[Articulo - Seguridad] Sobre el Firewall de XP - SP2 (parte 1)

Cierto, eso puede traer problemas serios para quien, usando un cortafuegos
de terceros, instale el SP2, tendría que ponerlo bien en grande antes de
instalar el SP2


==> Jaume Vila
AMD Athlon 2600+
ASUS A7N8X-Deluxe
2x256 Dual DDR Kingston
Hercules ATi 9200 SE
==> "ABC" escribió en el mensaje
news:eVN8jK$
> Tengo entendido que es incompatible el uso de 2 cortafuegos a la vez. Si
> esto es cierto, ¿habría que quitar el que se tuviera de terceros antes

la
> actualización?, o ¿el sp2 contempla el uso simultaneo con cortafuegos de
> terceros?.
>
> Gracias.
> Un saludo.
>
> "JM Tella Llop [MVP Windows] ·" escribió en el

> news:OR7Gpm%
> pues esperate. que faltan por lo menos dos articulos más.
>
> Jose Manuel Tella Llop
> MVP - Windows
>
> http://www.multingles.net/jmt.htm
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,

no
> otorga ningún derecho.
> This posting is provided "AS IS" with no warranties, and confers no
rights.
> You assume all risk for your use.
>
>
> "Daniel Martín" wrote in message
> news:elzg0k%
> Gracias.
>
> De verdad me ha sorprendido muy gratamente el cortafuegos del SP2, es
> completísimo.
>
> Un saludo,
> Daniel Martín
> E-Mail:
>
>
> "JM Tella Llop [MVP Windows] ·" wrote in message
> news:
> (aplicable tambien a sucesivos cambios en W2003 y siguientes versiones

> windows)
>
>
> SOBRE EL FIREWALL DE XP - SP2
>
> (este articulo está basado en la traduccion de documentos de MS sobre la
> implementacion de dicho firewall. Aunque todavía, dichos documentos
> corresponden a la fase beta del SP2, está lo suficientemente avanzada,

> como su documentacion, como para poder presuponer que son la
implementacion
> final del firewall).
>
> ACTIVADO POR DEFECTO
>
> El firewall (ICF) se activará por defecto en todas las interfaces de

> Igualmente se activará posteriormente en cada nueva interface de red
añadida
> al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se
instala,
> por ejemplo al instalar el Advancing Networking Pack).
>
> CAMBIOS IMPORTANTES
> -
>
> Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por

El
> usuario necesitaba realizar la conexion a traves de los asistentes para
que
> este se activase, o bien tener los conocimientos sobre las propiedades

> las pestañas de conexion de red para activarlo. Debido a ello, existen
> maquinas en la red con el firewall desactivado.
> Haciendo que el ICF quede activado por defecto, los PC's quedan

> contra ataques basados en la red. Por ejemplo, si ICF hubiese estado
> activado, el reciente ataque del MSBlaster hubiese sido reducido.
>
> SEGURIDAD EN TIEMPO DE BOOT
>
>
> En la actualidad (previo al SP2), existe un intervalo de tiempo entre

el
> stack de la red ha arrancado y cualquier servicio de firewall -incluido

> ICF- da proteccion a la red. Esto es debido a que los drivers de los
> firewall no pueden arrancar el filtro hasta que el servicio de firewall
esté
> arrancado y se apliquen sus reglas. Los servicios de firewall tienen
> dependencias establecidas (por ejemplo dependen de los servicios de red

> que la pila tcp esté totalmente arrancada). Aunque este periodo de

es
> pequeño y depende de la velocidad de la maquina, durante ese brece lapso
de
> tiempo una maquina está desprotegida.
>
> En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla
> estatica especifica de proteccion. Esta regla se denomina "boot-time
> policy", la cual permite a la maquina realizar tareas basicas de red

> DNS y DHCP y comunicarse con el controlador de Dominio si existies para
> obtener las politicas. Una vez que el servicio de firewall está en
> ejecucion, carga y ejecuta la politica de ICF y remueve los filtros
> prefijados en tiempo de boot. La politica de boot-time *no* puede
> reconfigurarse y por tanto da seguridad completa a la red.
>
> Evidenteente estas politicas y esta seguridad no existe si el firewall
está
> desactivado.
>
>
> ¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
>
> Con este cambio, la maquina está mas protegida de posibles ataques en

