Cortafuegos personales
Los cortafuegos profesionales son esenciales para proteger las redes corporativas, pero por su alto precio y complejidad raramente se encuentran en las pequeñas redes de los empleados remotos, teletrabajadores, SOHO o simplemente residenciales. Realizar una configuración apropiada y evitar que las falsas alarmas inunden el ordenador son las consideraciones clave a la hora de instalar cortafuegos personales.
La llegada de servicios de banda ancha –o casi– al mercado SOHO (Small Office/Home Office) y residencial está cambiando las prioridades de seguridad. A los hackers les encanta las conexiones a Internet de alta velocidad, como DSL y cablemódem, pues les agiliza la localización y exploración de los PC instalados en los hogares y las pequeñas oficinas. No es de extrañar, por tanto, que los usuarios residenciales, en respuesta a estos potenciales ataques, comiencen a prepararse para hacer frente a muchas de las mismas vulnerabilidades que amenazan desde hace años a los usuarios corporativos. Por ello, ahora empieza a ser frecuente la adquisición de cortafuegos personales a un precio razonable.
Hardware versus software
Los cortafuegos personales pueden estar basados en hardware o en software. Los basados en software, como ZoneAlarm, de Zone Labs, Norton Personal Firewall, de Symantec, y MacAfee.com Firewall, de McAfee, se pueden adquirir a un precio de entre los 54 y 76 euros en muchos pequeños distribuidores y sitios online. Entre sus inconvenientes se encuentra la necesidad en algunos casos de que el PC esté activo las 24 horas del día, así como su consumo intensivo de recursos, lo que puede ralentizar el resto de aplicaciones del ordenador.
Los cortafuegos basados en hardware procesan los paquetes mucho más rápido y, al ser dispositivos físicamente autónomos, ni perjudican el rendimiento del PC ni exigen que éste esté continuamente conectado para proteger la red. Además, son relativamente baratos. Buy.com vende NetGear RT311 Internet Gateway Router por menos de 108 euros.
La disyuntiva, pues, surge de forma natural. ¿Qué elegir? Cuando se dispone de un solo PC o se maneja un presupuesto limitado, los cortafuegos personales basados en software pueden ser la mejor elección. Pero si se cuenta con una red SOHO o residencial con dos o más PC y se desea tenerla protegida en todo momento, la instalación de un dispositivo hardware tiene más sentido. En cualquier caso, las funciones son muy similares.
Prestaciones
De los cortafuegos personales disponibles, nos centraremos en tres de los más conocidos para ver en detalle sus prestaciones. Norton Personal Firewall 2002, de Symantec, se puede obtener aisladamente o dentro de la suite Norton Internet Security (NIS) 2002, que incluye además Norton Antivirus y Norton Privacy Control. El paquete en conjunto proporciona una solución global contra virus, hackers y ataques a la privacidad.
El producto aporta protección contra intrusiones, tales como escaneado de puertos y troyanos, y un excelente asistente de configuración y tutoriales interactivos para ayudar a los empleados remotos a configurar sus cortafuegos sin la asistencia del personal TI corporativo. Ya en marcha, Norton Personal Firewall puede, por ejemplo, evitar el envío de datos personales a sitios Web inseguros, así como bloquear applets Java, controles Actives y cookies de sitios desconocidos. Además, es capaz de bloquear los banners para acelerar los tiempos de descarga, si bien esta función pueda provocar que los scripts y otros elementos Web no funcionen correctamente. Cuenta, asimismo, con un asistente que detecta automáticamente los sistemas locales para simplificar su incorporación a la zona de confianza.
La característica de zona de confianza identifica los ordenadores externos con los que se trabaja habitualmente para asegurarles el acceso. Quizá la tarea de configuración más tediosa sea la de identificar todas las aplicaciones residentes en el ordenador que utilizan Internet, aunque se trata de una función de gran utilidad: si una aplicación no reconocida intenta comunicarse por Internet, el producto alerta al usuario.
Las opciones de detección de intrusiones incluyen la capacidad de desactivar escaneados de puertos y el bloqueo de intrusiones una vez detectados. Por ejemplo, si el cortafuegos es atacado, la dirección del ordenador del atacante sospechoso se introduce en una lista de autobloqueo que impide los intentos de intrusiones posteriores durante 30 minutos. El producto se puede actualizar gratis automáticamente durante un año.
De ZoneAlarm, de Zone Labs, es de destacar su gratuidad para usuarios individuales y organizaciones sin ánimo de lucro. Para entidades comerciales, administrativas y educativas, la gratuidad se restringe a los primeros 60 días de uso, periodo a partir del cual es necesario adquirir una licencia de uso.
Finalmente, McAffe.com Personal Firewall se beneficia del modelo ASP puesto en marcha por McAffe, que como compañía de servicios Web, suministra las aplicaciones vía Web. Este método de entrega hace posible la actualización automática y constante del software con tan sólo abonar una sola suscripción anual. Además de utilizar muy poca memoria, aporta una gran sencillez de uso, puesto que la interfaz consiste en el propio navegador Web.
