SERVIDOR DE NOMBRE DE DOMINIO (DNS).
A pesar de que estamos acostumbrados a escribir el nombre de una página en el navegador,
para conectar con el equipo remoto tenemos que
dirigirnos a su dirección IP. Un
servidor DNS traduce de manera transparente para el usuario
el nombre de dominio introducido por el usuario
a su correspondiente
dirección IP. Lógicamente, por defecto el cortafuegos está configurado para que este "servicio" funcione ya que sin la conexión ha estos servidores el acceso a internet no es que sea imposible, pero como si lo fuera. Las reglas que permiten la conexión a los servidores DNS se encuentran en la siguiente tabla.
Las reglas Allow DNS ..., son las que permiten que cualquier sistema pueda por defecto conectar con los servidores DNS.
Para evitar que podamos conectar con otros servidores DNS que no sean los
"nuestros", crearemos unas reglas
que sólo permitan la conexión con nuestros dos servidores DNS y
otra que niegue la conexión con cualquier otro servidor DNS.Además podemos especificar la aplicación que lleva a cabo esta comunicación
SERVICES.EXE para W2000 y
SVCHOST.EXE para WXP.Para averiguar las direcciones de tus servidores DNS:
- En W2000/XP - Abre una consola y ejecuta el comando ipconfig /all.
- En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas). En el campo Servidores DNS verás una de las direcciones, pincha en el botón de la derecha para ver los dos.
Una vez conocemos las direcciones de nuestros DNS, procederemos a crear las reglas para limitar al máximo ese servicio, ¿Pero donde?, bueno esa ya es cosa de la configuración de cada uno, yo lo único que puedo decir es el camino que seguirá por defecto el evento si no coincidieran con las reglas vistas arriba, luego cada cual teniendo en cuenta el orden de las tablas por las que el evento pasará y las posibilidades de configuración que tiene el cortafuegos que actue en consecuencia. Por defecto el ordén de procesamiento será el siguiente.
Root > Application Table > System Applications > Ask user
Como podomos apreciar, al final el cortafuegos nos preguntará que hacer con el evento, por lo que más que crear las reglas "a mano" aprovecharemos las Ventanas de Mensaje para crearlas fácilmente.
Yo, personalmente he optado por editar las reglas incluidas por defecto para el cortafuegos me avise cuando se produce el evento y crear las reglas desde la ventana. El único efecto que tiene esto es que las reglas se crearán en la tabla Application Table, si simplente borramos o desactivamos esas reglas el efecto será el mismo pero las reglas se crearian en la tabla Ask user.
Una vez que hemos editado las dos reglas a nuestro gusto, intentaremos usar el navegador para que empiecen a mostrarse las ventanas.
En la segunda ventana deberemos hacer uso de la opción Personalizar para editar la regla, ya que para la conexión entrante la ventana especifica el puerto local que debe de ser "Cualquiera" y no el puerto remoto 53 que es el que se debe poner en la regla.
Dado que en las reglas de aplicación no existe el protocolo UDP como tal, si no "enviar datagramas" o "recibir datagramas" necesitaremos dos reglas para la comunicación con cada DNS.
Puede ser que la navegación funcione sin que se hayán creado todas las reglas por lo que simplemente iremos a la tabla correspondiente "Clonaremos" y "Editaremos" las reglas creadas para que nos quede una configuración parecida a esta.
Podemos crear una regla para bloquear la conexión con otros servidores DNS, pero recordar que si las reglas anteriores no están correctamente configuradas no podremos navegar con nornalidad
Como ya he dicho yo he optado por crear las reglas en la tabla Application Table, pero cada cual puede crearlas en la tabla que quiera siempre teniendo en cuenta la configuración. Recordad que las reglas pueden ser copiadas o movidas a otra tablas arrastrando y soltando las reglas con el ratón.
Existe otra regla para los DNS en la tabla System Internet Zone, pero dada la configuración por defecto el evento no puede llegar a esta tabla.
Las posibilidades de configuración de este cortafuegos son innumerables, pero lo más "normal" es que en la medida de lo posible usemos el procesamiento de eventos que se usa por defecto, por lo menos eso es por lo que yo he optado. De todos modos, particularmente he optado por desactivar la regla.
PROTOCOLO DE CONFIGURACIÓN DINÁMICA DEL HOST (DHCP).
- Usuarios de cablemodem -
El protocolo DHCP (Dynamic Host Configuration Protocol) es el que se utiliza para la asignación dinámica de direcciones IP a los clientes en la red de acceso. Cuando el ordenador procede a configurar la conexión de red mediante este protocolo, lanza una petición buscando servidores DHCP (paquete DHCPDISCOVER). El servidor DHCP recoge esa petición, y en caso de que tenga direcciones libres para asignar en la interfaz en la que le ha llegado la petición, ofrece una dirección al cliente (paquete DHCPOFFER). El cliente entonces envía una solicitud oficial para la dirección que le han ofrecido (paquete DHCPREQUEST), y el servidor DHCP anota y confirma la solicitud al cliente (paquete DHCPACK).
Además, se le envía al cliente diversos tipos de información, como el router por defecto, los servidores DNS, servidores WINS, y muchos otros parámetros que pueden ser de interés.
Cuando se nos asigna la IP es por un tiempo limitado (Permiso), una vez que este tiempo llega a su fin, el PC vuelve a negociar con el DHCP la asignación o mantenimiento de la IP y un nuevo permiso; si no permitimos esta comunicación perderemos la conexión a Internet.
Por defecto el cortafuegos está configurado para que la configuración de la conexión de red mediante DHCP se lleve a cabo correctamente, ya que es imposible conectarse a internet si nuestra red se configura de este modo.
Las reglas que permiten la configuración de red por DHCP se encuantran en la siguiente tabla.
Las reglas "Allow DHCP ..." son las que permiten este servicio.
Como podemos se ha explicado antes, el proceso se realiza en varios pasos, por lo que necesitaremos varias direcciones IP diferentes para negociar configuración mediante DHCP dependiendo de nuestro proveedor, ya que si bien una vez la configuración está hecha, sólo necesitamos la dirección del servidor DHCP para renovar el permiso, cuando por cualquier razón esta configuración no existe el PC no conoce la dirección del servidor DHCP ya que la conexión no está configurada, por eso necesitamos una dirección IP para cada uno de los pasos descritos anteriormente.
La primera dirección es la dirección de Broadcasting 255.255.255.255 (mensajes a toda la red), y por defecto esta regla ya está incluida en la configuración.
Otra dirección es la de nuestro servidor DHCP.
Para averiguar las dirección de tu servidor DHCP:
- En W2000/XP - Abre una consola y ejecuta el comando ipconfig /all.
- En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas).
Una vez conocemos las direcciones de nuestro servidor DHCP, podemos crear una regla para limitar al máximo este servicio, pero como se vió anteriormente esta dirección pude no ser suficiente, por lo que para poder configurar el proceso completo necesitaremos alguna dirección IP más (normalmente direcciones privadas). Para conocer estas direcciones forzaremos al sistema a realizar la configuración completa y usaremos las Ventanas de Mensaje para crear las reglas más facílmente. ¿Donde crear las reglas?, bueno esa ya es cosa de la configuración de cada uno, yo lo único que puedo decir es el camino que seguirá por defecto el evento si no coincidieran con las reglas vistas arriba, luego cada cual teniendo en cuenta el orden de las tablas por las que el evento pasará y las posibilidades de configuración que tiene el cortafuegos que actue en consecuencia. Por defecto el ordén de procesamiento será el siguiente.
Root > Application Table > System Applications > Ask user
Como podomos apreciar, al final el cortafuegos nos preguntará que hacer con el evento.
Yo, personalmente he optado por editar las reglas incluidas por defecto para el cortafuegos me avise cuando se produce el evento y crear las reglas desde la ventana. El único efecto que tiene esto es que las reglas se crearán en la tabla Application Table, si simplente borramos o desactivamos esas reglas el efecto será el mismo pero las reglas se crearian en la tabla Ask user.
La regla para la dirección de Broadcasting ya está creada por defecto, lo que he hecho es clonar y editar una de las otras para que el cortafuegos nos pregunte por cualquier evento en los puertos de la regla.
Quedando las reglas de la siguiente manera. (Aunque desactivadas, he preferido dejar las otras dos reglas que el cortafuegos trae por defecto).
Una vez realizado el paso anterior, procederemos a forzar la configuración mediante DHCP.
- En W2000/XP - Abre una consola y ejecuta el comando "ipconfig / release"
- En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas) y pincha en el botón Renovar.
Como la red ya estaba configurada, esta primera dirección será la de nuestro servidor DHCP. Si la red no estubiera configurada como ocurrirá en el paso siguiente, debermos ejecutar este paso despues de que se haya configurado la red.
- En W2000/XP - Abre una consola y ejecuta el comando"ipconfig / release" y luego "ipconfig /renew" (sin comillas).
- En W98/ME - Inicio > Ejecutar "winipcfg" (sin comillas) y pincha en el botón Liberar todo y luego en el botón Renovar.
El numero de direcciones IP privadas puede variar dependiendo de nuestro proveedor, de hecho yo personalmente antes solo necesitaba una de estas direcciones y ahora necesito dos.
Podemos crear una regla para negar la conexión a otros servidores DHCP que no sean el nuestro pero recordar que si las reglas anteriores no están correctamente configuradas no podremos navegar.
Como ya he dicho yo he optado por crear las reglas en la tabla System Applications, pero cada cual puede crearlas en la tabla que quiera siempre teniendo en cuenta la configuración. Recordad que las reglas pueden ser copiadas o movidas a otra tablas arrastrando y soltando las reglas con el ratón.
