Logo de NAUTOPIA y de la Comunidad Nautópata    NAUTOPIA: Privacidad, Seguridad y Libertades Civiles    Foro Local de TARRACO, Tarragona

  

ANILLO     CONTACTAR     CULTURALIA      DOWNLOADS     KIOSKO      FORO         HOME
 

KERIO 2              KERIO 3               KERIO 4                                                                 Translate 
 
 

por maty

KERIO PERSONAL FIREWALL

CONFIGURACIÓN AVANZADA.

 

NIST: Recomendaciones y consejos.

 

NIST Technologies

ICAT  Searcher

 

INTRODUCCION

Este documento dió origen a las actuales reglas para el KERIO 2.1.4 que nos han permitido ser inmunes a diferentes ataques. También han sido exportadas al KERIO 3 por Godi.

Estas imágenes están extraídas del documento del NIST sp800-41.pdf. Son para ayudar a elaborar nuevas reglas para el TINY (ahora KERIO) que se discutirán en los foros. NIST Special Publications

Son reglas para cualquier sistema. Muchas de ellas están incluidas en el cortafuegos, pero no tenemos acceso a sus reglas internas. En su día especifiqué unas cuantas -fue la primera página de esta web, que debía ser alojada inicialmente en la vieja web de DAREDEVIL (jorgeph2001) - en la Tabla de Filtros. El resultado final (para W2000 SP 3) debe ser útil para otros cortafuegos software personales que permitan configuración personalizada de las reglas. Así que algunas serán redundantes, pero de esta forma aprenderemos un poco más sobre protocolos y seguridad (temas a desarrollar), sirviéndonos para configurar cortafuegos hardware y sistemas complejos de seguridad.

Toda política de seguridad relativa a los cortafuegos debe ser revisada continuamente, procurando estar informados de las vulnerabilidades y ataques (a través de voletines de seguridad), procurando NO ERRAR en la creación de las reglas.

 

 

PREMISAS

  1. Todo el tráfico de dentro-a-fuera (INBOUND) debe ser NEGADO, a menos que sea permitido por las reglas (modo casi paranoico), evitando así que posibles troyanos y demás bichos sean capaces de enviar información a otros sistemas (INTERNET habitualmente).
  2. El tráfico de fuera-a-dentro (OUTBOUND) se deja en manos de los administradores su configuración (se procurará incluir los dos sentidos de la comunicación en las reglas)
  3. Cualquier regla, protocolo y tráfico NO NECESARIO debe ser NEGADO (gracias al incumplimiento de esta norma pueden usarse proxys anónimos hasta que los administradores descubren ese tráfico no deseado, lo que motiva la continua actualización de la lista de proxys anónimos utilizados en programas como MULTIPROXY, A4PROXY, PROXOMITRON ...).

IMAGEN

 

 

CONFIGURACIONES DE REDES

Tal vez un día alguno deberá administrar un sistema tan complejo como éste. Algunos usuarios avanzados caseros con una red casera quizás tengan un pc con LINUX dedicado a filtrar los paquetes. El uso de las reglas del router para filtrar EXCLUSIVAMENTE no es muy recomendado (se debe emplear otro hardware específico, pero un usuario casero con router ADSL tendrá esa posibilidad).

Los PASSWORDS de todo el hardware implicado DEBEN CAMBIARSE (es habitual dejar las de defecto, algo muy corriente en los usuarios caseros de las diferentes distribuciones LINUX, y trabajar como CLIENTE NO  COMO ADMINISTRADOR, comentario válido para W2000).

El gráfico es complejo. DMZ es zona no militarizada, es decir no objeto a vigilancia intensiva. VPN nos permite crear redes virtuales en los que tráfico circula CIFRADO y que nos sirve para proteger el corazón del sistema. Este sistema permite actuar como servidor web y alojamiento, con resolución de nombres DNS. Esta red interna puede estar nuevamente protegida con otros cortafuegos / FIREWALL.

También se dispone de un Sistema de Detección de Intrusos (IDS). El más utilizado es el SNORT, que es por software, no hardware.

Lo habitual en nuestras casas es el tercer nivel de seguridad, con un FIREWALL Interno entre el ISP (PROVEEDOR DE CONEXION: Navegalia, Airtel, Jazztel,..) y nuestro PC (TINY -> KERIO, NORTON, SYGATE, ... ) o red interna (en ese caso es mejor utilizar el WINROUTE -TINY / KERIO interno-, siendo el WINGATE inseguro y el propio del windows, desaconsejable también)

IMAGEN

 

Los amantes del INTERNET EXPLORER con todo permitido (muy cómodo, eso sí) deberían tener muy en cuenta estas recomendaciones, a la que se ha de añadir el no uso de COOKIES (o especificando el permiso en sólo algunas webs).

IMAGEN

 

Aquellos que monten un servidor de ficheros (centralizado SERV-U 3.1 de Rhinosoft.com por ejemplo, o distribuido como FILETOPIA) deberían prestarle un poco de atención para no perjudicar a los clientes, además de cambiar los passwords, restringir permisos y acceso a carpetas.

En el gestor de correo THE BAT! podemos especificar estas extensiones en OPCIONES / PREFERENCES / WARNINGS. Además ha de añadirse el *.pdf que ya puede incorporar virus! Se admiten sugerencias.

Los de defecto del gestor:

          *.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP

 

IMAGEN

 

Para facilitar el trabajo (copiar y pegar):

*.ade,*.adp,*.bas,*.bat,*.chm,*.cmd,*.com,*.cpl,*.crt,*.dll,*.eml,*.exe,*.hlp,*.hta,*.inf,

*.ins,*.isp,*.js,*.jse,*.lnk,*.mdb,*.mde,*.msc,*.msi,*.msp,*.mst,*.pcd,*.pif,*.pl,*.pot,

*.reg,*.scr,*.sct,*.scx,*.shs,*.url,*.vb,*.vbe,*.vbs,*.wsc,*.wsf*.wsh,*.pdf

 

Los scripts los deshabilitamos con las herramientas gratuitas:

          noscript.exe de SYMANTEC

IMAGEN

 

          script defender de AnalogX (requiere que el Windows Scripting Host esté activado para que funcione!)

IMAGEN

 

 

APLICACIONES y SERVICIOS

Estas son las reglas que recomiendan para todos los sistemas operativos. En principio son para dentro-a-fuera (INBOUND), que en el TINY -> KERIO son INCOMING. Las reglas creadas seguirán el mismo orden para facilitar su búsqueda. Servicios como TELNET y demás LOS NEGAREMOS. Cuando los utilicemos desmarcaremos la regla (cierto es que disponemos de firma digital de las aplicaciones, pero éstas pueden saltarse a día de hoy, al poderse manipular las *.dll del windows que las identifican -FIREHOLE y demás- ). De ahí que el nuevo KERIO 3 nos interese tanto, al controlar todo lo que se inicia en el sistema.

El tráfico interno (LOOPBACK / LOCALHOST / 127.0.0.1 y demás posibilidades) deberemos especificarlo con mayor detalle. De esta forma evitaremos que traspasen el cortafuegos o simplemente echen abajo la conexión. De ahí que no hiciésemos caso a la regla genérica, especificándola para los navegadores. Como vemos, mejor negar la comunicación al INTERNET EXPLORER, evitando así que otro programa lo substituya y logre comunicarse. Si queremos utilizar su motor, hagámoslo desde las interfaces gratuitas y en castellano: MYIE2, CRAZY BROWSER o AVANT BROWSER.

IMAGEN

 

Por supuesto, también negaremos las aplicaciones internas del windows que buscan conexión INNECESARIAMENTE (algo que difícilmente podrá el engendro del Windows XP que tan pretenciosamente los de M$ llaman cortafuegos interno, motivo de futuros quebraderos de cabeza de tantos usuarios confiados).

Aunque el NetBIOS (en la web amiga ENLACES DE SEGURIDAD hay un excelente artículo al respecto) ya no lo tengamos permitido en nuestra configuración del W2000 añadimos las reglas específicas como medida de precaución (da igual que sea redundante, no está de más, dada la peligrosidad inherente). El KERIO 3 distingue muy claramente entre la RED LOCAL e INTERNET.

