Configuracion manual del firewall SP2

Configuración manual de Servidor de seguridad de conexión a Internet en

Windows XP Service Pack 2

Windows XP Service Pack 2 (SP2), ahora en la fase de pruebas beta, incluye mejoras
significativas en el Servidor de seguridad de conexión a Internet (ICF,Internet
Connection Firewall), también conocido como Windows Firewall. ICF es un servidor de
seguridad basado en host con estado que descarta todo el tráfico entrante no solicitado
que no sea el enviado como respuesta a una solicitud del equipo (tráfico solicitado) o el
no solicitado que se haya especificado como permitido (tráfico admitido). ICF
proporciona un grado de protección frente a usuarios y programas malintencionados que
se basa en el tráfico entrante no solicitado para atacar los equipos de una red.

En Windows XP SP2, hay muchos cambios de ICF, como son:

• Se habilita de forma predeterminada para todas las conexiones del equipo

• Nuevas opciones globales de configuración que se aplican a todas las
conexiones
• Un nuevo conjunto de cuadros de diálogo para la configuración local
• Un nuevo modo blindado
• Seguridad en el inicio
• Restricción de la subred local
• El tráfico admitido se puede especificar por nombre de archivo de aplicación
• Compatibilidad integrada con ICF de Protocolo Internet versión 6 (IPv6)
• Nuevas opciones de configuración con Netsh y Directiva de grupo

En este artículo se describe con detalle el conjunto de cuadros de diálogo que permiten
configurar manualmente el nuevo ICF. Al igual que ICF en Windows XP (antes del
SP2), los cuadros de diálogo de configuración sólo se aplican a ICF para el tráfico IPv4.

Nota Los cuadros de diálogo mostrados y descritos aquí corresponden a la versión beta
inicial de Windows XP SP2 y podrían cambiar sustancialmente en la versión final.

La configuración para ICF en Windows XP (antes del SP2) consta de una única casilla
de verificación (la casilla de verificación Ayudar a proteger mi equipo y mi red
limitando o impidiendo el acceso al mismo desde Internet en la ficha Avanzadas de
las propiedades de una conexión) y un botón Configuración desde el que puede
configurar el tráfico tráfico admitido, la configuración de registro y el tráfico ICMP
permitido.

En Windows XP SP2, la casilla de verificación se ha reemplazado con un

botónConfiguración desde el que puede establecer la configuración general, los
permisos para programas y servicios, la configuración específica de las conexiones, la
configuración del registro y el tráfico ICMP permitido. El botónConfiguración inicia el
nuevo subprograma Servidor de seguridad de conexión a Internet desde el Panel de
control (disponible en las categorías Conexiones de red e Internet y Seguridad).
El nuevo cuadro de diálogo Servidor de seguridad de conexión a Internet contiene
las siguientes fichas:

• General
• Excepciones
• Conexiones de red
• Configuración de registro
• ICMP

En las secciones siguientes se describe detalladamente la configuración de cada una de

estas fichas.

Ficha General

En la figura siguiente, se muestra la ficha General con su configuración

predeterminada.

En la ficha General, puede seleccionar una de las opciones siguientes:

• Activado (recomendado)

Active esta opción para habilitar ICF en todas las conexiones de red
seleccionadas en la ficha Conexiones de red. ICF se habilita para permitir sólo
 el tráfico entrante solicitado y excluido. El tráfico admitido se configura en la
ficha Excepciones.

• Activado sin excepciones

Active esta opción para habilitar ICF en todas las conexiones de red y permitir
sólo el tráfico entrante solicitado. El tráfico entrante excluido no se permite.
Todas las opciones de la ficha Excepciones se pasan por alto. Todas las
conexiones de red se protegen, independientemente de la configuración de la
ficha Conexiones de red.

• Desactivado

Active esta opción para deshabilitar ICF. Esto no se recomienda, en especial

para las conexiones de red que son accesibles directamente desde Internet.

Tenga en cuenta que la configuración predeterminada para ICF es Activado

(recomendado) para todas las conexiones de un equipo donde se ejecuta Windows XP
SP2 y para las conexiones recién creadas. Esto puede afectar a las comunicaciones de
los programas o servicios que dependen del tráfico entrante no solicitado. En este caso,
debe identificar los programas que ya no funcionan e identificar su tráfico como
excluido. Muchos programas, como los exploradores de Internet y algunos clientes de
correo electrónico (como Outlook Express), no dependen del tráfico entrante no
solicitado y trabajan apropiadamente con ICF habilitado.

Si usa Directiva de grupo para configurar ICF en equipos con Windows XP SP2, el
valor predeterminado de la opción de directiva de grupo Allow User Preference/Group
Policy Settings Merge no permite la configuración local. En este caso, las opciones de la
ficha General y del resto de fichas aparecen atenuadas y no están disponibles. En la
figura siguiente se muestra un ejemplo de la ficha General para un equipo que tenía
aplicada la configuración de directiva de grupo ICF.
La configuración de ICF basada en directiva de grupo permite configurar un perfil de
dominio (un conjunto de opciones de configuración de ICF que se aplican al conectarse
a una red que contenga controladores de dominio) y un perfil móvil (un conjunto de
opciones de configuración de ICF que se aplican al conectarse a una red que no contiene
controladores de dominio, como Internet). Los cuadros de diálogo de configuración sólo
muestran las opciones de configuración de ICF del perfil aplicado en ese momento. Para
ver la configuración del perfil que no se está aplicando, use los comandos netsh
firewall ipv4 show. Para cambiar la configuración del perfil que no se está aplicando,
use los comandos netsh firewall ipv4 set.

Ficha Excepciones

La ficha Excepciones con su configuración predeterminada se muestra en la figura

siguiente.
En la ficha Excepciones, puede habilitar o deshabilitar un programa o servicio
existentes, o mantener la lista de programas y servicios que definan el tráfico admitido.
No se permite el paso del tráfico admitido cuando se selecciona la opción Activado sin
excepciones en la ficha General.

Con Windows XP (antes del SP2), se podía definir el tráfico admitido sólo en relación a
los puertos del Protocolo de control de transporte (TCP, Transmission Control Protocol)
o el Protocolo de datagramas de usuario (UDP,User Datagram Protocol). Con Windows
XP SP2, se puede definir el tráfico admitido en relación a los puertos TCP y UDP, o
según el nombre de archivo de un programa o servicio. Esta flexibilidad de
configuración facilita la configuración del tráfico admitido cuando los puertos TCP o
UDP del programa o servicio no se conocen o se determinan dinámicamente cuando se
inicia el programa o servicio.

Hay un conjunto de programas y servicios preconfigurados, que incluyen:

• Compartir archivos e impresoras

• Asistente para transferencia de archivos y configuraciones
• NetMeeting
• Asistencia remota y Escritorio remoto
• UPnP
• Windows Messenger
En los programas y servicios preconfigurados, los programas Asistente para
transferencia de archivos y configuraciones, NetMeeting y Windows Messenger están
habilitados de forma predeterminada. Los programas Compartir archivos e impresoras,
Asistencia remota, Escritorio remoto y UPnP no se pueden eliminar.

Puede crear otros programas o servicios adicionales si hace clic en Agregar. En la

figura siguiente se muestra el cuadro de diálogo Excepciones, desde el que puede crear
un nuevo programa o servicio.

Otra característica del nuevo ICF es la capacidad de definir el ámbito del tráfico
entrante. El ámbito define la porción de la red desde la que se permite que se origine el
tráfico admitido. Hay dos opciones para definir el ámbito de un programa o un puerto:

• Todas las direcciones IP

El tráfico admitido se permite desde cualquier dirección IP.

• Sólo de la subred local

El tráfico admitido se permite sólo de una dirección IP cuya subred o segmento

de red local coincida con el de la conexión de red que recibió el tráfico. Por
ejemplo, si la conexión de red se configura con la dirección IP 192.168.0.99 y la
máscara de subred 255.255.0.0, el tráfico admitido sólo se permite si proviene
de las direcciones IP del intervalo comprendido entre 192.168.0.1 y
192.168.255.254.
El ámbito Sólo de la subred local resulta de utilidad cuando se desea permitir el acceso
a un programa o servicio en los equipos de una red doméstica local que están
conectados todos a la misma subred, pero no a los usuarios de Internet, que pueden
tener malas intenciones.

Una vez agregado el programa o servicio, se habilita de forma predeterminada en la lista

Programas y servicios.

Todos los programas o servicios habilitados en la ficha Excepciones se habilitan para

todas las conexiones seleccionadas en la ficha Conexiones de red.

Ficha Conexiones de red

La ficha Conexiones de red se muestra en la figura siguiente.

En la ficha Conexiones de red, puede habilitar y deshabilitar selectivamente ICF en

conexiones de red específicas del equipo. Si una conexión de red no aparece en esta
lista, entonces no es estándar. Algunos ejemplos son los marcadores personalizados de
los proveedores de servicios Internet (ISP, Internet Service Provider).

Si desactiva todas las casillas de verificación de la ficha Conexiones de red, ICF no

protege al equipo, independientemente de que haya activado la opción Activado
(recomendado) en la ficha General. La configuración de la ficha Conexiones de red
se pasa por alto si se selecciona la opción Activado sin excepciones en la ficha
General; en este caso, se protegen todas las interfaces.
Para establecer una configuración avanzada para una conexión específica, haga clic en
la conexión en la lista y, después, haga clic en Configuración. En la figura siguiente se
ilustra el cuadro de diálogo Configuración avanzada.

En el cuadro de diálogo Configuración avanzada, puede configurar servicios

específicos de la ficha Servicios (sólo por puerto TCP o UDP) o habilitar tipos
específicos de tráfico ICMP en la ficha ICMP. Estas dos fichas son equivalentes a las
fichas de configuración de ICF en Windows XP (antes del SP2).

Ficha Configuración de registro

En la figura siguiente, se muestra la ficha Configuración de registro con su

configuración predeterminada.
En la ficha Configuración de registro, puede configurar si desea registrar los paquetes
descartados (eliminados) o las conexiones correctas y especificar el nombre y la
ubicación del archivo de registro (de forma predeterminada,
RaizDelSistema\pfirewall.log) y su tamaño máximo.

Ficha ICMP

En la figura siguiente, se muestra la ficha ICMP con su configuración predeterminada.

En la ficha ICMP, puede habilitar y deshabilitar los tipos de mensajes ICMP entrantes
que ICF admite en todas las conexiones seleccionadas en la fichaConexiones de red.
Los mensajes ICMP se usan para diagnóstico, información de condiciones de error y
configuración. De forma predeterminada, no se permite ningún mensaje ICMP de la
lista.

Una acción común de la solución de problemas de conexión es usar la herramienta Ping

para hacer ping a la dirección del equipo al que está intentando conectarse. Cuando hace
ping al equipo, se envía un mensaje Echo de ICMP y recibe como respuesta el mensaje
Echo Reply de ICMP. De forma predeterminada, ICF no admite los mensajes Echo de
ICMP entrantes y, por lo tanto, el equipo no puede enviar un mensaje Echo Reply de
ICMP como respuesta. Para configurar ICF de modo que admita el mensaje Echo de
ICMP entrante, debe habilitar la opción Permitir solicitud de eco entrante en la ficha
ICMP.