Firewall de Windows Vista II de II

Hola a tod@s!


Vamos a terminar este pequeño repaso al firewall de Windows Vista repasando las opciones que nos quedaban por cubrir, las cuales son:


·         NAP (Network Access Protection)


·         Configuración básica


·         Creación y personalización de reglas


·         Administración a través de la Shell


·         Jugar un poco con él


Empezaremos hablando sobre Network Access Protection. NAP o protección de acceso a la red, no es más que una serie de políticas que nos van a ayudar a los administradores a garantizar que los equipos que se conecten a nuestra red, cumplen con una política de salud aceptable. Si para nosotros una buena política de salud es no tener un resfriado, hacer ejercicio de forma constante, etc.., para un equipo una buena política de salud sería tener el antivirus en pleno funcionamiento y con las firmas actualizadas, tener instaladas todas las actualizaciones de seguridad, etc.. Si nuestro equipo no cumpliese con la política de seguridad establecida por la empresa, podrían pasar dos cosas. La primera que no se pudiese conectar a nuestra red, y una segunda podría ser que sí nos pudiésemos conectar, pero en una red aislada de toda la corporación, con acceso sólo a algunos recursos, y a la espera de poder cumplir con los requisitos mínimos de salud.


Recordemos que esto es sólo una medida más de seguridad, al igual que los antivirus, las políticas, DEP, UAC, MIC, etc…


En el artículo anterior veíamos cómo estaba configurado el firewall por defecto, los diferentes perfiles a los que nos podemos enfrentar (dominio, público, privado) y el tipo de comportamiento que tendrá nuestro firewall cuando nos conectemos con un determinado perfil. Por defecto están los 3 configurados iguales:


·         Estado del Firewall : Habilitado


·         Conexiones entrantes: Bloquear


·         Conexiones salientes: Permitir


Por defecto el firewall está habilitado para todos los perfiles, las conexiones entrantes se bloquean si no cumplen con una determinada regla, pero las conexiones salientes no. Yo particularmente recomiendo que se habilite esta regla (Conexiones salientes: Bloquear), y así cubrimos dos campos, los cuales son  las conexiones entrantes, y las salientes. Si activamos esta opción, toda acción de salida que no cumpla con una determinada regla será bloqueada. Cualquier aplicación que necesite salir al exterior, tiene que tener una regla para salir, si no la tiene, no sale. Cabe decir que si aplicamos esta opción, tendremos que configurar a mano las aplicaciones que necesiten salir a Internet, como por ejemplo nuestro navegador.


 Esto lo vamos a ver muy bien con dos ejemplos de aplicaciones que necesiten salir al exterior.


Una vez que hayamos aplicado esta opción, nuestro PC estará automáticamente aislado de toda comunicación desde el interior al exterior, y desde el exterior al interior. Esto quiere decir que si iniciamos nuestro navegador para navegar por Internet, éste no podrá salir, al no tener una regla de salida asignada. Tampoco podremos hacer comprobaciones de conectividad, como por ejemplo ping, etc.… Así que vamos a crear una regla de salida, como por ejemplo nuestro navegador.


Crear una regla de salida en el Firewall es tan sencillo como picar en la opción Nueva regla, la cual la podemos encontrar en dos puntos de nuestra consola. En la parte superior derecha o pulsando con el botón derecho del ratón en las pestañas Reglas de entrada y Reglas de salida.


New Rule



Al pulsar en Nueva Regla nos saldrá un asistente que nos guiará en todo momento a crear una nueva regla.


Outbound


 


Como podréis observar, la regla no solo se limita al ámbito de una aplicación, sino que podremos crear reglas por número de puerto, servicios, reglas predefinidas, etc… Podremos personalizar las reglas a nuestro gusto.


Como en nuestro caso vamos a darle salida a nuestro navegador, elegiremos la opción Programa y pulsaremos Siguiente.


Outbound2


 


Aquí nos está pidiendo el asistente que le indiquemos la aplicación que va a coincidir con la regla de salida. Marcaremos la ruta de nuestro navegador y pulsaremos Siguiente.


 


Outbound3


 


Aquí nos pregunta por el tipo de conexión que vamos a permitir o denegar. Si os fijáis, el firewall, al estar integrado con IPSEC, nos da la opción de permitir sólo las conexiones seguras y autenticadas, en el caso de que nuestra red estuviese configurada con IPSEC. Marcamos Siguiente.


 


Outbound4


 


En esta parte de la regla, nos preguntará en qué ámbito se aplicará esta regla. Como mi PC sólo va a estar en casa, marcaré la opción Privado. Si fuésemos un administrador de sistemas y tuviésemos que configurar el Firewall para el portátil de un directivo podríamos marcar los 3 ámbitos, así nuestro directivo tendría conectividad tanto en el trabajo, como en su casa, pasando por una red pública, como podría ser un aeropuerto, etc…


 


Outbound5


 


La última regla es solo para poner un nombre y una descripción. Tendremos que ser consecuentes con el nombre que pongamos si queremos  llevar una monitorización óptima. Pulsamos Finalizar y listo! Tenemos nuestra primera regla de salida!


Un problema menos, podemos navegar por la Red. Pero al cabo de un rato me veo en la necesidad de hacer una prueba de conectividad entre varios equipos, y al intentar una prueba con el comando ping, veo que el Firewall me está denegando la salida.


 


Error Ping


 


Para cerciorarnos de que no es un error de conexión, podemos mirar el log de nuestro Firewall para ver qué registra, y esto es lo que nos encontraremos:


 


DropICMP


Como podéis comprobar, me está denegando toda salida ICMP. Lo único que nos queda por hacer es crearnos una nueva regla de salida, pero esta vez personalizada, que se aplique a todos los programas. Lo único que tenemos que cambiar es la configuración del protocolo. La regla sólo se aplicará al protocolo ICMP, tal y como aparece en la imagen:


 


ICMP1


 


Si os fijáis, el firewall de Windows también nos permite configurar el protocolo ICMP, lo cual nos viene de perlas, porque yo sólo quiero peticiones de eco para poder hacer pings, lo que nos quedaría:


 


Eco ping


 


Una vez configurada nuestra regla y habilitada, podremos comprobar que ya tenemos conectividad ping.


 


Ping


 


Y la administración bajo línea de comandos? Es posible? Claro que sí!


Muchos administradores se quejaban de que Windows era una gran plataforma en entorno gráfico, pero que la línea de comandos estaba bastante descuidada. Esto es y no es cierto. Me explico. Desde Windows 2000/XP ya se podía administrar en un 100% un equipo bajo línea de comandos, lo que no había en Internet eran manuales al respecto. Ahora con la nueva PowerShell de Windows la experiencia se multiplica de forma exponencial. Veamos cómo podemos administrar nuestro Firewall a través de la Shell.


Vamos a utilizar la herramienta nativa de Windows netsh. Netsh es una aplicación bajo línea de comandos que nos permite la administración de la configuración de red de un equipo. Este tipo de administración lo podemos hacer tanto de forma local como remota.


Este comando no sólo sirve para administrar el Firewall de Windows, sino que podremos administrar un 100% de nuestra configuración. Podremos administrar NAP, HTTP, RPC, configuraciones IP, etc…


El comando en cuestión es el siguiente:


Netsh advfirewall firewall


Imaginemos que tenemos una aplicación que se llama juanito.exe que necesita salir al exterior. Necesitamos crearle una regla de salida sólo para el perfil privado. Lo que nos deja el comando siguiente:


Netsh advfirewall firewall add rule name=” Permitir aplicación Juanito.exe” dir=out program=”C:Archivos de programaAplicación de Juanitojuanito.exe” profile=private action=allow


En donde el apartado dir refleja la naturaleza de la regla (si es de salida o de entrada), el apartado profile refleja el ámbito de la regla (perfil público, privado o dominio) y la acción que va a tomar esa regla (permitir o denegar).


Con la aplicación netsh podremos crear, eliminar, crear backups de las reglas, etc… Recomiendo echarle un vistazo, ya que es una herramienta muy potente que puede ayudar a muchos administradores.


Y para jugar un poco con él, vamos a intentar poner una Shell a la escucha con la aplicación netcat.


El comando que vamos a utilizar es el siguiente:


nc.exe –l –e “cmd.exe” –p 1234


Al pulsar Enter podremos ver como nuestro firewall se cosca de que hay una aplicación que quiere salir a escuchar, y que incluso si desbloqueamos esa aplicación, el control de cuentas de usuario nos pide aprobación para iniciar la consola de nuestro Firewall.


 


Permission


 


La segunda prueba que vamos a hacer es un escaneo típico con la herramienta nmap. En este caso vamos a probar dos tipos de escaneo. El escaneo SYN y el escaneo connect.


SYN Scan


SYNScan


 


Connect Scan


 


ConnectScan


 


Incluso podríamos ver la reacción de nuestro Firewall mirando de nuevo el Log


Log1


 


Log2


 


Y con esto y un bizcocho, hemos terminado de explicar las novedades de seguridad incorporadas en el nuevo Firewall de Windows Vista. Espero que os guste.


Me voy a la feria! [;)]

7 comentarios sobre “Firewall de Windows Vista II de II”

  1. quisiera preguntar, uso el netsh para guardar mi configuración ip, y para recuperar digito
    Netsh -f Configuracion.txt
    q es donde guardé mi configuración, pero no la cambia, me estoy olvidando de algo?
    gracias

  2. Seguramente tu conexión de red se llame “Conexión de área local” no? Los scripts y los acentos no se llevan muy bien.
    Si necesitas renombrar las conexiones en muchos equipos, te recomiendo que te crees un script y lo despliegues a través de políticas.

    http://windowstips.wordpress.com/2007/02/19/tip-renombrar-el-nombre-de-conexion-por-linea-de-comandos/

    Si tienes otra duda, puedes postearlas en los foros technet de microsoft, y con gusto te contesto desde allí.

    http://forums.microsoft.com/technet-es/default.aspx?siteid=30

    Saludos!

  3. Yo puse a funcionar y todo muy bien el unico problema fue que windows update no funciono, desactive la opcion de bloqueo de salidas y funciono nuevamente bien? como puedo hacer una regla para que funcione el windows update?

    Gracias de antemano

  4. ola amigos, tengo un problema, desintale en norton anivirus security center de una lap con windows vista Business al procesar la desintalación le di activar firewall y listo quedó, luego instale otro antivirus, y al reiniciar y todo, ya no me pude conectar a internet, ayudenme por favor!!!

    gracias
    dejo mi correo: ttaudi2006@hotmail.com

  5. Hola amigos.
    Tengo exactamente el mismo que Carlos.
    desintale en norton anivirus security center de una laptop con windows vista Starter, cuando estaba configurado para administrar el firewall que trae el Norton, al reiniciar y todo, ya no me pude conectar a internet, me ha bloqueado los puertos en todos los perfiles,
    he probado activando el firewall, de todas las maneras que he leido y nada.
    usando la consola de configuracion, el Netsh y no trabaja
    * En el panel de control me aparece firewall desactivado.
    * En los Servicios de Wndows aparece iniciado y automatico.
    * En la Herramientas advas, me aparecen activado el Firewall solo en perfil de Dominio, y bloqueado los perfiles Pubico y privado. (No los puedo activar con Netsh. no lo acepta)

    Saludos y Gracias.

    Favor ayudarme pleae.
    orcyrivas@hotmail.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *