Manual de Jetico Personal Firewall - Funcionamiento y Configuración I

INFORMACIÓN GENERAL

Tablas y reglas del cortafuegos

Jetico Personal Firewall filtra el tráfico de red de acuerdo con las reglas que bloquean o permiten que nuestro ordenador envie o reciba paquetes de red.

Cada regla es una unidad básica de configuración, que consiste en unos parámetros para la regla y la acción a tomar. El cortafuegos compara los parámetros de la regla con los parámetros del paquete. Si la regla coincide con el paquete el cortafuegoa bloqueará o aceptará el paquete de acuerdo con la configuración  de la regla.

Un grupo de reglas puede ser reunido dentro de una tabla. Esta tabla debe de contener reglas de un tipo definido, como por ejemplo una tabla de reglas que se usas para analizar la consitencia de paquetes Ethernet de bajo nivel.
Además de esto, algunas reglas pueden ser combinadas en una tabla ya que esas reglas son usadas para comprobar algún tipo de conexión definida, como puede ser el comportamiento de los navegadores Web, los gestores de correo, ...

El uso de una estructura de tablas en Jetico Personal Firewall permite al sotfware:

• Minimizar el espacio en memoria de los módulos del cortafuegos para almacenar reglas;
• incrementar el rendimiento del cortafuegos, ya que se usa un itinerario gerarquico de estructura de tablas en lugar del proceso plano de las reglas;
• hace la evaluación y modificación más fácil al usuario.

El cortafuegos procesa las reglas una a una hasta que encuentra una con los parámetros correspondientes al paquete de red analizado. Tan pronto como la regla es encontrada el cortafuegos bloquea o accepta el paquete de acuerdo con la regla, depues de esto el cortafuegos deja de procesar las reglas. Esto significa que el orden de las reglas juega un papel muy significante en la configuración del cortafuegos, por lo que habrá que poner atención con una lista de parámetros similares.

Procesando las reglas del cortafuegos

Jetico Personal Firewall filtra los paquetes de red de acuerdo con las reglas del cortafuegos. Los diferentes tipos  de reglas se unen dentro de diferentes tablas.

El conjunto de reglas unidas dentro de tablas, es la llamada Política de Seguridad del cortafuegos.

Debemos recordar que los diferentes eventos de red son procesados con filtros diferentes, por ello existirán diferentes tipo de reglas para diferentes tipos de eventos.

Estructura de las reglas

Cada regla consite en la parte Condición y la parte Acción.

• Condición es un grupo de parámetros que el cortafuegos compara con los parámetros del paquete de red que se está procesando. Estos parámetros pueden incluir dirección remota del ordenador que envía el paquete, nombre de la aplicación que va a recibir el paquete, etc.
• Acción (o verdicto) es una instruccción para hacer por el cortafuegos si el paquete coincide con la Condición de la regla.

Acciones

Estos son los posible valores para la Acción del cortafuegos:

 Dependiendo del tipo de regla puede que no todas las Acciones estén diponibles.

Orden de procesamiento de las reglas

El punto de partida para procesar las reglas es la tabla Root de la Política de seguridad activa.

Jetico Personal Firewall coje reglas de la tabla actual en series siguiendo un orden descendente y compara los parametros del evento con la condición de las reglas. El procesamiento de la tabla actual durará hasta que ocurra algo de lo siguiente:

NOTA: Dado los diferentes tipos de filtros y la posibilidades de configuración, la vista el arbol no representa el orden en el que los eventos son procesados.

• se encuentra una regla que coincide y la Acción es Aceptar o Rechazar. El cortafuegos deja de procesar el paquete y ejecuta la acción correspondiente.
• se encuentra una regla que coincide y la Acción es <nombre tabla> Table. El cortafuegos continua procesando el paquete, pero en lugar de compararlo con la siguiente regla, coje la primera regla de la tabla correspondiente.
• se encuentra una regla que coincide y la Acción es Preguntar. Jetico Personal Firewall muestra una Ventana de mensaje y espera la decisión del usuario. La continuación del proceso dependerá de la respuesta del usuario.
• no se encuentra ninguna regla que coincida en la tabla actual y el cortafuegos selecciona la Regla por Defecto (Default Rule), la última regla en la tabla actual. La Acción para la Regla por Defecto es aplicada incondicionalmente. Las acciones disponibles para esta regla son Aceptar, Rechazar o Continuar.

Consejos para la configuración del cortafuegos

Agrupar juntas reglas similares.

Agrupar juntas reglas similares hará la configuración más entendible. Sería mejor poner reglas similares en tablas separadas para facilitar su manejo.

Importancia del orden de las reglas.

El orden de las reglas juega un papel importante en la configuración. Recuerda que el cortafuegos compara las reglas de modo descendente.

Acción por defecto

Recuerda que la acción por defecto es aplicada incondicionalmente. Todos los eventos que son pasados a otra tabla y no encuentran ninguna regla que coincida en esta tabla llegarán a la Regla por defecto. Si la acción para la Regla por defecto es Continuar, significa que el evento será devuelto a la tabla original para continuar su procesamiento.

La tabla Root

La tabla Root de la política de seguridad es la única tabla que acepta reglas de cualquier tipo.

Reglas de difente tipo controlan diferentes eventos. Por ejemplo, una regla de ataque de proceso no coincidirá con ningún paquete de red ya que son dos cosas totalmente distintas. Como podemos apreciar en la imágen la tabla Root incluye ya unas reglas para encaminar los diferentes eventos a las tablas incuidas por defecto según el tipo de evento procesado.
Jetico Personal firewall ofrece muchas posibilidades para poder personalizar la configuración, pero claro, cuanto más personalicemos más complicado será tener una configuración sobre la que podamos "debatir".

Tipos de reglas

Como ya vimos los diferentes eventos de red son procesados con diferentes filtros, por ello también existirán diferentes tipo de reglas para diferentes tipos de eventos.

• Regla de sistema de protocolo
• Regla de sistema IP
• Regla de aplicación
• Regla de ataque de proceso

 

Regla de sistema de protocolo

Una regla de Sistema de protocolo, es una regla capaz de filtrar los paquetes de red basándose en el protocolo.

Parámetros comunes.

• Descripción - descripción para el evento.
• Decisión - acción a llevar a cabo cuando un evento coincida con la regla.
• Nivel de registro - tipo de registro en el log.
  

Parámetros especificos del múdulo

• Evento - selecciona si coincidir con paquete entrante, saliente o ambos (cualquiera).
• Protocolo - protocolo de red conocido o número de protocolo.

  La lista de protocolos conocidos incluye: IP, IPv6, IPX, APR, RARP, PPP, PPPoE, NetBEUI, SNMP, 802.1x, Appletalk DDP, Appletalk ARP.

  Para un protocolo no incluido en la lista debemos seleccionar "Otro". El número de protocolo es una número de protocolo ethernet hexadecimal de dos bytes  también conocido como 'Ethertype'. Ver 

  http://www.iana.org/assignments/ethernet-numbers para mas detalles.

Reglas de sistema IP

El módulo de fitrado IP, controla la actividad de red del sistema. El módulo de fitrado IP solo trabaja con paquetes IP.

Parámetros comunes.

• Descripción - descripción para el evento.
• Decisión - acción a llevar a cabo cuando un evento coincida con la regla.
• Nivel de registro - tipo de registro en el log.

Parámetros generales del paquete IP.

• Evento - selecciona si coincidir con paquete entrante, saliente o ambos (cualquiera).
• Protocolo - protocolo de red de mas alto nivel.

  La lista de protocolos conocidos incluye: TCP, UDP, ICMP, IGMP, OFPF, L2TP, PPTP, IP, IPIP.

• Paquete parcial (fragmento) - Variable del paquete IP que indicica que el paquete fue dividido en pequeñas partes.
  
• TTL - Tiempo de vida del paquete

• Checksum - Validación del checksum del paquete.
  

Parámetros de dirección.

El módulo de fitrado IP opera con la direccion de Origen y Destino del paquete.

• Tipo dirección - categoría del valor de la dirección, una de:
  
  
  • Cualquiera - ignorar la dirección
    
  • host - Dirección IP única
  • red - Dirección IP/Mascara de red
  • Valores predefinidos - local address, local network, name server, trusted zone o blocked zone
• equivalencia invertida - invertir el significado de la selección. Ej: La regla coincide si Tipo de dirección NO ES blocked zone.
• Dirección IP - Dirección IP con valor a.b.c.d. Aplicable si Tipo de dirección esta fijada tanto a Host como Red.
  
• Mascara de red - dirección IP / Mascara de red con valor a.b.c.d. Solo aplicable si Tipo de dirección esta fijada a Red..
• Puerto de invalidación - tratar por separado puerto y valor de la dirección
• Puerto - tipo de valor del puerto
  • cualquiera - ignorar el puerto
  • puerto único - valor único
  • rango de puertos - valor de un rango de puertos
• equivalencia invertida - invertir el significado de la selección. Ej: La regla coincide si Puerto NO ES 80.
• Numero de puerto - valor del puerto. Aplicable si Puerto esta fijado a puerto único
• De / A - valores del puerto más bajo y puerto más alto del rango de puertos. Aplicable si Puerto esta fijado a rango de puertos

Parámetros específicos para Protocolo

El apartado Especificar Protocolo solo estará diponible si Protocolo está fijado a TCP, UDP o ICMP.

• Inspección de estado (solo TCP y UDP) - coincidir si el paquete pertenece una comunicación de red autorizada. Jetico Personal Firewall analiza el estado de las comunicaciones TCP y UDP y discierne si el paquete era el esperado o está fuera de secuencia.
• TCP flags (solo TCP) - flags del protocolo TCP mostrando el estado de la conexión TCP. Se pueden controlar todo un grupo de flags (FIN, SYN, RST, PSH, ACK, URG, ECE, CWR)
• Tipo de ICMP (solo ICMP) - códigos del protocolo ICMP. Ej: Echo
• Código ICMP (solo ICMP) - códigos especificos suplementarios para el tipo de ICMP seleccionado.
  

Reglas de aplicación

Las reglas de aplicación se encargan de controlar el acceso a la red a nivel de aplicación.

Parámetros comunes.

• Descripción - descripción para el evento.
• Decisión - acción a llevar a cabo cuando un evento coincida con la regla.
• Nivel de registro - tipo de registro en el log.

 

Parámetros específicos del módulo de aplicación

• Aplicación - ruta específica a la aplicación. Si este campo se encuentra vacio, no se controla la aplicación.
• Evento - tipo de evento de red:
  
  
  
  
  • cualquiera - cualquier evento es válido
  • conexión entrante - conexión con una aplicación local iniciada por un punto remoto
  • conexión saliente - conexión a un servidor remoto iniciada por una conexión local
  • escuchando puerto - aplicación local espera conexión entrante
  • recibir datagramas - aplicación local recive datos de entre comunicaciones sin conexión
  • enviar datagramas - aplicación local envía datos de entre comunicaciones sin conexión
  • escuchando datagramas - aplicación local espera datos entrantes entre comunicaciones sin conexión
  • Aceso a red - evento especial que significa acceso general a un subsistema de  red que precede a todas las comunicaciones de red. Mientras "Acceso a red" no está permitido para una aplicación, está no tendrá permitido ejecutar ninguna función relaccionada con la red
• Protocolo - protocolo de red usado por las comunicaciones. 
• Los protocolos conocidos incluyen TCP/IP, IPX, local sockets, Appletalk, DECnet, etc.
  

Parámetros de dirección

Los parámetros de dirección solo están disponibles si Protocolo esta fijado a TCP/IP.

El módulo de fitrado por aplicación opera con direcciones Locales y Remotas de las conexiones de red.

