Está en la página 1de 68

MANUAL DE KERIO PERSONAL FIREWALL 4

Por daexma

(Revisin 1)

Editado por MATY.

Este manual viene acompaado con un archivo de texto leeme que contiene la firma MD5 de el propio manual en formato PDF, la firma MD5 confirmar que este manual no ha sido manipulado por otra persona, dicho archivo ha sido firmado con mi firma pblica PGP que asgura la autenticidad de el archivo MD5.

Artculo original disponible en NAUTOPIA. www.nautopia.org

http://www.beeeeee.net/nautopia/

http://nautopia.coolfreepages.com/

Esta publicacin es copyleft. Por tanto, se permite difundir, citar y copiar literalmente sus materiales, de forma ntegra o parcial, por cualquier medio y para cualquier propsito, siempre que se mantenga esta nota y se cite procedencia. Al publicar material en este sitio, l o la autora del envo asume que puede ser redistribuido libremente, salvo con las restricciones siguientes:

No est autorizada su reproduccin sin previo consentimiento en medios con nimo de lucro (publicidad abusiva o de contenidos restringidos, sean de pago o no) o violentos. Tales medios deben ser respetuosos con la Declaracin Universal de Derechos Humanos.

NAUTOPIA Copyleft 2003

MANUAL DE KERIO PERSONAL FIREWALL 4

INDICE DE CONTENIDOS. Prembulo. Introduccin.


Configuracin de Kerio Personal Firewall.

Pag 3 Pag 5 Pag 6 Pag 8 Pag 11 Pag 13 Pag 15 Pag 21 Pag 29 Pag 32 Pag 34 Pag 36 Pag 39 Pag 40 Pag 41 Pag 49 Pag 52 Pag 57

Primeros pasos. Overview. Modulos. Network Security. Packet Filter Rules.

System security. Intrusion detection. Web content filtering. Logs and alert.

Configuracin avanzada. Prioridades. Loopback. ICMP y IGMP. DNS. DHCP.

CERRANDO SERVICIOS Y OTROS POSIBLES AGUJEROS CONFIGURAR UNA RED NIST. PROGRAMAS DE USO HABITUAL Pag 60

1. Prembulo
Gran parte de la informacin aqu recogida pertenece la propia ayuda del KERIO, para que vamos a engaarnos, bastante buena pero en ingls (o checo, pero de este ltimo no domino muy bien las preposiciones por eso use la versin en ingles). Quizs algn da les d por hacer la ayuda y una versin del programa en Espaol. REQUERIMIENTOS DEL SISTEMA.

CPU Intel Pentium o 100% compatible. 64 MB de RAM. 8 MB de espacio libre en el disco (slo para instalacin, recomendados 10 MB para los archivos Log). Sistema Operativo Windows 98 / Me / NT 4.0 / 2000 / XP / Server 2003.

INSTALACIN, ACTUALIZACIN y DESINSTALACIN.

Instalacin: Ejecute el programa de instalacin. La ruta ha usar puede ser especificada durante la instalacin (C:\Archivos de Programa\Kerio\Personal Firewall 4 es la ruta por defecto). Es necesario reiniciar el ordenador para que el programa funcione. Actualizacin: La instalacin de una nueva versin se lleva acabo del mismo modo que la instalacin. No es necesario detener o cerrar la aplicacin ya que sta ser detenida y cerrada automticamente por el programa de instalacin. Es necesario reiniciar. Desinstalacin: Kerio Personal Firewall puede ser desinstalado usando la opcin agregar o quitar programas del Panel de Control de Windows. Los archivos creados despus de la instalacin (archivos de configuracin, logs, etc.) no sern eliminados. Si lo desea puede borrarlos a mano o conservarlos para una posterior instalacin.

CONFLICTOS CON OTRO SOFTWARE. Kerio Personal Firewall puede tener conflictos con ciertas aplicaciones que estn basadas en idnticas o similares caractersticas. No combine Kerio Personal Firewall con otros cortafuegos. VERSIN FREEWARE. Hay disponible dos versiones de Kerio Personal Firewall: Full (de pago) y Freeware (gratuita). El paquete de instalacin es el mismo para las dos versiones. Despus de la instalacin el programa funcionar como versin Full por un periodo de prueba de 30 das, si el producto no es registrado una vez transcurrido el periodo de prueba se transformar en una versin Freeware. La versin Freeware est limitada por las siguientes restricciones:

Slo se puede utilizar para uso personal y/o no comercial. El mdulo Web Content Filtering, incluidos sus logs y estadsticas, no estn disponibles (disponemos del gratuito y muy configurable PROXOMITRON). No se puede usar como Internet Gateway. Los logs no pueden enviarse al servidor Syslog (Syslog server). No se puede usar en ningn sistema operativo de versin Servidor, como Windows NT Server, Windows 2000 Server y Windows 2003 Server, al crearse una versin especfica.

COMPONENTES DE KERIO PERSONAL FIREWALL.

LOW-LEVEL-DRIVER (driver a bajo nivel): Este driver se implementa en el mismo corazn del sistema operativo que es cargado durante el inicio del windows. Se localiza entre los drivers de interfaces de red y el subsistema TCP/IP. Es por ello que es capaz de detectar y comprobar todo el trfico IP. PERSONAL FIREWALL ENGINE (motor del cortafuegos): Es el corazn de Kerio Personal Firewall. Se ejecuta como un servicio o en segundo plano (Windows 98/ME). PERSONAL FIREWALL GUI (interfaz grfica de usuario): La Interfaz Grfica de Usuario de Kerio Personal Firewall es ejecutada automticamente por el motor del cortafuegos cada vez que ste se ejecuta o detecta que el GUI no est funcionando.

2. Introduccin.
La Interfaz Grfica de Usuario de Kerio Personal Firewall es ejecutada automticamente por el motor del cortafuegos cada vez que ste se ejecuta o detecta que el GUI no est funcionando. Cuando est en marcha el GUI est representado por un icono en forma de escudo en la Bandeja del Sistema:

Icono de la Bandeja del Sistema. Haga clic con el botn derecho del ratn sobre este icono para abrir el dialogo de configuracin o usar otra opcin del men.

Disable Firewall - Esta opcin desactiva el cortafuegos. Use esta opcin para desactivar todos los mdulos de proteccin del cortafuegos. Stop all trafic - Esta opcin bloquea todo el trfico en el ordenador en el cual Kerio Personal Firewall est instalado. Esta funcin puede resultar muy til cuando una indeseable o extraa actividad de red es detectada, podremos reestablecer el trfico de red una vez hayamos tomado las acciones apropiadas. Register - Muestra la ventana para registrar el programa. About - Muestra informacin sobre la versin del programa y sus elementos, as como el tiempo de expiracin de la versin trial y tipo de licencia. Exit - Use esta opcin para cerrar el programa. El motor del cortafuegos se parar y cerrar el GUI, el Icono de la Bandeja se esconder. Configuration - Abre la ventana de configuracin de Kerio Personal Firewall.

CONFIGURACIN DE KERIO PERSONAL FIREWALL.


Kerio Personal Firewall es una aplicacin que protege los ordenadores personales de ataques externos (tpicamente desde Internet), bichos (virus, gusanos, troyanos, R.A.T., ... ) y de las propias aplicaciones que se ejecutan en nuestro PC (evitando, sobre todo, los chismorreos del windows, en especial del XP). Las siguientes funciones tambin estn disponibles en la ventana de configuracin:

STOP ALL TRAFFIC Use este botn (o la opcin en el men) para bloquear todo el trfico en el ordenador en el cual Kerio Personal Firewall est instalado. Esta funcin puede resultar muy til cuando una indeseable o extraa actividad de red es detectada, podremos reestablecer el trfico de red una vez hayamos tomado las acciones apropiadas.

LOGGING Cada mdulo crea un log independiente que es almacenado en un archivo de texto. Estos logs pueden ser vistos desde el dialogo de configuracin de Kerio Personal Firewall. Opcionalmente, estos logs pueden ser almacenados en un servidor Syslog (Syslog server).

3. Primeros Pasos. Configuracin inicial.


Durante el primer arranque despus de la instalacin, Kerio Personal Firewall detectar las interfaces de red activas en el ordenador donde est funcionando y mostrar un dialogo preguntando si la interfaz est conectada a una red de confianza (Trusted) para cada interfaz detectada. Una red Trusted es un red considerada como segura, tpicamente una red protegida de intrusiones externas y virus por un cortafuegos de red. Kerio Personal Firewall permite la definicin de diferentes reglas para redes trusted y para Internet (Ver Network Security).

Este dilogo proporciona un nombre (Name) a la correspondiente interfaz de red, as como su direccin IP y su mscara de red (Address). Use el botn "Yes, it is" si considera que la subred correspondiente a la interfaz de red es tan segura como para aadirla al grupo Trusted de direcciones IP. Use el botn "No it isn't" para considerar a la subred como parte de Internet. Para usuarios domsticos, stos seran los PC de los usuarios que se conectan a Internet a travs de la red de un mismo servidor ISP (Terra, Navegalia, Jazztel,..), por lo que en este caso la respuesta debe ser NO. Notas: 1. La configuracin de las direcciones IP de confianza pueden ser modificadas en cualquier momento desde la pestaa "Trusted rea" de el mdulo Network Security.. 2. Cada vez que una nueva interfaz es aadida o habilitada, o la interfaz se conecta a otra subred, el cortafuegos lo detectar y abrir el dialogo antes descrito. En caso de conexin por marcacin telefnica, el dialogo mostrar el nmero elegido para la correspondiente conexin en ese momento, si el cortafuegos detecta un cambio en ese numero de telfono, preguntar al usuario si acepta o no el cambio. Esto protege al usuario de los cambios de nmero indeseados.

