Integrantes:
HUASASQUICHE QUEVEDO, PAULO
ODAR JAUREGUI, ARNOLD
RAMOS GONZALES, RICHARD
VEREAU AGUILERA, LUIS.
Docente:
PEREZ QUIROZ, ALEJANDRO HUGO
Materia:
SISTEMAS OPERATIVOS
Ao:
2015
SELINUX
1. Introduccin
Security-Enhanced Linux (SELinux) es un mdulo de seguridad para el kernel Linux. Es un mecanismo de
control de acceso mandatorio (CMD), implementado en el kernel Linux. Fue introducido por primera vez
en CentOS 4 y desde entonces ha presentado mejoras significativas. Estas mejoras hacen que el
contenido vare en la forma cmo SELinux utiliza los tiempos para resolver problemas.
Los administradores no tienen forma de controlar usuarios: Un usuario podra establecer permisos
globales legibles en archivos confidenciales, como claves ssh y en directorios que contengan estas
claves, generalmente: ~/.ssh/
Los procesos pueden cambiar las propiedades de seguridad: Los archivos de correo de usuario
deben ser legibles solo por dicho usuario, pero el software cliente de correos tiene la habilidad de
cambiarlos para que sean legibles globalmente.
Procesos heredan derechos de usuario: Firefox, si se ve comprometido por un troyano, podra lees
las claves ssh privadas de los usuarios, incluso si no tuviera razn para hacerlo.
Esencialmente, bajo el modelo DAC tradicional, hay 2 niveles de privilegios, root y usuario, y no hay
manera fcil de hacer cumplir un modelo de privilegios mnimos. Muchos procesos iniciados por root
luego ceden sus derechos para ejecutarse como usuario restringido y algunos procesos pueden
ejecutarse en una crcel chroot (seccin de archivos que va a utilizar un usuario en particular), excepto
aquellos que tengas mtodos de seguridad discrecional.
1.2. La Solucin
SELinux sigue el modelo de privilegios mnimos de forma estricta. Por defecto, bajo una configuracin
enforcing estricta, todo es denegado y luego una serie de polticas de excepcin son escritas para dar a
cada elemento del Sistema (un servicio, programa o usuario)
funcionamiento. Si un servicio, programa o usuario, intenta acceder o modificar un archivo o recurso que
no sea necesario para su funcin, entonces el acceso es denegado y la accin es registrada.
Debido a que SELinux es implementado dentro del kernel, las aplicaciones no necesitan ser escritas
especialmente o modificadas para trabajar bajo SELinux aunque, por supuesto, si es escrita para
observar los cdigos de error que SELinux retorne, podra funcionar mejor. Si SELinux bloquea una
accin, esta es reportada a la aplicacin subyacente como un error de tipo acceso denegado a la
aplicacin. Muchas aplicaciones, sin embargo, no prueban todos los cdigos de retorno en las llamadas
de Sistema y podran no retornar mensajes explicando el problema, o podran retornarlo de forma
engaosa.
Tenga en cuenta, sin embargo, que los ejemplos hipotticos planteados para proporcionar una mayor
seguridad posible de:
o
restringir esos programas autorizados a un conjunto limitado de programas, con permisos de lectura
del directorio ~/.ssh/ de un usuario.
2. SELinux Modes
SELinux posee 3 modos bsicos de operacin, de los cuales, el modo Enforcing se establece como
predeterminado al momento de la instalacin. Existe, sin embargo, un calificador adicional especfico o
mls que controla la profundidad de las reglas SELinux, que se estn siendo direccionadas al nivel menos
estricto.
o
Enforcing: El modo por defecto, que habilita y hace cumplir las politicas de seguridad SELinux en el
sistema, negando las acciones de acceso y registro.
Permissive: En modo permisivo, SELinux se encuentra activo pero no forzar las polticas de
seguridad. En su lugar, solo mostrar advertencias y registrar acciones realizadas. Este modo es til
para soluciones de problemas en el SELinux.
El modo en que se encuentra SELinux se puede ver y modificar usando la herramienta de Interfaz Grfica
SELinux Management, disponible en el Men de Administracin, o desde lnea de comandos ejecutando
system-config-selinux (La interfaz grfica SELinux Management no se encuentra instalada por defecto).
Los usuarios que prefieran usar la lnea de comandos, pueden usar el comando sestatus para visualizar
el estado actual de SELinux:
# sestatus
SELinux status:
enabled
SELinuxfs mount:
/selinux
Current mode:
enforcing
enforcing
Policy version:
21
targeted
El
comando
'setenforce'
puede
utilizarse
para
cambiar
entre
los
modos Enforcing and Permissive temporalmente, pues una vez reiniciado el sistema se retornar a los
valores por defecto.
Para que los cambios sean permanentes sin importar si el sistema se reinicie, se debe editar la lnea
SELINUX en: /etc/selinux/config ya sea para enforcing, permissive, o disabled. Por ejemplo:
'SELINUX=permissive'
3. SELinux Policy
Como se ha sealado, SELinux sigue el modelo de privilegios mnimos; de forma predeterminada todo se
negado y luego se escribe una poltica que le da a cada elemento del sistema, slo el acceso necesario
para funcionar. Esta descripcin describe mejor la estricta poltica. Sin embargo, es difcil escribir una
poltica que encaje en el amplio rango de circunstancias que un producto como Enterprise Linux es
probable que se utilicen. El resultado final es que, es probable que SELinux cause problemas a los
administradores de sistemas y usuarios finales; por lo que en lugar de resolver estos problemas, los
administradores del sistema pueden simplemente desactivar SELinux evitando as las protecciones
incorporadas.
Por diseo, SELinux permite que las diferentes polticas escritas sean intercambiables. La poltica por
defecto en CentOS es la poltica especfica en la que que "objetivos" y confines seleccionan los procesos
del sistema. En CentOS 4 slo existan 15 objetivos definidos (incluyendo httpd, dhcpd, mysqld). Ms
tarde, en CentOS 5 este nmero haba aumentado a ms de 200 destinos.
Todos los otros procesos del sistema y todos los programas restantes del mbito de usuarios, as como
las aplicaciones propias, es decir todo lo dems en el sistema, se ejecutan en un dominio no confinado y
no est cubierto por el modelo de proteccin de SELinux.
Uno de los objetivos podra ser para todos los procesos que se encuentran instalados y que, por defecto,
se ejecuten durante el arranque deban ejecutarse en un dominio confinado. Esta poltica dirigida est
diseada para proteger el mayor nmero de procesos clave como sea posible sin afectar negativamente a
la experiencia del usuario final y la mayora de los usuarios deben ser totalmente conscientes de que
SELinux est an en funcionamiento.
Tipo de Aplicacin (TE): Tipo de Aplicacin es el principal mecanismo de control de acceso utilizado
en la poltica especfica.
Role-Based Access Control (RBAC): Basada en los usuarios de SELinux (no necesariamente el
mismo que el usuario de Linux), pero no se utilizada en la poltica especfica por defecto.
Adems de los permisos de archivos estndar y propietarios, podemos ver los campos de contexto de
seguridad de SELinux: system_u: object_r: httpd_sys_content_t.
Un error en la poltica. Una aplicacin requiere acceso a un archivo que no se haba previsto cuando
se redact la poltica y genera un error.
Un intento de intrusin.
Para solucionar cualquier problema, los archivos de registro son fundamentales y SELinux no es
diferente. Por defecto los mensajes de registro de SELinux se registran en /var/log/audit/audit.log travs
del Sistema de Auditora Linux auditd , que se inicia de forma predeterminada. Si el auditd daemon no
se est ejecutando, los mensajes se escriben en/ var / log / messages . Mensajes de registro de
SELinux estn etiquetados con la palabra clave "AVC" para que puedan ser fcilmente filtrados de otros
mensajes, como con grep.
Comenzando con CentOS 5 la herramienta de solucin de problemas de SELinux se puede utilizar para
ayudar a analizar los archivos de registro convirtindolos en un formato ms legible. La herramienta
consiste en una herramienta de interfaz grfica de usuario para la visualizacin de los mensajes en
formato y soluciones posibles legibles, una notificacin en el escritorio el icono de alerta de nuevos temas
y un proceso de daemon, setroubleshootd , que comprueba nuevas alertas SELinux AVC y alimenta
el icono de notificacin.Notificaciones de correo electrnico tambin se pueden configurar, como para los
que no se est ejecutando un servidor X. La herramienta de solucin de problemas SELinux es
proporcionada por el setroubleshoot paquete. La herramienta puede ser lanzado desde el men del
sistema gestor de ventanas X GUI o desde la lnea de comandos:
sealert -b
Igualmente podramos haber establecido tanto de una sola vez con el interruptor recursiva -R:
# Chcon -Rv --type = httpd_sys_content_t /html
La modificacin de contextos de seguridad de esta manera se mantendrn sobre el reinicio del sistema,
pero slo hasta que la parte modificada del sistema de archivos es reetiquetado. Esta es una operacin
bastante comn y la solucin adecuada, despus de las pruebas, es escribir una regla personalizada
local (un Mdulo de Polticas llamada) y fusionar en las reglas locales de base. Esta ser una regla
adicional en la parte superior de las reglas 200+ mencionados anteriormente. Para hacer que el contexto
de seguridad cambia permanente, incluso a travs de un reetiquetado del sistema de archivos completo,
podemos usar la herramienta de gestin de SELinux o el comando 'semanage' desde la lnea de
comandos:
semanage fcontext -a -t httpd_sys_content_t "/html(/.*)?"
aadir un contexto de archivo de tipo httpd_sys_content_t para todo bajo / html.
El comando 'restorecon' se puede utilizar para restaurar el contexto de SELinux de un archivo (s).
/# Restorecon -v /var/www/html/index.html
o para restaurar de forma recursiva los contextos de seguridad predeterminada para todo el directorio:
# Restorecon -Rv /var/www/html
Adems, si simplemente pretendemos profundizar en los contextos de seguridad del directorio / var / www
/ html para ver si todos los archivos necesarios a sus contextos de seguridad restaurados, podemos
utilizar restorecon con la opcin -n para evitar cualquier reetiquetado que ocurre:
# Restorecon -Rv -n /var/www/html
servidor de correo SMTP. Nuestro servidor SMTP necesita comunicarse con postgrey sobre un socket de
Unix y que es algo que la poltica de SELinux por defecto para nuestro servidor smtp no permite. En
consecuencia, el servicio est bloqueado por SELinux. Este es un tema que no puede ser fijado por el
cambio o la restauracin de contextos de seguridad de tipo de archivo y no es algo que tiene un valor
booleano que podemos cambiar para permitir. Podramos desactivar la proteccin de SELinux del
servidor SMTP a travs de un booleano, que sera mejor que deshabilitar SELinux completamente, pero
que an est lejos de ser ideal.
