Creación de reglas de firewall personalizadas
- Reglas de firewall personalizadas
- Creación de reglas con el asistente
- Creación rápida de reglas para un servicio concreto
- Creación manual de reglas
- Cómo trabajar con las reglas
Reglas de firewall personalizadas
Cada uno de los cinco ajustes de firewall descritos en el capítulo 4, Protección del Mac contra los ataques por la red, es en realidad un conjunto de reglas, cada una definida a su vez por una lista de nombres, orígenes, destinos, servicios e interfaces permitidos o bloqueados.
El modo Sencillo no permite cambiar las reglas ni ninguno de sus elementos. Para ello, es necesario entrar en el modo Avanzado de la pantalla de Firewall. Haga clic en el botón Firewall que aparece en la parte superior de la pantalla principal:
A continuación, haga clic en la pestaña Reglas de firewall, si no está activa, y en el botón de modo Avanzado, en la esquina superior derecha.
ADVERTENCIA: Cambiar estos ajustes puede afectar notablemente la capacidad del ordenador de acceder a las redes locales y a Internet. Sólo debe utilizarse el modo avanzado si se comprenden plenamente sus efectos y cómo funciona.
En el modo sencillo, al hacer clic en uno de los cinco ajustes predefinidos, se muestra una animación; en el modo avanzado, se ven los detalles de las reglas de cada ajuste.
Además, si coloca el cursor durante unos segundos sobre alguno de los ajustes predeterminados, aparecerá un texto describiendo brevemente su función.
En este ejemplo, el ajuste para "Cliente y servidor local" muestra cuatro reglas. La primera permite a la red local acceder al Mac mediante todos los Servicios conectados, es decir, las conexiones TCP que implican comunicaciones de ida y vuelta, como compartir archivos desde el Mac. La segunda regla, sin embargo, prohíbe tales conexiones desde Internet en general, impidiendo que el Mac actúe como servidor para ordenadores desconocidos situados fuera de la red local. La tercera regla permite todas las demás comunicaciones desde Internet hacia el Mac, y la cuarta permite todas las comunicaciones desde el Mac hacia Internet.
Los cinco ajustes del firewall predefinidos están bloqueados por motivos de estabilidad y comodidad: no se pueden cambiar las reglas ni el orden en el que aparecen. Pero VirusBarrier X6 ofrece dos maneras de crear otros ajustes personalizados: mediante el Asistente de firewall del programa o bien manualmente.
En ambos casos, el primer paso es hacer clic en el botón + debajo de la lista de ajustes. Aparece un ajuste nuevo, con el nombre "ajustes sin título". Haga clic en él, escriba el nombre que prefiera y pulse la tecla Intro o Retorno para que el cambio sea permanente.
Fíjese en que simplemente ha creado este ajuste, pero aún no lo ha activado. Es aconsejable no activar un ajuste de firewall hasta terminar de agregar todas las reglas. Para que sea el ajuste activo, haga clic en el botón a su izquierda.
Creación de reglas con el asistente
VirusBarrier X6 incluye un asistente que le ayuda a crear sus propias reglas de firewall personalizadas. Con este asistente, puede crear sus reglas con apenas unos pocos clics. Si bien no todas las funciones de VirusBarrier X6 están disponibles al crear reglas con el asistente, sí que cubre las necesidades más habituales. Si necesita un grado de personalización mayor, puede crear reglas utilizando el asistente y después editarlas manualmente.
El asistente de VirusBarrier X6 le guiará a través de una serie de pasos para crear la regla:
- Introducción
- Nombre
- Dirección
- Servicio
- Opciones
- Conclusión
Para crear una regla utilizando el asistente, haga clic en el botón Asistente.
Aparece la primera pantalla del asistente.
Haga clic en el botón Siguiente para empezar a crear una regla nueva. Puede hacer clic en el botón Anterior en cualquier momento para volver a las pantallas anteriores o en Cerrar para salir del asistente.
Nombre
Introduzca un nombre en el campo correspondiente, y seleccione seguidamente el comportamiento: Permitir datos o Denegar datos. Si selecciona Permitir datos, la regla autorizará el paso de los datos que se correspondan con su dirección y servicio. Si selecciona Denegar datos, la regla bloqueará el paso de dichos datos.
Haga clic en el botón Siguiente para pasar a la ventana siguiente.
Dirección de la comunicación
Esta pantalla permite definir la dirección de la comunicación y qué host la inicia.
En primer lugar, en Esta regla afectará a las conexiones con: seleccione un host remoto. Dispone de cuatro opciones:
- Cualquier otro ordenador: Cualquier ordenador que no sea este Mac.
- Ordenadores de mi red local: Cualquier ordenador situado en la misma red local que este Mac.
- Ordenadores de la red AirPort por omisión: Cualquier ordenador situado en la red AirPort por omisión, si hay alguna definida.
- Ordenadores de esta red personalizada: Si ha creado redes personalizadas utilizando el editor de reglas estándar, puede seleccionar aquí una de ellas.
A continuación, seleccione el ordenador que inicia la conexión:
- Mi Mac: El ordenador que utiliza esta regla.
- El otro ordenador: El host remoto definido en la primera parte de esta pantalla.
Cuando termine, haga clic en el botón Siguiente para pasar a la ventana que viene a continuación.
Servicio
Esta pantalla permite escoger el servicio al que afecta la regla.
Puede escoger entre tres tipos de servicios:
- Todos los servicios: Todos los servicios de red.
- Servicios TCP (servicios conectados): Servicios que requieren que se establezca y se mantenga una conexión entre dos ordenadores, como HTTP, FTP, Telnet, SSH, POP3, AppleShare, etc. Cubre todas las conexiones TCP.
- Este servicio: Puede escoger entre una lista de servicios que corresponden a aplicaciones y protocolos ampliamente utilizados. Seleccione el servicio que desee utilizar haciendo clic en su nombre en la lista.
Cuando termine, haga clic en el botón Siguiente para pasar a la ventana que viene a continuación.
Opciones
Esta pantalla permite seleccionar otras opciones para la regla.
En esta pantalla hay dos opciones disponibles:
- Registrar uso de la regla: El firewall guarda en el registro cada vez que se aplica la regla.
- Desactivar la regla: VirusBarrier X6 crea la regla pero la desactiva. Puede activarla manualmente.
Cuando termine, haga clic en el botón Siguiente para pasar a la ventana que viene a continuación.
Conclusión
Esta pantalla crea la regla basándose en los ajustes que se han seleccionado en el asistente.
También ofrece una opción final: si marca Crear una regla en dirección opuesta, el asistente crea otra regla paralela con el origen y el destino cambiados.
Haga clic en Configurar para crear la regla y salir del asistente.
Cuando haya terminado, verá que la regla (o reglas, si ha marcado Crear una regla en dirección opuesta) aparece en la lista de reglas de firewall de VirusBarrier X6.
Si desea personalizar aún más la regla, o editarla, vea más abajo, Edición de Reglas.
Creación rápida de reglas para un servicio concreto
Existen dos maneras de crear rápidamente reglas para controlar la información con origen o destino en servicios y programas habituales. La primera es hacer clic en el botón + en la parte inferior de la lista de reglas y mantener pulsado un segundo el botón del ratón. Podrá elegir en una lista desplegable con los servicios más habituales. La regla que rige la selección aparece entonces en la lista de reglas.
La segunda manera de crear rápidamente reglas para un determinado servicio es con la Biblioteca de servicios. Para ver la Biblioteca de servicios, elija Ventana > Biblioteca de servicios, o pulse Opción-Comando-6.
Se abre la ventana de la Biblioteca de servicios, mostrando una lista de los servicios más habituales.
Para crear una regla nueva, seleccione el servicio deseado y arrástrelo a la lista de reglas. Por omisión, las reglas añadidas de este modo permiten todo tipo de tráfico del Mac hacia Internet, en todas las interfaces. En otras palabras, la regla no prohíbe ninguna actividad hasta que se editan sus ajustes como se describe más adelante.
Creación manual de reglas
Puede crear reglas individuales utilizando el editor de reglas. Haga clic en el botón + en la parte inferior de la lista de reglas y se abrirá el editor.
