|
Vista inicial de Outpost, podemos apreciar la división de zonas: la de información (a la izquierda) y configuracion del programa, y la de monitorización o log de las diversas opciones que el programa nos ofrece (en este caso, a la derecha, la pantalla de bienvenida) |
En esta misma sección, en el tutorial referido a ZoneAlarm, conviene leerse la diferencia entre entradas y salidas al PC, conceptos que utilizaremos a menudo en este tutorial, y en los que no nos extenderemos para facilitar la ya de por sí densa lectura para todos aquellos que simplemente quieren "proteger su ordenador", sin interesarse especialmente en cuestiones más específicas de seguridad en Internet.
Primeros pasos: poniendo Outpost en español.
Esto es tan sencillo como seguir el menú de la imagen, y reiniciar el equipo.
[índice]
2.- Políticas: cómo Outpost conecta a Internet
De manera análoga a otros firewalls para Windows, Outpost cuenta con 3 políticas de conexión por defecto, y dos especiales:
Modo Permisivo: el firewall esta activado, pero permite, por defecto todas las conexiones entrantes y salientes a nuestro ordenador, con las restricciones que más adelante veremos, referidas a la configuración general del sistema. En este modo el firewall funciona, si queremos que no aparezca, tenemos dos opciones, utilizar la política "Desactivar Outpost Firewall" (aunque aun así, de esta forma, seguira cargado en el sistema, como servicio -véase Windows XP/NT/2000-) pero ignorando toda la configuracion que hayamos podido establecer. Este modo es el predeterminado y el recomendado una vez acabamos de instalar el firewall. De otro modo, lo más seguro es que no podamos conectar a Internet, no por problemas con el proveedor, sino porque, simplemente, el firewall detecta una salida no registrada y permitida a la red.
Modo Asistente (de Reglas): Una vez hemos instalado y reiniciado, según nos pide, el propio programa, el sistema de asistente de reglas es muy similar en cuanto a concepto, que el de ZoneAlarm y muchos otros firewalls populares. Este modo consiste en detectar toda conexion, tanto entrate como saliente, y la aplicación que la realiza, ofreciéndonos un menú de diálogo para configurar, aplicación por aplicación, y conexión por conexión, de qué modo queremos que la información salga de nuestro ordenador, o que conexiones permitimos que se realicen (si, por ejemplo, tenemos un servidor de FTP, o un cliente P2P tipo kaza o winmx). Lo que lo hace superior en flexibilidad y versatilidad respecto de otros programas de cortafuegos es que las reglas no son simplemente "permitir" o "denegar". La versón profesional del programa tiene aún más posibilidades para crear reglas que no veremos aquí, dada su extensión y complejidad harían sumamente difícil la puesta a punto de Outpost, para todos aquellos que no buscan más que una protección "normal" (podríamos decir) sin especiales exigencias.
Este no es un modo obligatorio, pero sí facilita la configuración del sistema ya que, de lo contrario, nos veríamos obligados a añadir, uno por uno, los programas que queremos que salgan a Internet, buscándolos en nuestro propio disco duro. La diferencia es sustancial, como se puede ver en las imágenes.
Modo Restrictivo: este es el objetivo final del programa: una vez todas las conexiones entrantes y salientes hayan sido configuradas, el modo restrictivo permitirá, de modo exclusivo, dichas conexiones, impidiendo, con la configuración de sistema como veremos más adelante, cualquier otro acceso de entrada o salida a nuestro PC, dejándolo "bloqueado" e incluso "invisible" a detestables scanners de puertos en busca de vulnerabilidades. Y conviene protegernos tanto de las entradas como de las salidas, por el siguiente motivo, que ya explicamos en anteriores tutoriales.
Vamos a crear un escenario con el que de seguro nos hemos enfrentado en alguna ocasion:
Supongamos que, por el motivo que sea, digamos "un descuido" ;) tenemos un troyano activo en nuestro PC, de cuya existencia, evidentemente no nos hemos percatado. El modo Permisivo, como su propio nombre indica, permitiria una conexión bidireccional entre el agresor y nuestra máquina: el agresor podría introducirse en nuestro PC, y a su vez, el troyano enviar la información que se le solicite. El modo Asistente no nos sería muy útil, dado que posiblemente troyanos tipo "wininit" con su solo nombre, nos lleve a confusión acerca de si debemos dejarle acceder a Internet o no, sin saber exactamente de que estamos hablando. El modo Restrictivo NO va a EVITAR la entrada de estos programas a nuestro PC, si no lo tenemos protegido, a su vez con un antivirus actualizado, pero sí conseguirá bloquearlo de manera que esa "comunicacion bidireccional" sea inexistente.