> momentos de encendido y apagado que los cortafuegos no son capaces de
> controlar.
>
>
> CONFIGURACION GLOBAL
>
> En anteriores versiones del ICF de windows, este podia configurarse para
> cada interface de red. De esta forma, cada interfaz de red, tenía sus
> propias reglas. Esto puede conllevar un dificultad añadidad para
sondronicar
> las reglas entre distintas conexiones. Admás, las nuevas conexiones no
> tendrian ninguno de los cambios en la configuracion que se hayan ido
> aplicando a las conexiones existentes.
> Con la configuracion "global" de ICF, cuando ocurre un cambio en la
> configuracion, este se aplica a todas las conexiones de red. Esto

> nuevas conexiones cuando sean creadas.
> Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6,
> soportará configuraciones globales y tambien por cada interface de red.
>
>
> ¿CUAL ES EL CAMBIO IMPORTANTE?
>
>
> Al tener reglas y politicas globales, es mas facil de cara a un usuario
> final el control de las politicas del firewall en todas las conexiones

> red. Igualmente permite activar aplicaciones para trabajar con cualquier
> interface de red con una simple opcion en la configuracion.
>
>
> RESTRICCION A LA SUBRED LOCAL
>
> Por defecto, cuando creamos una regla para permitir trafico en un

> este quedará abierto globalmente -se permite trafico desde cualquier
> direccion de red-.
> En el SP2 de Windows XP, se puede configurar para que el puerto solo
reciba
> trafico de red de su subred local quedano protegido igualmente de las
> maquina externas a su red local (internet).
> Se recomienda aplicar la restriccion a la subred local a cualquier

> estatico usado para comunicarse con la red local.
>
> ¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
>
> Alguna aplicaciones necesitan comunicarse con otras maquinas en la red
loca
> y no con maquinas en internet. Permitiendo a los puertos comunicarse
> unicamente con la subred local se restringe el alcance de quienes pueden
> acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a
> puertos que esten abiertos para cualquier localizacion.
>
>
> Continuara...
>
> Jose Manuel Tella Llop
> MVP - Windows
>
> http://www.multingles.net/jmt.htm
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,

no
> otorga ningún derecho.
> This posting is provided "AS IS" with no warranties, and confers no
rights.
> You assume all risk for your use.
>
>
>

Gracias JM.

¿Esto no puede provocar que tengan problemas legales con los "terceros"?,
¿qué se dice por los privados?

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:%23L4RuO$
No es posible nunca tener dos cortafuegos ya que "atacan" a la misma capa: a
la capa NDIS.

En la beta, se ha comentado en lso foros privados la posible problematica
con esta casuistica.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"ABC" wrote in message
news:eVN8jK$

Tengo entendido que es incompatible el uso de 2 cortafuegos a la vez. Si
esto es cierto, ¿habría que quitar el que se tuviera de terceros antes de

la

actualización?, o ¿el sp2 contempla el uso simultaneo con cortafuegos de
terceros?.

Gracias.
Un saludo.

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:OR7Gpm%
pues esperate. que faltan por lo menos dos articulos más.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.


"Daniel Martín" wrote in message
news:elzg0k%
Gracias.

De verdad me ha sorprendido muy gratamente el cortafuegos del SP2, es
completísimo.

Un saludo,
Daniel Martín
E-Mail:


"JM Tella Llop [MVP Windows] ·" wrote in message
news:
(aplicable tambien a sucesivos cambios en W2003 y siguientes versiones de
windows)


SOBRE EL FIREWALL DE XP - SP2

(este articulo está basado en la traduccion de documentos de MS sobre la
implementacion de dicho firewall. Aunque todavía, dichos documentos
corresponden a la fase beta del SP2, está lo suficientemente avanzada, así
como su documentacion, como para poder presuponer que son la

implementacion

final del firewall).

ACTIVADO POR DEFECTO

El firewall (ICF) se activará por defecto en todas las interfaces de red.
Igualmente se activará posteriormente en cada nueva interface de red

añadida

al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se

instala,

por ejemplo al instalar el Advancing Networking Pack).

