FAQ de es.comp.hackers! Imprescindible!!! - Sección 3: Firewalls (Cortafuegos)

3.0) ¿Qué es un firewall?
Un firewall es un programa o hardware diseñado para bloquear las conexiones no
deseadas a través de una red (por ejemplo Internet) mientras que permite las
conexiones autorizadas.

---

3.1) ¿Qué firewalls hay disponibles?
Para sistemas operativos MS Windows hay varias alternativas, dos de las más
comunes son:
ConSeal PC Firewall - es un programa comercial, puede adquirirse en
www.signal9.com∞
ZoneAlarm - es un programa (freeware para uso personal, shareware para otros
usos) que puede bajarse de la página oficial:
www.zonelabs.com∞
eSafeDesktop - programa gratuito para uso personal, en español, incluye
firewall, proxy, gestión de usuarios & políticas y antivirus (www.esafe.com∞).
Es importante destacar que el programa de firewall en si carece de utilidad si
no tiene reglas de firewalling que aplicar. Los programas suelen venir con un
juego de reglas que, sin ser de lo mejor, es mejor que nada.

---

Para sistemas Linux el mecanismo de firewalling viene incluído en el kernel, y
es necesario configurarlo u obtener reglas de firewalling ya hechas desde
Intenet.
Los mecanismos de configuración han variado con las diferentes versiones del
kernel, y son los siguientes (en cada nuevo kernel se mantuvo compatibilidad con
los mecanismos de las versiones anteriores):
 kernels 2.0.x - ipfwadm (IP Firewall Admin)
 kernels 2.2.x - ipchains (IP Chains)
 kernels 2.4.x - iptables (Net Filter o IP Tables)
Pueden obtenerse reglas prefabricadas de firewalling para Linux del proyecto
Trinux, así como del Trinity OS. Ambos proyectos pueden buscarse en Freshmeat
(www.freshmeat.net∞).

---

Para los nuevos kernels 2.4.x el sistema de firewalling es completamente
distinto que para los anteriores. Ahora, es un sistema 'statefull', mientras que
antes era sin estado.
Esto, resumiendo, significa que, mientras los sin estado analizan cada paquete
independientemente, lo que permite colar paquetes si engañas al servidor
asiéndole creer que pertenecen a conexiones en puertos abiertos (esto lo hace
nmap, por ejemplo), mientras que los statefull analizan cada paquete sabiendo a
qué conexión pertenecen, por lo que este tipo de engaño ya no es posible.
iptables no es directamente compatible con ipchains, pero la conversión de
ipchains a iptables no es difícil. Por otra parte los kernels 2.4.x tienen un
módulo para soporte de ipchains que puede activarse durante la compilación, con
el fin de seguir utilizando los scripts de firewalling creados con ipchains.

---

3.2) ¿Cómo arranco mi firewall al iniciar el sistema?
En sistemas MS Windows crea un acceso directo al firewall en la carpeta Inicio
del Menú de Inicio de Windows, dentro de la carpeta Programas.

---

En sistemas Linux puedes arrancar el script de firewalling desde el
/etc/rc.d/rc.local, o bien crearle su propio link de arranque en la jerarquía
/etc/rc.d/rcX.d adecuada (X indica el nivel de ejecución).
El nivel de ejecución por defecto viene indicado en el archivo /etc/inittab, en
la línea donde pone 'initdefault', y suele ser 2, 3 ó 5.
En caso de utilizar una conexión telefónica el firewall no debe iniciarse con el
sistema, sino con la conexión a Internet. Para ello, se debe colocar el script
en el directorio /etc/ppp/ip-up/
En los casos de conexión continua, como ser ADSL y cablemódem, debe activarse el
firewall con el inicio del sistema.

---

3.3) ¿Cómo configuro mi firewall si no sé nada de redes?
Para aquellos que no entienden de redes, una posible estrategia, de máxima
seguridad, para configurar un firewall puede ser permitir sólo lo que quieres.
Ir abriendo aplicaciones una a una, ver qué servicios, protocolos y puertos
necesitan cada una de ellas y permitirlas.

---

Para que este método sea eficaz, es necesario estar seguro de que todo el flujo
de información hacia el exterior es legítimo, es decir, que tienes el sistema
limpio de troyanos y de spyware. Puedes usar programas shareware The Cleaner
(www.moosoft.com∞) y freeware como el Ad-aware (www.lavasoft.de∞).

---

Windows: Tomando como ejemplo el Zone Alarm

---

a. En el panel "Security" colocas el nivel de seguridad en Internet en high de
tal manera que solo circule lo permitido y que avise de todo.

---

b. En el panel "Alerts" activa las dos casillas "Log alerts to a text file" y
"Show the alert popup window" para que te de información sobre su actividad y la
grabe en un archivo log.

---

Con el botón Log properties --> Log file --> elige con qué periodicidad quieres
que refresque el archivo log. Zone Alarm hace copia de seguridad de los log's
anteriores con el nombre zalogaaaa.mm.dd.txt.

---

c. En el panel "Lock" activa "Show alert when Internet access is denied"

---

d. En el panel "Programs" --> advanced --> pestaña "Alerts and funcionality" -->
activa el botón "show alerts when Internet access is denied ", activa "deny
access if permission is ...."

---

e. En el panel "Programs" --> advanced --> pestaña "Access Permission" -->
activa "Always ask for permission", desactiva "Identify program by full path
name only", desactiva "Allow the program to pass through the lock"

---

f. Te conectas a Internet y arranca una a una las diferentes aplicaciones que
utilices. Cuando el firewall te muestre la alarma y petición, activa la casilla
"Remember ..." y permite el acceso. Desconecta.

---

g. Activa el panel "Programs" y tendrás allí todas las aplicaciones que has
lanzado. Para cada una de ellas pulsa "Options" y:

---

* Asegúrate de que está desactivado "Identify program by full path name only"

---

* --> Ports --> activa "Allow access ONLY for ...". Ahora permites el acceso a
los puertos que quieras: Add --> y eliges el tipo de servicio (Web, FTP, Mail,
News, etc). Si pulsas "Custom" puedes elegir el protocolo (TCP o UDP) y el
puerto.

---

* A cada aplicación añádele UDP port 53.

---

* En la pestaña "access permission" activa "Always allow access" para que no te
pregunte por las comunicacione permitidas.

---

Ejemplos de servicios, protocolos y puertos permitidos a algunos programas:
 - Gestor de news, por ejemplo Agent: News server (TCP 119 ), UDP 53, SMTP TCP
25.
 - Gestor de descargas, GetRight: FTP (TCP 21), UDP 53, TCP 80
 - Navegador, por ejemplo Netscape: Webs server TCP 80, 8080, 8000, UDP 53,
páginas seguras SSL (TCP 443), FTP (TCP 21)
 - Gestor de correo, por ejemplo Netscape Messenger: Mail SMTP (TCP 25), Mail
POP (TCP 110), UDP 53
 - Internet Explorer: Webs server TCP 80,8080, 8000, UDP 53

---

Faltan muchos servicios importantes, así como el filtrado de paquetes ICMP
(entre ellos el ping), pero alcanza para brindar una idea somera sobre el método
de configuración.

---

Linux:---Existe un programa de Solsoft bastante interesante, con el que se puede
configurar no solo firewalls de todo tipo (ipchains, ip-tables, etc), si no
también las ACL de routers y switches.
En realidad puede ser un poco complicado de usar al principio, pero es una
herramienta bastante potente. Además, la versión para Linux (NP Lite 4.1) es
gratis.
Se puede bajar de www.solsoft.com/products/net_partitioner.html∞

---

3.4) ¿Cómo puedo probar mi firewall para saber si es seguro?
Lo ideal es hacer un escaneo de puertos desde otro ordenador. En el caso de
estar probando la seguridad de un ordenador conectado a Internet lo ideal es
hacer el escaneo desde otro ordenador conectado a Internet (no desde la LAN
interna).
Herramientas que ayudan en el escaneo son nmap (la versión de Linux puede
encontrarse en www.insecure.org/nmap∞, la de Windows NT en
www.eeye.com/html/Databases/Software/nmapnt.html∞, SAINT (www.wwdsi.com/saint/∞) y
Nessus (www.nessus.org∞) entre otras.
Alternativamente, si no se dispone de ninguna de estas herramientas, existen
sites en Internet que permiten realizar el escaneo desde los mismos. Estos son
algunos de ellos:
* www.secure-me.net/scan∞
* https://grc.com/x/ne.dll?bh0bkyd2---∞* http://scan.sygatetech.com/------3.5∞) Mi firewall da una alarma. ¿Se han metido en mi ordenador?
Ante todo no hay que dejarse llevar por el pánico. Cuando el cortafuegos avisa
que estamos siendo "atacados" no significa que nos hayan metido un troyano (BO,
Sub7 y compañía) ni mucho menos que alguien se haya introducido en nuestro
sistema.
Ese aviso significa simplemente que el presunto ataque a sido bloqueado con
éxito, ya que si dicho ataque hubiese tenido éxito, el cortafuegos no diría ni
mu.

---

3.6) Pero es que me están escaneando los puertos continuamente. ¿Para qué lo
hacen?
Normalmente esos escaneos sirven para saber que "puertas" están abiertas para
poder introducirse por ellas en nuestro sistema. Tambien son usados para buscar
troyanos a la escucha que esten instalados en nuestro ordenador.

---

3.7) ¿Entonces me están atacando?
Ante todo hay que dejar bien claro que no todos los "ataques" de los que nos
avisa el cortafuegos lo son en realidad. Existen servicios y programas que
pueden hacer saltar la alarma. Algunos de los ejemplos más conocidos son los
programas de Microsoft, Word, Visual C++, etc. Todos estos programas intentan
crear una conexión con los servidores del tío Bill (y solo los dioses y Gates
saben por qué). Tambien los servicios tipo "messenger" (MS, Yahoo, AOL, etc.),
clientes de ICQ/IRC, chequeos de actividad por parte del ISP e incluso el
chequeo del buzón de correo electrónico suelen provocar la alarma, dependiendo
de que firewall se utilice y de las reglas que hayan sido creadas y/o
(des)activadas. Cualquier programa o servicio para el que no se haya creado una
regla específica, provocará un aviso de ataque tipo BO, Sub7, Netbus, etc.
dependiendo del puerto que intente usar dicho programa o servicio.

---

3. ¿Cómo sé si la alarma es debida a un ataque o no?
Existen varios factores a tener en cuenta:
a) Los escaneos proceden siempre de la misma IP o de la misma "subred".
b) Con "netstat" nos es posible averiguar: qué conexiones o servicios tenemos
abiertos, qué puertos son utilizados por estos y cuales son las direcciones IP
de dichas conexiones. Como alternativa se puede usar el programa para Windows
"TCPView" (http://www.sysinternals.com/ntw2k/utilities.shtml)∞. Estas
informaciones nos ayudarán a determinar si estamos siendo atacados.
c) El nombre del host y el puerto utilizado dicen bastante a la hora de
descartar posibilidades para determinar si se trata de un ataque o de algo más
inofensivo.

---

Pongamos un par de ejemplos:

---

msgr-ns16.msgr.hotmail.com

---

En este caso está claro que nuestro Messenger intenta chequear nuestro correo en
Hotmail.com.

---

pepito-dialup-7.nuestro-isp.es
pepito-dialin-7.nuestro-isp.es

---

Aquí existe un chequeo de actividad en la conexión por parte de nuestro
proveedor para mantenerla en el caso de haber actividad o cortarla.

---

3.9) Se ha confirmado mi sospecha y es un ataque. ¿Qué hago?
Si el ataque procede de la misma IP resp. subred y ademas es constante, la forma
mas elegante y menos complicada de acabar con dicho ataque es la siguiente:
En www.ripe.net∞ o www.nic.com∞ se puede averiguar (usando "whois")a quien
pertenece esa IP. Normalmente sera un ISP. Entre toda la informacion que
obtenemos, se encuentra una direccion de e-mail para contactar con el ISP. Se le
envia un mensaje explicandole la situacion. Recomendable seria tambien enviarles
una copia del log de la FW, donde este reflejado cuando y con que frecuencia a
tenido lugar dicho ataque. Despues se encargara el ISP de llamar al orden a
nuestro "aspirante a hacker".
Si el problema es realmente grave, se pueden seguir los lineamientos del punto
9.3 de las presentes PUF.