumplir un paquete Adem s se especifica para esa regla una acci n o target Las reglas tienen un orden y cuando se recibe o se env a un paquete las reglas se recorren en orden hasta que las condiciones que pide una de ellas se cumplen en el paquete y la regla se activa realizando sobre el paquete la acci n que le haya sido especificada Estas acciones se plasman en los que se denominan targets que in
36. r un archivo de registro para fines de ig Configuraci n resoluci n de problemas ICMP Con el Protocolo de mensajes de control de Interet ICMP los equipos en una red pueden compartir informaci n de errores y de estado Configuraci n Configuraci n predeterminada Para restaurar toda la configuraci n de Restaurar valores predeterminados Firewall de Windows al estado predeterminado haga clic en Restaurar valores predeterminados El apartado m s interesante es el que afecta a las conexiones ya que nos permite gestionar todo lo anterior pero esta vez por conexi n lo que en caso de disponer por ejemplo de una tarjeta de red y un m dem nos permitir gestionar cada uno de ellos de manera diferente Por ltimo destacar el bot n que nos permite restaurar los valores por defecto extremadamente til si nos encontramos de pruebas P gina 25 Configuraci n avanzada Servicios Seleccione los servicios que se est n ejecutando en su red y a los que los usuarios de Internet puedan tener acceso Servicios E Conexi n entrante VPN L2TP O Conexi n entrante VPN PPTP O Escritorio remoto O Internet Mail Access Protocol Versi n 3 IMAP3 O Internet Mail Access Protocol Versi n 4 IMAP4 O Intemet Mail Server SMTP O Post Office Protocol Versi n 3 POP3 O Seguridad IP IKE O Servidor de FTP O Servidor Telnet O Servidor Web HTTP O Servidor Web seguro HTTPS Por l
37. re se ejecutar en segundo plano en el sistema y usar s lo una peque a parte de los recursos del mismo Es importante monitorizar el firewall software una vez instalado y descargar e instalar las actualizaciones disponibles peri dicamente Las diferencias entre los dos tipos de firewalls son amplias y la mejor protecci n para una red es utilizar los dos ya que cada uno ofrece caracter sticas de seguridad diferentes Actualizar el firewall y el sistema operativo es esencial para mantener una protecci n optima as como comprobar que el firewall est conectado y funcionando correctamente P gina 7 Principales tecnolog as para los firewalls hardware Filtrado de paquetes Este tipo de firewall proporciona control de acceso en el nivel IP y acepta o rechaza los paquetes bas ndose en el origen en las direcciones de la red de destino y en tipo de aplicaciones Los firewalls de filtrado de paquetes proporcionan un nivel de seguridad muy simple por un precio relativamente econ mico Este tipo de firewalls por lo general son transparentes para los usuarios M quina del usuario M quina del firewall Usuario Configuraci n del filtro de aplicaciones del flujo de datos dirigido hacia del usuario foo com foo com Red no No Si confiable i Recipiente de bits IP D gt IP a E o Z Forward Interfaz de red Interfaz Interfaz de red de red Firewall de gateway
38. red Su modo de funcionar es indicado por la recomendaci n RFC 2979 que define las caracter sticas de comportamiento y requerimientos de interoperabilidad La ubicaci n habitual de un cortafuegos es el punto de conexi n de la red interna de la organizaci n con la red exterior que normalmente es Internet de este modo se protege la red interna de intentos de acceso no autorizados desde Internet que puedan aprovechar vulnerabilidades de los sistemas de la red interna Tambi n es frecuente conectar al firewall una tercera red llamada zona desmilitarizada o DMZ en la que se ubican los servidores de la organizaci n que deben permanecer accesibles desde la red exterior Si est correctamente configurado un firewall a ade protecci n a una instalaci n inform tica pero en ning n caso debe considerarse como suficiente La Seguridad inform tica abarca m s mbitos y m s niveles de trabajo y protecci n Tambi n puede ofrecer control de acceso a los sistemas de un sitio Por ejemplo algunos servidores pueden ponerse al alcance de redes externas mientras que otros pueden cerrarse de una manera efectiva al acceso no deseado Un firewall para una organizaci n en que la mayor a del software modificado y el software de seguridad adicional puede localizarse en el sistema de firewall puede resultar menos costoso que si se distribuye en cada servidor o m quina En particular los sistemas de contrase a desechables y otro software de autenti