Ventanas de alerta.
La transmisin de datos en Internet se lleva a cabo a travs de los protocolos TCP/IP, estos protocolos son tambin usados para la mayora del trfico en las redes locales, el protocolo esencial es IP (Internet Protocol). Los paquetes de este protocolo cargan con el resto de la informacin (encapsula otros protocolos). Kerio Personal Firewall controla todos los paquetes IP, lo que

implica que es capaz de cogerlos, obtener la informacin necesaria y dejarlos pasar o no. El logueado de todos los eventos, deteccin de intrusos, etc. tambin estn incluidos. Kerio Personal Firewall trabaja en el llamado "inspeccin de estado". Esto significa que crea un registro para cada conexin permitida y el cortafuegos bloquea todos los paquetes que no pertenecen a esa conexin. Kerio Personal Firewall trabaja en el llamado "mtodo de autoaprendizaje". Cada vez que un trfico de red desconocido sea detectado, un cuadro de dialogo ser mostrado al usuario, desde el cual ese trfico puede ser permitido o negado tanto para un situacin en particular como para las siguientes conexiones. Cuando el trfico es permitido o negado se puede crear la correspondiente regla automticamente y el usuario no ser preguntado por ese trfico en particular nunca ms.

Alerta de conexin.

Esto crear una regla para la aplicacin y el sentido de la conexin y la zona y el cortafuegos no volver a preguntarnos por esta conexin cuando se repita. Para mas informacin sobre estas reglas para la conexin de aplicaciones dirjase a la seccin Network Security. "Details" nos muestra un informacin mas extensa:

Esto nos permite crear una Regla de filtro avanzada (en adelante filtro), mucho ms restrictiva que una Regla normal. Para ms informacin sobre los filtros avanzados su creacin y edicin dirjase a la seccin Packet Filter de Network Security.

Alerta de aplicacin.
El mismo mtodo puede ser aplicado cuando una aplicacin es ejecutada por primera vez, y por defecto se aplica cuando una aplicacin intenta ejecutar otra o es modificada.

Una aplicacin es ejecutada:

Aplicacin que ejecuta otra aplicacin:

Aplicacin modificada:

Para ms informacin sobre las reglas de las aplicaciones dirjase la seccin System Security.

4. OVERVIEW: Connections, Statistics & Preferences

Connections proprociona informacin de las conexiones establecidas y puertos abiertos por cada aplicacin. Tambin se proporciona informacin de la velocidad actual y tamao de los datos transmitidos en ambas direcciones para las conexiones activas. Estos datos se actualizan en intervalos de tiempo predefinidos.

Statistics informa al usuario del nmero de objetos bloqueados por el filtro de contenidos Web y el nmero de intentos de intrusin detectados para un cierto periodo de tiempo.

Preferences nos permite importar/exportar configuraciones del cortafuegos, adems de otras opciones:

Automatically check for updates - El cortafuegos realizar chequeos regulares en busca de una nueva versin. Cuando una nueva versin es detectada, se ofrece la posibilidad de descargarla e instalarla. La bsqueda de nuevas versiones tambin puede ser realizada a mano. Check for beta release - Marque esta casilla junto con la anterior si tambin quiere buscar versiones en desarrollo. Enable gateway mode - Cambia el modo de funcionamiento del cortafuegos (proteccin de Internet gateway, el cortafuegos funcionar como router o router NAT). No use esta opcin a menos que el cortafuegos est funcionado realmente dentro del Internet Gateway, de otro modo la proteccin del ordenador se ver seriamente reducida. No disponible en la versin Free. Configuration Import/Export - Esta seccin permite la creacin de copias de seguridad de al configuracin del cortafuegos. Use Export para crear un archivo donde se guardar la actual configuracin del cortafuego e Import para cargar una configuracin desde un archivo creado mediante Export o para la importacin de las reglas desde un archivo de configuracin de la versin 2.1.5 del Kerio Personal Firewall.

5. MODULOS
Esta seguridad es bsicamente proporcionada por los siguientes cuatro componentes o mdulos: NETWORK SECURITY En el momento que Kerio Personal Firewall detecta trfico que no corresponde con ninguna regla, el usuario ser preguntado para permitir o denegar la comunicacin. Opcionalmente, se puede crear la correspondiente regla para la aplicacin o comunicacin teniendo en cuenta esta decisin (ver Primeros Pasos).

Application rules Es posible negar/permitir comunicaciones de red para cada aplicacin o fijar que Kerio Personal Firewall pregunte al usuario... Packet filter rules Para definir reglas de paquetes avanzadas para el trfico de red (especificacin de direcciones IP, protocolos, puertos, etc.. ). Estas reglas pueden crearse especificando tanto una aplicacin en particular como una regla general para cualquier aplicacin (any applicaction). Predefined - Kerio Personal Firewall incluye por defecto un grupo de reglas de red (p.e. para DNS, DHCP, etc. ). Estas reglas estn separadas de las reglas definidas por el usuario y pueden ser activadas o desactivadas.

SYSTEM SECURITY El mdulo System Security controla las aplicaciones que se ejecutan en el sistema operativo. Los siguientes eventos son controlados:

Ejecucin de aplicaciones. Reemplazamiento de la aplicacin desde la ultima vez que esta se ejecut. Ejecucin de una aplicacin por otra aplicacin. Como en el caso del trfico de red, se pueden definir reglas para cada aplicacin de manera individual. Estas reglas pueden negar o permitir el evento o preguntar al usuario. Si el evento no corresponde con ninguna regla, Kerio Personal Firewall preguntar automticamente al usuario para permitir o denegar el evento. NOTAS: Kerio Personal Firewall 4.0.* (no as en las versiones anteriores) controla la ejecucin de TODAS las aplicaciones, sin tener en cuenta si tienen que ver con las comunicaciones de red o no. En caso de infeccin, el cortafuegos puede resultar ms fiable que un antivirus (si el virus es nuevo y no est incluido en la base de virus, el antivirus podra no detectarlo; Kerio Personal Firewall detectar el reemplazamiento de cualquier ejecutable y avisar al usuario).

INTRUSION DETECTION (IDS) Intrusion Detection System (IDS) puede distinguir, bloquear y loguear tipos de intrusin conocidos. Para este propsito Kerio Personal Firewall usa una base de datos de tipos de intrusin conocidas. Esta base de datos es actualizada regularmente (la base de datos actualizada est intuida en las nuevas versiones del producto). En el caso de necesitar un IDS ms configurable y contrastado, podemos acudir al gratuito y de cdigo abierto SNORT http:/www.snort.org/

WEB CONTENT FILTERING Este mdulo activa las siguientes funciones:


Boqueo de publicidad (de acuerdo a reglas URI/URL ), scripts y otros objetos Web. Bloque de ventanas emergentes (pop-up windows). Bloqueo de scripts (JavaScript, VB Script). Proteccin de cookies no deseadas y revelacin de datos personales en formularios de aplicaciones Web. Alguna configuracin especfica puede ser definida para servidores de confianza o para aquellos casos en los que un filtrado excesivo pueda causar un mal funcionamiento.

5.1 MODULO Network Security.


La parte ms importante en la configuracin de Kerio Personal Firewall es la creacin de reglas para controlar el trfico de red, para ello disponemos de tres tipos de reglas.

Reglas para aplicaciones.


Estas reglas bsicas, definen como el cortafuegos se comportar ante las conexiones de una aplicacin en redes de confianza (trusted) y en Internet. Las reglas para aplicacin se pueden generar automticamente a partir de las ventanas de alarma de conexin que el cortafuegos muestra al usuario, distinguiendo si la conexin se refiere a Internet (como en este caso) o una red Trusted.

Para ello marcaremos la casilla "Create a rule for this communication..." y seleccionaremos si queremos permitir o negar la conexin de esa aplicacin y que el programa no vuelva a preguntarnos cuando esa conexin se repita. Las reglas para aplicaciones pueden ser vistas y modificados en la pestaa "Applications" en la seccin Network Security.

Description - Muestra el icono y la descripcin de la aplicacin. Si la aplicacin no tiene icono, se mostrar un icono de archivo ejecutable. Si no hay una descripcin disponible, se mostrar el nombre del ejecutable sin extensin. Trusted / Internet - Establece los parmetros del comportamiento del cortafuegos para la conexin de la aplicacin desde / hacia una red Trusted o desde / hacia Internet (conexiones IN - Incoming; OUT - Outgoing). Para cada zona y direccin se pueden seleccionar las siguientes acciones:

Permit - permite la conexin. Deny - bloquea la conexin. Ask - cada vez que la conexin sea detectada la ventana de alarma de conexin ser mostrada de nuevo y el decidir como debe actuar el cortafuegos, pudiendo el

usuario cambiar esta opcin desde la propia ventana de alarma. Log - Marque esta opcin para que las conexiones que coincidan con la regla, se muestren en Network Log. Alert - Marque esta opcin si desea que el cortafuegos muestre una alarma cuando una conexin que coincida con la regla sea detectada. No se tiene en cuenta si esta est permitida o negada. (Ver Log & alerts)

OPCCIONES. Las siguientes opciones son accesibles desde las propias reglas.

