Foros del Web » Administración de Sistemas » Seguridad y redes »

Configurar Firewall

Estas en el tema de Configurar Firewall en el foro de Seguridad y redes en Foros del Web. Hola gente, Tengo la necesidad de conectar dos ordenadores en red. La idea es poder utilizar conexión compartida a Internet al tiempo que poder compartir ...
  #1 (permalink)  
Antiguo 25/11/2005, 10:29
 
Fecha de Ingreso: noviembre-2003
Ubicación: España
Mensajes: 212
Antigüedad: 21 años
Puntos: 3
Configurar Firewall

Hola gente,

Tengo la necesidad de conectar dos ordenadores en red. La idea es poder utilizar conexión compartida a Internet al tiempo que poder compartir archivos y carpetas entre ambos.

Pero tengo un problema. En el ordenador que está conectado a Internet, tengo un firewall que está bloqueando todo acceso entre ambas máquinas.

Sé que tengo que configurar reglas para que el firewall permita a ambos equipos conectarse entre sí, pero ahí empiezan a surgir palabras como UDP o TCP/IP y sé que si lo hago mal dejaré abiertos los puertos NETBIOS (139, 135) que por lo visto son bastante peligrosos.

El firewall diferencia entre los adaptadores de red, es decir entre la LAN y la conexión a Internet, así que si asignase una dirección IP a cada máquina:

PC1 - 192.168.0.1 - máscara 225.225.225.0

PC2 - 192.168.0.2 - máscara 225.225.225.0

y permitiese la comunicación UDP y TCP/IP (entrante y saliente) entre ambas máquinas y sólo en el adaptador de la LAN ¿Estaría poniendo en riesgo la seguridad del sistema? ¿Existe alguna alternativa a NETBIOS bajo Windows para poder compartir recursos entre ambos PC's?

Saludos.
  #2 (permalink)  
Antiguo 25/11/2005, 16:55
Avatar de jariza  
Fecha de Ingreso: agosto-2003
Ubicación: Málaga
Mensajes: 1.449
Antigüedad: 21 años, 3 meses
Puntos: 10
Hola,

Si tu LAN se reduce a dos equipos y la conexión es por cable no tendrás problemas de seguridad (ten cuidado de no "permitir todo" también a Internet).

Si la red es wireless podrías intentar autorizar sólo la dirección MAC del equipo que se conecta (algunos firewall lo permiten).

Si quieres compartir carpetas al "estilo Microsoft"... alternativa a Netbios... a mi no me suena. Si te da igual hacerlo de otra forma (FTP, por ejemplo), con TCP te basta.

Saludos.
  #3 (permalink)  
Antiguo 26/11/2005, 03:43
 
Fecha de Ingreso: noviembre-2003
Ubicación: España
Mensajes: 212
Antigüedad: 21 años
Puntos: 3
Hola jariza, gracias por responder

Cita:
Iniciado por jariza
...Si tu LAN se reduce a dos equipos y la conexión es por cable no tendrás problemas de seguridad...
Si, exactamente es así, dos PC's por cable, aunque no entiendo...¿por qué crees que no habría problemas de seguridad?

Cita:
Iniciado por jariza
...autorizar sólo la dirección MAC del equipo que se conecta (algunos firewall lo permiten)...
Sip, el mío lo permite, pero hay algo que me preocupa ¿Cómo sé que mi dirección MAC es única y que no hay otro interface en el mundo que tenga esa misma dirección? Es decir, si hay por ahí otra dirección MAC igual a la mía, el Firewall le dejaría pasar alegremente ¿no?

Esa misma duda la tengo con las direcciones IP locales. O sea, si yo le digo al Firewall, deje pasar al equipo 192.168.0.2 máscara de subred 225.225.225.0 y resulta que desde Internet intentan acceder haciéndose pasar por esa máquina y en ese momento esa máquina no existe en mi LAN por estar apagada, entonces el Firewall dejaría pasar al atacante ¿no?