Mediante el editor de reglas de VirusBarrier X6, los administradores de red pueden definir y aplicar una política de seguridad exhaustiva de una manera fácil y rápida. Esta función es muy flexible y permite definir tantas reglas como desee en cuestión de segundos. Para crear una reglar, debe especificar detalles en seis áreas:
- Nombre de la regla, registro, evaluación y programación
- Origen de la regla
- Destino de la regla
- Servicio de la regla
- Interfaz de la regla
- Acción de la regla
Nombre de la regla, registro, evaluación y programaciones
En el campo de la parte superior del editor de reglas puede introducir el nombre que desee darle. Justo debajo se encuentra la casilla Registro. Si marca la casilla Registro, se agrega una entrada en el registro de VirusBarrier X6 cada vez que se utiliza la regla; un puntito rojo a la derecha del nombre de la regla indica que está registrada. Si esta casilla no está marcada, la regla no se registra.
Si se marca la casilla Registro, está disponible la opción "Dejar de evaluar reglas", también marcada por omisión. Estos dos ajustes, combinados, ofrecen una vía muy potente para resolver problemas en una red sin obstaculizar el tráfico.
ADVERTENCIA: Si no entiende por qué alguna de las reglas no se está aplicando, fíjese en las que están situadas por encima y asegúrese de que la casilla "Dejar de evaluar reglas" esté desmarcada en todas ellas.
Para modificar la programación, haga clic en el botón Editar... Aparece la ventana Programación.
El estado por omisión de la regla se ajusta a Activada, lo que significa que la regla está habilitada. Si lo ajusta a Desactivada, VirusBarrier X6 no utilizará esta regla. Asimismo, ciertas reglas pueden estar activadas en una configuración y no en otra. Para más información sobre las configuraciones, consulte el capítulo 6, Preferencias y configuraciones.
Si el estado por omisión es que la regla esté activada, puede definirse cuándo debe desactivarse. Si el estado por omisión es que esté desactivada, puede definirse cuándo debe activarse.
La primera vez que cree una regla, siempre estará activa. Si desea que la regla se active o desactive en determinados momentos, haga clic en el menú local para activar o desactivar la regla, según el estado por omisión que haya elegido, y seleccione uno de los intervalos de la lista.
Además de Nunca, están disponibles otras tres opciones.
- "Cada semana" le permite cambiar la programación de la regla para que se active a una hora fija cada semana, por ejemplo, todos los lunes a las 8:00 de la mañana.
- "Cada día" hace que la regla se active a una hora específica todos los días.
- "Desde el" permite desactivar o activar la regla durante un periodo de tiempo determinado, especificando la hora de inicio y fin.
Puede programar otros momentos para activar o desactivar reglas utilizando el botón +. Por ejemplo, si necesita desactivar una regla sólo los lunes y los martes, puede fijar estos dos días en la ventana de programación. Para eliminar una hora programada de la lista, haga clic en el botón - a la derecha del elemento.
Las reglas programadas se indican mediante el icono de un calendario en la lista de reglas. Esta regla en particular además se refleja en el registro, como lo indica el puntito rojo junto al nombre.
Orígenes y destinos de las reglas
Cuando se define una regla, el origen es la entidad que envía los datos y el destino es el lugar al que van a parar esos datos. Puede elegir en una lista de cuatro orígenes y destinos para cualquier regla. No obstante, VirusBarrier X6 no permite seleccionar el mismo origen y destino para una regla determinada. (Si lo intenta, VirusBarrier X6 corregirá el error.)
Estos cuatro orígenes y destinos son los predeterminados:
- Mi Mac: Su ordenador.
- Red local: La red local a la que está conectado el ordenador.
- Red AirPort: La red inalámbrica AirPort a la que está conectado el ordenador.
- Internet: Internet, además de cualquier red local a la que pueda estar conectado; en la práctica, todas las redes.
Creación de orígenes y destinos nuevos
Si lo desea, puede crear orígenes y destinos nuevos para utilizarlos en las reglas. Así, puede especificar con exactitud los ordenadores con los que desea comunicarse.
Para crear un origen nuevo, haga clic en el botón + a la derecha del menú local Origen o Destino. En este ejemplo, crearemos un origen nuevo; si bien, una vez creado, aparecerá también en la lista de posibles destinos.
Aparece el editor de red nueva.
Escriba un nombre que le permita recordar la red. Si, por ejemplo, está bloqueando direcciones IP cuyo último octeto esté en el rango 100-155, puede darle al origen/destino el nombre "IPs entre 100-155".
