[Articulo - Seguridad] Sobre el Firewall de XP - SP2 (parte 1)

31/01/2004 - 10:11 por JM Tella Llop [MVP Windows] · | Informe spam
(aplicable tambien a sucesivos cambios en W2003 y siguientes versiones de windows)


SOBRE EL FIREWALL DE XP - SP2

(este articulo está basado en la traduccion de documentos de MS sobre la implementacion de dicho firewall. Aunque todavía, dichos documentos corresponden a la fase beta del SP2, está lo suficientemente avanzada, así como su documentacion, como para poder presuponer que son la implementacion final del firewall).

ACTIVADO POR DEFECTO

El firewall (ICF) se activará por defecto en todas las interfaces de red. Igualmente se activará posteriormente en cada nueva interface de red añadida al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se instala, por ejemplo al instalar el Advancing Networking Pack).

CAMBIOS IMPORTANTES
-

Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por defecto. El usuario necesitaba realizar la conexion a traves de los asistentes para que este se activase, o bien tener los conocimientos sobre las propiedades de las pestañas de conexion de red para activarlo. Debido a ello, existen maquinas en la red con el firewall desactivado.
Haciendo que el ICF quede activado por defecto, los PC's quedan protegidos contra ataques basados en la red. Por ejemplo, si ICF hubiese estado activado, el reciente ataque del MSBlaster hubiese sido reducido.

SEGURIDAD EN TIEMPO DE BOOT


En la actualidad (previo al SP2), existe un intervalo de tiempo entre que el stack de la red ha arrancado y cualquier servicio de firewall -incluido el ICF- da proteccion a la red. Esto es debido a que los drivers de los firewall no pueden arrancar el filtro hasta que el servicio de firewall esté arrancado y se apliquen sus reglas. Los servicios de firewall tienen dependencias establecidas (por ejemplo dependen de los servicios de red y que la pila tcp esté totalmente arrancada). Aunque este periodo de tiempo es pequeño y depende de la velocidad de la maquina, durante ese brece lapso de tiempo una maquina está desprotegida.

En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla estatica especifica de proteccion. Esta regla se denomina "boot-time policy", la cual permite a la maquina realizar tareas basicas de red como DNS y DHCP y comunicarse con el controlador de Dominio si existies para obtener las politicas. Una vez que el servicio de firewall está en ejecucion, carga y ejecuta la politica de ICF y remueve los filtros prefijados en tiempo de boot. La politica de boot-time *no* puede reconfigurarse y por tanto da seguridad completa a la red.

Evidenteente estas politicas y esta seguridad no existe si el firewall está desactivado.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Con este cambio, la maquina está mas protegida de posibles ataques en los momentos de encendido y apagado que los cortafuegos no son capaces de controlar.


CONFIGURACION GLOBAL

En anteriores versiones del ICF de windows, este podia configurarse para cada interface de red. De esta forma, cada interfaz de red, tenía sus propias reglas. Esto puede conllevar un dificultad añadidad para sondronicar las reglas entre distintas conexiones. Admás, las nuevas conexiones no tendrian ninguno de los cambios en la configuracion que se hayan ido aplicando a las conexiones existentes.
Con la configuracion "global" de ICF, cuando ocurre un cambio en la configuracion, este se aplica a todas las conexiones de red. Esto incluirá nuevas conexiones cuando sean creadas.
Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6, soportará configuraciones globales y tambien por cada interface de red.


¿CUAL ES EL CAMBIO IMPORTANTE?


Al tener reglas y politicas globales, es mas facil de cara a un usuario final el control de las politicas del firewall en todas las conexiones de red. Igualmente permite activar aplicaciones para trabajar con cualquier interface de red con una simple opcion en la configuracion.


RESTRICCION A LA SUBRED LOCAL

Por defecto, cuando creamos una regla para permitir trafico en un puerto, este quedará abierto globalmente -se permite trafico desde cualquier direccion de red-.
En el SP2 de Windows XP, se puede configurar para que el puerto solo reciba trafico de red de su subred local quedano protegido igualmente de las maquina externas a su red local (internet).
Se recomienda aplicar la restriccion a la subred local a cualquier puerto estatico usado para comunicarse con la red local.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Alguna aplicaciones necesitan comunicarse con otras maquinas en la red loca y no con maquinas en internet. Permitiendo a los puertos comunicarse unicamente con la subred local se restringe el alcance de quienes pueden acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a puertos que esten abiertos para cualquier localizacion.


Continuara...

Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Peni
31/01/2004 - 10:28 | Informe spam
Gracias master !!!!!!!

En vista de los cambios que habrá (y a la espera de la segunda parte), creo
que en muchas situaciones se podrá prescindir de firewall de terceros, y no
me refiero a usuarios domésticos (para eso ya vale el actual )



=Saludos. Peni

Para correo, sin virus, gracias




"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
(aplicable tambien a sucesivos cambios en W2003 y siguientes versiones de
windows)


SOBRE EL FIREWALL DE XP - SP2

(este articulo está basado en la traduccion de documentos de MS sobre la
implementacion de dicho firewall. Aunque todavía, dichos documentos
corresponden a la fase beta del SP2, está lo suficientemente avanzada, así
como su documentacion, como para poder presuponer que son la implementacion
final del firewall).

ACTIVADO POR DEFECTO

El firewall (ICF) se activará por defecto en todas las interfaces de red.
Igualmente se activará posteriormente en cada nueva interface de red añadida
al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se instala,
por ejemplo al instalar el Advancing Networking Pack).

CAMBIOS IMPORTANTES
-

Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por defecto. El
usuario necesitaba realizar la conexion a traves de los asistentes para que
este se activase, o bien tener los conocimientos sobre las propiedades de
las pestañas de conexion de red para activarlo. Debido a ello, existen
maquinas en la red con el firewall desactivado.
Haciendo que el ICF quede activado por defecto, los PC's quedan protegidos
contra ataques basados en la red. Por ejemplo, si ICF hubiese estado
activado, el reciente ataque del MSBlaster hubiese sido reducido.

SEGURIDAD EN TIEMPO DE BOOT


En la actualidad (previo al SP2), existe un intervalo de tiempo entre que el
stack de la red ha arrancado y cualquier servicio de firewall -incluido el
ICF- da proteccion a la red. Esto es debido a que los drivers de los
firewall no pueden arrancar el filtro hasta que el servicio de firewall esté
arrancado y se apliquen sus reglas. Los servicios de firewall tienen
dependencias establecidas (por ejemplo dependen de los servicios de red y
que la pila tcp esté totalmente arrancada). Aunque este periodo de tiempo es
pequeño y depende de la velocidad de la maquina, durante ese brece lapso de
tiempo una maquina está desprotegida.

En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla
estatica especifica de proteccion. Esta regla se denomina "boot-time
policy", la cual permite a la maquina realizar tareas basicas de red como
DNS y DHCP y comunicarse con el controlador de Dominio si existies para
obtener las politicas. Una vez que el servicio de firewall está en
ejecucion, carga y ejecuta la politica de ICF y remueve los filtros
prefijados en tiempo de boot. La politica de boot-time *no* puede
reconfigurarse y por tanto da seguridad completa a la red.

Evidenteente estas politicas y esta seguridad no existe si el firewall está
desactivado.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Con este cambio, la maquina está mas protegida de posibles ataques en los
momentos de encendido y apagado que los cortafuegos no son capaces de
controlar.


CONFIGURACION GLOBAL

En anteriores versiones del ICF de windows, este podia configurarse para
cada interface de red. De esta forma, cada interfaz de red, tenía sus
propias reglas. Esto puede conllevar un dificultad añadidad para sondronicar
las reglas entre distintas conexiones. Admás, las nuevas conexiones no
tendrian ninguno de los cambios en la configuracion que se hayan ido
aplicando a las conexiones existentes.
Con la configuracion "global" de ICF, cuando ocurre un cambio en la
configuracion, este se aplica a todas las conexiones de red. Esto incluirá
nuevas conexiones cuando sean creadas.
Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6,
soportará configuraciones globales y tambien por cada interface de red.


¿CUAL ES EL CAMBIO IMPORTANTE?


Al tener reglas y politicas globales, es mas facil de cara a un usuario
final el control de las politicas del firewall en todas las conexiones de
red. Igualmente permite activar aplicaciones para trabajar con cualquier
interface de red con una simple opcion en la configuracion.


RESTRICCION A LA SUBRED LOCAL

Por defecto, cuando creamos una regla para permitir trafico en un puerto,
este quedará abierto globalmente -se permite trafico desde cualquier
direccion de red-.
En el SP2 de Windows XP, se puede configurar para que el puerto solo reciba
trafico de red de su subred local quedano protegido igualmente de las
maquina externas a su red local (internet).
Se recomienda aplicar la restriccion a la subred local a cualquier puerto
estatico usado para comunicarse con la red local.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Alguna aplicaciones necesitan comunicarse con otras maquinas en la red loca
y no con maquinas en internet. Permitiendo a los puertos comunicarse
unicamente con la subred local se restringe el alcance de quienes pueden
acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a
puertos que esten abiertos para cualquier localizacion.


Continuara...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similares