Cita:
Iniciado por jariza
...alternativa a Netbios...a mi no me suena...
He leído algo sobre el protocolo IPS/SPX pero no sé si requiere NetBIOS o no y tampoco tengo claro si el firewall protegería mi red doméstica si la implementase con este protocolo. La idea sería utilizar el TCP/IP de forma restrictiva para Internet y compartir archivos y carpetas con el IPS/SPX permitiendo el tráfico entre los dos PC's a través de IPS/SPX.

Otra cosilla que se me escapa. Mi conexión a Internet va sobre ADSL y la IP es dinámica, por tanto cambia cada vez. ¿Cómo sabría el Firewall que debe dejar iniciarse la conexión a Internet cuando la petición proceda de mi segundo PC? ¿No bloqueará el intento de conexión a una dirección que no le aparece como permitida aunque este intento proceda de mi propia red?

Saludos.
  #4 (permalink)  
Antiguo 26/11/2005, 10:22
Avatar de jariza  
Fecha de Ingreso: agosto-2003
Ubicación: Málaga
Mensajes: 1.449
Antigüedad: 21 años, 3 meses
Puntos: 10
Hola,

Tienes que ver tu red como dos problemas distintos:

Código:
----------\        /------------------------\     /---------\
 Internet |--------| Equipo 1 (con firewall)|-----|Equipo 2 |
----------/        \------------------------/     \---------/
Yo me planteo el tema así:

LAN (Red entre equipo 1 y equipo2): si es cable no tienes problemas de que "alguien se asome a tu ventana y te robe la wireless", así que lo permites todo, ya que ambos equipos son tuyos y no creo que tu te vayas a atacar a ti mismo.

Internet ("Red Internet + Equipo 1"): aquí es donde debes ser restrictivo ya que el resto del mundo es "potencial visitante de tu PC" (bueno, esta visión es algo pesimista).

Puesto que tu firewall te permite independizar adaptadores es fácil traducir esta partición a reglas.

Sobre la dirección MAC, es una dirección que sólo se transmite a nivel de enlace (no a nivel de red), es decir: equipo 1 ve la MAC de equipo 2 y del router de Internet, así que ese interface con MAC idéntica debería estar muy cerca de tí para ser un problema.

Sobre la unicidad de las MACs, creo que deberían ser únicas, pero ya hay dispositivos que permiten cambiarlas (aunque no se si cualquier valor es válido), además, una MAC tiene 12 caracteres hexadecimal, es decir, 48 bits, o lo que es lo mismo 281.474.976.710.656 posibles MACs (repito: no se si todas son posibles), por lo tanto, "probando por probar es dificil coincidir".

Cita:
Esa misma duda la tengo con las direcciones IP locales. O sea, si yo le digo al Firewall, deje pasar al equipo 192.168.0.2 máscara de subred 225.225.225.0 y resulta que desde Internet intentan acceder haciéndose pasar por esa máquina y en ese momento esa máquina no existe en mi LAN por estar apagada, entonces el Firewall dejaría pasar al atacante ¿no?
Si tu firewall distingue adaptadores no será la misma IP la "192.168.0.2 de Internet" que la "192.168.0.2 de tu LAN". Además, no todas las IPs te quieren atacar, hay que tener un poco de paranoia, pero sólo la justa.

Sobre el Netbios, si sólo vas a compartir carpetas entre equipo 1 y equipo 2, permítelo totalmente en el adaptador de tu LAN y bloquéalo totalmente en el adaptador de Internet (así lo tengo yo).

Sobre NetBIOS te diré que no tengo nada claro, yo creía que era un protocolo de sesión que se soportaba sobre NetBEUI por defecto o sobre TCP/IP o IPX/SPX así que si configuras correctamente el TCP/IP no necesitas IPX/SPX.

Cita:
Otra cosilla que se me escapa. Mi conexión a Internet va sobre ADSL y la IP es dinámica, por tanto cambia cada vez. ¿Cómo sabría el Firewall que debe dejar iniciarse la conexión a Internet cuando la petición proceda de mi segundo PC? ¿No bloqueará el intento de conexión a una dirección que no le aparece como permitida aunque este intento proceda de mi propia red?
Supongo que compartes internet con la ICS de Microsoft, entonces ¿cómo inicias la conexión desde equipo 2?
Sobre que el firewall deje conectarse al equipo 2, creo que lo que pides al ICS se traduce a la IP del equipo 1, pero tampoco tengo muy claro cómo funciona el ICS.

Para más preguntas ya sabes donde estamos

Saludos.

Última edición por jariza; 26/11/2005 a las 10:28
  #5 (permalink)  
Antiguo 27/11/2005, 06:42
 
Fecha de Ingreso: noviembre-2003
Ubicación: España
Mensajes: 212
Antigüedad: 21 años
Puntos: 3
Cita:
Iniciado por jariza
LAN (Red entre equipo 1 y equipo2): si es cable...lo permites todo, ya que ambos equipos son tuyos y no creo que tu te vayas a atacar a ti mismo.
Aquí es donde tengo más dudas. Si yo permito todo entre el PC 1 y el 2, y el 2 pide salir a Internet, culaquiera podría entrar ¿o no? ¿o tendrían antes que saltarse la barrera que supone el 1? Es decir, el Firewall del 1 ¿actuaría como Firewall también para el 2?

Cita:
Iniciado por jariza
...Puesto que tu firewall te permite independizar adaptadores es fácil traducir esta partición a reglas...
¿Crees que unas reglas más o menos así serían seguras?:

1) Bloquea TODO en el adaptador de Internet.

2) Permite TCP saliente en los puertos 80, 21, 25 y 110 en el adaptador de Internet.

3) Permite IP saliente en los puertos 80, 21, 25 y 110 en el adaptador de Internet.

4) Permite comunicación TCP en los puertos 80, 137, 138 y 139 con la máquina 192.168.0.2 en el adaptador LAN.

5) Permite comunicación IP en los puertos 80, 137, 138 y 139 con la máquina 192.168.0.2 en el adaptador LAN.

La idea es permitir solo direcciones salientes tanto en la LAN como en Internet, y utilizar servicios WEB, CORREO y FTP en Internet y servicios WEB y NetBIOS solamente en la LAN. ¿Por qué el puerto 80 en la LAN? para poder ver páginas web desde el PC 2. ¿Crees que el planteamiento es correcto o tiene inconsistencias en cuanto a la seguridad?

Con las reglas de arriba dejaría bloqueados los puertos UDP, que no tengo nada claro para qué valen.

Vale, lo de las MAC's me queda algo mas claro. O sea que lo de que alguien tenga tu misma MAC y ese alguien sea un atacante potencial es como que te toque El Gordo de La Primitiva ¿no?

Cita:
Iniciado por jariza
...Si tu firewall distingue adaptadores no será la misma IP la "192.168.0.2 de Internet" que la "192.168.0.2 de tu LAN"...
Aaaamigooo...vale, esto sí es más "lógico". Entiendo entonces que utilizar IP's te da mayor "seguridad" que utilizar direcciones MAC.

Cita:
Iniciado por jariza
...hay que tener un poco de paranoia, pero sólo la justa...
Sí, es cierto. Aunque con tanto Sniffer, Spoofer, Troyano, y derivados acbas por sucumbir a la tentación de montar un pequeño búnker.

Cita:
Iniciado por jariza
Supongo que compartes internet con la ICS de Microsoft, entonces ¿cómo inicias la conexión desde equipo 2?
Sí, así es, utilizo el ICS. Aunque de momento no funciona.

Creo que ICS es un PROXY (otro gran misterio para mí). El caso es que al recibir una petición desde la máquina 2, el equipo 1 debería autoconectarse a Internet, siempre que lo tenga permitido en el Firewall claro. Tendría que saber cual o cuales son los puertos que utiliza ICS para decirle al Firewall que deje actuar a ICS si la petición procede de 192.168.0.2.