Si cambiamos de SELinux en modo permisivo y corremos nuestro servidor de correo por un perodo
determinado de tiempo, podemos registrar problemas de SELinux, mientras que todava permite el
acceso. Comprobacin de nuestros registros, vemos los siguientes mensajes de SELinux AVC:
type = AVC msg = audit (1218128130.653: 334): avc: {negado ConnectTo} para pid
= 9111 comm = ruta "smtpd" = "/ var / spool / postfix / postgrey / enchufe"
scontext = system_u: system_r: postfix_smtpd_t: s0 tcontext = system_u:
system_r: initrc_t: s0 tclass = unix_stream_socket
type = AVC msg = audit (1218128130.653: 334): avc: negado {} para escribir pid
= 9111 comm = "smtpd" name = "socket" dev = sda6 ino = 39977017
scontext = system_u: system_r: postfix_smtpd_t: s0 tcontext = system_u:
object_r: postfix_spool_t: s0 tclass = sock_file
Entonces podemos usar 'audit2allow' para generar un conjunto de reglas de poltica que permitan las
acciones requeridas. Podemos generar un archivo de poltica Ejecucin Tipo postgrey local
(postgreylocal.te):
#
Grep
smtpd_t
/var/log/audit/audit.log
postgreylocal.te
# Cat postgreylocal.te
mdulo postgreylocal 1,0;
require {
write postfix_smtpd_t;
write postfix_spool_t;
write initrc_t;
write class sock_file;
ConnectTo clase unix_stream_socket;
audit2allow
-m
postgreylocal>
}
# ============= Postfix_smtpd_t ==============
permitir initrc_t postfix_smtpd_t: ConnectTo unix_stream_socket;
permitir postfix_spool_t postfix_smtpd_t: escritura sock_file;
Arriba vemos que podemos grep el archivo audit.log para las cuestiones relativas a nuestro servidor smtp
y el tubo de esas cuestiones que audit2allow que genera un conjunto de reglas que se cree que permitira
las acciones actualmente negados por la poltica de SELinux. La revisin de estas reglas que vemos
nuestro servidor smtp quiere conectarse y escribir a un socket Unix que vemos en los registros de salida
es el socket de Unix que el servicio postgrey est escuchando. Como esto parece perfectamente
razonable, podemos seguir adelante y utilizar audit2allow para hacer un mdulo de directiva
personalizada para permitir que estas acciones:
# Grep smtpd_t /var/log/audit/audit.log | audit2allow -M postgreylocal
Luego cargamos nuestro mdulo poltica postgrey con el comando 'semodule' en la actual poltica de
SELinux:
postgreylocal.pp -i semodule
que
se
sumarn
nuestro
mdulo
poltica
postgrey
# Cat postfixlocal.te
module postfixlocal 1,0;
require {
write httpd_log_t;
write postfix_postdrop_t;
getattr clase dir;
write de clase {read getattr};
}
# ============= Postfix_postdrop_t ==============
let httpd_log_t postfix_postdrop_t: archivo getattr;
Esperemos que la primera cosa que nos golpea aqu es por qu postdrop necesita acceso a / var / log /
httpd / error_log? Es de suponer que esto no es algo que esperaramos as que tenemos que evaluar si
se trata de una accin que deseamos permitir o no. Tenemos un nmero de opciones. Podramos
simplemente ignorar el error y permitir SELinux para continuar el bloqueo y el registro de los intentos de
acceso o podramos permitir que la accin mediante la creacin del mdulo de directiva personalizada
como sugiere audit2allow.Como alternativa podemos editar el archivo de mdulo .te poltica personalizada
para prevenir la auditora de este error particular, mientras que todava permite SELinux para continuar
impidiendo el acceso. Hacemos esto editando el permitir que la lnea, cambindolo a dontaudit :
# ============= Postfix_postdrop_t ==============
dontaudit postfix_postdrop_t httpd_log_t: archivo getattr;
Ahora podemos compilar manualmente y cargar el mdulo de directiva personalizada editado:
# Checkmodule -M -m -o postfixlocal.mod postfixlocal.te
# Semodule_package -o postfixlocal.pp -m postfixlocal.mod
# Semodule -i postfixlocal.pp
El acceso a / var / log / httpd / error_log por postdrop seguir siendo impedido por SELinux pero no vamos
a recibir alertas constantes y mensajes de error que llenan nuestra archivos de registro cada momento el
acceso est bloqueado.
8. Resumen
Este artculo pretende dar una visin general del trabajo con SELinux para los nuevos usuarios de
SELinux. SELinux est instalado y habilitado por defecto, y para la mayora de los usuarios que
funcionar sin problema proporcionando un mayor nivel de seguridad. SELinux es conveniente para todas
las clases de la instalacin, incluyendo servidores, estaciones de trabajo, computadoras de escritorio y
porttiles.
Aunque SELinux puede parecer bastante desalentador y complejo para los usuarios que no estn
familiarizados con ella, eso no es motivo para desactivarlo en la instalacin. Si hace SELinux cuestiones
presentes, entonces es fcil de cambiar al modo permisivo en el que cuestiones puntuales solamente se
registran y no obstruidas. Cuando los problemas surgen las tcnicas presentadas en este artculo se
puede utilizar para solucionar problemas y resolverlos.
Qu es IpTables?
IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente
a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un
firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer
por un error de programacin (esto es una pequea mentira, ha tenido alguna vulnerabilidad que
permite DoS, pero nunca tendr tanto peligro como las aplicaciones que escuchan en
determinado puerto TCP): iptables est integrado con el kernel, es parte del sistema operativo.
Cmo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el
comando iptables, con el que aadimos, borramos, o creamos reglas. Por ello un firewall de
iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.
Los principales comandos de IPtables son los siguientes (argumentos de una orden):
-P policy explica al kernel qu hacer con los paquetes que no coincidan con ninguna
regla.
Condiciones TCP/UDP
Existen muchas ms condiciones para una configuracin avanzada del firewall, pero las
elementales ya las tenemos listadas.
Con esto nos quedaremos sin internet, por lo que a continuacin debemos empezar a crear
reglas permisivas.
Para aplicar una regla que filtre un determinado puerto, debemos ejecutar:
iptables -A INPUT -p tcp sport 22 22 crea una regla para el puerto de origen tcp 2222
Una vez ejecutadas las reglas que queramos aplicar, debemos guardarlas tecleando sudo
service
iptables save
iptables -L -n -v
El parmetro L muestra las lneas abiertas. V permite recibir ms informacin sobre las
conexiones y N nos devuelve las direcciones IP y sus correspondientes puertos sin pasar por un
servidor DNS.
iptables F
-i: debemos configurar la interfaz, por ejemplo, eth0. Esto es til en caso de tener varias
tarjetas de red, si tenemos slo una, no tenemos por qu especificar este parmetro.
-p: protocolo. Debemos especificar si el protocolo ser TCP o UDP.
dport: el puerto que queremos permitir, por ejemplo, en caso de HTTP sera el 80.
-o: debemos configurar la interfaz, por ejemplo, eth0, al igual que en el caso anterior.
-p: protocolo. Debemos especificar si el protocolo ser TCP o UDP.
sport: el puerto que queremos permitir, por ejemplo, en caso de HTTPS sera el 443.
iptables -A INPUT -p tcp dport 80 -m limit limit 25/minute limit-burst 100 -j ACCEPT
iptables -N LOGGING
Ejemplos prcticos:
Cmo bloquear las conexiones entrantes por el puerto 1234:
Ahora ejecutamos el firewall tecleando sudo ufw enable. Para parar el firewall, teclearemos
sudo ufw disable, y para reiniciarlo, primero lo pararemos y a continuacin lo volveremos a
arrancar con los comandos especificados.
Una vez tengamos el firewall funcionando, ya podemos comenzar a establecer reglas en su
funcionamiento. Para aplicar una regla que permita por defecto todo el trfico, tecleamos:
Ejemplo:
sudo ufw allow 1234/tcp (permite las conexiones del puerto 1234 en tcp)
sudo ufw deny 4321/udp (bloquea las conexiones del puerto 4321 en udp)
Para aadir una regla por puerto igual que hemos especificado desde terminal, seleccionamos si
queremos permitir (allow) o bloquear (deny), si queremos que se filtre el trfico entrante o
saliente, el protocolo, ya sea tcp o udp y el puerto a filtrar.
Las posibilidades de iptables son prcticamente infinitas, y la dificultad de configuracin aumenta
exponencialmente segn sean de complejas las configuraciones que queremos realizar. Desde
RedesZone esperamos que con este pequeo tutorial podis configurar vuestro firewall iptables
a nivel bsico de forma sencilla.
1. Qu es un firewall?
Un servidor de seguridad es una pieza de software o dispositivo de hardware que se utiliza para
proteger una red y los nodos conectados a esa red de externo (as como internas) amenazas.
