Prácticas recomendadas: guía de configuración del cortafuegos

  • N.º del artículo: 57757
  • Calificación:
  • 1 clientes puntuaron este artículo 1.0 de 6
  • Actualizado: 04 jul 2013

Al configurar una política del cortafuegos, puede que necesite más información sobre ciertas opciones, para saber si debería activarlas o no.

En este artículo se describen las reglas y la configuración predeterminada de fábrica cuando el cortafuegos de Sophos se configura utilizando el botón Configuración avanzada de la política del cortafuegos. Dentro de lo posible, se describen siempre las implicaciones para la seguridad de cada configuración y porqué dicha configuración es la predeterminada.

Sophos recomienda utilizar la guía para la distribución del cortafuegos antes de distribuirlo a las estaciones.

Desactivar el cortafuegos: Para desactivar el cortafuegos, vea la sección 'Desactivar el cortafuegos temporalmente' en la Ayuda de Endpoint Security and Control o Enterprise Console. Nota: no se permite desactivar el servicio del cortafuegos para desactivar el mismo.

Para ver otros artículos sobre prácticas recomendadas, consulte el índice de prácticas recomendadas

En este artículo

Configuración avanzada:
Configuración general | Configuración de la Detección de ubicación | Configuración de sumas de verificación | Configuración del registro

Configuración de la ubicación primaria o secundaria:
Configuración general | Configuración de ICMP | Configuración de redes de área local | Reglas globales | Reglas de aplicaciones | Configuración del control de procesos

Configuración avanzada

Ficha General

Opción Predeterminado Comentarios
Ubicación primaria: Permitir todo el tráfico Desactivado

Esta opción está pensada sólo para circunstancias especiales. Su función es desactivar el cortafuegos cuando los equipos se encuentran en la ubicación primaria. Por lo general, no debería utilizarse.

Si necesita permitir una aplicación o conexión, configure una regla de aplicaciones, ICMP o global.

Configurar una ubicación secundaria Desactivado Esta opción sólo debería utilizarse para portátiles y otros equipos que suelen estar conectados a otra red, como redes domésticas o públicas inalámbricas.
Ubicación actual Ubicación detectada

Desactivado hasta que se selecciona la opción 'Configurar una ubicación secundaria'. Permite configurar qué política se aplica al detectar una ubicación nueva.

La opción predeterminada 'Ubicación detectada' hace que el cortafuegos detecte de forma automática la red actual y seleccione la configuración correspondiente.

Los usuarios que pertenezcan a los grupos SophosPowerUsers o SophosAdministrators, podrán seleccionar de forma manual si desean utilizar la ubicación primaria o secundaria cuando se encuentren en una tercera. Informe a los usuarios de portátiles sobre estas posibilidades que pueden aprovechar cuando se conecten a una red nueva y explíqueles la configuración que deberían utilizar.

Ficha Detección de ubicación

 

Opción Predeterminado Comentarios

Método de detección

DNS, sin configurar Sophos recomienda utilizar la identificación de la dirección MAC de la puerta de enlace siempre que sea posible. El cortafuegos detectará la configuración de la puerta de enlace fácilmente y utilizará la ubicación primaria o secundaria.

Ficha Suma de verificación

Opción Predeterminado Comentarios
Aplicación/
Versión/
Suma de verificación
Sin configurar Antes de distribuir el cortafuegos, introduzca en este cuadro las sumas de verificación MD5 de las aplicaciones utilizadas de forma habitual en la red, para ahorrar tiempo y que el cortafuegos no las solicite de nuevo durante la distribución.

Ficha Registro

Opción Predeterminado
Mantener todas las entradas/Borrar entradas obsoletas Borrar entradas obsoletas
Borrar entradas tras x días 1 día
desactivado
No guardar más de y entradas 200 entradas
desactivado
No pasar de z MB 50 MB
activado

Configuración de las ubicaciones primarias o secundarias

Nota: no existe ninguna ubicación secundaria preconfigurada. Al añadir alguna, la configuración predeterminada será idéntica a la ubicación primaria.