El escenario cambiará ahora. Al restringir todas las conexiones, tanto entrates como salientes, a las aplicaciones conocidas (correo, navegador de interet, mirc, sistemas de mensajeria MSN, ICQ, programas de actualización, etc), y no siendo una de ellas el troyano, cuando el agresor intente acceder a nuestra máquina se encontrará con que todos los puertos están bloqueados para poder "entrar" en el PC. Del mismo modo, el propio troyano, que, por ejemplo, haya robado algunas contraseñas almacenadas en el registro de Windows o sirviéndose de un keylogger (programa que almacena todo lo que tecleamos, siendo por supuesto, su objetivo principal, las contraseñas o cuentas de correo electrónico o demás datos relevantes), deciamos, cuando este troyano intente "salir" a Internet para enviar al agresor todos estos datos que nos son perjudiciales, se encontrará con que tiene esa salida bloqueada. Y no sólo eso: una correcta lectura de los logs proporcionados por el mismo Outpost nos permitira ir "depurando" esas conexiones y reglas, viendo qué es lo que va mal, y si tenemos una conexión que intenta salir de nuestra máquina sin nuestro permiso. Lógicamente, insistimos, esto no nos librara del programa hasta que no hayamos lipiado el PC on alguna aplicación al efecto, aplicaciones de limpieza muy lejos del propósito inicial de este tutorial.
Respecto de los otros modos especiales, de uno ya hemos hablado, que es la desactivacion, mediante elmenu contextual del firewall (el icono pasa a ser un círculo de color gris); y del otro poco se puede decir, a efetos reales de utilidad práctica: es el conocido como "Modo Pánico" o "Bloquear todo" tal como lo denomina el propio Outpost. El distintivo es un círculo rojo, con una X blanca dentro. No nos extenderemos más sobre este modo, que no sea indicar que su función es, por motivos temporales de seguridad, bloquear por completo internet en nuestro equipo, tanto las aplicaciones permitidas, como las no permitidas, supóngase un caso de flood, smurf o cualquier otro modo que nos lleve a la drástica decisión de bloquear por completo el acceso de nuestra máquina a Internet y viceversa. (A las conexiones con IP dinámica este modo les resultará inútil, es mucho mas rapido desconectar y volver a conectar, que bloquear toda conexion)
|
Vista del menú contextual accesible desde la barra de Windows |
[índice]
3.- Opciones de sistema
Sin abundar más de lo necesario para la justa comprensión aceptable para la correcta comprensión de qué es lo que realmente estamos haciendo con el programa, y en último término, con nuestra conexión a Internet (como queremos ser vistos, que conexiones queremos compartir), vamos a echar un vistazo general a las opciones de configuracion general del sistema Outpost.
Dado que mi PC no esta incluido en una red local, es posible que algunas de las opciones que se muestran, y que paso a explicar a continuación deban variar para cada PC.
Permitir Comunicaciones NetBIOS: quien mas quien menos ha oído hablar delos puertos 137-139 o del protocolo NetBIOS de Windows, y del peligro que ofrece, la cantidad de "exploits" existentes, etc. Sin duda, y con ánimo de tranquilizar al lector, el "intruso" pese a conocer nuestra direccion IP pública y tener estos puertos abiertos, no lo tiene tan fácil para hacerse con el control de nuestro ordenador. Sin embargo, que duda cabe, que programa previsor, vale por dos. Así pues, para todos los ordenadores que no este dentro de una red local, y que por tanto no necesiten la conexión con otros equipos Windows (o linux/Unix a traves de SAMBA) es altamente recomendable el desactivar esta casilla, cerrando, sobre la marcha, esos puertos referidos a NetBIOS, limitando pues los scans a nuestro equipo por estos puertos, y por tanto, impidendo la entrada de posibles agresores por los mismos.
En el caso de existir una red local en la que por el motivo que fuere, el proxy no resultase suficiente protección, debemos activar esta casilla, y posteriormente configurar que direcciones IP internas, o que rango de direcciones, que serán logicamente las pertenecientes a nuestra red local, pueden tener acceso a la configuración de Outpost y por tanto utilizar las reglas o permisos de salida y entrada que configuremos. La versión FREE del programa, que es la que estamos comentando NO PERMITE el control de salida de nuestras máquinas locales a internet, en este aspecto el firewall se limita a permitir, por ejemplo, acceder a los recursos compartidos, a traves de NetBIOS entre las máquinas de nuestra red local, pero NO la SALIDA de dichas máquinas a Internet, a través del firewall.