Un clic con el botn derecho del ratn sobre una regla, abre un men contextual con las siguientes funciones:

Edit - Abre una ventana donde la regla puede ser modificada (ver ms abajo). Remove - Borra la regla seleccionada. Displayed application name - Use esta opcin para elegir cmo ser mostrado el nombre de la aplicacin. Ruta Completa, Nombre del archivo sin ruta o una Descripcin (use la opcin Show Icon para que se muestre o

no un icono despus del nombre de la aplicacin). Clic sobre una accin en Trusted o Internet. Clic izquierdo cambia entre Permit, Deny y Ask, clic derecho abre un men contextual donde seleccionaremos la opcin.

Remove - Use este botn para borrar la regla seleccionada en ese momento. Refresh - Cuando estamos trabajando en esta ventana, es posible que aparezca alguna alarma de conexin he introduzcamos o modifiquemos alguna regla. Use este botn para renovar las lista de reglas.

Edit - Use este botn (o Edit en el men contextual) si desea modificar la regla seleccionada. En la siguiente ventana puede fijar las acciones para cada zona y direccin del trfico, log's y alertas.

La descripcin de la aplicacin se muestra arriba, bajo esta podemos ver el icono y la ruta completa al ejecutable de la aplicacin, est informacin no puede ser editada. Los cambios tienen que ser confirmados para que surtan efecto, bien desde el botn "Apply", desde "OK" o contestando afirmativamente al programa cuando salgamos.

Predefined Rules.
Kerio Personal Firewall incluye por defecto un grupo de reglas predefinidas, estas reglas no hacen referencia a ninguna aplicacin en particular y se aplican globalmente. Es el usuario el que decide si estas reglas predefinidas sern usadas o no. Puede marcar la casilla "Disable predefined network security" para deshabilitar este mdulo y que las reglas no sean tenidas en cuenta. Para cambiar los permisos haga clic sobre estos para cambiar entre Permit y Deny.

Aqu puede ver una breve descripcin de las reglas predefinidas:

Internet Group Management Protocol - El protocolo IGMP es usado para la suscripcin o anulacin de suscripcin de/desde grupos de multidifusin. Este protocolo puede ser usado de forma maliciosa fcilmente y es por ello que est deshabilitado por defecto. Se recomienda no permitir este protocolo a menos que use aplicaciones que usen tecnologas de multidifusin (tpicamente para la transmisin de archivos de audio y/o video a travs de Internet). Ping and Tracert in, Ping and Tracert out - Los programas Ping y Tracert (Traceroute) son usados para "localizar" en una red (detectar una respuesta de un ordenador remoto), esto se consigue mediante mensajes ICMP (Internet Control Message Protocol).

Lo primero que har un posible atacante es probar si la IP elegida responde a los mensajes de control. Bloquear estos mensajes har su ordenador "invisible" y reduce las posibilidades de intrusin. Todos los mensajes Ping and Tracert que llegan desde Internet son bloqueados por defecto, pero permitidos desde Trusted (los administradores pueden probar la disponibilidad de un PC con el comando Ping). Todos los mensajes Ping and Tracert que salen desde nuestro ordenador estn permitidos por defecto para ambas zonas. Estos mtodos son usados habitualmente para comprobar la conexin de red, funcionalidad o disponibilidad de un ordenador remoto.

Rule for other ICMP messages - Por ejemplo: redirecciones, no disponibilidad del destino, etc. Dynamic Host Configuration Protocol - DHCP se usa para la configuracin automtica de los parmetros TCP/IP (IP address, network mask, default gateway, etc). La denegacin del DHCP puede causar la cada de la conexin de su ordenador si los parmetros de la conexin TCP/IP a travs de este protocolo. Domain Name System - DNS es usado para la traduccin de los nombres de los ordenadores a direcciones IP. Por lo menos una conexin a un servidor DNS debe ser permitida para habilitar la definicin a travs de los nombres de dominio DNS. Virtual Private Network - VPN es una conexin segura de dos redes locales o conexin de un cliente remoto a una red local va Internet, usando un canal cifrado (llamado tunnel). La regla Virtual Private Network, controla los establecimientos VPN a travs de los protocolos PPTP y IPsec. Broadcasts - Reglas para paquetes con una direccin general. En Internet esta regla se aplica tambin a paquetes con direcciones de multi difusin.

Tanto las reglas generales como las reglas para una aplicacin son la manera fcil y rpida de configurar el cortafuegos, podemos decidir que aplicaciones pueden comunicarse y cuales no, que reglas predefinidas necesitamos y cuales no. Pero podemos y debemos ir mas all de simplemente dar o no permiso a una aplicacin, podemos configurar el cortafuegos para restringir al mximo las comunicaciones de una aplicacin, para que de este modo no pueda usar mas puertos, protocolos y/o conectar con otros equipos ms que lo necesario. Podemos sustituir esas reglas predefinidas por otras, para que esos "servicios" solo puedan ser usados solo por la aplicacin correspondiente, a travs de el/los puertos y/o equipos remotos necesarios. Podemos anticiparnos a futuros problemas y prohibiendo todas aquellas comunicaciones que no sean necesarias, estar protegidos contra vulnerabilidades presentes o futuras. Para ello podemos crear Reglas para el Filtrado Avanzado de Paquetes (en adelante filtro) desde la seccin Packed filter en la ventana de configuracin de Network Security.

Trusted area.
Kerio Personal Firewall distingue entre dos tipos de grupos de IP para cada regla, Trusted area e Internet. Se pueden definir diferentes acciones para conexiones entrantes y salientes en cada rea. Trusted rea es un grupo IP definido por el usuario, aquellas direcciones que no estn definidas como Trusted se considerarn automticamente como del rea Internet. Para definir las redes Trusted debe ir a la pestaa "Trusted area".

El rea Trusted, puede incluir cualquier nmero de direcciones IP, rangos de direcciones IP, subredes o redes conectados a un interfaz en particular. Es posible especificar una interfaz en la cual unas direcciones IP en particular estn permitidas para ella (proteccin de direcciones IP falsas). El rea Trusted incluye por defecto el objeto Loopback, esta direccin no puede ser editada, es una direccin usada para la comunicacin interna de las aplicaciones dentro de nuestro propio ordenador (la comunicacin no sale al exterior) por lo que siempre est considerada como de confianza. Use los botones "Add" o "Edit" para aadir o editar objetos en el rea Trusted.

Is trusted - Use esta opcin para aadir o remover el objeto seleccionado de el rea Trusted (no de la ventana). Si la casilla no est marcada, la direcciones IP no pertenecen al rea Trusted y son aadidas al rea Internet automticamente. La opcin Is Trusted tambin puede ser usada para direcciones IP que no pertenecen a la red de confianza. (Por ejemplo para poder acceder a nuestro ordenador desde un equipo remoto que lgicamente debe tener una IP fija). Description - Descripcin del objeto. Slo para referencia. Adapter - Selecciona un adaptador (interfaz de red) para la cual las direcciones IP son usadas. Esta funcin protege a los usuarios de conexiones desde IP falsas. Aunque un paquete proveniente de una IP de confianza sea recibido desde un adaptador que no est conectado dentro de la red en particular, el paquete no se considera de confianza. Use la opcin ---Any--- si quiere que el cortafuegos no compruebe los adaptadores desde los cuales los paquetes con una determinada IP fueron enviados.

Address type - Los tipos de objetos del rea trusted son:


Computer - Un direccin IP de un ordenador o tarjeta de red en particular. Ip address /mask - Subred definida por una direccin IP y la mascara de red. (Una IP y su mascara de red, permiten comprobar si dos direcciones IP diferentes pertenecen a la misma subred). IP address range - Rango de IP's definidas por la primera y ultima direccin IP. All addresses - Ninguna direccin IP (Any address).

5.1.1 MODULO Network Security


Packet Filter.
La seccin packed filter, le permite la creacin de filtros avanzados para comunicaciones de red especificas, adems de la aplicacin y la direccin del trfico, el protocolo, la direccin IP remota, puertos locales y remotos y otros parmetros pueden ser definidos. (Los filtros avanzados no distinguen entre las reas Trusted o Internet. Una direccin, un grupo, una subred, etc. son especificadas en cada filtro). Los filtros avanzados pueden crearse de la siguiente forma:

Automticamente - Desde la ventana de alarma de conexin (ver primeros pasos), marque la casilla Create a rule for this communication... y marque tambin la casilla Create an advanced filter rule, seleccione la accin Permit o Deny, esto crear un filtro avanzado en lugar de una regla normal.

Por defecto, el filtro avanzado creado mediante este mtodo especifica la descripcin, la aplicacin, el grupo default, el protocolo, el puerto remoto si la conexin es saliente o el puerto local si la conexin es entrante as como la direccin de la conexin, si queremos modificar estos o aadir otros parmetros, podemos hacerlo pinchando en el botn "Advanced filter rule". (ver creacin de filtros avanzados)

A mano - Pinche en el botn Packet filter desde la pestaa Aplications en la seccin Network Security.

Desde aqu podr ver, crear, editar y borrar filtros avanzados (ver creacin de filtros avanzados). Las reglas estn ordenadas en una lista y cada vez que una conexin de red es detectada, la lista es chequeada regla por regla de arriba a abajo, y la primera regla que encaje con la conexin ser aplicada. Use los botones "Up" y "Down" para ordenar la lista de acuerdo a sus necesidades. Las reglas situadas ms arriba tienen prioridad sobre las situadas mas abajo, por lo que hay que prestar atencin a no estar permitiendo con una regla arriba lo que queremos prohibir con otra regla situada ms abajo, y lo mismo en el caso contrario. Los filtros avanzados, opcionalmente pueden ser clasificados por grupos. No confundir con IP Groups.

Haga clic en el nombre de un grupo en la columna Group name para ver la lista de filtros incluidas en el grupo. La inclusin de un filtro en un grupo o en otro no influye en el sistema en que estos son aplicados, lo que significa que estos grupos son solo para referencia. All rules (incluye todos lo filtros) y el grupo Default (incluye todos los filtros que no estn incluidos en otro grupo), son grupos predefinidos y no pueden ser borrados. Los grupos no pueden ser creados ni borrados como tales, los nuevos grupos pueden crearse introduciendo un nuevo nombre de grupo durante la definicin del filtro avanzado (ver creacin de filtros avanzados) , y un grupo es borrado automticamente cuando el ltimo filtro en la lista de ese grupo sea borrado. Este sistema resulta muy til cuando tenemos una lista muy larga de filtros, ya que permite mantener un orden de una manera mucho mas rpida y cmoda.

Trabajando con los filtros.


Use los siguientes botones bajo la lista de grupos para trabajar con los filtros:

Edit - Abre el dialogo para la modificacin del filtro seleccionado. Add - Aade un nuevo filtro al final de la lista. Insert - Inserta un nuevo filtro en la posicin seleccionada, este filtro preceder al filtro marcado. Remove - Borra el filtro seleccionado.

Creacin y modificacin.
Pinchando sobre el botn "Add", "Insert", "Edit" o haciendo doble clic sobre un filtro, se abre el dialogo para la definicin del filtro avanzado.

Un filtro avanzado est definido por los siguientes parmetros:

Description - Descripcin/nombre para el filtro. Es recomendable que inserte una breve descripcin del filtro (propsito, nombre de aplicacin, etc.), esta descripcin es usada solo como referencia. El nombre de la aplicacin que participa en la comunicacin es insertada como descripcin cuando el filtro se crea de manera automtica. Application - Aplicacin local para la cual el filtro ser aplicado. Esta aplicacin puede ser tanto insertada a mano (ruta completa hasta el archivo ejecutable), seleccionada de un men (una lista con las aplicaciones usadas en otros filtros es ofrecida) o mediante el botn Browse que abrir una ventana donde podr navegar por los directorios del disco hasta el

archivo ejecutable.

Puede crear un filtro general que ser aplicado a todas las aplicaciones mediante la opcin any o dejando el espacio en blanco.

Group - Especifica el grupo en el cual se incluir el filtro, elija un grupo de la lista ofrecida en el men desplegable, o aada un nuevo grupo simplemete escribiendolo en la casilla, la regla ser aadida automticamente a este grupo.

Log rule to network log - Habilita o deshabilita la creacin de un log en Network log cuando una comunicacin coincida con la configuracin del filtro (ver Log & alerts). Show alert to user - Marque esta opcin si quiere el cortafuegos muestre una alarma cuando una comunicacin coincida con la configuracin del filtro.

Protocol - Fija los parmetros para los protocolos para los que el filtro ser aplicado, si deja al entrada Protocol en blanco, el filtro se aplicar a todos los protocolos.

Pinche en los botones "Add" o "Edit" para abrir el dialogo para la seleccin del protocolo.

El campo Codes est disponible cuando se selecciona el protocolo ICMP. El tipo de mensaje ICMP est definido por un cdigo de numeros, para especificar ms de un cdigo, seprelos mediente una coma. Si no se especifica ningun cdigo en la entrada, el filtro ser aplicado a todos los tipos de ICMP.

Puede seleccionar los tipos de ICMP desde una lista, para ello pinche en el botn "Select".

Marque la casilla de cada tipo de mensaje ICMP que desea incluir en el filtro y se trasladarn al campo Codes automticamente.

Local - Especifica los paramertros para el punto local. Kerio Personal Firewall usa implcitamente todas las direcciones IP locales, por esta razn en los parametros locales slo pueden especificarse los puertos.

Use el botn "Add" y seleccione aadir un solo puerto (Add port) o seleccione aadir un rango de puertos (Add port range), se pueden especificar mltiples puertos y rangos de puertos.

El puerto puede ser introducido por especificacin en "Number entry" (slo valores entre 1 y 65535 son vlidos) o seleccionando un servicio predefinido en el campo Name. Puede usar la entrada Description para describir el puerto o servicio (slo como referencia).

El funcionamiento para la especificacin de un rango de puertos es similar al arriba descrito, pero debe introducir dos entradas: una para el primer puerto del rango (First Port) y otra para el ltimo puerto del rango (Last port).

Remote - Especifica el punto remoto de la conexin, direccin IP, puerto o ambos pueden ser especificados. El filtro se aplicar si el paquete contienes alguna de las direcciones IP y alguno de los puertos definidos.

Tanto puertos individuales como rangos de puertos pueden ser definidos. Pulse el botn "Add" y siga el proceso como se ha explicado para Local point, para especificar el/los puertos remotos. Pulse el botn "Add" y seleccione una de las siguientes opciones para indicar la direccin IP remota, si ninguna direccin es especificada el filtro se aplicar en este campo a todas las direcciones IP.

Add address - Aade una nica IP. (Si estamos creando el fitro desde la ventana de alarma de conexin al seleccionar aadir la IP, el dialogo mostrar la direccin IP de la conexin).

Add address range - Aade un rango de direcciones IP. Introduzca la primera y ltima direccin del rango.

Add address / mask - Aade una subred. Introduzca la direccin de la subred y la correspondiente mscara de red.

Add IP group - Aade un grupo de direcciones IP predefinidos por el usuario. Use el men Select para seleccionar desde el men desplegable un grupo de IP definidos a travs de la pestaa IP Groups.

Los mtodos individuales pueden ser combinados entre s.


Direction - Direccin del trfico para el cual el filtro ser aplicado. Se puede seleccionar entre: Ambas direcciones (Both), Entrante (Incoming) y Saliente (Outgoing). Action - Accin que se tomar el cortafuegos cuando una conexin coincida con el filtro: Permitir la conexin (Permit) o bloquear la conexin (Deny).

IP Groups.
IP Groups permite una definicin ms fcil de los filtros avanzados, estos grupos pueden ser usados en la especificacin de la entrada Remote del dilogo para la creacin de filtros avanzados. Los grupos de IP pueden verse y definirse desde la pestaa IP Group en la ventana Advanced Packet Filter. La ventana consiste en dos columnas:

Group name - Nombre de un grupo IP. Use el botn + para ver la lista de todos los objetos incluidos en el grupo. Definition - Definicin de cada objeto del grupo.

Desmarque la casilla correspondiente para deshabilitar un grupo temporalmente. Haga clic en el botn "Add" (o edit para editar un objeto seleccionado), para abrir el dialogo para la definicin de grupos IP.

Is enabled - Marque/desmarque esta opcin para habilitar/deshabilitar el objeto. Esta opcin es idntica a marcar/desmarcar la casilla junto al nombre del objeto. Group name - Nombre del grupo al cual el objeto ser incluido. Seleccione uno del men desplegable para aadir el objeto a un grupo ya existente o introduzca un nuevo nombre, para crear un nuevo grupo donde se aadir el objeto. Type - Tipo de objeto. Puede elegir entre:

Host - Direccin IP de un PC. Address Range - Define la primera y la ltima IP a especificar en el rango. Addres / mask - Subred definida por una IP y su mascara de red. Address group - Otro grupo IP (pueden introducirse uno grupos IP dentro de otros).

5.2 MODULO System Security.


Kerio Personal Firewall controla todas las aplicaciones en el sistema operativo, sin tener en cuenta si estas estn o no relacionadas con el trfico de red, por esta razn puede detectar cuando una aplicacin es infectada por un nuevo virus o atacada por algn troyano.

Applications.

La casilla Enable System Security activa o desactiva el control del cortafuegos sobre las aplicaciones o, lo que es lo mismo, se deshabilita el mdulo. Reglas de aplicacin. Desde la pestaa "Applications", podemos ver y editar las reglas de ejecucin y cambio de cada aplicacin. Las reglas estn basadas en la seleccin del usuario en la ventana de alarma de aplicacin que se mostrar cada vez que una nueva aplicacin se ejecutada, se modifique o intente ejecutar otra aplicacin. Las reglas no pueden ser creadas a mano, solo pueden editarse o borrarse. La accin que llevar acabo el cortafuegos cuando se inicie una aplicacin (Starting), despus de que un archivo ejecutable haya cambiado (Modifying) o cuando una aplicacin ejecute otra (Launching others) puede ser definida para cada aplicacin y se pueden fijar de varias maneras:

Haga clic sobre una accin para cambiar entre Permit, Deny y Ask.

Haga clic con el botn derecho del ratn sobre una accin y seleccione una desde el men contextual. Haga clic con el botn derecho sobre la aplicacin para desplegar el men para modificar la regla. Seleccione la opcin para elegir como se muestra la aplicacin y si se incluir icono despus del nombre.

Borrar una regla. Seleccione la opcin Remove en el men o use el botn con el mismo nombre para borrar la regla seleccionada. Editar una regla. Seleccione la opcin Edit en el men o use el botn del mismo nombre para modificar la regla seleccionada.

Arriba podemos ver la descripcin, icono y ruta completa del ejecutable de la aplicacin. Desde "System security settings" seleccionaremos la accin para cada evento de la aplicacin. Marque la casilla "Log to system log" si quiere que las acciones de la aplicacin queden registradas. Marque la casilla "Show alert to user" si quiere que se muestre una ventana de alarma cuando se ejecute la aplicacin.

Settings.

Si desea deshabilitar alguno de los controles que el cortafuegos realiza sobre las aplicaciones, cambie a la opcin "automatically permit de action" en el apartado correspondiente. Por defecto la configuracin del cortafuegos permite que todas las aplicaciones automticamente.

Al principio puede resultar un poco molesto tener ventanas de alarmas cada vez que arrancamos una aplicacin, pero conforme vayamos usando las aplicaciones ms habituales, en poco tiempo las alarmas se reducirn a casos de aplicaciones o acciones poco habituales a las que yo prefiero simplemente ir permitiendo sin crear una regla. Est claro que no podemos hacer esto si estamos hablando del Explorador de Windows, pero s por ejemplo en casos como el Instalador de Windows, est claro que instalar/desinstalar nuevos programas no es algo que se haga continuamente y esto es extensible para las 4 5 alarmas que se nos mostrarn durante la instalacin, la seguridad est reida con la comodidad. Con las aplicaciones que ejecutan otra aplicaciones las alarmas son menos habituales y por ello debemos preguntarnos si vale la pena crear una regla o simplemente permitir el evento por esa vez, (la regla se refiere a la aplicacin que ejecuta a otra no a la aplicacin ejecutada) cuntas veces al da abres el gestor de correo desde el Navegador, o el Gestor de Descargas, Acrobad Reader....?, lo mismo se puede decir de otras aplicaciones, pero est claro que para los casos menos habituales menor es la necesidad de crear una regla que lo permita. Cuantas veces se modifica/reemplaza el ejecutable de una aplicacin? Est claro que en este caso no vale la pena crear la regla.

5.3 MODULO Intrusion Detection (IDS)

Marque o desmarque la casilla Enable IDS module para habilitar o deshabilitar este mdulo. Kerio Personal Firewall distingue entre tres clases de intrusin:

High priority intrusion - Aquellas intrusiones que pueden causar daos en el SO, acceso/robo de informacin, etc. Medium priority intrusion - Aquellas intrusiones que pueden causar el fallo en algunos servicios, fallos en la conexin de red, etc. Low priority intrusion - Aquellas intrusiones de baja peligrosidad, actividades anmalas en la red, error en el protocolo, datos con formato invalido, etc.

El comportamiento del cortafuegos puede ser fijado para cada tipo de intrusin de la siguiente manera:

Action - Reaccin del cortafuegos para los cada tipo de ataque en particular Permit o Deny. Generalmente hablando, es recomendable denegar todos los ataques de Alta y Media prioridad (no debe permitir este tipo de intrusiones a menos que sea necesario para pruebas, etc.). Los ataques de baja prioridad estn permitidos por defecto ya que su bloqueo puede causar el mal funcionamiento de ciertos servicios. Log to intrusion log - Registra las intrusiones de cada tipo en particular en Intrusion Log.

Use el botn "Details" para abrir una ventana donde podr ver las intrusiones de cada tipo en particular.

La ventana proporciona un nombre o descripcin del ataque (columna Attack) y tipo de intrusin (columna Class). Kerio Personal Firewall usa el IDS Snort, para una informacin ms detallada de un tipo de ataque en particular dirijase al sitio http:/www.snort.org/ Manual de Snort y otros artculos sobre IDS en NAUTOPIA. El llamado Port Scanning es un tipo de ataque especial (deteccin de puertos abiertos en un ordenador). Este ataque no puede ser bloqueado si algn puerto est abierto por el usuario y los puertos cerrados son bloqueados automticamente por el cortafuegos (Esta opcin no nos proteje de un escaneo de puertos, solo los detecta). Marque la casilla Log to intrusion log para que los intentos de escaneo de puertos se recogan en la pestaa Port Scanning en Intrusion log (ver Log & alerts).

5.4 MODULO Web Content Filtering.


Las dos funciones principales disponibles en Kerio Personal Firewall, son Ad blocking (bloqueo de banners, ventanas emergentes, etc.) y Privacy protection (control de salida de informacin y almacenaje de cookies).

Ad blocking.

Dispone de las siguientes opciones para el bloqueo.

Block advertisement - Use esta opcin para bloquear publicidad de acuerdo a las reglas definidas. Use el botn Set para abrir el dialogo para la definicin de esas reglas (ver ms abajo). Block popup and pop under windows - Use est opcin para no permitir la apertura automtica de molestas ventanas emergentes durante la navegacin (Popup es una ventana abierta sobre el navegador activo; Pop-under es una ventana abierta bajo la ventana activa del navegador). Block JavaScript, Block VBScript - Habilite esta opcin para filtrar todos los comandos del correspondiente script ejecutado desde un sitio Web (esta opcin puede causar problemas para el correcto visionado de algunas pginas, si esto ocurre puede definir reglas especiales para esas pginas en Exception Sites, o deshabilite la opcin Block popup y use otro mtodo para filtrar la publicidad, por ejemplo desde Block advertisements).

Aadir reglas de filtrado. Pinche sobre el botn "Set" para abrir el dialogo donde las reglas de filtrado de publicidad pueden ser editadas, aadidas o borradas.

Cada regla consiste en dos partes: Server part (nombre o direccin IP de un servidor Web en particular) y Local part (direccin relativa a un objeto en particular del servidor). Solo uno de ellos puede ser especificado.

Si el objeto Server Part est vaco, la regla se aplicar a la direccin relativa especificada en todos los servidores. Si el objeto Local Part est vaco, la regla se aplicar a todos los objetos del servidor especificado, luego el servidor no estar accesible.

Use las casillas en la columna Active activar/desactivar cada regla. Use los botones Edit, Remove y Add para editar, borrar o aadir una regla. Kerio Personal Firewall incluye un grupo de reglas predefinidas (marcadas con un icono). Estas reglas no pueden ser editadas o borradas, slo pueden ser activadas o desactivadas. La base de datos es actualizada cada vez que una nueva versin del cortafuegos es instalada y slo las reglas activas sern mantenidas despus de la actualizacin (las reglas no activas no sern activadas durante la actualizacin).

No uso este mdulo (no disponible para la versin Free), ni s cmo se definen las nuevas reglas, si ests interesado, en la ayuda del programa hay una breve descripcin de su construccin. Si alguna persona con los conocimientos quiere colaborar y completar esta seccin su aportacin ser bien recibida.

5.5 MODULO Logs & Alerts.


Los Logs son archivos donde la historia de ciertos objetos es almacenada. Kerio Personal Firewall proporciona un log para cada mdulo (Network, System, Intrusin y Web). Los otros logs (Error, Warning y Debug), almacenan informacin sobre el funcionamiento del cortafuegos. Esta informacin puede, por ejemplo, ayudar al soporte tecnico de Kerio Technologies para soluccionar sus posibles problemas con el cortafuegos. Estos logs no estn disponibles desde la interfaz de usuario y solo pueden verse como archivos. Los archivos Log se almacenan en el subdirectorio Log dentro del directorio de instalacin. Los archivos tienen la extensin .log. Un archivo index es incluido con cada log, estos archivos tienen la extensin .idx. Los logs para cada uno de los mdulos que pueden pueden ser vistos desde la interfaz de uuario, y los parametros del logeado fijados desde la seccin Logs & Alert.

Intrusion.

System.

Network.

Web.

Men contextual LOG.

Haga clic con el botn derecho del ratn sobre un Log para abrir el men.

Clear log - Todos los datos sern borrados del correspondiente archivo. Displayed appliction name - Forma en que los nombres de las aplicaciones sern mostradas. Full path mostrar la ruta completa hasta el archivo ejecutable. File name mostrar el nombre y la extesin de la aplicacin. Description mostrar la descripcin de la aplicacin. Show icon mostrar el icono correspondiente a la aplicacin. Resolve address - Mostrar los nombres de los ordenadores en lugar de la IP. Resolve port - Mostrar el nombre de los servicios en lugar de del numero de puerto. Resolve protocol - Mostrar el nombre del protocolo el lugar de su correspondiente nmero.

Settings.

Maximun log file size - Tamao mximo del un archivo log (en kilobites). Si se excede del tamao el archivo ser borrado y se crear uno nuevo. Log to syslog - Marque/desmarque esta opcin para activar/desactivar el envo de de los archivos seleccionados al servidor Syslog. Especifique la direccin del servidor Syslog correspondiente y el puerto donde el servidor est funcionando (por defecto 514). Pinche en el botn "Advanced" para abrir el dialogo donde podr seleccionar los log's que sern enviados al servidor.

6. CONFIGURACIN AVANZADA.
Esta parte del manual est bajo construccin, necesitamos recopilar informacin, que la gente aporte sus opiniones y por qu no? sus contenidos.

PRIORIDADES LOOPBACK ICMP e IGMP DNS DHCP (Cablemodem) NETBIOS CERRANDO SERVICIOS Y OTROS POSIBLES AGUJEROS CONFIGURAR UNA RED NIST PROGRAMAS DE USO HABITUAL

6.1 PRIORIDADES.
Como hemos visto anteriormente, existen tres maneras diferentes para controlar las comunicaciones. En el recuadro de abajo podemos ver cmo el cortafuegos las combina entre s y la prioridad que cada una tiene sobre la otra. Este nos servir de gua para una correcta configuracin del cortafuegos, ya que podra darse el caso de que estamos prohibiendo una cosa en un sitio y luego est permitida en otro, o el caso contrario y que la conexin no funcione.
PACKET FILTER RULE El cortafuegos encuentra un filtro que hace BLO QUE ADA NETWORK SECURITY Predefined NETWORK SECURITY Application

referencia a los datos de la conexin. La opcin marcada es BLOQ El cortafuegos encuentra un filtro que hace

PER MIT IDA

referencia a los datos de la conexin. La opcin marcada es PERMIT El cortafuegos encuentra un filtro que hace

PRE GUN TAR

referencia a los datos de la conexin. La opcin marcada es ASK

El tipo de conexin pertenece a alguna de las funciones de la lista de esta pestaa, el mdulo est habilitado y esta funcin est permitida. El tipo de conexin pertenece a alguna de las funciones de la lista de esta pestaa, el mdulo El cortafuegos no encuentra ningn filtro que haga referencia a los datos de la conexin. SIG UIE NTE El tipo de conexin no pertenece a ninguna de las funciones de la lista de esta pestaa o el mdulo est deshabilitado. est activado y la funcin est negada.

PER MIT IDA BLO QUE ADA Existe una regla y la opcin elegida es PERMIT PERMITIDA SIG UIE NTE No existe regla o la opcin elegida en la regla es ASK PREGUNTAR Existe regla y la opcin marcada es DENY BLOQUEAR

PACKET FILTER RULE

NETWORK SECURITY Predefined

NETWORK SECURITY Application

6.2 LOOPBACK.
Algunas aplicaciones necesitan comunicarse entre s de manera interna, ya sea entre distintos mdulos de un mismo programa o entre distintas aplicaciones; si esta comunicacin no se produce, algunos programa pueden dejar de funcionar o no hacerlo correctamente. Esta comunicacin es a travs de la direccin IP interna localhost (127.0.0.1) y para permitirla debemos crear la regla Loopback.
La regla Loopback simplemente permite una comunicacin TCP/IP en tu PC entre cualquier programa que tengas. Una aplicacin, cuando usa una direccin 127.0.0.1, no usa tu conexin a Internet, esos paquetes no salen de tu PC, sino que van directamente a otra aplicacin local. Esta regla la llamamos Loopback, porque era el

nombre de la regla que el antiguo Tiny (del que es heredero el Kerio), creaba por defecto con ese nombre. Loopback genrico.

En un principio esta regla era nica para todas las aplicaciones, pero dependiendo de la configuracin de cada usuario, esta regla nica poda resultar insegura (de ah que ya no se incluya por defecto). De todos modos, ahora, cuando alguien habla de una regla Loopback sabemos que se est refiriendo a la direccin Localhost independientemente de la aplicacin a la que se refiera.

Si usamos un proxy local por el que hacemos pasar los navegadores, la mayora del resto de las aplicaciones detectarn y usarn esa misma configuracin para conectarse a Internet (el proxy local escucha en la direccin 127.0.0.1 y tiene permiso para conectarse a Internet), por lo que una regla Loopback genrica permitira que todas las aplicaciones puedan salir a Internet a travs del proxy local sin preguntar al usuario si quiere permitir o no esa comunicacin. Loopback por aplicaciones. Para evitarlo, en lugar de una regla Loopback genrica debemos crear un filtro loopback para cada una de aquellas aplicaciones a las que queremos permitir la conexin a Internet.

Al usar un proxy local, alguno de los filtros creados para las aplicaciones ya no valdrn porque estas aplicaciones usarn la configuracin del sistema (que para Windows es la configuracin del IE), en lugar de conectarse directamente por el puerto que usaban antes. Si en las reglas para aplicaciones en NetworK Security tenemos permitido que una aplicacin tenga permitida la conexin para la red Trusted, para bien o para mal, estaremos haciendo lo mismo que si creramos este filtro para la aplicacin.

Loopback por aplicaciones y puertos. La configuracin de la conexin a travs del proxy especifica un puerto remoto. En el filtro podemos especificar tambin este puerto para limitar mas an la conexin de las aplicaciones, pero por el motivo que veremos ms abajo, slo se podr especificar el protocolo TCP.

Habitualmente las aplicaciones solo necesitarn el protocolo TCP y el puerto remoto de la configuracin de la conexin a travs del proxy, pero algunas aplicaciones tambin necesitarn

hacer uso del protocolo UDP (por ejemplo IE, MSN o WMP), pero con la particularidad de que este protocolo UDP usar un puerto remoto diferente cada vez (no se puede especificar un puerto remoto como con el protocolo TCP en la regla de arriba). Para estas aplicaciones deberemos crear:

una regla para el protocolo TCP especificando el puerto correspondiente a la configuracin de la conexin proxy otra regla para el protocolo UDP sin especificar puertos

6.3 ICMP e IGMP.


Internet Group Management Protocol (IGMP).
El protocolo IGMP es usado para la suscripcin o anulacin de suscripcin de/desde grupos de multidifusin. Este protocolo puede ser usado de forma maliciosa fcilmente y es por ello que est deshabilitado por defecto. Se recomienda no permitir este protocolo a menos que use aplicaciones que requieran tecnologas de multidifusin (tpicamente para la transmisin de archivos de audio y/o video a travs de Internet). Para bloquear este protocolo de comunicacin hemos de negar la comunicacin en la pestaa Predefined del mdulo Network security, y/o creando el siguiente filtro.

Protocolo de Control de Mensajes Internet (ICMP).


Los programas Ping y Tracert (Traceroute) son usados para "localizar" en una red (detectar una respuesta de un ordenador remoto), esto se consigue mediante mensajes ICMP.

[8] Echo Request (Solicitud de Eco) - Para comprobar si otro host est operativo se suele mandar una solicitud de eco, cuando el receptor lo recibe lo devuelve a su origen. Esta aplicacin recibe el nombre de Ping. [0] Echo Reply (Respuesta de Eco) - Cuando se realiza un Ping el mensaje enviado tendr el valor 8 cuando lo recibe el otro host, para devolverlo tendr que enviarlo con el valor 0.

Lo habitual es que no hagamos uso de estos dos mensajes, o que seamos nosotros los que hagamos el ping para obtener una respuesta, para ello podemos permitir la opcin Ping and Tracert out -lo habitual- en Predefined o mediante los siguientes filtros

Mensajes de error de ICMP.


En condiciones normales el protocolo IP hace un uso muy eficiente de los recursos de memoria y transmisin. Pero qu ocurre cuando las cosas no van bien?. Si un datagrama se estropea o se elimina, un enlace de la red es el encargado de enviar la alerta o de dar la noticia de que los datagramas estn dando vueltas hasta expirar su Tiempo de Vida. Qu aviso se da a las aplicaciones para que no sigan enviando informacin a un destino que es inalcanzable? Existen situaciones en que se descartan los datagramas de IP. Por ejemplo; puede que no se llegue a un destino porque el enlace se ha cado, puede que halla expirado el tiempo de vida o que sea imposible que un router enve un datagrama muy grande porque no permite la fragmentacin. ICMP notificar el error de manera inmediata. Para realizar esta tarea, ICMP utiliza un estndar de mensajes de error conocidos como Mensajes de Error de ICMP. Estos son los tipos de mensaje de error:

[3] DestinationUnreachable (Destino Inalcanzable) - Un datagrama no puede llegar a su host,


utilidad o aplicacin de destino.

[4] Source Quench (Origen Saturado) - Un router o un destino estn saturados. [5] Redirect (Redireccin) - Un host ha enviado un datagrama al router local equivocado. [11] Time Exceeded (Tiempo Excedido) - El tiempo de vida del datagrama ha expirado en un router
o en el plazo de reensamblado en el host de destino.

[12] Parameter Problem (Problemas de Parmetros) - Existe un parmetro errneo en la cabecera


de IP.

Adems cada valor ir acompaado por un cdigo que identificar el problema.

Para permitir la recepcin de estos mensajes de error crearemos el siguiente filtro ya que permitirlos desde la configuracin Predefinied, supondra permitir 20 tipos de mensajes ICMP ms.

* AVISO: Esta regla es provisional hasta que sepa seguro cuales de los mensajes ICMP son necesarios realmente, cuales pueden ser un peligro o simplemente no nos sirven para nada. Una tenemos permitidos los mensajes ICMP que deseemos podemos negar el resto creando un filtro que los incluya todos y en ambas direcciones y/o desde la pestaa Predefinied en Network security.

6.4 SERVIDOR DE NOMBRE DE DOMINIO (DNS).


A pesar de que estamos acostumbrados a escribir el nombre de una pgina en el navegador, para conectar con el equipo remoto tenemos que dirigirnos a su direccin IP. Un servidor DNS traduce de manera transparente para el usuario el nombre de dominio introducido por el usuario a su correspondiente direccin IP. Para evitar que podamos conectar con otros servidores DNS que no sean los "nuestros", crearemos un filtro que slo permita la conexin con esos dos servidores DNS y otro que niegue la conexin con cualquier otro servidor DNS (esta regla la iremos particularizando para todos los casos: modem a 56K, aDSL, cable, red, ...). Adems podemos especificar la aplicacin que lleva a cabo esta comunicacin SERVICES.EXE para W2000 y SVCHOST.EXE para WXP. En su da el KERIO 2.1.4 tuvo una vulnerabilidad con el DNS (resuelta en la 2.1.5), que fue prevista por Daredevil casi 2 aos antes de suceder, fijando un rango de puertos locales altos: 10245000 para nuestras reglas del KERIO 2. No est de ms aadirla.

Para averiguar las direcciones de tus servidores DNS:


En W2000/XP - Abre una consola y ejecuta el comando ipconfig /all. En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas). En el campo Servidores DNS vers una de las direcciones, pincha en el botn de la derecha para ver los dos.

Negando la conexin con otros servidores DNS.

Podemos bloquear la conexin con otros servidores DNS mediante este filtro y/o desde las siguientes pestaas:

Network Security / Predefined.

Network Security / Application.

No podremos bloquear el trfico DNS desde Application si est permitido en Predefined (verprioridades entre las distintas reglas).

6.5 PROTOCOLO DE CONFIGURACIN DINMICA DEL HOST (DHCP).


- Usuarios de cablemodem El protocolo DHCP (Dynamic Host Configuration Protocol) es el que se utiliza para la asignacin dinmica de direcciones IP a los clientes en la red de acceso. Cuando el ordenador procede a configurar la conexin de red mediante este protocolo, lanza una peticin buscando servidores DHCP (paquete DHCPDISCOVER). El servidor DHCP recoge esa peticin, y en caso de que tenga direcciones libres para asignar en la interfaz en la que le ha llegado la peticin, ofrece una direccin al cliente (paquete DHCPOFFER). El cliente entonces enva una solicitud oficial para la direccin que le han ofrecido (paquete DHCPREQUEST), y el servidor DHCP anota y confirma la solicitud al cliente (paquete DHCPACK). Adems, se le enva al cliente diversos tipos de informacin, como el router por defecto, los servidores DNS, servidores WINS, y muchos otros parmetros que pueden ser de inters. Cuando se nos asigna la IP es por un tiempo limitado (Permiso), una vez que este tiempo llega a su fin, el PC vuelve a negociar con el DHCP la asignacin o mantenimiento de la IP y un nuevo permiso; si no permitimos esta comunicacin perderemos la conexin a Internet. Como podemos ver ms arriba, el proceso se realiza en tres pasos, por lo que necesitaremos 3 direcciones IP diferentes para negociar configuracin mediante DHCP, ya que si bien una vez la configuracin est hecha, slo necesitamos la direccin del servidor DHCP para renovar el permiso, cuando por cualquier razn esta configuracin no existe, el PC no conoce la direccin del servidor DHCP ya que la conexin no est configurada, por eso necesitamos una direccin IP para cada uno de los tres pasos descritos anteriormente. La primera direccin es la direccin de Broadcasting 255.255.255.255 (mensajes a toda la red), la segunda direccin es la del nuestro servidor DHCP. Para averiguar las direccin de tu servidor DHCP:

En W2000/XP - Abre una consola y ejecuta el comando ipconfig /all. En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas).

Antes de averiguar la 3 direccin, hemos de crear un filtro como ste: * Recuerda que en WXP la aplicacin es SVCHOST.EXE

Marca la casilla Log y/o Alert, eso te permitir ver las direcciones mediante las que se lleva acabo la configuracin por DHCP. O bien deshabilita las reglas de la pestaa Predefined en Network security y en la pestaa Applicaction cambia los permisos de Aplicacin de servicios..... a ask.

Esto har que a medida que se van produciendo las diferentes conexiones el cortafuegos nos muestre un ventana de alarma de conexin donde podemos ver las direcciones IP bien desde la propia ventana o creando un filtro para poder verlo despus, tras desconfigurar previamente la conexin. Y la tercera, una vez realizado el paso anterior, la tendremos que averiguar por nuestra cuenta, para ello lo primero que necesitamos es desconfigurar la conexin para volver a negociar la IP desde cero.

En W2000/XP - Abre una consola y ejecuta el comando "ipconfig / clear" y luego "ipconfig /renew" (sin comillas). En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas) y pincha en el botn Liberar todo y luego en el botn Renovar.

Todos los filtros creados mediante el paso anterior pueden simplificarse en uno slo que es el que necesitaremos como filtro para las conexiones a servidores DHCP.

Para negar la conexin a otros servidores DHCP que no sean el nuestro crearemos el siguiente filtro y/o en negaremos esta opcin desde la pestaa Predefined.

6.6 NETBIOS.
Esa "cosa" llamada... Netbios SEGURIDAD). (Artculo original completo en la web amiga ENLACES DE

El peligro de NetBios.
Bien, digamos que los sistemas Windows traen activado "de serie" un sistema para poder compartir ciertos recursos, orientado a facilitar dicha tarea en una red, como la que pueden formar varios ordenadores domsticos o> de una oficina. Netbios es una interfaz entre aplicaciones que fue desarrollada por IBM para acceder a los recursos de redes locales. Dicho as la cosa no parece ir ms all, pero es uno de los agujeros >de seguridad de Windows ms frecuentemente ignorado, aunque no pueda calificarse tcnicamente como tal. Por qu? porque dicho protocolo es aplicado por Windows a todas las conexiones, no slo a las de red local sino tambin a las de Internet, sin filtrar dicha circunstancia, lo que se traduce en que nuestro sistema es receptivo a esas conexiones exteriores. Mantener esa configuracin puede significar que alguien se conecte por uno de los puertos destinado a esa interfaz de comunicacin y acceda a las carpetas o recursos designados (que pueden ser desde impresoras compartidas, unas carpetas especficas o todo el disco duro). Esto es comnmente utilizado para entrar de una manera sencilla en ordenadores ajenos, y est al alcance de cualquier aprendiz de Hacker (lammer). Alguien con algo ms de conocimientos puede acceder a todo el sistema impunemente aprovechando las caractersticas de inseguridad de los sistemas Windows, averiguando passwords etc.

Deshabilitar NetBios desde Windows.

W98 - Inicio > Configuracin > panel de control > Red > Compartir impresoras y archivos. Quitaremos los elementos "Cliente para redes de Microsoft" y "Compartir impresoras y archivos". W2000 - Inicio > Configuracin > Conexiones de red y acceso telefnico > Conexin de rea local > Men archivo > Propiedades Desinstalaremos "Compartir impresoras y archivos para redes Microsoft" y "Cliente para redes Microsoft" o mejor seguimos el consejo de idoru (conde0) y editamos la siguiente lnea del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters y renombrar la clave TransportBindName a TransportBindNameX (Desactiva interfaz SMB puerto 445).

WXP - Inicio > Panel de control > Conexiones de red > Conexin de rea local > Men archivo >
Propiedades. Desinstalaremos "Compartir impresoras y archivos para redes Microsoft" y "Cliente para redes Microsoft" o mejor seguimos el consejo de Conde0 y editamos la siguiente lnea del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

y renombrar la clave TransportBindName a TransportBindNameX (Desactiva interfaz SMB puerto 445).

Prohibir la comunicacin NetBios desde el cortafuegos.


Esto no es necesario si ya hemos deshabilitado Netbios desde Windows. Para bloquear Netbios crearemos los siguientes filtros y/o en la pestaa Application de Network Security prohibiremos la conexin a Microsoft File and Printer Sharing.

Adems deberemos aadir otro filtro para Netbios en W2000/XP:

6.9 NIST: Recomendaciones y consejos.


NIST Technologies

Security Special Publications

ICAT Searcher

INTRODUCCION
Este documento di origen a las actuales reglas para el KERIO 2.1.4 que nos han permitido ser inmunes a diferentes ataques. Tambin han sido exportadas al KERIO 3 por Godi. Estas imgenes estn extradas del documento del NIST sp800-41.pdf. Son para ayudar a elaborar nuevas reglas para el TINY (ahora KERIO) que se discutirn en los foros. NIST Special Publications Son reglas para cualquier sistema. Muchas de ellas estn incluidas en el cortafuegos, pero no tenemos acceso a sus reglas internas. En su da especifiqu unas cuantas -fue la primera pgina de esta web, que deba ser alojada inicialmente en la vieja web de DAREDEVIL (jorgeph2001) - en la Tabla de Filtros. El resultado final (para W2000 SP 3) debe ser til para otros cortafuegos software personales que permitan configuracin personalizada de las reglas. As que algunas sern redundantes, pero de esta forma aprenderemos un poco ms sobre protocolos y seguridad (temas a desarrollar), sirvindonos para configurar cortafuegos hardware y sistemas complejos de seguridad. Toda poltica de seguridad relativa a los cortafuegos debe ser revisada continuamente, procurando estar informados de las vulnerabilidades y ataques (a travs de voletines de seguridad), procurando NO ERRAR en la creacin de las reglas.

PREMISAS
1. Todo el trfico de dentro-a-fuera (INBOUND) debe ser NEGADO, a menos que sea permitido por las reglas (modo casi paranoico), evitando as que posibles troyanos y dems bichos sean capaces de enviar informacin a otros sistemas (INTERNET habitualmente). 2. El trfico de fuera-a-dentro (OUTBOUND) se deja en manos de los administradores su configuracin (se procurar incluir los dos sentidos de la comunicacin en las reglas). 3. Cualquier regla, protocolo y trfico NO NECESARIO debe ser NEGADO (gracias al incumplimiento de esta norma pueden usarse proxys annimos hasta que los administradores descubren ese trfico no deseado, lo que motiva la continua actualizacin de la lista de proxys annimos utilizados en programas como MULTIPROXY, A4PROXY, PROXOMITRON ...).

