[Articulo - Seguridad] Sobre el Firewall de XP - SP2 (parte 2)

thx!


Saludos,
Enrique Cortés
Windows XP Pro 2600-SP1


Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL


Cuando el servicio de compartir archivos e impresoras esta activado, cuatro puertos especificos se
ven afectados por wl acceso restringido de la subred local. Los siguientes puertos pueden recibir
entonces trafico desde la subred local:

UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445

Si alguna otra aplicacion especifica no de windows usase esos puertos al no estar activado el
servicio de compartir archivos e impresoras de windows, solo podrá comunicarse con la sibred local y
no con el exterior.

SOPORTE EN LA LINEA DE COMANDOS
-

El soporte para ICF se añade en Windows XP al instalar el Advanced Networking Pack. Pero este
soporte solo era aplicable al ICF IPv6. Con el SP2 de XP, la estructura cambia y se añade soporte
para incluir soporte para configurar el ICF completo. De esta manera, podemos:

* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para permitir acceso global o
acceso restringido a la subred local o cuando los puertos pueden ser para todas las interfaces o
para una interfaz de red en particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF

Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la funcionalidad es especifica del ICF
solamente.

¿CUAL ES EL CAMBIO IMPORTANTE?


Permitir a los administradores un metodo abreviado de configuracion a traves de secuencias de
comandos sin necesidad de usar la interface grafica. Por tanto esta configuracion puede manejarse
con scripts remotamente.


MODO DE OPERACION 'SHIELDED'
-

(literalmente "escudado". Pero no se ha decidido todavía el nombre definitivo con que saldrá).

ICF podría configurarse para permitir trafico de llamadas entrantes no solicitadas durante su uso
normal.

Esto es tipico para poder compartir archivos e impresoras. Si se descubre un intento de acceso de
seguridad no solicitado en uno o mas de los servicios de escuha de windows, puede ser necesario
cambiar de modo solo-cliente añ modo escudado (shielded). Este cambio de modo reconfigura
automaticamente ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de
reconfigurar el firewall.

En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada mediante API de un
programa interno quedará registrada, pero no será aplicable por ICF hasta que su modo operacional
vuelva a la situacion de operacion normal. Todas las peticiones de "escucha" por parte de las
aplicaciones tambien serán ignoradas.

Esto se aplica tanto a ICFv4 como ICF IPv6.

(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir, cuando ICF descubre que
alguien está intentado usar puertos conocidos de servicios del sistema y que en vez de ser
peticiones normales, parecen de un intento de artaque, ICF sepone en modo "paranoico", y bloquea
temporalmente todos los accesos de entrada a la maquina)


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Los virus, gusanos y atacantes miran los puertos para establecer su ataque. Cuando ICF está en modo
operacional prevendrá que estos tipos de ataque puedan resultar exitosos.


¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

En este modo de operacion, la maquina no escuchará peticiones originadas desde la red. Solo las
conexiones salientes y autorizadas tendrán exito.


LISTA DE PERMISOS Y APLICACIONES EN EL ICF


Algunas aplicaciones actuan como clientes y servidores. Cuando intenten actuar como serivodres
necesitaremos autorizar el trafico entrante.

En anteriores versiones de windows, era necesario definir los puertos previamente o bien la
aplicacion necesitaba llamar al API de configuracion para establecer los puertos por los que iba a
escuchar. Esto es realmente dificultoso en comunicaciones peer-to-peer cuando los puertos no son
conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los puertos creados cuando
la aplicacion finalizaba.

Adicionalmente estos puertos podian ser abiertos solo cuando las aplicaciones rodaban en un contexto
de seguridad o en la cuenta del administrador local. Esto viola el principio de menor privilegio el
requerir que las aplicaciones se ejecutasen en contextos administravos, en contra de usar solo los
minimos privilegios necesarios en cada cuenta de la maquina.

Con el SP2, una aplicacion que necesite escuchar en un puerto de la red, puede ser añadida a la
lista de permisos de ICF. Si una aplicacion está en la lista de permisos de ICF, Windows
automaticamente abrirá los puertos que necesite mirando el contexto de seguridad de la aplicacion.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos necesarios para esa
aplicacion estarán abiertos, y *solo* estaran abiertos durante el tiempo en que esa aplicacion los
tenga en escucha.

Esto tambien permite que aplicaciones que esten escucahndo en un puerto se puedan ahora ejecutar con
los permisos de un usuario normal. En anteriores versiones de windows, estas aplicaciones debian
ejecutarse con permisos administrativos.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

thx!


Saludos,
Enrique Cortés
Windows XP Pro 2600-SP1


Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL


Cuando el servicio de compartir archivos e impresoras esta activado, cuatro puertos especificos se
ven afectados por wl acceso restringido de la subred local. Los siguientes puertos pueden recibir
entonces trafico desde la subred local:

UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445

Si alguna otra aplicacion especifica no de windows usase esos puertos al no estar activado el
servicio de compartir archivos e impresoras de windows, solo podrá comunicarse con la sibred local y
no con el exterior.

SOPORTE EN LA LINEA DE COMANDOS
-

El soporte para ICF se añade en Windows XP al instalar el Advanced Networking Pack. Pero este
soporte solo era aplicable al ICF IPv6. Con el SP2 de XP, la estructura cambia y se añade soporte
para incluir soporte para configurar el ICF completo. De esta manera, podemos:

* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para permitir acceso global o
acceso restringido a la subred local o cuando los puertos pueden ser para todas las interfaces o
para una interfaz de red en particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF

Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la funcionalidad es especifica del ICF
solamente.

¿CUAL ES EL CAMBIO IMPORTANTE?


Permitir a los administradores un metodo abreviado de configuracion a traves de secuencias de
comandos sin necesidad de usar la interface grafica. Por tanto esta configuracion puede manejarse
con scripts remotamente.


MODO DE OPERACION 'SHIELDED'
-

(literalmente "escudado". Pero no se ha decidido todavía el nombre definitivo con que saldrá).

ICF podría configurarse para permitir trafico de llamadas entrantes no solicitadas durante su uso
normal.

Esto es tipico para poder compartir archivos e impresoras. Si se descubre un intento de acceso de
seguridad no solicitado en uno o mas de los servicios de escuha de windows, puede ser necesario
cambiar de modo solo-cliente añ modo escudado (shielded). Este cambio de modo reconfigura
automaticamente ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de
reconfigurar el firewall.

En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada mediante API de un
programa interno quedará registrada, pero no será aplicable por ICF hasta que su modo operacional
vuelva a la situacion de operacion normal. Todas las peticiones de "escucha" por parte de las
aplicaciones tambien serán ignoradas.

Esto se aplica tanto a ICFv4 como ICF IPv6.

(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir, cuando ICF descubre que
alguien está intentado usar puertos conocidos de servicios del sistema y que en vez de ser
peticiones normales, parecen de un intento de artaque, ICF sepone en modo "paranoico", y bloquea
temporalmente todos los accesos de entrada a la maquina)


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Los virus, gusanos y atacantes miran los puertos para establecer su ataque. Cuando ICF está en modo
operacional prevendrá que estos tipos de ataque puedan resultar exitosos.


¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

En este modo de operacion, la maquina no escuchará peticiones originadas desde la red. Solo las
conexiones salientes y autorizadas tendrán exito.


LISTA DE PERMISOS Y APLICACIONES EN EL ICF


Algunas aplicaciones actuan como clientes y servidores. Cuando intenten actuar como serivodres
necesitaremos autorizar el trafico entrante.

En anteriores versiones de windows, era necesario definir los puertos previamente o bien la
aplicacion necesitaba llamar al API de configuracion para establecer los puertos por los que iba a
escuchar. Esto es realmente dificultoso en comunicaciones peer-to-peer cuando los puertos no son
conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los puertos creados cuando
la aplicacion finalizaba.

Adicionalmente estos puertos podian ser abiertos solo cuando las aplicaciones rodaban en un contexto
de seguridad o en la cuenta del administrador local. Esto viola el principio de menor privilegio el
requerir que las aplicaciones se ejecutasen en contextos administravos, en contra de usar solo los
minimos privilegios necesarios en cada cuenta de la maquina.

Con el SP2, una aplicacion que necesite escuchar en un puerto de la red, puede ser añadida a la
lista de permisos de ICF. Si una aplicacion está en la lista de permisos de ICF, Windows
automaticamente abrirá los puertos que necesite mirando el contexto de seguridad de la aplicacion.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos necesarios para esa
aplicacion estarán abiertos, y *solo* estaran abiertos durante el tiempo en que esa aplicacion los
tenga en escucha.