39. s creando un ataque Por ejemplo una transferencia de datos podr a causar que un servidor modificara los archivos relacionados a la seguridad haciendo m s f cil el acceso de un intruso al sistema P gina 5 Tipos de firewalls Los Firewall tradicionales son de hardware es decir un dispositivo espec fico instalado en una red para levantar una defensa y proteger a la red del exterior Son utilizados en entornos profesionales el administrador de red define una serie de reglas para permitir el acceso y detiene los intentos de conexi n no permitidos Los Firewall personales son programas que filtran el tr fico que entra y sale de una computadora Una vez instalados el usuario debe definir el nivel de seguridad permite o deniega el acceso de determinados programas a Internet de forma temporal o definitiva y autoriza o no los accesos desde el exterior Firewalls hardware Los firewall de hardware se utilizan m s en empresas y grandes corporaciones Normalmente son dispositivos que se colocan entre el router y la conexi n telef nica Como ventajas podemos destacar que al ser independientes del PC no es necesario configurarlos cada vez que reinstalamos el sistema operativo y no consumen recursos del sistema Su mayor inconveniente es el mantenimiento ya que son dif ciles de actualizar y de configurar correctamente Los firewalls hardware pueden ser adquiridos como un producto independiente pero recientemente los firewalls hardwar
40. si desea bloquear o desbloquear permitir la conexi n Ver una ventana como la que se muestra a continuaci n P gina 18 E Windows Security Alert R A To help protect your computer Windows Firewall has blocked some features of this program Do you want to keep blocking this program Name AOL Instant Messenger Publisher Amenca Onine Inc keep Blecking Unbiock _ sk me Later _ Windows Firewall has blocked this program from accepting connections from the Intemet or a network If pou recognize the program or trust the publisher you can unblock R When should unblock a program Si elige desbloquear la conexi n Firewall de Windows crea una excepci n de modo que el servidor de seguridad no se interpondr cuando ese programa tenga que recibir informaci n en el futuro Qu hace y qu no hace e Ayuda a evitar que virus y gusanos inform ticos lleguen a un equipo e Pide el permiso del usuario para bloquear o desbloquear ciertas solicitudes de conexi n e Crea un registro de seguridad si desea tener uno que almacene los intentos correctos y fallidos de conectarse a un equipo Esto puede ser de utilidad como herramienta de soluci n de problemas e No detecta o deshabilita los virus y gusanos inform ticos si ya se encuentran en el equipo Por ese motivo deber a instalar tambi n software antivirus y mantenerlo actualizado para ayudar a impedir que virus gusanos y otras amenazas para la seguridad da en el
41. sistema No hay que cambiar nada en principio Es s lo una pantalla informativa PRODUCT INFO s lo nos muestra informaci n de la versi n del producto y otros datos relacionados No hay que cambiar ninguna informaci n importante all Status A Product Info Version Information Zone larm version 3 1 395 TrueVector security engine version 3 1 395 Driver version 3 1 395 En PREFERENCES la informaci n b sica durante la instalaci n no es necesario cambiarla salvo la opci n Hide my IP address when applicable que oculta nuestra direcci n IP cuando se P gina 29 env a un alerta a Zone Labs Preferences Manually General T Show Zone larm on top during Internet activity M Load Zone larm at startup M Remember the last tabs visited in the panels Explanatory text within panels 4 Show Hide Color Scheme ZoneAlarm Orange More colors available in Zone arm Pro Contact with Zone Labs Whenever request info from Zone Labs that requires information from me M Alert me with a pop up before make contact T Hide my IP address when applicable M Hide the last octet of my IP address when applicable Firewall Nos muestra dos pesta as Main y Zones En Main la opci n Internet Zone Security la dejamos en High ver en observaciones m s adelante P gina 30 Firewall internet Zone Security High The firewall protects you from dangerous traffic It has two Zones
