Descripción General de la Funcionalidad del Firewall en la Conexión a Internet




Inicialmente cuando las redes fueron creadas, se pretendía que se conectaran computadoras "confiables". Con el transcurso del tiempo, las agrupaciones de redes llegaron a conectarse, introduciendo la capacidad de que una entidad desconocida de una red se pudiera conectar a una computadora de otra red, lo cual llevó a la necesidad de protección.
Anteriormente el no contar con protección en forma de un Firewall en una computadora personal conectada a Internet no era un problema porque la conexión primaria usaba un módem y marcaba la conexión solamente cuando la necesitaba. La duración de la conectividad era corta y la dirección IP asignada era dinámica, logrando que los hackers u otras amenazas externas tuvieran problemas para conectarse a la computadora.
Pero hoy en día, el panorama de seguridad está cambiando. Más usuarios domésticos adoptan conexiones de banda ancha en "siempre activo". Debido a que estas conexiones tienen la misma dirección IP, es más fácil para los hackers localizar una PC.
Los hackers solían necesitar conocimiento privado de topologías y protocolos de red. Pero ahora varias herramientas están disponibles libremente en el Internet, haciendo que sea más fácil para los hackers novatos (o llamados "chicos script") encontrar vulnerabilidades en las computadoras y aprovecharlas. Estudios muestran que las redes conectadas vía módem son frecuentemente detectadas por hackers. Es probable que los ataques aumenten solamente si más gente está conectada a Internet y si más servicios son ofrecidos.
Meta del Firewall en la Conexión a Internet
El Firewall en la Conexión a Internet (ICF) está diseñado para brindar protección contra estas amenazas a los usuarios domésticos y oficinas pequeñas. La meta es proporcionar un mecanismo de referencia de prevención de intrusión en Windows XP. Esto significa protección contra detección de información y rechazo de todo tráfico entrante no solicitado. Al hacer esto, las herramientas básicas que están disponibles para los "chicos script" no serán efectivas y muy probablemente ellos buscarán otro objetivo más fácil.
Los Firewalls generalmente han sido difíciles de configurar para una persona común. Con Windows XP, la meta de Microsoft es proporcionar una experiencia de seguridad sencilla y discreta. Al usar una sencilla interfaz de usuario con casillas de verificación y proporcionar asistentes para habilitar el ICF en las conexiones, Windows XP elimina la configuración molesta para consumidores mientras que sigue brindando flexibilidad a usuarios avanzados para personalizar configuraciones.
Disponibilidad del Firewall en la Conexión a Internet
ICF está integrado en Windows XP Home Edition y Windows XP Professional. También estará disponible en Windows .NET Standard Server y Windows .NET Enterprise Server.
Instalación del Firewall en la Conexión a InternetEsta sección describe las formas de instalar el Firewall en la Conexión a Internet.
Puntos de Instalación para ICF
A continuación varias formas de instalar ICF:
Bienvenido al Asistente de Windows. Esto es lo que ve si instala Windows XP Home Edition o Windows XP Professional en una computadora independiente (que no esté conectada a un dominio de red). El asistente hace fácil la conexión a Internet, activa su copia de Windows, registra Windows y crea cuentas de usuario. Si la computadora personal tiene un sola conexión de red y está establecido que esta conexión de red es para conectarse a Internet, el asistente de Bienvenida a Windows habilitará el ICF en esta conexión. Asistente para Configuración de Red (NSW). (Para Windows XP Home Edition y Windows XP Professional en una computadora independiente). Cuando ejecute el NSW, se le preguntará como está conectado a Internet (hay 5 opciones). Si selecciona una opción indicando que la PC está conectada directamente a Internet, el ICF se habilitará en la conexión a Internet. Nuevo Asistente de Conexión (NCW). Cuando ejecute el NCW y seleccione la ruta "Conectarse a Internet", el ICF se habilitará en la conexión a Internet designada. Carpeta de Conexiones de Red. Usted puede recurrir a la etiqueta de Avanzado en la página de Propiedades para realizar una conexión de red y poder habilitar el ICF por medio de una simple casilla de verificación. La carpeta de Conexiones de Red se encuentra en el área de Conexiones a Red e Internet del Panel de Control.
Tipos de Conexión que Soporta
ICF puede ser habilitado en una red de área local (LAN), incluso en una LAN wireless así como también en conexiones de Servicio de Acceso Remoto como PPP en Ethernet, redes de acceso telefónico y Redes Virtuales Privadas. ICF puede ser habilitado en múltiples conexiones en un sistema, cada una con sus propias configuraciones.
ICF no puede ser habilitado en adaptadores privados de Compartición de Conexiones de Internet (ICS), en una conexión que es miembro de Network Bridge, en el mismo Network Bridge o en conexiones entrantes.
Requerimientos de Permisos
Usted debe ser administrador del sistema para poder habilitar y manipular el ICF.
Escenarios de Implementación de ICF
Hay dos escenarios principales de implementación de ICF:
Protección para una sola PC que ejecuta Windows XP, conectada directamente a Internet. En este escenario una PC que ejecuta Windows XP se conecta a Internet vía una conexión RAS o LAN. Las entidades en Internet (u otras redes públicas en las cuales se conecta la PC) son capaces de llegar a esta PC, pero no serán capaces de accesar servicios y recursos en la PC.
Protección para una red doméstica o de oficina pequeña. Cuando se usa en conjunto con una solución de compartición de Internet (como ICS), el ICF brindará protección a la red.

