Conociendo más sobre seguridad informática

Qué podemos esperar del cortafuegos de Vista

En los últimos días previos al lanzamiento de Vista para usuarios particulares, estuvimos analizando de cerca los componentes de su cortafuegos, para ver qué beneficios ofrece la versión final.
Este documento también contiene comentarios sobre otros aspectos de seguridad del nuevo sistema operativo.

Un sistema operativo más seguro en general

Vista presenta varios refuerzos de seguridad, para fortalecer el sistema contra la acción de códigos maliciosos y otras actividades no autorizadas.
Entre estas mejoras podemos mencionar:

• Control de cuentas de usuario

(UAC, User account Control) que previene cambios sensibles en el sistema, o la modificación del comportamiento de algunos programas, sin suministrar credenciales de administrador (aplicable a usuarios restringidos), o sin permiso explícito (derechos de administrador).
Esto, efectivamente evita que aplicaciones maliciosas accedan subrepticiamente a las áreas críticas del sistema de archivos de Windows, o que interactúen de forma no apropiada con otras aplicaciones. 

• Windows Defender

Se encarga de la detección y eliminación de programas espía. En casos aislados, puede detectar y borrar otros códigos maliciosos, como gusanos, pero es muy débil para eliminar virus.

• El cortafuegos integrado

Lo discutiremos más adelante en este documento, monitoriza el tráfico en ambas direcciones.

• Internet Explorer 7

Ya lo hemos analizado en extenso. Para el uso específico de Vista, esta versión del navegador se ve mucho más reforzada con el Modo protegido (Protected Mode), que asegura que la interacción entre archivos y programas iniciada por el navegador, queda restringida a su entorno, y no se extiende al resto del sistema.
Esto limita el impacto de los problemas que el navegador puede causar en otros sectores del sistema operativo.

• Control para padres

La herramienta los ayuda a administrar mejor a qué contenido pueden acceder los niños en el ordenador, y cuándo.

• Patchguard

(Protección para el parche del kernel, Kernel Patch Protection), restringe el acceso al núcleo de Windows en las versiones de Vista para 64 bits, aislándolo del código malicioso (pero también haciéndolo inaccesible a la interacción con código legítimo).

Un primer vistazo al cortafuegos

El cortafuegos integrado de Windows está activado por defecto, y monitoriza automáticamente todas las solicitudes de conexión entrantes.

El Centro de redes y uso compartido (Network and Sharing Center) de Vista, permite que el usuario seleccione el perfil de sus conexiones, y especifique si estas serán públicas, privadas o de dominio. El sistema asigna a la conexión la serie de valores apropiados para uso compartido y la seguridad, y el cortafuegos determina la configuración adecuada.
Esto parece ser una característica muy útil, pues permite cambiar el perfil de cualquier conexión rápidamente, y el sistema adaptará automáticamente la configuración del cortafuegos.  

Por ejemplo, si designamos nuestra conexión actual como pública, automáticamente se desactiva el uso compartido de impresoras y archivos, y se permiten solamente las opciones mínimas necesarias para conectarse a Internet.
En este caso, se aplica la configuración más segura, y el usuario no podrá ver ni compartir recursos en la red local.

Si cambiamos el estado de la red a privado (esto es menos seguro, asumiremos que la red a la que nos conectamos es de confianza, y se pueden compartir recursos), se activan algunos servicios de uso compartido y detección de redes.
El cortafuegos agrega ciertas aplicaciones y servicios a su lista de excepciones, para garantizarles el acceso.

El cortafuegos tiene dos interfaces disponibles: una puede ser accedida desde el Panel de control, que ofrece un programa básico ideal para usuarios sin experiencia, o que no quieren involucrarse con cuestiones de configuración complejas; y una versión más avanzada que permite definir reglas detalladas para el cortafuegos.
Es posible acceder a esta última interfaz con varios métodos diferentes, incluso utilizando la Consola de administración de Microsoft (MCC, Microsoft Management Console).

Primero analizaremos la interfaz simple, la interacción con la versión compleja la presentaremos más adelante en este mismo documento.

Configuración básica del cortafuegos, y sus capacidades

En esencia, la interfaz simple sólo permite activar y desactivar el cortafuegos, especificar un par de exclusiones, definir reglas para monitorizar conexiones entrantes para aplicaciones específicas utilizando parámetros como puerto, protocolo y servidores remotos, y elegir las conexiones de red que el cortafuegos debería proteger.

Un punto clave aquí es que, por defecto, el cortafuegos no monitoriza las conexiones salientes. Por lo tanto, no puede detectar si el sistema ha sido “secuestrado” para enviar correo masivo o virus, ni tampoco puede evitar la transmisión de datos personales hacia terceros no autorizados. Estas dos cuestiones son cruciales en la inseguridad del mundo en línea actual.

Como detalle positivo, Shields UP!!, la herramienta para probar puertos abiertos de Gibson Research, reveló que el cortafuegos ocultó exitosamente todos los puertos del ordenador analizado.
Esto es bueno, porque si los delincuentes informáticos no pueden encontrar los puertos abiertos (que podrían aceptar conexiones remotas) de un ordenador, será mucho más difícil enlazarlo y aprovechar sus vulnerabilidades.

Sin embargo, el riesgo mayor radica en la manera en que el cortafuegos procesa las solicitudes de conexión, y cómo controla la dirección del intercambio de información.
Este asume que si se permite la salida de ciertos datos, la respectiva respuesta entrante también debe ser legítima.
Por lo tanto, permitirá todas las conexiones entrantes, para cualquier programa que haya iniciado con anterioridad una solicitud saliente y está esperando paquetes de respuesta.
No se muestra ninguna advertencia ni notificación, porque el cortafuegos asume que el canal de comunicación es de confianza, y permite el tráfico de datos entrante y saliente, sin restricciones.
Esta suposición errónea, implica que el ordenador podría ser incorporado fácilmente a una botnet: una simple solicitud saliente realizada por un troyano (y permitida por el cortafuegos), bastaría para convertir un ordenador personal en un servidor comprometido, que acepta órdenes de un atacante remoto. 

Pudimos demostrar esta vulnerabilidad con facilidad, ejecutando una aplicación de mensajería instantánea.
Sin alertas ni advertencias de ningún tipo, el programa primero estableció una conexión saliente, de modo que el cortafuegos permitió cada solicitud de conexión subsiguiente.
La ventana del comando netstat muestra el detalle.

El mismo resultado puede verificarse en otros programas habilitados para Internet, donde aplicaciones tan diversas como el navegador Firefox y el cliente de FTP Filezilla pudieron acceder la red y enviar datos a través del cortafuegos, sin mayores dificultades.
Honestamente, no apareció ni una sola alerta del cortafuegos durante el transcurso de la evaluación de sus capacidades básicas.
Esto contrasta por completo con el enfoque que toman los cortafuegos de desarrolladores independientes, tales como Outpost, que controlan quién inicia la actividad, y no permiten la comunicación en ningún sentido sin el permiso explícito del usuario.

Si un usuario desea controlar ambos sentidos de la transmisión, y configurar reglas de acceso avanzadas para diferentes aplicaciones, debe usar la interfaz “Cortafuegos de Windows con seguridad avanzada” (Windows Firewall with Advanced Security), que trataremos en el final de este documento.

Configuración avanzada del cortafuegos, y sus capacidades

Primera experiencia

Se puede acceder a la interfaz avanzada del cortafuegos desde

• Panel de control / Herramientas administrativas / Cortafuegos de Windows con seguridad avanzada. 

Como alternativa,

• Abrir el menú Ejecutar de Windows, e introducir el comando WF.msc.
  
  
• Seleccionar Agregar/Quitar complemento,
  
  
• Buscar Cortafuegos de Windows con seguridad avanzada y pulsar el botón Agregar.
  
  
• A continuación, seleccionar Ordenador local y presionar Finalizar.

Al confirmar la acción, aparece el complemento correspondiente en una consola de administración de Microsoft, y pulsando dos veces sobre el ítem, se mostrará la interfaz.

El cortafuegos tiene tres perfiles, uno para cada tipo de conexión de red, ya mencionados anteriormente, y el usuario puede asignar configuraciones específicas cada uno de ellos.

Seguramente, el usuario deseará asignar la configuración más segura al perfil público, y utilizar valores más permisivos para el perfil privado, donde existe un cierto nivel de confianza entre los miembros de la red a la que está conectado.
Es posible hacer esto, utilizando la configuración avanzada.

El primer cuadro de diálogo, aparece al seleccionar el menú Propiedades del cortafuegos de Windows, y permite bloquear las conexiones salientes.

La clave aquí radica en escoger correctamente el perfil que se desea modificar, para poder ver el efecto. Nosotros seleccionamos el público (nuestro tipo de conexión actual), y optamos por bloquear todas las conexiones salientes.

El resultado inmediato fue que todos los programas que estábamos usando perdieron la conectividad a Internet, y tuvimos que definir manualmente las reglas correspondientes para cada una de las aplicaciones afectadas, para recuperar el acceso. No fue un buen comienzo.

Reglas de acceso de las aplicaciones

El cortafuegos avanzado tiene una extensa lista de reglas preestablecidas, de acceso entrante y saliente para diferentes programas.

Pero, naturalmente, ninguna de las aplicaciones que nosotros usamos frecuentemente está en esta lista. Con el bloqueo de conexiones salientes activado, esto significó que tuvimos que crear las reglas de salida manualmente para cada uno de los programas que queríamos continuar utilizando.
Este hecho es extremadamente desafortunado, pues casi todas las aplicaciones actuales necesitan algún tipo de acceso a Internet.

Si el cortafuegos hubiese aplicado el procedimiento de consultar sobre los permisos de acceso, como el que utilizan las soluciones de seguridad de desarrolladores independientes, esta situación podría haberse evitado fácilmente.
Como nos fue negado tal “lujo”, tuvimos que recurrir al ajuste manual.

A continuación está el proceso que debimos seguir para recuperar el acceso de Firefox. El tratamiento es similar para otras aplicaciones. 

Primero, hay que pulsar sobre Reglas de salida y asegurarse de que Firefox aún no esté incluido en la lista. Después, en el panel derecho llamado Acciones, seleccionar el ítem Nueva regla, y presionar Personalizar.

A continuación recorrer el árbol de directorios hasta ubicar Firefox.exe. Hay que tener en cuenta, que en la imagen que mostramos debajo, la entrada “Archivos de programa” (Program files) se interpreta como una variable. Esto es una gran ventaja, pues no depende de la ubicación actual de la carpeta del programa.

Otras configuraciones que modificamos mientras seguíamos las instrucciones del asistente, fueron “Permitir la conexión” (Allow connection), que la hicimos aplicable a los tres perfiles, y finalmente, ingresar un nombre personalizado. La nueva regla apareció en la compleja (y algo pobre) lista de reglas de salida.

Después de completar los pasos mencionados, pudimos al fin conectar nuevamente Firefox. Es obvio que resulta casi imposible hacer esto con cada aplicación que queremos que funcione con la modalidad de bloqueo de conexiones saliente activado.

Por lo tanto, no es recomendable seleccionar esta opción altamente restrictiva. Aún a pesar del riesgo que implica, la mayoría de los usuarios encontrarán que repetir este proceso una y otra vez, resulta un inconveniente peor.

Otras opciones

El usuario puede configurar el cortafuegos avanzado para que sea compatible con conexiones seguras que utilicen cifrado y autenticación (reglas IPsec), pero este tema complejo merece un análisis por separado, y no entraremos en detalles aquí.

El cortafuegos avanzado permite el registro de eventos con el propósito de solucionar problemas, pero los datos guardados no proporcionan registros de la actividad por aplicación, de modo que su utilidad se ve un poco limitada desde esa perspectiva.

Este cortafuegos tampoco incorpora una base de datos de tipos de ataques conocidos, lo que significa que será poco probable que brinde protección alguna contra los ataques de denegación de servicio en una red local.

Resumen de las capacidades del cortafuegos de Vista

Positivas:

• Permite la utilización de múltiples perfiles de conexión.
  
  
• Permite la definición de reglas avanzadas para el cortafuegos.
  
  
• Permite la autenticación de datos para conexiones seguras.
  
  
• Ofrece compatibilidad para el protocolo IPv6.
  
  
• Reglas de acceso predefinidas para aplicaciones y servicios internos.

Negativas:

• La utilización de la configuración avanzada demanda mucho esfuerzo.
  
  
• No controla ni asegura las conexiones salientes automáticamente.
  
  
• Las conexiones entrantes no son filtradas si son la respuesta a una solicitud saliente previamente iniciada para una sesión aplicable al programa solicitante.
  
  
• No consulta al usuario qué acción tomar con respecto a las solicitudes salientes, puede bloquear o permitir una conexión.
  
  
• No tiene reglas basadas en tiempo.
  
  
• No ofrece control avanzado para la comunicación entre procesos para el acceso de aplicaciones salientes. Este aspecto está parcialmente cubierto por el Control de cuentas de usuario, pero existen programas que pueden establecer acceso saliente atravesando este control.
  
  
• No tiene un sistema de detección de intrusos
  (IDS, Intrusion Detection System)
  
  
• Inicio de sesión primitivo.
  
  
• No existe monitorización de las conexiones activas

Conclusiones

La migración de Microsoft hacia una mejor seguridad del sistema operativo ha sido largamente esperada (algunos dirían largo tiempo atrasada), y traerá beneficios a los usuarios.

Algunas de las nuevas medidas de seguridad presentadas, definitivamente aumentarán la seguridad del usuario, pero con cierto coste: aumento de consultas generadas por el Control de cuentas de usuario, o el modo protegido de Internet Explorer, entre otras distracciones.

Pero, ciertamente hay algo que no molestará jamás a la mayoría de los usuarios: el cortafuegos de Windows Vista. No controla la actividad saliente, y por eso es inherentemente incapaz de ofrecer control en tiempo real sobre el tráfico de red.
El hecho de que sólo pueda permitir o bloquear conexiones, crea un riesgo de seguridad significativo si el cortafuegos permite conexiones salientes, y una seria interferencia con el uso productivo del ordenador si se bloquea este tipo de tráfico.

Por lo tanto, previsiblemente, nuestra opinión es que el mejor consejo para los usuarios sería que utilicen un cortafuegos dedicado, confiable, de un desarrollador independiente, como Outpost, para proteger sus actividades en línea.