NIST: Recomendaciones y consejos - Aplicaciones y servicios

Estas son las reglas que recomiendan para todos los sistemas operativos. En principio son para dentro-a-fuera (INBOUND), que en el TINY -> KERIO son INCOMING. Las reglas creadas seguirán el mismo orden para facilitar su búsqueda. Servicios como TELNET y demás LOS NEGAREMOS. Cuando los utilicemos desmarcaremos la regla (cierto es que disponemos de firma digital de las aplicaciones, pero éstas pueden saltarse a día de hoy, al poderse manipular las *.dll del windows que las identifican -FIREHOLE y demás- ). De ahí que el nuevo KERIO 4 nos interese tanto, al controlar todo lo que se inicia en el sistema.

El tráfico interno (LOOPBACK / LOCALHOST / 127.0.0.1 y demás posibilidades) deberemos especificarlo con mayor detalle. De esta forma evitaremos que traspasen el cortafuegos o simplemente echen abajo la conexión. De ahí que no hiciésemos caso a la regla genérica, especificándola para los navegadores. Como vemos, mejor negar la comunicación al INTERNET EXPLORER, evitando así que otro programa lo substituya y logre comunicarse. Si queremos utilizar su motor, hagámoslo desde las interfaces gratuitas y en castellano: MYIE2, CRAZY BROWSER o AVANT BROWSER.

Por supuesto, también negaremos las aplicaciones internas del windows que buscan conexión INNECESARIAMENTE (algo que difícilmente podrá el engendro del Windows XP que tan pretenciosamente los de M$ llaman cortafuegos interno, motivo de futuros quebraderos de cabeza de tantos usuarios confiados).

Aunque el NetBIOS (en la web amiga ENLACES DE SEGURIDAD hay un excelente artículo al respecto) ya no lo tengamos permitido en nuestra configuración del W2000 añadimos las reglas específicas como medida de precaución (da igual que sea redundante, no está de más, dada la peligrosidad inherente). El KERIO 4 distingue muy claramente entre la RED LOCAL e INTERNET.

Explicar el uso habitual del protocolo.

DNS, MAIL, WEB

Los usuarios del X Windows en LINUX deberán crear esa regla.

Como PC casero, deberemos NEGAR que podamos actuar como servidores de nombres, DNS.

Si no somos servidores de correo (THE BAT permite su uso como tal, pero no por defecto) deberemos actuar en consecuencia. Si queremos evitar que tomen el control del gestor podemos introducir un password -alfanumérico, mayúsculas y minúsculas, con caracteres especiales y más de 8 caracteres, se recomienda el uso de mnemotécnicos-. Y los correos debieran incorporar firma digital gracias al GNUPG-WinPT que se integra totalmente. Para firma digital y cifrado fuerte: AQUI. También deberíamos deshabilitar los scripts (ya hemos introducido las extensiones que los permiten en THE BAT!). Aconsejable echar un vistazo a Ataque ¿malintencionado?

Si no tenemos un servidor web, para qué permitirlo.

OTROS PUERTOS y SERVICIOS

Los primeros puertos hasta el 20 tampoco es aconsejable permitirlos. Unos cuantos puertos son utilizados desde LINUX, no así desde WINDOWS. Especificarlos.

ICMP

Aquí llegamos a la regla que limitará el mal uso que se le está dando a este protocolo, el ICMP (como al potente IRC, OJITO con su uso, y más si se ha de compartir ficheros, que hace muchísimo dejé de utilizar para comunicarme, y tan querido para la ingeniería social; tal vez la alternativa sea un servicio distribuido como FILETOPIA o HOT LINE que abordaremos próximamente).

En la regla antigua teníamos todos los modos ICMP (1-40) NEGADOS en los dos sentidos.

Son muy utilizados para los ataques de Denegación de Servicio, así que especificaremos al máximo. Se requerirá pruebas continuas para verificar su funcionamiento correcto en ADSL y CABLE de diferentes proveedores. Los usuarios de modem analógico lo tienen más fácil (en los tiempos que corren, tener una dirección IP dinámica es casi una bendición, curiosamente, para los usuarios que sólo quieran navegar y leer el correo y nada más, no para usuarios más avanzados).