Saludos.
  #6 (permalink)  
Antiguo 27/11/2005, 09:22
Avatar de jariza  
Fecha de Ingreso: agosto-2003
Ubicación: Málaga
Mensajes: 1.449
Antigüedad: 21 años, 3 meses
Puntos: 10
Hola,

Puesto que se ven algunos fallos de concepto, te recomendaría que, antes de meterte a configurar nada, échale un ojo a esto:
http://vgg.sci.uma.es/redes/
http://ditec.um.es/laso/docs/tut-tcpip/3376c21.html
http://neo.lcc.uma.es/evirtual/cdd/tutorial/Indice.html
http://vgg.sci.uma.es/internet/

Por ejemplo: los puertos son cosa de TCP, no de IP.

El que sea más seguro proteger por IP que por MAC, la IP tiene 8 cifras hexadecimales y la MAC 12, así que hay más MACs, pero par tu caso la única forma de filtrar es por puertos+IP ya que no conoces más que las MACs de tus dos ordenadores y la del router de internet de tu ISP.

Sobre cerrarlo TODO, no es buena idea, ya que los programas necesitan puertos de entrada y salida. Por ejemplo, el explorador sale por el 80, pero los paquetes entran por otro que no es el 80 (por un puerto superfluo, que lo llaman).

Cita:
Aquí es donde tengo más dudas. Si yo permito todo entre el PC 1 y el 2, y el 2 pide salir a Internet, culaquiera podría entrar ¿o no? ¿o tendrían antes que saltarse la barrera que supone el 1? Es decir, el Firewall del 1 ¿actuaría como Firewall también para el 2?
Eso es algo que a mí me gustaría saber también.

Sobre que no te funcione el ICS, ¿que fallo te da?

Saludos y mírate los enlaces, lo verás todo más claro.
  #7 (permalink)  
Antiguo 29/11/2005, 09:49
 
Fecha de Ingreso: noviembre-2003
Ubicación: España
Mensajes: 212
Antigüedad: 21 años
Puntos: 3
Gracias por los link, voy a echarles un vistazo.

Cita:
Iniciado por jariza
...el explorador sale por el 80, pero los paquetes entran por otro que no es el 80...
Entiendo. De todas formas, alguna vez he probado a "blindar" la entrada de datos y las páginas web se descargaban sin problemas utilizando únicamente el puerto 80. Quizás los paquetes a los que te refieres sean controles ActiveX y cosas así ¿no?

Cita:
Iniciado por jariza
Eso es algo que a mí me gustaría saber también.
Juaaaaaaaaassssssss... Pues este es probablemente el punto más "peliagudo" de la configuración, o sea, saber si el Firewall vale para los 2 PC's.

Cita:
Iniciado por jariza
Sobre que no te funcione el ICS, ¿que fallo te da?
Pues estoy convencido que es algo que bloquea el Firewall. El PC 2 efectúa la petición de conexión, pero ICS ni se entera, o sea el PC1 no se conecta. Lo normal sería que al pedir la conexión desde el PC2, el PC1 se conectase automáticamente, pero no lo hace.

Saludos.
  #8 (permalink)  
Antiguo 29/11/2005, 14:52
Avatar de jariza  
Fecha de Ingreso: agosto-2003
Ubicación: Málaga
Mensajes: 1.449
Antigüedad: 21 años, 3 meses
Puntos: 10
Hola,

Cita:
Cita:
...alguna vez he probado a "blindar" la entrada de datos y las páginas web se descargaban sin problemas utilizando únicamente el puerto 80. Quizás los paquetes a los que te refieres sean controles ActiveX y cosas así ¿no?
No, me refiero a todo, a lo mejor sólo "blindaste" la salida, no la entrada.

Sobre el fallo del ICS échale un ojo a est:
http://www.forosdelweb.com/showpost....98&postcount=2

Saludos.
  #9 (permalink)  
Antiguo 07/12/2005, 11:40
 
Fecha de Ingreso: noviembre-2003
Ubicación: España
Mensajes: 212
Antigüedad: 21 años
Puntos: 3
Cita:
Iniciado por jariza
...me refiero a todo, a lo mejor sólo "blindaste" la salida, no la entrada...
Pues es posible que haya sido así. En cualquier caso veo que el tema va a ser muchísimo más complejo de lo que suponía.

Buscaré más información sobre "Firewalls y seguridad en redes locales".

Gracias por tu ayuda.

Un saludo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:54.