Reglas para KERIO 2.1.5 - NIST

FILTROS / REGLAS: TOOLEAKY 

Del manual en inglés que ahora le acompaña:

"Kerio Personal Firewall is a small and easy to use system designed for protecting a personal computer against hacker attacks and data leaks. It is based on the ICSA certified technology used in the WinRoute firewall.

The firewall itself runs as a background service, using a special low-level driver loaded into the system kernel. This driver is placed at the lowest possible level above the network hardware drivers. Therefore, it has absolute control over all passing packets and is able to ensure complete protection of the system it is installed on."

Los filtros por defecto:

El KERIO lo hemos subido a DENY UNKNOWN. Se ha subido el nivel de seguridad, dado que teniendo desmarcado el CERROJO, el W2000 pudo actualizarse al último parche -SRP1- SIN AVISAR.

Desde el KERIO podemos ahora EXPORTAR e IMPORTAR reglas. 

Para evitar el TOOLEAKY y otras futuras vulnerabilidades basadas en lo mismo deberemos PRESCINDIR DEL INTERNET EXPLORER y restringir la regla del LOOPBACK. Si además utilizamos el antivirus NOD 1.*, el gestor de correo y su módulo POP3SCAN requerirán nuevas reglas.

Pero no prescindiremos del MOTOR DEL INTERNET EXPLORER. No, lo seguiremos utilizando pero con un INTERFAZ GRAFICO DIFERENTE, en este ejemplo el gratuito -y en español- CRAZY BROWSER, que nos da un look XP y sobre todo permite PESTAÑAS, como en el OPERA, con lo que la administración de las páginas visitadas se facilita enormemente, es decir que sólo estará abierto una vez el navegador. MYIE2 es el interfaz que recomendamos en el 2003.

Todos estos programitas se hacen pasar por la INTERFAZ GRAFICA del INTERNET EXPLORER por ahora, NO POR SU MOTOR. Deberemos abandonar su uso, así como del OUTLOOK, MESSENGER, cuentas de correo HOTMAIL y casi todo aquello que huela a M$, salvo sus S.O, en lo referente a las comunicaciones externas.

Cuando abre el IE -su interfaz-, al no tener su regla, nos preguntará, aunque ya esté creada la regla para el CRAZY BROWSER o cualquier otro interfaz gráfico del IE. Es decir, el MOTOR del  navegador podremos seguir utilizándolo, al menos por ahora.

Si queremos seguir filtrando publicidad y aumentar nuestra privacidad y seguridad, el LOOPBACK sigue siendo necesario para algunos programas como el WEBWASHER o el PROXOMITRON -no así con el AD-MUNCHER-. Más aún, éstos programas LEAKTEST intentan conexión directa, así que al utilizar el PROXY LOCAL podremos eludirlas.

Al tener el LOOPBACK en ANY APLICATION, el Windows Update lo utilizaba, sin que fuésemos avisados, así como el KaZaa 1.6, puestos que buscaban caminos alternativos, al serles negados los habituales.

Con el nivel de seguridad máxima (DENY UNKNOWN) y regla CERROJO activada, si se ponía el LOOPBACK al final de todas de las reglas, las comunicaciones se interrumpían, con lo que DEBEREMOS TENER ACTIVADO EL CERROJO, una vez hayan sido creadas las reglas habituales, independientemente del DENY UNKNOWN.

Mientras M$ no saque un parche que solucione el problema, las empresas cortafuegos irán poniendo parches temporales que inevitablemente serán superados por nuevas versiones de los LEAKTEST, por lo que mejor utilizar la configuración propuesta. Ha pasado un año y M$ no ha reaccionado. Siguen descubriéndose nuevas vulnerabilidades sobre el mismo tema y M$ no reacciona!!!

La regla del DNS, limitada al rango de puertos 1024 - 5000 propuesta en su día ha evitado la vulnerabilidad detectada en el KERIO 2.1.4 en el 2003. Más vale prever ataques futuros.

Mientras tanto, éstas son las reglas nuevas para las aplicaciones:

En MONOPUESTO con MODEM no necesitaremos el DHCP, así que la deshabilitaremos o eliminaremos (para CABLE mejor substituirla por las 2 reglas propuestas por DAEXMA). Mientras no esté habilitada, no actúa, y por tanto no carga de trabajo al motor del KERIO.

Si queremos navegar via FTP, se deberán crear las reglas necesarias para el navegador requerido, que además no utilizarán el LOOPBACK / LOCALHOST / BUCLE INTERNO  la dirección reservada 127.0.0.1.

Si el PROXOMITRON es utilizado para navegación anónima, la regla deberá ser substituida por otras dos.

Al utilizar el módulo POP3SCAN del antivirus NOD, el LOOPBACK para analizar el correo, deberemos crear una regla nueva para él y otra para THE BAT como hicimos con los navegadores citados.

Por supuesto, el MESSENGER deshabilitado por defecto o negado. El LOADQM.EXE mejor evitar su carga, pero en todo caso no está de más prohibirlo en los windows donde se instala ( a excepción del XP ). Sólo lo permitiremos cuando lo utilicemos (lo menos posible).

WINDOWS / TOTAL COMMANDER es una alternativa al EXPLORER muy útil para administrar nuestro sistema de ficheros, incluyendo internamente un cliente FTP muy práctico, y en castellano. El WINDOWS COMMANDER está instalado en otra partición. La regla fue creada manualmente.

FLASHGET 1.2 o superior, excelente gestor de descarga, ahora sin espías. El plugin para su integración con el OPERA hay que descargarlo aparte.

Hasta aquí todo es válido para RTB o ADSL.