Comprobadas, hasta la fecha, en las pruebas (como habréis podido observar, realizadas con la colaboración de DAEXMA, nuestro torturador oficial de pingüinos ;) tenemos varias reglas para el KERIO v2. Comentaré lo que se necesita para cada cosa y después las resumiremos aunando las que se puedan o nos interesen.
|
*por maty
Ya que disponemos de cortafuegos muy configurables, los utilizamos para acotar al máximo estos programas, tan peligrosos habitualmente. Pero, para protocolo inseguro, el potente IRC, donde los novatos caen fácilmente ante los lammers y demás fauna. El KERIO podría utilizarse como cualquier otro cortafuegos sencillo, permitiendo o negando, sin especificar puertos o protocolos. De ese modo, el uso es sencillísimo, siendo injusta su fama de complicado. La configuración avanzada es OPCIONAL, nadie está obligado a utilizarla. Pero si tenemos esa posibilidad, desde NAUTOPIA se ha de intentar que los nautópatas adquieran la mayor seguridad posible. |
SIN SIMP, el Mssger necesita los sgtes. permisos:
-
para validar password y comenzar: MSSGER TCP Out 443,1863 Remotos
-
para mandar ficheros: MSSGER TCP In Local 6891
-
para recibir ficheros: MSSGER TCP Out 6891 Remoto
Unificando, quedarían 2 reglas:
-
MSSGER TCP Out 443,1863,6891 Remotos
-
MSSGER TCP In Local 6891
CON SIMP es algo diferente. En la mejor configuración, acabaremos teniendo: 3+1+2=6 reglas.
-
para conectarse SIMP: aplicación SIMP TCP Out 1863 Remoto
-
Para validar password el Mssger: aplicación Mssger TCP Out 443 remoto
-
para enviar fichero: aplicación SIMP TCP Out 6891 remoto y TCP In 6900 Local
-
para recibir fichero: aplicación SIMP TCP Out 6900 Remoto
Unificando los dos reglas TCP Out, nos queda: SIMP TCP Out 6891,6900 Remotos; si además le añadimos a ésta la primera del SIMP nos quedan en total sólo 3 reglas:
-
SIMP TCP Out 1863,6891,6900 Remotos
-
SIMP TCP In Local 6900
-
MSSGER TCP Out 443 Remoto
Si no váis a transferir ficheros, podéis reducir aun más las reglas (suprimir las de enviar/recibir).
Fijaos que aunque SIMP no cifra ficheros, éstos pasan de forma transparente por su proxy.
Los mensajes vocales por el contrario, van por libre; hemos intentado restringirle la regla pero no ha sido posible (numerosos rangos diferentes y distantes).
Así que tendríamos una cuarta regla de permiso, para mensajes VOCALES:
MSSGER UDP Both Any ports
... lo mejor será tenerla creada, pero desmarcada. Si en algún momento vamos a emplear esta opción, entramos en Kerio, la activamos y estaréis listos para deleitaros las orejas ;^)
Nota: en todas las reglas, mejor si especificamos la ruta completa hasta el ejecutable final (que en estos casos serían ...\msn messenger\msnmsgr.exe y ...\secway\simp\simplite-msn.exe).
Si no tenéis la regla del Loopback genérico (esa regla es un posible coladero), porque hayáis preferido ponerlo por aplicaciones o bien por usar la beta del Kerio 3 -que no lo lleva-, deberéis añadir estas otras reglas (DAEXMA dixit):
Messenger:
Protocolo: UDP
Direction: Out
Remote port: Any
Local port: Any
Remote Address: 127.0.0.1
Messenger (para comunicarlo con el SIMP, si no se cambia la configuración).
Protocolo: TCP
Direction: Out
Remote Port: 11863
Local Port: Any
Remote Address: 127.0.0.1
El puerto 11863 se encarga el SIMP de configurarlo automáticamente en el Mssger. Podréis verlo en el propio Mssger: "Herramientas > Opciones > pestaña Conexión".
A su vez, el SIMP puede utilizarse a través de otro proxy. Lo tenéis en SIMP: "File > Configure > pestaña Connections"
Pero en principio parece destinado a sus peticiones para el puerto 80 (en principio, parece ser que es para el tema de aviso de actualizaciones; si no se le concede no pasa nada). Por ejemplo, el PROXOMITRON. Mejor que las búsquedas de las actualizaciones sea manual, como en el KERIO, WINDOWS UPDATE, ...
Bueno, eso es todo.
Si os ponéis con ello, veréis que es mucho más fácil hacerlo que leer tooodo este artículo :P
Si os surge cualquier duda o problema, ya sabéis que tenemos el foro a mano.
A cifrar se ha dicho ;^)
