Hola a tod@s!
Vamos a terminar este pequeño repaso al firewall de Windows Vista repasando las opciones que nos quedaban por cubrir, las cuales son:
· NAP (Network Access Protection)
· Configuración básica
· Creación y personalización de reglas
· Administración a través de la Shell
· Jugar un poco con él
Empezaremos hablando sobre Network Access Protection. NAP o protección de acceso a la red, no es más que una serie de políticas que nos van a ayudar a los administradores a garantizar que los equipos que se conecten a nuestra red, cumplen con una política de salud aceptable. Si para nosotros una buena política de salud es no tener un resfriado, hacer ejercicio de forma constante, etc.., para un equipo una buena política de salud sería tener el antivirus en pleno funcionamiento y con las firmas actualizadas, tener instaladas todas las actualizaciones de seguridad, etc.. Si nuestro equipo no cumpliese con la política de seguridad establecida por la empresa, podrían pasar dos cosas. La primera que no se pudiese conectar a nuestra red, y una segunda podría ser que sí nos pudiésemos conectar, pero en una red aislada de toda la corporación, con acceso sólo a algunos recursos, y a la espera de poder cumplir con los requisitos mínimos de salud.
Recordemos que esto es sólo una medida más de seguridad, al igual que los antivirus, las políticas, DEP, UAC, MIC, etc…
En el artículo anterior veíamos cómo estaba configurado el firewall por defecto, los diferentes perfiles a los que nos podemos enfrentar (dominio, público, privado) y el tipo de comportamiento que tendrá nuestro firewall cuando nos conectemos con un determinado perfil. Por defecto están los 3 configurados iguales:
· Estado del Firewall : Habilitado
· Conexiones entrantes: Bloquear
· Conexiones salientes: Permitir
Por defecto el firewall está habilitado para todos los perfiles, las conexiones entrantes se bloquean si no cumplen con una determinada regla, pero las conexiones salientes no. Yo particularmente recomiendo que se habilite esta regla (Conexiones salientes: Bloquear), y así cubrimos dos campos, los cuales son las conexiones entrantes, y las salientes. Si activamos esta opción, toda acción de salida que no cumpla con una determinada regla será bloqueada. Cualquier aplicación que necesite salir al exterior, tiene que tener una regla para salir, si no la tiene, no sale. Cabe decir que si aplicamos esta opción, tendremos que configurar a mano las aplicaciones que necesiten salir a Internet, como por ejemplo nuestro navegador.
Esto lo vamos a ver muy bien con dos ejemplos de aplicaciones que necesiten salir al exterior.
Una vez que hayamos aplicado esta opción, nuestro PC estará automáticamente aislado de toda comunicación desde el interior al exterior, y desde el exterior al interior. Esto quiere decir que si iniciamos nuestro navegador para navegar por Internet, éste no podrá salir, al no tener una regla de salida asignada. Tampoco podremos hacer comprobaciones de conectividad, como por ejemplo ping, etc.… Así que vamos a crear una regla de salida, como por ejemplo nuestro navegador.
Crear una regla de salida en el Firewall es tan sencillo como picar en la opción Nueva regla, la cual la podemos encontrar en dos puntos de nuestra consola. En la parte superior derecha o pulsando con el botón derecho del ratón en las pestañas Reglas de entrada y Reglas de salida.
Al pulsar en Nueva Regla nos saldrá un asistente que nos guiará en todo momento a crear una nueva regla.
Como podréis observar, la regla no solo se limita al ámbito de una aplicación, sino que podremos crear reglas por número de puerto, servicios, reglas predefinidas, etc… Podremos personalizar las reglas a nuestro gusto.
Como en nuestro caso vamos a darle salida a nuestro navegador, elegiremos la opción Programa y pulsaremos Siguiente.
Aquí nos está pidiendo el asistente que le indiquemos la aplicación que va a coincidir con la regla de salida. Marcaremos la ruta de nuestro navegador y pulsaremos Siguiente.
Aquí nos pregunta por el tipo de conexión que vamos a permitir o denegar. Si os fijáis, el firewall, al estar integrado con IPSEC, nos da la opción de permitir sólo las conexiones seguras y autenticadas, en el caso de que nuestra red estuviese configurada con IPSEC. Marcamos Siguiente.
