Introducción al uso de un firewall

La típica frase que a veces se escucha cuando uno insiste en el tema de la Seguridad es: ¿ Y a mi qué me puede pasar?

Probablemente consideremos que nuestros documentos (sean .doc., .xls, .mp3, etc, etc) valgan muy poco como para que alguien se dedique a atacar nuestra red o computadora, pero muchas veces perdemos información o recursos ya sea por virus o troyanos o por una intrusión directa, que hoy en día esas pérdidas se traducen en gastos de dinero o pérdida de valioso tiempo intentando reponer nuevamente todo lo perdido.

Partiendo de las bases

Si una persona o cualquier internauta está interesado en ingresar sin autorización en nuestra pc, lo primero que hará será escanear los puertos de un posible objetivo para detectar una vía de entrada.

Ahora, ¿qué es un puerto? Un puerto se podría definir como el punto de enlace entre dos procesos, sean locales (en una misma pc) o remotos (desde una red local o Internet). Es un punto de conexión y de organización de la información que circula. Los puertos tienen un límite y están numerados del 0 al 65535.

Los 1024 primeros (del 0 al 1023) son los Well Known Ports (o puertos conocidos), estandarizados por la IANA (Internet Assigned Numbers Authority) y definidos para ser usados por procesos o usuarios de la pc con derechos del sistema o root, también conocidos como administradores. Los siguientes, del 1024 al 49151, son los denominados registrados y son definidos para ser usados por procesos o usuarios de la pc ordinarios. Y por último, los dinámicos o privados van desde el 49152 al 65535. Generalmente a un mismo número de puerto TCP, corresponde un mismo número de puerto UDP, es decir, que una aplicación que utiliza el puerto TCP 12345 generalmente utilizará también en puerto UDP 12345 (solo por dar un ejemplo).

Me bajé un firewall ¿Qué es? ¿Qué hago con él?

Un firewall es un sistema de defensa que se basa en la instalación de una “barrera” entre la pc y la red, por la que circulan todos los datos. Este tráfico entre la red y tu pc es autorizado o denegado por el firewall (la “barrera”), siguiendo las instrucciones que le hayamos configurado o indicado. El funcionamiento de éste tipo de programas se basa en el “filtrado de paquetes”. Todo dato o información que circule entre nuestra pc y la red es analizada por el programa (firewall) con la misión de permitir o denegar su paso en ambas direcciones (Internet–>PC ó PC—>Internet).

Un firewall funciona, en principio, DENEGANDO cualquier tráfico que se produzca cerrando todos los puertos de nuestra pc. En el momento que un determinado servicio o programa intente acceder a Internet o a nuestra computadora nos lo hará saber. Podremos en ese momento aceptar o denegar dicho tráfico, pudiendo asimismo hacer (para no tener que repetir la operación cada vez) “permanente” la respuesta hasta que no cambiemos nuestra política de aceptación. Una buena política debería ser, ante la duda, no aceptar nunca cualquier acceso hasta comprobar que es necesario para un correcto funcionamiento del servicio que pretendamos usar y no es potencialmente peligroso para el sistema. Si denegamos el acceso y nuestro sistema sigue funcionando bien, no nos es necesario por lo que lo debemos denegar.

La instalación de un firewall es, junto con la del antivirus, una de las columnas esenciales para la seguridad en nuestros sistemas. Este hecho básico aún es ignorado por un número relevante de usuarios.

Agnitum Outpost Pro

Bien, a éstas alturas y con las nociones básicas de introducción antes mencionadas pasemos a probar una herramienta firewall que descargué de Internet, la instalé y paso a mostrar de la forma más simple (y que pueda) y breve posible como configurarla. Se llama Agnitum Outpost Firewall Pro y funciona bajo Windows 9X/2000/XP. En esta ocasión vamos a analizar la versión PRO que es paga.

Una vez descargado procedemos a su instalación la cual al final ya nos va permitiendo la configuración de algunos parámetros básicos, luego nos pide reiniciar, aceptamos y vemos en la siguiente carga del sistema el icono del programa en nuestra barra de tareas. Le damos botón derecho y abrimos inmediatamente la opción de Mostrar Outpost Firewall Pro.

Vemos que se trata de un programa con una interfaz bastante depurada y muy amigable por encontrarse sobre todo en nuestro idioma. A la derecha vemos la pestaña Configuración:

• General: donde nos deja configurar el Modo de Inicio, Botones de Ventana y Protección por Contraseña.
• Aplicaciones: donde ya nos aparecen las Aplicaciones Bloquedas (ninguna por ahora), Aplicaciones con Reglas (muchos ejecutables conocidos) y Aplicaciones Permitidas (ninguna).
• Sistema: con acceso a Configuración de Red Local, el protocolo ICMP, Tipo de Respuesta y Configuración de las Reglas Globales de Sistema y Aplicaciones.
• Política: aquí el programa cuenta con cinco políticas de manejo diferentes:
  • Asistente: abre un cuadro de diálogo para cada programa nuevo que nos solicite una conexión. Es el modo predeterminado.
  • Permisivo: cualquier aplicación que no haya sido específicamente bloqueada tendrá acceso a Internet.
  • Restrictivo: bloquea cualquier programa que no esté específicamente autorizado a acceder a Internet. Sin dudas que éste es el modo más seguro, pero para cuando ya hayamos creado TODAS las reglas para todas las aplicaciones.
  • Bloqueado: impide todo tipo de conexión a Internet, sea de entrada o salida. Solo es recomendable cuando sospechamos que nuestra pc o red está bajo ataque.
  • Desactivado: todas las conexiones serán permitidas.
• Complementos Plug-Ins: una de las particularidades del programa es su sistema de plug-ins de arquitectura abierta, lo que extiende las funciones del firewall.

Nos enumera absolutamente todos los plug-ins que incluye el programa por defecto después de su instalación más los que se le pueden agregar manualmente más tarde y que son igual de importantes e interesantes.

Sino modificamos la configuración predeterminada (el Modo Asistente) cada vez que iniciemos un nuevo programa y éste solicite conexión a Internet, Agnitum Outpost Firewall nos pedirá que definamos la regla por aplicar. Estas son:

• Permitir todas las conexiones a ésta aplicación
• Bloquear todas las conexiones a ésta aplicación
• Usar reglas preconfiguradas

Para éste último caso, Agnitum incluye reglas para navegadores, clientes de correo, FTP, IRC y otras aplicaciones.

Vemos en éste caso un screenshot de cuando intentamos salir a Internet con nuestro navegador. Creo que no hace falta agregar nada (ya que brinda datos de puerto que usa, tipo de conexión , dirección remota, etc). Otro ejemplo, cuando intento actualizar mi antivirus:

Como podrán apreciar, el Panel de Control del programa es muy completo. Tenemos acceso a las Conexiones Permitidas y Bloqueadas y datos sobre cada aplicación: que puerto utiliza, desde que hora tiene acceso a Internet e IP del equipo remoto al que se conecta, entre otras informaciones. También el firewall puede auto-actualizarse cada cierto período de tiempo.

Plug-Ins para Agnitum Outpost Firewall Pro

Un recurso de estimable valor es la incorporación de plug-ins de terceros, que como mencionaba anteriormente se traduce en un aumento de las capacidades en las funciones de nuestro firewall. Uno a uno ellos son:

Archivos Adjuntos: tiene la capacidad de renombrar e informar ciertas extensiones de archivos ejecutables que lleguen por correo electrónico, de esa manera se impide que sean ejecutados en el caso de que intenten explotar alguna vulnerabilidad. Por defecto se incluyen extensiones .vbs, .src, .exe, .bat, .pif, etc, etc y se pueden agregar manualmente las que nosotros elijamos.

Bloqueo de Contenido: es otra interesante herramienta, que bloquea de manera efectiva cualquier palabra o combinación de ellas que incluyamos en el listado. Útil no sólo para filtrar un contenido inadecuado (pornográfico, warez, etc), sino para el bloqueo de página enteras, dependiendo de la pestaña en la que incluyamos la orden.

Detección de Ataques: indica desde que dirección IP se solicitó conexión a nuestra red o computadora. Puede ser que prevenga sobre todo ataques del tipo DoS.

Caché DNS: lleva una lista de las últimas direcciones a las que nos hemos conectado e informa sobre detalles como dirección IP, hora de la conexión, etc…

Contenido Activo: Aquí podemos establecer el tratamiento que el firewall dará al contenido activo de las páginas que visitemos. Consta de tres pestañas:

• Páginas de Internet: con varias opciones a configurar. Un consejo.lo dejan por defecto como están, cualquier modificación o bloqueo va a impedir una correcta y más rápida navegación por causa del firewall. Con solo clickear en cada una de las sub-pestañas nos dá un aceptable panorama de lo que hace cada uno de los parámetros para el filtrado de páginas en Internet.
• Correo y Noticias: opción de modificar nuevamente los mismos valores que en el paso anterior.
• Exclusiones: agregamos o seleccionamos de los sitios que ya tenemos o visitamos asiduamente para no sufrir problemas eventuales durante la navegación.

Publicidad: Este Plug-in posibilita dos tipos de acciones sobre al publicidad Web:

• Bloquear imágenes por cadenas de html: sencillo, seleccionamos una cadena de texto de cualquier imagen y la añadimos al listado, el programa la bloqueará antes de que el navegador la presente. Este filtro se ha mostrado efectivo frente a algunas imágenes que han superado el filtro por tamaño.
• Bloquear imágenes por tamaño: en éste filtro se especifican los distintos tamaños de imágenes que serán bloqueadas por el firewall antes de ser mostradas por el navegador. Dichas medidas son Standard, pero el filtro puede fallar por ligeras variaciones.

Lo ideal es ir añadiendo dimensiones o cadenas de texto de las imágenes y ventanas de sitios que vayamos a visitar a menudo. Consta de 3 opciones a configurar:

• Cadena de Caracteres
• Tamaño de la Imagen
• Configuración Avanzada

HTTP Log: como su nombre lo indica, lleva un completo logging de los request a las distintas web por donde pasamos.

PC Flank WhoEasy: es un plug-in que encuentra la información sobre cualquier computadora en el mundo basado en su IP ADDRESS o nombre. Tal Info incluye el nombre del abastecedor de red, del administrador y de los detalles del contacto de la red tales como ciudad, estado o provincia, país e incluso el número de teléfono y la dirección de la calle. Es un plug-in pago. Los usuarios avanzados encontrarán en WhoEasy una herramienta útil para establecer claramente si algún intruso ataca su computadora y podrán contactar al ISP del agresor para parar su actividad ilegal.

Blockpost: puede bloquear todas las clases de spyware y de adware. También crea una Zona No Confiable en donde incorporamos simplemente cualquier IP que se desee bloquear totalmente.

Super Stealth: provee de seguridad en el segmento ethernet. Realiza como un blindaje que puede proteger de cualquier ataque basado en IP, scans, floods, peticiones de conexión y todo tráfico entrante en una LAN. Sinceramente.no lo veo tan importante.

TraffLed: es un minúsculo plug-in que se coloca en nuestra bandeja de sistema y exhibe un upload del tráfico (a la izquierda) y velocidad de descarga (a su derecha). Se puede utilizar una escala automática o fixed.

Probando algunas configuraciones

Bueno, una vez mostrados todos los fundamentos sobre los que trabaja el programa me dispongo a hacerle un par de retoques básicos para ir afinándolo.

Primero y antes que nada cuando vamos al Menú Opciones -> Aplicaciones. En las Aplicaciones con Reglas yo opté por eliminarlas a todas las que me auto-configuró el programa por defecto y por una sencilla razón: Las aplicaciones o programas que salgan a la red o pidan conexión son los únicos que van a estar cargados en el firewall y van tener su filtro correspondiente y van a ser los que YO quiera que salgan. Es cierto que eso ayuda a usuarios novatos a que el firewall no nos mate con su batería de preguntas, pero queda a criterio de cada uno

Configuración básica

Fui creando reglas predefinidas para algunos de los programas que más uso. Caso navegador, gestor de descarga, antivirus, etc.

En el momento de conectarme svchost.exe me pidió conexión TCP y UDP para un par de puertos. En ese momento se la dejé pasar y se lo permití porque estaba en el período de pruebas y testeo del programa, pero una vez que ya tuve todas mis reglas ya definidas y personalizadas lo pasé (por arrastre) a las Aplicaciones Bloqueadas junto al lsass.exe denegando toda pregunta posterior relativa a dichos servicios.

Si les ocasiona algún problema pueden ir depurando con más tranquilidad y tiempo el filtrado chequeando cada puerto por el que quiera recibir o enviar información.

Otro tip: una vez que ya hayan creado todas las reglas correspondientes a los programas que usen, pongan como política en el firewall el Modo Restrictivo, o sea, se bloquean todas las comunicaciones que no hayan sido específicamente permitidas por reglas. Que no pase ni entre nada (supuestamente)

Test Online

Para realizar un chequeo del funcionamiento de nuestro firewall después de que le creamos un par de reglas sencillas.

Otra captura:

En la pestaña de Configuración que nos muestra en la pantalla de Bienvenida (My Internet), podemos ir directamente a la web de PC Flank para realizarnos diversos tipos de escaneo TCP/UDP para comprobar el estado de nuestros puertos.

Puntos a favor

1. Interfaz simple acompañada de nuestro idioma.
2. Aceptable consumo de recursos de sistema (cerca de 4 mb de memoria)
3. No causa conflictos su desinstalación ni bloquea ningún puerto.
4. Incorporación de plug-ins de terceros.
5. Si se lo configura para que se inicie en modo invisible puede pasar inadvertidamente para el usuario.
6. Muy simple y fácil de entender su sistema de Logs.

Puntos en contra

• Es pago
• El ejecutable para su instalación y descarga pesa casi 8 mb (bastante para un firewall).
• Puede no bloquear completamente el puerto 135.
• Carece de soporte para firmas MD5 que impiden que troyanos (por ejemplo) se hagan pasar por programas legítimos y le permitamos así transmitir información o explotar de manera maliciosa alguna de nuestras reglas configuradas.

Concluyendo

Este mini-manual ilustrado y con ejemplos de Agnitum Oupost Firewall Pro va dirigido especialmente a todos aquellos usuarios que recién comienzan a transitar por los vastos e inseguros caminos de Internet y requieren de un producto simple y a la vez eficaz en su forma de trabajo para proveerle al menos de un mínimo de seguridad a su computadora.

No quiero decir que no sea para usuarios avanzados, desde luego que este informe va dirigido a todo el mundo, pero seguro hay gente que prefiere productos más avanzados y que funcionen con más precisión (del tipo Kerio Personal Firewall, Tiny Personal Firewall o Freedom Personal Firewall).

Hay que tener en cuenta también que aunque tengamos instalado un firewall más nuestro obligatorio antivirus, NO quiere decir que seamos INVULNERABLES a cualquier tipo de ataque.

Desde ya que si están bien configurados y actualizados, más la instalación de los parches del Sistema Operativo que tengamos a lo mejor no frenan un ataque complejo (que casi nunca ocurren) pero si van a prevenir y de manera exitosa los más básicos, en su mayoría los provocados por Denial of Service (D.o.S.).