Autor Tema: Propuestas de Reglas para Firewalls  (Leído 39324 veces)

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
Propuestas de Reglas para Firewalls
« en: 08 de Junio de 2004, 11:26:58 pm »
PROPUESTAS DE REGLAS PARA FIREWALLS

La intención de hacer esta recopilación es tener disponible un listado de posibles reglas para configurar nuestros cortafuegos.
Para que sea útil de verdad, sería estupendo que entre todos fuésemos aportando más reglas y más nombres de archivos .exe correspondientes a programas. Todo lo que vayáis proponiendo lo iremos incluyendo en este post.

Las aplicaciones se han agrupado por tipos (navegadores, gestores de correo, etc.). Dentro de cada grupo hay un listado con el nombre del programa y el archivo ejecutable que le corresponde (este archivo es el que tratará de conectarse a internet), y después unas propuestas de reglas para dichos programas. Estas propuestas pueden ser reglas individuales o paquetes de reglas que deben ir juntas (se indica en cada caso).


La mayoría de las reglas que he conseguido recopilar para poder abrir esta cadena son de:
--> www.hackeando.com (muchas gracias halo :D por darme permiso para "robártelas" de tu manual del Sygate Firewall :mrgreen: )
--> http://www.protegerse.com/outpost/support/faq/faq_01_general3.html
--> Actualmente ya hay varias aportaciones de los compañer@s del foro, y esperamos tener muchas más :D En los mensajes que siguen a éste, se pueden leer explicaciones de algunas de las reglas que tenemos.


Copio estas interesantes consideraciones de Erebus sobre algunas cosas a tener en cuenta antes de poner una regla:
...Primero...
Cuando uno crea reglas personalizadas tan específicas se debe estar consciente de que cada regla que uno añada al firewall representará mas carga para el CPU y mas memoria utilizada por el proceso encargado del filtrado de paquetes. Por lo tanto lo primordial es usar reglas poco numerosas y poco complejas.

...Segundo...
Reglas de ese tipo (restrictivas) no te permiten el clásico poner y olvidar (como el uso común del ZoneAlarm, permite y olvídalo). Al ser muy restrictivas en algunos casos, deben estar bien diseñadas y tener en mente TODOS los posibles escenarios a los que se enfrente el programa.


NAVEGADORES

Aplicaciones:
Internet Explorer – iexplorer.exe
Mozilla – mozilla.exe
Mozilla Firebird – mozillafirebird.exe
Mozilla Firefox – firefox.exe
Opera – Opera.exe
MyIE2 – MyIE.exe


DIRECCIÓN.......PROTOCOLO........PUERTO/S........................ACCION
Saliente..............TCP....................80-83 remotos..................permitir
Saliente..............TCP....................80, 443, 8080 remotos......permitir
Entrante..............TCP, FTP ...................................................denegar
(una de ellas)

Saliente..............TCP.....................todos locales y remotos....permitir
Entrante..............TCP.....................todos locales, 20 remoto...permitir
Entrante Saliente..TCP UDP.............todos locales y remotos.....denegar
(todas)
(este paquete de 3 reglas tiene en cuenta el uso de proxys y las  descargas FTP)


Para acceder FTP desde el navegador:
Saliente..............TCP....................21 remoto........................permitir
Entrante..............TCP...................20 remoto.........................permitir
(todas)



GESTORES DE CORREO

Aplicaciones:
Outlook Express - Msimn.exe IncrediMail – IncMail.exe
The Bat – thebat.exe


DIRECCIÓN...........PROTOCOLO........PUERTO/S.......................ACCION
Saliente..................TCP....................25, 110 locales.................permitir
Saliente..................TCP....................smtp, pop3......................permitir
(una de ellas)



ACELERADORES DE DESCARGAS

Aplicaciones:
Flashget - ?????.exe
Reget - ????.exe

DIRECCIÓN...........PROTOCOLO........PUERTO/S......................ACCION
Saliente..................TCP...........................................................permitir
Saliente..................TCP....................1024-5000 remotos.........permitir
(una de ellas)

Para los gestores de descargas se pueden aplicar las mismas reglas que a los navegadores (ver reglas de navegadores arriba).

