monster    Nautopia    forum

  

ANILLO     CONTACTAR    CULTURALIA     DOWNLOADS    KIOSKO    FORO         HOME
 

COMPARATIVA DE CORTAFUEGOS                                                                 Translate 
 
 

por IDORU (conde0) y maty

CONSEJOS para los CORTAFUEGOS

 

Vemos que hemos de limitar el tamaño de los ficheros logs o deshabilitar esa función en los cortafuegos software windows. Se está comunicando las fallas a las empresas para que miren de solucionarlo.

Lo que deberían hacer los cortafuegos es dejar de logear cuando se detecte un DOS. Los cortafuegos tienen su propia pila TCP/IP (organizada en capas) y lo que más trabajo le supone no es descartar los paquetes en la capa de transporte o de red si no el logear a un archivo en la capa de aplicacion  (el propio programa  L&S). Esto puede llevar a agotar la CPU o agotar la capacidad del stack de windows  ya que se tienen que crear tantos manejadores de eventos (escritura al log) que al crear tantas variables, el programa agota los recursos de la maquina (es lo que pasa en KERIO 3).

 

El KERIO 3 controla todo lo que se inicia en el ordenador, que es lo que deberían hacer el resto de cortafuegos, y así evitar el gran agujero de seguridad NO RESUELTO, en TODOS los WINDOWS, que permite a un programa atacante hacerse pasar por otro -habitualmente el INTERNET EXPLORER, OUTLOOK, ... - que SI tiene permitida la comunicación en el cortafuegos -por eso se aconseja utilizar otro software alternativo como OPERA, MOZILLA y THE BAT, EUDORA, PEGASUS, ..., con los navegadores filtrados desde el PROXOMITRON o similar, tanto en windows como en linux-.

*NOTA: Según M$ el problema es de los cortafuegos y se lava las manos. Unos por otros, la casa sin barrer.

 

El I.E. se debe dejar como última opción, utilizándolo con el interfaz gratuito MyIE o el CRAZY BROWSER, el cual sí tendrá permiso para comunicarse, no así el I.E. directamente.

Debido a ese agujero -utilizado por los LEAKTESTS famosos-, la firma digital con el algoritmo resumen MD5 que incorporan el KERIO y el ZONEALARM ya no es tan efectiva, POR CULPA DEL WINDOWS -que sabiéndolo, NO LO SOLUCIONAN, POR MUCHO CERTIFICADO DE SEGURIDAD QUE ACABA DE RECIBIR EL W2000; ¿cómo serán esos certificados, si obvian el AGUJERO GALACTICO que incorporan todos los windows-).

También deberían plantearse la inclusión de un módulo IDS (Sistema de Detección de Intrusión). El del KERIO 3 es un primer paso, claramente inferior al programa IDS gratuito SNORT y otros.

Como vemos el futuro debe pasar también por los cortafuegos de estado.

 

Los cortafuegos software han de ir incorporando más funcionalidades:

  • Posibilidad de limitar el tamaño de los logs (básico si la conexión es rápida)
  • Control de todo lo que se inicie en el sistema (para subsanar el AGUJERO NEGRO de los WINDOWS, ¿por qué se habla tan poco de él?, ¿qué intereses ocultos hay?)
  • Incorporación de un IDS
  • Trabajar como cortafuegos de estado. Se llaman así a los que guardan en unas tablas las conexiones ya establecidas o a medio establecer (TCP claro) de modo que cuando viene un paquete si no se asocia con una  conexión establecida (no es el paquete que se espera) es descartado. Esto es automático en el Visnetic, en el IPtables puedes filtrar según el estado de la conexión, a tu gusto.

    Esto quiere decir que si tú envías un SYN, recibes un SYN/ACK y mandas un ACK, este último paquete será aceptado porque es el que se espera (pertenece a una conexión a medio establecer), pero si mandas un ACK sin haber mandado nada antes se descartará, por no pertenecer a ninguna conexión conocida. Es por eso que los programas escaneres de ACK no funcionan en un cortafuegos de estado, así como las tormentas RST, ACK.
  • Y la posibilidad de crear reglas personalizadas para controlar los protocolos y puertos permitidos a las aplicaciones que quieran comunicarse con el exterior.
  • Una clara diferenciación entre RED LOCAL e INTERNET, con permisos diferentes. Por ejemplo el NETBIOS (compartir carpetas, impresoras, ...) puede interesarnos para nuestra oficina, pero no tiene mucho sentido (habitualmente) ternerlo permitido en INTERNET, así como procesos internos de los windows, demasiados curiosos, e insistentes para comunicarse (por eso se ha de negar la comunicación externa, si da problemas, ya miraremos más a fondo).

 

 

 

 

Iremos añadiendo imágenes de otros cortafuegos para quede claro lo que debería implementarse.

 

COMPARATIVA DE CORTAFUEGOS

 

 

 
 

 
 
 

NAUTOPIA © 2002. Reservados todos los derechos.