Esto tambien permite que aplicaciones que esten escucahndo en un puerto se puedan ahora ejecutar con
los permisos de un usuario normal. En anteriores versiones de windows, estas aplicaciones debian
ejecutarse con permisos administrativos.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Hola, Dedos. ;-))))
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Se procura que los consejos y procedimientos dados sean válidos y
seguros desde el punto de vista técnico. No obstante, declino toda
responsabilidad sobre su uso, ya sea beneficioso o malicioso.

Es bien sabido que fue JM Tella Llop [MVP Windows] · [] quien
escribió el mensaje news:u#L7#:

Esto obligaba además a cerrar por la aplicacion todos los puertos

(llamame "dedos" anda)

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Marc Martínez Coll" wrote in message
news:
"Esto obligaba además a cerrar oir la aplicion todos los puertos creados
cuando la aplicacion finalizaba"
Lo estoy corrigiendo para la web, pero esta frase no la acabo de entender...
:S

Saludos
Marc Martínez Coll
-
news://marcmcoll.net Web: www.marcmcoll.net
E-mail: FTP: ftp://marcmcoll.net

Hola JM,

una cuestión que me intriga:

si he entendido bien tu artículo, parece que se controla el uso de
aplicaciones servidoras (LISTENING) en nuestra máquina. Perfecto. Pero ¿Qué
pasa con aplicaciones que conectan como cliente con un servidor externo?.
Algunos firewalls también detectan cuando una plicación quiere conectar con
una IP:puerto de internet y se puede bloquear su salida. Hay gusanos que no
están 'escuchando', sino que establecen una conexión cliente y envían
información.¿Tendrá también esto tratamiento?.

Por lo que he entendido la idea es que no entren, pero ¿qué pasa si ya están
dentro?, ¿me avisará ICF que hay una aplicación que está queriendo salir a
internet con la opción de dejerla o bloquearla?. En otras palabras: si una
aplicación (independientemente que sea del sistema o de terceros) de mi
ordenador quiere conectarse con internet, yo quiero saberlo en el mismo
instante que se produzca y quiero poder tomar una decisión al respecto.
¿Está presvisto esto así?

Saludos y gracias por tus artículos,
José Carlos Percho
Madrid
http://www.percho.com
"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL


Cuando el servicio de compartir archivos e impresoras esta activado, cuatro
puertos especificos se ven afectados por wl acceso restringido de la subred
local. Los siguientes puertos pueden recibir entonces trafico desde la
subred local:

UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445

Si alguna otra aplicacion especifica no de windows usase esos puertos al no
estar activado el servicio de compartir archivos e impresoras de windows,
solo podrá comunicarse con la sibred local y no con el exterior.

SOPORTE EN LA LINEA DE COMANDOS
-

El soporte para ICF se añade en Windows XP al instalar el Advanced
Networking Pack. Pero este soporte solo era aplicable al ICF IPv6. Con el
SP2 de XP, la estructura cambia y se añade soporte para incluir soporte para
configurar el ICF completo. De esta manera, podemos:

* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para
permitir acceso global o acceso restringido a la subred local o cuando los
puertos pueden ser para todas las interfaces o para una interfaz de red en
particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message
Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF

Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la
funcionalidad es especifica del ICF solamente.

¿CUAL ES EL CAMBIO IMPORTANTE?


Permitir a los administradores un metodo abreviado de configuracion a traves
de secuencias de comandos sin necesidad de usar la interface grafica. Por
tanto esta configuracion puede manejarse con scripts remotamente.


MODO DE OPERACION 'SHIELDED'
-

(literalmente "escudado". Pero no se ha decidido todavía el nombre
definitivo con que saldrá).

ICF podría configurarse para permitir trafico de llamadas entrantes no
solicitadas durante su uso normal.

Esto es tipico para poder compartir archivos e impresoras. Si se descubre un
intento de acceso de seguridad no solicitado en uno o mas de los servicios
de escuha de windows, puede ser necesario cambiar de modo solo-cliente añ
modo escudado (shielded). Este cambio de modo reconfigura automaticamente
ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de
reconfigurar el firewall.

En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada
mediante API de un programa interno quedará registrada, pero no será
aplicable por ICF hasta que su modo operacional vuelva a la situacion de
operacion normal. Todas las peticiones de "escucha" por parte de las
aplicaciones tambien serán ignoradas.

