Este documento es una traducción del inglés. Es posible que la versión original en inglés se haya actualizado después de la traducción y publicación de este documento. Symantec no garantiza la precisión de la integridad de la traducción.

Situación:

Solución:
Introducción
Cuando los equipos de una red privada se conectan a Internet, conectan físicamente su red a incontables redes desconocidas. A pesar de que la mayoría de las conexiones no plantean ninguna amenaza a su equipo o a su red, hay, por supuesto, individuos con malas intenciones, como hackers y creadores de scripts, que intentan infiltrarse en se red a través de equipos desprotegidos. Un ataque exitoso puede poner en peligro información clasificada, detener la productividad y, por lo tanto, destruir reputaciones y el valor de la marca.
Los firewalls que están instalados en equipos endpoints protegen contra tales ataques creando una barrera entre los equipos y las redes externas, incluso Internet. Este documento se centrará en el componente de protección contra amenazas de red (o firewall de cliente) de Symantec™ Endpoint Protection. Específicamente, tratará sobre el propósito del firewall de cliente, los elementos de políticas de firewall, cómo se procesan las normas de firewall y las mejores prácticas para implementar una política de firewall en su red.

El desafío de configurar el firewall de cliente
Los firewalls son buenos si las políticas que imponen son buenas. Una política mal pensada puede permitir con eficacia que entren atacantes e impedir que las fuentes de confianza accedan a recursos necesarios. Antes de que configure el firewall de cliente, debe comprender cómo el firewall procesa normas, cómo crear normas con eficacia (proteger y a la vez maximizar el rendimiento) y cómo el firewall interacciona con los otros componentes de Symantec Endpoint Protection.

¿Qué es Symantec Endpoint Protection 11.0 y Protección contra amenazas de red?
Symantec Endpoint Protection 11.0 protege dispositivos informáticos endpoints contra virus, amenazas y riesgos, y proporciona tres capas de protección a sus dispositivos informáticos endpoints. Las capas son: protección contra amenazas de red, protección proactiva contra amenazas y protección antivirus y contra software espía. La protección contra amenazas de red bloquea el acceso de las amenazas a su equipo mediante normas y firmas. La protección proactiva contra amenazas identifica y atenúa las amenazas según el comportamiento de las amenazas. La protección antivirus y contra software espía identifica y atenúa las amenazas que intentan acceder o han accedido a sus equipos usando firmas de Symantec. El firewall de cliente de Symantec Endpoint Protection proporciona una barrera entre el equipo y la red exterior. El firewall de cliente impide que usuarios no autorizados accedan a los equipos y a las redes que se conectan a Internet, detecta posibles ataques de hackers, protege la información personal y elimina orígenes no deseados de tráfico de red. El firewall además protege contra amenazas de red y software malicioso que intentan proliferar en su red, como bots. Toda la información que entra en el equipo cliente o sale de él debe pasar a través del firewall, que examina los paquetes de información. El firewall de cliente bloquea los paquetes que no cumplen con los criterios de seguridad especificados.

Políticas de firewall
Las políticas de firewall tienen una o más normas que trabajan juntas para permitir o bloquear el acceso de usuarios a la red. Las políticas de firewall incluyen los elementos siguientes:

• Normas de firewall
• Inspección de estado
• Número de prioridad de normas
• Tipo de control
• Normas de firewall predeterminadas
• Filtrado de tráfico inteligente
• NetBIOS y token rings
• Configuración de ocultación

Normas de firewall
Las normas de firewall controlan cómo el cliente protege el equipo cliente contra tráfico entrante y aplicaciones maliciosos, además de tráfico saliente malicioso. Las normas de firewall pueden hacer que el equipo sea invisible a otros en Internet, proteger a usuarios remotos contra ataques de hackers e impedir que los hackers ingresen por accesos no permitidos (puertas traseras) a la red corporativa mediante estos equipos.
Los filtros de tráfico inteligente permiten tipos de tráfico específicos que son obligatorios en la mayoría de las redes, como DHCP, DNS y WINS. Los ejemplos de la configuración de tráfico y ocultación que habilita funciones adicionales del tráfico, son protección en el controlador, protección de NetBIOS, tráfico de token ring, búsqueda inversa de DNS y configuraciones de modo de ocultación. Una norma de firewall describe generalmente las condiciones en las que una conexión de red puede permitirse o negarse.
Utilice los siguientes componentes de firewall para definir los criterios para una norma de firewall:

• Desencadenadores: incluyen aplicaciones, hosts, adaptadores de red y protocolo. Las definiciones de activación se pueden combinar para formar normas más complejas, como identificar un protocolo particular en lo referente a una dirección de destino específica. Cuando se evalúan las normas, todos los desencadenadores deben ser verdaderos para obtener una coincidencia positiva. Si un activador no es verdadero en relación con el paquete actual, la norma no podrá aplicarse.

Utilice los siguientes componentes de firewall para definir los criterios para una norma de firewall:

• Parámetros condicionales: los parámetros condicionales no describen un aspecto de una conexión de red. En lugar, los parámetros condicionales definen los criterios utilizados para determinar al estado activo de una norma. Los parámetros condicionales son opcionales y no tienen ninguna importancia si no se definen. Cuando se definen estos parámetros, se ve directamente afectado el estado percibido de la norma. Es posible definir una programación o identificar un estado del protector de pantalla que indique cuando una norma se considera activa o inactiva. El firewall no evalúa normas inactivas cuando se reciben los paquetes.
• Parámetros de acción: los parámetros de acción especifican qué acciones se deben tomar si hay una coincidencia con la norma. Si la norma se selecciona en respuesta a un paquete recibido, se ejecutan todas las acciones. Se permite o se rechaza el paquete y el registro se puede producir según lo configurado.

Inspección de estado
El firewall utiliza la inspección de estado. La inspección de estado es un proceso que realiza un seguimiento de las conexiones que actualmente se permiten. Una combinación única de direcciones IP, de puertos y de aplicaciones de destino identifica una conexión.
El cliente toma decisiones del flujo del tráfico usando la información de la conexión. Cuando un paquete recientemente recibido coincide con una conexión permitida existente, el paquete no pasa a través del proceso de inspección de la norma. El paquete se permite automáticamente. Lo que es más importante, la inspección de estado permite la simplificación de la base de la norma. Para el tráfico que se inicia en una dirección solamente, no es necesario crear normas que permitan el tráfico en ambas direcciones. El tráfico del cliente que se inicia normalmente en una dirección incluye Telnet (puerto 23), HTTP (puerto 80), HTTPS (puerto 443) y FTP (puerto 21). Para estos protocolos, cree sólo la norma saliente, la respuesta la permite de forma automática el cliente SEP.

Cómo se da prioridad a las normas de firewall
Un número de prioridad se asigna automáticamente a cada norma en la tabla del firewall. El número de la norma determina el orden de los proceso para las normas. El firewall de cliente de Symantec Endpoint Protection procesa la norma de firewall configurada en orden secuencial, comenzando por la norma número uno.

La gravedad de la norma (de cero a quince) determina la importancia de la norma cuando se activa:

• Crítico
• Importante
• Menor
• Información

Las normas no se combinan lógicamente de ninguna forma y el firewall no implementa el algoritmo más adecuado. Esto hace que el diseño y la solución de problemas del conjunto de normas sean más simples porque no es necesario considerar la lógica de selección de normas más allá de la simple coincidencia de tráfico.
El conjunto de normas de firewall contiene una línea divisoria azul.
Los administradores del sistema con control de acceso total pueden modificar las normas de prioridad más elevada que se colocan sobre la línea azul.
Los clientes que están en control mezclado pueden modificar a veces las pocas normas de prioridad que se colocan debajo de la línea azul.

Tipo de control
Las normas se categorizan como normas de clientes o de servidor: Las normas de servidor se crean en el servidor de administración y se descargan desde el cliente. Las normas de clientes son las normas que un usuario crea en un cliente.
A continuación se muestra la relación entre el nivel de control del usuario del cliente y la interacción del usuario con respecto a las normas de firewall:

• En Control del servidor el cliente recibe las normas de servidor, pero el usuario no puede verlas. El usuario no puede crear normas de clientes.
• En Control combinado, el cliente recibe normas del servidor y el usuario puede verlas en el cuadro de diálogo Normas de firewall. El usuario puede, además, crear normas que se combinen con normas existentes. Sin embargo, las normas de clientes quedan debajo de la línea azul y tienen menor prioridad.
• En Control del cliente, el cliente tiene el control completo. Se recomienda ser cuidadoso al otorgar a sus usuarios control del cliente o combinado.

Para los clientes de control combinado, el firewall procesa las normas del servidor y las normas de clientes en un orden determinado. Las normas de servidor con niveles altos de prioridad se procesan primero. Las normas de clientes se procesan en segundo lugar y las normas del servidor con una prioridad más baja se procesan en último lugar.
Sea cuidadoso al configurar un cliente con control combinado porque el usuario puede crear una norma de cliente que permita todo el tráfico, y esta norma anula todas las normas de servidor que están debajo de la línea azul.

Normas de firewall predeterminadas
El firewall se instala con normas predeterminadas que se clasifican como Permitir, Negar, Bloquear y registrar o Registrar solamente.
Las normas Permitir incluyen paquetes fragmentados y el protocolo Extensible Authentication Protocol Over LANS (Wireless EAPOL). Wireless EAPOL se define actualmente para LAN tipo Ethernet con 802.1x inalámbrico, y LAN con token ring (incluso FDDI). Además, se permite MS Remote Access and Routing ARP Driver, todas las aplicaciones empresariales salientes, todas las comunicaciones ping, pong, tracert y de VPN salientes.
Las normas Negar incluyen bloqueo de IPv6, IPv6 sobre IPv4, uso compartido de archivos locales y administración remota.
Las normas de registro incluyen: No registrar el tráfico de difusión ni multidifusión, bloquear y registrar el tráfico IP y bloquear todo el otro tráfico restante.

Filtrado de tráfico inteligente
El filtrado de tráfico inteligente permite utilizar servicios de red esenciales sin que se definan normas explícitamente para permitir esos servicios.
Los filtros inteligentes están, de forma predeterminada, habilitados y se definen para los siguientes servicios:

• DHCP
• DNS
• WINS

Los filtros inteligentes se evalúan antes del examen del conjunto de normas, lo que significa que cualquier paquete que coincida con una incidencia activa de un filtro inteligente se permite. Se niegan todos los otros. La solicitud DHCP, DNS o WINS se debe originar en el equipo cliente y la respuesta debe producirse en el plazo predefinido de cinco segundos. El servidor envía la respuesta y el tipo de respuesta se verifica como válido en lo referente a la solicitud del cliente original.

DHCP inteligente permite la mensajería de difusión DHCP normal sin que se defina una norma. Los mensajes DHCP del cliente se deben configurar para obtener una dirección IP automáticamente.

Cómo el mecanismo de filtrado inteligente maneja mensajes de intercambio DHCP:

• El cliente primero emite un mensaje de descubrimiento de DHCP de difusión. El envío de este mensaje genera la creación de un nuevo filtro inteligente.
• El servidor debe responder con una oferta, dentro del período de cinco segundos correspondiente. Recuerde que el tiempo de espera de conexión de cada filtro inteligente es de cinco segundos.
• El cliente emite un mensaje de solicitud DHCP de difusión, que crea otro filtro inteligente y el servidor debe responder con un reconocimiento, dentro del período de cinco segundos correspondiente.

La interfaz a través de la que se transmiten las solicitudes de DNS deben ser configuradas con los valores de TCP/IP con un servidor DNS primario y, opcionalmente, uno secundario. Las asignaciones de servidor primario y secundario se pueden configurar manualmente o pueden recibirse usando direccionamiento DHCP. Solamente se permiten las solicitudes iniciadas por el cliente y dirigidas a los servidores DNS primarios o secundarios especificados. Cualquier otra solicitud DNS se niega automáticamente.

WINS inteligente permite utilizar el servicio WINS. Las solicitudes de WINS se deben configurar para utilizar la resolución de WINS en la configuración avanzada de TCP/IP. A diferencia de DNS, que se limita a la especificación de un servidor primario y secundario, cualquier número de servidores WINS puede ser definido. Solamente las solicitudes que son iniciadas por el cliente y dirigidas a WINS un servidor predefinido están permitas. Cualquier otra solicitud WINS se niega automáticamente. La solicitud de la resolución del cliente hace que un nuevo filtro inteligente se agregue a la lista, que define un período de cinco segundos en lo referente a la solicitud determinada hecha. El servidor solicitado debe responder y la respuesta se debe recibir dentro del período especificado. El contenido de la respuesta se valida con la solicitud original también. Se omiten las respuestas no válidas.

NetBIOS y token rings
Es posible habilitar la configuración de tráfico en el cliente para detectar y bloquear el tráfico que se comunica por controladores, NetBIOS y token rings. Es posible también configurar las opciones para detectar el tráfico que utiliza más ataques invisibles.

La configuración de tráfico incluye lo siguiente:

• Habilitar la protección en el controlador que, de forma predeterminada, está habilitada. Cuando se habilita esta opción, cualquier controlador de protocolo que acceda a una red se ve como una aplicación de red. Los controladores de protocolo se pueden bloquear o permitir dinámicamente. Observe que la protección de NetBIOS no está habilitada de forma predeterminada. Cuando se habilita esta opción, la política de firewall impide que un cliente reciba paquetes de NetBIOS en UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 y TCP 1026 que se originan en equipos que se encuentran en una subred diferente.
• El tráfico de token ring está habilitado de forma predeterminada. Cuando los clientes se comunican a través de un adaptador de token ring, esta opción debe estar habilitada en una política de firewall para que el cliente pueda acceder a la red.
• La búsqueda de DNS inversa está habilitada de forma predeterminada. Cuando el cliente intercepta un paquete IP que tenga una dirección IP desconocida, esta opción permite que una solicitud de DNS inversa se envíe e intente resolver el nombre de dominio.
• La protección contra la falsificación de MAC está deshabilitada de forma predeterminada. Cuando se habilita esta opción, la protección contra la falsificación de MAC protege un equipo para que no permita que otro restablezca una tabla de direcciones MAC.

Configuración de ocultación
Al configurar la ocultación, los problemas de compatibilidad dependen de los valores habilitados. Algunas configuraciones pueden hacer que los sitios web se muestren de forma incorrecta. Otras configuraciones pueden hacer que todo el tráfico se bloquee cuando se instala una tarjeta NIC incompatible. A diferencia de la configuración de tráfico, se deshabilitan todos los valores de ocultación.

Es posible configurar los siguientes valores de ocultación:

• Permitir modo de ocultación en la navegación web: detecta todo el tráfico HTTP en el puerto 80 de un navegador web y quita información como el nombre y la versión del navegador, el sistema operativo y la página web de referencia. Esta configuración impide que sitios web sepan qué sistema operativo y qué navegador utiliza el cliente.
• Permitir nueva secuencia TCP: impide que un intruso se aproveche de la capacidad de falsificar la dirección IP de un equipo calculando aleatoriamente números de secuencias TCP.
• Permitir enmascaramiento de la huella digital del sistema operativo: impide que los programas detecten el sistema operativo de un equipo que ejecuta el software de cliente SEP. Esta configuración funciona mejor cuando se habilita la nueva secuencia TCP. El cliente modifica la TTL y el valor de identificación de los paquetes TCP/IP para evitar que otros programas identifiquen un sistema operativo usando firmas del paquete.

Orden del proceso de normas
A continuación, se muestra el orden en que se procesan todos los elementos de Protección contra amenazas de red. Estos elementos incluyen tráfico y opciones de ocultación:

• Las firmas de Prevención de intrusiones personalizadas se procesan primero.
• Luego, se procesa la configuración de Prevención de intrusiones, de tráfico y de ocultación.
• A continuación, se procesan los filtros de tráfico inteligentes y las normas de firewall.
• Por último, se procesa la comprobación de análisis de puertos y las firmas IPS que se descargan mediante LiveUpdate.

Prevención de intrusiones
El sistema de prevención de intrusiones (IPS) es la segunda línea de defensa del cliente después del firewall. El sistema de prevención de intrusiones es un sistema basado en redes que funciona en todos los equipos en que se instale el cliente y se habilite el sistema de IPS. Si se detecta un ataque conocido, una o más tecnologías de prevención de intrusiones pueden bloquearlo automáticamente.
El cliente contiene firmas de ataques inteligentes que pueden hacer improbable un ataque de intrusión. El cliente además contiene un motor de estado que realiza un seguimiento de todo el tráfico entrante y saliente. El cliente incluye el motor de prevención de intrusiones y el conjunto correspondiente de firmas de ataques de forma predeterminada.

Es posible bloquear ciertos tipos de ataques de prevención de intrusiones en el cliente, que dependen de la configuración de prevención de intrusiones que se selecciona. Por ejemplo, es necesario habilitar la Prevención de intrusiones para habilitar el motor de firmas IPS de Symantec y el motor de firmas IPS personalizadas.

Es posible configurar los siguientes valores de Prevención de intrusiones:

• Habilitar Prevención de intrusiones: detecta y bloquea automáticamente ataques de red. Si no se habilita esta configuración, el cliente ignora las firmas de posibles ataques.
• Habilitar la negación del servicio: detección que identifica ataques conocidos basados en varios paquetes.
• Habilitar detección de análisis de puertos: supervisa todos los paquetes entrantes que cualquier norma de seguridad bloquee.
• Bloquear automáticamente la dirección IP de un atacante: bloquea el tráfico de red del atacante durante un período configurable (de forma predeterminada, 10 minutos)

Observe que si configuró el cliente en control combinado, se deben además habilitar estas configuraciones en el cuadro de diálogo Configuración del control del cliente/servidor.

La mejor práctica: aplicar políticas de firewall en su red
Antes de que aplique políticas de firewall a toda su red, es necesario aplicar la política en un pequeño subconjunto de clientes que sea representativo de su red. Si es posible, es necesario aplicar inicialmente la política en un entorno de prueba. Symantec Endpoint Protection proporciona la política de firewall predeterminada como base para generar otras. En la mayoría de los casos, es necesario hacer modificaciones en la política de firewall predeterminada para adaptar su arquitectura de red y la política de seguridad de su compañía.

El firewall, al utilizar la inspección de estado, simplifica la creación y mantenimiento de normas, y permite que sus equipos cliente tengan las conexiones necesarias y se mantengan protegidos. Los componentes de las políticas de firewall que no se basan en normas de firewall además protegen sus equipos cliente. Estos componentes incluyen la prevención de intrusiones y los filtros inteligentes del tráfico.

Cuando esté listo para aplicar una política de firewall en su red, es necesario seguir los pasos siguientes:

• Aprovechar la protección de Prevención de intrusiones
• Aplicar la política de firewall a un pequeño subconjunto de equipos
• Supervisar el tráfico de red mediante registros
• Ajustar las políticas sobre la base de la información de red recopilada en registros
• Aplicar la política de firewall modificada en su red

Habilitar y configurar Prevención de intrusiones
Sin importar cómo se configuran otras funciones de la protección contra amenazas de red, es posible proteger los clientes y servidores contra muchos ataques de red habilitando Prevención de intrusiones. Prevención de intrusiones es un método eficaz para bloquear ataques conocidos. Mientras que las firmas se crean para los nuevos ataques, es posible proteger sus equipos actualizando sus firmas IPS a través de LiveUpdate. Además, es posible crear firmas de prevención de intrusiones personalizadas, que son procesadas primero por el firewall.

Aplicar las políticas de firewall
La política de firewall predeterminada puede potencialmente bloquear el tráfico que es necesario para que su compañía realice sus actividades económicas. Para evitar esta posibilidad, es necesario modificar la política predeterminada haciéndola más permisiva.
Es posible hacer la política predeterminada más permisiva realizando cualquiera de las siguientes modificaciones:

• Cambiar algunas o todas las reglas de Bloquear a Permitir y asegurarse de que la opción Registro de las normas esté establecida como Escribir en el registro de tráfico, de modo que cada vez que el tráfico coincida con estas normas se registra la información.
• Crear una nueva norma (Norma permisiva) y configurarla como Permitir y Escribir en el registro de tráfico. Mover la Norma permisiva a la parte superior del firewall de modo que se procese primero.

Supervisar el tráfico de red
Una vez que aplique la política de firewall modificada, es posible supervisar y analizar el tráfico que pasa a través de sus equipos cliente desde la consola de Symantec Endpoint Protection Manager. Con los registros de tráfico, es posible determinar cuál se debe permitir o bloquear según la aplicación, la hora o el servicio.

Ajustar políticas de firewall
Una vez que haya analizado la información de los registros de tráfico, es posible utilizar la información para modificar sus políticas de firewall. Es posible también modificar la política de firewall configurando el tráfico y la ocultación, lo que permite o impide algunos tipos de tráfico de red.
Es posible hacer más estricta su política de firewall restringiendo el acceso de aplicaciones a la red y su inicio. Es posible hacer esto creando normas de firewall personalizadas para aplicaciones específicas. Pero hay limitaciones, como normas de firewall que bloqueen ciertas aplicaciones de acceder a la red aún permitan la aplicación para iniciarse. Este resultado puede no ser el esperado.
Otro método que es posible explorar, y puede ser más eficiente, es utilizar una política de control de aplicaciones. A través de una política de control de aplicaciones, es posible bloquear la ejecución de aplicaciones.
Debe endurecer gradualmente su política de firewall en iteraciones. Por ejemplo, es posible bloquear una o dos aplicaciones a la vez, y probar la política de nuevo. Si no hay problemas, es posible continuar haciendo su política más restrictiva según sea necesario.

Distribuir políticas de firewall modificadas a toda la red
Una vez que termine la modificación de su política de firewall, según la información de red de los registros del tráfico y la prueba del entorno, es posible distribuir las políticas de firewall a toda la red con confianza de que el firewall protegerá a sus equipos cliente y permitirá el tráfico necesario.

Recursos adicionales
Para obtener más información sobre el firewall de cliente de Symantec Endpoint Protection y el control de aplicaciones, consulte la guía de administración de Symantec Endpoint Protection y la guía del cliente de Symantec Endpoint Protection.

Reference Link
Este documento está disponible en los siguientes idiomas:

• Brazilian-Portuguese: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/br_docid/20080818101143935
• French: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/fr_docid/20080818101217935
• German: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/de_docid/20080818101244935
• Italian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/it_docid/20080818101305935
• Polish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/pl_docid/20080818101329935
• Hungarian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/hu_docid/20080818101356935
• Russian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/ru_docid/20080818101422935
• Czech: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/cz_docid/20080818101448935

Document ID: 20080818101516935
Last Modified: 10/29/2008
Ultima modificación: 08/18/2008
Producto: Endpoint Protection 11