CAMBIOS IMPORTANTES
-

Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por defecto.

El

usuario necesitaba realizar la conexion a traves de los asistentes para

que

este se activase, o bien tener los conocimientos sobre las propiedades de
las pestañas de conexion de red para activarlo. Debido a ello, existen
maquinas en la red con el firewall desactivado.
Haciendo que el ICF quede activado por defecto, los PC's quedan protegidos
contra ataques basados en la red. Por ejemplo, si ICF hubiese estado
activado, el reciente ataque del MSBlaster hubiese sido reducido.

SEGURIDAD EN TIEMPO DE BOOT


En la actualidad (previo al SP2), existe un intervalo de tiempo entre que

el

stack de la red ha arrancado y cualquier servicio de firewall -incluido el
ICF- da proteccion a la red. Esto es debido a que los drivers de los
firewall no pueden arrancar el filtro hasta que el servicio de firewall

esté

arrancado y se apliquen sus reglas. Los servicios de firewall tienen
dependencias establecidas (por ejemplo dependen de los servicios de red y
que la pila tcp esté totalmente arrancada). Aunque este periodo de tiempo

es

pequeño y depende de la velocidad de la maquina, durante ese brece lapso

de

tiempo una maquina está desprotegida.

En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla
estatica especifica de proteccion. Esta regla se denomina "boot-time
policy", la cual permite a la maquina realizar tareas basicas de red como
DNS y DHCP y comunicarse con el controlador de Dominio si existies para
obtener las politicas. Una vez que el servicio de firewall está en
ejecucion, carga y ejecuta la politica de ICF y remueve los filtros
prefijados en tiempo de boot. La politica de boot-time *no* puede
reconfigurarse y por tanto da seguridad completa a la red.

Evidenteente estas politicas y esta seguridad no existe si el firewall

está

desactivado.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Con este cambio, la maquina está mas protegida de posibles ataques en los
momentos de encendido y apagado que los cortafuegos no son capaces de
controlar.


CONFIGURACION GLOBAL

En anteriores versiones del ICF de windows, este podia configurarse para
cada interface de red. De esta forma, cada interfaz de red, tenía sus
propias reglas. Esto puede conllevar un dificultad añadidad para

sondronicar

las reglas entre distintas conexiones. Admás, las nuevas conexiones no
tendrian ninguno de los cambios en la configuracion que se hayan ido
aplicando a las conexiones existentes.
Con la configuracion "global" de ICF, cuando ocurre un cambio en la
configuracion, este se aplica a todas las conexiones de red. Esto incluirá
nuevas conexiones cuando sean creadas.
Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6,
soportará configuraciones globales y tambien por cada interface de red.


¿CUAL ES EL CAMBIO IMPORTANTE?


Al tener reglas y politicas globales, es mas facil de cara a un usuario
final el control de las politicas del firewall en todas las conexiones de
red. Igualmente permite activar aplicaciones para trabajar con cualquier
interface de red con una simple opcion en la configuracion.


RESTRICCION A LA SUBRED LOCAL

Por defecto, cuando creamos una regla para permitir trafico en un puerto,
este quedará abierto globalmente -se permite trafico desde cualquier
direccion de red-.
En el SP2 de Windows XP, se puede configurar para que el puerto solo

reciba

trafico de red de su subred local quedano protegido igualmente de las
maquina externas a su red local (internet).
Se recomienda aplicar la restriccion a la subred local a cualquier puerto
estatico usado para comunicarse con la red local.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Alguna aplicaciones necesitan comunicarse con otras maquinas en la red

loca

y no con maquinas en internet. Permitiendo a los puertos comunicarse
unicamente con la subred local se restringe el alcance de quienes pueden
acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a
puertos que esten abiertos para cualquier localizacion.


Continuara...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.

Gracias JM.

¿Esto no puede provocar que tengan problemas legales con los "terceros"?,
¿qué se dice por los privados?

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:%23L4RuO$
No es posible nunca tener dos cortafuegos ya que "atacan" a la misma capa: a
la capa NDIS.