Ficha General

Opción Predeterminado Comentarios
Modo de funcionamiento Bloquear por defecto

En este artículo se definen las prácticas recomendadas. Recuerde que si está configurando Sophos Client Firewall por primera vez, debería consultar la Guía de distribución para administradores para obtener instrucciones más detalladas.

En general, una vez que todas las aplicaciones aprobadas cuentan con acceso a través del cortafuegos, es aconsejable configurar el modo 'Bloquear por defecto' en todos los equipos para detener el acceso a la red de tráfico no autorizado.

Recuerde que si tanto la ubicación primaria como la secundaria están activadas y el modo primario es interactivo, el modo secundario se configurará de forma automática como "bloqueado por defecto". El modo interactivo no está disponible en Windows 8.

Bloquear procesos si otro programa modifica la memoria Activado Esta opción puede evitar que las amenazas infecten los equipos. Normalmente, esta opción debería estar seleccionada.

No disponible en Windows 8. Función incluida en HIPS.
Bloquear procesos ocultos iniciados por aplicaciones desconocidas Activado Esta opción debería estar siempre activada para impedir la ejecución de programas maliciosos en las estaciones.

No disponible en Windows 8. Función incluida en HIPS.
Descartar paquetes enviados a puertos bloqueados Activado Esta opción impide que un usuario ajeno a la red sepa que hay un puerto en nuestro equipo, lo que ayuda a evitar los ataques. Normalmente, esta opción debería estar seleccionada.

No disponible en Windows 8. Siempre activado.
Autenticar aplicaciones mediante sumas de verificación Activado Esta opción ayuda al cortafuegos a diferenciar las aplicaciones legítimas de los programas maliciosos que tienen el mismo nombre. Normalmente, esta opción debería estar seleccionada.

En Windows 8, esta opción se encuentra en la ficha Aplicaciones.
Bloquear paquetes IPv6 Activado En estos momentos, sólo un número reducido de aplicaciones y proveedores de acceso a internet utilizan IPv6. Esta opción permite bloquear el tráfico de IPv6 en las estaciones si, por ejemplo, utilizan aplicaciones de intercambio de archivos (P2P). Para bloquear por completo el uso de aplicaciones P2P en la red, configure una política de restricción de aplicaciones.

En Windows 8, esta opción se encuentra en la ficha Reglas globales. Aparece con el nombre "Bloquear todo el tráfico IPv6".
Enviar una alerta a la consola de administración si se modifica alguna regla global, aplicación, proceso o suma de verificación Activado Al seleccionar "Enviar alerta a la consola de administración...", puede ver si la configuración del cortafuegos de las estaciones de trabajo ha sido modificada por un usuario o por un programa malintencionado. En la mayoría de los casos, esta opción debería permanecer seleccionada.

No disponible en Windows 8.
Notificar aplicaciones y tráfico desconocidos a la consola de administración Activado Sophos recomienda mantener esta opción seleccionada siempre para controlar las acciones de los usuarios.
Notificar errores a la consola de administración Activado Esta opción permite al administrador ver los mensajes de error del cortafuegos en las estaciones de trabajo, a través de la consola. Normalmente, esta opción debería estar seleccionada.
(Mensaje de escritorio)
Mostrar avisos y errores

Activado

Sophos recomienda mantener esta opción activada para informar a los usuarios si se produce algún problema.
(Mensaje de escritorio)
Mostrar aplicaciones y tráfico desconocidos
Desactivado Esta opción sólo muestra las aplicaciones y el tráfico desconocidos si se ha seleccionado el modo interactivo.

 

Ficha ICMP

Opción Predeterminado Comentarios
Respuesta eco (0) Permitido ENTRANTE Usado para responder a peticiones eco (pings). Permitir las respuestas eco podría hacer que los equipos sean vulnerables a ataques de denegación de servicio.
Destino no alcanzado (3) Permitido ENTRANTE y SALIENTE Al activar esta opción, los equipos pueden ser más vulnerables a ataques "destino-inalcanzable".
Acallar fuente (4) Bloqueado Para ocuparse de las sobrecargas, estos mensajes solicitan que se reduzca la cantidad de información enviada a la fuente del mensaje. La activación de esta opción podría hacer que los equipos sean vulnerables a ataques de intermediarios o MitM, y de denegación del servicio (DoS).
Redireccionar mensaje (5)

Bloqueado

Si no necesita realizar redireccionamientos en la red, no se aconseja configurar esta opción, ya que pueden utilizarse para cambiar las tablas de enrutado en los routers y equipos, y facilitar ataques de denegación de servicios
Petición eco (8) Permitido SALIENTE Se utiliza para comprobar si un equipo en red está activo (por ejemplo, de ping). Permitir las peticiones eco podría hacer que los equipos sean vulnerables a ataques de denegación de servicio.
Anuncio de router (9) Permitido ENTRANTE

En Windows 8, se bloquea por defecto
Los mensajes de anuncio de router se envían en respuesta a mensajes de petición de router, o para difundir la presencia del router. Los mensajes falsos de anuncios de router pueden utilizarse para cambiar tablas de enrutado en routers y facilitar ataques de intermediarios o DoS. Por eso, hemos bloqueado los avisos entrantes por defecto.
Solicitud de router (10) Permitido SALIENTE

En Windows 8, se bloquea por defecto
Los mensajes de petición de router se envían para localizar routers en redes como una forma de escaneado. Los usuarios maliciosos pueden utilizar peticiones de router para buscar equipos a los que dirigir los ataques. Por eso, las hemos bloqueado por defecto.
Tiempo agotado (11) Permitido ENTRANTE
Problema de parámetro (12) Bloqueado
Petición timestamp (13) Bloqueado
Respuesta timestamp (14) Bloqueado
Petición de información (15) Bloqueado
Respuesta de información (16) Bloqueado
Petición de máscara de red (17) Bloqueado
Respuesta de máscara de red (18) Bloqueado

Ficha Red local

Opción Predeterminado Comentarios
Red local (dirección IP y subred) Sin configurar NetBIOS permite compartir archivos e impresoras con otros ordenadores de la LAN o la red secundaria de confianza. Esta opción debería ser suficiente para la mayor parte del trabajo habitual de oficina.

Esta opción permite todo tipo de tráfico entre ordenadores de la LAN. Utilice esta opción únicamente cuando sea estrictamente necesario.


Ficha Reglas globales

Opción Predeterminado Comentarios
Permitir conexión de retorno TCP

Donde el protocolo es TCP y la dirección remota es 127.0.0.0 (255.0.0.0)
Autorizar

Las conexiones de retorno permiten a las aplicaciones comprobar la existencia de conexiones de red. Este es el método que suelen utilizar los navegadores web.
Permitir protocolo GRE

Donde el protocolo es IP y el tipo es GRE
Autorizar

Permite la ejecución de GRE en túneles de IP hacia y desde la estación, es decir, conexiones de redes virtuales privadas (VPN).
Permitir control de conexión PPTP Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 1723
y el puerto local es 1024-65535
Autorizar
Permite la ejecución de PPTP en túneles de IP hacia y desde la estación, es decir, conexiones de redes virtuales privadas (VPN).
Permitir conexión de retorno UDP

Donde el protocolo es UDP
y la dirección remota es 127.0.0.0 (255.0.0.0)
y el puerto local es igual al puerto remoto
Autorizar

Nota: En Windows 8, la opción "y el puerto local es el mismo que el puerto remoto" no está disponible. Es decir, la regla es:
Donde el protocolo es TCP y la dirección remota es 127.0.0.0 (255.0.0.0)
Autorizar
Bloquear llamada RPC (TCP) Donde el protocolo es TCP
y la dirección es Entrante
y el puerto local es 135
Autorizar
Esta configuración impide las llamadas RPC mediante TCP en las estaciones. Así, se detiene la ejecución de código legítimo por parte de intrusos en equipos locales de forma no deseada.
Nota: El puerto para las llamadas de procedimiento remoto RPC (135) está asociado con varias vulnerabilidades de alta peligrosidad utilizadas por gusanos de red para la replicación y propagación.
Bloquear llamada RPC (UDP) Donde el protocolo es UDP
y el puerto local es 135
Autorizar
Esta configuración impide las llamadas RPC mediante UDP en las estaciones. Así, se detiene la ejecución de código legítimo por parte de intrusos en equipos locales de forma no deseada.

Ficha Aplicaciones

Aquí se enumeran los servicios de Windows más comunes y más importantes. Es probable que necesite añadir más aplicaciones mientras distribuye el cortafuegos en modo interactivo. 

Nombre de la aplicación Predeterminado

alg.exe
(componente del Firewall de Windows)

Permitir ALG Redirect
Donde el protocolo es TCP
y la dirección es Entrante
Autorizar
y con filtrado dinámico 
Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Conexión Microsoft Application Layer Gateway Service
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 21
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

lsass.exe
(Servicio de subsistema de autoridad de seguridad local)

Conexión Local Security Authority Service Kerberos UDP
Donde el protocolo es UDP
y el puerto remoto es 88
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Conexión Local Security Authority Service Kerberos UDP
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 88
Autorizar

Conexión LSASS LDAP a Global Catalog Server
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 3268-3269
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Conexión Local Security Authority Service LDAP UDP
Donde el protocolo es UDP
y el puerto remoto es 389
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Conexión Local Security Authority Service LDAP UDP
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 389
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Asignación dinámica de puerto Local Security Authority Service DCOM
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 1025-1040
Autorizar

Conexión Local Security Authority Service DCOM
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 88
Autorizar

Permitir traducción DNS (TCP)
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 53
Autorizar

Permitir traducción DNS (UDP)
Donde el protocolo es UDP
y la dirección es Saliente
y el puerto remoto es 53
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

services.exe
(Windows Service Controller)

Conexión servicios DCOM
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 88
Autorizar
Asignación dinámica de puerto de servicio DCOM
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 1090-1110
Autorizar
Conexión servicios LDAP
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 389, 3268
Autorizar
Permitir traducción DNS (TCP)
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 53
Autorizar

Permitir traducción DNS (UDP)
Donde el protocolo es UDP
y la dirección es Saliente
y el puerto remoto es 53
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Permitir DHCP
Donde el protocolo es UDP
y el puerto remoto es 67
y el puerto local es 68
Autorizar
Permitir DHCP (v6)
Donde el protocolo es UDP
y el puerto remoto es 547
y el puerto local es 546
Autorizar

svchost.exe
(Service Host)

Permitir traducción DNS (TCP)
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 53
Autorizar

Permitir traducción DNS (UDP)
Donde el protocolo es UDP
y la dirección es Saliente
y el puerto remoto es 53
Autorizar
y con filtrado dinámico

Nota: la opción "y con filtrado dinámico" no está disponible en Windows 8 ya que todas las reglas incluyen filtrado dinámico.

Permitir DHCP
Donde el protocolo es UDP
y el puerto remoto es 67
y el puerto local es 68
Autorizar

Permitir DHCP (v6)
Donde el protocolo es UDP
y el puerto remoto es 547
y el puerto local es 546
Autorizar

userinit.exe
(Inicialización de usuarios)

Conexión Microsoft Userinit LDAP
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 389, 3268
Autorizar

Conexión Microsoft Userinit DCOM 
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 88
Autorizar

winlogon.exe
(Inicio de sesión de Windows)

Conexión Microsoft Winlogon LDAP
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 389, 3268
Autorizar

Conexión Microsoft Winlogon DCOM
Donde el protocolo es TCP
y la dirección es Saliente
y el puerto remoto es 88
Autorizar


Ficha Procesos

Esta ficha no está disponible en Windows 8. No se permiten procesos ocultos y todas las conexiones se tratan igual.

Opción Predeterminado Comentarios
Avisar ante nuevos iniciadores. Activado Esta opción sólo está disponible mientras se utiliza el modo interactivo.
Avisar ante conexiones de bajo nivel. Activado Esta opción sólo está disponible mientras se utiliza el modo interactivo.

 

 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios