Seguridad activa: control de redes

2.4. Firewall en Windows 7

Los sistemas operativos Windows siempre han tenido mala fama en cuanto a seguridad
ante malware; sin embargo, la versin XP introdujo un firewall muy robusto y sencillo.
Las versiones posteriores (Vista, Windows 7) han mantenido la robustez, aunque han
sacrificado la sencillez para elaborar reglas complejas que permitan cubrir todas las
necesidades del usuario.
Comparado con iptables, el firewall de Windows 7 es ms sencillo (no hay tantas tablas ni etapas) y ms agradable de usar (interfaz de ventanas en lugar de comandos).
A diferencia de Linux, la configuracin por defecto para las conexiones entrantes es
rechazarlas, no aceptarlas.

Caso prctico 7

Configuracin de firewall en Windows 7

Duracin: 20 minutos

Dificultad: . Media

La operacin que nos interesa ahora es Configuracin

avanzada, porque ah tenemos las reglas (Fig. 7.50).

Objetivo. Configurar un firewall de usuario en Windows 7.

Material. Tres ordenadores, uno de ellos con Windows 7.
1. Seguimos con el mismo esquema de red elaborado
para el caso prctico 1. Usaremos el Windows 7, el
Ubuntu Server y el Ubuntu Desktop.
2. En el Windows 7 entramos como administrador y buscamos la configuracin del firewall. En Inicio introducimos la palabra firewall y elegimos Firewall de Windows. Aparecer la ventana resumen del estado del
firewall (Fig. 7.49). En Windows 7, a cada conexin
de red se le asigna una categora (privada, pblica
odominio). Esta categora engloba determinadas medidas de seguridad para las conexiones de esa interfaz
(abrir la visibilidad del equipo en la red, etc.). En la
Figura 7.49 tenemos activado el firewall para las redes
privadas y pblicas, aunque la interfaz privada no est
conectada.

Fig. 7.50. Conguracin avanzada.

4. Vamos a repetir el primer escenario del caso prctico

de iptables. Pulsamos en Regla de entrada y buscamos
alguna referida al ICMPv4. Las encontraremos deshabilitadas, lo que significa que nuestro equipo acepta
ping. Lo podemos comprobar desde el router Linux.
5. Ahora habilitamos esa regla desde el men del botn
derecho o el men de la derecha Habilitar regla. Volvemos al router Linux, repetimos el ping, pero sigue funcionando. Algo ha fallado.
6. Abrimos la configuracin de la regla y parece que est
bien (Fig. 7.51). La regla permite la conexin y esthabilitada.

Fig. 7.49. Estado del rewall.

3. En la zona izquierda de la ventana tenemos distintas

operaciones. Podemos activarlo o desactivarlo (solo lo
desactivaremos cuando sea estrictamente necesario).

Fig. 7.51. Conguracin regla ICMPv4.

(Contina)

189

Seguridad activa: control de redes

Caso prctico 7
(Continuacin)

7. Si nos vamos a la pestaa Protocolos y puertos, la informacin es coherente (Fig. 7.52): protocolo ICMP y mensaje de peticin de eco (echo request).

este servicio para poder inventariar la mquina. La activacin necesit introducir una regla en el firewall, porque ya hemos dicho que, por defecto, el firewall de Windows rechaza las peticiones de conexiones entrantes.

Fig. 7.54. Regla del SNMP.

Fig. 7.52. Conguracin de protocolos.

8. Pero si vamos a Opciones avanzadas encontramos el

error (Fig. 7.53): esta regla est activada solo para las
redes de tipo dominio, y la nuestra era privada.

11. En la pestaa de protocolos y puertos aparecen el protocolo UDP y el puerto 161, que son los valores estndares (Fig. 7.55).

Fig. 7.53. Conguracin del perl.

9. Marcamos nuestro perfil, salvamos la regla y ya debera funcionar el bloqueo al ping desde el router Linux.
10. Podemos observar otras reglas, como la referida al servicio SNMP (Fig. 7.54). En el caso prctico 1 activamos

Fig. 7.55. Conguracin del protocolo SNMP.

12. Otras aplicaciones tambin introducen sus propias

reglas. Por ejemplo, Dropbox necesita conexiones TCP
de cualquier puerto (Fig. 7.56).
(Contina)

190

Seguridad activa: control de redes

Caso prctico 7
(Continuacin)

14. Si nos fijamos en el navegador, vemos que el servidor est escuchando en el puerto 4001 de la direccin loopback (127.0.0.1). Como queremos ensayar
las reglas contra conexiones desde el exterior, debemos cambiar la direccin. Para ello vamos al directorio donde arrancamos el servidor y editamos el
fichero pms_config. En la parte de http ponemos
HostName={local_ip} (Fig.7.58).

Fig. 7.56. Regla de Dropbox.

13. Vamos a instalar un servidor web en nuestro Windows 7. Podemos descargar el software Server2Go,
que incluye un servidor web listo para usar. Lo instalamos y nos vamos al directorio donde se descomprime
para invocar el ejecutable Server2Go. Si todo va bien,
se abrir un Internet Explorer con la pgina inicial
delservidor (Fig. 7.57). Cuidado: si cerramos esa ventana del navegador, el servidor web se cierra tambin.

Fig. 7.58. Cambiamos la direccin de escucha del servidor web.

15. Cerramos el navegador para detener el servidor y lo

volvemos a lanzar. Pero ahora no se abre directamente
el IExplorer, sino que nos detiene una ventana del
firewall (Fig. 7.59).

Fig. 7.59. Bloqueo al servidor web.

El firewall nos pregunta si debe permitir que el servidor web (en este caso, Apache) acepte conexiones en
redes pbicas y privadas. Activamos ambas.
Fig. 7.57. Servidor web instalado.

16. Ahora podemos entrar en el router Linux y comprobarlo.

Abrimos Firefox e intentamos conectar con el servidor web
(Contina)

191

Seguridad activa: control de redes

Caso prctico 7
(Continuacin)

del Windows 7. La URL ser http://192.168.10.3:4001

(Fig.7.60).

Fig. 7.60. Conexin desde router Linux.

17. Volvemos a la ventana de configuracin avanzada del

firewall de Windows 7. Podemos comprobar que han
aparecido reglas nuevas, llamadas Apache (Fig. 7.61),
como consecuencia de haber confirmado la consulta
del paso 15.

Fig. 7.61. Nueva regla para Apache.

18. Procedemos a cambiarla para que ya no se pueda

conectar el router Linux. Vamos a la pestaa mbito y
en la direccin IP remota aadimos 192.168.10.2, que
es la direccin del Ubuntu Desktop (Fig. 7.62).

Fig. 7.62. Cambiamos la regla.

19. Tambin hay que ir a Opciones avanzadas para activar Permitir cruce seguro del permetro (Fig. 7.63).

Fig. 7.63. Conguramos el permetro.

20. Tras guardar los cambios, el navegador del Ubuntu Desktop entrar sin problemas; pero el navegador del router
Linux, no. En la Figura 7.64 se aprecia que el navegador no consigue conectar, pero el ping sobre la misma
mquina funciona con normalidad.
(Contina)

192

Seguridad activa: control de redes

Caso prctico 7
(Continuacin)

22. En esta misma ventana nos permite cambiar el fichero

donde volcar la informacin. Por defecto est en
el fichero pfirewall.log dentro del directorio C:\Windows\System32\LogFiles\Firewall.
23. Si cerramos la ventana aceptando los cambios, desde
ese momento quedarn registros de todos los paquetes descartados por nuestro firewall. Podemos repetir
el intento de conexin desde el router Linux. Volver a
fallar y ahora podemos confirmarlo mirando el fichero
de log. Como es un fichero del sistema necesitaremos elevacin de privilegios al abrir el bloc de notas
(Fig.7.66).
Fig. 7.64. Acceso bloqueado.

21. Finalmente, vamos a configurar el log del firewall, para

poder confirmar que est siendo efectivo. En la ventana
de las reglas pulsamos en la primera opcin, la que
est sobre Reglas de entrada. Ah tenemos la configuracin general. En el men de la derecha pulsamos en
Propiedades. Vamos a la pestaa de los perfiles y pulsamos en Personalizar. Veremos una opcin llamada
Registrar paquetes descartados, cuyo valor por defecto
es No; lo cambiamos a S (Fig. 7.65).

Fig. 7.65. Propiedades del rewall.

Fig. 7.66. Bloc de notas con elevacin de privilegios.

24. En el fichero encontraremos una lnea por cada paquete (Fig. 7.67). Primero viene la fecha, luego la accin
(DROP, tirar el paquete), el protocolo, las direcciones IP
origen y destino, etc.

Fig. 7.67. Lista de rechazos.

En el paso 15 del caso prctico sobre el firewall de Windows 7 hemos visto que, cuando
un programa decide abrir un puerto para recibir conexiones, la decisin por defecto del
firewall es bloquear esa conexin. Efectivamente, los equipos de usuario generalmente
no ejecutan servidores.
En el ejemplo hemos decidido desbloquear el acceso a nuestro Apache desde redes
pblicas y privadas. Si ms adelante queremos cambiar este comportamiento, podemos
buscar la regla en la lista de reglas y editarla; pero resulta ms cmodo utilizar una
opcin de configuracin del firewall donde aparece directamente la lista de programas
de nuestra mquina y qu pueden hacer en cada red.
193