Prácticas recomendadas: guía de configuración del cortafuegos
Al configurar una política del cortafuegos, puede que necesite más información sobre ciertas opciones, para saber si debería activarlas o no.
En este artículo se describen las reglas y la configuración predeterminada de fábrica cuando el cortafuegos de Sophos se configura utilizando el botón Configuración avanzada de la política del cortafuegos. Dentro de lo posible, se describen siempre las implicaciones para la seguridad de cada configuración y porqué dicha configuración es la predeterminada.
Sophos recomienda utilizar la guía para la distribución del cortafuegos (inglés) antes de distribuirlo a las estaciones.
Para ver otros artículos sobre prácticas recomendadas, consulte el índice de prácticas recomendadas
En este artículo
Configuración avanzada:
Configuración general | Configuración de la Detección de ubicación | Configuración de sumas de verificación | Configuración del registro
Configuración de la ubicación primaria o secundaria:
Configuración general | Configuración de CMP | Configuración de redes de área local | Reglas globales | Reglas de aplicaciones | Configuración del control de procesos
Configuración avanzada
Ficha General
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Ubicación primaria: Permitir todo el tráfico | Desactivado |
Esta opción está pensada sólo para circunstancias especiales. Su función es desactivar el cortafuegos cuando los equipos se encuentran en la ubicación primaria. Por lo general, no debería utilizarse. Si necesita permitir una aplicación o conexión, configure una regla de aplicaciones, ICMP o global. |
| Configurar una ubicación secundaria | Desactivado | Esta opción sólo debería utilizarse para portátiles y otros equipos que suelen estar conectados a otra red, como redes domésticas o públicas inalámbricas. |
| Ubicación actual | Ubicación detectada |
Desactivado hasta que se selecciona la opción 'Configurar una ubicación secundaria'. Permite configurar qué política se aplica al detectar una ubicación nueva. La opción predeterminada 'Ubicación detectada' hace que el cortafuegos detecte de forma automática la red actual y seleccione la configuración correspondiente. Los usuarios que pertenezcan a los grupos SophosPowerUsers o SophosAdministrators, podrán seleccionar de forma manual si desean utilizar la ubicación primaria o secundaria cuando se encuentren en una tercera. Informe a los usuarios de portátiles sobre estas posibilidades que pueden aprovechar cuando se conecten a una red nueva y explíqueles la configuración que deberían utilizar. |
Ficha Detección de ubicación
| Opción | Predeterminado | Comentarios |
|---|---|---|
|
Método de detección |
DNS, sin configurar | Sophos recomienda utilizar la identificación de la dirección MAC de la puerta de enlace siempre que sea posible. El cortafuegos detectará la configuración de la puerta de enlace fácilmente y utilizará la ubicación primaria o secundaria. |
Ficha Suma de verificación
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Aplicación/ Versión/ Suma de verificación |
Sin configurar | Antes de distribuir el cortafuegos, introduzca en este cuadro las sumas de verificación MD5 de las aplicaciones utilizadas de forma habitual en la red, para ahorrar tiempo y que el cortafuegos no las solicite de nuevo durante la distribución. |
Ficha Registro
| Opción | Predeterminado |
|---|---|
| Mantener todas las entradas/Borrar entradas obsoletas | Borrar entradas obsoletas |
| Borrar entradas tras x días | 1 día desactivado |
| No guardar más de y entradas | 200 entradas desactivado |
| No pasar de z MB | 50 MB activado |
Configuración de las ubicaciones primarias o secundarias
Nota: no existe ninguna ubicación secundaria preconfigurada. Al añadir alguna, la configuración predeterminada será idéntica a la ubicación primaria.
Ficha General
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Modo de funcionamiento | Bloquear por defecto |
Al configurar Sophos Client Firewall por primera vez en un equipo de prueba, es más seguro utilizar la opción predeterminada 'Bloquear por defecto' hasta que esté listo para autorizar las aplicaciones que necesitan acceder a la red. Cuando esté listo para empezar a distribuir el cortafuegos, cambie al modo interactivo para establecer las políticas para las aplicaciones y procesos utilizados de forma habitual. En general, una vez que todas las aplicaciones aprobadas cuentan con acceso a través del cortafuegos, es aconsejable configurar el modo 'Bloquear por defecto' en todos los equipos para detener el acceso a la red de tráfico no autorizado. Recuerde que si tanto la ubicación primaria como la secundaria están activadas y el modo primario es interactivo, el modo secundario se configurará de forma automática como "bloqueado por defecto". |
| Bloquear procesos si otro programa modifica la memoria | Activado | Esta opción puede evitar que las amenazas infecten los equipos. Normalmente, esta opción debería estar seleccionada. |
| Bloquear procesos ocultos iniciados por aplicaciones desconocidas | Activado | Esta opción debería estar siempre activada para impedir la ejecución de programas maliciosos en las estaciones. |
| Descartar paquetes enviados a puertos bloqueados | Activado | Esta opción impide que un usuario ajeno a la red sepa que hay un puerto en nuestro equipo, lo que ayuda a evitar los ataques. Normalmente, esta opción debería estar seleccionada. |
| Autenticar aplicaciones mediante sumas de verificación | Activado | Esta opción ayuda al cortafuegos a diferenciar las aplicaciones legítimas de los programas maliciosos que tienen el mismo nombre. Normalmente, esta opción debería estar seleccionada. |
| Bloquear paquetes IPv6 | Activado | En estos momentos, sólo un número reducido de aplicaciones e ISP utilizan IPv6. Esta opción permite bloquear el tráfico de IPv6 en las estaciones si, por ejemplo, utilizan aplicaciones de intercambio de archivos (P2P). Para bloquear por completo el uso de aplicaciones P2P en la red, configure una política de restricción de aplicaciones. |
| Enviar una alerta a la consola de administración si se modifica alguna regla global, aplicación, proceso o suma de verificación | Activado | Al seleccionar "Enviar alerta a la consola de administración..." puede ver si la configuración de cortafuegos de las estaciones de trabajo ha sido modificada por un usuario o por un programa malintencionado. En la mayoría de los casos, esta opción debería permanecer seleccionada. |
| Notificar aplicaciones y tráfico desconocidos a la consola de administración | Activado | Sophos recomienda mantener esta opción seleccionada siempre para controlar las acciones de los usuarios. |
| Notificar errores a la consola de administración | Activado | Esta opción permite al administrador ver los mensajes de error del cortafuegos en las estaciones de trabajo, a través de la consola. Normalmente, esta opción debería estar seleccionada. |
| (Mensaje de escritorio) Mostrar avisos y errores |
Activado |
Sophos recomienda mantener esta opción activada para informar a los usuarios si se produce algún problema. |
| (Mensaje de escritorio) Mostrar aplicaciones y tráfico desconocidos |
Desactivado | Esta opción sólo muestra las aplicaciones y el tráfico desconocidos si se ha seleccionado el modo interactivo. |
Ficha ICMP
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Respuesta eco (0) | ENTRANTE Bloqueado | Usado para responder a peticiones eco (pings). Permitir las respuestas eco podría hacer que los equipos sean vulnerables a ataques de denegación de servicio. |
| Destino no alcanzado (3) | ENTRANTE y SALIENTE Bloqueados | Al activar esta opción, los equipos pueden ser más vulnerables a ataques "destino-inalcanzable". |
| Acallar fuente (4) | Sin configurar | Para ocuparse de las sobrecargas, estos mensajes solicitan que se reduzca la cantidad de información enviada a la fuente del mensaje. La activación de esta opción podría hacer que los equipos sean vulnerables a ataques de intermediarios o MitM, y de denegación del servicio (DoS). |
| Redireccionar mensaje (5) |
Sin configurar |
Si no necesita realizar redireccionamientos en la red, no se aconseja configurar esta opción, ya que pueden utilizarse para cambiar las tablas de enrutado en los routers y equipos, y facilitar ataques de denegación de servicios |
| Petición eco (8) | SALIENTE Bloqueado | Se utiliza para comprobar si un equipo en red está activo (por ejemplo, de ping). Permitir las peticiones eco podría hacer que los equipos sean vulnerables a ataques de denegación de servicio. |
| Anuncio de router (9) | ENTRANTE Bloqueado | Los mensajes de anuncio de router se envían en respuesta a mensajes de petición de router, o para difundir la presencia del router. Los mensajes falsos de anuncios de router pueden utilizarse para cambiar tablas de enrutado en routers y facilitar ataques de intermediarios o DoS. Por eso, hemos bloqueado los avisos entrantes por defecto. |
| Solicitud de router (10) | SALIENTE Bloqueado | Los mensajes de petición de router se envían para localizar routers en redes como una forma de escaneado. Los usuarios maliciosos pueden utilizar peticiones de router para buscar equipos a los que dirigir los ataques. Por eso, las hemos bloqueado por defecto. |
| Tiempo agotado (11) | ENTRANTE Bloqueado | |
| Problema de parámetro (12) | Sin configurar | |
| Petición timestamp (13) | Sin configurar | |
| Respuesta timestamp (14) | Sin configurar | |
| Petición de información (15) | Sin configurar | |
| Respuesta de información (16) | Sin configurar | |
| Petición de máscara de red (17) | Sin configurar | |
| Respuesta de máscara de red (18) | Sin configurar |
Ficha Red local
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Red local (dirección IP y subred) | Sin configurar | NetBIOS permite compartir archivos e impresoras con otros ordenadores de la LAN o la red secundaria de confianza. Esta opción debería ser suficiente para la mayor parte del trabajo habitual de oficina.
