Manual de Jetico Personal Firewall - Filtros de Jetico Personal Firewall

Jetico Personal Firewall instala tres filtros configurables en diferentes capas del sistema operativo.

Network packet filter (Filtro de paquetes de red)

El filtro de paquetes de red trabaja a bajo nivel, procesando los paquetes entrantes y salientes del adaptador de red.

---

Propósito del filtro.
El filtro de paquetes de red ayuda a neutralizar los ataques remotos, como puedan ser escaneo de puertos, bombardeo de paquetes, etc. También se usa para permitir o bloquear protocolos específicos, servicios o zona de direcciones para nuestro ordenador.

---

Función del filtro.
El filtro de paquetes de red procesa los paquetes de red individuales.




Operaciones

• Verificación de la validez del paquete
• Comprobación del los parámentros del paquete: dirección de procedencia y destino, protocolo, sentido, etc.
• Inspección de estado; el filtro de paquetes de red puede reconocer los paquetes que pertenecen a una sesión de red autorizada.

Application filter (Filtro de aplicaciones)

El filtro de aplicaciones es capaz de filtrar las conexiones de red basándose en las aplicaciones.

---

Propósito del filtro
El filtro de aplicación define si actividad de red es permitida o bloqueada en base a las aplicaciones, se puede aplicar para bloquear aplicaciones desconocidas o peligrosas. Para la aplicaciones de confianza se usa para asignar un grupo de comunicaciones de red.

Ya que cada ordenador ejecuta diferentes aplicaciones, el filtro de aplicación usa el Modo de Aprendizaje para construir un grupo de reglas que encage a cada requerimiento individual.

Función del filtro
El filtro de aplicación procesa la actividad de red en conjunto con la aplicación.

---

Operaciones.

• Control de aplicaciones
• Control de acceso a la red..
  • Acceso a red.
    'Acceso a red' es un evento "separado" que significa acceso general a la red, que precede a todas las comunicaciones de red. Hasta que 'Acceso a red' no está permitido para una aplicación, esta no tendrá permitido efectuar ninguna función relaccionada con el acceso a la red.
• Comprobación de los parámetros de conexión: dirección local y remota, protocolo, tipo de conexión, etc.
• Operación en Modo de aprendizaje  mediante  ventanas  de alarma
  

Process attack filter (Filtro de ataque de procesos)

El filtro de ataque de procesos está diseñado para prevenir el secuestro de procesos (process hijacking).

---

Propósito del filtro
El filtro de ataque de procesos está diseñado para protejer nuestro ordenador de ataques externos. Muchos troyanos tratan de identificarse como aplicaciones legales para atravesar el cortafuegos. Este filtro revela y suprime esa actividad.

---

Función del filtro
El filtro de ataque de procesos monitorea el comportamiento de todos los procesos corriendo en Windows y detecta la actividad sospechosa de algunos procesos.
Troyanos y virus habitualmente intentan distribuirse ellos mismos atraves de la red y ocultar su actividad explotando funciones legales de Windows. Como muchas aplicaciones legales usan los mismos servicios, es preferible el uso del Modo de Aprendizaje.


Operaciones

• Control de aplicaciones
• Funciones comprobadas:
  • Ataque de instalación de ventanas 'gancho' al sistema (Installing system-wide Windows hook).
    Los SO MS Windows permiten los mecanismos conocidos como "hooking", lo que permite a las aplicaciones utilizar funciones "hook" para
    interceptar algunos eventos (del ratón, del teclado, etc.) antes de que éstos alcancen la aplicación destino. El "quid" de la cuestión es
    que ésto puede permitir la ejecución de código en nombre de otra aplicación. El "hooking" es empleado tanto por aplicaciones legítimas
    como por troyanos y lógicamente lo segundo es preocupante, ya que si el troyano aborda procesos legítimos (p.ej. explorer.exe), el usuario
    difícilmente sospecharía."
  • Ataque de inicio de aplicación con ventana oculta (Starting an application with hidden window).
    Los troyanos pueden, mediante la línea de comandos, ejecutar aplicaciones autorizadas y hacer que accedan a la red. Si lo hicieran de modo visible el usuario se alertaría (si por ej. ve aparecer sin motivo aparente una ventana del IE), pero el troyano podría simplemente abrir la ventana del IE en modo oculto, para de esta manera pasar inadvertido. Jetico PF advierte de estos sucesos.
    Lanzar una aplicación con una ventana oculta, generalmente no significa un ataque, esta operación es usada frecuentemente por aplicaciones legales.
  • Ataque de escritura a la memoria de la aplicación (Writing to other process' memory),
    Ataque de inyección de código propio en la aplicación (Injecting code into other process),
    Ataque de modificación de proceso hijo (Modifying own child processes),
    Acceso de bajo nivel a la memoria del sistema (Low-level access to system memory).
    Esta acciones son casi seguro indicación de programas troyanos o virus. Todos ellos son empleados para inyectar código no autorizado dentro de procesos de confianza.
    De todo este tipo de ataques se habla  más detalladamente en el manual de System Safety Monitor escrito por Wolffete. El System Safety Monitor es más completo que los modulos incuidos en los cortafuegos para este tipo de control de aplicaciones y procesos.

• Operación en Modo de aprendizaje.
  

Los filtros individuales manejan diferentes tipos de eventos y pueden considerarse como componentes indpendientes de software.
Cada filtro consta de dos partes.

• La primera parte intercepta su propia clase de eventos. Por ejemplo, Network packet filter intercepta los paquetes de red.
• La segunda parte comprueba el evento interceptado de acuerdo con la y determina si permitirlo o bloquearlo.

Nota: Jetico Personal Firewall no es un antivirus, permite un gran control sobre la actividad de red, pero no proteje nuestro ordenador de virus. Para esta protección antivirus usaremos programas especificos para ello.