Tutorial del ZoneAlarm
Escrito por Sphynx

Publicado:11/02/2002
  Actualizado:11/02/2002
 


1.- Preliminares
En mi anterior manual sobre seguridad en Internet (Seguridad II), hacia referencia a la importancia de tener programas tipo firewall (cortafuegos en castellano) para evitar intrusiones no deseadas en nuestro ordenador. Para un conocimiento más amplio de estos conceptos me remito a dicho tutorial, simplificando aquí un par de cuestiones:
a) un firewall nunca esta de más
b) en Internet eso de "la mejor defensa es un ataque" está sobrada y probadamente desfasado, porque nunca se sabe con quien se las tiene que medir uno, y normalmente la vieja regla de "me tomo la justicia por mi mano" no sólo no tiene éxito, sino que además suele ser perjudicial para el usuario.
Es por eso que en caso de ataques, o incluso sin recibirlos, cobra importancia el hacerse con un software de protección tipo firewall, con una importancia tal, sin pretender exagerar, similar a la del navegador o explorador de Internet o al programa de chat o de ftp. No olvidemos que todos estos programas dejan en nuestro ordenador abiertos unos "puertos", unos "agujeros" por los cuales muchos programas (ya no personas sino simples scanners) podrían introducirnos código maligno generalmente en forma de troyanos o spywares. Este programa, el ZoneAlarm de www.zonelabs.com es un buen firewall para usuarios con uno o dos pcs de uso no comercial o incluso pequeñas redes LAN que comparten la conexión a Internet través del mismo dispositivo (módem, router, etc). 


Vocabulario:

a) Acceder a Internet: aquella operación realizada por un programa que necesita de la conexión a internet para poder funcionar; véase mIRC, Internet Explorer, WinMX, en fin todos aquellos programas que utilizamos para navegar, bajar música, chatear, etc.
b) Acceso no autorizado: intento de penetración en nuestro sistema por una aplicación desconocida y generalmente maliciosa, que no hemos permitido. Ejemplos: scanners de puertos, troyanos, proxy, etc. Ejemplos de accesos autorizados: en el caso de que tengamos un servidor FTP activo en nuestro PC, los users que hayamos dado de alta pueden entrar en nuestro PC para poder descargar los programas que ofrecemos, (o la música en el caso de programas de intercambio de archivos como el WinMX, Morpheus, Kazaa, Imesh, etc.)
2.- Que es ZoneAlarm
Este programa es un cortafuegos para usuarios en sus propias casas, no profesional, gratuito y con actualizaciones disponibles en su página. La protección que ofrece este programa es sumamente interesante puesto que no controla puertos, (sería éste un nivel quizá demasiado avanzado para usuarios comunes), sino a un nivel de aplicaciones: controla a qué programas permitimos el acceso a Internet y a qué programas permitimos que nos "entren" los usuarios desconocidos en la web (léase servidores FTP, Proxy, servidores IRC, aplicaciones de intercambio de archivos tipo "winmx", etc). De tal manera que, teniéndolo bien configurado, tal como se explicará más adelante, es capaz de frenar los ataques a nuestro equipo casi al ciento por ciento.
3.- Configuración de ZoneAlarm
Una vez lo hayamos descargado de la pagina correspondiente indicada más arriba, al pedirnos reiniciar el PC notamos un pequeño cambio en el siguiente arranque. En la barra de tareas nos aparece un icono que en adelante nos sera sumamente familiar:



ese pequeño ZA al lado del reloj de windows nos indica que ZoneAlarm se halla cargado en el sistema. Haciendo doble click sobre el nos aparece el menú de configuración del programa dividido en 5 apartados principales.

