06/09/13

Firewalls

INICIO / NOVEDADES

SECCIONES

COMPLEMENTOS

ACERCA DEL WEB

Bsqueda
En Internet Volve r al Web de Duiops Portada - Fire walls En duiops.net

Contenidos
Hacking, cracking y otras definiciones Seguridad de sistemas

Firewalls
[ Atrs ] [ Siguiente ] Google Engage
O fre ce AdW ords a sus clie nte s? R e gste se y m e jore su propue sta. www.e ngage forage ncie s.com

Qu se necesita para ser un hacker? Firewalls Virus y A ntivirus Troyanos y A ntitroyanos Spyware

Qu es un firewall?
Un firewall es un programa o hardware diseado para bloquear las conexiones no deseadas a travs de una red (por ejemplo Internet) mientras que permite las conexiones autorizadas.

Servicios IP y conexiones de red Hacking Estndares de la red Web

Qu firewalls hay disponibles?

Para sistemas operativos MS Windows hay varias alternativas, dos de las ms comunes son: ConSeal PC Firewall - es un programa comercial, puede adquirirse en www.signal9.com ZoneAlarm - es un programa (freeware para uso personal, shareware para otros usos) que puede bajarse de la pgina oficial: www.zonelabs.com eSafeDesktop - programa gratuito para uso personal, en espaol, incluye firewall, proxy, gestin de usuarios & polticas y antivirus ( www.esafe.com ). Es importante destacar que el programa de firewall en si carece de utilidad si no tiene reglas de firewalling que aplicar. Los programas suelen venir con un juego de reglas que, sin ser de lo mejor, es mejor que nada. Para sistemas Linux el mecanismo de firewalling viene incluido en el kernel, y es necesario configurarlo u obtener reglas de firewalling ya hechas desde Intenet. Los mecanismos de configuracin han variado con las diferentes versiones del kernel, y son los siguientes (en cada nuevo kernel se mantuvo compatibilidad con los mecanismos de las versiones anteriores): kernels 2.0.x - ipfwadm (IP Firewall Admin) kernels 2.2.x - ipchains (IP Chains) kernels 2.4.x - iptables (Net Filter o IP Tables) Pueden obtenerse reglas prefabricadas de firewalling para Linux del proyecto Trinux, as como del Trinity OS. Ambos proyectos pueden buscarse en Freshmeat ( www.freshmeat.net ). Para los nuevos kernels 2.4.x el sistema de firewalling es completamente distinto que para los anteriores. Ahora, es un sistema 'statefull', mientras que antes era sin estado. Esto, resumiendo, significa que, mientras los sin estado analizan cada paquete independientemente, lo que permite colar paquetes si engaas al servidor asindole creer que pertenecen a conexiones en puertos abiertos (esto lo hace nmap, por ejemplo), mientras que los statefull analizan cada paquete sabiendo a qu conexin pertenecen, por lo que este tipo de engao ya no es posible. iptables no es directamente compatible con ipchains, pero la conversin de ipchains a iptables no es difcil. Por otra parte los kernels 2.4.x tienen un mdulo para soporte de ipchains que puede activarse durante la compilacin, con el fin de seguir utilizando los scripts de firewalling creados con ipchains.

Correo Electrnico Grupos de noticias Passwords Criptografa y Esteganografa Norton Ghost A rquitecturas y sistemas operativos Referencias en Internet

Artculos
Soy un hacker. Mi presentacin Vocabulario 1.0 Hacker vs. Cracker Vocabulario 2.0 Troyanos Parties Ordenadores en el cine

Apntate a la lista de corre o de l W e b de Duiops

Tu e@mail
Darme de alta

Cmo arranco mi firewall al iniciar el sistema?

En sistemas MS Windows crea un acceso directo al firewall en la carpeta Inicio del Men de Inicio de Windows, dentro de la carpeta Programas. En sistemas Linux puedes arrancar el script de firewalling desde el /etc/rc.d/rc.local, o bien crearle su propio link de arranque en la jerarqua /etc/rc.d/rcX.d adecuada (X indica el nivel de ejecucin). El nivel de ejecucin por defecto viene indicado en el archivo /etc/inittab, en la lnea donde pone 'initdefault', y suele ser 2, 3 5. En caso de utilizar una conexin telefnica el firewall no debe iniciarse con el sistema, sino con la conexin a Internet. Para ello, se debe colocar el script en el directorio /etc/ppp/ip-up/ En los casos de conexin continua, como ser ADSL y cablemdem, debe activarse el firewall con el inicio del sistema.

Cmo configuro mi firewall si no s nada de redes?

www.duiops.net/hacking/firewalls.htm 1/3

06/09/13

Cmo configuro mi firewall si no s nada de redes?

Firewalls

Para aquellos que no entienden de redes, una posible estrategia, de mxima seguridad, para configurar un firewall puede ser permitir slo lo que quieres. Ir abriendo aplicaciones una a una, ver qu servicios, protocolos y puertos necesitan cada una de ellas y permitirlas. Para que este mtodo sea eficaz, es necesario estar seguro de que todo el flujo de informacin hacia el exterior es legtimo, es decir, que tienes el sistema limpio de troyanos y de spyware. Puedes usar programas shareware The Cleaner ( www.moosoft.com ) y freeware como el Ad-aware ( www.lavasoft.de ). Windows: Tomando como ejemplo el Zone Alarm

a. En el panel "Security" colocas el nivel de seguridad en Internet en high de tal manera que solo circule lo permitido y
que avise de todo.

b. En el panel "Alerts" activa las dos casillas "Log alerts to a text file" y "Show the alert popup window" para que te de
informacin sobre su actividad y la grabe en un archivo log. Con el botn Log properties --> Log file --> elige con qu periodicidad quieres que refresque el archivo log. Zone Alarm hace copia de seguridad de los log's anteriores con el nombre zalogaaaa.mm.dd.txt.

c. En el panel "Lock" activa "Show alert when Internet access is denied" d. En el panel "Programs" --> advanced --> pestaa "Alerts and funcionality" --> activa el botn "show alerts when
Internet access is denied ", activa "deny access if permission is ...."

e. En el panel "Programs" --> advanced --> pestaa "Access Permission" --> activa "Always ask for permission",
desactiva "Identify program by full path name only", desactiva "Allow the program to pass through the lock"

f. Te conectas a Internet y arranca una a una las diferentes aplicaciones que utilices. Cuando el firewall te muestre la
alarma y peticin, activa la casilla "Remember ..." y permite el acceso. Desconecta.

g. Activa el panel "Programs" y tendrs all todas las aplicaciones que has lanzado. Para cada una de ellas pulsa
"Options" y: Asegrate de que est desactivado "Identify program by full path name only" --> Ports --> activa "Allow access ONLY for ...". Ahora permites el acceso a los puertos que quieras: Add --> y eliges el tipo de servicio (Web, FTP, Mail, News, etc). Si pulsas "Custom" puedes elegir el protocolo (TCP o UDP) y el puerto. A cada aplicacin adele UDP port 53. En la pestaa "access permission" activa "Always allow access" para que no te pregunte por las comunicacione permitidas. Ejemplos de servicios, protocolos y puertos permitidos a algunos programas: Gestor de news, por ejemplo Agent: News server (TCP 119 ), UDP 53, SMTP TCP 25. Gestor de descargas, GetRight: FTP (TCP 21), UDP 53, TCP 80 Navegador, por ejemplo Netscape: Webs server TCP 80, 8080, 8000, UDP 53, pginas seguras SSL (TCP 443), FTP (TCP 21) Gestor de correo, por ejemplo Netscape Messenger: Mail SMTP (TCP 25), Mail POP (TCP 110), UDP 53 Internet Explorer: Webs server TCP 80,8080, 8000, UDP 53 Faltan muchos servicios importantes, as como el filtrado de paquetes ICMP (entre ellos el ping), pero alcanza para brindar una idea somera sobre el mtodo de configuracin. Linux: Existe un programa de Solsoft bastante interesante, con el que se puede configurar no solo firewalls de todo tipo (ipchains, ip-tables, etc), si no tambin las ACL de routers y switches. En realidad puede ser un poco complicado de usar al principio, pero es una herramienta bastante potente. Adems, la versin para Linux (NP Lite 4.1) es gratis. Se puede bajar de www.solsoft.com/products/net_partitioner.html

Cmo puedo probar mi firewall para saber si es seguro?

