[Articulo - Seguridad] Sobre el Firewall de XP - SP2 (parte 3)

01/02/2004 - 09:56 por JM Tella Llop [MVP Windows] · | Informe spam
PERFILES MULTIPLES


El soporte a multiples perfiles en ICF, le permite drear dos colecciones de potiliticas para el firewall: una, cuando la maquina está conectada a una red corporativa y otra cuando no lo está. De esta manera, podemos especificar que las politicas sean menos restrictivas en la red corporativa y tener una politica mucho mas agresiva cuando estamos guera de ella.
Los perfiles multiples colo se aplican en las maquinas que están unidas a un Dominio. Las maquinas que estás solo a grupos de trabajo unicamente mantienen un perfil.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Para maquinas portatiles, es una buena opcion y es deseable el poder tener mas de una configuracion de ICF. Cuando se está a salvo aen una red corporativa, podemos bajar el nivel de seguridad, pero en cambio, al conectarse en Internet, es critico el asegurarse que solo los puertos necesarios estan expuestos al exterior.


SOPORTE A RPC
-

En anteriores versiones de Windows, ICF bloquea las llamadas a procedimiento remotod (RPC).
ICF puede ser configurado para permitir trafico al RPC Endpoint Mapper. Algunas aplicaciones y componentes fallan si el puerto de RPC no tiene permisos para comunicarse en la red. Algunos ejemplos son los siguientes (existen bastantes mas):

* Compartir Archivos e Impresoras.
* Administracion Remota.
* Configuracion de WMI remota.
* Scripts para manejar clientes remotos y servidores.

EL RPC abre varios puertos y ofrece diferentes servidores en ellos. En una configuracion tipio de estacion de trabajo o servidor, hay cerca de 60 servidores RPC ejecutadonse por defecto y en escucha de petidiones de clientes en la red. Algunos servidores tienen mas, dependiendo de su configuracion.

Este es el lado peligroso del ataque al RPC.

Los procesos servidores del RPC incluidos con Windows XP, son multiples y sin embargo son lanzados por el mismo nombre de fichero imagen (svchost.exe). ICF adopta diferentes posturas de cara a los servicios RPC. Cuando se abre un puerto, el llamador puede reclamar que el puerto sea uno de los del RPC. ICF aceptará solo esto si el llamador se está ejecutando en los contextos de Local System. Network Service o Local Service. ICF lleva tambien un flag en el perfil que permite que puertos de RPC sean abiertos aunque el llamador no esté en la lista de permisos de ICF.

Este indicador es un indicador en el registro (REG_DWORD) llamado PriviligedRpcServerPermission. Los valores corresponden a los enumerados para NET:FWV4_SERVICE_PERMISION:

0. Servidores RPC solo estan permitidos si estan dentro de la lista de permisos de ICF
1. Si un servidor RPC no está en la lista de permisos del ICF, el puerto puede ser abierto pero solo aceptará llamadas de la subred local.
2 Si un servidor RPC no está en la lista de permisos de ICF, el puerto puede ser abierto al trafico en cualquier subred.

NOTA: Sin embargo, las aplicaciones autorizadas siempre sobreescriben la opciones genericas del RPC. Por ejemplo, si una opcion del RPC esta puesta como "allow local", pero el servidor RPC está tambien en la lista de permisos del ICF, en la cual, por ejemplo, el permitir solo a la subred local está colocado a "false", el puerto RPC quedará abierto a todas las subredes.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Asegurarnos que el ICF trabaja con el RPC requerido para algunos entornos corporativos. Y sin embargo, que los servicios RPC no esten expuestos a la red por defecto. Siendo mas exactos, podemos controlar exactamente que servicios del RPC estan expuestos a la red. Por contra, añadiendo un nombre generico de proceso como SVCHOST.EXE a la lista de ICF (o de cualquier otro firewall comercial), exponemos todos los servicios a un ataque de red. ICF puede controlar, a pesar de ser el mismo programa ejecutable, que servicios seran los realmente expuestos.

¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

Por defecto, RPC no funcionará a traves de ICF. TOdos los servicios y aplicaciones que usen RFC se verán afectados. Sin embargo, ICF puede ser configurado para permitir trabajar con los servicios RPC.


SOPORTE REFORZADO A LA COMUNICACION MULTICAST Y BROADCAST


El trafico de red Multicast y Broadcast difiere del unicast (visto hasta ahora), en que las respuestas provienen de hosts desconocidos. Por ello, los firewalls normales y las versiones anteriores del ICFm filtraban estas conexiones e impedian que fuesen aceptadas. Esto deja que la maquina deje de funcionar en un monton de escenarios y configuraciones sobre todo en aquellas multimedia de tipo streaming.

Para permitir que en estos escenarios el funcionamiento de las aplicaciones sea correcto, ICF permite una respuesta unicast durante los siguientes tres segundos desde cualquier origen en le mismo puertos desde el cual se ha originado la peticion multicas o broadcast.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Esto permite a los servicios y a las aplicaciones que usen comunicaciones multicast/broadcast comunicarse con el mundo sin necesidad de usar un servicio para alterar la politica del firewall. Es importante resaltar que ciertos servicios como NETBIOS sobre TPC/IP, y algunos puertos sensibles a este tipo de trafico, *no* seran expuestos.


Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Peni
01/02/2004 - 10:12 | Informe spam
Muchas gracias, Jose.

Veo que el 'nuevo' ICF es bastante potente. Entiendo que para un PC 'normal'
será suficiente con la configuración por defecto, porque la configuración
del firewall (de éste y de todos) creo que es un poco delicada.

