Firewall de Windows Vista I de II

Hola a tod@s! 


Me llamo Juan Garrido, en la community me conocen por Juanillo y me pasaré de vez en cuando por este blog para dejar algún que otro articulillo. Hoy os vamos a hablar del nuevo Firewall de Windows Vista. 


El tiempo parece que avanza cada día más rápido, y junto a él, estamos nosotros. Nunca antes el mundo había sido tan pequeño. Y esto se lo debemos en gran parte a las comunicaciones. Mensajería corporativa, correo interno, streaming para reuniones que antes serían imposibles, VOIP, gente que viene de otras empresas, ejecutivos con sus portátiles que van de una oficina a otra, etc…


Todo esto sería maravilloso si pasase exactamente así. Pero la realidad no es siempre de color de rosas y una red, por pequeña que sea, se puede convertir en un campo de batalla, si no tomamos las debidas precauciones.


Vivimos en un tiempo en el que las redes corporativas y las no corporativas son cada día más complicadas de administrar. Comerciales que conectan sus PDA a los portátiles o equipos de sobremesa, conexión de dispositivos de almacenamiento externo, tener que realizar operaciones en distintas redes, como por ejemplo, aeropuertos, ejecutivos que van de oficina en oficina y necesitan conectarse a la Red, etc..


Desgraciadamente, junto a este tipo de comportamiento, pueden venir a veces acompañados de la mano ciertas amenazas de seguridad como pueden ser Malware, Exploits, Spyware, DOS, Script-Kiddies, etc..


Y aquí es donde entra en acción un Firewall. Algo que ayude a minimizar los riesgos, sin perder un ápice de experiencia.


Antiguamente (y no hablo de mucho tiempo atrás) poniendo firewalls en el perímetro, podíamos permitirnos el lujo de tener a nuestros clientes sin firewall, pero hoy en día, con las nuevas técnicas de ataque, es casi de obligado cumplimiento defender en profundidad tanto a nuestros servidores como a nuestros clientes. Al fin y al cabo ellos serán los que utilicen la tecnología que les podamos proporcionar. Y por qué no aportarles tecnología y seguridad?


Dicho esto, en esta ocasión vamos a hablaros del nuevo Firewall de Windows Vista.


El Firewall de Windows Vista ayudará a mitigar estos desafíos que hemos comentado en líneas anteriores. Y por qué decimos mitigar? Pues porque un Firewall no es una panacea. La seguridad al 100% nunca está, ni estará garantizada. Un Firewall podrá reducir la superficie de ataque a una computadora, pero nunca asegurarla al 100%.


Dicho esto y sin haberme cogido los dedos  J, vamos a ver las nuevas características o features del nuevo Firewall de Vista.




  •   Soporte para IPV6.- Gracias a la nueva pila TCP/IP integrada en Vista y Longhorn, se integra el soporte para esta evolución de TCP/IP.


  •  Posibilidad de controlar tanto el tráfico entrante como saliente.


  •  Nueva consola de seguridad basada en MMC (Microsoft Management Console)


  • NetWork Access Protection (NAP)


  • Hardening de servicios


  • Integración con IPSEC


  • Reglas aplicables a perfiles determinados


  • Reglas basadas en AD, usuarios, grupos y computadoras

Profundizaremos en ellos más adelante.


Gracias a la nueva consola de administración del Firewall basada en mmc, se mejora bastante la administración del mismo, pudiéndose crear reglas tanto de entrada como de salida, y configurarlas hasta en el más mínimo detalle.
Los tipos de configuración varían en función de lo que queramos permitir o denegar:




  • Por nombre de aplicación.- Podemos restringir o permitir a una aplicación la conexión con el exterior


  • Puertos.- Restringir o permitir a todos o a un número determinado de puertos la conexión


  • Direcciones IP.- Restringir o permitir a una dirección IP o un rango entero la conexión con algún tipo de aplicación o servicio


  • ICMP o ICMPV6.- Restringir o permitir algún servicio de este tipo como por ejemplo ping


  • Servicios.- Restringir o permitir la conexión al exterior de algún servicio


  • Usuarios AD, locales, grupos o máquinas.- Restringir o aplicar reglas en base a un determinado grupo de usuarios, usuarios de directorio activo o locales


  • Tipos de Interface.- Aplicar o restringir las reglas en base al tipo de interfaz que tengamos en el equipo, ya sea Wireless, Ethernet, etc…

Las reglas se pueden aplicar de dos formas. A través de una política local, o a través de una GPO, si lo configurásemos desde Directorio Activo. El orden de aplicación de reglas es el siguiente:


 


Reglas de aplicación Firewall


 


Para acceder a la consola de Windows Firewall podremos seguir varios caminos:




  • Desde el buscador de Windows, tipeando WF.msc


  • Desde Inicio –> Ejecutar –> mmc –> Añadir complemento –> Windows Firewall


  • Desde Inicio –> Panel de Control –> Herramientas administrativas –> Windows Firewall


  • Desde Inicio –> Ejecutar –> control.exe /name Microsoft.AdministrativeTools –> Windows Firewall

Por caminos que no quede…[;)]


Cuando abrimos la consola de administración de Windows Firewall, éste es el aspecto que presenta:


Vista General Firewall


Este es el nuevo aspecto de las consolas MMC 3.0. A los administradores les resultará más fácil adaptarse a este tipo de consolas, ya que por defecto se mantendrá el mismo diseño en otras aplicaciones, como las nuevas versiones de ISA Server y los nuevos productos de la familia Forefront por ejemplo, que traerán un aspecto parecido.


