|
Esta página iba a tener una duración temporal, a la espera de alojarse en la vieja web, ya
desaparecida, MANUAL DEL TINY de DareDevil. Mas el devenir del tiempo la convirtió en la primera
página sobre la que se ha edificado la actual NAUTOPIA.
Escrita en Julio del 2001 y aligerada
en Septiembre 2003: 148KB HTML "sucio" del WORD -> 114KB ->
30KB
XHTML y 2,8KB CSS.
TABLA de FILTROS / REGLAS para el TINY 2.0.15 (ahora KERIO 2.1.5)
A continuación expondremos una configuración típica y con los programas más habituales (o
similares) posibles para el cortafuegos TINY.
| Nº |
TIPO |
FILTRO |
DIRECCION |
PROTOCOLO |
PORT LOCAL |
APLICACION |
HOST REMOTO |
PORT REMOTO |
EXPLICACION |
LOG |
|
1
|
PERM Opera, Mz
PERM IE
|
Loopback
|
Both
|
UDP/TCP
|
Any
|
Especificar para cada aplicación que la necesite
(navegadores)
|
127.0.0.1
|
Any
|
EL FILTRO LOOPBACK -verificar conexiones locales-
|
No
|
|
2
|
DENY
|
ICMP-PING Set Icmp ALL
|
Both
|
Select All
|
Any
|
Any
|
Any
|
Any
|
NIEGA LOS PINGS y otros
|
Yes
|
|
3
|
DENY
|
ACCESO TFN A REDES
|
Both
|
UDP/TCP
|
Any
|
Any
|
Any
|
Any
|
ACCESO TELEFONICO: El kernel quiere comunicarse
|
No
|
|
4
|
DENY
|
NetBT Datagram
|
Both
|
UDP
|
137, 138
|
Any
|
Trustful addresses
|
Any
|
NIEGA EL USO DEL PROTOCOLO NETBIOS EN UNA RED LOCAL PARA SU IDENTIFICACION
|
No
|
|
5
|
DENY
|
NetBT Session
|
Outgoing
|
TCP
|
Any
|
Any
|
Trustful Addresses
|
139
|
IMPIDE A NUESTRO PC EL ACCESO A LOS RECURSOS COMPARTIDOS EN UNA RED LOCAL CON TODAS LAS DIRECCIONES VALIDADAS
(podríamos permitirlo)
|
No
|
|
6
|
DENY
|
NetBT Session
|
Incoming
|
TCP
|
139
|
Any
|
Trustful Addresses
|
Any
|
A LA INVERSA DEL ANTERIOR
|
No
|
|
7
|
PERM
|
NAVEGADOR
OPERA, MOZILLA, IE
|
Outgoing
|
TCP
|
Any
|
OPERA, MOZILLA, IE
|
Any o tu proxy de la red
|
80, 21, 443, 8080, 8088 (mantén los puertos que vayas a usar)
|
PERMITE NAVEGAR (HTTP, HTTPS, LOS PORTS PROXY USUALES). BLOQUEA A LOS TROYANOS ADWARE EL ACCESO A LA RED.
Mejor hacerlos pasar por el PROXOMITRON
|
No
|
| 7 bis |
PERM
|
IE
|
Outgoing
|
UDP
|
Any
|
IE
|
Any o tu proxy de la red
|
Any
|
|
|
|
8
|
PERM
|
DNS de nuestro Servidor
|
Both
|
UDP/TCP
|
53
|
Any
|
IPs (DNS)
|
53
|
PERMITE AL PC DIALOGAR CON EL SERVIDOR PROVEEDOR JAZZTEL, NAVEGALIA, etc)
|
No
|
|
9
|
DENY
|
OTROS DNS
|
Both
|
UDP/TCP
|
Any
|
Any
|
Establecer una máscara.
