Manual de Kerio Personal Firewall versión 2 - TABLA DE FILTROS
18 de Septiembre de 2005
Seguridad informática
A continuación expondremos una configuración típica y con los programas más habituales (o similares) posibles para el cortafuegos TINY.
SEPTIEMBRE 2003
Los filtros para los troyanos no son necesarios. El problema de los cortafuegos software, es que desconocemos qué reglas internas incorporan, además de las visibles.
La regla CERROJO la hemos universalizado. Para el resto de reglas, nos hemos basado en las recomendaciones del NIST∞, además de las propuestas por nosotros.
Sigo pensando que la regla LOOPBACK o LOCALHOST o 127.0.0.1∞ es conveniente particularizarla, frente a una general ANY, así como explicitar un rango para el DNS 1024:5000 si nuestra dirección IP es variable, o dos concretas, para la IP primaria y secundaria, si la IP es fija.
No nos olvidemos de salvar las reglas. Mejor perdamos un tiempo en configurarlas adecuadamente al principio. Además así aprenderemos.
Todo comenzó de forma accidental. Buscando información sobre la refrigeración líquida y el modelo de cierta empresa, maty encontró los foros Software de Meristation. Tras un tiempo de lectura, decidió postear, iniciando un hilo sobre cómo asegurar un sistema casero. En él se recomendó, erróneamente, el cortafuegos BlackIce. En aquellos foros se conocieron daredevil, wolffete y maty. El primero recomendó el cortafuegos TINY, descubierto gracias a la comparativa de cortafuegos escrita por ANTONIO en su web HAY GENTE PA TO (http://haygentepato.6x.to/)//∞, que había sido redactada para el conocido y decano e-zine hispano hacker: SET.
Maty escribió una página para explicar las reglas que debieran crearse para el cortafuegos software, página que tenía que integrarse en el manual sito en las extintas webs MANUAL DEL TINY -> SEGURIDAD ONLINE creadas por daredevil. La página estuvo alojada inicialmente en una web regalada al grupo SOL de NIT de nueva música tradicional de Barcelona, pasando más tarde a tener su propio espacio en GEOCITIES: MATY: Seguridad y Privacidad -> MATY: Privacidad y Seguridad, compartiendo los foros creados por daredevil. Tras varias caídas y algún que otro cierre injustificado, se optó por disponer de más espejos en servidores gratuitos. La publicidad impuesta nos llevó a promocionar el uso del PROXOMITRON para su filtrado.
La web SEGURIDAD ONLINE desapareció, por agotamiento de su creador. MATY's fue creciendo y creciendo, administrando los foros hasta el próximo regreso de su creador (quien precisamente ha regresado estos días, presentando unos nuevos foros centrados en LINUX).
En Septiembre del 2002, se creó la actual NAUTOPIA, basada en los contenidos de la de MATY's, que está en proceso de dejar de ser una web personal, compartiendo su gestión en abierto. GESTION COMPARTIDA que está abierta a todo aquel que desee colaborar, con el grado de involucración que desee, en función de sus conocimientos y tiempo disponible, sin compromisos.
|| Nº || TIPO || FILTRO || DIRECCION || PROTOCOLO || PORT LOCAL || APLICACION || HOST REMOTO || PORT REMOTO || EXPLICACION || LOG ||
|| 1 || PERM Opera, Mz
PERM IE
|| Loopback || Both || UDP/TCP || Any || Especificar para cada aplicación que la necesite (navegadores) || 127.0.0.1 || Any || EL FILTRO LOOPBACK -verificar conexiones locales- || No ||
|| 2 || DENY || ICMP-PING Set Icmp ALL || Both || Select All || Any || Any || Any || Any || NIEGA LOS PINGS y otros || Yes ||
