Autor Tema: Propuestas de Reglas para Firewalls  (Leído 29471 veces)

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 15160
    • http://www.daboblog.com
Propuestas de Reglas para Firewalls
« Respuesta #10 en: 13 de Junio de 2004, 10:33:55 am »
se bienvenido Erebus, ya te he leido por softonic, interesante tu apunte, ando un poco fastidiado pero os estoy leyendo a todos


en una semana estare en forma  :wink:


saludos  :!:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
Propuestas de Reglas para Firewalls
« Respuesta #11 en: 13 de Junio de 2004, 03:03:24 pm »
Erebus!!!  :D

Bienvenido amigo! Es un lujazo tenerte con nosotros!!! Esto te va a gustar, lo sé. :wink:
Chapeau por tu aportación, como muy tarde esta noche la meto en el post inicial para completarlo. Mil gracias.
Besotes  :wink:  

Dabo... siempre al pie del cañón aunque estés medio malito  :D

Desconectado Erebus

  • Junior Member
  • **
  • Mensajes: 16
Propuestas de Reglas para Firewalls
« Respuesta #12 en: 13 de Junio de 2004, 04:41:18 pm »
Bueno, creo que no quedo muy claro arriba con tanta palabrería (y el sueño que tenía  :roll:).. A ver, el pack de reglas mas sencillo y menos restrictivo que se me ocurre para los navegadores sería algo asi:

# | Prot. | Sent. | P. Local | P. Remoto | Acción
1 | TCP | Saliente | Todos | Todos | Permitir
2 | TCP | Entrante | Todos | 20 | Permitir

La tercera regla es opcional. Pero es necesaria en algunos casos.

Una vez que tengas configurada cada aplicación en el firewall se debería subir el nivel de seguridad (ZA), cambiar a Denegar Todo (Oupost).. etc..
Eso hace que el firewall se maneje con las reglas EXISTENTES... y que descarte las conexiones que no se ajusten a esas reglas.

Si tu firewall no tiene esa posibilidad, entonces debes crear una regla final para cada aplicación o para TODAS las aplicaciones (lo que es la mejor opcion). Esta regla sería algo como:

* | TCP/UDP | Entrante/Saliente | Todos | Todos | Denegar

Como ven, esa regla no permitirá (colocada de ultima en prioridad) que se creen nuevas reglas, ya que el firewall ni siquiera preguntará :mrgreen: , pero las otras reglas (mayores en prioridad) te permitirán el acceso a la red a aquellas aplicaciones que hayas configurado correctamente.

Saludos
Erebus

PD: Por cierto inscientia, a los gestores/aceleradores de descarga (Reget, FlashGet.. etc) trátalos como un navegador. Exactamente igual.

Desconectado kallikantzaroi

  • Member
  • ***
  • Mensajes: 207
  • pingüineiro
Propuestas de Reglas para Firewalls
« Respuesta #13 en: 13 de Junio de 2004, 09:03:13 pm »
Cita de: Erebus
:lol: Con que aplicando lo mismo Tiburcio!. jajajaja.. Gracias por la bienvenida.  :wink:

Saludos
Erebus


güenas

vayaaaaaa!!!!!!! s'ha kolao por akí un venesolano ilustre :lol:  :lol:  :lol:  :lol:

benvenutti Erebus :wink:  :wink:

saluetes :P  :P  :P
LRU # 369045

Plumes o plom?.... by Καλλικάντζαρος //*//


"la marca del esclavo es hablar la lengua de su señor"

Publius Cornelius Tacitus

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
Propuestas de Reglas para Firewalls
« Respuesta #14 en: 13 de Junio de 2004, 10:41:20 pm »
joer kalii !!! ha tenido que venir Erebus para que salgas del igloo del pingüino  y vengas a vernos!!! es que no nos quieres nada... :wink:

Las reglas de Erebus ya están incluidas y sus comentarios previos también :D

Chicos esto marcha!! esta cadena tiene que ser algo vivo y lo estamos consiguiendo.... (aunque algún día habremos recopilado absolutamente todas las reglas del mundo mundial supongo  :lol: )

Bueno, otra cosa. Me ha recomendado el jefe (acertadamente, la verdad) que movamos esto al foro de Seguridad a Secas (:mrgreen:) , porque si un neófito en estos asuntos (que aún no sepa lo que es un firewall) entra y lee esto.... puede que se asuste y decida no instalarte ninguno :? Así que lo muevo a seguridad y seguimos allí.
 :wink:

Desconectado Erebus

  • Junior Member
  • **
  • Mensajes: 16
Propuestas de Reglas para Firewalls
« Respuesta #15 en: 14 de Junio de 2004, 05:48:58 pm »
Buscando por allí sobre un sitio para discutir sobre reglas me he encontrado gratas sorpresas:

En PCFlank descubrí una base de datos de reglas de filtrado que estan basadas en las discusiones de los antiguos foros del Outpost. Estan muy bien, y las reglas de los navegadores (aunque innecesariamente complejas) son muy completas y nos pueden dar ideas de las formas en que se comunica nuestro navegador. Además, hay reglas para casi todo... Vean ustedes mismos:
http://www.pcflank.com/fw_rules_db.htm

Continuando en la misma tónica del Outpost....en los actuales foros de soporte (muy bonitos por cierto) se pueden conseguir discusiones muy buenas sobre reglas puntuales. (además de las disconformidades de los usuarios por las reglas automaticas)
http://outpostfirewall.com/forum/

Ahora, algo que siempre he buscado. Una explicación sobre las reglas de sistema que crea el Outpost.. esta muy completa y estoy leyendo..
http://www.outpostfirewall.com/guide/rules/system.htm

Saludos
Erebus

Desconectado halo

  • Pro Member
  • ****
  • Mensajes: 541
Propuestas de Reglas para Firewalls
« Respuesta #16 en: 25 de Junio de 2004, 08:37:59 pm »
1º Mis felicitaciones a la autora (usea, Inscientia) por el gran trabajo.  :wink:
2º ¿Porque no le ponéis una chincheta?

3º El tema de eMule. Esas reglas estan bastante generalizadas. Es decir, en principio sirven para casi todos los usuarios de eMule (Tibur, puñetero, ¿porque pones ese puerto tan raro raro raro?). Esas reglas se pueden "capar" pero os arriesgaréis a encontraros con una fabulosa Low Id. Os voy a explicar un poquillo como funcionan las conexiones de eMule para que lo entendáis.

En el caso de usar eMule hacemos de cliente (lo habitual en un PC doméstico que no haga de servidor especifico para cualquier cosa) y servidor (compartimos). Cuando nosotros abrimos eMule y nos conectamos a un servidor (cosa que hacemos mediante protocolo TCP) lo que hacemos es por una parte comunicarle los archivos que nosotros compartimos y por otra le pedimos que nos diga quienes tienen los archivos que a nosotros nos interesan.  Este nos manda la lista de personas que tienen lo que nos interesan y en ese momento empezamos a preguntar mediante protocolo UDP al resto de servidores que tenemos, más personas (fuentes) que tengan lo que nos interesa con la diferencia con respecto al servidor al que estamos conectados de que no les enviamos la lista de cosas que nosotros compartimos. Tambien obtenemos fuentes de otros clientes, a modo de intercambio  :wink:

Bueno que me enrrollo, al meollo del asunto. En las opciones de Preferencias de eMule veréis que tenéis CLIENT PORT TCP y UDP. A través del TCP esperamos conexiones de otros clientes que quieren descargarse de nosotros o que quieren indicarnos que ya podemos empezar a descargarnos nosotros de ellos. Como es modificable, esto se traduce en que si nosotros creamos reglas especificas para el puerto que nosotros marquemos, perderemos un monton de posibilidades de conexión con gente que esta intentando descargarse de nosotros o comunicarnos que esta listo para que nosotros empecemos a descargarnos de ellos. Por eso el rango es tan amplio. Con el UDP más de lo mismo. A través de CLIENT PORT UDP nos intercambiamos fuentes con el resto de clientes. Si limitamos "capando las reglas" pues podemos encontrarnos con la situación de estar limitandonos nosotros mismos las posibilidades de obtener fuentes. Pero es que ademas usamos la conexión saliente TCP hacia el servidor para poder conectarnos a él, y aunque este puerto suele ser el 4661, el que lo decide es el servidor, si lo capamos podemos encontrarnos con que no podemos conectarnos a algunos servidores. Y para obtener fuentes del resto de la lista de servidores solemos usar el UDP 4665, pero eso es cosa del servidor, no nuestra, así que si lo capamos podemos quedarnos sin fuentes de algunos servidores.

Evidentemente podéis jugar a intentar "capar" esas reglas, pero vigilad que no os quedéis con LOW ID.

Ea, arsha, killo, aliqui taun taun taun.  :wink:
Condemnation , Tried , Here on the stand , With the book in my hand , And truth on my side
Accusations , Lies , Hand me my sentence , I'll show no repentance , I'll suffer with pride If for honesty , You want apologies , I don't sympathize...

Desconectado fedelf

  • Iniciado
  • *****
  • Mensajes: 2060
  • Avatar By Dabo
    • Mi Flickr
Propuestas de Reglas para Firewalls
« Respuesta #17 en: 25 de Junio de 2004, 09:20:09 pm »
Respecto a las reglas del Emule, creo que son desproporcionadas, y se pueden reducir drasticamente.

Halo, en principio tienes razon, pero si nosotros tenemos unos puertos configurados en el emule, la gente que se quiera descargar de nosotros, se conectara unica y exclusivamente a los puertos que nosotros tenemos configurados, ya que el servidor, o en el intercambio de fuentes, se le habra indicado los puertos a conectarse, por lo tanto, solo deberiamos abrir los puertos que nosotros utilizamos, y ninguno mas.

Otra cosa es cuando nosotros nos queramos bajar algo de los demas, ya que no sabemos que puertos tiene configurados el resto del mundo, deberiamos permitir la conexion a cualquier puerto de destino, pero eso no repercute en una disminucion de la seguridad de nuestro equipo.

En cuanto a la Low ID, que yo sepa, mientras el puerto UDP que tengamos configurado este accesible al servidor, obtendremos High ID, por lo que tampoco hace falta abrir infinidad de puertos, unicamente el que hayamos configurado.

El puerto que tiene configurado Tibur, supongo que lo cambió porque hubo un tiempo en el que se especulo que los ISP hacian pasar el trafico de y hacia los puertos que utilizaban programas P2P por rutas menos eficientes, para asi dejar el trafico mas libre para navegacion web, correo electronico, etc. Nunca se ha sabido si era cierto o no, pero yo tampoco utilizo el puerto estandard.

Resumiendo, puertos de nuestra maquina solo debemos abrir los que tenemos configurados, y unicamente esos, puertos destino de otros equipos, hay que permitir todos.

Yo lo tengo asi y tengo High ID siempre.
Canon EOS 40D
18-55 EF-S / 70-200 F4 L IS USM / 50mm 1.4 pero aumentará   :smoke:

Desconectado halo

  • Pro Member
  • ****
  • Mensajes: 541
Propuestas de Reglas para Firewalls
« Respuesta #18 en: 25 de Junio de 2004, 10:28:49 pm »
¿Y?

 :?:  :?:  :?:  :?:

Yo no he hablado de cuales son las reglas ideales de eMule, sino por una parte justificar la generalización de esas reglas, y por otra explicar como funcionan las conexiones para que la gente juegue y se haga las suyas. Claro, normal que tengas ID HIGH, ¿porque no deberías de tenerla? Me da que no me has entendido...
Condemnation , Tried , Here on the stand , With the book in my hand , And truth on my side
Accusations , Lies , Hand me my sentence , I'll show no repentance , I'll suffer with pride If for honesty , You want apologies , I don't sympathize...

Desconectado fedelf

  • Iniciado
  • *****
  • Mensajes: 2060
  • Avatar By Dabo
    • Mi Flickr
Propuestas de Reglas para Firewalls
« Respuesta #19 en: 25 de Junio de 2004, 10:58:25 pm »
Cita de: halo

A través del TCP esperamos conexiones de otros clientes que quieren descargarse de nosotros o que quieren indicarnos que ya podemos empezar a descargarnos nosotros de ellos. Como es modificable, esto se traduce en que si nosotros creamos reglas especificas para el puerto que nosotros marquemos, perderemos un monton de posibilidades de conexión con gente que esta intentando descargarse de nosotros o comunicarnos que esta listo para que nosotros empecemos a descargarnos de ellos


Precisamente si las reglas que creamos las amoldamos a los puertos que tenemos configurados, no habra ningun problema de conexion.
Canon EOS 40D
18-55 EF-S / 70-200 F4 L IS USM / 50mm 1.4 pero aumentará   :smoke:

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License