Foros de daboweb

GENERAL, ayuda informatica, trucos, problemas, internet, messenger, software, programas, solidaridad, P2P => MANUALES y TUTORIALES - FAQ,s, preguntas frecuentes ya respondidas => Manuales y tutoriales de Seguridad Informatica => Mensaje iniciado por: Saturn en 18 de Noviembre de 2005, 07:12:08 am

Título: Tutorial instalación Lavasoft Personal Firewall.
Publicado por: Saturn en 18 de Noviembre de 2005, 07:12:08 am
Tutorial de instalación y funcionamiento básico del programa Lavasoft Personal Firewall.

Preámbulos:

Versión del software: 1.0.543.5722 (433)
Descarga:
desde donde nos envía Lavasoft (PCWorld) (http://www.pcworld.com/downloads/countit.asp?fid=30734&fileidx=1)
Descarga directa:
desde donde nos envía Lavasoft (PCWorld) (http://downloads.pcworld.com/pub/new/privacy___security/firewalls/Lavasoft%20Personal%20Firewall%20Setup.exe)

Voy a tratar de comentar mi experiencias durante la instalación y posterior testeo básico del citado programa, sin extenderme demasiado, para dar una idea clara de como funciona, y exponer mi opinión.

Instalación:

1.- Detecta que tengo instalado el Kerio y me recomienda encarecidamente que lo elimine, no únicamente que lo remueva de memoria y no lo cargue al inicio, ya que pueden haber librerías que se carguen en memoria y que interfieran en el trabajo con Lavasoft. Por seguridad y para no complicarme la vida, desinstalo Kerio, reinicio e instalo Lavasoft PF.
Por cierto, el lenguaje es Inglés. No se si hay alguna otra versión de instalación en castellano, yo me descargué la que "linkaba" lavasoft.

2.- Durante la instalación, nos da 2 opciones para la configuración de las reglas, automática y Guiada (Wizard). Voy a lo rápido y elijo la automática y el instalador se encarga de buscar redes, aplicaciones instaladas, etc. Al finalizar la configuración, nos da la opción de cambiar opciones avanzadas, así que voy a revisar que hizo la configuración automática:

   a.- Pestaña General. Configuraciones de arranque, comportamiento y protección bajo password. Lo dejo por defecto.

(http://team.daboweb.com/saturn/LavasoftPF/fin_adv-conf_gral.jpg)

   b.- Pestaña Application. Me ha colocado todas las aplicaciones en parcialmente permitidas (Partially allowed). Con botón de la derecha sobre cada aplicación, podemos moverla a bloqueada / permitida o variar sus reglas, bien escogiendo unas predefinidas, o manualmente, donde nos permite crear bastantes reglas por aplicación, y con un nivel de definición de las reglas muy currado.
       El entorno de definición de las reglas me recuerda "muy mucho" al sistema de definición de filtros de correo de Outlook Express. (Este es un apunte que me pareció curioso). En principio lo voy a dejar tal y como está, para testearlo más adelante.

(http://team.daboweb.com/saturn/LavasoftPF/fin_adv-conf_apl.jpg)

   c.- Pestaña System. Podemos configurar la Red Local, el comportamiento del protocolo ICMP, el modo del Firewall: Invisible (Stealth) o normal... esto es curioso, nos permite la opción de no aparecer invisibles; por defecto está en invisible y, si cambiamos a normal, nos lanza un aviso informandonos de lo que estamos haciendo... jejeje. Lo dejo invisible, claro. ;-)
       Lo mejor está un poco más abajo: "Global rules and rawsockets access" Reglas globales y acceso por sockets raw. Bonito título, así que miraré a ver que hay:
(http://team.daboweb.com/saturn/LavasoftPF/fin_adv-conf_sys.jpg)

   d.- Pestaña Policy. Cómo va a actuar el Firewall frente a un evento:
       Y más abajo podemos pedirle que bloquee el tráfico cuando está activado el protector de pantalla o cuando hay una inactividad de 'x' minutos.

(http://team.daboweb.com/saturn/LavasoftPF/fin_adv-conf_pol.jpg)

3.- Lo dejo todo por defecto y reinicio el PC.

Funcionamiento:

1.- "La primera en la frente". Nada más reiniciar, me sale un aviso de petición de conexión. He de suponer que no está en las reglas. Pero cuando lo miro detenidamente veo que me está informando de un cambio en uno o más componentes de la aplicación y en detalles me muestra una serie de módulos... creo.
Como no me queda muy claro de qué módulos son y para que sirven, lo bloqueo, "que hay prisa". Me sale alguna alerta de conexión más, y el asistente me permite permitirla o denegarla. Mmmm, echo de menos algunos iconos en la barra de herramientas. Vuelvo a reiniciar.

2.- "La segunda, más de lo mismo". Me ha coincidido con la descarga de una actualización de XP, vi el aviso antes de reiniciar, e imagino que pudo influir, así que voy a acabar la descarga y volver a reiniciar.

3.- Ahora sí, arrancó sin más mensajes que el de los módulos del svhost.

