[Articulo - Seguridad] Sobre el Firewall de XP - SP2 (parte 2)

31/01/2004 - 21:32 por JM Tella Llop [MVP Windows] · | Informe spam
FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL


Cuando el servicio de compartir archivos e impresoras esta activado, cuatro puertos especificos se ven afectados por wl acceso restringido de la subred local. Los siguientes puertos pueden recibir entonces trafico desde la subred local:

UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445

Si alguna otra aplicacion especifica no de windows usase esos puertos al no estar activado el servicio de compartir archivos e impresoras de windows, solo podrá comunicarse con la sibred local y no con el exterior.

SOPORTE EN LA LINEA DE COMANDOS
-

El soporte para ICF se añade en Windows XP al instalar el Advanced Networking Pack. Pero este soporte solo era aplicable al ICF IPv6. Con el SP2 de XP, la estructura cambia y se añade soporte para incluir soporte para configurar el ICF completo. De esta manera, podemos:

* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para permitir acceso global o acceso restringido a la subred local o cuando los puertos pueden ser para todas las interfaces o para una interfaz de red en particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF

Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la funcionalidad es especifica del ICF solamente.

¿CUAL ES EL CAMBIO IMPORTANTE?


Permitir a los administradores un metodo abreviado de configuracion a traves de secuencias de comandos sin necesidad de usar la interface grafica. Por tanto esta configuracion puede manejarse con scripts remotamente.


MODO DE OPERACION 'SHIELDED'
-

(literalmente "escudado". Pero no se ha decidido todavía el nombre definitivo con que saldrá).

ICF podría configurarse para permitir trafico de llamadas entrantes no solicitadas durante su uso normal.

Esto es tipico para poder compartir archivos e impresoras. Si se descubre un intento de acceso de seguridad no solicitado en uno o mas de los servicios de escuha de windows, puede ser necesario cambiar de modo solo-cliente añ modo escudado (shielded). Este cambio de modo reconfigura automaticamente ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de reconfigurar el firewall.

En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada mediante API de un programa interno quedará registrada, pero no será aplicable por ICF hasta que su modo operacional vuelva a la situacion de operacion normal. Todas las peticiones de "escucha" por parte de las aplicaciones tambien serán ignoradas.

Esto se aplica tanto a ICFv4 como ICF IPv6.

(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir, cuando ICF descubre que alguien está intentado usar puertos conocidos de servicios del sistema y que en vez de ser peticiones normales, parecen de un intento de artaque, ICF sepone en modo "paranoico", y bloquea temporalmente todos los accesos de entrada a la maquina)


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Los virus, gusanos y atacantes miran los puertos para establecer su ataque. Cuando ICF está en modo operacional prevendrá que estos tipos de ataque puedan resultar exitosos.


¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

En este modo de operacion, la maquina no escuchará peticiones originadas desde la red. Solo las conexiones salientes y autorizadas tendrán exito.


LISTA DE PERMISOS Y APLICACIONES EN EL ICF


Algunas aplicaciones actuan como clientes y servidores. Cuando intenten actuar como serivodres necesitaremos autorizar el trafico entrante.

En anteriores versiones de windows, era necesario definir los puertos previamente o bien la aplicacion necesitaba llamar al API de configuracion para establecer los puertos por los que iba a escuchar. Esto es realmente dificultoso en comunicaciones peer-to-peer cuando los puertos no son conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los puertos creados cuando la aplicacion finalizaba.

Adicionalmente estos puertos podian ser abiertos solo cuando las aplicaciones rodaban en un contexto de seguridad o en la cuenta del administrador local. Esto viola el principio de menor privilegio el requerir que las aplicaciones se ejecutasen en contextos administravos, en contra de usar solo los minimos privilegios necesarios en cada cuenta de la maquina.

Con el SP2, una aplicacion que necesite escuchar en un puerto de la red, puede ser añadida a la lista de permisos de ICF. Si una aplicacion está en la lista de permisos de ICF, Windows automaticamente abrirá los puertos que necesite mirando el contexto de seguridad de la aplicacion.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos necesarios para esa aplicacion estarán abiertos, y *solo* estaran abiertos durante el tiempo en que esa aplicacion los tenga en escucha.

Esto tambien permite que aplicaciones que esten escucahndo en un puerto se puedan ahora ejecutar con los permisos de un usuario normal. En anteriores versiones de windows, estas aplicaciones debian ejecutarse con permisos administrativos.


Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Alezito [MS MVP]
31/01/2004 - 21:40 | Informe spam
Gracias.