|
53
|
BLOQUEAMOS EL RESTO DE DNS
|
Yes
|
|
10
|
DENY
|
TELNET
|
Outgoing
|
TCP
|
Any
|
CLIENTE TELNET
|
Any
|
23
|
SI NO LO USAMOS, MEJOR IMPEDIR LA CONEXION ENTRE SERVIDOR Y CLIENTE TELNET (lo 1º que miran los
HACKERS)
|
No
|
| 11 |
PERM |
FTP |
Outgoing |
TCP |
Any |
CLIENTE FTP |
Any |
21 |
CONEXION ENTRE CLIENTE Y SERVIDOR FTP. SI FUESEMOS SERVIDOR DE FTP ANONIMO TENDRIAMOS QUE
CONFIGURARLO MUY BIEN |
No |
|
... SI ES NECESARIO, INSERTAR EL FILTRO OPCIONAL EN CUALQUIER ORDEN. ESTOS IMPIDEN LA ENTRADA A
NUESTRO PC
|
|
12
|
DENY
|
CERROJO
BLOQUEO DE PORTS COMUNES
|
Incoming
|
UDP/TCP
|
113, 79, 21, 80, 443, 8080, 143, 110, 137, 139, 138, 25, 23
|
Any
|
Any
|
Any
|
BLOQUEO DE LOS SERVICIOS: FTP, HTTP, POP3, SMTP, Telnet, NetBios,... IMPEDIMOS EL ACCESO A ESOS SERVICIOS
(Incoming)
OJO, SIRVE PARA CERRAR. NOSOTROS SIMPLEMENTE CERRAMOS LA CONEXIÓN
|
Yes
|
|
3
|
DENY
|
+ BLOQUEO DE PORTS COMUNES
|
Both
|
UDP/TCP
|
7,9,11, 13,15,19,67, 69,79, 109, 117
|
Any
|
Any
|
Any
|
BLOQUEO DE LOS SERVICIOS: Echo, Discard, Systat, Daytime, Netstat,
Chargen, Bootp,TFTP, Finger, Pop-2, UUCP
|
Yes
|
|
14
|
DENY
|
BACK ORIFICE
|
Incoming
|
UDP/TCP
|
54320, 54321, 31337, 54320, 12346
|
Any
|
Any
|
Any
|
BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO BACKORIFFICE
|
Yes
|
|
15
|
DENY
|
NETBUS
|
Incoming
|
TCP
|
12456, 12345, 12346, 20034
|
Any
|
Any
|
Any
|
BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO NETBUS
|
Yes
|
|
16
|
DENY
|
BOOTPC
|
Incoming
|
UDP/TCP
|
68
|
Any
|
Any
|
Any
|
BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO: BOOTPC
|
Yes
|
|
17
|
DENY
|
RPCSS
|
Incoming
|
UDP/TCP
|
135
|
Any
|
Any
|
Any
|
BLOQUEO DE DIFERENTES VERSIONES DEL MICROSOFT RPC SERVICE (TAL VEZ UN TROYANO!...)
|
Yes
|
SEPTIEMBRE 2003
Los filtros para los troyanos no son necesarios. El problema de los cortafuegos
software, es que desconocemos qué reglas internas incorporan, además de las
visibles.
La regla CERROJO la hemos universalizado. Para el resto de reglas,
nos hemos basado en las recomendaciones del NIST,
además de las propuestas por nosotros.
Sigo pensando que la regla LOOPBACK o LOCALHOST
o 127.0.0.1 es conveniente particularizarla, frente a una general
ANY, así como explicitar un rango para el DNS 1024:5000 si nuestra
dirección IP es variable, o dos concretas, para la IP primaria y secundaria, si
la IP es fija.
No nos olvidemos de salvar las reglas. Mejor perdamos un tiempo en configurarlas
adecuadamente al principio. Además así aprenderemos.
DE DONDE VENIMOS
Todo comenzó de forma accidental. Buscando información sobre la refrigeración líquida y
el modelo de cierta empresa, maty encontró los foros Software de Meristation. Tras un tiempo de
lectura, decidió postear, iniciando un hilo sobre cómo asegurar un sistema casero. En él se
recomendó, erróneamente, el cortafuegos BlackIce. En aquellos foros se conocieron daredevil,
wolffete y maty. El primero recomendó el cortafuegos TINY, descubierto gracias a la comparativa de
cortafuegos escrita por ANTONIO en su web HAY GENTE PA TO (http://haygentepato.6x.to/), que había sido redactada para el conocido y
decano e-zine hispano hacker: SET.
Maty escribió una página para explicar las reglas que debieran crearse para el
cortafuegos software, página que tenía que integrarse en el manual sito en las extintas webs MANUAL DEL
TINY -> SEGURIDAD ONLINE creadas por daredevil. La página estuvo alojada inicialmente en una web
regalada al grupo SOL de NIT de nueva música tradicional de Barcelona, pasando más tarde a tener su
propio espacio en GEOCITIES: MATY: Seguridad y Privacidad -> MATY: Privacidad y Seguridad, compartiendo los
foros creados por daredevil. Tras varias caídas y algún que otro cierre injustificado, se optó
por disponer de más espejos en servidores gratuitos. La publicidad impuesta nos llevó a promocionar el uso
del PROXOMITRON para su filtrado.
La web SEGURIDAD ONLINE desapareció, por agotamiento de su creador. MATY's fue
creciendo y creciendo, administrando los foros hasta el próximo regreso de su creador (quien precisamente ha
regresado estos días, presentando unos nuevos foros centrados en LINUX).
En Septiembre del 2002, se creó la actual NAUTOPIA, basada en los contenidos de la de
MATY's, que está en proceso de dejar de ser una web personal, compartiendo su gestión en abierto.
GESTION COMPARTIDA que está abierta a todo aquel que desee colaborar, con el grado de involucración
que desee, en función de sus conocimientos y tiempo disponible, sin compromisos.
- KERIO 2.1.5 -
|