En la beta, se ha comentado en lso foros privados la posible problematica
con esta casuistica.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"ABC" wrote in message
news:eVN8jK$

Tengo entendido que es incompatible el uso de 2 cortafuegos a la vez. Si
esto es cierto, ¿habría que quitar el que se tuviera de terceros antes de

la

actualización?, o ¿el sp2 contempla el uso simultaneo con cortafuegos de
terceros?.

Gracias.
Un saludo.

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:OR7Gpm%
pues esperate. que faltan por lo menos dos articulos más.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.


"Daniel Martín" wrote in message
news:elzg0k%
Gracias.

De verdad me ha sorprendido muy gratamente el cortafuegos del SP2, es
completísimo.

Un saludo,
Daniel Martín
E-Mail:


"JM Tella Llop [MVP Windows] ·" wrote in message
news:
(aplicable tambien a sucesivos cambios en W2003 y siguientes versiones de
windows)


SOBRE EL FIREWALL DE XP - SP2

(este articulo está basado en la traduccion de documentos de MS sobre la
implementacion de dicho firewall. Aunque todavía, dichos documentos
corresponden a la fase beta del SP2, está lo suficientemente avanzada, así
como su documentacion, como para poder presuponer que son la

implementacion

final del firewall).

ACTIVADO POR DEFECTO

El firewall (ICF) se activará por defecto en todas las interfaces de red.
Igualmente se activará posteriormente en cada nueva interface de red

añadida

al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se

instala,

por ejemplo al instalar el Advancing Networking Pack).

CAMBIOS IMPORTANTES
-

Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por defecto.

El

usuario necesitaba realizar la conexion a traves de los asistentes para

que

este se activase, o bien tener los conocimientos sobre las propiedades de
las pestañas de conexion de red para activarlo. Debido a ello, existen
maquinas en la red con el firewall desactivado.
Haciendo que el ICF quede activado por defecto, los PC's quedan protegidos
contra ataques basados en la red. Por ejemplo, si ICF hubiese estado
activado, el reciente ataque del MSBlaster hubiese sido reducido.

SEGURIDAD EN TIEMPO DE BOOT


En la actualidad (previo al SP2), existe un intervalo de tiempo entre que

el

stack de la red ha arrancado y cualquier servicio de firewall -incluido el
ICF- da proteccion a la red. Esto es debido a que los drivers de los
firewall no pueden arrancar el filtro hasta que el servicio de firewall

esté

arrancado y se apliquen sus reglas. Los servicios de firewall tienen
dependencias establecidas (por ejemplo dependen de los servicios de red y
que la pila tcp esté totalmente arrancada). Aunque este periodo de tiempo

es

pequeño y depende de la velocidad de la maquina, durante ese brece lapso

de

tiempo una maquina está desprotegida.

En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla
estatica especifica de proteccion. Esta regla se denomina "boot-time
policy", la cual permite a la maquina realizar tareas basicas de red como
DNS y DHCP y comunicarse con el controlador de Dominio si existies para
obtener las politicas. Una vez que el servicio de firewall está en
ejecucion, carga y ejecuta la politica de ICF y remueve los filtros
prefijados en tiempo de boot. La politica de boot-time *no* puede
reconfigurarse y por tanto da seguridad completa a la red.

Evidenteente estas politicas y esta seguridad no existe si el firewall

está

desactivado.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Con este cambio, la maquina está mas protegida de posibles ataques en los
momentos de encendido y apagado que los cortafuegos no son capaces de
controlar.


CONFIGURACION GLOBAL

En anteriores versiones del ICF de windows, este podia configurarse para
cada interface de red. De esta forma, cada interfaz de red, tenía sus
propias reglas. Esto puede conllevar un dificultad añadidad para

sondronicar

las reglas entre distintas conexiones. Admás, las nuevas conexiones no
tendrian ninguno de los cambios en la configuracion que se hayan ido
aplicando a las conexiones existentes.
Con la configuracion "global" de ICF, cuando ocurre un cambio en la
configuracion, este se aplica a todas las conexiones de red. Esto incluirá
nuevas conexiones cuando sean creadas.
Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6,
soportará configuraciones globales y tambien por cada interface de red.


¿CUAL ES EL CAMBIO IMPORTANTE?


