Mostrando entradas con la etiqueta Firewall. Mostrar todas las entradas
Mostrando entradas con la etiqueta Firewall. Mostrar todas las entradas

En este segundo artículo sobre "Firewall" en Windows 7/8, vamos a analizar otra aplicación que nos ayuda a configurar adecuadamente nuestro cortafuegos aumentado la potencia del sistema que se encuentra instalado por defecto.

En esta ocasión voy a empezar presentando la herramienta TynyWall 2.0 - Cortafuegos basado en lista de excepciones que no utiliza "popup" sino que tiene un motor de aprendizaje automático, para crear un sistema de protección no intrusivo.

INDICE                                                                                                                                                                                      

TinyWall 2.0

Una herramienta "Freeware" gratuita sin publicidad, sin limitaciones y sin necesidad de realizar una actualización o "upgrade" para disfrutar completamente de todas sus funciones. Esta herramienta necesita de .NET para funcionar correctamente.

¿Porque es necesario? Como os comente en la primera parte la interfaz que tiene el cortafuegos de windows por defecto adolece de algunas características que faciliten la gestión y administración de las reglas del cortafuegos, haciendo esta administración difícil incluso para personas que se dedican profesionalmente a ello. Con TinyWall 2.0 se puede configurar rápidamente reglas de excepción en el cortafuegos que permitan a las aplicaciones que utilizas habitualmente conectarse con Internet.

Características principales

Cuando su desarrollador nos dice que TinyWall 2.0 es especial, no le falta razón, veamos porque:

  • No popup, sistema para añadir excepciones fácil y rápido.
  • Soporte de BlockList para virus y trojanos.
  • Una gestión fácil y sencilla que permite a gente sin conocimiento en Redes (port, protocols) añadir reglas y administrar su cortafuegos.
  • Soporte para múltiples zonas de trabajo (publica, local, trabajo)
  • Medidas de protección para evitar que los agentes malware modifiquen la configuración del cortafuegos.
  • No realiza instalación de drivers, utiliza el sistema de cortafuegos que trae Windows por defecto, ampliando su capacidad.
Pero si estas funciones no te han parecido suficiente, aún hay más:

  • Diferentes modos de operación, que incluye un motor de aprendizaje automático.
  • Capacidad para proteger la configuración del cortafuegos con una contraseña.
  • Soporte para reglas de cortafuegos temporales. *[Configurables en su interfaz]
  • Protección del fichero Host.
  • Full IPv6 support.
  • Lista de conexiones activas en tiempo real.
  • 100% software gratuito sin sorpresas (ads, sin coste)

Llego la hora de la verdad, todo lo anterior esta muy bien, pero ¿hace lo que promete? Empezaremos por la instalación.

Instalación

Dispone de un instalar típico de Windows, por lo que descargar y ejecutar. Para eliminar la aplicación se puede realizar desde el panel de control, devolviendo el sistema a su estado original.

Install TinyWall 2.0
Primeros Pasos

Por defecto, una vez instalado bloquea todas la conexiones de "salida" (outbound) en el Sistema, por lo que trás la instalación te quedaras sin poder navegar. Sin embargo, existe una serie de reglas incluidas (by default) como son DHCP, DNS, etc. [Ver siguiente imagen para la lista completa]


Special Exception List - TinyWall 2.0
Como se puede observar, las reglas permiten obtener una dirección IP (DHCP), actualizar el Sistemas (Windows update), sincronizar el tiempo con Internet y el tráfico ICMP. Pero no incluye ninguna otra aplicación instalada en nuestro equipo.



Por lo tanto, para poder seguir navegando, vamos a utilizar el sistema de detección automático de los procesos activos que estaban utilizando la red (Internet). Pulsamos el botón derecho sobre el icono del cortafuegos que se encuentra en nuestra barra de notificaciones y a continuación se hace click en "Managed" (ver imagen superior).

En la siguiente ventana, nos vamos a "Aplication Exceptions" y pulsamos "Detect".


La herramienta comienza a realizar una búsqueda de las posibles aplicaciones (programas) que necesitan conexión a Internet, y muestra el resultado en una lista. Una vez encontrada la aplicación deseada (en mi caso Google Chrome) la seleccionáis y aplicáis para que genere la regla automáticamente.


Es posible que no detecte todas las aplicaciones que se están ejecutando y necesitan conexión con Internet, 

¿Cómo saber cuales son esas aplicaciones? 

TinyWall tiene la posibilidad de ver las conexiones activas en el equipo, y aquellas  que ha sido bloqueadas, puesto que tiene activado el registro de las conexiones "salientes" (outbound logs) muestra aquellas aplicaciones que han intentado conectarse con Internet cada 2 minutos. Pulsamos el botón derecho sobre el icono del cortafuegos y hacemos click en "Show Connections".

TinyWall - Showing block connections
Ahora, con una simple acción de botón derecho sobre el proceso (aplicación) se genera la regla correspondiente (desbloqueando a la aplicación en concreto). Pero aún hay más ...

Creando reglas de excepción con TinyWall

Pero para hacer todavía más sencillo la generación de reglas en el cortafuegos implementa tres métodos:

- Generación de reglas mediante búsqueda de ejecutables
- Generación de reglas mediante búsqueda de procesos activos
- Generación de reglas mediante búsqueda de ventanas activas

El método que más me ha gustado ha sido el generar las lista de excepción en función de los procesos activos en el Sistema, que cumples dos funciones: mostrar lo que se esta ejecutando en el sistema, y además generar reglas de excepción directamente desde el listado - rápido y sencillo. 

A continuación os dejo una captura de pantalla de ejemplo:

TinyWall 2.0 - Creating whitelist from current process list

Modificar una regla del cortafuegos 



Por supuesto, se puede refinar las reglas de cortafuegos que se generan, para realizar un filtro especifico sobre la Port, se accede a la interfaz de gestión "Managed", seleccionamos la pestaña de "Application Exceptions" y sobre la regla que deseamos se presiona "Modify", sin embargo, desde la interfaz de gestión de TinyWall no permite incluir direcciones IP en la regla de excepción, esto sin duda es por la sencillez y premisa de la no necesidad de tener conocimiento sobre "redes", no obstante, si se desea se puede acceder a la interfaz avanzada de configuración del cortafuegos que trae Windows y modificar la regla incluyendo la IP el ámbito de aplicación.

TinyWall 2.0 - Modify exception rule
Configuración avanzada: Protección del Cortafuegos


Desde la consola de administración del cortafuegos (managed), en su pantalla principal, se puede configurar el sistema de protección con control de acceso a la interfaz mediante contraseña, proteger el archivo "Host" de modificaciones y habilitar la "blocklist" para bloquear Malware conocido.

TinyWall 2.0 - General Settings

Valoración (5/5)

La aplicación hace lo que promete, incrementa la potencia del cortafuegos que trae Windows por defecto, convirtiendo esta aplicación, incluye protección de acceso a la configuración mediante password, y protección del archivos Host del sistema. Además, es realmente sencillo manejar las reglas del cortafuegos, por lo que no hay excusas para mejorar la seguridad de nuestro Windows Vista/7 incluso Windows 8. ! A que esperas ¡ es una aplicación imprescindible en nuestro equipo.

Mi valoración es un 5, muy completa y sencilla.

Conviene pasarse por la FAQ, ya que según parece el antivirus Avast impide el correcto funcionamiento del cortafuegos de Windows lo que provoca fallos en la aplicación.



Donwload


TinyWallInstaller.msi)


MD5: 2fd76069b0381d7b9912780d400b0c94
SHA1: edfce8d86620aa4545bde5a06d764ecbbe0b04d0
DropBox: Mirror 1

¡Si te gusto el artículo no dudes en compartirlo en las redes sociales!

Un Saludo
#ST2Labs rulez

Ha llegado la hora de retomar un clásico de la Seguridad perimetral, el cortafuegos. Hace unos años, el cortafuegos era el centro de atención en la seguridad perimetral, superada esta etapa, donde todo el mundo parece entender la necesidad de disponer de un cortafuegos en sus sistema, da la impresión de que el cortafuegos ha pasado a un segundo plano y no se le da la importancia que se merece. Así que me he propuesto escribir un artículo donde analizar la seguridad del cortafuegos que trae Windows 7/8 por defecto, y ver como se puede sacar provecho del mismo, obteniendo un mayor nivel de protección y seguridad.

INDICE                                                                                                                                                                                      

Introducción

El propio sistema operativo (Windows) trae por defecto un cortafuegos con la capacidad de controlar tanto las conexiones entrantes (desde Internet hacia el ordenador) y salientes (desde el ordenador hacia Internet). Las palabras anglosajonas, comúnmente, utilizadas para referirse a esto son: inbound y outbound.

Voy a suponer que el lector, sabe y/o conocer el funcionamiento básico de un cortafuegos, pero por si las moscas, hago un "breve" inciso donde doy la definición:

Un cortafuegos (en informática) es una parte de un sistema o un dispositivo de red diseñado para bloquear y/o autorizar la comunicación de red entre dispositivos o programas.[Más]

Si nos paramos a pensar en el comportamiento que tiene la mayoría del malware, descubriremos que  normalmente establecen conexiones con equipos remotos iniciando ésta desde dentro de la red (tráfico outbound), utilizando para ello los puertos destino, habilitados por defecto, 80, 443, pues son los más utilizados para navegar por Internet.

Lo interesante de ese comportamiento, no es descubrir que el cortafuegos es ineficaz para detectar y bloquear estas conexiones al exterior sin nuestro conocimiento, sino estudiar las capacidades que tiene nuestro cortafuegos para frenar y/o dificultar esas conexiones a los posibles agentes malware que logren introducirse en nuestros sistemas.

Me explico, el cortafuegos que trae Windows (7/8) por defecto, tiene la capacidad de controlar el flujo de tráfico tanto inbound como outbound. Pero lo más interesante es que puede crear las reglas de paso en el cortafuegos según el proceso o programa que origina dicho tráfico de red.

¿Porque es importante?

Imaginemos por caso, que utilizamos el Mozilla Firefox para navegador por la web (firefox.exe) con las opciones que nos permite el cortafuegos de Windows 7/8, se puede controlar el tráfico a los puertos 80, 443 (outbound) permitiendo el tráfico solamente a ese programa. Seguro que ya intuyes, que si otro programa que no sea firefox.exe intenta realizar una conexión al puerto remoto 80 será parado por el cortafuegos impidiendo que se establezca dicha comunicación.

Si el proceso no autorizado fuera un malware, estaríamos impidiendo que se comunicase condenando al mismo a vivir aislado en nuestro equipo. Por supuesto, no estoy diciendo que el firewall bien configurado sea capaz de inutilizar todo tipo de malware, lo que si es seguro es que limitará sus capacidades de comunicación, lo que reducirá sus posibilidades de éxito, e incluso, en algunos casos quedará totalmente aislado sin capacidad reactiva, al no poder actualizarse, recibir instrucciones o finalizar su cometido.

y ¿Cuál es el problema?

Microsoft, a  pesar de incluir un buen sistema de protección "cortafuegos" por defecto, su gestión y administración se convierte en todo un reto incluso para gente que se dedica profesionalmente a ello. Por este motivo, el sistema operativo Windows desactiva la protección para las conexiones salientes (outbound) por defecto, permitiendo que todos los programas se puedan comunicar sin problemas, lo que permite que los usuarios de su sistema no inunden las redes con quejas y preguntas sobre ¿porque no puedo entrar a facebook?.

Esto por supuesto, en la actualizada con la amenaza permanente del zero-day en aplicaciones tan comunes como Adobe, Java, Flash, etc.. deja nuestros equipos demasiado desprotegidos y vulnerables, a pesar de disponer de un sistema antivirus totalmente actualizado.

Solución

Desde la sección #ST2Labs, me he propuesto analizar algunas alternativas que he encontrado para potenciar las capacidades del cortafuegos que trae el sistema por defecto. Es decir, ¿existe alguna forma de gestionar de forma sencilla las reglas del cortafuegos de Windows para tráfico saliente? A continuación espero contestar y ofrecer alguna respuesta al respecto.

NOTA: Hay que ser conscientes de que activar la protección de cortafuegos para tráfico de red outbound, puede genera, al inicio, que algunas aplicaciones poco comunes dejen de funcionar al no estar autorizadas en el cortafuegos. Por ello, recomiendo disponer de tiempo para enfrentarse a los pequeños problemas de comunicaciones que se pueden sufrir inicialmente en el periodo de activación y manejo del cortafuegos en este modo de operación. Es interesante recordar que para navegar por Internet es necesario permitir el tráfico UDP al puerto 53, así como HTTP 80, 443. (Son los mínimo y más comunes). Pero cada uno deberá analizar antes de activar la protección si utiliza un sistema proxy, o accede a cualquier otro servicio WEB por un puerto que no sea el estandar, ejemplo: 8080, 1080, etc. | Ejemplo, algunos servidores de música en streaming por HTTP, utilizando puertos diferentes al 80, por lo que podrían dejar de funcionar. Mi recomendación, revisa las aplicaciones que mas utilizas, haz una lista (programa:puerto) antes de empezar a configurar el cortafuegos para gestionar y controlar el tráfico de salida. Las notificaciones (alertas) dinámicas de conexiones nuevas son muy útiles sobre todo en la fase de aprendizaje/configuración inicial.

Windows Firewall Notifier

WFN (Windows Firewal Notifier) es una aplicación  gratuita que extiende el funcionamiento por defecto de cortafuegos de Windows Vista/7.

¿Porque es necesario? Como he comentado antes la interfaz que tiene el cortafuegos de windows por defecto adolece de algunas características que faciliten la gestión y administración de las reglas del cortafuegos, haciendo esta administración difícil incluso para personas que se dedican profesionalmente a ello. Ejemplo, no disponer de un sistema de notificaciones para tráfico saliente (outbound).

Con WFN extiendes la interfaz permitiendo la generación de reglas "outbound" de forma dinámica según las necesidades de comunicación.

En el momento que se genera una comunicación, aparecerá un dialogo preguntando ¿que hacer? aceptar y/o bloquear creando una regla temporal o permanente. Si es una aplicación que utilizas a diario, generas la regla de forma permanente y listo, si ha sido una acción puntual, la autorizas temporalmente.

Esta aplicación funciona creando un proceso repetitivo (task scheduled) que analiza el gestor de eventos para determinar cuando se genera una conexión nueva y quién la genera, en ese momento salta una alerta en forma de ventana de dialogo. Para el correcto funcionamiento de esta aplicación se necesita habilitar el registro (logs) de las conexiones salientes (outbound - deshabilitado por defecto), que automáticamente realiza la aplicación cuando es instalada.

Download

Windows Firewall Notifier (WFN.zip)
Version: 1.7.0 
Size: 146.26 Kb 
OS: Windows 7 / Vista 
Last Update: 04/28/2012 
Language: C# 
Downloads: 48571 (2013.05.01) 
SHA1f9204c85c6f6847443491981a52604233f565a75
No soporta Windows 8 - de momento.

Instalación

Un vez descargado, se descomprime el archivo (WFN.zip) en una carpeta del Sistema. 



Recordar que una vez elegida la carpeta donde lo has copiado, no debe de ser cambiada de nombre y/o movida de lugar, esto provocaría que el programa (aplicación) dejara de funcionar correctamente.

Primera ejecución - Activar sistema de notificación de conexiones salientes en el cortafuegos de Windows.

Ahora que ya esta instalado (no requiere pasos adicionales, solo descomprimir), se puede ejecutar por primera vez (Console.exe), donde realizará las siguientes tareas automáticas:

  • Activa el cortafuegos por defecto de Windows.
  • Configurar el bloqueo de tráfico en ambas direcioens (inbound y outbound) para cualquier tráfico que no coincida con una regla existente.
  • Activa las notificaciones de conexiones entrantes (inbound) por defecto del cortafuegos.
  • Habilita el sistema de registro de eventos de seguridad para tráfico saliente (outbound) que se encuentra desactivado por defecto en el Sistema.
  • Crea una tarea en el programador de tareas de windows, para monitorizar el registro de eventos del cortafuegos con objeto de detectar las nuevos intentos de conexión salientes que se generen, y ofreer la creación de reglas dinámica a través de su sistema de notificación.
En mi caso, en cuanto he activado el sistema de notificaciones marcando todas las opciones, incluyendo la  creación de reglas de bloqueo en lugar de usar lista de excepciones, la primera alerta que he recibido es:

Sistema de comprobación de actualizaciones de JAVA

Lo interesante es que puedes generar la regla por defecto, es decir, para cualquier puerto e IP destino, o justo para la conexión saliente, indicando que el puerto 443, y la IP detectada. Por defecto, creará reglas permanentes, a no ser que indiques que esa regla sea temporal y que vuelva a preguntar más tarde.

Lo interesante, es que en el momento que activas (instalas el sistema de notificaciones) te mantiene las conexiones establecidas, en mi caso, las conexiones del navegador WEB. Pero cada vez que el monitor de eventos detecta una conexión bloqueada por el cortafuegos te saltará una alerta para que decidas que hacer si bloquear o autorizar. Por defecto, hace una comprobación del registro de eventos cada 1 seg, pero puede configurarse para que vaya más rápido (consume mas recursos) o más lento.

update rate - Windows Firewall Notifier
En la consola (console.exe) se puede rastrear las conexiones que se están sucediendo en el equipo, ver las conexiones activas (real time), por lo que resulta muy útil para analizar rápidamente que ocurre a nivel de red


Lo interesante es que detecta los navegadores incluye reglas de outbound para que puedas navegar por Internet, con esos programas.

Probamos si funciona realmente el cortafuegos intentando actualizar una aplicación cualquiera, por ejemplo notepad++:

Update notepadd++ is bloqued by Firewall.
En este caso, para crear la regla desactivar la pestaña (service) pues no es realmente un servicio,y dará error. Esto puede ser un pequeño bug de no detectar correctamente si es un servicio o una aplicación. Una vez introducida la regla, ya se puede actualizar sin problemas la aplicación.

Valoración (3,8/5)

Si desde la consola se pudieran generar reglas en el cortafuegos directamente, sobre los procesos que están autorizado y/o conexiones activas, el programa, para mi, estaría muy completo. No obstante, funciona muy bien, no genera notificaciones intrusivas, y proporciona la seguridad de bloquear las conexiones salientes, sin instalar una suite comercial, sino utilizando los recursos que el propio Windows tiene por defecto.

El sistema de notificaciones tiene sus limitaciones, al basarse en la monitorización de los eventos, puede saltar alguna alerta falsa, que haya sido creada pero en el intervalo de refresco (udpate rate) no haya sido detectada, y a pesar de haber sido añadida la regla vuelva a repetirse. No obstante, no es muy frecuente,  y no demasiado molesto. Realiza su función correctamente, en función de lo que promete el autor, mi nota sería de 3,8 sobre 5.

ELIMINACIÓN

En caso de desear desinstalar la aplicación, solo tenéis que desactivar el sistema de notificaciones, indicar al programa que revierta la configuración al estado previo (inicial), y posteriormente eliminar la carpeta donde descomprimisteis el archivo original WFT.zip. !Sencillo no¡ no realiza instalación de librerías en el Sistema.


En el próximo artículo, analizaré otras opciones, en especial una basada en lista de excepciones, eliminando por completo el sistema de notificaciones, promete no ser intrusiva a la vez que efectiva ¿Cubrirá nuestras expectativas?

Para mi si las notificaciones no son intrusivas, prefiero que me notifique con una alerta lo que ocurre, de modo que pueda saber que esta pasando en mi sistema.

Un Saludo.
#ST2Labs rulez.
Cuando aparece la palabra "cloud", o nube en español, ésta atrae toda nuestra atención. Pues es bien sabido que puede suponer un ahorro en los costes y más aún cuando se trata de la seguridad informática.

Algunas de las medidas de seguridad para las plataformas web incluyen costosos equipamientos con sistema de protección perimetrales, detectores de intrusos (NIDS) y cortafuegos a nivel de aplicación, o especializados como los WAF (Web Application Firewall).

Sin embargo, me ha llamado la atención el servicio gratuito que ofrece la empresa "Incapsula", que analizaremos más adelante.


