Foro Local de TARRACO, Tarragona

ANILLO CONTACTAR CULTURALIA DOWNLOADS KIOSKO FORO HOME

23 Mayo 2003

KERIO PERSONAL FIREWALL 2.1.5

FILTROS / REGLAS: TOOLEAKY

Del manual en inglés que ahora le acompaña:

"Kerio Personal Firewall is a small and easy to use system designed for protecting a personal computer against hacker attacks and data leaks. It is based on the ICSA certified technology used in the WinRoute firewall.

The firewall itself runs as a background service, using a special low-level driver loaded into the system kernel. This driver is placed at the lowest possible level above the network hardware drivers. Therefore, it has absolute control over all passing packets and is able to ensure complete protection of the system it is installed on."

Los filtros por defecto:

El KERIO lo hemos subido a DENY UNKNOWN. Se ha subido el nivel de seguridad, dado que teniendo desmarcado el CERROJO, el W2000 pudo actualizarse al último parche -SRP1- SIN AVISAR.

Desde el KERIO podemos ahora EXPORTAR e IMPORTAR reglas.

Para evitar el TOOLEAKY y otras futuras vulnerabilidades basadas en lo mismo deberemos PRESCINDIR DEL INTERNET EXPLORER y restringir la regla del LOOPBACK. Si además utilizamos el antivirus NOD 1.*, el gestor de correo y su módulo POP3SCAN requerirán nuevas reglas.

Pero no prescindiremos del MOTOR DEL INTERNET EXPLORER. No, lo seguiremos utilizando pero con un INTERFAZ GRAFICO DIFERENTE, en este ejemplo el gratuito -y en español- CRAZY BROWSER, que nos da un look XP y sobre todo permite PESTAÑAS, como en el OPERA, con lo que la administración de las páginas visitadas se facilita enormemente, es decir que sólo estará abierto una vez el navegador. MYIE2 es el interfaz que recomendamos en el 2003.

Todos estos programitas se hacen pasar por la INTERFAZ GRAFICA del INTERNET EXPLORER por ahora, NO POR SU MOTOR. Deberemos abandonar su uso, así como del OUTLOOK, MESSENGER, cuentas de correo HOTMAIL y casi todo aquello que huela a M$, salvo sus S.O, en lo referente a las comunicaciones externas.

Cuando abre el IE -su interfaz-, al no tener su regla, nos preguntará, aunque ya esté creada la regla para el CRAZY BROWSER o cualquier otro interfaz gráfico del IE. Es decir, el MOTOR del navegador podremos seguir utilizándolo, al menos por ahora.

Si queremos seguir filtrando publicidad y aumentar nuestra privacidad y seguridad, el LOOPBACK sigue siendo necesario para algunos programas como el WEBWASHER o el PROXOMITRON -no así con el AD-MUNCHER-. Más aún, éstos programas LEAKTEST intentan conexión directa, así que al utilizar el PROXY LOCAL podremos eludirlas.

Al tener el LOOPBACK en ANY APLICATION, el Windows Update lo utilizaba, sin que fuésemos avisados, así como el KaZaa 1.6, puestos que buscaban caminos alternativos, al serles negados los habituales.

Con el nivel de seguridad máxima (DENY UNKNOWN) y regla CERROJO activada, si se ponía el LOOPBACK al final de todas de las reglas, las comunicaciones se interrumpían, con lo que DEBEREMOS TENER ACTIVADO EL CERROJO, una vez hayan sido creadas las reglas habituales, independientemente del DENY UNKNOWN.

Mientras M$ no saque un parche que solucione el problema, las empresas cortafuegos irán poniendo parches temporales que inevitablemente serán superados por nuevas versiones de los LEAKTEST, por lo que mejor utilizar la configuración propuesta. Ha pasado un año y M$ no ha reaccionado. Siguen descubriéndose nuevas vulnerabilidades sobre el mismo tema y M$ no reacciona!!!

La regla del DNS, limitada al rango de puertos 1024 - 5000 propuesta en su día ha evitado la vulnerabilidad detectada en el KERIO 2.1.4 en el 2003. Más vale prever ataques futuros.