Conviene no pasar por alto Internet Connection Firewall (ICF), integrado gratuitamente en Windows XP. Se trata de un cortafuegos sencillo pero efectivo que puede proteger un único ordenador o a toda la red interna en caso de utilizar la conexión compartida para que varios equipos salgan a Internet. Sin embargo, puede causar algunos problemas en el funcionamiento de algunos programas. Por ejemplo, cuando Outlook 2000 obtiene el correo electrónico conectándose a un servidor Microsoft Exchange, al utilizar ICF dejaremos de obtener mensajes de notificación de nuevo correo y tendremos que comprobar el correo manualmente. Ello se debe a que Exchange utiliza una llamada a procedimiento remoto (RPC) para enviar notificaciones de nuevo correo a los clientes. Outlook 2000 no busca de manera automática nuevo correo electrónico cuando se conecta a un servidor de Exchange, sino que es el servidor Exchange el que envía una notificación a Outlook cuando llega nuevo correo.
Como la notificación RPC se inicia en el servidor Exchange que está fuera del servidor de seguridad, ICF lo considera una petición exterior y no permite que los mensajes RPC pasen desde Internet a la red, perdiéndose el mensaje de notificación. Podemos solucionar el problema habilitando el servicio RPC, pero entonces se abrirán las puertas a multitud de ataques externos que se basan en RPC. En conclusión, ICF es muy útil pero hay que tener cuidado al usarlo si se desconoce qué servicios puede bloquear su uso.
Arma de dos filos
En definitiva, los cortafuegos personales pueden ser un buen guardaespaldas. Instalados y configurados apropiadamente, son capaces de proteger los PC, la red doméstica e incluso la red corporativa, si se está conectado a ella. En caso contrario, no está garantizado que impidan el paso de paquetes dañinos.
Además, hay que tener en cuenta que estos dispositivos suelen dar a los usuarios una falsa sensación de seguridad. Si el cerrojo de la puerta no está bien echado, seguro que habrá hackers lo suficientemente astutos como para engañar al cortafuegos mediante programas troyanos o zombies. Estos programas generan lo que aparece como tráfico convencional para el cortafuegos, dejando que se introduzcan paquetes maliciosos capaces de transmitir información del libro de direcciones del usuario o dañar los archivos del disco duro.
Por ello, es fundamental que el cortafuegos ofrezca información de configuración fácilmente comprensible, lo que no siempre está garantizado. Por desgracia, muchas veces las opciones para activar funciones como el filtrado de contenidos Web, generación de informes de actividad y alertas de correo electrónico se en
La llegada de servicios de banda ancha –o casi– al mercado SOHO (Small Office/Home Office) y residencial está cambiando las prioridades de seguridad. A los hackers les encanta las conexiones a Internet de alta velocidad, como DSL y cablemódem, pues les agiliza la localización y exploración de los PC instalados en los hogares y las pequeñas oficinas. No es de extrañar, por tanto, que los usuarios residenciales, en respuesta a estos potenciales ataques, comiencen a prepararse para hacer frente a muchas de las mismas vulnerabilidades que amenazan desde hace años a los usuarios corporativos. Por ello, ahora empieza a ser frecuente la adquisición de cortafuegos personales a un precio razonable.
Hardware versus software
Los cortafuegos personales pueden estar basados en hardware o en software. Los basados en software, como ZoneAlarm, de Zone Labs, Norton Personal Firewall, de Symantec, y MacAfee.com Firewall, de McAfee, se pueden adquirir a un precio de entre los 54 y 76 euros en muchos pequeños distribuidores y sitios online. Entre sus inconvenientes se encuentra la necesidad en algunos casos de que el PC esté activo las 24 horas del día, así como su consumo intensivo de recursos, lo que puede ralentizar el resto de aplicaciones del ordenador.
Los cortafuegos basados en hardware procesan los paquetes mucho más rápido y, al ser dispositivos físicamente autónomos, ni perjudican el rendimiento del PC ni exigen que éste esté continuamente conectado para proteger la red. Además, son relativamente baratos. Buy.com vende NetGear RT311 Internet Gateway Router por menos de 108 euros.
La disyuntiva, pues, surge de forma natural. ¿Qué elegir? Cuando se dispone de un solo PC o se maneja un presupuesto limitado, los cortafuegos personales basados en software pueden ser la mejor elección. Pero si se cuenta con una red SOHO o residencial con dos o más PC y se desea tenerla protegida en todo momento, la instalación de un dispositivo hardware tiene más sentido. En cualquier caso, las funciones son muy similares.
Prestaciones
De los cortafuegos personales disponibles, nos centraremos en tres de los más conocidos para ver en detalle sus prestaciones. Norton Personal Firewall 2002, de Symantec, se puede obtener aisladamente o dentro de la suite Norton Internet Security (NIS) 2002, que incluye además Norton Antivirus y Norton Privacy Control. El paquete en conjunto proporciona una solución global contra virus, hackers y ataques a la privacidad.