Esto se aplica tanto a ICFv4 como ICF IPv6.

(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir,
cuando ICF descubre que alguien está intentado usar puertos conocidos de
servicios del sistema y que en vez de ser peticiones normales, parecen de un
intento de artaque, ICF sepone en modo "paranoico", y bloquea temporalmente
todos los accesos de entrada a la maquina)


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Los virus, gusanos y atacantes miran los puertos para establecer su ataque.
Cuando ICF está en modo operacional prevendrá que estos tipos de ataque
puedan resultar exitosos.


¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

En este modo de operacion, la maquina no escuchará peticiones originadas
desde la red. Solo las conexiones salientes y autorizadas tendrán exito.


LISTA DE PERMISOS Y APLICACIONES EN EL ICF


Algunas aplicaciones actuan como clientes y servidores. Cuando intenten
actuar como serivodres necesitaremos autorizar el trafico entrante.

En anteriores versiones de windows, era necesario definir los puertos
previamente o bien la aplicacion necesitaba llamar al API de configuracion
para establecer los puertos por los que iba a escuchar. Esto es realmente
dificultoso en comunicaciones peer-to-peer cuando los puertos no son
conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los
puertos creados cuando la aplicacion finalizaba.

Adicionalmente estos puertos podian ser abiertos solo cuando las
aplicaciones rodaban en un contexto de seguridad o en la cuenta del
administrador local. Esto viola el principio de menor privilegio el requerir
que las aplicaciones se ejecutasen en contextos administravos, en contra de
usar solo los minimos privilegios necesarios en cada cuenta de la maquina.

Con el SP2, una aplicacion que necesite escuchar en un puerto de la red,
puede ser añadida a la lista de permisos de ICF. Si una aplicacion está en
la lista de permisos de ICF, Windows automaticamente abrirá los puertos que
necesite mirando el contexto de seguridad de la aplicacion.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos
necesarios para esa aplicacion estarán abiertos, y *solo* estaran abiertos
durante el tiempo en que esa aplicacion los tenga en escucha.

Esto tambien permite que aplicaciones que esten escucahndo en un puerto se
puedan ahora ejecutar con los permisos de un usuario normal. En anteriores
versiones de windows, estas aplicaciones debian ejecutarse con permisos
administrativos.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Hola JM,

una cuestión que me intriga:

si he entendido bien tu artículo, parece que se controla el uso de
aplicaciones servidoras (LISTENING) en nuestra máquina. Perfecto. Pero ¿Qué
pasa con aplicaciones que conectan como cliente con un servidor externo?.
Algunos firewalls también detectan cuando una plicación quiere conectar con
una IP:puerto de internet y se puede bloquear su salida. Hay gusanos que no
están 'escuchando', sino que establecen una conexión cliente y envían
información.¿Tendrá también esto tratamiento?.

Por lo que he entendido la idea es que no entren, pero ¿qué pasa si ya están
dentro?, ¿me avisará ICF que hay una aplicación que está queriendo salir a
internet con la opción de dejerla o bloquearla?. En otras palabras: si una
aplicación (independientemente que sea del sistema o de terceros) de mi
ordenador quiere conectarse con internet, yo quiero saberlo en el mismo
instante que se produzca y quiero poder tomar una decisión al respecto.
¿Está presvisto esto así?

Saludos y gracias por tus artículos,
José Carlos Percho
Madrid
http://www.percho.com
"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
FUNCIONAMIENTO Y CONFIGURACION AUTOMATICA EN LA SUBRED LOCAL


Cuando el servicio de compartir archivos e impresoras esta activado, cuatro
puertos especificos se ven afectados por wl acceso restringido de la subred
local. Los siguientes puertos pueden recibir entonces trafico desde la
subred local:

UDP puerto 137
UDP puerto 138
TCP puerto 139
TCP puerto 445

Si alguna otra aplicacion especifica no de windows usase esos puertos al no
estar activado el servicio de compartir archivos e impresoras de windows,
solo podrá comunicarse con la sibred local y no con el exterior.

SOPORTE EN LA LINEA DE COMANDOS
-

El soporte para ICF se añade en Windows XP al instalar el Advanced
Networking Pack. Pero este soporte solo era aplicable al ICF IPv6. Con el
SP2 de XP, la estructura cambia y se añade soporte para incluir soporte para
configurar el ICF completo. De esta manera, podemos:

* Configurar el estado por defecto de ICF (Off, Enabled, Shielded)
* Configurar que puertes pueden ser abiertos, incluyendo puertos para
permitir acceso global o acceso restringido a la subred local o cuando los
puertos pueden ser para todas las interfaces o para una interfaz de red en
particular.
* Configurar opciones de logon.
* Configurar las opciones de manjo del ICMP (Internet Control Message
Protocol)
* Añadir o quitar aplicaciones de la lista de permiso del ICF

Esto se aplica tanto al ICF como al ICF IPv6, excepto cuando la
funcionalidad es especifica del ICF solamente.

¿CUAL ES EL CAMBIO IMPORTANTE?


Permitir a los administradores un metodo abreviado de configuracion a traves
de secuencias de comandos sin necesidad de usar la interface grafica. Por
tanto esta configuracion puede manejarse con scripts remotamente.


MODO DE OPERACION 'SHIELDED'
-

(literalmente "escudado". Pero no se ha decidido todavía el nombre
definitivo con que saldrá).

ICF podría configurarse para permitir trafico de llamadas entrantes no
solicitadas durante su uso normal.

Esto es tipico para poder compartir archivos e impresoras. Si se descubre un
intento de acceso de seguridad no solicitado en uno o mas de los servicios
de escuha de windows, puede ser necesario cambiar de modo solo-cliente añ
modo escudado (shielded). Este cambio de modo reconfigura automaticamente
ICF para prevenir trafico entrante no solicitado y es hace sin necesidad de
reconfigurar el firewall.

En este modo, todos los agujeros estaticos son cerrados. Cualquier llamada
mediante API de un programa interno quedará registrada, pero no será
aplicable por ICF hasta que su modo operacional vuelva a la situacion de
operacion normal. Todas las peticiones de "escucha" por parte de las
aplicaciones tambien serán ignoradas.

Esto se aplica tanto a ICFv4 como ICF IPv6.

(nota: en castellano, este modo lo podríamos llamar "paranoico". Es decir,
cuando ICF descubre que alguien está intentado usar puertos conocidos de
servicios del sistema y que en vez de ser peticiones normales, parecen de un
intento de artaque, ICF sepone en modo "paranoico", y bloquea temporalmente
todos los accesos de entrada a la maquina)


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Los virus, gusanos y atacantes miran los puertos para establecer su ataque.
Cuando ICF está en modo operacional prevendrá que estos tipos de ataque
puedan resultar exitosos.


¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-

En este modo de operacion, la maquina no escuchará peticiones originadas
desde la red. Solo las conexiones salientes y autorizadas tendrán exito.


LISTA DE PERMISOS Y APLICACIONES EN EL ICF


Algunas aplicaciones actuan como clientes y servidores. Cuando intenten
actuar como serivodres necesitaremos autorizar el trafico entrante.

En anteriores versiones de windows, era necesario definir los puertos
previamente o bien la aplicacion necesitaba llamar al API de configuracion
para establecer los puertos por los que iba a escuchar. Esto es realmente
dificultoso en comunicaciones peer-to-peer cuando los puertos no son
conocidos a priori. Esto obligaba ademas a cerrar oir la aplicion todos los
puertos creados cuando la aplicacion finalizaba.

Adicionalmente estos puertos podian ser abiertos solo cuando las
aplicaciones rodaban en un contexto de seguridad o en la cuenta del
administrador local. Esto viola el principio de menor privilegio el requerir
que las aplicaciones se ejecutasen en contextos administravos, en contra de
usar solo los minimos privilegios necesarios en cada cuenta de la maquina.

Con el SP2, una aplicacion que necesite escuchar en un puerto de la red,
puede ser añadida a la lista de permisos de ICF. Si una aplicacion está en
la lista de permisos de ICF, Windows automaticamente abrirá los puertos que
necesite mirando el contexto de seguridad de la aplicacion.


¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?

Cuando una aplicacion está en la lista de permisos de ICF, solo los puertos
necesarios para esa aplicacion estarán abiertos, y *solo* estaran abiertos
durante el tiempo en que esa aplicacion los tenga en escucha.

Esto tambien permite que aplicaciones que esten escucahndo en un puerto se
puedan ahora ejecutar con los permisos de un usuario normal. En anteriores
versiones de windows, estas aplicaciones debian ejecutarse con permisos
administrativos.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.