SObre el Firewall de WXP SP2

"Harold Godefroy" escribio en mensaje
:

Saludos chicos, tengo una duda que me ha saltado desde hace un tiempo; les
expongo:

Hola :-)

Hace unos dias decidi instalar el FireFox por ciertas razones (de paso me
parece muy bueno), lo unico que me inquieto luego de la instalación fue que
el firewall de XP no me aviso de que habia un programa con una conexion
saliente de mi maquina;

Bienvenido al Club Mozilla.

El cortafuegos de equispe no realiza ese control.

[...]
¿yo no tendria un problema de seguridad?,
¿mi sistema no
se veria comprometido al permitir el firewall dejar salir informacion de mi
equipo? (notese que en este ejemplo ninguno de los dos programas ha puesto
puertos en escucha)

Si quieres controlar las salidas de los programas instaladados --entre
otras funciones-, tendras que instalar un cortafuegos de terceros como
Agnitum o Kerio por ejemplo.

Es un tema que se discutio no hace mucho, si quieres realizar un
control mas adecuado de las salidas de los programas, tienes que
instalar un cortafuegos de terceros.

Salu2.

PS: Recuerda solo puede estar activo un cortafuegos.


Filtrado por 'Meritos Propios' (Kill-File Global):
tella llop, jm (N.B. 2003.10.25)


Como dice mi abuela: «La mala educacion no se quita, ni con agua ni jabon.»

Ille Corvus formulated on lunes :

El cortafuegos de equispe no realiza ese control.

juasjuasjuas!!...N.P.I. tio!! :-)

dice adios.

Nadie mure la vispera, hay que esprerar a que llegue tu dia.

Harold Godefroy escribió:

Mi inquietud es: Si ese programa hubiera sido malicioso y al ejecutarlo se conecta a un servidor
remoto, descarga un programa de alli (un troyano por ejemplo), lo ejecuta y
este ultimo troyano se conectára a una maquina remota especifica (un troyano
en modo cliente, no modo servidor ya que no escucha sino que se conecta a un
equipo remoto)... ¿yo no tendria un problema de seguridad?, ¿mi sistema no
se veria comprometido al permitir el firewall dejar salir informacion de mi
equipo? (notese que en este ejemplo ninguno de los dos programas ha puesto
puertos en escucha)

Me da un tanto de pereza hacer un programa para confirmar esto (ya que
realmente no tendria ninguna otra utilidad), por eso les pregunto a ustedes
por este medio.

Para empezar a definir conceptos, y aclarar este tema creo que sería
interesante dar una definicio de lo que es un troyano,

Un troyano, es un programa sin capacidad de comunicacion que abre
ciertos puertos, haciendo accesibles determinadas areas de un pc a
usuarios remotos, un troyano, siempre tiene dos componentes, una parte
servidor y otra parte cliente. La parte servidor es la que se instala en
el PC victima y la parte cliente es la que utiliza el atacante para
controlar remotamente el PC. Partiendo de esta base, creo que es
imposible que se nos instale un troyano cliente en nuestro PC, puesto
que es precisamente este componente el que nos permite el control remoto
de otros PC's, la instalacion de la parte servidor de un troyano,
siempre nos va a dejar un puerto en escucha y este tipo de puertos
"listening" es la que nos va a bloquear el firewall del SP2.

Ahora bien, nos vamos a poner en el caso de que nuestro PC se vea
infectado por un virus que establezca comunicaciones salientes, sin
abrir ningun puerto en escucha. A este respecto el firewall del Sp2
también tiene nuevas funcionalidades que nos permiten ejercer un control
más eficaz controlando nuevos aspectos de este tipo de comunicaciones.
El Sp2, restringe comunicaciones salientes limitando el envío de
paquetes mediante interfaces raw a la red, los datagramas UDP con
direcciones de origen invalidas no se pueden enviar a traves de un
socket raw, asi mismo, el trafico TCP tampoco puede enviarse bajo esta
plataforma (socket raw) , ejemplos de programas que abren socket raw,
son programas tan comunes como los programas Ping y Traceroute, un
simple sniffer también abre este tipo de comunicacines, ¿por que es
importante este control?, este control es importante puesto que muchos
de los virus que hay en la actualidad utilizan estos programas como
herramientas de propagacion, además que de vernos afectados por un
sniffer (componente que tienen muchos troyanos) este vera
imposibilitadas, en gran medida sus capacidades para el analisis y
control del trafico de una red. Otra gran mejora, en el control del
trafico saliente, es la limitacion de las conexiones concurrentes
TCP/IP. Esto permite que virus tristemente famosos como el Blaster o el
Sasser, vean limitadas sus capacidades de propogacion.

Creo que me dejo en el tintero otra serie de funcionalidades, (por
ejemplo la imposibilidad de acceder remotamente a interfaces DCOM sin
credenciales de administrador) De todas formas, y ya como conclusion,
recordar, que un firewall (sea el que sea) siempre hay que
complementarlo con algun tipo de antivirus, esto nos permitiría una
proteccion más eficaz de nuestros sistemas. Como lectura complementaria
te dejo este articulo de MS en donde se describe con más profundidad lo
que he comentado.

**/Changes to Functionality in Microsoft Windows XP Service Pack 2
Part 2: Network Protection Technologies
http://www.microsoft.com/technet/pr...netwk.mspx




Saludos
Fernando M. / Registered Linux User #367696

fermu escribió:

Un troyano, es un programa sin capacidad de comunicacion

Fe de erratas: donde dice comunicacion quise decir propagacion, es
decir, que no tiene capacidad de propagacion por medios propios. ;-)

Saludos
Fernando M. / Registered Linux User #367696

Ahora, una pregunta: si no controla las conexiones salientes y solo las que
abren puertos en escucha, quiere decir que nada va a impedir que un spyware
mande información hacia un sitio web, por ejemplo ¿O me equivoco?
¿Qué impediría que un programa hiciera esta conexión?:
http://www.sitiomalicioso.com/?usua...importante


"fermu" escribió en el mensaje
news:

fermu escribió:

Un troyano, es un programa sin capacidad de comunicacion

Fe de erratas: donde dice comunicacion quise decir propagacion, es decir,
que no tiene capacidad de propagacion por medios propios. ;-)

Saludos
Fernando M. / Registered Linux User #367696