W.M.PLAYER

Aplicación:
Windows Media Player - wmplayer.exe


DIRECCIÓN..........PROTOCOLO.........PUERTO/S......................................................ACCION
Saliente..................TCP.....................80,3128,8080,1755,8000,8001remotos........permitir



ANTIVIRUS y ANTISPYWARE

Aplicaciones:
AVG – evginet.exe
McAfee – mupdate.exe
KAV (Kaspersky) – avpupd.exe
Norton – lucomserver.exe

Ad-Aware – Ad-aware.exe
Spybot – SpybotSD.exe


DIRECCIÓN..............PROTOCOLO........PUERTO/S....................................ACCION
Saliente.....................TCP.....................80 remoto.....................................permitir
Saliente.....................TCP......................80-83,443,1080,3128,8080,8088,11523 remotos............permitir
(una de ellas)

Si la descarga se hace de un FTP:
Saliente....................TCP........................21 remoto.........................permitir
Entrante....................TCP.......................20 remoto........................permitir
(todas)


NAVEGACION ANONIMA

Aplicaciones:
JAP – javaw.exe
Proxomitron – proxomitron.exe
Multiproxy - MProxy.exe


DIRECCIÓN........PROTOCOLO........PUERTO/S..............................ACCION
Saliente..................TCP.................................................................permitir
Entante.........................................................................................denegar
(todas)



MENSAJERIA

Aplicaciones:
Windows Messenger – msmsgs.exe
MSN Messenger – msnmsgr.exe
mIRC - ??


DIRECCIÓN..........PROTOCOLO........PUERTO/S........................................ACCION
Saliente..................TCP....................1863, 1503 remotos......................permitir
Saliente..................TCP....................1024-5000 locales,6667 remoto......permitir
(una de ellas)

Para transferir archivos:
Entrante y Saliente.....TCP..............6891-6900 remotos...........................permitir
Entrante y Saliente........................1024-5000 locales y remotos..............permitir
(una de ellas)



P2P

Aplicaciones:
eMule – emule.exe
KaZaa Lite K++ - KazaaLite.kpp
WinMX – winmx.exe
Shareaza - shareaza.exe
P2P Hazard - Hazard.exe


DIRECCIÓN...............PROTOCOLO.......PUERTO/S.....................................ACCION
**Para emule.exe
Saliente y Entrante......TCP...................1025-65535 locales y remotos.....permitir
Saliente y Entrante......UDP...................4661-4672 locales y remotos.......permitir
(todas)

**Para KazaaLite.kpp
Saliente......................TCP..................1024-5000 locales y remotos.........permitir

**Para winmx.exe
Saliente..................................80-83, 443, 1080, 3128, 8080, 8088, 11523, 6699, 7729, 7735 remotos...................permitir
Entrante.....................UDP.................6257 remoto.................................permitir
Entrante.....................TCP.................6699 remoto...................................permitir
(todas)

**Para shareaza.exe
Saliente y Entrante......TCP UDP...............................................................permitir


**Para Hazard.exe
Saliente......................TCP.......80 remoto, dirección remota 64.62.175.112......permitir



SVCHOST.EXE

Aplicación:
Svchost.exe

***Propuesta a)
DIRECCIÓN........PROTOCOLO........PUERTO/S........................ACCION
*Conexión DHCP:
Entrante.................UDP.....................68 local, 67 remoto...........permitir
*Conexión DNS:
.............................UDP.....................53 local............................permitir
*Conexión: sincronización de hora
.............................UDP....................123 remoto.......................permitir
*Conexión HTTP:
Saliente..................TCP....................80 local............................permitir
*Conexión HTTPS:
Saliente..................TCP....................443 remoto.......................permitir
*Conexión Descubrimiento de servicio SSDP y Servidor de dispositivos UPnP:
Entrante.................UDP.............1900 remoto, dirección remota: 239.255.255.250...........denegar
Entrante.................TCP....................5000 remoto, dirección remota: 239.255.255.250.......denegar
Entrante.................UDP...................5000 remoto, dirección remota: 239.255.255.250.......denegar
*Conexión Llamada a procedimiento remoto:
.............................TCP....................135 local..........................bloquear

***Propuesta b)
DIRECCIÓN...............PROTOCOLO........PUERTO/S.....................ACCION
Entrante y Saliente.....TCP........................................................denegar




NETBIOS

Aplicación:
Ninguna en concreto


DIRECCIÓN.........PROTOCOLO........PUERTO/S.....................ACCION
Entrante y Saliente...UDP....................137 local.......................denegar
Entrante y Saliente...UDP....................138 local.......................denegar
Entrante y Saliente...TCP....................139 local.......................denegar
Entrante y Saliente...SMB....................445 local.......................denegar
 (todas)

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
Propuestas de Reglas para Firewalls
« Respuesta #1 en: 09 de Junio de 2004, 08:23:45 pm »
Se ha añadido una regla para el p2pHazard que me ha mandado choche (gracias amigo :D ).

Os recuerdo que si véis algún error o alguna mentira, por favor, lo posteéis aquí y se corregirá.
 :wink:

Desconectado Tiburciano polainas

  • Iniciado
  • *****
  • Mensajes: 1622
Propuestas de Reglas para Firewalls
« Respuesta #2 en: 09 de Junio de 2004, 09:13:05 pm »
Pregunta   :!:  :!:
Las reglas para Emule UDP siguen valiendo aunque haya combiado lo puertos  :shock:
Además si no recuerdo mal como entrante tengo el 1020

 :?:  :?:  :?:  :?:
No hay nada en este mundo sobre lo que no se me ocurra hacer un chiste.
Jhon Cleese.

Por favor, las dudas en el foro. NO RESPONDO DUDAS POR PRIVADO

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
Propuestas de Reglas para Firewalls
« Respuesta #3 en: 10 de Junio de 2004, 08:21:23 pm »
Hombre!! Pues me alegro de que me haga usted esa pregunta!! (eso es lo que se suele decir cuando la preguntita en cuestión nos pilla en out ¿no? :mrgreen: )

Bueno, aplicando la lógica, que no mis escasos conocimientos sobre protocolos, yo diría que habrá que cambiar los puertos que pone en la regla por el que tú has elegido como entrante. En la regla pone esos porque son los que el eMule utiliza, pero si tú tienes otro esa regla será inútil si no los cambias.... amos digo yo.
Porfa, si alguien nos puede aclarar esto que lo aclare porque yo no estoy segura de haber aplicado bien la lógica  :(

Desconectado fedelf

  • Iniciado
  • *****
  • Mensajes: 2060
  • Avatar By Dabo
    • Mi Flickr
Propuestas de Reglas para Firewalls
« Respuesta #4 en: 10 de Junio de 2004, 08:28:02 pm »
Logicamente, has utilizado la logica correctamente Inscientia. :D

Si se varia la configuracion del programa, habra que variar los puertos en las reglas.

No he mirado todas, pero me parece que los puertos TCP de la regla del emule son demasiados. Luego lo mirare con detalle.  :shock:

De echo, creo que son 4662 para TCP y 4672 para UDP, y ninguno mas.
Canon EOS 40D
18-55 EF-S / 70-200 F4 L IS USM / 50mm 1.4 pero aumentará   :smoke:

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
Propuestas de Reglas para Firewalls
« Respuesta #5 en: 10 de Junio de 2004, 08:42:36 pm »
Holas fedelf
Que viva la lógica!
Sobre lo de la cantidad de puertos de la regla TCP... pues a mí también me extrañó cuando la "robé", pero la verdad es que no me atreví a modificarla. Supuse que si el creador puso eso sería por algo, aunque tal vez ese algo sea una configuración personalizada como la de Tibur.

En cuanto tengas un rato me gustaría que la mirases bien y si te parece que debería modificarse pues me dices lo que habría que poner y lo cambiamos.

Gracias fedelf, siempre ahí  :wink:

Desconectado jirho

  • Member
  • ***
  • Mensajes: 303
Propuestas de Reglas para Firewalls
« Respuesta #6 en: 11 de Junio de 2004, 04:37:19 pm »
...bien...muy buena info...gracias....
[root@local_host jirho]#Conecting to underground zone...:superman:

http://www.hackeando.com/gifs/logomini.gif

Desconectado Erebus

  • Junior Member
  • **
  • Mensajes: 16
Propuestas de Reglas para Firewalls
« Respuesta #7 en: 13 de Junio de 2004, 10:01:50 am »
Hola foro... Disculpen que me entrometa asi pero quería aportar algo a este interesante hilo-postit abierto por Inscientia (a la que conozco de los foros de Softonic, de donde vengo)..