Al tener reglas y politicas globales, es mas facil de cara a un usuario
final el control de las politicas del firewall en todas las conexiones de
red. Igualmente permite activar aplicaciones para trabajar con cualquier
interface de red con una simple opcion en la configuracion.


RESTRICCION A LA SUBRED LOCAL

Por defecto, cuando creamos una regla para permitir trafico en un puerto,
este quedará abierto globalmente -se permite trafico desde cualquier
direccion de red-.
En el SP2 de Windows XP, se puede configurar para que el puerto solo

reciba

trafico de red de su subred local quedano protegido igualmente de las
maquina externas a su red local (internet).
Se recomienda aplicar la restriccion a la subred local a cualquier puerto
estatico usado para comunicarse con la red local.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Alguna aplicaciones necesitan comunicarse con otras maquinas en la red

loca

y no con maquinas en internet. Permitiendo a los puertos comunicarse
unicamente con la subred local se restringe el alcance de quienes pueden
acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a
puertos que esten abiertos para cualquier localizacion.


Continuara...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.

Gracias JM.

¿Esto no puede provocar que tengan problemas legales con los "terceros"?,
¿qué se dice por los privados?

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:%23L4RuO$
No es posible nunca tener dos cortafuegos ya que "atacan" a la misma capa:

la capa NDIS.

En la beta, se ha comentado en lso foros privados la posible problematica
con esta casuistica.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

You assume all risk for your use.


"ABC" wrote in message
news:eVN8jK$

Tengo entendido que es incompatible el uso de 2 cortafuegos a la vez. Si
esto es cierto, ¿habría que quitar el que se tuviera de terceros antes de

la

actualización?, o ¿el sp2 contempla el uso simultaneo con cortafuegos de
terceros?.

Gracias.
Un saludo.

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:OR7Gpm%
pues esperate. que faltan por lo menos dos articulos más.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.


"Daniel Martín" wrote in message
news:elzg0k%
Gracias.

De verdad me ha sorprendido muy gratamente el cortafuegos del SP2, es
completísimo.

Un saludo,
Daniel Martín
E-Mail:


"JM Tella Llop [MVP Windows] ·" wrote in message
news:
(aplicable tambien a sucesivos cambios en W2003 y siguientes versiones de
windows)


SOBRE EL FIREWALL DE XP - SP2

(este articulo está basado en la traduccion de documentos de MS sobre la
implementacion de dicho firewall. Aunque todavía, dichos documentos
corresponden a la fase beta del SP2, está lo suficientemente avanzada,

como su documentacion, como para poder presuponer que son la

implementacion

final del firewall).

ACTIVADO POR DEFECTO

El firewall (ICF) se activará por defecto en todas las interfaces de red.
Igualmente se activará posteriormente en cada nueva interface de red

añadida

al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se

instala,

por ejemplo al instalar el Advancing Networking Pack).

CAMBIOS IMPORTANTES
-

Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por defecto.

El

usuario necesitaba realizar la conexion a traves de los asistentes para

que

este se activase, o bien tener los conocimientos sobre las propiedades de
las pestañas de conexion de red para activarlo. Debido a ello, existen
maquinas en la red con el firewall desactivado.
Haciendo que el ICF quede activado por defecto, los PC's quedan

contra ataques basados en la red. Por ejemplo, si ICF hubiese estado
activado, el reciente ataque del MSBlaster hubiese sido reducido.

SEGURIDAD EN TIEMPO DE BOOT


En la actualidad (previo al SP2), existe un intervalo de tiempo entre que

el

stack de la red ha arrancado y cualquier servicio de firewall -incluido

ICF- da proteccion a la red. Esto es debido a que los drivers de los
firewall no pueden arrancar el filtro hasta que el servicio de firewall

esté

arrancado y se apliquen sus reglas. Los servicios de firewall tienen
dependencias establecidas (por ejemplo dependen de los servicios de red y
que la pila tcp esté totalmente arrancada). Aunque este periodo de tiempo

es

pequeño y depende de la velocidad de la maquina, durante ese brece lapso

de

tiempo una maquina está desprotegida.