En este caso, dentro del menú del botón Configuración (que lógicamente sólo se activa si la casilla Permitir NetBIOS está a su vez activa) estamos indicando que utilizamos una red local, con direcciones del tipo 192.168.0.2, .3 .4, etc, y SOLO estas direcciones de nuestra red local accedan a recursos compartidos de la misma red. Ello no significa que las direcciones copmrendidas en ese rango (en el caso del ejemplo de 192.168.0.1 a 192.168.0.254) tengan salida a Internet. Sólo la máquina que tenga la conexión, bien del modem, bien del router-modem, bien del dispositivo de red que nos de acceso a Internet, tendrá salida real a Internet, impidiendo Outpost FREE el acceso a Internet al resto de equipos. Aun con todo, esto no es del todo correcto. En redes locales pequeñas (de 2 a 5 equipos) compartiendo la conexión de red por medio de un HUB o modem-router, estando el firewall activo, y configurado para bloquear accesos, permitía salir a Internet el resto de PCs.
ICMP: Acrónimo de Internet Control Messaging Protocol (Protocolo de mensajes de control de Internet), este es otra fuente ya no de accesos no autorizados a nuestro PC, sino de ataques por smurf, flood, o similares, que consisten, basicamente, en realizar peticiones falsas de control a nuestro PC obligándolo a respondera dichas peticiones, generando un tráfico de mensajes que termine por bloquear o incluso "tirar" nuestra conexión. No nos engañemos, ni un firewall perfectamente configurado es invulnberable a este tipo de ataques, pero siempre dificulta la labor a quienes, sin tener nuestra dirección IP o incluso teniéndola quieran "pasarse de listos" con nuestro PC.
NOTA: lamentablemente, pese a la altísima utilidad de saber controlar el tráfico de mensajes ICMP hacia y desde nuestro ordenador (tarea quizá que escapa de la compresión del lector), las conexiones que funcionen con módem RTB (conexión de 56K) es especialmente vulnerable a este tipo de ataques, ya que el módem, de por si, no filtra ninguna conexión se limita a pasar todo lo que recibe a nuestro PC, que será quien posteriormente trate esa información recibida. Un escenario muy sencillo para explicar esto: si una persona nos envia (inundacion ping o ping flood) del orden de 1 paquete cada 10 milisegundos, de una longitud de 1400 bytes, estamos recibiendo, cada minuto, un total de 8 Mbytes de informacion (o lo que es lo mismo, casi 134 Kbytes/segundo de información inútil) que supera, en mucho, la capacidad de recepcion de un modem de 56K, lo que provocará, más tarde que pronto la caida de nuestra conexión. En honor a la verdad, es necesaria una conexión realmente potente, o gran cantidad de máquinas amplificadoras para conseguir estos valores. El fin de este ejemplo es hacer comprender que un firewall, incluso bien configurado, no es la única solución a todos nuestros problemas en Internet, con la especial referencia a los ataques que por IRC todos hemos recibido de una u otra manera ;)
Una configuración aceptable, para protegernos de este tipo de scans y ataques, es la que se muestra en la imagen a continuación:
Nuevamente, la explicación de cada una de los tipos de mensajes ICMP de pregunta y respuesta que hay exceden, y con mucho, la intención de este tutorial. Esta es una configuración probada en varias máquinas con diversos sistemas operativos y aplicaciones ejecutándose en ellas, y permite una perfecta conexión a Internet. Para los puristas en seguridad, por ejemplo, el no permitir que mensajes del tipo "Echo request" salgan de nuestro PC es más que discutible, pero como hemos dicho, esto excede de la configuración de un programa de protección de usuarios normales que no están obligados (ni interesados) en conocer todos y cada uno de los peligros potenciales de Internet, y mucho menos, de la familia de protocolos TCP/IP. Evidentemente, esta configuración es sumamente restrictiva, y dependiendo de cada ordenador, deberá ser configurada de una u otra manera. La pretensión de este documento no es el estudio exhaustivo de la creación de firewalls para Internet. las soluciones "globales" no existen. Pero sí las recomendadas. El autor, como todo el canal #Ayuda_internet en la medida de lo posible, están dispuestos a colaborar en una óptima configuración personalizada de cada ordenador, ante las consultas que se puedan plantear, o posibles malos funcionamientos del mismo. Pero continuamos con nuestro periplo en la configuracion de esta herramienta.
Tipo de respuesta: la ideal, tal como se indica en la captura, es "Invisible", no enviando ningun tipo de respuesta ante los intentos fallidos (bloqueados) de conexióna nuestro PC, eliminando tráfico de la red, y dificultando más aún la tarea de encontrar vulnerabilidades en nuestro sistema. Para los familiarizados con otro tipo de firewalls como iptables o similares, la comparación es evidente: la respuesta "Invisible" equivaldría a un tarjet DROP, mientras que la "Normal" supondría un REJECT (salvando las distancias entre sistemas Windows y sistemas derivados de UNIX) Pero no aburriremos al lector con estas disertaciones, simplemente, indicar al programa que deseamos un tipo de respuesta invisible, que dará -tenemos la esperanza- una respuesta "Stealth" en los scanners online de puertos que se indicarán más adelante.
Reglas Globales del Sistema:similar al punto referido a paquetes ICMP, la configuración de este apartado se recomienda sólo a usuarios avanzados que comprendan el significado de cada una de las opciones. No obstante, si podemos indicar que en condiciones normales, desactivar las casillas "Allow Outgoing DHCP" "Allow GRE Protocol" o "Allow PPTP Protocol", para usuarios normales favorece una mayor seguridad ante peticiones de protocolos desconocidos. A modo informativo, se puede señalar que GRE y PPTP (acrónimos de Generic Routing Encapsulation -Encapsulación genérica de encaminamiento- y Point to Point Tunneling Protocol -Protocolo de túneles punto a punto-) son protocolos que ofrecen encriptación de datagramas y que, por lo general, y dadas las conexiones habituales contratadas en España para la conexión doméstica a Internet, son perfectamente prescindibles. Una vez más, las opiniones de los expertos divergerán de la del autor. baste indicar que, como se ha indicado antes, estas son configuraciones probadas, con buen resultado, en diversos sistemas Windows, con un funcionamiento perfecto de las aplicaciones habituales (mIRC, Explorer de Microsoft, Netscape, Correo electrónico, MSN Messenger, juegos por Internet, etc). Del mismo modo, no serán habituales para usuarios corrientes conexiones de tipo RPC (Remote Procedure Call -Llamada a procedimiento remoto) o SMB (Server/Session Message Block -Bloque de mensajes de servidor/sesión- actualmente redenominado CIFS), normalmente aplicables en interconexión de redes o equipos NT y derivados con UNIX y derivados.
Dentro del menú "Sistema" existen más apartados, uno de ellos "General" donde habitualmente la configuración poer defecto es aceptable, "Política" (ya hablamos de ello anteriormente), "Configurar Plug-Ins", de lo que se tratará más adelante, y "Aplicación" en la que nos extenderemos al hablar de la creación de reglas con Outpost
[índice]
4.- Reglas de filtrado
En Agnitum Outpost, las reglas son configurables en dos momentos. Si acabamos de instalar el programa, siguiendo los pasos del tutorial, y tenemos activo el modo "Asistente" (de reglas) cada aplicación que necesite conexión a Internet, al ser abierta, nos mostrara un diálogo como el siguiente:
Este cuadro tiene varias cosas que explicar. En primer lugar, por que aparece. Como se dijo anteriormente, la idea de este firewall es impedir conexiones a toda aquella aplicación no registrada en el mismo. En este caso, acabamos de instalar Outpost, y como aún on estamos seguros de qué es lo que debemos configurar y como, hemos colocado el modo Asistente y nos hemos encontrado, que para intentar acceder al IRC con el mIRC nos aparece, antes de poder hacer nada, este mensaje. Bien, es normal, así que no asustarse, y con un pco de paciencia, intentaremos explicar cada una de las opciones que presenta.
Como se puede apreciar, el mismo firewall nos indica el nombre de la aplicación (mirc.exe, en este caso la aplicación es sobradamente conocida por todos), indica también el tipo de conexion que requiere la aplicación, en este caso Salida (lógico, queremos "salir a Internet" para poder conectar con un servidor de IRC), así como el servidor o servicio remoto al que dicha aplicación quiere llegar (en este caso, mIRC quiere llegar, porque así lo tengo configurado en mi caso particular, al servidor atreides.irc-hispano.org), por medio del protoclo TCP, al puerto remoto 6667. O dicho de otra manera, el siguiente mensaje se podría mirar, en lenguaje humano como:
"¡Hey! Soy el mIRC, me has dicho que conecte al iRC-Hispano, y no sé qué hacer. ¿Qué me dices que haga?"
Como primera toma de contacto no está mal. Quizás muchos de los lectores no se habán parado a pensar que sucedían tantas cosas (y más que no muestra el programa) al abrir simplemente una aplicación para nosotros tan corriente como mIRC. Para la correcta configuracion de Outpost no es necesario saber que el puerto 6667 pertenece a la conexión de servidores IRC, que dicha conexión se establece sobre el protocolo TCP (y lo que ello significa) -aunque más adelante abundaremos en este aspecto, al referirnos ala lectura de logs-. Diálogos similares nos aparecerán, nada más instalar el programa, y configurar la política en modo Asistente, para un Dialer o Acceso Telefónico a Redes (quienes lo tengan), Internet Explorer, Outlook, Kazaa, WinMX o cualquier programa que se nos ocurra que necesite salir a Internet (programas más extraños como los actualizadores de antivirus, WindowsUpdate, o el propio Outpost) Al principio es normal vernos "bombardeados" por este tipo de diálogos, pero como ya dije más arriba, con un poco de paciencia, en pocos minutos la configuración estará lista para unas pruebas preliminares de funcionamiento con el firewall activado.
Como se puede apreciar también, Outpost no es tan "tonto" y "conoce" el programa mIRC ya que nos ofrece "Usar reglas preconfiguradas de". No solo conoce mIRC, sino la mayoría de programas de uso habitual en una sesión de Internet normal, como clientes de correo electrónico, navegadores de internet, programas de sharing o P2P, clientes de FTP... No obstante, y como el propio nombre indica, estas son "reglas preconfiguradas", prefabricadas, lo cual quiere decir que habria que echarles cuando menos un vistazo, para poder saber si se ajustan a lo que realmente queremos o no. Por lo tanto, ante este diálogo, damos primeramente a aceptar, aplicando las reglas pre-configuradas para mIRC, y revisarlas posteriormente. Si en este momento abriésemos el menu Opciones / Aplicación... veríamos como dentro del semáforo amarillo (aplicaciones con reglas) se nos ha incluido directamente el mIRC. Vamos, por tanto a ver como se crea una regla, que elementos la componen, y que importancia tiene cada uno.
En el menu dicho anteriormente (Opciones / Aplicación) seleccionamos una de las aplicaciones con reglas que ya existan, o bien, y esto es importante, añadimos un nuevo programa manualmente (obsérvese como para añadir una aplicación con reglas, primero se selecciona con el ratón el semáforo amarillo, posteriormente se hace clic en el botón "Añadir" y por último, una vez hayamos encontrado el programa, al boton "Abrir":
Una vez demos a "Aceptar", se nos mostrará un cuadro en el que se nos pregunta qué características y privilegios va a tener la aplicación, llamado "Reglas" en principio, vacio, que rellenaremos con el botón "Nueva"
Vamos a ir viendo paso a paso cada una de las casillas y su explicación:
Si el protocolo es: si activamos esta casilla, veremos como en el apartado 3. Definición de la Regla (...) se añade el texto "Si el protocolo es Indefinido Permitir". Al hacer clic en Indefinido, el progrmaa nos pregunta el tipo de protocolo, dándonos a elegir dos, TCP y UDP. Sin entrar en otras consideraciones técnicas, dependiendo de la aplicación habrá que seleccionar uno u otro. Pregunta: "¿y si tuviese que seleccionar los dos?" Muy sencillo, acepta esta regla con TCP, y aade una nueva idéntica, pero al pinchar en Indefinido selecciona UDP.
Si la dirección es: aquí la opción de indefinido nos da dos opciones: Entrada y Salida. Lo habitual es que la única dirección que requieran nuestros programas sea "Salida", salvo que nosotros mismos tengamos un servidor FTP, un servidor HTTP o un servidor IRC. Lo normal es que nosotros seamos clientes que queramos conectar a un servidor, de IRC, de correo, de web, etc, no obstante, puede suceder que, por ejemplo, hayamos creado un servidor que sea nuestro propio disco duro (o una partición del mismo) lleno de canciones mp3 para que nuestros amigos puedan bajarlas directamente de nuestro ordenador. En este caso, ya SI estamos actuando como servidor, y por tanto, necesitamos aceptar tambien peticiones cuya direccion sea "Entrada" o cuando nuestros amigos vayan a conectar a nuestro ordenador, les aparecerá un error diciéndoles que no pueden conectarse a el (¡pese a que tenemos un servidor FTP perfectamente configurado!). Asi que por defecto, seleccionaremos "Salida". La dirección de los paquetes puede llevar a confusión. Una pregunta muy habitual es, por ejemplo, ¿qué sucede cuando alguien me llama por messenger? ¿Acaso no están intentando conectarse conmigo? Sí, asi es. Lo importante aquí es que en ese caso tú NO eres el servidor de Messenger, sino simplemente, un cliente más, por tanto, no necesitas permitir ningun tipo de conexiones de entrada para charlar por MSN.
