ADMINISTRACION DE ADMINISTRACION DE SISTEMAS SISTEMAS OPERATIVOS IIIOPERATIVOS IIICONfIguRACIóN DE fIREwAll DE wINDOwS

y PROTECCIóN DE ACCESO DE RED

CONfIguRACION DE fIREwAll DE wINDOwS:

QuE ES uN fIREwAll DE wINDOwS.-

Un firewall o cortafuegos es un dispositivo de hardware o un software que nos permite gestionar y filtrar la totalidad de tráfico entrante y saliente que hay entre 2 redes u ordenadores de una misma red.

COMO SE uSA El fIREwAll DE wINDOwS.-

Básicamente la función de un firewall es proteger los equipos individuales, servidores  o equipos conectados en red contra accesos no deseados de intrusos que nos pueden robar datos confidenciales, hacer perder información valiosa o incluso denegar servicios en nuestra red.

Así por lo tanto queda claro que es altamente recomendable que todo el mundo utilice un firewall por los siguientes motivos:

POR QuE MOTIVOS SE uSA fIREwAll

Preservar nuestra seguridad y privacidad.

Para proteger nuestra red doméstica o empresarial.

Para tener a salvo la información almacenada en nuestra red, servidores u ordenadores.

Para evitar intrusiones de usuarios no deseados en nuestra red y ordenador. Los usuarios no deseados tanto pueden ser hackers como usuarios pertenecientes a nuestra misma red.

Para evitar posibles ataques de denegación de servicio.

COMO SE CONfIguRA El fIREwAll

1. Vamos a Inicio > Ejecutar, escribimos wf.msc

2. Vamos a Inicio y en Buscar programas y archivos escribimos firewall

3. Vamos a Inicio > Panel de control > Herramientas administrativas > Firewall de Windows con seguridad avanzada

4. Vamos a Inicio > Herramientas administrativas. Pero para esto es necesario que aparezca esta pestaña en el menú Inicio. Para ello, hacemos clic derecho sobre Inicio > Propiedades > Personalizar y en “Herramientas administrativas del sistema” marcamos la casilla “Mostrar en el menú Todos los programas y en el menú Inicio”.

Finalmente nos aparecerá el Firewall de Windows con seguridad avanzada con su configuración por defecto. Como podrás observar algunas conexiones entrantes a tu PC estarán bloqueadas, lo que puede ocasionar problemas con las descargas o con la conexión a ciertos sitios Web que no coincidan con la regla, como en esta ventana.

Una ventana de advertencia puede abrirse y solicitar tu autorización para permitir o bloquear abrir una página. Si un problema de conexión o descarga se presenta, hacemos clic en “Propiedades de Firewall de Windows” (recuadro rojo). Se abre la ventana “Propiedades de Firewall…”, aquí debe aparecer “Estado del firewall” como activo, lo que es recomendado.

En esta ventana hay 3 perfiles. Perfil de dominio, Perfil privado, Perfil publico; si utilizas el cortafuegos déjalo en Activo sino ponlo en Inactivo. Si en el Panel de control el firewall de Windows está desactivado, en el perfil público aparecerá como inactivo. Para eliminar el bloqueo por defecto en los tres perfiles (conexiones entrantes), tan solo hay que seleccionar “Permitir” en Conexiones entrantes y hacer clic en “Aceptar”. Luego tendrás algo parecido a esto para los tres perfiles:

Para una protección más avanzada. En la venta de Firewall de Windows hacemos clic en “Reglas de entrada” (arriba a la izquierda), luego hacemos clic en “Nueva regla” (a la derecha).

Se abre una ventana con varias opciones del cortafuegos. El tipo de regla a crear: programas, puerto, predefinido y personalizar.

FILTRADO DE TRAFICO ENTRANTE

Que es un filtrado de trafico entrante.-

es un mecanismo de control del tráfico inyectado a la red. Su objetivo es evitar la sobrecarga de la red con altas ráfagas de tráfico inyectado.

El conformado del tráfico asegura que el tráfico entrante en un extremo o en un nodo central se adhiere al citado perfil. Típicamente este mecanismo se usa para reducir las grandes ráfagas de tráfico entrantes. Esto implica la toma de decisión entre el beneficio que puede dar el conformado y el retardo que forma.

FILTRADO DE TRAFICO DE SALIDA Que son los filtrados de trafico de salida.- Los filtros permiten limitar y modificar los datos de tráfico

incluidos en una vista. Por ejemplo, puede utilizar filtros para excluir el tráfico procedente de direcciones IP concretas, para centrarse en un subdominio o un directorio específico, o bien para convertir URL de páginas dinámicas en cadenas de texto inteligibles.

Tipo de filtrado.- Filtros predefinidos Excluir/Incluir solo el tráfico de los dominios: use este filtro para

excluir/incluir únicamente el tráfico procedente de un determinado dominio, como un Proveedor de Servicio de Internet o una red de empresa.

Excluir/Incluir solo el tráfico de las direcciones IP: use este filtro para excluir/incluir únicamente los clics procedentes de determinadas fuentes. Puede especificar una única dirección IP o un intervalo de direcciones.

Windows Server 2008 – Crear un objeto de política de grupo

Empezamos a trabajar con Políticas de grupo.

En este primer articulo sobre GPOs vamos a ver como ser crea un Objeto de Política de Grupo y para ello, en primer lugar debemos acceder al servidor como administrador y ejecutar “Group Policy Management“, como se puede ver en la imagen siguiente:

Nos aparece el “Group Policy Management” o “Gestor de Políticas de Grupo” para que nos entendamos mejor.

Si nos posicionamos o abrimos el árbol al nivel de dominio “neointec.local” podemos observar que la estructura se compone, entre otras cosas, de Unidades Organizativas.

Recordad que en las Unidades Organizativas metíamos cuentas de usuario o cuentas de equipo. Aunque también podemos incluir grupos globales, las GPOs solo se pueden asignar por equipo o por usuario. Por supuesto hay maneras de realizar filtros que ya veremos mas adelante.

A continuación nos posicionamos en “Goup Policía Objetos” que, como ya habremos adivinado, contiene todas las GPOs que existen en el dominio “Neointec.local“.

Hacemos clic con el botón derecho y seleccionamos “New“.

En el siguiente cuadro de dialogo indicamos el nombre que queremos que tenga la nueva GPO y si se basa en otra, la seleccionaríamos en el apartado “Source Starter GPO“. Pero como la nuestra no se basa en ninguna otra, dejamos ese apartado vacío y pulsamos “OK“.

Hemos creado una nueva GPO pero está vacía, o mejor dicho, tiene todas las configuraciones por defecto. Ahora tenemos que editarla para cambiar alguna configuración que queremos.

Pues eso, botón derecho sobre la GPO y pulsamos “Edit.…“.

A continuación nos aparece la pantalla “Group Policy Management Editor“.

Soy por supuesto que ya conocéis un poco la estructura pero os indico que en 2008 disponemos ahora del apartado “Preferentes” tanto en la configuración de usuario como de equipo.

Antes de nada, vamos a explicar un poco para que va a servir esta GPO. Para ello nos posicionamos en la parte izquierda de la pantalla sobre la raíz de la política, pulsamos botón derecho y seleccionamos “Properties“.

Seleccionamos la pestaña “Comment“.

Ahora escribimos algo que indique la finalidad de esta GPO.

Cerramos con “Ok” la pantalla anterior y nos movemos por el árbol a: Competer Configuración -> Pólices -> Windows Settings -> Security Settings -> Windows firewall with advanced security.

Nos posicionamos en “Windows firewall with advanced security” como se puede ver en la imagen siguiente:

Podemos observar la configuración actual del comportamiento del firewall de Windows.

Pulsamos sobre el enlace “Windows Firewall Properties” y nos aparecerá algo parecido a lo siguiente:

Observamos que el Firewall está activado.

Bueno, pues como nosotros queremos que el firewall esté desactivado para todos los equipos que están dentro del dominio, seleccionamos la opción “Off” del menú desplegable y pulsamos “Ok“.

Al cerrar la pantalla anterior con “Ok“, volvemos a ver los detalles de configuración del Firewall que habíamos visto antes, pero en este caso ya podemos ver que el firewall esta configurado como apagado.

Salimos con “exit” del Editor de GPOs.

El paso que debemos dar ahora es asignar o vincular la GPO que acabamos de crear a un dominio, sitio o Unidad Organizativa.

En nuestro caso queremos que se aplique a todos y cada uno de los equipos que tenemos en el dominio, por consiguiente seleccionamos el dominio “Neointec.local”, pulsamos el botón derecho del ratón y seleccionamos “Link and Existen GPO…”.

Tras realizar el proceso anterior, nos muestra todas las GPOs que tenemos para que seleccionemos una de ellas.

Seleccionamos “Neointec Base” y pulsamos “Ok“.

Ya vemos, en las propiedades de la GPO, en la pestaña “sácope” que esta asignada al dominio “neointec.local“.

Y en la parte inferior de la parte derecha observamos que esta aplicada a todos los usuarios autentificados.

Con esto conseguimos que todos y cada uno de los equipos que entren en el dominio “Neointec.local”, tengan el Firewall apagado o desconectado.

No tenemos que ir uno por uno, realizando esta tarea en todos los equipos.

Como habreis podido ver, el uso de GPOs tiene una potencia inmensa y es de una utilidad impresionante y casi diria que imprescindible en toda empresa.

En los proximos tutoriales veremos mas cosas sobre las GPOs.

PROTECCION DE ACCESO A REDES La Protección de acceso a redes (NAP) es una nueva

tecnología incorporada en Windows Vista y Windows Server 2008. NAP incluye componentes de servidor y de cliente que permiten crear y aplicar las directivas de requisitos de mantenimiento que definen las configuraciones de software y de sistema necesarias para los equipos que se conectan a la red.

Qué hace La Protección de acceso a redes?

hace cumplir los requisitos de mantenimiento; para ello, supervisa y determina el estado de los equipos cliente cuando intentan conectarse a una red o comunicarse a través de ella. Si se determina que los equipos cliente no cumplen los requisitos de mantenimiento, pueden colocarse en una red restringida que contiene recursos para ayudar a corregir los sistemas cliente a fin de que puedan cumplir con las directivas de mantenimiento.

