Manual de Jetico Personal Firewall - Mi configuración I

LOOPBACK.

Algunas aplicaciones necesitan comunicarse entre sí de manera interna, ya sea entre distintos módulos de un mismo programa o entre distintas aplicaciones; si esta comunicación no se produce, algunos programa pueden dejar de funcionar o no hacerlo correctamente. Esta comunicación es a través de la dirección IP interna localhost (127.0.0.1).

Loopback simplemente permite una comunicación TCP/IP en tu PC entre cualquier programa que tengas. Una aplicación, cuando usa una dirección 127.0.0.1, no usa tu conexión a Internet, esos paquetes no salen de tu PC, sino que van directamente a otra aplicación local. Esta regla la llamamos Loopback, porque era el nombre de la regla que el antiguo TINY (del que es heredero el Kerio), creaba por defecto con ese nombre.

Loopback genérico.

Si incluimos la dirección 127.0.0.0 en el grupo Trusted, ya estaremos permitiendo esta comunicación interna de las aplicaciones.

Si por culaquier motivo no queremos incluir Localhost en Trusted Zone, podemos crear una regla de aplicación en una de las tablas correspondientes (System Applicactions, Ask user o Application Table) para permitir esta conexión.

Dependiendo de la configuración de cada usuario, incluir la dirección Localhost o esta regla única puede resultar insegura, ya que si usamos un proxy local por el que hacemos pasar los navegadores, la mayoría del resto de las aplicaciones detectarán y usarán esa misma configuración para conectarse a Internet (el proxy local escucha en la dirección 127.0.0.1 y tiene permiso para conectarse a Internet al menos por el puerto 80), por lo que permitir de modo genérico la conexión a la dirección Localhost permitiría que todas las aplicaciones puedan salir a Internet a través del proxy local sin preguntar al usuario si quiere permitir o no esa comunicación.
Un ejemplo de esto podemos tenerlo en el Windows Media Player

Sin loopback genérica:

El cortafuegos nos avisa de la conexión, y si la bloqueamos...........

Con loopback genérica:

Pero quizás esta si sea realmente seria, ya que para el correcto funcionamiento del sistema el Explorador de Windows debe de tener permitido el Acceso a Red, y si tenemos una regla Loopback genérica y usamos un proxy local, esta aplicación podrá conectarse a la red usando la configuración proxy sin que el cortafuegos nos avise del evento, mientras que si no usamos esa regla genérica, si que seremos avisados y podremos negar la conexión a esta aplicación.

En este tema volvemos a chocar con las posibilidades de configuración del cortafuegos, ya que existen varias posibilidades para crear reglas Loopback solo para aquellas aplicaciones que realmente la necesitan, he incluso podemos optar por cambiar la configuración de los programas, para que se conecten de modo normal y no detectando la configuración del proxy.

Yo independientemente de la regla Loopback, he optado por crear tablas especificas para aquel tipo de aplicaciones "clonicas" aunque solo sean dos, ya que las reglas no admiten lista de puertos por lo que el numero de reglas para algunas aplicaciones es elevado, incluso para una sola aplicación prefiero crear una tabla donde poner sus reglas, includa una loopback si la aplicación lo necesita.
Como ejemplo tenemos entre otras la tabla "Web browser" incluida por defecto, que  en mi configuración he editado para incluir la nevagación usando el proxy local (logícamente eso implicaría desactivar "Allow http" o viceversa dependiendo del caso).

El resto de las reglas de esta tabla ya se verá en un apartado sobre mi configuración personaliza que el quiera puede seguir o no, eso ya es cosa de cada uno, pero cuanto menos puede dar una idea de las posibilidades de configuración que ofrece este cortafuegos.

Protocolo de Control de Mensajes Internet (ICMP).

Las reglas para ICMP se encuentran en la siguiente tabla:

Los programas Ping y Tracert (Traceroute) son usados para "localizar" en una red (detectar una respuesta de un ordenador remoto), esto se consigue mediante mensajes ICMP.

• [8] Echo Request (Solicitud de Eco) - Para comprobar si otro host está operativo se suele mandar una solicitud de eco, cuando el receptor lo recibe lo devuelve a su origen. Esta aplicación recibe el nombre de Ping.

• [0] Echo Reply (Respuesta de Eco) - Cuando se realiza un Ping el mensaje enviado tendrá el valor 8 cuando lo recibe el otro host, para devolverlo tendrá que enviarlo con el valor 0.

Lo habitual es que no hagamos uso de estos dos mensajes, o que seamos nosotros los que hagamos el ping para obtener una respuesta. para ello podemos desactivar la regla para  [0] Echo Reply y dejar activada la regla para [8] Echo Request.

Mensajes de error de ICMP.

En condiciones normales el protocolo IP hace un uso muy eficiente de los recursos de memoria y transmisión. Pero ¿qué ocurre cuando las cosas no van bien?. Si un datagrama se estropea o se elimina, un enlace de la red es el encargado de enviar la alerta o de dar la noticia de que los datagramas están dando vueltas hasta expirar su Tiempo de Vida. ¿Qué aviso se da a las aplicaciones para que no sigan enviando información a un destino que es inalcanzable?

Existen situaciones en que se descartan los datagramas de IP. Por ejemplo; puede que no se llegue a un destino porque el enlace se ha caído, puede que halla expirado el tiempo de vida o que sea imposible que un router envíe un datagrama muy grande porque no permite la fragmentación.

ICMP notificará el error de manera inmediata. Para realizar esta tarea, ICMP utiliza un estándar de mensajes de error conocidos como Mensajes de Error de ICMP. Estos son los tipos de mensaje de error:

• [3] DestinationUnreachable (Destino Inalcanzable) - Un datagrama no puede llegar a su host, utilidad o aplicación de destino.

• [11] Time Exceeded (Tiempo Excedido) - El tiempo de vida del datagrama ha expirado en un router o en el plazo de reensamblado en el host de destino.

Estos dos primeros ya están incluidos por defecto en la configuración del cortafuegos. A gusto y conocimientos de cada uno se pueden incluir los otros mensajes de error de ICMP, añadiendo la regla correspondiente.

Seleccionaremos el protocolo del la lista desplegable "Tipo ICMP"
 

• [4] Source Quench (Origen Saturado) - Un router o un destino están saturados.

• [5] Redirect (Redirección) - Un host ha enviado un datagrama al router local equivocado.

• [11] Time Exceeded (Tiempo Excedido) - El tiempo de vida del datagrama ha expirado en un router o en el plazo de reensamblado en el host de destino.

• [12] Parameter Problem (Problemas de Parámetros) - Existe un parámetro erróneo en la cabecera de IP.

Una vez permitidos los ICMP que queramos, crearemos una regla para negar el resto.

La configuración dependiendo de cada uno podría quedar como así.

 

Como se puede apreciar no me he resistido a crear una regla para bloquear el protocolo IGMP como hacía con la configuración del Kerio.