El menú local ofrece siete tipos de red para elegir.
|
Nombre |
Definición |
Tipo de dirección |
|
Toda la red |
Cualquier red. |
Ninguna, este origen cubre todas las redes. |
|
Mi Mac |
Su ordenador. |
Las direcciones IP del Mac se muestran en el campo Dirección y no pueden modificarse. |
|
Mi red local |
La red local a la que está conectado el ordenador. |
Las direcciones IP del Mac y la máscara de subred de la red local se muestran en el campo Dirección y no pueden modificarse. |
|
Máquina |
Una dirección IP concreta. |
Cualquier dirección IP. Si introduce un nombre de dominio, VirusBarrier X6 lo resuelve en una dirección IP única. |
|
Red |
Una red determinada. |
Cualquier dirección IP de subred y máscara de subred. Como antes, VirusBarrier X6 resuelve los nombres de dominio en una única dirección IP. |
|
Rango de direcciones |
Un grupo de direcciones IP. |
Direcciones de inicio y fin. VirusBarrier X6 resuelve los nombres de dominio en una única dirección IP. |
|
ID de Ethernet |
Un único dispositivo conectado a la red por Ethernet. |
Un ID de Ethernet, en forma de seis números hexadecimales de dos cifras. |
Servicios de las reglas
La palabra "servicio" hace referencia a una combinación de tipo de protocolo, puerto o puertos utilizados y criterios para determinados protocolos. Estos elementos, combinados, suelen describir un programa o una clase de programa que envía y recibe información. Por ejemplo, la información enviada por el protocolo TCP por el puerto 80 utilizando HTTP sería un servicio web.
VirusBarrier X6 incorpora más de 50 servicios estándar preprogramados para que pueda detener (o permitir) fácilmente el tráfico de un tipo determinado.
Aunque la mayoría de los servicios preprogramados se corresponden claramente con un programa determinado, algunas de las opciones de esta lista, como la opción "Web" pertenecen por el contrario a una clase de comunicaciones. Aquí se enumeran algunos de esos servicios no específicos:
|
Nombre |
Descripción |
Ajustes |
|
Todos |
Todas las comunicaciones, independientemente del protocolo o puerto. |
Todos los protocolos, en todos los puertos. |
|
Apple Remote Desktop |
Programa que permite a un administrador Mac controlar otro Mac a través de una conexión de red. |
Puerto 3283 por UDP. |
|
Servicios conectados |
Todas las comunicaciones TCP. Una sesión TCP mantiene una conexión entre ordenadores, por lo que siempre está claro que la inició el Mac y, por tanto, es de confianza. En cambio, una sesión UDP es una serie de comunicaciones sin una "memoria" de quién la inició. |
Todas las comunicaciones TCP, en cualquier puerto. |
|
FTP |
Protocolo para la transferencia de archivos. |
TCP, puertos 20 ó 21. |
|
iChat AV |
Programa de mensajería instantánea con vídeo y sonido. |
Puerto 5060 por UDP. |
|
IRC |
Protocolo de chat por Internet ("Internet Relay Chat"). |
TCP en puerto 194 para IRC, y todo el tráfico TCP entre los puertos 6665 y 6669, inclusive. |
|
iTunes Music Sharing |
Una manera de compartir la biblioteca de música de iTunes por la red local. |
Puerto 3689 por TCP. |
|
|
Comunicación por e-mail. |
TCP puerto 25 para SMTP, puerto 110 para POP3, puerto 143 para IMAP4, puerto 220 para IMAP3, puerto 389 para LDAP y puerto 587 para envío de mensajes. |
|
NTP |
Protocolo de horario de red. |
UDP en puerto 123. |
|
SSH |
Secure Shell. |
TCP en puerto 22 utilizando SSH. |
|
Telnet |
Conexión remota. |
TCP en puerto 23 utilizando telnet. |
|
VNC |
Virtual Network Computing, un sistema gráfico de control remoto. |
TCP en puertos 5900-5999. |
|
Web |
Navegación web, por ejemplo utilizando un navegador como Safari. |
TCP en puertos 80 y 8080 a través de HTTP, y en puerto 443 en HTTPS. |
|
Well-Known Ports (puertos conocidos) |
Una amplia gama de puertos con larga tradición de uso en comunicaciones vía red. |
TCP y UDP en todos los puertos de 0 a 1023. |
Los demás servicios de la lista corresponden a programas o protocolos específicos.
Debe ponerse el máximo cuidado al crear reglas para servicios específicos. Cuando se selecciona un servicio para un determinado programa, es posible que dicho programa utilice el mismo puerto que otro programa o servicio. Una regla que bloquee o autorice un servicio concreto puede entrar en conflicto con reglas de alcance más general. Por ejemplo, si desea bloquear el tráfico ICQ y selecciona este servicio en la regla, el servicio de mensajería instantánea de AOL también quedará bloqueado, pues ambos programas emplean el mismo puerto. Otros programas pueden compartir también los mismos puertos. Si no puede conectarse a un servicio determinado o enviar y recibir datos, desactive las reglas una por una hasta determinar cuál es la que provoca el conflicto.
Creación de nuevos servicios
Para crear un nuevo servicio, haga clic en el botón + en la sección Servicio.
Aparece el editor de nuevo servicio.
En el menú local Protocolo están disponibles cuatro protocolos: TCP, UDP, ICMP e IGMP. También puede elegir Cualquiera, que comprende todos los protocolos.
Cuando se selecciona un protocolo, en la parte inferior de la ventana aparecen otras opciones, con una lista de servicios entre los que elegir. Las opciones dependen del protocolo que haya seleccionado.
TCP o UDP tienen las siguientes opciones:
- Cualquier puerto: Afecta a todos los puertos.
- Un puerto: Le permite especificar un único puerto, ya sea escribiendo el número o seleccionándolo entre las más de cien opciones del menú local. (VirusBarrier X6 introduce automáticamente el número correcto cuando usted lo selecciona en el menú local.)
- Rango de puertos: Le permite introducir los números de puertos inicial y final para definir un rango.
ICMP o IGMP tienen las siguientes opciones:
- Cualquiera: Afecta a todos los tipos.
- Tipo específico: Le permite especificar un solo valor, ya sea escribiendo el número o seleccionándolo entre las más de veinte opciones del menú local. (VirusBarrier X6 introduce automáticamente el número correcto cuando usted lo selecciona en el menú local.) También puede especificar un número de código, si es necesario.
En todos estos casos, está disponible una opción para "Permitir paquetes Broadcast". Si se marca, los paquetes que se envíen a todos los ordenadores de una red local estarán incluidos en este servicio.
"Puerto de destino" es la última opción, disponible sólo para servicios que utilicen el protocolo UDP. Si se marca, los paquetes se filtran según la función del puerto de destino. Si se deja sin marcar, se filtran según la función del puerto de origen.
Interfaces de las reglas
La interfaz es el adaptador de red por el que circulan los datos. Puede ser una tarjeta Ethernet, una tarjeta AirPort inalámbrica o cualquier otro tipo de interfaz de red.
Puede elegir entre una lista de interfaces preprogramadas que existen en el ordenador, o bien crear las suyas propias haciendo clic en el botón +.
Aparece el editor de nueva interfaz.
El menú local Tipo presenta dos opciones. La primera, Cualquiera, utiliza todas las interfaces de red disponibles. La segunda, Específico, muestra una lista de las interfaces disponibles, según el hardware y software del ordenador, y le proporciona algunas opciones adicionales.
Son interfaces típicas las siguientes:
- Airport: Red inalámbrica
- Ethernet incorporada: Interfaz mediante cables utilizada frecuentemente en redes.
- FireWire incorporado: Interfaz mediante cables utilizada a menudo para periféricos (como los discos duros), pero que también pueden utilizarse como interfaz de red.
El nombre BSD y el número de índice son los identificadores utilizados por la capa Unix de Mac OS X. Pueden ajustarse manualmente si es necesario. (Probablemente no tendrá que cambiarlo y no debería hacerlo si no está seguro de lo que son.) Si el Mac incorpora otras interfaces, también aparecerá como disponible una opción Otros.
Acciones de las reglas
Las reglas pueden realizar dos tipos de acciones: permitir o denegar. Elija la acción que desee marcando el botón correspondiente en la parte inferior de la ventana del editor de reglas.