Alejandro Curquejo
Microsoft MVP
Windows XP - Shell/User


*Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho*
*This posting is provided "AS IS" with no warranties, and confers no rights*

-Tips y Articulos XP - http://www.multingles.net/tutoriales.htm#ALE
-DTS-L.Org - http://www.dts-l.org/

Que es el Programa MVP (Most Valuable Professional)
http://mvp.support.microsoft.com/de...pr=mvpfaqs



"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL


Cuando el servicio de compartir archivos e impresoras esta activado, cuatro
puertos especificos se ven afectados por wl acceso restringido de la subred
local. Los siguientes puertos pueden recibir entonces trafico desde la
subred local:

UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445

Si alguna otra aplicacion especifica no de windows usase esos puertos al no
estar activado el servicio de compartir archivos e impresoras de windows,
solo podrá comunicarse con la sibred local y no con el exterior.

SOPORTE EN LA LINEA DE COMANDOS
-

El soporte para ICF se añade en Windows XP al instalar el Advanced
Networking Pack. Pero este soporte solo era aplicable al ICF IPv6. Con el
SP2 de XP, la estructura cambia y se añade soporte para incluir soporte para
configurar el ICF completo. De esta manera, podemos:

* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para
permitir acceso global o acceso restringido a la subred local o cuando los
puertos pueden ser para todas las interfaces o para una interfaz de red en
particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message
Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF

Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la
funcionalidad es especifica del ICF solamente.

¿CUAL ES EL CAMBIO IMPORTANTE?


Permitir a los administradores un metodo abreviado de configuracion a traves
de secuencias de comandos sin necesidad de usar la interface grafica. Por
tanto esta configuracion puede manejarse con scripts remotamente.


MODO DE OPERACION 'SHIELDED'
-

(literalmente "escudado". Pero no se ha decidido todavía el nombre
definitivo con que saldrá).

ICF podría configurarse para permitir trafico de llamadas entrantes no
solicitadas durante su uso normal.

Esto es tipico para poder compartir archivos e impresoras. Si se descubre un
intento de acceso de seguridad no solicitado en uno o mas de los servicios
de escuha de windows, puede ser necesario cambiar de modo solo-cliente añ
modo escudado (shielded). Este cambio de modo reconfigura automaticamente
ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de
reconfigurar el firewall.

En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada
mediante API de un programa interno quedará registrada, pero no será
aplicable por ICF hasta que su modo operacional vuelva a la situacion de
operacion normal. Todas las peticiones de "escucha" por parte de las
aplicaciones tambien serán ignoradas.

Esto se aplica tanto a ICFv4 como ICF IPv6.

(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir,
cuando ICF descubre que alguien está intentado usar puertos conocidos de
servicios del sistema y que en vez de ser peticiones normales, parecen de un
intento de artaque, ICF sepone en modo "paranoico", y bloquea temporalmente
todos los accesos de entrada a la maquina)


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Los virus, gusanos y atacantes miran los puertos para establecer su ataque.
Cuando ICF está en modo operacional prevendrá que estos tipos de ataque
puedan resultar exitosos.


¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

En este modo de operacion, la maquina no escuchará peticiones originadas
desde la red. Solo las conexiones salientes y autorizadas tendrán exito.


LISTA DE PERMISOS Y APLICACIONES EN EL ICF


Algunas aplicaciones actuan como clientes y servidores. Cuando intenten
actuar como serivodres necesitaremos autorizar el trafico entrante.

En anteriores versiones de windows, era necesario definir los puertos
previamente o bien la aplicacion necesitaba llamar al API de configuracion
para establecer los puertos por los que iba a escuchar. Esto es realmente
dificultoso en comunicaciones peer-to-peer cuando los puertos no son
conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los
puertos creados cuando la aplicacion finalizaba.

Adicionalmente estos puertos podian ser abiertos solo cuando las
aplicaciones rodaban en un contexto de seguridad o en la cuenta del
administrador local. Esto viola el principio de menor privilegio el requerir
que las aplicaciones se ejecutasen en contextos administravos, en contra de
usar solo los minimos privilegios necesarios en cada cuenta de la maquina.

Con el SP2, una aplicacion que necesite escuchar en un puerto de la red,
puede ser añadida a la lista de permisos de ICF. Si una aplicacion está en
la lista de permisos de ICF, Windows automaticamente abrirá los puertos que
necesite mirando el contexto de seguridad de la aplicacion.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos
necesarios para esa aplicacion estarán abiertos, y *solo* estaran abiertos
durante el tiempo en que esa aplicacion los tenga en escucha.

Esto tambien permite que aplicaciones que esten escucahndo en un puerto se
puedan ahora ejecutar con los permisos de un usuario normal. En anteriores
versiones de windows, estas aplicaciones debian ejecutarse con permisos
administrativos.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similares