Cortafuegos: test de fugas (I)
Es fácil disponer de un cortafuegos que evite que otros equipos inicien y establezcan conexiones al nuestro. Sin entrar en más detalles, cualquier cortafuegos es capaz de eso con más o menos grado de sofisticación y control. Sin embargo, esa funcionalidad básica del cortafuegos no evita que un software malicioso que haya logrado penetrar en nuestro equipo pueda establecer conexiones hacia el exterior, enviando a servidores extraños cualquier tipo de información de nuestra máquina (contraseñas, datos de navegación o configuración, etc). Es por eso por lo que los cortafuegos que no facilitan el bloqueo del tráfico saliente se nos quedan incompletos (es el caso del cortafuegos incluido en XP y, en menor grado, el de Windows Vista).
Pero tampoco por utilizar una pasarela dedicada, con Smoothwall o IPCop, estamos a salvo, a no ser que instalemos algún complemento (como BlockOutTraffic, quizás el más conocido) que nos permita controlar también el tráfico que fluye de nuestra máquina hacia el exterior. Incluso cortafuegos personales para Windows que incluyen control de tráfico saliente, pueden realizar esa función de modo incompleto o defectuoso, sobre todo por una deficiente configuración o por resultar miserablemente engañados por una aplicación que se haga pasar por otra que ha sido autorizada por el usuario.
Por fortuna existe una forma sencilla de comprobar si nuestro cortafuegos permite conexiones salientes desde nuestra máquina Windows que debería prohibir: realizar un test de fugas...
Existen muchos, pero utilizaremos como ejemplo el que nos ofrece PC Flank. Anticipamos que PC Flank afirma que sólo dos cortafuegos personales para Windows eran capaces de superarlo a finales de 2006: OutPost Pro y Tiny.
El proceso comienza descargando una pequeña utilidad que no necesita instalación. Al ejecutarla en nuestra máquina Windows, el proceso es el que se muestra a continuación:
Tras escribir cualquier frase en el campo correspondiente se intenta sobrepasar el cortafuegos para enviar los datos al servidor de PC Flank. Si el cortafuegos lo permite, aparece la pantalla que indica el fallo:
Tras pulsar el correspondiente botón que lanza tu navegador, puedes comprobar cómo la frase que escribiste ha llegado al servidor de prueba:
Momento de tomar medidas.
Sería estupendo que quienes decidáis realizar este test nos contéis después los resultados obtenidos.
>> Continúa en Cortafuegos: test de fugas (II)
- 2463 lecturas
Twitter
Ipcop + BlockOutTraffic
Utilizo Ipcop+BlockOut Traffic; con una configuración que creo bastante restrictiva ... sin embargo el test fue negativo; ya que existe un apartado dedicado a Ipcop; alguien sabría decirme, ¿cual debería ser la configuración idonea?.
The Golden Rule
Bloquea todo tráfico saliente y repite el test.
Yo creo
Yo creo que la aplicación del test se hace pasar por Explorer para saltarse el firewall. Desactiva las reglas que tengas para permitir a Explorer salir y prueba otra vez.
Yo cuando trabajaba
Yo cuando trabajaba habitualmente con Windows en mi equipo, empleaba la cominación Outpost Pro + Nod32 y efectivamente pasaba bien el test de PcFlank. Te salia una ventana popup avisandote de que se iban a mandar los datos desde un programa no autorizado. Eso si, debias tener bien configurado el Outpost y en niveles muy restrictivos. Por defecto, si no recuerdo mal, no lo pasaba.
Antes de comprar el Outpost, estuve un año aprovechando una licencia que tenia de Symantec Internet Security... y no pasaba el test,se tragaba eso y unos cuantos problemas más... me decepciono y mucho el producto de Symantec. Probandole a pasar desde otro equipo el Retina y el Cain, era un coladero.
Saludos
http://www.deaparatos.com
Ni idea de como lo hace...
Impidiendo a explorer establecer conexiones salientes nada...
Bloqueando todas las conexiones del PC tampoco...
Probado con Kaspersky Internet Security 6.0.1.411, se lo come con patatas!
Ipcop + BlockOut Traffic (2)
He probado bloquear todo el trafico saliente, en la máquina dedicada a Cortafuegos (dentro de una pequeña LAN); y aunque el PCFlank dice que la información fue enviada; la frase no aparece en su página test...
Como se puede entender no es de mucha utilidad, tener todo el acceso saliente prohibido ... para eso no encendemos los ordenadores ...
Los servicios permitidos por defecto en BlockOut Traffic son: Domain, Http, Https, Smtp, Smtps, Pop3 y Pop3s; para permitir un funcionamiento normal. Ademas el ordenador de pruebas está equipado con la Suite Kasperky Internet Security 6.0 (Que viene con Firewall), la cual no muestra ningún mensaje.
¿Me pregunto si hay más gente con los mismos resultados y cual puede ser la solución?
That is!
Pues yo eso lo consideraría un éxito.
Claro hombre, pero ahora puedes ir activando tus reglas de salida una a una y ver por dónde se te escapa la info.
FAILED
Ahora mismo lo he probado en una máquina con windows xp parcheado hasta la fecha con panda internet security 2007 actualizado también a día de hoy y ha fallado el test como era de esperar.
Alguien que investigue
Alguien podría poner un sniffer y ver qué tipo de comunicación hace, ¿no? Eso daría una idea de qué está haciendo y si es razonable tratar de bloquearlo. No hay que olvidarse de que si tenemos bloqueado el tráfico entrante, y no permitimos NINGUNA comunicación saliente, mejor desconectamos el cable que es más sencillo. ¿no?
Alejandro Nestor Vargas
http://theflatearthsociety.org/
Una pista
PCFlank's Leaktest uses a special technique called OLE automation of application control to check how your firewall handles the situation where one program attempts to manage the behavior of another program, which your firewall has been set to trust.
---
para mí no significa gran cosa pero a lo mejor alguien lo exprime.