|| 3 || DENY || ACCESO TFN A REDES || Both || UDP/TCP || Any || Any || Any || Any || ACCESO TELEFONICO: El kernel quiere comunicarse || No ||
|| 4 || DENY || NetBT Datagram || Both || UDP || 137, 138 || Any || Trustful addresses || Any || NIEGA EL USO DEL PROTOCOLO NETBIOS EN UNA RED LOCAL PARA SU IDENTIFICACION || No ||
|| 5 || DENY || NetBT Session || Outgoing || TCP || Any || Any || Trustful Addresses || 139 || IMPIDE A NUESTRO PC EL ACCESO A LOS RECURSOS COMPARTIDOS EN UNA RED LOCAL CON TODAS LAS DIRECCIONES VALIDADAS (podríamos permitirlo) || No ||
|| 6 || DENY || NetBT Session || Incoming || TCP || 139 || Any || Trustful Addresses || Any || A LA INVERSA DEL ANTERIOR || No ||
|| 7 || PERM || NAVEGADOR OPERA, MOZILLA, IE || Outgoing || TCP || Any || OPERA, MOZILLA, IE || Any o tu proxy de la red || 80, 21, 443, 8080, 8088 (mantén los puertos que vayas a usar) || PERMITE NAVEGAR (HTTP, HTTPS, LOS PORTS PROXY USUALES). BLOQUEA A LOS TROYANOS ADWARE EL ACCESO A LA RED. Mejor hacerlos pasar por el PROXOMITRON || No ||
|| 7 bis || PERM || IE || Outgoing || UDP || Any || IE || Any o tu proxy de la red || Any || || ||
|| 8 || PERM || DNS de nuestro Servidor || Both || UDP/TCP || 53 || Any || IPs (DNS) || 53 || PERMITE AL PC DIALOGAR CON EL SERVIDOR PROVEEDOR JAZZTEL, NAVEGALIA, etc) || No ||
|| 9 || DENY || OTROS DNS || Both || UDP/TCP || Any || Any || Establecer una máscara. || 53 || BLOQUEAMOS EL RESTO DE DNS || Yes ||
|| 10 || DENY || TELNET || Outgoing || TCP || Any || CLIENTE TELNET || Any || 23 || SI NO LO USAMOS, MEJOR IMPEDIR LA CONEXION ENTRE SERVIDOR Y CLIENTE TELNET (lo 1º que miran los HACKERS) || No ||
|| 11 || PERM || FTP || Outgoing || TCP || Any || CLIENTE FTP || Any || 21 || CONEXION ENTRE CLIENTE Y SERVIDOR FTP. SI FUESEMOS SERVIDOR DE FTP ANONIMO TENDRIAMOS QUE CONFIGURARLO MUY BIEN || No ||
|| ... SI ES NECESARIO, INSERTAR EL FILTRO OPCIONAL EN CUALQUIER ORDEN. ESTOS IMPIDEN LA ENTRADA A NUESTRO PC ||
|| 12 || DENY || CERROJO BLOQUEO DE PORTS COMUNES || Incoming || UDP/TCP || 113, 79, 21, 80, 443, 8080, 143, 110, 137, 139, 138, 25, 23 || Any || Any || Any || BLOQUEO DE LOS SERVICIOS: FTP, HTTP, POP3, SMTP, Telnet, NetBios,... IMPEDIMOS EL ACCESO A ESOS SERVICIOS (Incoming) OJO, SIRVE PARA CERRAR. NOSOTROS SIMPLEMENTE CERRAMOS LA CONEXIÓN || Yes ||
|| 3 || DENY || + BLOQUEO DE PORTS COMUNES || Both || UDP/TCP || 7,9,11, 13,15,19,67, 69,79, 109, 117 || Any || Any || Any || BLOQUEO DE LOS SERVICIOS: Echo, Discard, Systat, Daytime, Netstat, Chargen, Bootp,TFTP, Finger, Pop-2, UUCP || Yes ||
|| 14 || DENY || BACK ORIFICE || Incoming || UDP/TCP || 54320, 54321, 31337, 54320, 12346 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO BACKORIFFICE || Yes ||
|| 15 || DENY || NETBUS || Incoming || TCP || 12456, 12345, 12346, 20034 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO NETBUS || Yes ||
|| 16 || DENY || BOOTPC || Incoming || UDP/TCP || 68 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO: BOOTPC || Yes ||
|| 17 || DENY || RPCSS || Incoming || UDP/TCP || 135 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL MICROSOFT RPC SERVICE (TAL VEZ UN TROYANO!...) || Yes ||
|| 1 || PERM Opera, Mz
PERM IE
|| Loopback || Both || UDP/TCP || Any || Especificar para cada aplicación que la necesite (navegadores) || 127.0.0.1 || Any || EL FILTRO LOOPBACK -verificar conexiones locales- || No ||