42. tema les realice alguna consulta Estas respuestas v a UDP saldr n del puerto 53 del servidor DNS La regla pues ser sbin iptables A INPUT p udp source port 53 j ACCEPT Donde source port es una opci n presente cuando el protocolo es udp tambi n cuando es tcp y nos permite en este caso especificar que la consulta provenga del puerto destinado al DNS Quinta regla Prohibimos ahora el resto del tr fico UDP La regla de por s implica a todo el tr fico UDP pero como un paquete s lo activar esta regla si no ha activado la anterior los paquetes UDP referentes a una transacci n con un servidor de nombres no se ver n afectados P gina 15 sbin iptables A INPUT p udp j REJECT reject with icmp port unreachable Dado que los targets por defecto denominados policy o pol tica en la tabla filter son ACCEPT si un paquete no activa ninguna de las reglas ser aceptado de manera que no tendremos que preocuparnos de por ejemplo los paquetes de tr fico normal de TCP ya que estos ser n aceptados al no activar regla alguna Si ahora escribimos sbin iptables L v Deber amos obtener algo como Chain INPUT policy ACCEPT 3444 packets 1549K bytes pkts bytes target prot opt in out source destination 11312 3413K ACCEPT all lo any anywhere anywhere O O ACCEPT all eth0 any anywhere anywhere O O REJECT tcp any any anywhere anywhere tcp flags SYN RST ACK SYN reject with icmp port unreacha
43. tema se exponen al ataque de otros servidores en el Internet Esto significa que la seguridad en la red privada depende de la dureza con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema El firewall permite al administrador de la red definir un choke point embudo manteniendo al margen los usuarios no autorizados hackers crakers esp as etc fuera de la red prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red y proporcionar la protecci n para varios tipos de ataques posibles Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administraci n ya que se consolida la seguridad en el sistema firewall lo que es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada El firewall ofrece un punto donde la seguridad puede ser monitorizada y si aparece alguna actividad sospechosa ste generar una alarma ante la posibilidad de que ocurra un ataque o suceda alg n problema en el transito de los datos Esto es muy importante de cara a que el administrador audite y lleve un registro del tr fico significativo a trav s del firewall Tambi n es importante que el administrador de la red responda a las alarmas y examine regularmente los registros de base Un firewall es un lugar l gico para desplegar un Traductor de Direcciones de Red NAT esto puede ayudar aliviando e
44. timo en el apartado de configuraci n ICMP podemos deshabilitar el que equipos externos nos hagan Ping para saber si nuestra m quina est encendida Para ello desmarque Permitir solicitud de eco entrante aunque si tenemos activo el servicio SMB en el puerto TCP 445 estas solicitudes se permiten autom ticamente P gina 26 Configuraci n de ICMP x ICMP Protocolo de mensajes de control de Internet permite a los equipos de una red compartir informaci n de estado y errores Seleccione las solicitudes de informaci n de Internet a las que este equipo responder a Permitir solicitud de eco entrante O Permitir solicitud de marca de tiempo entrante O Permitir solicitud de m scara entrante O Permitir solicitud de enrutador entrante O Permitir destino inalcanzable externa O Permitir paquete de control de flujo saliente O Permitir problema de par metro saliente O Permitir tiempo excedido saliente O Permitir redirecci n O Permitir un paquete saliente demasiado grande x Descripci n Una copia de cada mensaje recibido por este equipo se enviar al emisor se usa para solucionar problemas p e para hacer ping a un equipo Estas solicitudes se permiten autom ticamente si el puerto TCP 445 est habilitado Cancela C mo configurar Zone Alarm Introducci n Los troyanos que pueden instalarse en el mismo y robarnos informaci n Los escaneos a que nos vemos enfrentados cada ve
