RESUMEN:
• Si ejecuta como administrador local y se infecta con malware, éste último simplemente deshabilitará
el firewall. Alguien se apropia de su equipo.
• Si no ejecuta como administrador local y se infecta con malware, éste último hará que un firewall de
terceros inicie un diálogo en un lenguaje externo en que intervengan puertos y direcciones IP y que
incluya una pregunta muy grave: "¿Quiere permitir esto?" La única respuesta, por supuesto, es: "¡Sí,
estúpido equipo, deja de acosarme!" Y una vez que ese diálogo se va, también lo hace su seguridad. O,
con más frecuencia, el malware secuestra una sesión existente de un programa que usted ya autorizó, y ni
siquiera alcanza a ver el diálogo. Otra vez, alguien se apropia de su equipo.
Existe un axioma importante de seguridad que debe entender: la protección pertenece al activo que quiere
proteger, no a aquello contra la cual intenta protegerse. El enfoque correcto es ejecutar el ágil y aún eficaz
Firewall de Windows en cada equipo de su organización, para protegerlos del resto de los equipos del mundo.
Si intenta bloquear conexiones salientes de un equipo que ya está en peligro, ¿cómo puede estar seguro que
el equipo hace lo que le solicita? La respuesta: No puede. La protección saliente es una dramatización de
seguridad, es un artificio que sólo ofrece la impresión de mejorar su seguridad pero en realidad no hace nada
que la mejore. Por este motivo no existía protección saliente en el firewall de Windows XP y por lo mismo no
existe en el firewall de Windows Vista™. (Hablaré más sobre control saliente en Windows Vista en un
instante).
Tipo Propósito
Programa Se usa para permitir o bloquear tráfico para un programa determinado.
Puerto Se usa para permitir o bloquear tráfico en puertos TCP o UDP determinados.
Predefinida Se usa un grupo de reglas preexistente para habilitar la funcionalidad de Windows en la red (tal como el
uso compartido de impresoras y archivos o la asistencia remota).
Personalizada Se exponen todas las perillas, cuadrantes, botones e interruptores para que pueda configurar una regla de
forma tan específica como desee.
Hay muchos elementos a los que puede hacer referencia cuando escribe las reglas, y todos están disponibles
para reglas locales y reglas aplicadas mediante directivas de grupo. Éstos son: Cuentas y grupos de usuarios
y equipos de Active Directory®, direcciones IP de origen y destino, puertos TCP y UDP de origen y destino,
números de protocolo IP, programas y servicios, tipos de interfaces (cableadas, inalámbricas o de acceso
remoto) y tipos y códigos ICMP.
Una vez configurado, el firewall procesa las reglas en el orden siguiente:
Restricciones de servicio Algunos de los servicios en Windows Vista se restringirán a sí mismos para limitar la
posibilidad de otro ataque estilo Blaster. Una de las restricciones es una lista de puertos requeridos por el servicio. El
firewall la aplica e impide que el servicio use (o se le indique que use) cualquier otro puerto.
Reglas de seguridad de conexión La consola MMC de Seguridad avanzada incorpora IPsec así como el firewall. A
continuación, se procesan todas las reglas que incluyen directivas IPsec.
Omisión autenticada Permiten que los equipos autenticados que se especifican omitan otras reglas.
Reglas de bloqueo Bloquean explícitamente el tráfico entrante o saliente especificado.
Reglas permitir Permiten explícitamente el tráfico entrante o saliente especificado.
Las reglas del firewall se almacenan en el Registro, pero no les diré dónde con exactitud. Ah, de acuerdo, las
encontrarán en estas ubicaciones:
• HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRule
• HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
• HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System
No edite directamente las reglas en el registro. Si lo hace, ¡lo buscaremos y venderemos su mascota en eBay! Bueno,
quizá no, pero la única manera admitida para editar reglas es mediante el uso de la consola MMC de Seguridad avanzada.
Perfiles de red
Windows Vista define tres perfiles de red: dominio, privado y público. Cuando el equipo se une al dominio e
inicia correctamente sesión en el dominio, aplica automáticamente el perfil de dominio; el usuario nunca
conseguirá hacer esta elección por sí mismo. Cuando el equipo se conecta a una red interna que le falta un
dominio (tal como una red doméstica o de oficina pequeña), el usuario (o un administrador) debe aplicar el
perfil privado. Por último, cuando el equipo se conecta directamente a Internet, debe aplicar el perfil público.
¿Cómo decide Windows Vista donde colocar el equipo? Siempre que hay un cambio de red (por ejemplo, si
recibe una nueva dirección IP, obtiene una nueva puerta de enlace predeterminada u obtiene una nueva
interfaz), un servicio denominado Reconocimiento de ubicación de red (NLA) detecta el cambio. Genera un
perfil de red, que incluye información acerca de las interfaces existentes, si el equipo se autentica con un
controlador de dominio, la dirección MAC de la puerta de enlace, etc. y le asigna un GUID. A continuación,
NLA notifica al firewall y éste aplica la directiva correspondiente (existe una directiva definida para cada uno
de los tres perfiles).
Si se trata de una nueva interfaz que el equipo nunca obtuvo con anterioridad y NLA no eligió el perfil de
dominio, entonces observará un cuadro de diálogo que le solicita indicar a qué clase de red se conecta.
Misteriosamente, existen tres alternativas: Doméstica, Trabajo y Pública. Quizá cree que "Trabajo" es el perfil
de dominio, pero en realidad no lo es. Recuerde, nunca verá el perfil de dominio porque NLA lo selecciona de
forma automática cuando el equipo inicia sesión en un dominio. En realidad, tanto Doméstica como Trabajo
corresponden al perfil privado. Funcionalmente, son equivalentes, únicamente los iconos son diferentes.
Nota: Debe ser administrador local o poder elevar sus privilegios a administrador local para seleccionar el
perfil privado. Como lo esperaba, Pública corresponde al perfil público.
En Windows Vista, un perfil de red se aplica a todas las interfaces del equipo. Este es un resumen del árbol
de decisión de NLA:
El objetivo es seleccionar el perfil más restrictivo posible. Sin embargo, hay dos efectos obvios secundarios.
En primer lugar, si el puerto Ethernet del equipo está conectado a la red corporativa y su NIC inalámbrica se
conecta al café cercano con conexión inalámbrica a Internet, el equipo seleccionará el perfil público, no el
perfil de dominio. En segundo lugar, si el equipo se conecta directamente a Internet (con el perfil público) o
se conecta a la LAN doméstica (con el perfil privado) y realiza una conexión VPN a su red corporativa, el
equipo permanecerá en el perfil público o privado.
¿Qué puede significar esto? La directiva del firewall para el perfil de dominio incluye las reglas para asistencia
remota, administración remota, uso compartido de impresoras y archivos, etc. Si depende de estas reglas
para obtener acceso a un cliente de forma remota, no podrá hacerlo si el cliente ha elegido algún otro perfil.
Pero no se desespere, puede escribir reglas de firewall para permitir todas las conexiones entrantes que
necesite y, a continuación, aplicarlas sólo a conexiones VPN. Todavía puede administrar sus clientes sobre la
VPN incluso cuando ellos no se encuentran en el perfil de dominio.
Control de conexiones salientes
Anteriormente dije que la forma típica de protección saliente en firewalls de cliente es sólo una dramatización
de seguridad. Sin embargo, hay una forma de control saliente muy útil: el control administrativo de ciertos
tipos de tráfico que sabe que no quiere permitir. El firewall de Windows Vista ya lo hace con restricciones de
servicio. El firewall permite que un servicio se comunique sólo en los puertos que dice necesitar y bloquea
todo lo demás que el servicio intenta hacer. Se puede basar en esta característica para escribir reglas
adicionales que permitan o bloqueen tráfico específico para que coincida con la directiva de seguridad de la
organización (consulte la figura 3).
Figura 3 Asistente para nueva regla de entrada (Hacer clic en la imagen para ampliarla)
Digamos, por ejemplo, que desea prohibir a los usuarios la ejecución de un cliente en particular de
mensajería instantánea. Puede crear una regla (en la directiva de grupo, por supuesto) para bloquear
conexiones a los servidores de inicio de sesión para ese cliente.
Sin embargo, existen limitaciones prácticas para este enfoque. Por ejemplo, Windows Live™ Messenger (que
quizá todavía conozca como MSN® Messenger) puede usar diversos servidores para el inicio de sesión y la
lista cambia de forma permanente. Además, recurrirá al puerto 80/tcp si está bloqueado el puerto
predeterminado 1863/tcp. Una regla para bloquear la conexión de Windows Live Messenger a sus servidores
de inicio de sesión sería demasiado compleja y siempre inestable. Menciono esto para ilustrar que el control
administrativo saliente puede ser útil, pero no es un sustituto para las directivas de restricción de software si
necesita mantener un control estricto del software que los usuarios pueden instalar y ejecutar.
Proteja su equipo
El perímetro desapareció. Ahora cada equipo debe asumir la responsabilidad de su propia protección. Así
como el antimalware se movió del cliente al perímetro, del mismo modo los firewalls se deben mover del
perímetro al cliente. Puede tomar acciones inmediatas si habilita el firewall que ya tiene instalado.
Si sus sistemas ejecutan Windows XP o si se encuentra en transición a Windows Vista, Firewall de Windows
está disponible para todos sus clientes y ofrecerá la protección que necesita para mejorar la seguridad en la
organización, incluso cuando los trabajadores móviles se encuentren a miles de kilómetros de la oficina.
Dónde obtener más información
• Windows Vista TechCenter: Introducción a Firewall de Windows con Seguridad avanzada
• Windows Vista TechCenter: Firewall de Windows con Seguridad avanzada: diagnósticos y solución de problemas
• Presentación TechEd Europe de Steve Riley: Firewall de Windows Vista y mejoras de IPSec Enhancements
• The Cable Guy: Nuevo Firewall de Windows en Windows Vista y Windows Server "Longhorn"
• Laboratorio virtual de Firewall de Windows Vista
Steve Riley, responsable jefe de estrategias de seguridad en la Unidad de tecnología y seguridad de Microsoft y redactor
colaborador de la revista TechNet Magazine, viaja por todo el mundo para dar conferencias y pasar tiempo con los
clientes para ayudarles a protegerse y permanecer protegidos. Su último libro es Protect Your Windows Network
(Addison-Wesley, 2005). Puede ponerse en contacto con él en la dirección steve.riley@microsoft.com.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin
previa autorización.