Esta sección incluye información detallada de como funciona ICF.
Conceptualmente, los Firewalls son unos grandes motores de filtro de reglas que interceptan tráfico en la red y que aplican su grupo de reglas al mismo. El filtro de paquetes es un proceso que permite o niega el paso de tráfico basándose en la información del encabezado del paquete de datos. La información específica del protocolo de red como la dirección y puertos de origen y destino TCP/IP, junto con otra información, se encuentra disponible para un dispositivo de filtro de paquetes para ser usada en reglas establecidas que permitan o nieguen el flujo del tráfico en la red.
Filtrado de paquetes dinámico
En el centro de ICF se encuentra un filtro de paquetes dinámico. A diferencia de un filtro estático de paquetes, el cual decide si excluye o no un paquete únicamente en base a la información de la dirección del paquete, un filtro de paquetes dinámico basa sus decisiones tanto en el estado del paquete como en el contexto de la información de una sesión. Este estado almacenado proporciona el filtro mediante el cual se hacen cumplir un grupo reglas más enriquecedoras e integrales que un filtro estático.
El estado que el ICF mantiene es una tabla de conexión de flujos. Para los protocolos orientados a conexiones, tales como TCP, una conexión de flujo es equivalente a la definición de protocolo de una conexión (por ejemplo, las direcciones y puertos de origen y destino y el protocolo usado). Una conexión de flujo para un protocolo sin conexión como UDP, es el grupo de paquetes que son enviados entre terminales comunes (por ejemplo, Dirección IP1/Puerto1 y Dirección IP2/Puerto2) sin interrupción, donde interrupción se define como la pérdida de cualquier paquete que coincida con ese flujo en un periodo de tiempo de un minuto.
Cuando una conexión de flujo es finalizada debido al tiempo, o cancelada, la información del estado es eliminada de la tabla.
Políticas de Seguridad del Filtrado de Paquetes Dinámico
La principal política de seguridad que ICF aplica a través de filtrado de paquetes dinámico tiene 3 reglas:
Cualquier paquete que coincida con una conexión de flujo establecida es reenviado.
Un paquete enviado que no coincida con una conexión de flujo establecida crea una nueva entrada en la tabla de conexión de flujo y es reenviado.
Un paquete recibido que no coincida con una conexión de flujo establecida, se excluye.
Esta política les da acceso a clientes normales de Internet (como exploración Web), al mismo tiempo que evita que los paquetes que no estén relacionados a tal acceso se envíen a la pila de la red. Hay disposiciones para los usuarios de efectuar modificaciones a estas reglas para abrir puertos específicos (creando un filtro estático) y así los servicios, como un servidor Web, puedan ser ejecutados detrás del Firewall.Estado y Configuración sobre Bases Por Conexión
ICF puede ser habilitado en múltiples conexiones de red. Cada instancia de ICF tiene su propio mapeo de Puerto y opciones de configuración de ICMP; manteniéndose independientes entre sí (las configuraciones de bitácoras son globales).
Prevención de Copia de IP
ICF evita que las aplicaciones realicen copias de IP. Ha habido una especial atención acerca de la inclusión de sockets en Windows XP y cómo esto podría dirigirse hacia un incremento de ataques de Negación de Servicio (Dos). La inclusión de soporte a la opción IP_HDRINCL en Windows XP, permite que las aplicaciones de socket establezcan o modifiquen la dirección IP origen de los paquetes. Esto es útil para los ataques DoS debido a que el agresor puede cambiar el origen del ataque.
ICF realiza una inspección del paquete saliente sobre los IPs copiados. Esto incluye TCP, UDP, ICMP y comunicaciones PPTP/GRE (Protocolo Tunneling Punto a Punto - Redes Virtuales Privadas). Cuando ICF se ejecuta por si mismo, el paquete saliente será inspeccionado y bajo la detección de un paquete copiado, el paquete copiado será excluido.
Cuando el ICF y el ICS son habilitados en conjunto, el tráfico copiado será modificado para incluir la dirección correcta del IP de origen del servidor ICS, evitando que el código malicioso, que se creó en la red doméstica, realice Copia de IP.
Nota: Esto no evita que el cliente Windows XP participe por si mismo en el ataque DoS; solamente evita que el cliente Windows XP falsifique su dirección IP.
Soporte de Protocolos Estándar
ICF incluye soporte para protocolos de Internet estándar como FTP, H.323, LDAP, T.120, y PPTP.