El producto aporta protección contra intrusiones, tales como escaneado de puertos y troyanos, y un excelente asistente de configuración y tutoriales interactivos para ayudar a los empleados remotos a configurar sus cortafuegos sin la asistencia del personal TI corporativo. Ya en marcha, Norton Personal Firewall puede, por ejemplo, evitar el envío de datos personales a sitios Web inseguros, así como bloquear applets Java, controles Actives y cookies de sitios desconocidos. Además, es capaz de bloquear los banners para acelerar los tiempos de descarga, si bien esta función pueda provocar que los scripts y otros elementos Web no funcionen correctamente. Cuenta, asimismo, con un asistente que detecta automáticamente los sistemas locales para simplificar su incorporación a la zona de confianza.
La característica de zona de confianza identifica los ordenadores externos con los que se trabaja habitualmente para asegurarles el acceso. Quizá la tarea de configuración más tediosa sea la de identificar todas las aplicaciones residentes en el ordenador que utilizan Internet, aunque se trata de una función de gran utilidad: si una aplicación no reconocida intenta comunicarse por Internet, el producto alerta al usuario.
Las opciones de detección de intrusiones incluyen la capacidad de desactivar escaneados de puertos y el bloqueo de intrusiones una vez detectados. Por ejemplo, si el cortafuegos es atacado, la dirección del ordenador del atacante sospechoso se introduce en una lista de autobloqueo que impide los intentos de intrusiones posteriores durante 30 minutos. El producto se puede actualizar gratis automáticamente durante un año.
De ZoneAlarm, de Zone Labs, es de destacar su gratuidad para usuarios individuales y organizaciones sin ánimo de lucro. Para entidades comerciales, administrativas y educativas, la gratuidad se restringe a los primeros 60 días de uso, periodo a partir del cual es necesario adquirir una licencia de uso.
Finalmente, McAffe.com Personal Firewall se beneficia del modelo ASP puesto en marcha por McAffe, que como compañía de servicios Web, suministra las aplicaciones vía Web. Este método de entrega hace posible la actualización automática y constante del software con tan sólo abonar una sola suscripción anual. Además de utilizar muy poca memoria, aporta una gran sencillez de uso, puesto que la interfaz consiste en el propio navegador Web.
Conviene no pasar por alto Internet Connection Firewall (ICF), integrado gratuitamente en Windows XP. Se trata de un cortafuegos sencillo pero efectivo que puede proteger un único ordenador o a toda la red interna en caso de utilizar la conexión compartida para que varios equipos salgan a Internet. Sin embargo, puede causar algunos problemas en el funcionamiento de algunos programas. Por ejemplo, cuando Outlook 2000 obtiene el correo electrónico conectándose a un servidor Microsoft Exchange, al utilizar ICF dejaremos de obtener mensajes de notificación de nuevo correo y tendremos que comprobar el correo manualmente. Ello se debe a que Exchange utiliza una llamada a procedimiento remoto (RPC) para enviar notificaciones de nuevo correo a los clientes. Outlook 2000 no busca de manera automática nuevo correo electrónico cuando se conecta a un servidor de Exchange, sino que es el servidor Exchange el que envía una notificación a Outlook cuando llega nuevo correo.
Como la notificación RPC se inicia en el servidor Exchange que está fuera del servidor de seguridad, ICF lo considera una petición exterior y no permite que los mensajes RPC pasen desde Internet a la red, perdiéndose el mensaje de notificación. Podemos solucionar el problema habilitando el servicio RPC, pero entonces se abrirán las puertas a multitud de ataques externos que se basan en RPC. En conclusión, ICF es muy útil pero hay que tener cuidado al usarlo si se desconoce qué servicios puede bloquear su uso.
Arma de dos filos
En definitiva, los cortafuegos personales pueden ser un buen guardaespaldas. Instalados y configurados apropiadamente, son capaces de proteger los PC, la red doméstica e incluso la red corporativa, si se está conectado a ella. En caso contrario, no está garantizado que impidan el paso de paquetes dañinos.
Además, hay que tener en cuenta que estos dispositivos suelen dar a los usuarios una falsa sensación de seguridad. Si el cerrojo de la puerta no está bien echado, seguro que habrá hackers lo suficientemente astutos como para engañar al cortafuegos mediante programas troyanos o zombies. Estos programas generan lo que aparece como tráfico convencional para el cortafuegos, dejando que se introduzcan paquetes maliciosos capaces de transmitir información del libro de direcciones del usuario o dañar los archivos del disco duro.
Por ello, es fundamental que el cortafuegos ofrezca información de configuración fácilmente comprensible, lo que no siempre está garantizado. Por desgracia, muchas veces las opciones para activar funciones como el filtrado de contenidos Web, generación de informes de actividad y alertas de correo electrónico se en