Ahora bien, y esta es una de las preguntas estrella ¿Qué pasa con los DCC que me envían por IRC? ¿Y con los archivos que recibo por MSN? Efectivamente, tu situación con respecto a la red ha cambiado. Ahora SI eres un servidor ya que alguien quiere "entrar" en tu ordenador para depositar un archivo, por cualquiera de estos dos métodos. La forma de permitir este tipo de conexiones es variada. En primer lugar, la más "socorrida" es establecer, por el tiempo que dure la transmisión del archivo por DCC, o la charla privada por DCC CHAT el firewall en modo permisivo. No es una buena opción ya que, pese a estar activo, bajamos nuestras defensas. Vamos a seguir estudiando las posibles reglas, para poder responder correctamente a esta pregunta que de seguro la mayoría de lectores de este tutorial se estará formulando.
Si el equipo remoto es: Parecida a la casilla de NetBIOS de la que se habla más arriba (ver diálogo), se nos abre un cuadro al pinchar en Indefinido, para que indiquemos la dirección IP o el nombre de internet del PC del cual queremos recibir una conexion. Si estamos conectados a Internet, y nuestra conexión y la de nuestros amigos es a través de Telefónica, en principio indicando Nombre de dominio telefonica.net permitiriamos a todas las personas de telefonica.net abrir una conexión a nuestro ordenador. Atención a la distición REMOTO - LOCAL. Aquí remoto va a ser siempre cualquier ordenador de la red que NO sea el nuestro. Por contra, LOCAL se refiere SIEMPRE al ordenador que estamos utilizando.
Si el puerto remoto es: aparece normalmente en gris, no activable, porque para conocer un puerto, hemos de asignarlo a un protocolo. Para poder seleccionar esta casilla, basta con seleccionar previamente Si el protocolo es (y elegir uno de los dos, TCP o UDP) y añadir el numero de puerto que queramos (sale una pequeña lista de puertos conocidos, pero podemos indicar el que queramos 27005 para un servidor de Counter-Strike, por ejemplo)
Si el equipo local es: como nuestro equipo es nuestro propio PC, normalmente basta indicar la dirección IP 127.0.0.1 para referirnos a nuestro ordenador, sin indicar la IP externa o la IP si es dinámica. 127.0.0.1 siempre llama a nuestro propio ordenador. Outpost sabe que 127.0.0.1 es el ordenador que estamos utilizando.
Si el puerto local es: Similar al puerto remoto, está desactivada en el inicio, pero se puede seleccionar activando y seleccionando un protocolo. Aqui ya no nos referimos a un puerto de otro ordenador, sino a uno del nuestro, por el que queremos que conecten. Veremos ejemplos dentro de nada.
Permitir: La propia palabra lo indica. Sea lo que le hayamos dicho previamente que sea, permitimos la conexion de entrada o salida.
Rechazar: También como la misma palabra indica, se rechazará cualquier conexión especificada a nuestro ordenador. Un buen ejemplo es Si la direccion es Entrada Rechazar (bueno como ejemplo, pero poco útil a la hora de navegar)
Bloquear: Parecido a rechazar, con la diferencia de que en elc aso de bloquear no indicamos al otro PC que le estamos rechazando su conexión, y por tanto no sabe si no puede acceder a nosotros porque no se lo permitimos, o porque no damos ese servicio. Si bloqueamos, por ejemplo, todas las peticiones TCP al puerto local 80 (servidor web) la persona que nos haga una peticion a dicho puerto no sabrá realmente si es que no se la permitimos, o si es que no tenemos un servidor Web activo que acepte esas conexiones.
Nombre de la Regla:Es bastante útil indicar nombres descriptivos a cada una de las reglas que vamos añadiendo, más que nada, para nuestra propia claridad de ideas a la hora de añadir o eliminar o desactivar reglas que ya existen (sin necesidad de consultarlas) Una regla con el nombre "permitir DCC de fulanito" nos indica claramente que es lo que esa regla contiene, mientras que "MIRC Rule #6" es bastante mas críptico de averiguar, pese a que dentro, la regla contenga los mismos parametros (misma dirección, mismo puerto, etc)
"Muy bien todo esto de las reglas, pero no me he enterado de nada"
Es muy normal, no estamos haciendo un manual, ni ellector tiene por que conocer perfectamente conceptos de redes que no le vienen al caso para lo que quiere hacer. Por eso, en lugar de explicar con complicadas definiciones para muchos, pondremos algunos ejemplos, con la esperanza de que quede todo aclarado.