Funciona inspeccionando los paquetes entrantes y comparndolos con un conjunto de reglas. Si las
reglas permiten el paquete, el firewall pasa el paquete al protocolo TCP/IP para su procesamiento
adicional. Si las reglas no permiten el paquete, el firewall descarta el paquete y, si est habilitado el
registro, crea una entrada en el archivo de registro del firewall.
La lista de trfico permitido se rellena de una de las maneras siguientes:
Cuando el equipo que tiene el firewall habilitado inicia la comunicacin, el firewall crea una
entrada en la lista para que se permita la respuesta. La respuesta de entrada se considera
trfico solicitado y no es necesario configurarla.
Elegir una estrategia del firewall es ms complejo que decidir simplemente si un puerto determinado
debe estar abierto o cerrado. Al disear una estrategia de firewall para la empresa, asegrese
considerar todas las reglas y opciones de configuracin disponibles.
4. Novedades para el Firewall de Windows en Windows Server 2012 y Windows Server 2012 R2
Windows Server 2012 y Windows Server 2012 R2, al tiempo que ofrece una experiencia de Firewall
de Windows muy similar a versiones anteriores, ha mejorado de las siguientes maneras:
1. Windows Store aislamiento de la red de aplicaciones - Anteriormente, se poda solamente
hacer cumplir las normas de seguridad basados en programas o puertos. Con Windows
Server 2012 y Windows Server 2012 R2, ahora se puede configurar reglas de seguridad para
aislar aplicaciones de Windows Store. Por ejemplo, si desea slo para permitir que una
aplicacin de Windows para acceder a la red local y se conecta a Internet, esto es ahora
posible.
2. Los cmdlets de PowerShell - Con nuevas, amplias cmdlets, ahora puede configurar por
completo su poltica de Firewall desde el entorno de Windows PowerShell. Gestin remota de
reglas de cortafuegos tambin es posible ahora con Windows Remote Management (WinRM)
que est habilitado en Windows Server 2012 de forma predeterminada.
3. Internet Key Exchange versin 2 (IKEv2) para el modo de transporte IPsec - apoyo IKEv2
se ha mejorado y ahora soporta caractersticas tales como conexiones en modo de transporte
de extremo a extremo de IPsec.
Aviso: Los cambios realizados en el elemento Firewall de Windows del Panel de control
solo afectan al perfil actual. Los dispositivos mviles, por ejemplo un porttil, no deben utilizar el
elemento Firewall de Windows del Panel de control, dado que el perfil podra cambiar cuando
se conecte con una configuracin diferente. Entonces, el perfil configurado previamente no
estar en vigor.
El elemento Firewall de Windows del Panel de control permite configurar opciones
bsicas. Entre ellas, figuran:
Activar o desactivar el elemento Firewall de Windows en el Panel de
o
control
El elemento Firewall de Windows del Panel de control es muy adecuado para los usuarios
que tengan experiencia en la configuracin de firewall y que estn configurando opciones de
firewall bsicas para equipos que no sean mviles. Tambin puede abrir el elemento Firewall
de Windows del Panel de control con el comando run utilizando el procedimiento siguiente:
Para abrir el elemento Firewall de Windows
NETSH
Un administrador puede utilizar la herramienta netsh.exe para configurar y supervisar los equipos
basados en Windows en un smbolo del sistema o utilizando un archivo por lotes. Con la
herramienta netsh, puede dirigir los comandos de contexto que escriba a la aplicacin auxiliar
adecuada y, a continuacin, esta ejecutar el comando. Una aplicacin auxiliar es un archivo de
biblioteca
de
vnculos
dinmicos
(.dll)
que
extiende
la
funcionalidad
de
la
6. Perfiles De Firewall
Los sistemas operativos identifican y recuerdan cada una de las redes a las que se conectan con
respecto a la conectividad, las conexiones y la categora.
Hay tres tipos de ubicacin de red en Firewall de Windows con seguridad avanzada:
Pblicas. Excepto las redes de dominio, todas las redes se categorizan inicialmente como
pblicas. Las redes que representan conexiones directas a Internet o que estn en
ubicaciones pblicas, tales como aeropuertos o cafeteras, deben dejarse como pblicas.
Privadas. Una red identificada por un usuario o una aplicacin como privada. Solo las redes
confiables se deben identificar como redes privadas. Es probable que los usuarios deseen
identificar las redes domsticas o de pequea empresa como privadas.
El administrador puede crear un perfil para cada tipo de ubicacin de red, cada perfil conteniendo
diferentes directivas de firewall. En cada momento se aplica solamente un perfil. El orden de perfile se
aplica de la manera siguiente:
1. Si todas las interfaces se autentican para el controlador de dominio para el dominio del que
es miembro el equipo, se aplica el perfil del dominio.
2. Si todas las interfaces se autentican para el controlador de dominio o estn conectadas a
redes clasificadas como ubicaciones de la red privada, se aplica el perfil privado.
3. De lo contrario, se aplica el perfil pblico.
Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y configurar
todos los perfiles del firewall. El elemento Firewall de Windows del Panel de control solo configura el
perfil actual.
Configuracin de cifrado
Restricciones de servicios
Cruce de permetro que permite que el trfico evite los enrutadores de Traduccin de
direcciones de red (NAT)
Para crear una nueva regla de firewall mediante el asistente de Nueva regla
1. En el men Inicio, haga clic en Ejecutar, escriba WF.msc y, a continuacin, haga clic
en Aceptar.
2. En el Firewall de Windows con seguridad avanzada, en el panel izquierdo, haga clic con
el botn secundario en Reglas de entrada y, a continuacin, haga clic en Nueva regla.
3. Complete el Asistente para nueva regla de entrada usando la configuracin que desee.
El estado efectivo del puerto es la unin de todas las reglas relacionadas con el
puerto. Cuando intente bloquear el acceso a travs de un puerto, puede ser til para revisar
todas las reglas que citan el nmero de puerto. Para ello, utilice el complemento MMC del
Firewall de Windows con seguridad avanzada y ordene las reglas entrantes y salientes por
nmero de puerto.
Revise los puertos activos en el equipo en el que se est ejecutando SQL Server. Este
proceso de revisin incluye la comprobacin de qu puertos TCP/IP estn escuchando y
tambin la comprobacin del estado de los puertos.
La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP para indicar
que estn escuchando, no escuchando o filtrados. (Con un estado de filtrado, el puerto puede
o no estar escuchando; este estado indica que la utilidad no ha recibido una respuesta del
puerto.) La utilidad PortQry se puede descargar desde el Centro de descargas de Microsoft.
9. Demostracin :
Cortafuegos de Windows con seguridad avanzada
Como sabemos, el cortafuego permite o deniega la apertura de una conexin
con nuestro equipo en un puerto determinado. Para acceder a la configuracin bsica
del servidor podemos hacerlo desde el centro de redes:
En este caso, el
servidor sabe que puertos utiliza el servicio de DHCP, abriendo esos puerto mediante las
correspondientes reglas.
Configuracin avanzada
Accedemos a la configuracin Avanzada (Se puede Acceder de 2 formas); esta vez
trabajaremos desde el Administrador de Servidores
1. Abra el Administrador de servidores de la barra de tareas.
11. Una vez creada la regla se activar. La regla de firewall se puede encontrar en la
pestaa Regla correspondiente, ya sea de entrada o salida, dependiendo del tipo
creado. Para desactivar o eliminar la regla encontrar la regla en la MMC, haga clic en
l y seleccione Regla Desactivar o Eliminar.
Bibliografa
Annimo. (s.f.). Linux Mxima Seguridad. Madrid, Espaa: Prentice Hall.
Matthews, M. (2009). Windows Server. Guia del Administrador. Madrid: McGRAW-HILL.
Sanz Mercado, P. (2008). Seguridad en Linux. Madrid: Servicio de Publicaciones de la Universidad Autnoma de Madrid.