En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla
estatica especifica de proteccion. Esta regla se denomina "boot-time
policy", la cual permite a la maquina realizar tareas basicas de red como
DNS y DHCP y comunicarse con el controlador de Dominio si existies para
obtener las politicas. Una vez que el servicio de firewall está en
ejecucion, carga y ejecuta la politica de ICF y remueve los filtros
prefijados en tiempo de boot. La politica de boot-time *no* puede
reconfigurarse y por tanto da seguridad completa a la red.

Evidenteente estas politicas y esta seguridad no existe si el firewall

está

desactivado.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Con este cambio, la maquina está mas protegida de posibles ataques en los
momentos de encendido y apagado que los cortafuegos no son capaces de
controlar.


CONFIGURACION GLOBAL

En anteriores versiones del ICF de windows, este podia configurarse para
cada interface de red. De esta forma, cada interfaz de red, tenía sus
propias reglas. Esto puede conllevar un dificultad añadidad para

sondronicar

las reglas entre distintas conexiones. Admás, las nuevas conexiones no
tendrian ninguno de los cambios en la configuracion que se hayan ido
aplicando a las conexiones existentes.
Con la configuracion "global" de ICF, cuando ocurre un cambio en la
configuracion, este se aplica a todas las conexiones de red. Esto

nuevas conexiones cuando sean creadas.
Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6,
soportará configuraciones globales y tambien por cada interface de red.


¿CUAL ES EL CAMBIO IMPORTANTE?


Al tener reglas y politicas globales, es mas facil de cara a un usuario
final el control de las politicas del firewall en todas las conexiones de
red. Igualmente permite activar aplicaciones para trabajar con cualquier
interface de red con una simple opcion en la configuracion.


RESTRICCION A LA SUBRED LOCAL

Por defecto, cuando creamos una regla para permitir trafico en un puerto,
este quedará abierto globalmente -se permite trafico desde cualquier
direccion de red-.
En el SP2 de Windows XP, se puede configurar para que el puerto solo

reciba

trafico de red de su subred local quedano protegido igualmente de las
maquina externas a su red local (internet).
Se recomienda aplicar la restriccion a la subred local a cualquier puerto
estatico usado para comunicarse con la red local.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Alguna aplicaciones necesitan comunicarse con otras maquinas en la red

loca

y no con maquinas en internet. Permitiendo a los puertos comunicarse
unicamente con la subred local se restringe el alcance de quienes pueden
acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a
puertos que esten abiertos para cualquier localizacion.


Continuara...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.

Gracias JM.

¿Esto no puede provocar que tengan problemas legales con los "terceros"?,
¿qué se dice por los privados?

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:%23L4RuO$
No es posible nunca tener dos cortafuegos ya que "atacan" a la misma capa:

la capa NDIS.

En la beta, se ha comentado en lso foros privados la posible problematica
con esta casuistica.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

You assume all risk for your use.


"ABC" wrote in message
news:eVN8jK$

Tengo entendido que es incompatible el uso de 2 cortafuegos a la vez. Si
esto es cierto, ¿habría que quitar el que se tuviera de terceros antes de

la

actualización?, o ¿el sp2 contempla el uso simultaneo con cortafuegos de
terceros?.

Gracias.
Un saludo.

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:OR7Gpm%
pues esperate. que faltan por lo menos dos articulos más.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.


"Daniel Martín" wrote in message
news:elzg0k%
Gracias.

De verdad me ha sorprendido muy gratamente el cortafuegos del SP2, es
completísimo.

Un saludo,
Daniel Martín
E-Mail:


"JM Tella Llop [MVP Windows] ·" wrote in message
news:
(aplicable tambien a sucesivos cambios en W2003 y siguientes versiones de
windows)


SOBRE EL FIREWALL DE XP - SP2

(este articulo está basado en la traduccion de documentos de MS sobre la
implementacion de dicho firewall. Aunque todavía, dichos documentos
corresponden a la fase beta del SP2, está lo suficientemente avanzada,

como su documentacion, como para poder presuponer que son la

implementacion

final del firewall).

ACTIVADO POR DEFECTO

El firewall (ICF) se activará por defecto en todas las interfaces de red.
Igualmente se activará posteriormente en cada nueva interface de red

añadida

al sistema. ICF excaurá tanto en IPv4 como en la nueva IPv6 (que se

instala,

por ejemplo al instalar el Advancing Networking Pack).

CAMBIOS IMPORTANTES
-

Anteriormente al SP2 de XP, Windows XP tenía ICF desactivado por defecto.

El

usuario necesitaba realizar la conexion a traves de los asistentes para

que

este se activase, o bien tener los conocimientos sobre las propiedades de
las pestañas de conexion de red para activarlo. Debido a ello, existen
maquinas en la red con el firewall desactivado.
Haciendo que el ICF quede activado por defecto, los PC's quedan

contra ataques basados en la red. Por ejemplo, si ICF hubiese estado
activado, el reciente ataque del MSBlaster hubiese sido reducido.

SEGURIDAD EN TIEMPO DE BOOT


En la actualidad (previo al SP2), existe un intervalo de tiempo entre que

el

stack de la red ha arrancado y cualquier servicio de firewall -incluido

ICF- da proteccion a la red. Esto es debido a que los drivers de los
firewall no pueden arrancar el filtro hasta que el servicio de firewall

esté

arrancado y se apliquen sus reglas. Los servicios de firewall tienen
dependencias establecidas (por ejemplo dependen de los servicios de red y
que la pila tcp esté totalmente arrancada). Aunque este periodo de tiempo

es

pequeño y depende de la velocidad de la maquina, durante ese brece lapso

de

tiempo una maquina está desprotegida.

En el SP2 de XP con su nievo ICF, el driver de firewall tiene una regla
estatica especifica de proteccion. Esta regla se denomina "boot-time
policy", la cual permite a la maquina realizar tareas basicas de red como
DNS y DHCP y comunicarse con el controlador de Dominio si existies para
obtener las politicas. Una vez que el servicio de firewall está en
ejecucion, carga y ejecuta la politica de ICF y remueve los filtros
prefijados en tiempo de boot. La politica de boot-time *no* puede
reconfigurarse y por tanto da seguridad completa a la red.

Evidenteente estas politicas y esta seguridad no existe si el firewall

está

desactivado.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Con este cambio, la maquina está mas protegida de posibles ataques en los
momentos de encendido y apagado que los cortafuegos no son capaces de
controlar.


CONFIGURACION GLOBAL

En anteriores versiones del ICF de windows, este podia configurarse para
cada interface de red. De esta forma, cada interfaz de red, tenía sus
propias reglas. Esto puede conllevar un dificultad añadidad para

sondronicar

las reglas entre distintas conexiones. Admás, las nuevas conexiones no
tendrian ninguno de los cambios en la configuracion que se hayan ido
aplicando a las conexiones existentes.
Con la configuracion "global" de ICF, cuando ocurre un cambio en la
configuracion, este se aplica a todas las conexiones de red. Esto

nuevas conexiones cuando sean creadas.
Este cambio es aplicable a ICF para IPv4. Por contra, ICF para IPv6,
soportará configuraciones globales y tambien por cada interface de red.


¿CUAL ES EL CAMBIO IMPORTANTE?


Al tener reglas y politicas globales, es mas facil de cara a un usuario
final el control de las politicas del firewall en todas las conexiones de
red. Igualmente permite activar aplicaciones para trabajar con cualquier
interface de red con una simple opcion en la configuracion.


RESTRICCION A LA SUBRED LOCAL

Por defecto, cuando creamos una regla para permitir trafico en un puerto,
este quedará abierto globalmente -se permite trafico desde cualquier
direccion de red-.
En el SP2 de Windows XP, se puede configurar para que el puerto solo

reciba

trafico de red de su subred local quedano protegido igualmente de las
maquina externas a su red local (internet).
Se recomienda aplicar la restriccion a la subred local a cualquier puerto
estatico usado para comunicarse con la red local.

¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Alguna aplicaciones necesitan comunicarse con otras maquinas en la red

loca

y no con maquinas en internet. Permitiendo a los puertos comunicarse
unicamente con la subred local se restringe el alcance de quienes pueden
acceder a ese puerto. Esto mitiga ataques que pueden ocurrir debido a
puertos que esten abiertos para cualquier localizacion.


Continuara...

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.