45. uerto UDP 53 e En caso de tener una intranet que no aplique estas restricciones al tr fico proveniente de y enviado hacia la intranet ya que en esta red interna probablemente s nos interese poder acceder remotamente a nuestra m quina Uso b sico de iptables Para crear nuestro firewall necesitaremos ejecutar algunos comandos b sicos sobre iptables e Para crear una nueva regla al final de las ya existentes en una chain determinada sbin iptables A chain especificacion de la regla opciones e Para insertar una regla en una posici n determinada de la lista de reglas de una chain determinada sbin ipt bles I chain posici n P gina 13 especificacion de la regla opciones e Para borrar una regla en una posici n determinada de la lista de reglas de una chain determinada sbin iptables D chain posici n e Para todas las reglas de una chain determinada S sbin iptables F chain e Para listar las reglas de una chain determinada S sbin iptables L chain La especificaci n de reglas se hace con los siguientes par metros especificando aquellos que se necesite e p protocolo Protocolo al que pertenece el paquete e s origen Direcci n de origen del paquete puede ser un nombre de host una direcci n IP normal o una direcci n de red con m scara de forma direcci n m scara e d destino Al igual que el anterior puede ser un nombre de host direcci n de red o
46. una sencilla configuraci n de solo cinco opciones e Overview Firewall Program Control Alerts amp Logs E Mail Protection Existen tambi n en la parte superior un bot n rojo con la leyenda STOP y un candado P gina 28 El candado nos deja bloqueado el acceso a Internet de cualquier programa Incluso podemos agregarle una clave y su PC podr llamar al proveedor pero ning n programa podr comunicarse con la red El bot n rojo es una medida de seguridad que nos tranquiliza Si lo pulsamos todas las conexiones a la red se paralizan de inmediato Tambi n vemos al lado del bot n de STOP con la leyenda INTERNET unas barras que nos muestra el tr fico DE y HACIA nuestro PC simplemente sirve para ver si hay transferencia de datos activas o no y al lado del candado los iconos de los programas abiertos capaces de conectarse a Internet PROGRAMS Poniendo el cursor sobre ellos veremos su nombre Esta es la configuraci n aconsejada para sus principales opciones Ore Overview Tas vee Bhocos mes rot O b surere have been blocted rca mid pa O of hare have been begh tated Tutorial t here Overview Youre protected try lore babous Pi oti thon Tha feeval has block aci accect rots Ostbaud Protection 1 paganda soared foe inter 3900s E ad Protection p Made carertiy actre O aspect nal amactwert quarerdned Overview En la leng eta STATUS nos muestra el estado actual del programa y de nuestro
47. z que navegamos de quienes buscan una respuesta o una puerta abierta en nuestra computadora Y el mayor peligro que un troyano est activo y escuchando ZoneAlarm es una utilidad que viene en nuestra ayuda y es gratuita El concepto es simple ZA nos avisa que aplicaci n intenta conectarse a Internet y pone en nuestras manos el permit rselo o no Muy simple Si el Explorer o el Outlook intentan hacerlo cuando Ud los abre es l gico Pero que una misteriosa aplicaci n llamada xxxx exe lo intente no lo es y menos si nosotros no hemos ejecutado nada que tenga ese nombre Entonces simplemente le indicamos a ZA que no le permita conectarse ZoneAlarm controla los datos que fluyen de nuestro PC hacia la red y permite a los usuarios decidir qu aplicaciones pueden acceder el Internet Y si siente p nico un bot n rojo bloquea todas las conexiones P gina 27 ZoneAlarm tal vez no sea la panacea para quienes sientan temor del ataque de un cracker pero har m s segura su conexi n Y sin dudas es una herramienta imprescindible junto a un buen antivirus monitoreando Y lo es a n m s si su conexi n a Internet es dedicada ADSL cable m dem etc Es f cil de usar y no necesita conocimientos t cnicos como en el caso de otros firewalls cortafuegos Adem s permite que usted coloque un candado con clave para que cuando usted no est nadie pueda conectarse a Internet podr llamar al proveedor pero ning n programa
Download Pdf Manuals
Related Search