3.1.- ALERTS:
Este apartado nos ira informando de los diversos accesos de nuestro PC a Internet y de los intentos de acceso de algún ordenador de Internet a nuestro PC: 



En el recuadro "Current Alerts" nos aparecerá la IP o URL en caso de poder ser resuelta por el servidor DNS de nuestro proveedor, del equipo remoto que esta intentando acceder, así como en su caso, el programa que acabamos de instalar que nos pide permisos a internet. En la instalación por defecto, la casilla "Show the alert popup window" aparece activada, con lo cual por cada alerta nos aparecerá un popup o diálogo que "saltará" con cada evento. Al principio, cuando nos estemos haciendo con el programa puede ser útil para comprender el funcionamiento. Mi recomendación personal es que, si se han seguido las instrucciones de este manual para su configuración se desactive, por la comodidad del propio usuario. Bien esta pantalla es meramente informativa, con lo cual no merece la pena resaltar mucho más sobre ella.

En caso de tener una o más alertas pendientes de confirmar o de leer cuando el modo "Show the alert in popup window" está desactivado se nos notificará con este icono en la barra de tareas:

Obsérvese la "carita" que aparece dentro del candado típico de ZoneAlarm. Cuando la alerta es reciente dicha "carita" parpadea. Cuando ha pasado un tiempo sin que hayamos consultado el panel ALERTS, dicha "carita" permanecerá fija sobreimpuesta al icono habitual del firewall-

3.2.- LOCK

Este menú nos ofrece las posiblidades de bloquear con el candado "Internet Lock" automáticamente nuestro PC. ¿En qué consiste este bloqueo? Sencillamente: el programa NO aceptará ninguna petición tanto de salida a internet como de entrada al PC que no haya sido asignada específicamente por nosotros. Ejemplo práctico: supongamos que acabamos de instalar una nueva versión del programa Internet Explorer de Microsoft en nuestro PC, (programa que requiere de acceso a internet para poder mostrarnos el contenido de las páginas web). Pues bien dicho programa aparecera en el apartado PROGRAMS, que hablaremos más adelante, como peticionario de una sollicitud, pero denegándole por el momento el acceso a internet, es decir, somo si no tuviéramos acceso o si estuviéramos abriendo el programa sin conexión a la red. Atención porque este es uno de los errores que produce más quebraderos de cabeza en el usuario no familiarizado con este tipo de software. En resumen: si el candado LOCK está activado, nuestro nuevo y flamante Internet Explorer no podrá acceder a Internet, (y eso que no se trata de ningún programa maligno).

¿Qué utilidad práctica encontramos a este LOCK -seguro o pestillo, en castellano-? Pues una que no ofrecen otros programas de firewall como el BlackICE Defender: en el caso de tener un troyano, y esta opción activada, dicho troyano no sólo no podrá salir del sistema y mandar nuestros datos a personas no autorizadas sino que nos ayudará a desenmascarar dicho programa malicioso y facilitarnos su destrucción. En el apartado ALERTS por tanto observaremos algo así como:

--INICIO DE LA ALERTA--
Microsoft FrontPage application file tried to connect to the Internet (62.82.250.98), but was denied access by the Internet Lock.

User: unknown
Program: Microsoft FrontPage application file
Time: 11/02/2002 10:24:12
--FIN DE LA ALERTA--

Explicación del mensaje: el programa Frontpage de Microsoft a intentado acceder (salir) a Internet pero el acceso a Internet fue denegado por el LOCK. El mismo mensaje sería aplicable a cualquier troyano que quisiera enviar nuestros datos a Internet, lo único que cambiaría sería el nombre del programa (normalmente por un nombre incomprensible)

Otro ejemplo muy frecuente de alerta

--INICIO DE LA ALERTA--
The firewall has blocked Internet access to your computer (TCP Port 1080) from kalisto.irc-hispano.org (212.51.33.69) (TCP Port 13320) [TCP Flags: S].

Occurred: 2 times between 11/02/2002 10:05:18 and 11/02/2002 10:05:28
--FIN DE LA ALERTA--

Explicación del mensaje: el firewall ha bloqueado un intento de conexión al puerto 1080 de tu PC desde el puerto 13320 de kalisto.irc-hispano.org (y su IP)

Echemos un vistazo a la pantalla de configuración:




Fijémonos que el candado esta en color rojo y cerrado, por contra a como suele estar cuando la instalación lo deja abierto y verde por defecto. Las dos opciones más importantes de este panel son las siguientes:

a) Engage Internet Lock after x minutes of inactivity: en castellano activar el candado tras x minutos de inactividad (útil para el caso de descuidos y de no tenerlo activado por defecto, ya que ZoneAlarm arranca SIN el candado, esta opción es siempre manual salvo que configuremos el número de minutos tras el cual deseamos se active este candado.

b) Lock mode to use while the automatic lock is engaged = Pass Lock programs may access the Internet: traducido: modo de bloqueo mientras el candado automático está activo: Sólo los programas con la casilla "Pass Lock" activada (veremos como se hace en el panel PROGRAMS -3.4-) puedan acceder a Internet.

Para finalizar la correcta configuración de este panel basta fijarse en la imagen y tener lascasillas activadas como se nos muestra en la misma.


Cuando dicho LOCK esté activado, el icono de la barra de tareas de windows cambiara del ZA que vimos al principio por:




Ahora en lugar de las letras Z y A aparece un candado (el LOCK está activo)

3.3.- SECURITY

El panel quizá más complicado de entender para el usuario de a pie. Fijándonos en la imagen, nos basta para configurar con la máxima protección posible nuestro PC:


La diferencia entre el apartado Local y el apartado Internet (aparte de los colores) es de sumo interés para aquellos usuarios que posean una LAN (red de área local) configurada, para el resto de usuarios el significado de ambos conceptos es el mismo. Por tanto este apartado, basta con que este configurado como en la imagen salvo para los usuarios con Red de Área Local entre sus PCs:
a) Local: referido a los permisos de programas de ejecución entre y dentro de la propia red local, como por ejemplo en el caso de un cyber, juegos que se ejecutan dentro de la red local y que NO requieren de Internet para su funcionamiento (el caso de los juegos suele ser el más habitual entre los usuarios comunes). Obsérvese la diferencia que hago entre Internet y Red: un servidor de FTP puede ser local y NO necesitar Internet pero sí de una conexión a la red local. Imaginemos el caso de una empresa pequeña o nuestra propia casa, con varios PCs interconectados entre sí, que desamos compartan una serie de archivos con un ordenador central (servidor) pero que no queremos que dichos archivos sean accesibles desde el exterior. El programa de servidor de FTP será el mismo, pero como NO queremos que accedan desde el exterior sino únicamente desde nuestra propia red local, el permiso será de conexión a la Red y NO a Internet. (Para resolver más dudas al respecto de lo que es una LAN y lo que es Internet, consultar los tutoriales al efecto de la misma sección)
b) Internet: referido a los programas de cualquier ordenador de la red que requiera del acceso a Internet para funcionar, por ejemplo: Internet Explorer o los ya mencionados más arriba, por ejemplo un servidor de canciones que SÍ queremos que accedan los usuarios tanto de la red local como ajenos a la misma, es decir, cualquier usuario de Internet.


Para configurar la Red Local tenemos que hacer clic en el botón "Advanced":




El boton Add >> nos ofrecerá un cuadro de diálogo en el cual insertar las direcciones IP o los rangos los cuales queremos que sean considerados como red local. La configuración por defecto es la de la imagen: PPP Adapter es decir, nuestro propio modem o PC. La IP que muestra la imagen, 0.0.0.0 quiere decir que el PC está desconectado de Internet, cuando conecte cambiará por nuestra IP y nuestra máscara de subred (IP / Subred).

En el caso de haber añadido más de un PC pues aparecerá o bien el rango con la correspondiente máscara de subred, o bien el dominio al que corresponden esas IP, para el caso de que tengamos un rango de IPs o una red tipo C por ejemplo, dada de alta dentro de un servidor de Nombres (DNS).

3.4.- PROGRAMS
El panel estrella de ZoneAlarm y la base de su configuración. Aquí se nos mostrarán todas aquellas aplicaciones que tengamos en nuestro PC a las que permitimos el acceso a internet, y qué permisos tienen dichos programas para acceder a internet.

Veamos el panel:




Como vemos, el panel se divide en cuatro columnas:

a) Program: nombre y versión del programa

b) Allow Connect: permisos de ACCESO hacia AFUERA (a Internet o la Red Local)

c) Allow Server: permisos de ACCESO hacia ADENTRO (a qué programas permitimos que nos accedan bien desde la Red Local bien desde Internet)

d) Pass Lock: en caso de estar activada la casilla el programa accederá a Internet esté o no activado el PASS LOCK del que se habló en el apartado 3.2 del presente tutorial.

Para observar más claramente estas opciones fijémonos en un programa cualquiera:




¿Qué merece la pena resaltar de lo dicho? Obsérvese que a dicho programa (el netstat de la consola msdos de windows) se le permite un acceso (permiso de salida) tanto a la Red Local como a Internet, mientras que sin embargo, no permitimos que dicho programa pueda ser utilizado como servidor (las x rojas en el apartado Allow Server), y que, aun incluso con el candado LOCK activado, dicho programa podrá acceder a Internet.

IMPORTANTE: Tengo el firewall como lo pone la imagen y NO puedo enviar DCC a través del mIRC. ¿Qué debo hacer? Una de las preguntas mas frecuentes tras la instalación del ZoneAlarm. La solución es bien sencilla, basta con fijarnos en el panel de PROGRAMS en nuestra aplicación mIRC y PERMITIRLE acceso hacia adentro (permisos de entrada) sustituyendo las "x" rojas por las "v" verdes dentro del apartado Allow Server, aparte de por supuesto, activar la opción Pass Lock.

-Es que lo tengo puesto así y tampoco me funciona: no pasa nada reinicia el ordenador y la conexión a Internet: el autor lo tiene configurado de esta manera y puede recibir y enviar DCC sin ningún problema. NOTA: es evidente que permitiendo al mIRC actuar como servidor (dándole los permisos de entrada de Allow Server), la seguridad de nuestro equipo se reduce, ya que recordemos, gran cantidad de troyanos entran al PC por envíos DCC.

Una fila como la mostrada poco mas arriba aparecerá cada vez que instalemos un programa nuevo que requiera de la conexión a Internet. Basta con hacer clic en las v verdes de Allow Connect y en las x rojas de Allow Server y en Pass Lock para que la aplicación pueda salir y conectar normalmente a internet.

3.5.- CONFIGURE
Este panel contiene configuración adicional sobre el propio firewall la más importante de las cuales es la actualización.



Explicación de las diferentes opciones.
a) Load ZoneAlarm at startup: cargar el firewall al arrancar windows automáticamente
b) Yes, I want to check... : busca cada vez que arranque el programa actualizaciones del mismo en su pagina de www.zonelabs.com, en caso de haber una versión más reciente el programa nos mostrará un cuadro de diálogo preguntándonos si deseamos descargar o no la nueva versión.
c) Notify me before I exchange... : avisa cuando el programa ZoneAlarm envía alguna información nuestra a sus servidores, ofreciéndonos la posibilidad de cancelar el envío de dicha información.

Una vez terminado todo esto: NUESTRO FIREWALL esta activo y nuestro ordenador protegido contra ataques. Para comprobar que el firewall esta activo y funcionando podemos acudir a www.grc.com sección Shields Up! de Gibson Research inc. para comprobar la validez de la configuración. Si el resultado de "test my ports" es que todos aparecen en verde con el mensaje Stealth! dentro ¡Enhorabuena! tu firewall te protegerá si cuidas de no recibir DCC no deseados o jecutar archivos adjuntos al mail no solicitados.

© Sphynx 2002 - Todos los derechos reservados - #Ayuda_Internet