jump to navigation

Windows Server 2008 -Firewall con Seguridad añadida diciembre 8, 2008

Posted by admin in WServer 2008.
trackback

Uno de los aspectos más notables a destacar en materia de seguridad, ha sido la incorporación del nuevo Firewall de Windows con seguridad añadida. De sus características novedosas enunciamos ahora algunas de considerable interés: soporte nativo para IPV6, la posibilidad de controlar el tráfico tanto entrante como saliente, NAP (Network Access Protect),  Hardening de servicios,  la integración con IPSEC, reglas aplicables a perfiles determinados, reglas basadas en directorio activo, usuarios, grupos y computadoras, etc..

De nuevo, y al estar integrada en su totalidad en las nuevas consolas de administración MMC, se mejora bastante la administración del mismo, pudiéndose crear, mediante asistentes gráficos, reglas tanto de entrada como de salida, y  pudiendo llegar a la personalización de estas reglas hasta el más mínimo detalle.

Dependiendo de las reglas que queramos aplicar, podremos implementarlas en función de diversos factores:
• Nombre de aplicación.- Es posible restringir o permitir a una aplicación la conexión con el exterior.
• Puertos.- Es posible restringir o permitir a todos o a un número determinado de puertos la conexión.
• Direcciones IP.-  -Es posible restringir o permitir a una dirección IP o un rango entero de direcciones la conexión con algún tipo de aplicación o servicio.
• ICMP o ICMPV6.- Es posible restringir o permitir algún servicio de este tipo, como por ejemplo ping.
• Configuración del protocolo
• Servicios.- Es posible restringir o permitir la conexión al exterior de algún servicio.
• Usuarios AD, locales, grupos o máquinas.- Es posible restringir o aplicar reglas para un determinado grupo de usuarios, usuarios de directorio activo o locales.
• Tipos de Interface.- Es posible aplicar o restringir las reglas en función del tipo de interface que tengamos en el equipo, ya sea Wireless, Ethernet, u otros.

En la parte derecha de la consola del Firewall, disponemos de varias opciones también de interés para el administrador. Estas nos van a suministrar la oportunidad de exportar/importar directivas, así como el establecimiento de filtros en función  del perfil, del estado de la conexión o de la pertenencia a grupos.

Igualmente en la parte izquierda de la consola se nos presentan las opciones de configuración y monitorización de reglas. Estas no van a permitir configurar tanto las reglas de entrada como las de salida, y monitorizar el estado de conexiones y actividad del Firewall.

Finalmente en la parte central, podremos ver en todo momento el estado en que se encuentra nuestro Firewall. Siendo posible visualizar también los perfiles de conexión que nos proporciona por defecto Windows:  Perfil de dominio, perfil privado y perfil público, así como los accesos para la creación de reglas de entrada o salida y un apartado de recursos y documentación. Si pulsamos en la parte izquierda sobre las opciones de reglas de entrada y reglas de salida, éstas se nos mostrarán en el centro de la consola.

En las propiedades es posible la visualización de los  3 tipos de perfiles:
• Perfil de Domino: Equipo que se conecta a una red corporativa, formando parte del  directorio activo.
• Perfil privado: Equipo que se conecta a una LAN privada, como puede ser una red doméstica por ejemplo.
• Perfil público: Equipo que se conecta a una red sobre la que no disponemos de control alguno. Cibercafés, aeropuertos, y otros escenarios similares son claros ejemplos de ello.  Refiriéndonos a servidores podría servirnos como ilustrativa la instalación de uno de ellos en una zona DMZ.

En el momento de incorporar un servidor LongHorn a una red, automáticamente se lleva a efecto la detección del tipo de red a la que nos estamos conectando. Por defecto, se activa automáticamente el perfil público. En función de la configuración de nuestro Firewall, pasarán a aplicarse las reglas establecidas para el perfil en concreto seleccionado.

Por ejemplo, si disponemos de una aplicación a la que conectamos libremente desde casa pero no desde la oficina, podemos llevar a efecto la creación de una regla que determine que es posible la conexión libremente a internet cuando estemos operando bajo el perfil privado, pero que no sea  posible la misma cuando operemos a través de un perfil de dominio. Con ello se facilita considerablemente la labor a los administradores, creando la misma regla pero con ámbitos de acción diferentes en función del perfil.

fuente:

A %d blogueros les gusta esto: