Configuración manual del firewall en Windows XP SP2

En este truco vamos a ver  la configuración manual de Servidor de seguridad de conexión a Internet en Windows XP Service Pack 2

Windows XP Service Pack 2 (SP2), ahora en la fase de pruebas beta, incluye mejoras significativas en el Servidor de seguridad de conexión a Internet (ICF, Internet Connection Firewall), también conocido como Windows Firewall. ICF es un servidor de seguridad basado en host con estado que descarta todo el tráfico entrante no solicitado que no sea el enviado como respuesta a una solicitud del equipo (tráfico solicitado) o el no solicitado que se haya especificado como permitido (tráfico admitido).

ICF proporciona un grado de protección frente a usuarios y programas malintencionados que se basa en el tráfico entrante no solicitado para atacar los equipos de una red.

En Windows XP SP2, hay muchos cambios de ICF, como son:

– Se habilita de forma predeterminada para todas las conexiones del equipo
– Nuevas opciones globales de configuración que se aplican a todas las conexiones
– Un nuevo conjunto de cuadros de diálogo para la configuración local
– Un nuevo modo blindado
– Seguridad en el inicio
– Restricción de la subred local
– El tráfico admitido se puede especificar por nombre de archivo de aplicación
– Compatibilidad integrada con ICF de Protocolo Internet versión 6 (IPv6)
– Nuevas opciones de configuración con Netsh y Directiva de grupo

En este artículo se describe con detalle el conjunto de cuadros de diálogo que permiten configurar manualmente el nuevo ICF. Al igual que ICF en Windows XP (antes del SP2), los cuadros de diálogo de configuración sólo se aplican a ICF para el tráfico IPv4.
Nota Los cuadros de diálogo mostrados y descritos aquí corresponden a la versión beta inicial de Windows XP SP2 y podrían cambiar sustancialmente en la versión final.

La configuración para ICF en Windows XP (antes del SP2) consta de una única casilla de verificación (la casilla de verificación Ayudar a proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet en la ficha Avanzadas de las propiedades de una conexión) y un botón Configuración desde el que puede configurar el tráfico tráfico admitido, la configuración de registro y el tráfico ICMP permitido.

En Windows XP SP2, la casilla de verificación se ha reemplazado con un botón Configuración desde el que puede establecer la configuración general, los permisos para programas y servicios, la configuración específica de las conexiones, la configuración del registro y el tráfico ICMP permitido. El botón Configuración inicia el nuevo subprograma Servidor de seguridad de conexión a Internet desde el Panel de control (disponible en las categorías Conexiones de red e Internet y Seguridad).

El nuevo cuadro de diálogo Servidor de seguridad de conexión a Internet contiene las siguientes fichas:

– General
– Excepciones
– Conexiones de red
– Configuración de registro
– ICMP

En las secciones siguientes se describe detalladamente la configuración de cada una de estas fichas.

Ficha General

En la figura siguiente, se muestra la ficha General con su configuración predeterminada.
Configuración manual del firewall en Windows XP SP2

En la ficha General, puede seleccionar una de las opciones siguientes:
– Activado (recomendado)
Active esta opción para habilitar ICF en todas las conexiones de red seleccionadas en la ficha Conexiones de red. ICF se habilita para permitir sólo el tráfico entrante solicitado y excluido. El tráfico admitido se configura en la ficha Excepciones.
– Activado sin excepciones
Active esta opción para habilitar ICF en todas las conexiones de red y permitir sólo el tráfico entrante solicitado. El tráfico entrante excluido no se permite. Todas las opciones de la ficha Excepciones se pasan por alto. Todas las conexiones de red se protegen, independientemente de la configuración de la ficha Conexiones de red.
– Desactivado
Active esta opción para deshabilitar ICF. Esto no se recomienda, en especial para las conexiones de red que son accesibles directamente desde Internet.
Tenga en cuenta que la configuración predeterminada para ICF es Activado (recomendado) para todas las conexiones de un equipo donde se ejecuta Windows XP SP2 y para las conexiones recién creadas. Esto puede afectar a las comunicaciones de los programas o servicios que dependen del tráfico entrante no solicitado. En este caso, debe identificar los programas que ya no funcionan e identificar su tráfico como excluido. Muchos programas, como los exploradores de Internet y algunos clientes de correo electrónico (como Outlook Express), no dependen del tráfico entrante no solicitado y trabajan apropiadamente con ICF habilitado.

Si usa Directiva de grupo para configurar ICF en equipos con Windows XP SP2, el valor predeterminado de la opción de directiva de grupo Allow User Preference/Group Policy Settings Merge no permite la configuración local. En este caso, las opciones de la ficha General y del resto de fichas aparecen atenuadas y no están disponibles. En la figura siguiente se muestra un ejemplo de la ficha General para un equipo que tenía aplicada la configuración de directiva de grupo ICF.
Configuración manual del firewall en Windows XP SP2

La configuración de ICF basada en directiva de grupo permite configurar un perfil de dominio (un conjunto de opciones de configuración de ICF que se aplican al conectarse a una red que contenga controladores de dominio) y un perfil móvil (un conjunto de opciones de configuración de ICF que se aplican al conectarse a una red que no contiene controladores de dominio, como Internet).

Los cuadros de diálogo de configuración sólo muestran las opciones de configuración de ICF del perfil aplicado en ese momento. Para ver la configuración del perfil que no se está aplicando, use los comandos netsh firewall ipv4 show.

Para cambiar la configuración del perfil que no se está aplicando, use los comandos netsh firewall ipv4 set.

Ficha Excepciones

La ficha Excepciones con su configuración predeterminada se muestra en la figura siguiente.

Configuración manual del firewall en Windows XP SP2

En la ficha Excepciones, puede habilitar o deshabilitar un programa o servicio existentes, o mantener la lista de programas y servicios que definan el tráfico admitido. No se permite el paso del tráfico admitido cuando se selecciona la opción Activado sin excepciones en la ficha General.
Con Windows XP (antes del SP2), se podía definir el tráfico admitido sólo en relación a los puertos del Protocolo de control de transporte (TCP, Transmission Control Protocol) o el Protocolo de datagramas de usuario (UDP,User Datagram Protocol). Con Windows XP SP2, se puede definir el tráfico admitido en relación a los puertos TCP y UDP, o según el nombre de archivo de un programa o servicio. Esta flexibilidad de configuración facilita la configuración del tráfico admitido cuando los puertos TCP o UDP del programa o servicio no se conocen o se determinan dinámicamente cuando se inicia el programa o servicio.

Hay un conjunto de programas y servicios preconfigurados, que incluyen:

– Compartir archivos e impresoras
– Asistente para transferencia de archivos y configuraciones
– NetMeeting
– Asistencia remota y Escritorio remoto
– UPnP
– Windows Messenger
En los programas y servicios preconfigurados, los programas Asistente para transferencia de archivos y configuraciones, NetMeeting y Windows Messenger están habilitados de forma predeterminada. Los programas Compartir archivos e impresoras, Asistencia remota, Escritorio remoto y UPnP no se pueden eliminar.
Puede crear otros programas o servicios adicionales si hace clic en Agregar. En la figura siguiente se muestra el cuadro de diálogo Excepciones, desde el que puede crear un nuevo programa o servicio.
Configuración manual del firewall en Windows XP SP2

Otra característica del nuevo ICF es la capacidad de definir el ámbito del tráfico entrante. El ámbito define la porción de la red desde la que se permite que se origine el tráfico admitido. Hay dos opciones para definir el ámbito de un programa o un puerto:
– Todas las direcciones IP
El tráfico admitido se permite desde cualquier dirección IP.
– Sólo de la subred local
El tráfico admitido se permite sólo de una dirección IP cuya subred o segmento de red local coincida con el de la conexión de red que recibió el tráfico. Por ejemplo, si la conexión de red se configura con la dirección IP 192.168.0.99 y la máscara de subred 255.255.0.0, el tráfico admitido sólo se permite si proviene de las direcciones IP del intervalo comprendido entre 192.168.0.1 y 192.168.255.254.
El ámbito Sólo de la subred local resulta de utilidad cuando se desea permitir el acceso a un programa o servicio en los equipos de una red doméstica local que están conectados todos a la misma subred, pero no a los usuarios de Internet, que pueden tener malas intenciones.

Una vez agregado el programa o servicio, se habilita de forma predeterminada en la lista Programas y servicios.

Todos los programas o servicios habilitados en la ficha Excepciones se habilitan para todas las conexiones seleccionadas en la ficha Conexiones de red.

Ficha Conexiones de red

La ficha Conexiones de red se muestra en la figura siguiente.
Configuración manual del firewall en Windows XP SP2

En la ficha Conexiones de red, puede habilitar y deshabilitar selectivamente ICF en conexiones de red específicas del equipo. Si una conexión de red no aparece en esta lista, entonces no es estándar. Algunos ejemplos son los marcadores personalizados de los proveedores de servicios Internet (ISP, Internet Service Provider).

Si desactiva todas las casillas de verificación de la ficha Conexiones de red, ICF no protege al equipo, independientemente de que haya activado la opción Activado (recomendado) en la ficha General.

La configuración de la ficha Conexiones de red se pasa por alto si se selecciona la opción Activado sin excepciones en la ficha General; en este caso, se protegen todas las interfaces.

Para establecer una configuración avanzada para una conexión específica, haga clic en la conexión en la lista y después haga clic en Configuración. En la figura siguiente se ilustra el cuadro de diálogo Configuración avanzada.
Configuración manual del firewall en Windows XP SP2

En el cuadro de diálogo Configuración avanzada, puede configurar servicios específicos de la ficha Servicios (sólo por puerto TCP o UDP) o habilitar tipos específicos de tráfico ICMP en la ficha ICMP. Estas dos fichas son equivalentes a las fichas de configuración de ICF en Windows XP (antes del SP2).

Ficha Configuración de registro

En la figura siguiente, se muestra la ficha Configuración de registro con su configuración predeterminada.
Configuración manual del firewall en Windows XP SP2

En la ficha Configuración de registro, puede configurar si desea registrar los paquetes descartados (eliminados) o las conexiones correctas y especificar el nombre y la ubicación del archivo de registro (de forma predeterminada, RaizDelSistema\pfirewall.log) y su tamaño máximo.

Ficha ICMP

En la figura siguiente, se muestra la ficha ICMP con su configuración predeterminada.
Configuración manual del firewall en Windows XP SP2

En la ficha ICMP, puede habilitar y deshabilitar los tipos de mensajes ICMP entrantes que ICF admite en todas las conexiones seleccionadas en la ficha Conexiones de red. Los mensajes ICMP se usan para diagnóstico, información de condiciones de error y configuración. De forma predeterminada, no se permite ningún mensaje ICMP de la lista.
Una acción común de la solución de problemas de conexión es usar la herramienta Ping para hacer ping a la dirección del equipo al que está intentando conectarse.

Cuando hace ping al equipo, se envía un mensaje Echo de ICMP y recibe como respuesta el mensaje Echo Reply de ICMP. De forma predeterminada, ICF no admite los mensajes Echo de ICMP entrantes y, por lo tanto, el equipo no puede enviar un mensaje Echo Reply de ICMP como respuesta. Para configurar ICF de modo que admita el mensaje Echo de ICMP entrante, debe habilitar la opción Permitir solicitud de eco entrante en la ficha ICMP.