Ejemplo 1.- Vale, puedo conectar perfectamente a Internet, puedo leer el correo con Outlook, y enviarlo, puedo chatear pero no puedo enviar a un amigo un DCC, ni recibir los que el me manda, me da siempre error de conexión.
Solución a.- Crea una regla, para el mirc, indicando: Si el protocolo es TCP | Si el equipo remoto es (la ip de tu amigo) |si la dirección es Entrada | Permitir
Solución b.- Crea una regla para el mirc, indicando: Si el protocolo es TCP | Si el puerto remoto es 4500-5000 | Si la dirección es Entrada | Permitir
Ejemplo 2.- Tengo un servidor FTP como el gene6 o serve-u en mi PC, con unas cuantas canciones para que se bajen mis amigos por FTP. Pero aunque les doy contraseña y la meten bien, les da error de conexión
Solución a.- Crea una regla, para el programa FTP, indicando: Si el protocolo es TCP | Si el puerto local es 20,21 | Permitir
Solución b.- Crea una regla, para el programa FTP, indicando: Si el protocolo es TCP | Si la direccion remota es retevision.es | Si el puerto local es 20,21 | Si la direccón es Entrada | Permitir
Ejemplo 3.- Todo internet me va perfecto, menos el MSN que no me deja recibir conversaciones de voz
Solución a.- Crea una regla para el programa MSNMSGR.EXE, indicando: Si el protoclo es TCP | Si el puerto remoto es 6891 | Permitir
Ejemplo 4.- Ok, tengo el servidor de FTP funcionando perfectamente, pero hay dos personas a las que no quiero dejar entrar
Solución a.- Crea una nueva regla, para el mismo programa de FTP, indicando: Si el equipo remoto es (añade las dos IPs de esas personas) | Si la dirección es Entrada | Rechazar
Solución b.- Crea una nueva regla para el mismo programa de FTP indicando: Si el protocolo es TCP | Si la dirección es Entrada | Si el equipo remoto es (añade las dos IPs) | Si el puerto local es 20,21 | Bloquear
Como podéis ver, hay varias soluciones para un mismo problema. En estos ejemplos, la solución A es mucho más genérica que la B, que es más restrictiva. Mayor restricción supone mayor seguridad, pero también mayor complejidad. Y ante esto no hay mejor consejo que la experiencia, personal o ajena. Haz lo que creas más conveniente. Y en caso de duda, pregunta siempre.
En el caso particular del autor, todas las reglas de todas las aplicaciones, con excepcion de la recepción de DCC y envios de MSN tienen una regla tan sencilla como eficaz: Si la direccion es Salida | Permitir. Esta regla, en modo restrictivo, supone que salvo las personas cuyas IPs tengo añadidas para la recepción de DCC o envios de MSN, NADIE, puede entrar en mi ordenador. ¿Parece una chulería, no? Pues no lo es. Desde fuera, y excepto para esas IPs e incluso de esas IPs todo lo que NO sea DCC o envio MSN, lo bloqueo.
Otra pregunta estrella es: "Lo he puesto como dices, pero el mIRC (u otro programa) tarda más en conectar". Pues perfecto, eso quiere decir que el firewall funciona perfectamente. No hace falta que toques nada, salvo esperar resignadamente ese par de minutos que puede tardar la conexión al IRC. No es gratuito, tiene su explicación teórica, pero sería demasiada palabrería. Si finalmente consigues conectar, todo esta correcto.
Y pese a que las reglas dan muchísimo de sí, y no digamos nada con la versión PRO (de pago) de este programa, que añade muchas mas opciones, lo básico para un funcionamiento más que decente está ya explicado, y, esperamos, que entendido.
[índice]
5.- Comprendiendo un log (también conocido como "los informáticos estais todos locos")
En primer lugar, si ya has configurado correctamente tu Outpost, tu PC navega perfectamente, y dentro delo que cabe, has entendido más o menos qué hacer en caso de querer añadir un nuevo programa que instales, es muy posible que esta sección te supere o, simplemente no te interese. particularmente sí nos interesa ahondar un poco más en este terreno, para aquellos que quieran profundizar y conocer mejor como va "esto de Internet", sin ser exhaustivo ni técnico. Una finalidad del firewall es proteger, desde luego, pero no menos cierto es que la protección, sin actualización, no sirve de mucho. Si sabemos de donde proceden los ataques, los scans de puertos, u otras cosas, sabremos como pararlos y en caso de ser necesario, como crear reglar para evitar mejor posibles intrusiones. Al fin y al cabo, un firewall no es más que un programa, y Windows no es más que de Microsoft. Los "bugs" están servidos ;)
En segundo lugar, Outpost nos ofrece dos formas distintas de ver la misma cosa. A veces son complementarias, a veces se solapan. Una de ellas, y como su nombre indica es el plug-in Detección de Ataques, y otra el log que resulta de hacer clic sobre Bloqueadas (conexiones que han intenado acceder a nuestro ordenador, pero bien por reglas, bien por configuración del sistema, no han conseguido acceder a él)
Veamos primero una linea ejemplo de una conexion bloqueada:
Tenemos varias columnas, de las cuales, realmente relevantes son el Equipo Remoto, el Puerto Remoto, la Dirección, el Protocolo y el Puerto Local
Tráfico ICMP n/a 31/07/2003 05:08:27 dns2.red.retevision.es Type 3/3 Salida ICMP Type 3/3
Vemos que dns2.red.retevision.es ha solicitado un paquete ICMP del tipo 3/3 (destination-unreachable) de mi máquina (por eso pone dirección salida) que he bloqueado. Para muchos entendidos esto es una aberración, impedir que otro servidor sepa si existes o no existes, y se infle a enviar pings. En este caso concreto no sucede tal cosa. Independientemente de todo, los servicios no funcionan alegremente: ante falta de mensajes de control, dejan de enviar paquetes.
6.- Plug-ins
Outpost reúne características que van más allá de lo que puramente sea filtrado de conexiones, como es control de pop-ups, control de publicidad, banners o ADS, etc. Para configurarlos hay dos modos: bien en el menú Opciones / Plug-Ins bien con el boton derecho del ratón sobre el pug-in que corresponda / Propiedades... Aquí solo veremos las dos utilidades más comunes, dejando al usuario la opción de estudiar mejor si le conviene utilizar estos añadidos, o programas externos tipo proxy, por ejemplo.
Publicidad: Permite bloquear imagenes o links publicitarios de dos formas: bien por tamaño de imagen (sustituirá la imagen de ese tamaño por [AD-SIZE]) o bien si un texto invita a una direccion contenida en el plugin (link) lo sustituira por [AD-TEXT]
Contenido Activo: Quizá el más interesante de todos los añadidos de outpost, permite bloquear determinados contenidos: pop-ups, aplicaciones java, javascript, activex, referers, etc. permitiendo excepciones a los mismos. (Por ejemplo si quiero que webmail.eresmas.com SI abra pop-ups) Todas las coincidencias de contenido activo no deseado bloqueado quedan registradas en el log de outpost para su posterior consulta. Realmente útil.
[índice]
Epílogo
Este ha pretendido ser un acercamiento a un firewall un poco más avanzado que ZoneAlarm, tocando por ello conceptos que en Zone no eran tan necesarios. Pero la magia no existe, y si las normas más básicas de funcionamiento no se siguen, tales como no aceptar envíos no solicitados, poner contraseñas demasiado cortas o demasiado fáciles, o "jugar con fuego" (consultando páginas de dudoso contenido activo, bajando programas pirateados, etc) un firewall posiblemente no haga más que molestar. Pero sí es una herramienta muy útil para una navegación segura, sin sobresaltos, y que en más e una ocasión frenara intrusiones no permitidas, máxime cuando muchas de ellas no están dirigidas por personas, sino por programas de scan de puertos o intentos de conexión que funcionan automáticamente.
De la misma manera, el autor es una persona humana y puede cometer errores, omisiones y demás erratas posibles enla redacción de todo escrito. Así pues invito a todo lector interesado a que me escriba sobre todo aquello que considere oportuno apreciar, bien por error bien por omisión, bien por actualización. en esta misma línea de tutoriales básicos sobre seguridad mínima, mi inteción es en la medida de lo posible, sacar un tutorial sobre las iptables y netfilter para linux dirigido como siempre para aquellos que, nuevos en el "mundillo", sepan y puedan proteger convenientemente sus equipos.
Por último, mi agradecimiento al equipo de #Ayuda_internet por el apoyo prestado, de los cuales he aprendido mucho y lo que me queda todavía por aprender. Igualmente estarán encantados de solucionar cuantas dudas puedan surgir al lector acerca dela instalación y configuración de este y otros programas.
(c) Sphynx 2003