Por un lado vemos la parte derecha, que nos presenta varias opciones. Desde exportar/importar directivas, hasta establecer filtros en base al perfil, estado de conexión o por grupos.


En la parte izquierda tenemos las opciones de configuración y monitorización de reglas. Podremos configurar tanto las reglas de entrada como las de salida, y monitorizar el estado de conexiones y actividad del Firewall.


En la parte central podremos ver el estado en que se encuentra nuestro Firewall. Podremos ver los perfiles de conexión que trae por defecto Windows. Perfil de dominio, perfil privado y perfil público, accesos para crear reglas de entrada o salida y un apartado de recursos y documentación.


Para acceder a las propiedades del Firewall de Windows con seguridad avanzada, podremos hacerlo de dos formas.


Pinchar con el botón derecho del ratón en Firewall de Windows con seguridad avanzada, tal y como se muestra en la imagen:


Configuración Firewall


 


O directamente pulsando en Propiedades,  en la parte derecha de la consola (Acciones).


Propiedades 2


En las propiedades podemos ver 3 tipos de perfiles:




  • Perfil de Domino: Equipo que se conecta a una red corporativa, como directorio activo


  • Perfil privado: Equipo que se conecta a una LAN privada, como nuestra casa, por ejemplo


  • Perfil público: Equipo que se conecta a una red en la que no tenemos control ninguno sobre ella. Cibercafés, aeropuertos, etc…

Cuando conectamos nuestro Vista a una red, automáticamente debe poder detectar el tipo de red a la que nos estamos conectando, y según como tengamos configurado nuestro Firewall, se aplicarán las reglas en base al perfil que tengamos.


Por ejemplo, si tengo una aplicación que conecto libremente en casa pero no en la oficina, puedo crear una regla que diga que se puede conectar libremente a internet cuando esté bajo el perfil privado, pero que no se pueda conectar cuando estemos en un perfil de dominio. Esto facilita mucho la labor a los administradores, creando la misma regla pero con ámbitos de acción diferentes en base al perfil.


Cada perfil es totalmente configurable, pudiendo desactivarlo o activarlo a nuestro gusto, creando archivos de logs para cada uno de ellos, mostrando notificaciones de bloqueo, etc.…


Y para terminar esta primera parte, vamos a someter a nuestro Firewall a una sencilla prueba de escaneo de puertos, para ver cómo reacciona.


Le he hecho un par de test de pruebas en dow Webs distintas. Una en HackerWatch y la otra en AuditMyPC. Los resultados:


Resultado Test 1


Resultado Test 2:


Resultado Test 2


Podéis hacer la comprobación en alguna de estas Webs y comprobar ustedes mismos los resultados. Siempre hay que hacer las debidas pruebas antes de postear resultados, porque puede ser que pasen cosas como estas:


https://www.securinfos.info/english/the-week-of-vista-bugs-the-truth.php


Y administradores mal informados publiquen cosas como estas:


http://www.kriptopolis.org/node/3970


Lo que puede generar en una cadena de noticias mal documentadas y contrastadas, y al final, todos salimos perdiendo.


En el próximo artículo veremos la creación y personalización de reglas, administración del Firewall a través de la Shell, hablaremos un poco sobre NetWork Access Protection (NAP) y jugaremos a ser malos con él a ver qué tal se comporta.


Saludos!

4 comentarios sobre “Firewall de Windows Vista I de II”

  1. Juguemos a ser malos pero esperaré a que termines para ver si en el firewall de Vista también se les ha pasado por alto una cosita…

    Un saludo 🙂

    Responder

  2. ANELKAOS cabrón no nos dejes con la miel ne la boca! xD

    Juanillo, muy buen artículo. Ya tengo ganas de leer el segundo 😉

    PD al webmaster: Dejar un poco de marjen entre la línea de separación central y la letra, tacaños.

    Responder

  4. hola tengo un problema para aplicar reglas de filtros de ip entrartes
    el problema esque no hace caso simplemente
    especifico el protocolo, la direccion ip entrante, el puerto q va a utilizar…
    en definitiva solo funciona con reglas de filtros ip de salida
    uso inalambrico nose si tendra algo que ver con eso
    cualquier sugerencia o ayuda seria de agradecer
    Gracias

    Responder

Responder a anonymous Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *