El cortafuegos de Windows XP Service Pack 2

La versión original de Windows XP ya contenía un cortafuegos, pero casi nadie le hizo caso. Las razones de ello eran la falta de comodidad y sólo una gama moderada de funciones. Con el Service …

El cortafuegos de Windows XP Service Pack 2

  1. Revista
  2. »
  3. Artículo
  4. »
  5. Windows
  6. »
  7. El cortafuegos de Windows XP Service Pack 2

La versión original de Windows XP ya contenía un cortafuegos, pero casi nadie le hizo caso. Las razones de ello eran la falta de comodidad y sólo una gama moderada de funciones. Con el Service Pack 2, Microsoft ha mejorado el cortafuegos y le ha añadido nuevas funciones. Sin embargo, configurar el cortafuegos no es tan trivial como podría parecer a primera vista. En el siguiente artículo, te ofrecemos ayuda y consejos para configurar y ajustar el cortafuegos.

¿Protección frente a qué?

Quienes ya utilicen un cortafuegos «ajeno», como ZoneAlarm o Sygate, se preguntarán sin duda si deben confiar ahora en el añadido de Microsoft. Un consejo por adelantado: no es necesario cambiar. Los productos de terceros siguen ofreciendo más comodidad y también protección.

El cortafuegos de Windows cierra todos los puertos e intentos de conexión (p. ej. también ping) desde el exterior. Los datos entrantes que no han sido solicitados son descartados por el cortafuegos. Además, Microsoft ha hecho que los sistemas ya estén protegidos por el cortafuegos cuando se activa la pila de red. Sin las excepciones correspondientes, el ordenador está así bien protegido contra ataques desde el exterior.

En cambio, las conexiones salientes no se bloquean de forma sistemática, a diferencia de lo que ocurre con los cortafuegos de aplicaciones convencionales. Si con ZoneAlarm y compañía hay que conceder explícitamente derechos de salida a cada aplicación, el cortafuegos de Windows sólo lo exige cuando una aplicación abre un puerto como servidor, es decir, espera a recibir datos. En cambio, la comunicación saliente, como la navegación o el correo electrónico, no se bloquea.

¿Dónde está qué?

El centro de control del cortafuegos es el icono correspondiente del panel de control.

La primera pestaña muestra 3 modos de funcionamiento del cortafuegos.

Además de Activo e Inactivo, también existe el modo de funcionamiento «No permitir excepciones». En este modo de funcionamiento, se ignoran todas las excepciones que el usuario haya definido posteriormente. Este modo es adecuado, por ejemplo, si el portátil está conectado a un punto de acceso público.

Fig. 1: El cortafuegos tiene 3 modos de funcionamiento

En la pestaña «Excepciones», el cortafuegos enumera todas las reglas de filtrado que se aplican a todas las conexiones de red protegidas por el cortafuegos.

Fig. 2: Los programas y servicios enumerados en Excepciones se aplican a todos los adaptadores protegidos.

La 3ª pestaña «Avanzado» ofrece más opciones. Además, aquí puede definir qué conexiones de red están cubiertas por el cortafuegos. Antes del Service Pack 2, esto debía definirse en las propiedades de las respectivas conexiones de red. Si desactiva aquí una conexión, el cortafuegos la ignorará por completo.

Fig. 3: En Avanzado también puede definir qué conexiones están protegidas por el cortafuegos.

Si una conexión está protegida por el cortafuegos, esto se indica – como antes – mediante el símbolo del candado.

Fig. 4: Todas las conexiones están protegidas por el cortafuegos

Establecer excepciones

Si una aplicación, como un servidor FTP, quiere establecer una conexión, el cortafuegos informa de ello con un diálogo de mensaje:

Fig. 5: Diálogo de aviso del cortafuegos

Puede elegir entre 3 opciones. Si ahora hace clic en Seguir bloqueando o Dejar de bloquear, el cortafuegos lo anota en las excepciones. La figura 2 tiene entonces el siguiente aspecto para «No bloquear más».

Fig. 6: Nueva entrada añadida.

El truco aquí, sin embargo, está en los detalles. Como se puede ver en la imagen, el programa de prueba «The Personal FTP Server» ha sido añadido a la lista de excepciones y activado (reconocible por la marca). Esto significa que el programa siempre tiene acceso.

Sin embargo, no se mantiene una lista separada de los programas que siempre tienen prohibido el acceso a Internet (=continuar bloqueando). Si el diálogo de preguntas de la Fig. 5 se hubiera respondido con «Seguir bloqueando», el resultado sería el siguiente:

Fig. 7: Esta vez se ha bloqueado el programa, sólo que la marca no está presente.

Por lo tanto, debe tener mucho cuidado en Excepciones cuando cambie algo aquí, ya que los permisos y prohibiciones se guardan en una lista común. Si ha permitido o prohibido muchas aplicaciones, todo se vuelve rápidamente confuso.

En este punto me gustaría darte dos consejos de seguridad:
1. el Firewall de Windows no crea una suma de comprobación para los programas permitidos con el fin de identificarlos inequívocamente. Así, con el cortafuegos de Windows sería concebible que el usuario «permitiera» una aplicación, pero que ésta fuera sustituida posteriormente por un troyano, etc. Esto no ocurre con el cortafuegos de Windows. Windows impone restricciones únicamente en función del nombre y la ruta del archivo.

Además, un programa también puede otorgarse a sí mismo los derechos apropiados a través de una API disponible en el sistema, siempre que la cuenta conectada esté autorizada para ello. Dado que muchos usuarios domésticos trabajan en el sistema como administradores, esto crea otro riesgo de seguridad. Ya hay gusanos en circulación que simplemente acaban con el cortafuegos bajo una cuenta de administrador.

Con los botones «Programa» o «Puerto» también se pueden definir excepciones propias como liberación o bloqueo. Para ello, primero hay que esperar una consulta del sistema.

En páginas como

  • http://www.iana.org
  • http://ports.tantalo.net
  • El artículo 842242 en el MS KB

Excepciones para una sola conexión

La lista de excepciones de la 2ª pestaña se aplica a todas las conexiones cubiertas por el cortafuegos (que pueden verse en la 3ª pestaña). Sin embargo, si desea permitir una excepción sólo para una conexión específica , tiene que elegir otra forma.

En primer lugar, seleccione la conexión en cuestión y, a continuación, seleccione Configuración a la derecha.

Fig. 8: Los ajustes realizados ahora sólo se aplican a la conexión «túnel vpn».

En Servicios puede seleccionar los servicios existentes o añadir nuevos a través de Editar.

Fig. 9: Excepciones que sólo se aplican a una conexión

En Añadir están disponibles las siguientes opciones:

Fig. 10: Establecer excepción propia

Sólo puede especificar el puerto y el protocolo. Si necesita varios puertos para un caso, deberá añadir varias excepciones. Este diálogo no sabe especificar aplicaciones – como es el caso de las excepciones generales. Si no obtiene siempre la misma IP de un servidor DHCP, también puede introducir «localhost» para Nombre. Además, también es posible introducir aquí la subred completa. Esta entrada se aplica a las redes del rango de direcciones 192.168.1.1 a 192.168.1.x:

192.168.1.0/24 (24 es la abreviatura normalizada de la máscara de subred 255.255.255.0).

La pestaña ICMP ofrece más opciones:

Fig. 11: Configuración ICMP para profesionales

Compartir archivos e impresoras de casos problemáticos

En muchos sistemas, el uso compartido de archivos e impresoras está configurado como una excepción general, de lo contrario una red local dejará de funcionar.

Nota: Si no necesitas compartir archivos e impresoras para una red local, deberías dejarlo desactivado en Excepciones.

Fig. 12 Desactivar el uso compartido de archivos e impresoras si no es necesario

Sin embargo, dado que la excepción de la 2ª pestaña se aplica a todas las conexiones monitorizadas (ver Fig. 3), el uso compartido de archivos e impresoras también sería accesible desde el exterior a través de Internet. Este es el caso incluso si se utiliza una conexión telefónica para acceder a Internet.

Para evitarlo, Microsoft ha restringido el acceso a su propia subred. Puede comprobarlo de la siguiente manera: Seleccione el uso compartido de archivos e impresoras en la 2ª pestaña y, a continuación, haga clic en Editar.

Fig. 13: Editar el uso compartido de archivos e impresoras

En el siguiente diálogo se muestran los puertos liberados de la compartición de archivos e impresoras.

Fig. 14: Puertos de compartición de archivos e impresoras

Ahora puede utilizar «Cambiar área» para mostrar las áreas a las que se aplica la excepción.

Fig. 15: Cambiar área

Desafortunadamente, hay 2 problemas con esto.

Como PC-Welt descubrió en una prueba, bajo ciertas circunstancias la protección es inefectiva aquí y los recursos compartidos de archivos e impresoras están abiertos para conexiones web. Véase también Heise Security.

Además, la protección también puede eludirse si el proveedor transmite una máscara de subred incorrecta.

Apéndice: 24.12.2004

El parche KB886185 corrige el agujero de seguridad. El parche también se describe en detalle aquí.

Para sortear la posible brecha de seguridad sin el parche, existen 3 soluciones.

Solución 1 – No proteger la tarjeta de red del cortafuegos.

Si no utiliza la tarjeta de red para la conexión telefónica (por ejemplo, acceso a Internet a través de un módem USB DSL o un adaptador RDSI), puede excluir la conexión LAN de la protección del cortafuegos.

Desactive primero el uso compartido de archivos e impresoras en general (Fig. 12).

A continuación, elimine la conexión LAN de la protección del cortafuegos. Esto significa que ya no se aplican todas las reglas del cortafuegos. La conexión LAN vuelve a tener acceso a la red.