Esta opción permite todo tipo de tráfico entre ordenadores de la LAN. Utilice esta opción únicamente cuando sea estrictamente necesario. |
Ficha Reglas globales
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Permitir conexión de retorno TCP |
Donde el protocolo es TCP y la dirección remota es 127.0.0.0 (255.0.0.0) |
Las conexiones de retorno permiten a las aplicaciones comprobar la existencia de conexiones de red. Este es el método que suelen utilizar los navegadores web. |
| Permitir protocolo GRE |
Donde el protocolo es IP y el tipo es GRE |
Permite la ejecución de GRE en túneles de IP hacia y desde la estación, es decir, conexiones de redes virtuales privadas (VPN). |
| Permitir control de conexión PPTP | Donde el protocolo es TCP y la dirección es Saliente y el puerto remoto es 1723 y el puerto local es 1024-65535 Autorizar |
Permite la ejecución de PPTP en túneles de IP hacia y desde la estación, es decir, conexiones de redes virtuales privadas (VPN). |
| Permitir conexión de retorno UDP |
Donde el protocolo es UDP |
|
| Bloquear llamada RPC (TCP) | Donde el protocolo es TCP y la dirección es Entrante y el puerto local es 135 Autorizar |
Esta configuración impide las llamadas RPC mediante TCP en las estaciones. Así, se detiene la ejecución de código legítimo por parte de intrusos en equipos locales de forma no deseada. Nota: el puerto para las llamadas de procedimiento remoto RPC (135) está asociado con varias vulnerabilidades de alta peligrosidad utilizadas por gusanos de red para la replicación y propagación. |
| Bloquear llamada RPC (UDP) | Donde el protocolo es UDP y el puerto local es 135 Autorizar |
Esta configuración impide las llamadas RPC mediante UDP en las estaciones. Así, se detiene la ejecución de código legítimo por parte de intrusos en equipos locales de forma no deseada. |
Ficha Aplicaciones
Aquí se enumeran los servicios de Windows más comunes y más importantes. Es probable que necesite añadir más aplicaciones mientras distribuye el cortafuegos en modo interactivo.
| Nombre de la aplicación | Predeterminado |
|---|---|
|
alg.exe |
Permitir ALG Redirect Donde el protocolo es TCP y la dirección es Entrante Autorizar y con filtrado dinámico |
|
Conexión Microsoft Application Layer Gateway Service | |
|
lsass.exe |
Conexión Local Security Authority Service Kerberos UDP Donde el protocolo es UDP y el puerto remoto es 88 Autorizar y con filtrado dinámico |
|
Conexión Local Security Authority Service Kerberos UDP | |
|
Conexión LSASS LDAP a Global Catalog Server | |
|
Conexión Local Security Authority Service LDAP UDP | |
|
Conexión Local Security Authority Service LDAP UDP | |
|
Asignación dinámica de puerto Local Security Authority Service DCOM | |
|
Conexión Local Security Authority Service DCOM | |
|
Permitir traducción DNS (TCP) | |
|
Permitir traducción DNS (UDP) | |
|
services.exe |
Conexión servicios DCOM Donde el protocolo es TCP y la dirección es Saliente y el puerto remoto es 88 Autorizar |
| Asignación dinámica de puerto de servicio DCOM Donde el protocolo es TCP y la dirección es Saliente y el puerto remoto es 1090-1110 Autorizar | |
| Conexión servicios LDAP Donde el protocolo es TCP y la dirección es Saliente y el puerto remoto es 389, 3268 Autorizar | |
| Permitir traducción DNS (TCP) Donde el protocolo es TCP y la dirección es Saliente y el puerto remoto es 53 Autorizar | |
|
Permitir traducción DNS (UDP) | |
| Permitir DHCP Donde el protocolo es UDP y el puerto remoto es 67 y el puerto local es 68 Autorizar | |
| Permitir DHCP (v6) Donde el protocolo es UDP y el puerto remoto es 547 y el puerto local es 546 Autorizar | |
|
svchost.exe |
Permitir traducción DNS (TCP) |
|
Permitir traducción DNS (UDP) | |
|
Permitir DHCP | |
|
Permitir DHCP (v6) | |
|
userinit.exe |
Conexión Microsoft Userinit LDAP Donde el protocolo es TCP |
|
Conexión Microsoft Userinit DCOM Donde el protocolo es TCP | |
|
winlogon.exe |
Conexión Microsoft Winlogon LDAP Donde el protocolo es TCP y la dirección es Saliente y el puerto remoto es 389, 3268 Autorizar |
|
Conexión Microsoft Winlogon DCOM |
Ficha Procesos
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Avisar ante nuevos iniciadores. | Activado | Esta opción sólo está disponible mientras se utiliza el modo interactivo. |
| Avisar ante conexiones de bajo nivel. | Activado | Esta opción sólo está disponible mientras se utiliza el modo interactivo. |
Si necesita más ayuda, póngase en contacto con soporte técnico.
- Artículo ID: 57757
- Creado: 28 abr 2009
- Modificado: 5 sep 2011