Antes, queria hacer unas consideraciones:

Primero...
Cuando uno crea reglas personalizadas tan específicas se debe estar consciente de que cada regla que uno añada al firewall representará mas carga para el CPU y mas memoria utilizada por el proceso encargado del filtrado de paquetes. Por lo tanto lo primordial es usar reglas poco numerosas y poco complejas.

Segundo...
Reglas de ese tipo (restrictivas) no te permiten el clásico poner y olvidar (como el uso común del ZoneAlarm, permite y olvídalo). Al ser muy restrictivas en algunos casos, deben estar bien diseñadas y tener en mente TODOS los posibles escenarios a los que se enfrente el programa.

Es por eso que comento que...

En las reglas de filtrado para Navegadores no se toma muy en cuenta el uso de servidores proxy (excepto por la consideración del puerto 8080).. Por lo tanto y entendiendo que los puertos mas usados por los proxys HTTP son el 80, 3128, 6588, 8000 y el 8080 se debería extender la regla para abarcarlos a todos. Por otra parte, el puerto mas usado en los proxys SOCKS es el 1080.. lo que tambien debería ser tomado en cuenta. Por lo tanto, mi propuesta de regla (resumida) para un browser (exceptuando el FTP) sería:

# |Prot. | Sent. | P. Local | P. Remoto | Acción
1 |TCP | Saliente | Todos | 80-83, 443, 1080, 3128, 6588, 8000  | Permitir

Así nos evitamos tener que molestarnos en crear otra regla cuando se nos antoje usar un proxy.

Ahora bien, como estamos tratando con conexiones SALIENTES (comenzadas por el cliente, es decir, el navegador) no es necesario ser tan detallistas con el tema de las reglas. Además, estamos sobrecargando el proceso de filtrado de manera innecesaria usando una cantidad de puertos y rangos de puertos que facilmente podemos ahorrarnos. Dos simples reglas como estas...

# | Prot. |   Sent.  | P. Local | P. Remoto | Acción
1 |TCP | Saliente | Todos | Todos | Permitir
2 |TCP/UDP | Entrante | Todos | Todos | Denegar

...son mas que suficientes, eso si, deben estar juntas y la regla con mayor prioridad debe ser la primera. En firewalls como Sygate, Kerio y TinyPF es fácil darnos cuenta cual es la regla con mayor prioridad. Lastimosamente no pasa asi con otros firewalls de software.

Si llegaron hasta aquí sin aburrirse... Muchas gracias :wink:

Saludos
Erebus

PD. Este ultimo pack de reglas afectará las descargas FTP (que necesitan una conexion ENTRANTE para la recepción de datos y una saliente para el envío de comandos).. por lo tanto, si hay problemas, se debe habilitar en los navegadores el modo FTP pasivo, que solo usa conexiones salientes o crear una regla intermedia que permita el tráfico TCP Entrante desde el puerto remoto 20.

Desconectado Tiburciano polainas

  • Iniciado
  • *****
  • Mensajes: 1622
Propuestas de Reglas para Firewalls
« Respuesta #8 en: 13 de Junio de 2004, 10:10:29 am »
Saludos Erebus...  :wink:
Bienvenido... entromete lo que quieras  :lol:
No hay nada en este mundo sobre lo que no se me ocurra hacer un chiste.
Jhon Cleese.

Por favor, las dudas en el foro. NO RESPONDO DUDAS POR PRIVADO

Desconectado Erebus

  • Junior Member
  • **
  • Mensajes: 16
Propuestas de Reglas para Firewalls
« Respuesta #9 en: 13 de Junio de 2004, 10:16:54 am »
:lol: Con que aplicando lo mismo Tiburcio!. jajajaja.. Gracias por la bienvenida.  :wink:

Saludos
Erebus

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License