En esta parte de la regla, nos preguntará en qué ámbito se aplicará esta regla. Como mi PC sólo va a estar en casa, marcaré la opción Privado. Si fuésemos un administrador de sistemas y tuviésemos que configurar el Firewall para el portátil de un directivo podríamos marcar los 3 ámbitos, así nuestro directivo tendría conectividad tanto en el trabajo, como en su casa, pasando por una red pública, como podría ser un aeropuerto, etc…
La última regla es solo para poner un nombre y una descripción. Tendremos que ser consecuentes con el nombre que pongamos si queremos llevar una monitorización óptima. Pulsamos Finalizar y listo! Tenemos nuestra primera regla de salida!
Un problema menos, podemos navegar por la Red. Pero al cabo de un rato me veo en la necesidad de hacer una prueba de conectividad entre varios equipos, y al intentar una prueba con el comando ping, veo que el Firewall me está denegando la salida.
Para cerciorarnos de que no es un error de conexión, podemos mirar el log de nuestro Firewall para ver qué registra, y esto es lo que nos encontraremos:
Como podéis comprobar, me está denegando toda salida ICMP. Lo único que nos queda por hacer es crearnos una nueva regla de salida, pero esta vez personalizada, que se aplique a todos los programas. Lo único que tenemos que cambiar es la configuración del protocolo. La regla sólo se aplicará al protocolo ICMP, tal y como aparece en la imagen:
Si os fijáis, el firewall de Windows también nos permite configurar el protocolo ICMP, lo cual nos viene de perlas, porque yo sólo quiero peticiones de eco para poder hacer pings, lo que nos quedaría:
Una vez configurada nuestra regla y habilitada, podremos comprobar que ya tenemos conectividad ping.
Y la administración bajo línea de comandos? Es posible? Claro que sí!
Muchos administradores se quejaban de que Windows era una gran plataforma en entorno gráfico, pero que la línea de comandos estaba bastante descuidada. Esto es y no es cierto. Me explico. Desde Windows 2000/XP ya se podía administrar en un 100% un equipo bajo línea de comandos, lo que no había en Internet eran manuales al respecto. Ahora con la nueva PowerShell de Windows la experiencia se multiplica de forma exponencial. Veamos cómo podemos administrar nuestro Firewall a través de la Shell.
Vamos a utilizar la herramienta nativa de Windows netsh. Netsh es una aplicación bajo línea de comandos que nos permite la administración de la configuración de red de un equipo. Este tipo de administración lo podemos hacer tanto de forma local como remota.
Este comando no sólo sirve para administrar el Firewall de Windows, sino que podremos administrar un 100% de nuestra configuración. Podremos administrar NAP, HTTP, RPC, configuraciones IP, etc…
El comando en cuestión es el siguiente:
Netsh advfirewall firewall
Imaginemos que tenemos una aplicación que se llama juanito.exe que necesita salir al exterior. Necesitamos crearle una regla de salida sólo para el perfil privado. Lo que nos deja el comando siguiente:
Netsh advfirewall firewall add rule name=” Permitir aplicación Juanito.exe” dir=out program=”C:Archivos de programaAplicación de Juanitojuanito.exe” profile=private action=allow
En donde el apartado dir refleja la naturaleza de la regla (si es de salida o de entrada), el apartado profile refleja el ámbito de la regla (perfil público, privado o dominio) y la acción que va a tomar esa regla (permitir o denegar).
Con la aplicación netsh podremos crear, eliminar, crear backups de las reglas, etc… Recomiendo echarle un vistazo, ya que es una herramienta muy potente que puede ayudar a muchos administradores.
Y para jugar un poco con él, vamos a intentar poner una Shell a la escucha con la aplicación netcat.
El comando que vamos a utilizar es el siguiente:
nc.exe –l –e “cmd.exe” –p 1234
Al pulsar Enter podremos ver como nuestro firewall se cosca de que hay una aplicación que quiere salir a escuchar, y que incluso si desbloqueamos esa aplicación, el control de cuentas de usuario nos pide aprobación para iniciar la consola de nuestro Firewall.
La segunda prueba que vamos a hacer es un escaneo típico con la herramienta nmap. En este caso vamos a probar dos tipos de escaneo. El escaneo SYN y el escaneo connect.
SYN Scan
Connect Scan
Incluso podríamos ver la reacción de nuestro Firewall mirando de nuevo el Log
Y con esto y un bizcocho, hemos terminado de explicar las novedades de seguridad incorporadas en el nuevo Firewall de Windows Vista. Espero que os guste.
Me voy a la feria! [;)]