Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

Firewall Kerio 2.1.5, algunas consideraciones.

No hay Etiquetas
Entrada
Extreme Level

Rudolf97

entradas: 1544

17:26 03/01/2008

1

Firewall Kerio 2,1,5 y algunas consideraciones

Hago este thread en respuesta a un pm enviado por el user INFINITO, donde me consultaba por el kerio 2,1,5, y como la respuesta es larga, aprovecho hacer este sencillo thread y quizás le sirva a otras personas. Aclaro que solo son algunas nociones básicas de uso y no un manual completo.

Como consigo el Kerio:

Esto es como lo primero, sino de que estamos hablando.
Se descarga de acá: http://www.pcimpacto.com.ar/descargar.php?id=87
o de acá: http://www.321download.com/LastFreew…keriopf215.zip

Aplicaciones generales y reglas específicas:

Primeramente una sugerencia, el kerio es un firewall que trabaja sobre reglas específicas TCP/IP a diferencia de la gran mayoría que se basa en aplicaciones generales, permitiendo o denegando estas.
Esto no quiere decir que sean malos, en absoluto, es mas, son muy recomendables para la mayoría de los usuarios e ideal para aquel que nunca uso uno, ya que la configuración es muy sencilla, Firefox permitir-denegar, y así sucesivamente con el resto.

Comento esto porque si la idea es usar el kerio de la misma manera (permitiendo o denegando aplicaciones) da lo mismo usarlo o no ya que ni ganamos ni perdemos nada en relación a otros. Si este es el caso de alguno, recomiendo directamente descargar otro cuyas versiones mas nuevas y actualizadas nos dará la ventaja de una infertaz mas amigable, intuitiva, colorida y hasta en castellano. Algo que esta versión de kerio no tiene, siendo mas bien tosca en su aspecto.

Tambien cabe la posibilidad de dejar el kerio y en los ratos libres y si tenemos ganas ir de a poco probando y configurandolo, despacio y con tiempo para ir aprendiendo un poco mas.

Ejemplo de interfaz tosca y anticuada en Kerio
http://www.pcimpacto.com.ar/screenshots.php?id=87

Ejemplo de interfaz mas moderna y amigable en Comodo y con toda la facha mas versión en castellano.
http://www.softpedia.com/progScreens…hot-29968.html

El que manda en una piramide:

Ahora bien, la ventaja de kerio y similares, es la posibilidad de hilar muy fino y especificar que cada dirección IP use el puerto que nosotros querramos así como denegar IP específicas y puntuales.

Esto nos lleva a algo fundamental, “en Kerio las reglas son de orden piramidal”. Lo que significa que la regla de arriba siempre manda por sobre la de abajo.

Esto es importantísimo porque a diferencia del resto que son de orden general y donde da lo mismo como estén ordenadas las reglas, ya que solo se mencionan programas varios, al trabajar sobre las IP directamente, una regla mal ubicada puede anular varias que estén por debajo.

Entonces todas las reglas específicas siempre deben ir primero por sobre una general.

Muy lindo ¿Y las IP?

Dado que vamos a crear reglas basadas en IP específicas, estas hay que averiguarlas, entonces debemos primero que nada descargar este pequeño programa que será fundamental para esto, que es el IDServe.

http://www.grc.com/id/idserve.htm

Ejemplo de como configurar Firefox:

Para Firefox usaremos una regla general para el caso de HTTP y tantas específicas como necesitemos para HTTPS.
Un caso ideal y claro es home banking que usa HTTPS.

La regla general, simple y sencilla es, para HTTP:

Aplication: Firefox
Protocolo: TCP
Direction: Outgoing
Remote endpoint: any address
Port tipe: Single port
Port:80
Permit

Esto regla general es valida para Firefox y cualquier otro navegador, el cual siempre direccionaremos al puerto 80.

Ahora bien, encima de esta irán todas las específicas para HTTPS, que direccionaremos siempre al puerto 443.

Supongamos que manejamos 3 cuentas de bancos(Galicia, Frances y Nacion) desde nuestra pc, para lo cual crearemos tres reglas específicas.

Aplication: Firefox
Protocolo: TCP
Direction: Outgoing
Remote endpoint: single address
Host address: 161,190,1,6 (ip para home banking de Banco Galicia)
Port tipe: Single port
Port:443
Permit.

De la misma manera creamos dos reglas mas con las IP del home banking de Frances y Nación.
Estas tres reglas tiene que quedar por encima de la general, porque si quedan por debajo no funcionarían.

Ejemplo de como configurar Thunderbird:

Ahora tenemos el correo y quizás una cuenta pop3 y una en gmail.

En el caso de la cuenta pop3 la configuración sería así:

Aplication: Thunderbird
Protocolo: TCP
Direction: Outgoing
Remote endpoint: single address
Host address: x,x,x,x (ip correspondiente servidor smtp)
Port tipe: Single port
Port:25
Permit

Aplication: Thunderbird
Protocolo: TCP
Direction: Outgoing
Remote endpoint: single address
Host address: x,x,x,x (ip correspondiente)
Port tipe: Single port
Port:110
Permit

En el caso de la cuenta de gmail:

Aplication: Thunderbird
Protocolo: TCP
Direction: Outgoing
Remote endpoint: single address
Host address: x,x,x,x (ip correspondiente)
Port tipe: Single port
Port:995
Permit

Esto es valido para otros programas de correo, donde siempre direccionamos las cuentas pop3 al puerto 110 y en el caso de gmail al puerto 995

Vos por acá no y además vos esto tampoco:

Suponiendo que querramos que determinado programa no se conecte bajo ningun motivo a internet o bien que alguno que usamos no decida cosas por nosotros, crearemos la siguiente regla:

Aplication: Firefox o WMP o MSN o Pindonga Cosmica
Protocolo: TCP/UDP
Direction: Both direccions
Remote endpoint: any address
Port tipe: any port
Deny

Esta regla es valida para que luego de: primero las reglas específicas, luego la regla general y luego esta, le cerremos el paso a que Firefox decida algo por sobre nosotros, anulandolo completamente, al igual que el programa que se nos ocurra, echandole un candado al cuello.

El bendito chat, Pidgin:

Ahora tenemos otro básico de toda pc, un mensagero, el cual limitaremos bastante para evitar que ande abriendo puertos sin ton ni son. Solo para chatear, nada de mandar fotos ni adjuntos ni propagandas.

Primero:
Aplication: Pidgin
Protocolo: TCP
Direction: Outgoing
Remote endpoint: single address
Host address: x,x,x,x
Port tipe: Single port
Port:443
Permit

Segundo:
Aplication: Pidgin
Protocolo: TCP/UDP
Direction: Outgoing
Remote endpoint: any address
Port tipe: any port
Port:1863
Permit

Tercero:
Aplication: Pidgin
Protocolo: TCP/UDP
Direction: Both direccions
Remote endpoint: any address
Port tipe: any port
Deny

También valido para el msn, en ese caso le cerraremos el paso a toda la propaganda que viene de regalo con el querido msn.

Otros puntos:

Entrando en Firewall Aministration, econtramos 4 pestañas.
Firewall
Tildamos la opción Enable y dejamos el cursor en el medio.
Authentication
No tildamos nada
Miscellaneous
Tildamos las dos primeras
Enable DNS resolving
Anime traffic…..
Y la última
Start firewall…..
License
Nada

Ahora volvemos a la primer pestaña (firewall) y entramos en Advanced donde encontramos otras 4 pestañas.
En Filter Rules, nos muestras todas las reglas de mayor importancia la primera o menor importancia hacia abajo.
En Microsoft Networking, no tildamos nada.
En Miscellneous, tildamos “log into file” (la primera) y las dos a la derecha “log packets….” y “log suspicious…”.

Ahora entrando en Firewall Status
De las cuatro opciones superiores vamos a Settings y tildamos:
La primera, Hide Listening Sockets
Y la cuarta y quinta, Don´t Show….. y Don´t Resolve….

Bueno, con esto hemos avanzado y mucho, y tenemos una muy buena base para seguir solos de acá en adelante.
Acá dejo 3 links con información sobre que son los puertos y para que se usan los mas comunes, cuales abrir, cuales cerrar:

http://www.forospyware.com/t47031.html

http://www.zonagratuita.com/servicio…stroyanos.html

http://www.trucoswindows.net/conteni…e-puertos.html

Y acá tutoriales sobre configuración mas específica de kerio:

http://www.urs2.net/rsj/computing/kerio/index.html

http://www.dslreports.com/forum/remark,8023708

Todo esto no necesariamente se aplica a todos y cada uno de nosotros. Hay que tomarse el tiempo de leerlos, rescatar, filtrar y usar la información que a nosotros nos sea util en nuestra configuración particular.

PD: INFINITO sobre la captura que me pasaste: (de los dos links solo se ve una aclaro)

Tenés una regla Generic Host Process Win 32 sobre SVCHOST.EXE que si vos no la creaste específicamente por algo, volala por el aire.
En general nada necesita algo entrante y menos sobre SVCHOST.EXE.
Las únicas aplicaciones que necesitan reglas de servidor TCP/UDP IN son las P2P y los mensajeros en menor medida.
La regla ICMP IN solo 0, salvo que vos hayas puesto 3 y 11 por algo específico.

Como verán, entre que Win XP tiene sus bemoles, IE7, Outlook Express y MSN Messenger no son una opción. Así como tampoco MS Office y todo lo que venga de esta tan linda compañía del tío Bill.
Si necesitan IE7 por alguna página rebelde, usen IETab dentro de Firefox.

Suerte, y como digo siempre, luego releo a ver si puedo agregar algo que me alla olvidado.

Hardcore Extreme Level

Infinito

entradas: 4775

19:17 03/01/2008

2

Buenísimo, gracias por la información, hacete el thread en 3dgames también , sin duda medio rebuscado el Kerio pero es cuestión e agarrarle la mano y la rompe mucho más que cualqueir otro firewall con interfáz amigable, además de no consumir nada de recursos practicamente.
Respecto a la foto que no se veía bien, es sobre un error que em tira cada tanto que dice algo así como "Windows Fatal Application Exit" "Kerio Personal Firewall Driver: buferAllocate:BufferSize(31988) > MaxBufferSize (24675) – Increase buffer size.
Antes melo decía, el buffer estaba en 16000 aproximadamente, lo aumente a ese número y sigue jodiendo, me empezó a aparecer al utilizar el utorrent por ejemplo, cuando cierro el UT no aparece más, busque en inet y solo dicen "aumenten el tamaño del buffer" pero ya lo aumente(Desde el registro)
gracias nuevamente
pd: la config de ICMP IN la saqu´de una pagina y la copie tal cual, decia que use esa config para que no me puedan pinguear de afuera y yo poder pinguear (?). no sé si estará mal o que, opr eso puse IN 0 3 11 y OUT 8. ni idea que hace cada uno solo me copie de la pagina

Extreme Level

lucas1985

entradas: 2625

20:40 12/01/2008

3

Felicitaciones Rudolf por el mini tutorial de Kerio 2
Saludos

Extreme Level

javier

entradas: 2369

17:51 13/01/2008

4

Interesante aporte y muy bueno. Felicitaciones.

Javier… Para seguir la trayectoria: mira al maestro, sigue al maestro, camina junto con el maestro, mira a través del maestro, conviértete en el maestro.

Hardcore Extreme Level

jack

a

entradas: 6358

22:40 13/01/2008

5

Yo tengo 60 creadas.

. - . - .-

 

Cita Iniciado por MatiiBE
los negros juntan honor x frags.. como nosotros los gamers.. pero ellos lo hacen de verdad…