Fig. 16: No proteger la conexión LAN

Sin embargo, este procedimiento no es recomendable, porque aunque los gusanos ya no pueden entrar en el sistema desde el exterior, pueden propagarse internamente.

Solución 2: Especificar rangos

Para cada uno de los 4 puertos de la Figura 15, introduzca lo siguiente en el área de listas definidas por el usuario:
192.168.1.0/24
Dependiendo del rango de direcciones de su propia red, deberá ajustar el primer rango IP. En el ejemplo, se utilizan las IP locales de 192.168.1.1 a 192.168.1.255. Puede ver qué rango IP utiliza su ordenador a través de Inicio-> Ejecutar-> CMD y aquí con IPconfig. El 24 es la forma abreviada de la máscara de subred 255.255.255.0.

Solución 3: Compartir archivos e impresoras sólo para el adaptador de red

La tercera solución es la mejor en mi opinión. Deshabilite el uso compartido de archivos e impresoras como excepción general.

Fig. 17: Deshabilitar el uso compartido de archivos e impresoras en general

A continuación, cambie a la 3ª pestaña del cortafuegos y establezca 4 excepciones propias sólo para la conexión LAN, que representan el uso compartido de archivos e impresoras.

Fig. 18: Configuración para la conexión LAN

En el siguiente cuadro de diálogo, añada excepciones para los puertos UDP 137 y 138, así como para los puertos TCP 139 y 445.

Fig. 19: Especificar puerto

La configuración final debería tener este aspecto:

Fig. 2o: El resultado

En caso necesario, debe activarse una u otra función (por ejemplo, permitir eco) en ICMP, si las aplicaciones de red así lo requieren.

El tercer método tiene la ventaja sobre el primero de que el adaptador LAN también permanece protegido en general contra otros ataques y puertos de servidor.

Contabilidad

El cortafuegos también puede registrar lo que se ha bloqueado o permitido. Las opciones necesarias para ello se encuentran en Avanzado -> Configuración de seguridad.

Fig. 21: Registro

Configuración con y sin políticas de grupo

Dentro de un Directorio Activo, el cortafuegos de los clientes puede controlarse cómodamente mediante políticas de grupo. En el artículo 600339 de la base de datos TechNet, Microsoft describe la posible configuración mediante directivas de grupo.

Aquellos que no utilicen políticas de grupo encontrarán lo que buscan en el mismo artículo. Con la ayuda de un archivo de respuesta, los parámetros del cortafuegos pueden definirse ya durante la instalación.

El artículo de la base de datos TechNet describe detalladamente cómo controlar el Service Pack dentro de un dominio mediante directivas de grupo. Una sección aparte se ocupa también del control del cortafuegos.

Problemas causados por el cortafuegos

Un problema común en las redes es que el ordenador deja de ser visible. En este caso, se debe activar la opción «Permitir solicitud de eco entrante» para la conexión LAN en la configuración avanzada de ICMP (Fig. 11). También documentado en el archivo de consejos de WinTotal.

En la entrada KB 875357, Microsoft describe posibles problemas causados por el cortafuegos. Suelen producirse cuando los programas necesitan determinados puertos de red, pero el cortafuegos no los libera. Como el cortafuegos de Windows no es tan transparente como otros cortafuegos, el usuario no se percata de las peticiones de puerto de las aplicaciones. El artículo describe cómo llegar al fondo de los problemas y cómo configurar las excepciones manualmente.

El artículo 842242 también menciona algunos programas por su nombre que requieren permisos especiales.

También se puede encontrar un artículo completo sobre el cortafuegos en el Centro de descargas de Microsoft.

¿Producto integrado o de terceros?

Si hasta ahora ha estado utilizando un cortafuegos, seguro que no necesita pasarse a la solución propia de XP. La mayoría de los productos, sin excepción, ofrecen mejor protección que el propio desarrollo de Microsoft. Teniendo en cuenta que especialmente los no profesionales son víctimas potenciales de ataques, el proyecto «cortafuegos sencillo para todos» ha fracasado. Aconsejo al usuario maduro que compruebe si no está haciendo algo más seguro por sí mismo con productos como el accesible ZoneAlarm, Sygate u otro cortafuegos de software. Sin embargo, el cortafuegos de Windows es mejor que ninguna protección. Y la experiencia con muchos virus demuestra que la mayoría de los PC no están debidamente protegidos.

Si puede prescindir del cortafuegos de Windows XP con SP2, sólo tiene que desactivar el servicio Cortafuegos de Windows/uso compartido de la conexión a Internet en Herramientas administrativas -> Servicios. Sin embargo, esto también significa que cualquier uso de la conexión compartida a Internet dejará de funcionar. Si no puede prescindir de esta función, al menos debe poner el cortafuegos en «inactivo». Por regla general, el cortafuegos de terceros y el cortafuegos inactivo de Windows no deberían entrar en conflicto.

Por último, puede desactivar la supervisión del cortafuegos en el Centro de seguridad si el producto de terceros no admite la integración en el Centro de seguridad.

Artículos relacionados