CONFIGURACIONES DE REDES
Tal vez un da alguno deber administrar un sistema tan complejo como ste. Algunos usuarios avanzados caseros con una red casera quizs tengan un pc con LINUX dedicado a filtrar los paquetes. El uso de las reglas del router para filtrar EXCLUSIVAMENTE no es muy recomendado (se debe emplear otro hardware especfico, pero un usuario casero con router ADSL tendr esa posibilidad). Los PASSWORDS de todo el hardware implicado DEBEN CAMBIARSE (es habitual dejar las de defecto, algo muy corriente en los usuarios caseros de las diferentes distribuciones LINUX, y trabajar como CLIENTE NO COMO ADMINISTRADOR, comentario vlido para W2000). El grfico es complejo. DMZ es zona no militarizada, es decir no objeto a vigilancia intensiva. VPN nos permite crear redes virtuales en los que trfico circula CIFRADO y que nos sirve para proteger el corazn del sistema. Este sistema permite actuar como servidor web y alojamiento, con resolucin de nombres DNS. Esta red interna puede estar nuevamente protegida con otros cortafuegos / FIREWALL. Tambin se dispone de un Sistema de Deteccin de Intrusos (IDS). El ms utilizado es el SNORT, que es por software, no hardware. Lo habitual en nuestras casas es el tercer nivel de seguridad, con un FIREWALL Interno entre el ISP (PROVEEDOR DE CONEXION: Navegalia, Airtel, Jazztel,..) y nuestro PC (TINY -> KERIO, NORTON, SYGATE, ... ) o red interna (en ese caso es mejor utilizar el WINROUTE -TINY / KERIO interno-, siendo el WINGATE inseguro y el propio del windows, desaconsejable tambin).

Los amantes del INTERNET EXPLORER con todo permitido (muy cmodo, eso s) deberan tener muy en cuenta estas recomendaciones, a la que se ha de aadir el no uso de COOKIES (o especificando el permiso en slo algunas webs).

Aquellos que monten un servidor de ficheros (centralizado SERV-U 3.1 de Rhinosoft.com por ejemplo, o distribuido como FILETOPIA) deberan prestarle un poco de atencin para no perjudicar a los clientes, adems de cambiar los passwords, restringir permisos y acceso a carpetas. En el gestor de correo THE BAT! podemos especificar estas extensiones en OPCIONES / PREFERENCES / WARNINGS. Adems ha de aadirse el *.pdf que ya puede incorporar virus! Se admiten sugerencias. Los de defecto del gestor:

*.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL, *.SSH,*.CHM,*.HLP

Para facilitar el trabajo (copiar y pegar): *.ade,*.adp,*.bas,*.bat,*.chm,*.cmd,*.com,*.cpl,*.crt,*.dll,*.eml,*.exe,*.hlp,*.hta,*.inf, *.ins,*.isp,*.js,*.jse,*.lnk,*.mdb,*.mde,*.msc,*.msi,*.msp,*.mst,*.pcd,*.pif,*.pl,*.pot, *.reg,*.scr,*.sct,*.scx,*.shs,*.url,*.vb,*.vbe,*.vbs,*.wsc,*.wsf*.wsh,*.pdf Los scripts los deshabilitamos con las herramientas gratuitas: noscript.exe de SYMANTEC

script defender de AnalogX (requiere que el Windows Scripting Host est activado para que funcione!)

APLICACIONES y SERVICIOS
Estas son las reglas que recomiendan para todos los sistemas operativos. En principio son para dentro-a-fuera (INBOUND), que en el TINY -> KERIO son INCOMING. Las reglas creadas seguirn el mismo orden para facilitar su bsqueda. Servicios como TELNET y dems LOS NEGAREMOS. Cuando los utilicemos desmarcaremos la regla (cierto es que disponemos de firma digital de las aplicaciones, pero stas pueden saltarse a da de hoy, al poderse manipular las *.dll del windows que las identifican -FIREHOLE y dems- ). De ah que el nuevo KERIO 3 nos interese tanto, al controlar todo lo que se inicia en el sistema. El trfico interno (LOOPBACK / LOCALHOST / 127.0.0.1 y dems posibilidades) deberemos especificarlo con mayor detalle. De esta forma evitaremos que traspasen el cortafuegos o simplemente echen abajo la conexin. De ah que no hicisemos caso a la regla genrica, especificndola para los navegadores. Como vemos, mejor negar la comunicacin al INTERNET EXPLORER, evitando as que otro programa lo substituya y logre comunicarse. Si queremos utilizar su motor, hagmoslo desde las interfaces gratuitas y en castellano: MYIE2, CRAZY BROWSER o AVANT BROWSER.

Por supuesto, tambin negaremos las aplicaciones internas del windows que buscan conexin INNECESARIAMENTE (algo que difcilmente podr el engendro del Windows XP que tan pretenciosamente los de M$ llaman cortafuegos interno, motivo de futuros quebraderos de cabeza de tantos usuarios confiados). Aunque el NetBIOS (en la web amiga ENLACES DE SEGURIDAD hay un excelente artculo al respecto) ya no lo tengamos permitido en nuestra configuracin del W2000 aadimos las reglas especficas como medida de precaucin (da igual que sea redundante, no est de ms, dada la peligrosidad inherente). El KERIO 3 distingue muy claramente entre la RED LOCAL e INTERNET. Explicar el uso habitual del protocolo.

DNS, MAIL, WEB Los usuarios del X Windows en LINUX debern crear esa regla. Como PC casero, deberemos NEGAR que podamos actuar como servidores de nombres, DNS. Si no somos servidores de correo (THE BAT permite su uso como tal, pero no por defecto) deberemos actuar en consecuencia. Si queremos evitar que tomen el control del gestor podemos introducir un password -alfanumrico, maysculas y minsculas, con caracteres especiales y ms de 8 caracteres, se recomienda el uso de mnemotcnicos-. Y los correos debieran incorporar firma digital gracias al GNUPG-WinPT que se integra totalmente. Para firma digital y cifrado fuerte: AQUI. Tambin deberamos deshabilitar los scripts (ya hemos introducido las extensiones que los permiten en THE BAT!). Aconsejable echar un vistazo a Ataque malintencionado? Si no tenemos un servidor web, para qu permitirlo.

OTROS PUERTOS y SERVICIOS Los primeros puertos hasta el 20 tampoco es aconsejable permitirlos. Unos cuantos puertos son utilizados desde LINUX, no as desde WINDOWS. Especificarlos. ICMP Aqu llegamos a la regla que limitar el mal uso que se le est dando a este protocolo, el ICMP (como al potente IRC, OJITO con su uso, y ms si se ha de compartir ficheros, que hace muchsimo dej de utilizar para comunicarme, y tan querido para la ingeniera social; tal vez la alternativa sea un servicio distribuido como FILETOPIA o HOT LINE que abordaremos prximamente). En la regla antigua tenamos todos los modos ICMP (1-40) NEGADOS en los dos sentidos. Son muy utilizados para los ataques de Denegacin de Servicio, as que especificaremos al mximo. Se requerir pruebas continuas para verificar su funcionamiento correcto en ADSL y CABLE de diferentes proveedores. Los usuarios de modem analgico lo tienen ms fcil (en los tiempos que corren, tener una direccin IP dinmica es casi una bendicin, curiosamente, para los usuarios que slo quieran navegar y leer el correo y nada ms, no para usuarios ms avanzados).

ANEXO
Los logs debieran ser mirados de vez en cuando cada da. En el KERIO tenemos el FIREWALL STATUS WINDOWS donde los veremos todos agrupados (slo las reglas que tengan permitidos los logs). Tambin podemos ver las aplicaciones que quieren comunicarse, sin necesidad de utilizar el netstat. Idoru nos avis de que mejor deshabilitar los logs, para evitar la cada del KERIO 2.1.4 si es sometido a una tormenta. El trfico interno (LOOPBACK / LOCALHOST / 127.0.0.1 y dems posibilidades) deberemos especificarlo con mayor detalle. De esta forma evitaremos que traspasen el cortafuegos o simplemente echen abajo la conexin.

CIFRADO FUERTE Debemos estar preparados para limitar los daos de una posible intrusin y tener copias de seguridad de nuestros datos, estando los ms importantes y confidenciales bajo cifrado fuerte (evitemos a toda costa las herramientas de cifrado del propio windows, as como el "cortafuegos interno" del XP). QUE NO, NO y NO De qu nos sirven el antivirus o el cortafuegos si no los configuramos adecuadamente y actualizamos? Nuestro sistema siempre caer por el eslabn ms dbil, que en muchas mquinas son:

INTERNET EXPLORER OUTLOOK MESSENGER HOTMAIL IRC INTERCONEXION DE PCs, utilizando las herramientas del XP ...... Utilicemos los windows, s, pero slo lo necesario, como S.O. Deshabilitemos servicios, eliminemos espas y procuremos no utilizar las aplicaciones por defecto que incorporan. Explicado en MATY al desnudo.

También podría gustarte