miércoles, 29 de julio de 2009

Bastionado perezoso de Windows Vista (II) -- Jugando con el Firewall

Como quedamos en el post anterior, es hora de ver la configuración del firewall de Windows Vista y de fijar una política que se ajuste a nuestras necesidades básicas. El firewall de Windows Vista "permite" controlar el tráfico de entrada (inbound) y el tráfico de salida (outbound). Las redes en Windows Vista pueden pertenecer al perfil de dominio, privado o público. Según se puede leer
en la página oficial de Microsoft las redes se clasifican en uno de estos perfiles en base a:

Perfil dominio: si la conexión se autentica en un controlador de dominio del que la red es miembro.
Perfil público: pensado para usarse cuando se está en lugares públicos como aeropuertos o cafeterías.
Perfil privado: está pensada para su uso en una conexión doméstica o de oficina situada tras un dispositivo de extremo.

La política por defecto que fija el tipo de Bastionado Enterprise Client (EC) consiste en Bloquear por defecto todas las conexiones de entrada y Permitir todas las conexiones de salida, para los tres perfiles. Además, el firewall constará de una serie de reglas de entrada y de salida, que serán las excepciones a la política por defecto.

Una vez visto de manera rápida estos términos, es hora de ver esta configuración y modificarla a nuestro gusto. La modificaciones en el firewall se pueden hacer desde tres puntos.

  1. Panel de Control > Firewall de Windows.
  2. Panel de Control > Herramientas Administrativas > Firewall de windows con seguridad avanzada.
  3. Panel de Control > Herramientas Administrativas > Directiva de Seguridad Local > Firewall de windows con seguridad avanzada.
Cada uno de estos tres puntos ofrece diferentes niveles de funcionalidad, siendo desde el tercer punto donde se podrá personalizar más nuestro firewall. Este último, trabaja a nivel de directiva de grupo, siendo intocable desde el punto primero y segundo la configuración fijada.

Desde un punto de vista operativo y funcional, la configuración por defecto podría ser adecuada, pero sinceramente en los tiempos que corren, con gran cantidad de malware suelto, con diversas maneras de infección, etc. se me ocurren configuraciones un poco más apropiadas para el firewall, pero eso sí, menos operativas y prácticas.

Visto cómo es la configuración por defecto vamos a realizar una serie de cambios (durante la entrada se van a aplicar los cambios a los perfiles público y privado) siguiendo unos pasos sencillos (estos cambios pueden hacer que algo deje de funcionar en el equipo, por lo que cada uno deberá ajustarlo a su software y necesidades):

Configuración a nivel de Directiva de Grupo del firewall.
  • Cambiar la configuración de las reglas de entrada y salida en la Directiva de Grupo, que vienen por defecto. En las reglas de salida no existe ninguna y lo mantendremos igual. En las reglas de entrada cambiaremos todas las reglas a Bloquear. (nota: si deshabilitáis el DHCP de entrada no funciona de manera correcta Openvpn y el DHCP). A continuación se muestra como quedaría según lo mencionado.
  • Aplicar en el tráfico de salida como política por defecto "Bloquear", como mínimo para las redes con perfil público (las declaradas como más menos seguras por parte del usuario). También personalizaremos el perfil para que nos muestre notificaciones cuando existe un bloqueo y activaremos el registro de paquetes descartados en el fichero pfirewall.log.





Configuración a través del complemento "firewall de windows con seguridad avanzada"

  • Bloqueamos todo el tráfico de entrada. Si se ofrece algún servicio, aquí deberíamos habilitarlo.
  • Configuramos las reglas de salida, permitiendo salir a las aplicaciones que utilicemos, al tráfico DNS UDP (si utilizáis vmware, para que las máquinas virtuales puedan realizar peticiones DNS deberéis modificar la regla de DNS UDP), al tráfico ICMP y al tráfico DHCP de salida.




Como se ha podido ver se ha bloqueado todo y permitido lo que se va a utilizar en un entornos doméstico sin necesidad de compartir carpetas, impresoras, etc. Donde lo que va a realizar el equipo es navegación web, conexiones vpn, actualizaciones del antivirus, etc.

Es un proceso delicado y que puede costar un rato, pero con esto avanzaremos un pasito más en nuestro camino de controlar todo lo que entra y sale ;).



No hay comentarios :