4.- Procedo a testear el Firewall (entradas):

   a.- Testeo en GRC:

   b.- Testeo en upseros: Todos invisibles.

5.- Sigo testeando el Firewall (salidas):

   Ha llegado la hora de testear el firewall de dentro a fuera. Emulando una posible salida oculta de información hacia el exterior.
En la página: Firewall Leak Tester (http://www.firewallleaktester.com) se pueden encontrar bastantes, así que voy a probar con algunos.

   a.- Leak Test: Superado. El firewall alertó de la conexión y pude bloquearla con éxito.
(http://team.daboweb.com/saturn/LavasoftPF/test_grc-leak.jpg)

   b.- Wallbreaker:
(http://team.daboweb.com/saturn/LavasoftPF/test_wallbr.jpg)

   c.- Ghost: No pasa. El firewall ha detectado el intento de salida y ha preguntado si lo bloquea o no.
(http://team.daboweb.com/saturn/LavasoftPF/test_ghost.jpg)


Observaciones:

1.- Una de las alertas que más se me ha repetido es la de "Uno o más componentes de la aplicación ha sido modificado", mediante la cual se nos pide autorización al cambio.

(http://team.daboweb.com/saturn/LavasoftPF/alert_lib.jpg)

Nos muestra las librerías y demás objetos que componen la aplicación que han sido modificadas, o añadidas nuevas. Y nos pregunta qué queremos hacer con el cambio:

   a.- Actualizar la base de datos con la nueva librería.
   b.- Hacer su uso compartido. O sea, que si otra aplicación pide usar esta librería, actuará de la misma manera que esté ya configurado y no volverá a preguntar.
   c.- Denegar el acceso hasta nuevo aviso.

2.- Puntos a favor:

   a.- El log viewer. Muy completo, nos ofrece muchísima información de todo lo que ha ocurrido: paquetes permitidos y bloqueados, ataques, paquetes sospechesos, histórico de conexiones, de netbios... y un largo etc.

(http://team.daboweb.com/saturn/LavasoftPF/log_viewer.jpg)

   b.- El panel de servicio, donde podemos ver un resumen de los puertos abiertos, de la actividad de la red, de los ataques recibidos, etc.

(http://team.daboweb.com/saturn/LavasoftPF/panel_srv.jpg)

   c.- Si un proceso en memoria es modificado maliciosamente por otra aplicación. Por defecto está configurado para bloquearlo.

3.- Puntos en contra:

   a.- Cuanto más me adentraba en la configuración del Firewall, más enrevesada se volvía. El nivel de configuración puede llegar a ser altísimo, casi asfixiante.
Es como la frase: "Cuanto más sé, más me doy cuenta de que menos sé", pues eso: una configuración avanzada y detallada requiere mucha experiencia, no solo a nivel de comunicaciones, sino a nivel del sistema, ya que nos va a permitir controlar el comportamiento de los diferentes módulos de una aplicación.

   b.- Es muy preguntón. Bueno, esto no sé si debería considerarse bueno. El caso es que se hace pesado preguntando por cada librería o componente que una u otra aplicación piden usar.
El concepto en general está bien, pero obliga a un usuario a conocer para qué se usa un determinado componente o librería, y si es lógico que una aplicación pida usarlo.
Es por esto que lo he colocado en contra, por el obligar a dar una respuesta que, por ejemplo en mi caso, desconozco el uso de la gran mayoría de librerías y componentes del sistema.

Conclusión:

Las reglas de aplicación y globales para procesos puede que no sean lo más acertadas por ser bastante permisivas, al menos para mí, que no dejo que ningún programa se conecte ni acepte peticiones de Internet; y puede que cada usuario desee restringirlas un poco más. Pero eso quizás es lo bueno que tiene: el que diseñó el Firewall sabía bien lo que quería conseguir, pero sin dejar de lado al usuario menos experto.

En cualquier caso, la configuración por defecto ha dejado al PC invisible desde el exterior. Aunque desde el interior tiene algunos agujeros.
Justo es decir que posiblemente con una configuración más precisa quizás se puedan bloquear, se debería dedicar más tiempo.

Que le encuentro a faltar: Una versión Freeware para el usuario doméstico. Por lo demás, y tendría que testearlo más a fondo, me agrada bastante.

Supongo que un exhaustivo manual de configuración sería un asociado genial a este Firewall que a primera vista promete bastante.
Se debería seguir estudiando más detenidamente, sobre todo el como cerrar esos agujeros que tiene, pero claro, el periodo de prueba está llegando a su fin. (...)


Ubicación original del tutorial: Space Saturn (http://spacesaturn.metropoliglobal.com/LavasoftPF.php)
Cedido a Daboweb desde: Space Saturn (http://spacesaturn.metropoliglobal.com)
Título: Re: Tutorial instalación Lavasoft Personal Firewall.
Publicado por: destroyer en 18 de Noviembre de 2005, 12:06:14 pm

Muchas gracias amigo Saturn.

Un saludo