Explicar el uso habitual del protocolo.

IMAGEN

 

DNS, MAIL, WEB

Los usuarios del X Windows en LINUX deberán crear esa regla.

Como PC casero, deberemos NEGAR que podamos actuar como servidores de nombres, DNS.

Si no somos servidores de correo (THE BAT permite su uso como tal, pero no por defecto) deberemos actuar en consecuencia. Si queremos evitar que tomen el control del gestor podemos introducir un password -alfanumérico, mayúsculas y minúsculas, con caracteres especiales y más de 8 caracteres, se recomienda el uso de mnemotécnicos-. Y los correos debieran incorporar firma digital gracias al GNUPG-WinPT que se integra totalmente. Para firma digital y cifrado fuerte: AQUI. También deberíamos deshabilitar los scripts (ya hemos introducido las extensiones que los permiten en THE BAT!). Aconsejable echar un vistazo a Ataque ¿malintencionado?

Si no tenemos un servidor web, para qué permitirlo.

IMAGEN

 

OTROS PUERTOS y SERVICIOS

Los primeros puertos hasta el 20 tampoco es aconsejable permitirlos. Unos cuantos puertos son utilizados desde LINUX, no así desde WINDOWS. Especificarlos.

 

ICMP

Aquí llegamos a la regla que limitará el mal uso que se le está dando a este protocolo, el ICMP (como al potente IRC, OJITO con su uso, y más si se ha de compartir ficheros, que hace muchísimo dejé de utilizar para comunicarme, y tan querido para la ingeniería social; tal vez la alternativa sea un servicio distribuido como FILETOPIA o HOT LINE que abordaremos próximamente).

En la regla antigua teníamos todos los modos ICMP (1-40) NEGADOS en los dos sentidos.

Son muy utilizados para los ataques de Denegación de Servicio, así que especificaremos al máximo. Se requerirá pruebas continuas para verificar su funcionamiento correcto en ADSL y CABLE de diferentes proveedores. Los usuarios de modem analógico lo tienen más fácil (en los tiempos que corren, tener una dirección IP dinámica es casi una bendición, curiosamente, para los usuarios que sólo quieran navegar y leer el correo y nada más, no para usuarios más avanzados).

IMAGEN

 

 

ANEXO

Los logs debieran ser mirados de vez en cuando cada día. En el KERIO tenemos el FIREWALL STATUS WINDOWS donde los veremos todos agrupados (sólo las reglas que tengan permitidos los logs). También podemos ver las aplicaciones que quieren comunicarse, sin necesidad de utilizar el netstat.

Idoru nos avisó de que mejor deshabilitar los logs, para evitar la caída del KERIO 2.1.4 si es sometido a una tormenta.

El tráfico interno (LOOPBACK / LOCALHOST / 127.0.0.1 y demás posibilidades) deberemos especificarlo con mayor detalle. De esta forma evitaremos que traspasen el cortafuegos o simplemente echen abajo la conexión.

IMAGEN 

 

CIFRADO FUERTE

Debemos estar preparados para limitar los daños de una posible intrusión y tener copias de seguridad de nuestros datos, estando los más importantes y confidenciales bajo cifrado fuerte (evitemos a toda costa las herramientas de cifrado del propio windows, así como el "cortafuegos interno" del XP).

 

QUE NO, NO y NO

¿De qué nos sirven el antivirus o el cortafuegos si no los configuramos adecuadamente y actualizamos? Nuestro sistema siempre caerá por el eslabón más débil, que en muchas máquinas son:

  • INTERNET EXPLORER
  • OUTLOOK
  • MESSENGER
  • HOTMAIL
  • IRC
  • INTERCONEXION DE PCs, utilizando las herramientas del XP
  • ......

 

Utilicemos los windows, sí, pero sólo lo necesario, como S.O. Deshabilitemos servicios, eliminemos espías y procuremos no utilizar las aplicaciones por defecto que incorporan. Explicado en MATY al desnudo.

 

 

 

 
 

 
 
 

NAUTOPIA © 2003. Reservados todos los derechos.