Mientras tanto, éstas son las reglas nuevas para las aplicaciones:

En MONOPUESTO con MODEM no necesitaremos el DHCP, así que la deshabilitaremos o eliminaremos (para CABLE mejor substituirla por las 2 reglas propuestas por DAEXMA). Mientras no esté habilitada, no actúa, y por tanto no carga de trabajo al motor del KERIO.

Si queremos navegar via FTP, se deberán crear las reglas necesarias para el navegador requerido, que además no utilizarán el LOOPBACK / LOCALHOST / BUCLE INTERNO la dirección reservada 127.0.0.1.

Si el PROXOMITRON es utilizado para navegación anónima, la regla deberá ser substituida por otras dos.

Al utilizar el módulo POP3SCAN del antivirus NOD, el LOOPBACK para analizar el correo, deberemos crear una regla nueva para él y otra para THE BAT como hicimos con los navegadores citados.

Por supuesto, el MESSENGER deshabilitado por defecto o negado. El LOADQM.EXE mejor evitar su carga, pero en todo caso no está de más prohibirlo en los windows donde se instala ( a excepción del XP ). Sólo lo permitiremos cuando lo utilicemos (lo menos posible).

WINDOWS / TOTAL COMMANDER es una alternativa al EXPLORER muy útil para administrar nuestro sistema de ficheros, incluyendo internamente un cliente FTP muy práctico, y en castellano. El WINDOWS COMMANDER está instalado en otra partición. La regla fue creada manualmente.

FLASHGET 1.2 o superior, excelente gestor de descarga, ahora sin espías. El plugin para su integración con el OPERA hay que descargarlo aparte.

Hasta aquí todo es válido para RTB o ADSL.

CABLE

Para CABLE, independientemente del windows utilizado, se han de crear dos nuevas reglas para evitar que corten el servicio (con las propuestas nos invisibilizamos demasiado y no respondemos al servidor). Y se ponen por encima del bloque de negadas.

Rule #1:
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: DHCP Server IP (escribimos la que tengamos asignada)
Rule Valid: Always
Action: Permit
Logging: None

Rule #2:
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None

Para Windows XP y CABLE, daexma ha propuesto una regla resumen de las dos anteriores en la que la que remote address es ANY, pero la aplicación es el svchost.exe. En W98 no existe tal servicio y en W2000 tiene menos atribuciones, por lo que las aplicación ha de ser cualquiera (ANY).

Las primeras reglas negadas no por defecto son diferentes para cada windows.

En W98 tenemos la del RNAAP y la del LOADQM .

En W2000 además de la del LOADQM negamos los 7 servicios que quieren conectarse desde c:\winnt\system32.

En W XP el LOADQM no existe, y los 7 servicios están en c:\windows\system32. Y el SVCHOST tiene más atribuciones que en el W2000 (en W98 tal aplicación del windows no existe).

Y a continuación vienen el resto de las negadas, a indicación de lo propuesto por el NIST.

La regla CERROJO fue creada la última. IMPIDE QUE SE CREEN NUEVAS REGLAS, así que la hemos de desmarcar al principio e ir creando las reglas que permitan el paso a las aplicaciones que utilicemos normalmente. Cuando ya estén creadas, la volveremos a marcar para "echar el pestillo".

Así que DENY UNKNOWN y CERROJO.

Debemos acordarnos de desmarcarla cuando queramos permitir reglas nuevas.

Desde la pestaña M$ NETWORKING podemos configurarlo para una RED, mejor que creando reglas. Deberíamos introducir las direcciones IP del servidor (si somos cliente) y de los clientes con los que queramos comunicarnos. Si no tenemos control sobre la red y su seguridad, mejor negar el acceso al resto de los clientes. Cuando lo necesitemos marcamos la regla. Una red caerá siempre desde el eslabón más débil.

En el servidor podríamos utilizar el KERIO, pero es más recomendable el ENRUTADOR CORTAFUEGOS WINROUTE PRO. Manual en español de 268 páginas. Abstenerse inexpertos hasta que sea explicado debidamente y de forma asequible.

Al igual que el ZONEALARM PRO, el KERIO genera una firma digital con el algoritmo resumen "hash" MD5 (ahora parece que el SHA-1 es más seguro y prometedor, que es el que se utiliza por defecto en el PGP y en el GNUPG; la foto siempre se está moviendo: ahora utilizamos RIPE MD-160 en los programas de cifrado).

- KERIO 2.1.5 -