Manual de Kerio Personal Firewall versión 2 - REGLAS / FILTROS: W98

Las reglas de aplicaciones que no estén instaladas mejor que sean borradas (de la 5ª a la 11ª).

La primera regla negada creada por nosotros es la famosa correspondiente al RNAPP (Aplicación de Acceso telefónico: UDP -OUT- 137). SE NIEGA SIEMPRE.

En W98 y W2000 el MESSENGER viene acompañado del LOADQM (no así en el XP). Lo podemos deshabilitar para que no se inicie al arrancar el windows (mi caso). Pero deberemos ejecutarlo y desnegar la regla SOLO SI HEMOS DE PERMITIR TRANSFERENCIA DE ARCHIVOS (mejor no consentirlo por defecto, bastante inseguro ya es este mensajero como para dar facilidades). Más aún, si no lo utilizamos, mejor dejar desmarcada la regla de este mensajero, como con el INTERNET EXPLORER.

En mi caso los navegadores están configurados para que utilicen el PROXY LOCAL PROXOMITRON mediante el LOOPBACK -127.0.0.1-. Si no lo utilizamos deberemos crear las reglas, especificándolas para el puerto 80 y TCP OUT. Para FTP es mejor utilizar clientes FTP o descargadores como el FLASHGET. Aunque si necesitamos una comunicación segura, deberemos habilitar otros puertos. En tal caso, bajamos a ASK ME FIRST -y CERROJO desmarcado- y nos saldrá la ventanita para el navegador utilizado, pudiendo personalizar o no los puertos.

Si habilitamos por defecto los puertos para https, podremos ser identificados aunque utilicemos un proxy anónimo (es el caso del escaneo desde la web de STEVE GIBSON). Si empleamos un proxy anónimo -que ralentiza la navegación- NO DEBEREMOS UTILIZARLO para comunicaciones seguras, para no dejar rastros de nuestros datos en el servidor utilizado como proxy anónimo -contraseñas, datos financieros, ... y estar seguros de que realmente es anónimo-. 

Mejor utilizar el W2000 con los SERVICE PACK para navegar, máxime si hemos de realizar operaciones financieras.

El resto de las reglas o filtros negados son los del NIST, que pueden verse en: 

     Reglas de las Aplicaciones

CABLE

Para CABLE, independientemente del windows utilizado, se han de crear dos nuevas reglas para evitar que corten el servicio ( con las propuestas nos invisibilizamos demasiado y no respondemos al servidor ). Y se ponen por encima del bloque de negadas.

Rule #1:
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: DHCP Server IP ( escribimos la que tengamos asignada )
Rule Valid: Always
Action: Permit
Logging: None

Rule #2:
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None

*El W98 ya no tiene soporte desde M$, con lo que los desarrolladores de software no necesariamente lo tendrán en cuenta en los nuevos programas.

Un ejemplo que afecta al KERIO: el OUTBOUND sí que atraviesa el KERIO 2.1.4 bajo W98, no así en W2000.

REGLAS / FILTROS: W2000 SP4

Descarga: Las reglas de esos filtros para equipo W2000, modem o ADSL MONOPUESTO están  AQUI.

El W2000, como el XP tiene unos cuantos servicios que quieren conectarse, y que en principio no necesitan estar permitidos!

Las 7 primeras reglas negadas corresponden a servicios del W2000. No se ha tenido problema alguno al negarles permiso de comunicación, en MONOPUESTO.

Si hemos de utilizar el TELNET, mejor utilizar programas independientes, y no los del windows. Comentario válido para otros servicios. La otra opción es deshabilitarlos. Al menos han de estar negados en las reglas.

CABLE

Para CABLE, independientemente del windows utilizado, se han de crear dos nuevas reglas para evitar que corten el servicio (con las propuestas nos invisibilizamos demasiado y no respondemos al servidor). Y se ponen por encima del bloque de negadas.

Rule #1:
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: DHCP Server IP  (escribimos la que tengamos asignada)
Rule Valid: Always
Action: Permit
Logging: None

Rule #2:
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None

REGLAS / FILTROS: Windows XP

Descarga: El fichero de filtros se puede descargar AQUI.

Son las mismas reglas que para el W2000, más alguna aplicacion adicional que se añade por defecto. He eliminado la regla de LOADQM porque en XP no existe esa aplicación, así como la regla NETBIOS W2000, y las de Morpheus. Básicamente lo unico que cambia es que las aplicaciones de W2000 están en la carpeta c:\winnt/system32, y en el XP es c:\windows/system32. 

Otros cambios afectan a las la reglas DNS y DHCP, que están limitadas a la aplicación "svchost.exe". Yo no tengo problemas pero siempre puedes modificarlas a "any aplication" si lo crees conveniente. 

Al hacerlo para  W2000 y DNS sólo pude conectarme al espejo IESPANA y a los foros anexos a la web, es decir que el svchost.exe tiene menos atribuciones en W2000 que en XP. Intentaba de esta manera limitar el "agujero" de las DNS para any aplication, como ha puesto de manifiesto CONDE 0 -que en principio afecta a todos los cortafuegos- con su aplicación experimental.

Funcionan con cablemodem y no creo que den problemas con conexion RTB, pues lo único que cambia es "direction" de incomig a both.

*RTB: Red Telefónica básica. También llamada RTC: Red Telefónica Conmutada.

por maty

Fijémonos que daexma mantiene las reglas 3ª,4ª, 5ª y 6ª, que son las que vienen por defecto. En W2000 y RTB (modem analógico) las borré para aumentar la invisibilidad. Válido para W98 y modem.

• En la 3ª: OUTGOING PING Icmp Out ha permitido tan sólo el tipo 8 (Echo Request).

• En la 4ª: OUTGOING PING Icmp In permite sólo el tipo 0 (Echo Reply).

• En la 5ª: INCOMING ICMP Time Exceed sólo permitido el tipo 11 (Time Exceeded).

• En la 6ª: OUTGOING REPLY on PING está permitido sólo el tipo 0 (Echo Reply).

Antes se había propuesto para CABLE y W2000:

"Para CABLE se han de crear dos nuevas reglas para evitar que corten el servicio (con las propuestas nos invisibilizamos demasiado y no respondemos al servidor). Y se ponen por encima del bloque de negadas.

Rule #1:
Description: DHCP In/Out
Protocol: UDP
Direction: Both
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: DHCP Server IP ( escribimos la que tengamos asignada )
Rule Valid: Always
Action: Permit
Logging: None

Rule #2:
Description: DHCP
Protocol: UDP
Direction: Outgoing
Local End Port:68
Application: ANY Remote End Port: 67
Remote Address: 255.255.255.255
Rule Valid: Always
Action: Permit
Logging: None"

En cambio ahora sólo propone la primera pero ANY ADRESS y SVCHOST.EXE.

Las reglas son:

En OTHER ICMP ha negado todas menos Echo Request, como viene por defecto. Equivalen a las dos del W2000, unificadas, que negaban todo tráfico ICMP. Pero ha marcado la última casilla de tipos ICMP que aparece en el KERIO 2.1.3 por vez primera. Entonces, debe equivaler a tener todos los tipos negados. ¿O no es así?

Y la de IGMP la ha bajado al final.