Por último, haga clic en OK para añadir esta regla a las reglas de firewall de VirusBarrier X6.
Orígenes, destinos, servicios e interfaces con múltiples partes
Los orígenes, destinos, servicios e interfaces de una regla pueden tener varias partes. Por ejemplo, puede hacer que se bloquee el tráfico de varias direcciones IP concretas enumerando cada una de ellas en un origen determinado.
Cuando se crea o se modifica un origen, un destino, un servicio o una interfaz, aparece una barra como esta en la parte superior de la ventana:
- Crear una parte nueva: Haga clic en el botón +.
- Pasar de una parte a otra: Haga clic en los iconos de las flechas. Observe que el texto central indica dónde se encuentra y cuántas partes hay en total. Al llegar a la última parte, si hace clic en la flecha de la derecha volverá a la primera parte.
- Eliminar una parte: Para borrar una parte, debe estar visible. Haga clic en los iconos de las flechas hasta que aparezca la parte que desea borrar. Haga clic en el botón - y confirme la eliminación en el cuadro de diálogo que aparece.
Eliminación de orígenes, destinos, servicios e interfaces
Puede eliminar cualquiera de los orígenes que haya creado. Para ello, seleccione un origen y haga clic en el botón -.
Se abrirá una ventana de confirmación. Haga clic en Eliminar para suprimir la red de origen, o en Cancelar para anular la operación.
Cómo trabajar con las reglas
Orden de las reglas
Las reglas que se agregan al firewall de VirusBarrier X6 se aplican en secuencia, empezando por la primera y acabando por la última; por ello, para que funcionen correctamente, deben estar colocadas en el orden adecuado.
En este ejemplo, la primera regla bloquea todos los datos procedentes de Internet, lo que incluye todas las redes, incluso las locales. La regla 3 permite el tráfico procedente de una red local, pero como está en la tercera posición, no se aplica; prevalece la primera regla. Para poder aplicar la tercera regla, es necesario trasladarla a la primera posición de la lista. Para ello, seleccione la regla y arrástrela a la posición adecuada.
Edición y eliminación de reglas
Para modificar una regla, selecciónela haciendo clic en ella y haga clic en el botón con el icono de un lápiz situado debajo de la lista. Se abrirá el editor de reglas y podrá efectuar las modificaciones que desee. Cuando haya terminado, haga clic en OK para guardar los cambios. Si decide no guardar los cambios, haga clic en Cancelar.
Para eliminar una regla, haga clic en la lista de reglas y, a continuación, en el botón - situado debajo de la lista.
Menú contextual de reglas
VirusBarrier X6 permite realizar cambios en las reglas del firewall rápidamente a través de un menú contextual. Puede utilizar este menú contextual para añadir reglas nuevas, editar las existentes o modificar características rápidamente.
Para acceder al menú contextual, mantenga presionada la tecla Control y haga clic en una regla. (Si utiliza un ratón de dos botones, puede hacer clic en el botón derecho.)
El menú ofrece las siguientes opciones:
- Copiar en el Portapapeles: Copia el contenido de una regla en el Portapapeles del Mac en formato de sólo texto. Hecho esto, podrá pegar la regla en un documento, donde se verá así: "#02/ACTIVADO/Entrada/Cualquiera/Internet -> Mi Mac/Todo/Denegar" (las barras representan tabuladores).
- Insertar grupo estándar / Añadir grupo estándar: Inserte o agregue un grupo estándar de reglas, de la selección que se encuentra en el modo sencillo: Sin restricciones, Sin red, Cliente y servidor local, Sólo servidor o Sólo cliente.
- Estado: Puede cambiar el estado de una regla, activándola o desactivándola. Si la regla está programada para ejecutarse en momentos determinados, aparece una señal junto a Programado en el submenú.
- Comportamiento: Modifica el comportamiento de una regla para permitir o denegar el tráfico.
- Registro: Define si la regla guarda o no la información del tráfico en el registro.
- Intercambiar origen y destino: "Da la vuelta" a una regla, intercambiado el origen y el destino.
- Duplicar: Crear una copia nueva de la regla.
- Editar...: Abre el editor de reglas para la regla indicada.
- Eliminar...: Borra la regla.