• Tipo dirección - categoría del valor de la dirección, una de:
  
  
  • Cualquiera - ignorar la dirección
    
  • host - Dirección IP única
  • red - Dirección IP/Mascara de red
  • Valores predefinidos - local address, local network, name server, trusted zone o blocked zone
• equivalencia invertida - invertir el significado de la selección. Ej: La regla coincide si Tipo de dirección NO ES blocked zone.
• Dirección IP - Dirección IP con valor a.b.c.d. Aplicable si Tipo de dirección esta fijada tanto a Host como Red.
  
• Mascara de red - dirección IP / Mascara de red con valor a.b.c.d. Solo aplicable si Tipo de dirección esta fijada a Red..
• Puerto de invalidación - tratar por separado puerto y valor de la dirección
• Puerto - tipo de valor del puerto
  • cualquiera - ignorar el puerto
  • puerto único - valor único
  • rango de puertos - valor de un rango de puertos
• equivalencia invertida - invertir el significado de la selección. Ej: La regla coincide si Puerto NO ES 80.
• Numero de puerto - valor del puerto. Aplicable si Puerto esta fijado a puerto único
• De / A - valores del puerto más bajo y puerto más alto del rango de puertos. Aplicable si Puerto esta fijado a rango de puertos

Regla de ataque de proceso

Las reglas de ataque de proceso están diseñadas para filtrar las siguiente prácticas comunmente usadas por los hackers:

• Ejecutar un navegador de modo oculto
• Modificación del código de la aplicación
• Inyectar código malicioso en aplicaciones que están corriendo
• Instalación de "ganchos" globales

Parámetros comunes.

• Descripción - descripción para el evento.
• Decisión - acción a llevar a cabo cuando un evento coincida con la regla.
• Nivel de registro - tipo de registro en el log.

Parámetros específicos de ataque de proceso.

• Tipo de ataque

• Ataque de instalación de ventanas 'gancho' al sistema (Installing system-wide Windows hook).
  Los SO MS Windows permiten los mecanismos conocidos como "hooking", lo que permite a las aplicaciones utilizar funciones "hook" para
  interceptar algunos eventos (del ratón, del teclado, etc.) antes de que éstos alcancen la aplicación destino. El "quid" de la cuestión es
  que ésto puede permitir la ejecución de código en nombre de otra aplicación. El "hooking" es empleado tanto por aplicaciones legítimas
  como por troyanos y lógicamente lo segundo es preocupante, ya que si el troyano aborda procesos legítimos (p.ej. explorer.exe), el usuario
  difícilmente sospecharía."
• Ataque de inicio de aplicación con ventana oculta (Starting an application with hidden window).
  Los troyanos pueden, mediante la línea de comandos, ejecutar aplicaciones autorizadas y hacer que accedan a la red. Si lo hicieran de modo visible el usuario se alertaría (si por ej. ve aparecer sin motivo aparente una ventana del IE), pero el troyano podría simplemente abrir la ventana del IE en modo oculto, para de esta manera pasar inadvertido. Jetico PF advierte de estos sucesos.
  Lanzar una aplicación con una ventana oculta, generalmente no significa un ataque, esta operación es usada frecuentemente por aplicaciones legales.
• Ataque de escritura a la memoria de la aplicación (Writing to other process' memory),
  Ataque de inyección de código propio en la aplicación (Injecting code into other process),
  Ataque de modificación de proceso hijo (Modifying own child processes),
  Acceso de bajo nivel a la memoria del sistema (Low-level access to system memory).
  Esta acciones son casi seguro indicación de programas troyanos o virus. Todos ellos son empleados para inyectar código no autorizado dentro de procesos de confianza.
  

De todo este tipo de ataques se habla  más detalladamente en el manual de System Safety Monitor escrito por Wolffete. El System Safety Monitor es más completo que los modulos incuidos en los cortafuegos para este tipo de control de aplicaciones y procesos.

• Ataque - aplicación que lleva acabo la actividad sospechosa.
• Aplicación - aplicación que sufre el ataque. Algunos ataques como instalación de gancho, afecta a varias aplicaciones. En este caso el valor Aplicación se vuelve inútil.