¿Por qué es importante esta funcionalidad? Uno de los mayores desafíos de las empresas actuales es la

cada vez mayor exposición de los dispositivos cliente a software malintencionado, como virus y gusanos. Estos programas pueden obtener acceso a sistemas host desprotegidos o configurados incorrectamente y usar dichos sistemas como escala para propagarse a otros dispositivos de la red corporativa. Los administradores de red pueden usar la plataforma NAP para proteger su red garantizando que los sistemas cliente mantengan actualizaciones de software y configuraciones de sistema adecuadas que les ayuden a protegerse del software malintencionado.

LA (NAP)

Que es la NAP.- NAP es una nueva plataforma que permite a los

administradores de red definir niveles de acceso a red en función de la identidad del cliente, los grupos a los que pertenece el cliente y el grado de cumplimiento de la directiva de gobierno corporativo por parte del cliente. Si un cliente no es compatible, NAP ofrece un mecanismo para hacer que el cliente sea compatible de forma automática (un proceso llamado corrección) y posteriormente aumentar su nivel de acceso a red. NAP es compatible con Windows® 7, Windows Vista®, Windows® XP con Service Pack 3 (SP3), Windows Server 2008 y Windows Server® 2008 R2.

¿Cómo hay que prepararse para implementar esta característica?

Los preparativos necesarios para implementar NAP dependen de los métodos de cumplimiento que elija y de los requisitos de mantenimiento que pretenda aplicar cuando los equipos cliente se conecten a la red o se comuniquen con ésta.

Si es administrador de sistemas o de red, puede implementar NAP con el Agente de mantenimiento de seguridad de Windows y el Validador de mantenimiento de seguridad de Windows. También puede consultar a otros proveedores de software para averiguar si ofrecen SHA y SHV para sus productos.

Por ejemplo, si un proveedor de software antivirus desea crear una solución NAP que incluya un SHA y un SHV personalizados, puede usar el conjunto de API para crear dichos componentes. Estos componentes se podrán integrar después en las soluciones NAP que implementen sus clientes.

Además de SHA y SHV, la plataforma NAP usa varios componentes cliente y de servidor para detectar y supervisar el estado de mantenimiento del sistema de los equipos clientes cuando intentan conectarse a la red o comunicarse a través de la misma. En la siguiente ilustración se muestran algunos de los componentes habituales que se usan para implementar NAP:

Componentes de cliente de NAP Un cliente compatible con NAP es un equipo que tiene

instalados los componentes de NAP y que puede comprobar su estado de mantenimiento mediante el envío de informes de mantenimiento (SoH) a NPS. Los siguientes son componentes de cliente de NAP habituales.

Agente de mantenimiento del sistema (SHA). Supervisa y realiza un informe del estado de mantenimiento

del equipo cliente para que NPS pueda determinar si las opciones supervisadas por SHA están actualizadas y correctamente configuradas. Por ejemplo, el Agente de mantenimiento de seguridad de Windows (WSHA) puede supervisar Firewall de Windows; es decir, si se ha instalado, habilitado y actualizado software antivirus; si se ha instalado, habilitado y actualizado software anti spyware, y si Microsoft Update Services está habilitado y el equipo cuenta con sus actualizaciones de seguridad más recientes. Podría haber disponibles SHA de otras compañías que proporcionen funcionalidad adicional.

Ejemplo.-

En los equipos cliente NAP que ejecuten Windows 7, NAP está integrado en el Centro de actividades. Si se determina que un equipo cliente NAP no es compatible con las directivas de mantenimiento de red, examine la categoría Protección de acceso a redes en Seguridad para obtener más información. Los equipos cliente NAP que son compatibles con los requisitos de mantenimiento y los equipos que no ejecutan el agente NAP no muestran información de NAP en el Centro de actividades.

Componentes de servidor NAP Los siguientes son componentes de servidor NAP habituales.

Servidor de directivas de mantenimiento NAP. Un servidor que ejecuta NPS y actúa como servidor de evaluación de mantenimiento NAP.

Servidor de administración de NAP. Proporciona una función de procesamiento similar al agente NAP del lado cliente. Es responsable de recopilar SoH de los puntos de cumplimiento NAP, distribuir el informe de mantenimiento a los validadores de mantenimiento del sistema (SHV) correspondientes y recopilar las respuestas del informe de mantenimiento (SoHR) de los SHV y pasarlas al servicio NPS para su evaluación.

Servidor de cumplimiento NAP (NAP ES). Coincide con un NAP EC correspondiente para el método de cumplimiento NAP que se está usando. NAP ES recibe la lista de los informes de mantenimiento de NAP EC y los pasa a NPS para su evaluación

Punto de cumplimiento NAP. Un servidor o dispositivo de acceso a la red que usa NAP o que se puede usar con NAP para solicitar la evaluación del estado de mantenimiento de un cliente NAP y proporcionar comunicación o acceso restringidos a la red.

FINGRACIAS