FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL
Cuando el servicio de compartir archivos e impresoras esta activado, cuatro puertos especificos se ven afectados por wl acceso restringido de la subred local. Los siguientes puertos pueden recibir entonces trafico desde la subred local:
UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445
Si alguna otra aplicacion especifica no de windows usase esos puertos al no estar activado el servicio de compartir archivos e impresoras de windows, solo podrá comunicarse con la sibred local y no con el exterior.
SOPORTE EN LA LINEA DE COMANDOS
-
El soporte para ICF se añade en Windows XP al instalar el Advanced Networking Pack. Pero este soporte solo era aplicable al ICF IPv6. Con el SP2 de XP, la estructura cambia y se añade soporte para incluir soporte para configurar el ICF completo. De esta manera, podemos:
* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para permitir acceso global o acceso restringido a la subred local o cuando los puertos pueden ser para todas las interfaces o para una interfaz de red en particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF
Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la funcionalidad es especifica del ICF solamente.
¿CUAL ES EL CAMBIO IMPORTANTE?
Permitir a los administradores un metodo abreviado de configuracion a traves de secuencias de comandos sin necesidad de usar la interface grafica. Por tanto esta configuracion puede manejarse con scripts remotamente.
MODO DE OPERACION 'SHIELDED'
-
(literalmente "escudado". Pero no se ha decidido todavía el nombre definitivo con que saldrá).
ICF podría configurarse para permitir trafico de llamadas entrantes no solicitadas durante su uso normal.
Esto es tipico para poder compartir archivos e impresoras. Si se descubre un intento de acceso de seguridad no solicitado en uno o mas de los servicios de escuha de windows, puede ser necesario cambiar de modo solo-cliente añ modo escudado (shielded). Este cambio de modo reconfigura automaticamente ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de reconfigurar el firewall.
En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada mediante API de un programa interno quedará registrada, pero no será aplicable por ICF hasta que su modo operacional vuelva a la situacion de operacion normal. Todas las peticiones de "escucha" por parte de las aplicaciones tambien serán ignoradas.
Esto se aplica tanto a ICFv4 como ICF IPv6.
(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir, cuando ICF descubre que alguien está intentado usar puertos conocidos de servicios del sistema y que en vez de ser peticiones normales, parecen de un intento de artaque, ICF sepone en modo "paranoico", y bloquea temporalmente todos los accesos de entrada a la maquina)
¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
Los virus, gusanos y atacantes miran los puertos para establecer su ataque. Cuando ICF está en modo operacional prevendrá que estos tipos de ataque puedan resultar exitosos.
¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-
En este modo de operacion, la maquina no escuchará peticiones originadas desde la red. Solo las conexiones salientes y autorizadas tendrán exito.
LISTA DE PERMISOS Y APLICACIONES EN EL ICF
Algunas aplicaciones actuan como clientes y servidores. Cuando intenten actuar como serivodres necesitaremos autorizar el trafico entrante.
En anteriores versiones de windows, era necesario definir los puertos previamente o bien la aplicacion necesitaba llamar al API de configuracion para establecer los puertos por los que iba a escuchar. Esto es realmente dificultoso en comunicaciones peer-to-peer cuando los puertos no son conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los puertos creados cuando la aplicacion finalizaba.
Adicionalmente estos puertos podian ser abiertos solo cuando las aplicaciones rodaban en un contexto de seguridad o en la cuenta del administrador local. Esto viola el principio de menor privilegio el requerir que las aplicaciones se ejecutasen en contextos administravos, en contra de usar solo los minimos privilegios necesarios en cada cuenta de la maquina.
Con el SP2, una aplicacion que necesite escuchar en un puerto de la red, puede ser añadida a la lista de permisos de ICF. Si una aplicacion está en la lista de permisos de ICF, Windows automaticamente abrirá los puertos que necesite mirando el contexto de seguridad de la aplicacion.
¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos necesarios para esa aplicacion estarán abiertos, y *solo* estaran abiertos durante el tiempo en que esa aplicacion los tenga en escucha.
Esto tambien permite que aplicaciones que esten escucahndo en un puerto se puedan ahora ejecutar con los permisos de un usuario normal. En anteriores versiones de windows, estas aplicaciones debian ejecutarse con permisos administrativos.
Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Leer las respuestas