¿Qué es Incapsula?

Es una plataforma de seguridad en la nube basada en la tecnología de Imperva, y que pretende proporcionar las páginas web (sea cual sea su tamaño) servicios de seguridad, destacando algunos de los más interesantes:

  • - Protección frente a ataques de denegación de Servicio (DDoS)
  • - Ataques específicos para las páginas Web (SQL injection, XSS, etc)
  • - PCI Compliance 6.6 requirement.
  • - Análisis y monitorización del tráfico recibido.
¿Cómo funciona Incapsula?

Puesto que se trata de un servicio en la nube, la protección de la página web consisten en configurar los DNS para que transfiera todo el tráfico a los servidores de "Incapsula" de forma que se convierta en una especie de "Proxy Inverso", convirtiéndose en el "front-end" de nuestro website.


INCAPSULA: Architecture - Cloud Website Security Plattform


Los servidores de Incapsula analizaran en tiempo real todo el tráfico web, y bloquearan cualquier acción sospechosa y/o detectada como Malware, incluyen las ultimas técnicas SQL de ataque detectadas, spammers, gusanos con ataques automatizados, y robots exploradores.

Además. el tráfico de salida (el ofrecido por nuestros servidores) se verá acelarado por los servidores de Incapsula, ofreciendo además de la protección el servicio de aceleración en la navegación web, imagino que realizando un cacheado de nuestra página web.

Características del Servicio

La versión de pago, incluye un cortafuegos de aplicación web (WAF), protección frente a DDoS, soporte para SSL y cumplimiento normativo PCI-DSS.

Lo más interesante, es que ofrecen un servicio gratuito, para niveles de tráfico inferiores a 50Gb/mes, donde incluye protección frente a robots, spammers y gusanos conocidos, así como una monitorización de todo el tráfico recibido.

Entre los servicios ofrecidos gratuitamente, se encuentra notificación de amenazas  eliminación de comentarios sospechosos de SPAM, mecanismo de comprobación de los sistema CAPTCHA, optimización y aceleración del tráfico, estadísticas diarias y registro de actividad para su evaluación a las 24 horas.

En la siguiente imagen se puede observar el catalogo completo de servicios ofrecidos en el plan gratuito. Para más información visite su página web.

Free Plan - Incapsula.

A continuación os dejo con un vídeo que explica el funcionamiento de INCAPSULA, en Ingles.



Más Información Incapsula website.
Via TheHackersNews








Sometimes, when I wanna improve the security in windows system, and I start playing with firewall outbound rules. The normal working in windows firewall is permit all outbound connections, it's insecure configuration. But it is the default security policy.

Background

I have at least three (3) browser installed in my Windows 7, one of this is Google Chrome, to my surprise when I was to add outbound firewall rule and obtained the following error message:
Error 138 (net::ERR_NETWORK_ACCESS_DENIED): Unable to access the network.

This error Why? I can't understand anything, How can it be? All is correctly configured, there was added a specific firewall rule to permit outbound traffic for any connection from Google Chrome program (Look the picture below).

Windows 7 Firewall Rule (Spanish text).
Especially when I had the same firewall rule to Firefox browser, and it working well! What is happening?

The Problem is in the Path

I had to research the origin of problem and I find out the problem with directory path! wo!... The problem lies in the path of executable program. It seems the windows firewall don't allow to add rules with different path than %PROGRAM FILES%.

This mechanism is to block the virus / malware behavior, Seriously? Can anyone belive that? I sincerely think that behavior is a error of windows firewall, because what prevents a virus installed in any directory path.

Solution


When the Google Chrome is tipically installed, it place in the following path:

%USERPROFILE%\AppData\Local\Google\Chrome\Application\chrome.exe

To change this path, it is neccesary to donwload a MSI packaged!

%PROGRAM FILES%\Google\Chrome\Application\chrome.exe

Donwload MSI Google Chrome

With, this new path the firewall rules works well.

Optionally, it can be setting up a specific protocol to restrain the traffic type, for example, it configure to TCP by 80 and 443 destination port.



Designed with by Way2themes | Distributed by Blogspot Themes