Lo ideal es hacer un escaneo de puertos desde otro ordenador. En el caso de estar probando la seguridad de un ordenador conectado a Internet lo ideal es hacer el escaneo desde otro ordenador conectado a Internet (no desde la LAN interna). Herramientas que ayudan en el escaneo son nmap (la versin de Linux puede encontrarse en www.insecure.org/nmap, la de Windows NT en www.eeye.com/html/Databases/Software/nmapnt.html, SAINT ( www.wwdsi.com/saint/ ) y Nessus ( www.nessus.org ) entre otras. Alternativamente, si no se dispone de ninguna de estas herramientas, existen sites en Internet que permiten realizar el escaneo desde los mismos. Estos son algunos de ellos: www.secure-me.net/scan https://grc.com/x/ne.dll?bh0bkyd2 http://scan.sygatetech.com/

Mi firewall da una alarma. Se han metido en mi ordenador?

www.duiops.net/hacking/firewalls.htm 2/3

06/09/13

Firewalls

Ante todo no hay que dejarse llevar por el pnico. Cuando el cortafuegos avisa que estamos siendo "atacados" no significa que nos hayan metido un troyano (BO, Sub7 y compaa) ni mucho menos que alguien se haya introducido en nuestro sistema. Ese aviso significa simplemente que el presunto ataque a sido bloqueado con xito, ya que si dicho ataque hubiese tenido xito, el cortafuegos no dira ni mu.

Pero es que me estn escaneando los puertos continuamente. Para qu lo hacen?

Normalmente esos escaneos sirven para saber que "puertas" estn abiertas para poder introducirse por ellas en nuestro sistema. Tambien son usados para buscar troyanos a la escucha que esten instalados en nuestro ordenador.

Entonces me estn atacando?

Ante todo hay que dejar bien claro que no todos los "ataques" de los que nos avisa el cortafuegos lo son en realidad. Existen servicios y programas que pueden hacer saltar la alarma. Algunos de los ejemplos ms conocidos son los programas de Microsoft, Word, Visual C++, etc. Todos estos programas intentan crear una conexin con los servidores del to Bill (y solo los dioses y Gates saben por qu). Tambin los servicios tipo "messenger" (MS, Yahoo, AOL, etc.), clientes de ICQ/IRC, chequeos de actividad por parte del ISP e incluso el chequeo del buzn de correo electrnico suelen provocar la alarma, dependiendo de que firewall se utilice y de las reglas que hayan sido creadas y/o (des)activadas. Cualquier programa o servicio para el que no se haya creado una regla especfica, provocar un aviso de ataque tipo BO, Sub7, Netbus, etc. dependiendo del puerto que intente usar dicho programa o servicio.

Cmo s si la alarma es debida a un ataque o no?

Existen varios factores a tener en cuenta:

a. Los escaneos proceden siempre de la misma IP o de la misma "subred". b. Con "netstat" nos es posible averiguar: qu conexiones o servicios tenemos abiertos, qu puertos son utilizados por
estos y cuales son las direcciones IP de dichas conexiones. Como alternativa se puede usar el programa para Windows "TCPView" ( http://www.sysinternals.com/ntw2k/utilities.shtml ). Estas informaciones nos ayudarn a determinar si estamos siendo atacados.

c. El nombre del host y el puerto utilizado dicen bastante a la hora de descartar posibilidades para determinar si se
trata de un ataque o de algo ms inofensivo. Pongamos un par de ejemplos: msgr-ns16.msgr.hotmail.com En este caso est claro que nuestro Messenger intenta chequear nuestro correo en Hotmail.com. pepito-dialup-7.nuestro-isp.es pepito-dialin-7.nuestro-isp.es Aqu existe un chequeo de actividad en la conexin por parte de nuestro proveedor para mantenerla en el caso de haber actividad o cortarla.

Se ha confirmado mi sospecha y es un ataque. Qu hago?

Si el ataque procede de la misma IP resp. subred y adems es constante, la forma mas elegante y menos complicada de acabar con dicho ataque es la siguiente: En www.ripe.net o www.nic.com se puede averiguar (usando "whois")a quien pertenece esa IP. Normalmente ser un ISP. Entre toda la informacin que obtenemos, se encuentra una direccin de e-mail para contactar con el ISP. Se le enva un mensaje explicndole la situacin. Recomendable seria tambin enviarles una copia del log de la FW, donde este reflejado cuando y con que frecuencia a tenido lugar dicho ataque. Despus se encargara el ISP de llamar al orden a nuestro "aspirante a hacker".
Extrado de es.comp.hackers

[ Atrs ] [ Siguiente ]

>>> Volve r a la portada de underground & seguridad

1997-2009 Duiops ( http://www.duiops.net ) Prohibida la re produccin parcial o total de los te x tos o las im ge ne s Para com e ntarios, usa las direcciones e-mail de contacto

www.duiops.net/hacking/firewalls.htm

3/3