|| 2 || DENY || ICMP-PING Set Icmp ALL || Both || Select All || Any || Any || Any || Any || NIEGA LOS PINGS y otros || Yes ||
|| 3 || DENY || ACCESO TFN A REDES || Both || UDP/TCP || Any || Any || Any || Any || ACCESO TELEFONICO: El kernel quiere comunicarse || No ||
|| 4 || DENY || NetBT Datagram || Both || UDP || 137, 138 || Any || Trustful addresses || Any || NIEGA EL USO DEL PROTOCOLO NETBIOS EN UNA RED LOCAL PARA SU IDENTIFICACION || No ||
|| 5 || DENY || NetBT Session || Outgoing || TCP || Any || Any || Trustful Addresses || 139 || IMPIDE A NUESTRO PC EL ACCESO A LOS RECURSOS COMPARTIDOS EN UNA RED LOCAL CON TODAS LAS DIRECCIONES VALIDADAS (podríamos permitirlo) || No ||
|| 6 || DENY || NetBT Session || Incoming || TCP || 139 || Any || Trustful Addresses || Any || A LA INVERSA DEL ANTERIOR || No ||
|| 7 || PERM || NAVEGADOR OPERA, MOZILLA, IE || Outgoing || TCP || Any || OPERA, MOZILLA, IE || Any o tu proxy de la red || 80, 21, 443, 8080, 8088 (mantén los puertos que vayas a usar) || PERMITE NAVEGAR (HTTP, HTTPS, LOS PORTS PROXY USUALES). BLOQUEA A LOS TROYANOS ADWARE EL ACCESO A LA RED. Mejor hacerlos pasar por el PROXOMITRON || No ||
|| 7 bis || PERM || IE || Outgoing || UDP || Any || IE || Any o tu proxy de la red || Any || || ||
|| 8 || PERM || DNS de nuestro Servidor || Both || UDP/TCP || 53 || Any || IPs (DNS) || 53 || PERMITE AL PC DIALOGAR CON EL SERVIDOR PROVEEDOR JAZZTEL, NAVEGALIA, etc) || No ||
|| 9 || DENY || OTROS DNS || Both || UDP/TCP || Any || Any || Establecer una máscara. || 53 || BLOQUEAMOS EL RESTO DE DNS || Yes ||
|| 10 || DENY || TELNET || Outgoing || TCP || Any || CLIENTE TELNET || Any || 23 || SI NO LO USAMOS, MEJOR IMPEDIR LA CONEXION ENTRE SERVIDOR Y CLIENTE TELNET (lo 1º que miran los HACKERS) || No ||
|| 11 || PERM || FTP || Outgoing || TCP || Any || CLIENTE FTP || Any || 21 || CONEXION ENTRE CLIENTE Y SERVIDOR FTP. SI FUESEMOS SERVIDOR DE FTP ANONIMO TENDRIAMOS QUE CONFIGURARLO MUY BIEN || No ||
|| ... SI ES NECESARIO, INSERTAR EL FILTRO OPCIONAL EN CUALQUIER ORDEN. ESTOS IMPIDEN LA ENTRADA A NUESTRO PC ||
|| 12 || DENY || CERROJO BLOQUEO DE PORTS COMUNES || Incoming || UDP/TCP || 113, 79, 21, 80, 443, 8080, 143, 110, 137, 139, 138, 25, 23 || Any || Any || Any || BLOQUEO DE LOS SERVICIOS: FTP, HTTP, POP3, SMTP, Telnet, NetBios,... IMPEDIMOS EL ACCESO A ESOS SERVICIOS (Incoming) OJO, SIRVE PARA CERRAR. NOSOTROS SIMPLEMENTE CERRAMOS LA CONEXIÓN || Yes ||
|| 3 || DENY || + BLOQUEO DE PORTS COMUNES || Both || UDP/TCP || 7,9,11, 13,15,19,67, 69,79, 109, 117 || Any || Any || Any || BLOQUEO DE LOS SERVICIOS: Echo, Discard, Systat, Daytime, Netstat, Chargen, Bootp,TFTP, Finger, Pop-2, UUCP || Yes ||
|| 14 || DENY || BACK ORIFICE || Incoming || UDP/TCP || 54320, 54321, 31337, 54320, 12346 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO BACKORIFFICE || Yes ||
|| 15 || DENY || NETBUS || Incoming || TCP || 12456, 12345, 12346, 20034 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO NETBUS || Yes ||
|| 16 || DENY || BOOTPC || Incoming || UDP/TCP || 68 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL TROYANO: BOOTPC || Yes ||
|| 17 || DENY || RPCSS || Incoming || UDP/TCP || 135 || Any || Any || Any || BLOQUEO DE DIFERENTES VERSIONES DEL MICROSOFT RPC SERVICE (TAL VEZ UN TROYANO!...) || Yes ||
SEPTIEMBRE 2003
Los filtros para los troyanos no son necesarios. El problema de los cortafuegos software, es que desconocemos qué reglas internas incorporan, además de las visibles.