Soporte de Transportes
ICF soporta el filtro de tráfico IPv4. Los transportes NetBEUI, IPX/SPX y IPv6 no son soportados.
Soporte para Funcionalidades y Protocolos Microsoft
Windows Messenger y Remote Assistance han sido desarrollados para trabajar con ICF. Además, debido a que DirectPlay (dplay4 y dplay8) soporta ICF transversal, los juegos y aplicaciones que usan DirectPlay serán capaces de trabajar a través de ICF transparentemente. Estas modificaciones son realizadas usando los APIs que se describen más adelante.
Otras funcionalidades de Windows XP con funcionalidad de red, como el Centro de Ayuda y Soporte, Windows Time y Windows Update, usan protocolos para trabajar a través de Firewalls sin modificaciones especiales.
Problemas Comunes
A continuación una lista de los problemas comunes con ICF:
Las aplicaciones que necesitan que se abra una gama de puertos para el retorno de tráfico, no funcionarán de manera predeterminada. Las aplicaciones necesitarán crear mapeos de puertos adecuados para que estas funcionen. Los usuarios tienen la capacidad de agregar manualmente esta información del puerto. Las aplicaciones que se ejecutan en contexto de usuario donde el usuario no es un administrador, no serán capaces de manipular los mapeos de puertos. Cuando una aplicación de detección que se ejecuta en un servidor ICF detecta un objetivo, la aplicación de detección puede reportar que esos 21 puertos (FTP) y 389 (LDAP) están abiertos. Esto es debido a la forma en que están implementados los servidores proxy FTP y LDAP. Cuando la aplicación de detección envía una solicitud de salida, el lado privado del proxy le envía una respuesta. La aplicación de detección no checa de quien proviene la respuesta y por lo tanto trata esta respuesta como una comunicación exitosa entre ésta y el objetivo. Las lecturas de servidores remotos al ICF reportarán que estos puertos no están disponibles.
Mapeo de Puertos
De manera predeterminada, todas las conexiones entrantes no solicitadas a ICF son excluidas. Esto es problemático si hay servicios ejecutándose detrás de ICF, y de los cuales usted quiere que la gente en Internet accese. Los mapeos de puertos (filtros estáticos) son un medio por el cual los servicios y las aplicaciones crean reglas en el Firewall para manejar las conexiones entrantes. Al crear un mapeo del puerto (por ejemplo, puerto de apertura 80 para un servidor Web), ICF permite que las solicitudes de los usuarios en el Internet lleguen a su sitio Web y se les de servicio por el servidor Web.
Igualmente, algunas aplicaciones usan protocolos que son problemáticos para los Firewalls. Generalmente esto se debe a la respuesta de la conexión saliente que fue solicitada de retorno en un puerto no esperado o de una dirección IP diferente. Esto ocurre comúnmente en medios de selección por niveles y aplicaciones chat. Al crear los mapeos de puertos, las aplicaciones pueden configurar el ICF para permitir que la respuesta de tráfico regrese a un puerto diferente de la conexión saliente indicada.
Cuando ICS e ICF se ejecutan juntos en la misma conexión, un mapeo del puerto realizado por una funcionalidad será recogido por otro al mismo tiempo que compartirán la misma tabla de mapeo.
ICF tiene opciones integradas de mapeo de puertos para servicios comunes. Estos mapeos de puerto son deshabilitados por defecto. Estos mapeos pueden ser habilitados en la hoja de Propiedades de conexión de ICF habilitado.
Opciones de Bitácora
ICF tiene la capacidad de obtener la bitácora de tráfico en la red. Esta bitácora cumple con el Formato Extendido de Archivos de Bitácora W3C (http://www.w3.org/TR/WD-logfile.html), el archivo de la bitácora es un archivo de texto ASCII que puede ser importado para el análisis de los datos.
ICF tiene cuatro opciones básicas de bitácora. De manera predeterminada, todas las opciones de bitácora están deshabilitadas.
Bitácora de todos los paquetes excluidos. Esta opción obtiene la bitácora de todos los paquetes excluidos de conexiones entrantes y salientes.
Bitácora de todas las conexiones exitosas. Esta opción registrará todas las conexiones exitosas entrantes y salientes.
Bitácora de los nombres de archivos y ubicaciones. El nombre predeterminado del archivo de bitácora es pfirewall.log. La ubicación predeterminada del archivo de bitácora es %windir%. El usuario tiene la capacidad de fijar el nombre de archivo y su ubicación.
Bitácora del tamaño de los archivos. El tamaño de los archivos por defecto es 4096 kilobytes (KB). El tamaño máximo del archivo es de 32767 KB.
A continuación un ejemplo de archivo de bitácora de ICF:

#Version: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info
2001-07-11 19:28:06 DROP ICMP 172.31.80.1 172.31.82.198 - - 56 - - - - 5 1 -
2001-07-11 19:28:08 DROP ICMP 172.31.80.1 172.31.82.198 - - 56 - - - - 5 1 -
2001-07-11 19:28:13 DROP ICMP 172.31.80.1 172.31.82.198 - - 56 - - - - 5 1 -
2001-07-11 19:31:05 DROP TCP 172.31.79.4 172.31.82.198 389 4391 40 A 1328582612 3027261772 17397 - - -
2001-07-11 19:31:07 DROP TCP 172.31.79.4 172.31.82.198 389 4396 40 A 1329262300 3027504832 16769 - - -
2001-07-11 19:31:08 DROP TCP 172.31.79.4 172.31.82.198 389 4401 40 A 1330742333 3028123509 16963 - - -


Opciones ICMP
Los mensajes de Protocolo de Control de Mensajes de Internet (ICMP) proporcionan un método para que las computadoras personales reporten condiciones de errores y control entre sí. Estos mensajes pueden ser usados en piratería y ataques DoS.

Las siguientes opciones ICMP están disponibles en la configuración de ICF:

Allow Incoming Echo Requests (Message type 8)
Allow incoming timestamp request (Message type 13)
Allow incoming mask request (Message type 17)
Allow incoming router request (Message type 10)
Allow outgoing destination unreachable (Message type 3)
Allow outgoing source quench (Message type 4)
Allow outgoing parameter problem (Message type 12)
Allow outgoing time exceeded (Message type 11)
Allow redirect (Message type 5)

La información sobre estas opciones y su uso está disponible en IETF RFCs (http://www.ietf.org) - RFC 792, RFC 1256 y RFC 950.

Política de Grupo de Detección de Ubicaciones
ICF tiene una Política de Grupo que permite que los administradores de dominio eviten que el ICF se ejecute en su dominio. Esta Política de Grupo es de detección de ubicaciones, lo que significa que ICF podría seguir configurado y ejecutado cuando la PC no este ejecutándose en la red en la cual la política aplicada.

A continuación un ejemplo de un escenario para una Política de Grupo de detección de ubicaciones:

Un usuario móvil habilita y configura la ICF en la conexión wireless de una computadora portátil. El usuario accesa el dominio corporativo, en el cual aplica el Objeto de las Políticas de Grupo del ICF (GPO) para desactivar la ICF desde su ejecución. Después el usuario desconecta la computadora y se va a un lugar wireless de moda como un café o aeropuerto y se conecta a esta red wireless. Debido a que ICF detecta que ya no está conectado a el dominio que hizo cumplir la política, ICF brindará protección mientras se encuentre en esta red. Cuando el usuario regresa a la red corporativa, ICF detecta que está enlazado al dominio de la red que obligó el GPO y, por lo tanto, se desconecta por si mismo.