Me da la impresión que con el SP2 se puede prescindir del herramientas de
terceros en muchas situaciones (en muchas, NO en todas)



=Saludos. Peni

Para correo, sin virus, gracias




"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
PERFILES MULTIPLES


El soporte a multiples perfiles en ICF, le permite drear dos colecciones de
potiliticas para el firewall: una, cuando la maquina está conectada a una
red corporativa y otra cuando no lo está. De esta manera, podemos
especificar que las politicas sean menos restrictivas en la red corporativa
y tener una politica mucho mas agresiva cuando estamos guera de ella.
Los perfiles multiples colo se aplican en las maquinas que están unidas a un
Dominio. Las maquinas que estás solo a grupos de trabajo unicamente
mantienen un perfil.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Para maquinas portatiles, es una buena opcion y es deseable el poder tener
mas de una configuracion de ICF. Cuando se está a salvo aen una red
corporativa, podemos bajar el nivel de seguridad, pero en cambio, al
conectarse en Internet, es critico el asegurarse que solo los puertos
necesarios estan expuestos al exterior.


SOPORTE A RPC
-

En anteriores versiones de Windows, ICF bloquea las llamadas a procedimiento
remotod (RPC).
ICF puede ser configurado para permitir trafico al RPC Endpoint Mapper.
Algunas aplicaciones y componentes fallan si el puerto de RPC no tiene
permisos para comunicarse en la red. Algunos ejemplos son los siguientes
(existen bastantes mas):

* Compartir Archivos e Impresoras.
* Administracion Remota.
* Configuracion de WMI remota.
* Scripts para manejar clientes remotos y servidores.

EL RPC abre varios puertos y ofrece diferentes servidores en ellos. En una
configuracion tipio de estacion de trabajo o servidor, hay cerca de 60
servidores RPC ejecutadonse por defecto y en escucha de petidiones de
clientes en la red. Algunos servidores tienen mas, dependiendo de su
configuracion.

Este es el lado peligroso del ataque al RPC.

Los procesos servidores del RPC incluidos con Windows XP, son multiples y
sin embargo son lanzados por el mismo nombre de fichero imagen
(svchost.exe). ICF adopta diferentes posturas de cara a los servicios RPC.
Cuando se abre un puerto, el llamador puede reclamar que el puerto sea uno
de los del RPC. ICF aceptará solo esto si el llamador se está ejecutando en
los contextos de Local System. Network Service o Local Service. ICF lleva
tambien un flag en el perfil que permite que puertos de RPC sean abiertos
aunque el llamador no esté en la lista de permisos de ICF.

Este indicador es un indicador en el registro (REG_DWORD) llamado
PriviligedRpcServerPermission. Los valores corresponden a los enumerados
para NET:FWV4_SERVICE_PERMISION:

0. Servidores RPC solo estan permitidos si estan dentro de la lista de
permisos de ICF
1. Si un servidor RPC no está en la lista de permisos del ICF, el puerto
puede ser abierto pero solo aceptará llamadas de la subred local.
2 Si un servidor RPC no está en la lista de permisos de ICF, el puerto
puede ser abierto al trafico en cualquier subred.

NOTA: Sin embargo, las aplicaciones autorizadas siempre sobreescriben la
opciones genericas del RPC. Por ejemplo, si una opcion del RPC esta puesta
como "allow local", pero el servidor RPC está tambien en la lista de
permisos del ICF, en la cual, por ejemplo, el permitir solo a la subred
local está colocado a "false", el puerto RPC quedará abierto a todas las
subredes.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Asegurarnos que el ICF trabaja con el RPC requerido para algunos entornos
corporativos. Y sin embargo, que los servicios RPC no esten expuestos a la
red por defecto. Siendo mas exactos, podemos controlar exactamente que
servicios del RPC estan expuestos a la red. Por contra, añadiendo un nombre
generico de proceso como SVCHOST.EXE a la lista de ICF (o de cualquier otro
firewall comercial), exponemos todos los servicios a un ataque de red. ICF
puede controlar, a pesar de ser el mismo programa ejecutable, que servicios
seran los realmente expuestos.

¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

Por defecto, RPC no funcionará a traves de ICF. TOdos los servicios y
aplicaciones que usen RFC se verán afectados. Sin embargo, ICF puede ser
configurado para permitir trabajar con los servicios RPC.


SOPORTE REFORZADO A LA COMUNICACION MULTICAST Y BROADCAST


El trafico de red Multicast y Broadcast difiere del unicast (visto hasta
ahora), en que las respuestas provienen de hosts desconocidos. Por ello, los
firewalls normales y las versiones anteriores del ICFm filtraban estas
conexiones e impedian que fuesen aceptadas. Esto deja que la maquina deje de
funcionar en un monton de escenarios y configuraciones sobre todo en
aquellas multimedia de tipo streaming.

Para permitir que en estos escenarios el funcionamiento de las aplicaciones
sea correcto, ICF permite una respuesta unicast durante los siguientes tres
segundos desde cualquier origen en le mismo puertos desde el cual se ha
originado la peticion multicas o broadcast.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Esto permite a los servicios y a las aplicaciones que usen comunicaciones
multicast/broadcast comunicarse con el mundo sin necesidad de usar un
servicio para alterar la politica del firewall. Es importante resaltar que
ciertos servicios como NETBIOS sobre TPC/IP, y algunos puertos sensibles a
este tipo de trafico, *no* seran expuestos.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similares