La regla CERROJO la hemos universalizado. Para el resto de reglas, nos hemos basado en las recomendaciones del NIST∞, además de las propuestas por nosotros.
Sigo pensando que la regla LOOPBACK o LOCALHOST o 127.0.0.1∞ es conveniente particularizarla, frente a una general ANY, así como explicitar un rango para el DNS 1024:5000 si nuestra dirección IP es variable, o dos concretas, para la IP primaria y secundaria, si la IP es fija.
No nos olvidemos de salvar las reglas. Mejor perdamos un tiempo en configurarlas adecuadamente al principio. Además así aprenderemos.
DE DONDE VENIMOS
Todo comenzó de forma accidental. Buscando información sobre la refrigeración líquida y el modelo de cierta empresa, maty encontró los foros Software de Meristation. Tras un tiempo de lectura, decidió postear, iniciando un hilo sobre cómo asegurar un sistema casero. En él se recomendó, erróneamente, el cortafuegos BlackIce. En aquellos foros se conocieron daredevil, wolffete y maty. El primero recomendó el cortafuegos TINY, descubierto gracias a la comparativa de cortafuegos escrita por ANTONIO en su web HAY GENTE PA TO (http://haygentepato.6x.to/)//∞, que había sido redactada para el conocido y decano e-zine hispano hacker: SET.
Maty escribió una página para explicar las reglas que debieran crearse para el cortafuegos software, página que tenía que integrarse en el manual sito en las extintas webs MANUAL DEL TINY -> SEGURIDAD ONLINE creadas por daredevil. La página estuvo alojada inicialmente en una web regalada al grupo SOL de NIT de nueva música tradicional de Barcelona, pasando más tarde a tener su propio espacio en GEOCITIES: MATY: Seguridad y Privacidad -> MATY: Privacidad y Seguridad, compartiendo los foros creados por daredevil. Tras varias caídas y algún que otro cierre injustificado, se optó por disponer de más espejos en servidores gratuitos. La publicidad impuesta nos llevó a promocionar el uso del PROXOMITRON para su filtrado.
La web SEGURIDAD ONLINE desapareció, por agotamiento de su creador. MATY's fue creciendo y creciendo, administrando los foros hasta el próximo regreso de su creador (quien precisamente ha regresado estos días, presentando unos nuevos foros centrados en LINUX).
En Septiembre del 2002, se creó la actual NAUTOPIA, basada en los contenidos de la de MATY's, que está en proceso de dejar de ser una web personal, compartiendo su gestión en abierto. GESTION COMPARTIDA que está abierta a todo aquel que desee colaborar, con el grado de involucración que desee, en función de sus conocimientos y tiempo disponible, sin compromisos.
Valora este capítulo:
Autor y licencia de 'Manual de Kerio Personal Firewall versión 2 - TABLA DE FILTROS'
|
Opiniona sobre 'Manual de Kerio Personal Firewall versión 2 - TABLA DE FILTROS' (0)
Tu nombre debe tener tres caracteres como mínimo.
Es necesario que te des de alta con una cuenta de correo válida.
Es necesario que te des de alta con una cuenta de correo válida.
El contenido del título de tu opinión debe tener tres caracteres como mínimo.
Es obligatorio que selecciones una valoración del recurso.
El contenido del comentario de tu opinión debe tener tres caracteres como mínimo.
Opina sobre este tutorial |
Wikis relacionados con 'Manual de Kerio Personal Firewall versión 2 - TABLA DE FILTROS'
Este cortafuegos no ha pasado nunca de versiones betas. Su evolución es el nuevo KERIO...
Más »
Jetico Personal Firewall proteje nuestro ordenador tanto de ataques remotos como locales, construyendo una barrera...
Más »
Los sitios web han de convertirse en filtros de información, es decir, deben ofrecer una...
Más »
Kerio mailserver es un servidor de correo que soporta los protocolos imap, pop3 y smtp....
Más »
Cómo optimizar sus recursos y lograr el éxito en su emprendimiento.Un plan de negocios es...
Más »