Esta sección presenta brevemente las Interfaces de Programación de Aplicaciones (APIs) para ICF.
Microsoft proporciona un grupo de APIs dentro de la Plataforma SDK para habilitar los Vendedores Independientes de Software (ISVs) para poder interactuar con ICF. Más abajo se presentan las interfaces disponibles. Para mayores informes, consultar la Plataforma SDK en MSDN.
Para determinar si una interfaz (conexión de red) tiene habilitado el ICF, primero necesita enumerar todas las interfaces disponibles en el sistema. Usted puede hacer esto usando el método INetSharingManager :: get_INetSharingConfigurationForINetConnection para obtener una interfaz INetSharingConfiguration para una conexión particular.
Después de establecer la interfaz que desea inspeccionar, use el método INetSharingConfiguration :: get_InternetFirewallEnabled para establecer si el ICF está habilitado en esta conexión.
Los métodos son proporcionados para permitir que una aplicación habilite o deshabilite el ICF. Llamar estos métodos resultará en un cuadro de diálogo presentado al usuario para la confirmación de la acción:
INetSharingConfiguration::DisableInternetFirewall
%programname% se usa para deshabilitar el Firewall en la Conexión a Internet. Esto hará que su computadora sea más vulnerable a las amenazas de seguridad en Internet. ¿Quiere permitir que %programname% deshabilite la Firewall en la Conexión a Internet?
INetSharingConfiguration::EnableInternetFirewall
%programname% es usado para habilitar el Firewall en la Conexión a Internet para ayudarle a proteger su computadora o red de las amenazas de seguridad en Internet. Sin embargo, puede ocasionar que sus juegos anteriores de Internet no funcionen correctamente. ¿Quiere permitir que %programname% habilite la Firewall en la Conexión a Internet?
Métodos adicionales de interés incluyen:
INetSharingConfiguration::EnumPortMappings. Este método le permite enumerar los mapeos de puertos de una interfaz específica.
INetSharingConfiguration::AddPortMapping. Este método le permite agregar un mapeo de puerto a una interfaz específica.
INetSharingConfiguration::RemovePortMapping. Este método le permite eliminar un mapeo de puerto de una interfaz específica.
Nota: No hay métodos para configurar la bitácora o las opciones de ICMP.

Fuente:
Microsoft.com

Otras artículos de interés:

DenyHosts: Cómo prevenir ataques de diccionario o fuerza bruta en Ubuntu
Si estamos preocupados por la seguridad de nuestros servidores y mas del servicio/protocolo Secure Shell cuando esta relacionado con ataques de fuerza bruta ya sea por medio de diccionarios, entonces debemos de utilizar ...
Cómo diseñar un sitio web exitosa!!!
Cualquier persona puede construir un sitio web; sin embargo, no todo el mundo puede construir un sitio web capaz de generar dinero. Un diseñador debe dedicarle mucho tiempo a establecer cuál va a ser el propósito de su página y cómo van a inter...
Exception in thread main java.lang.UnsatisfiedLinkError - Ubuntu - Linux Mint
El error completo sería: Exception in thread main java.lang.UnsatisfiedLinkError : no swt-gtk-3550 or swt-gtk in swt.library.path, java.library.path or the jar file Es un mensaje que aparece cuando instalamos e int...
Liberar memoria de RAM en Linux desde la consola
Al liberar la memoria de RAM de nuestro computador estaremos quitando toda la información de programas y procesos que habitualmente se ejecutan en el computador, para de esa forma lograr que este tipo de elementos verdaderamente esenciales ...
El gran debate: la seguridad por oscuridad
Por: Jesper M. Johansson and Roger Grimes De un vistazo: Definición de seguridad por oscuridad Evaluación de medidas en la seguridad por oscuridad Evaluación del valor del cambio de nombre de la cuenta de...
Recuperar clave de acceso en un servidor MySQL
A veces por cualquier motivo puede ser que olvidemos la clave de acceso de root en nuestro servidor Mysql, o queramos cambiarle la clave a cualquier usuario. Para cambiar a de un usuario hacemos lo siguiente: Abrimos una consola (s...
Eliminar paquetes no necesarios en Ubuntu
Con el paso del tiempo, van quedando paquetes residuales en nuestros sistema Gnu/Linux. Son paquetes viejos, de programas que hemos desinstalado anteriormente, etc. En definitiva, datos que ocupan sitio en nuestro disco duro y no son necesarios....
Instalar Bitcoin en ubuntu / Linux Mint
Si desconoces el uso de Bitcoin te recomiendo este enlace: http://www.teleobjetivo.org/ allí podrás tener una idea general de su uso. ...
Prevenir recalentamiento de nuestro equipo Debian - Ubuntu - Xanadu
Usualmente para usuarios normales no le sucede un recalentamiento en sus equipos, pero cuando empiezas ha hacer que tu equipo haga diferentes procesos como el renderizado de un video o imagen, convertir un archivo .wma a mp3 entre otras cosas, la ...
Seguridad Básica en GNU/Linux (V Parte)
Seguridad en Red. La seguridad de las conexiones en red merecen en la actualidad una atención especial, incluso por medios de comunicación no especializados, por el impacto que representan los fallos ante la opinión p&...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • conexion
  • debian
  • descripcion
  • exploits
  • fedora
  • fice
  • firefox
  • firewall
  • forense
  • freebsd
  • funcionalidad
  • general
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra