Descripción del filtro firewall
Esta descripción se refiere al controlador del asistente de filtros (archivo "filterwizardtab.txt", versión 1.14)
para su centralita.
En este texto encontrará la siguiente información:
- Descripción básica del firewall
- Descripción del procedimiento de actualización del asistente de filtros
- Descripción detallada de todos los filtros preconfigurados en el controlador
Descripción básica del firewall
----------------------------------------------------------------
La centralita contiene un router para xDSL y RDSI, asegurado por medio de un firewall filtro de paquetes.
Para no limitar el uso de Internet, el firewall no llega configurado de fábrica.
Se ofrece una seguridad mínima contra ataques desde Internet mediante la utilización (no desconectable) de
Network Address Translation (NAT). Si esta seguridad no le parece suficiente, puede configurar
el firewall integrado.
La configuración del firewall se efectúa definiendo filtros, cuya secuencia puede modificarse en la lista
"Filtros IP.
Se recomienda configurar el firewall por medio de un asistente de filtros para
obtener la mejor protección posible frente a los ataques procedentes de Internet y para permitir que funcione como es debido la desconexión automática (Shorthold).
Como funcionalidad adicional el componente de router de la centralita ofrece Portmapping, que permite poner disponibles en Internet servicios de la LAN
. Una posible aplicación sería, por ejemplo, una participación ampliada en redes Peer To Peer
de intercambio de archivos o la gestión de servidores a los que se quiera acceder desde Internet.
Con Portmapping se abre una ruta a través del firewall, los paquetes TCP y UDP que se dirigen a la dirección IP externa
de la centralita por un puerto determinado (o rango de puerto) se derivan a un ordenador de la LAN.
Si se desea utilizar simultáneamente Portmapping y la configuración de firewall generada con el asistente de filtros, se
recomienda adaptar, si procede, los filtros creados por medio del asistente para que no entren en conflicto con la configuración de Portmapping
.
Por razones de seguridad, Portmapping no se halla activado de fábrica.
Encontrará información para la configuración de Portmapping en el archivo dadsl-info-2.pdf del CD suministrado con el producto.
La configuración de un firewall requiere por norma general buenos conocimientos de los protocolos y procedimientos
utilizados en Internet. Para poder completar satisfactoriamente la configuración del firewall incluso sin contar
con tales conocimientos, el software de configuración de la centralita incluye un asistente
de filtros. El software de configuración incluye, en la opción [Red] [Filtros] un botón de comando que inicia
el asistente de filtros.
Descripción del procedimiento de actualización del asistente de filtros
-------------------------------------------------------------------------------------------------------
Puesto que puede ser necesario dotar la configuración del firewall de una actualización para permitir, dado el caso,
nuevas aplicaciones o poder hacer frente a determinados ataques lanzados por hackers desde Internet,
el asistente de filtros funciona con un archivo de definiciones que puede actualizar fácilmente, sin tener que realizar forzosamente una actualización
de software en la centralita o el PC (por ejemplo con nuevo software de configuración.
En la primera línea de la ventana del
asistente de filtros puede consultar el número de versión del archivo de definiciones utilizado.
Compruebe a intervalos regulares si hay disponibles nuevos archivos de definiciones (nombre: "filterwizardtab.txt"
y "Filter_Info.txt") en http://www.elmeg.de.
El archivo "filterwizardtab.txt" controla las entradas de filtro realizadas por el asistente; el archivo
"Filter_Info.txt" contiene esta descripción, que se muestra pulsando el botón de comando "Ayuda" dentro de "Red, Filtros"
.
Si encuentra (en http://www.elmeg.de) una nueva versión del archivo de definiciones, puede descargarla a su
PC y rescribir con ella el archivo anterior. Los archivos se encuentran en a subcarpeta
"filterinfo" de la carpeta de instalación del software de configuración de la centralita.
Si a continuación reinicia el asistente de filtros desde el software de configuración y pulsa el botón "Restaurar
estándar", los nuevos filtros estarán inmediatamente disponibles (si el botón aparece atenuado en gris, modifique
en el asistente de filtros la configuración de un filtro de su elección (activado/desactivado) y se activará el botón).
El archivo de definiciones se ha creado intencionadamente con formato de texto para hacer la configuración del firewall lo más transparente posible
, lo que no impide que la lectura de las definiciones exija los conocimientos previos anteriormente mencionados.
Importante:
-------------
Compruebe regularmente si en nuestra página web (http://www.elmeg.de) hay disponible una nueva versión del archivo de definiciones
"filterwizardtab.txt" y de este texto de ayuda (Filter_Info.txt) y haga uso de esta posibilidad.
Los filtros de firewall contenidos en el archivo "filterwizardtab.txt" pueden cargarse en la centralita
exclusivamente con el software de configuración de Windows.
El asistente de filtros ofrece entonces la posibilidad de cargar en el firewall de la centralita filtros concretos individualmente.
Una vez que el asistente ha introducido los filtros seleccionados en la tabla de filtros al pulsar el botón "Terminar"
, debe transferirse esta configuración a la centralita.
Atención: Antes de utilizar el asistente de filtros, es imprescindible consultar primero la configuración de la centralita, ya que de lo contrario
puede ocurrir que inadvertidamente sobrescriba configuraciones ya realizadas en ella!
Secuencia recomendada:
1. iniciar el programa de configuración de la centralita
2. consultar la configuración de la centralita, si es el caso cambiar al modo de vista experta
3. configurar el firewall por medio del asistente de filtros
4. transferir la configuración a la centralita
Si utilizan en el firewall los filtros del asistente, el comportamiento del firewall se invierte respecto del
estado de fábrica: En el estado de fábrica el firewall deja pasar a todos los paquetes (a excepción de
Netbios Nameservice Broadcast, ver más abajo), el asistente de filtros invierte este comportamiento: Se rechazan todos los paquetes para los que no exista una
regla explícita para el paso del firewall. Las reglas que permiten el paso del firewall a
paquetes IP reciben el nombre de filtros.
Tenga en cuenta lo siguiente: Tenga en cuenta lo siguiente:
- Los filtros preparados del asistente de filtro están configurados de la mejor manera posible. No se puede proporcionar
garantía sobre el funcionamiento de los filtros.
- La aplicación de un firewall habría de acompañarse en cualquier caso de la utilización de software antivirus en todos
los PCs! Firewall y antivirus cubren ámbitos diferentes de la seguridad de los datos y son ideales como complementarios, nunca
como alternativos!
- Modificar el archivo "filterwizardtab.txt" provoca comportamientos impredecibles del software de configuración
y de la centralita (así como del firewall integrado).
- Limítese siempre a activar los filtros que necesite. Tener activados varios filtros que permiten servicios determinados
causa automáticamente "grandes huecos" en el firewall. Tener varios filtros exige, además, más capacidad de procesamiento en el
firewall, de modo que el rendimiento podría verse reducido.
- Guarde siempre en el archivo la última configuración de la centralita que funcione bien.
- El orden con que se organizan los filtros en la tabla puede modificarse (botón de comando "subir un nivel", "bajar un nivel"). Para el
funcionamiento del firewall puede ser de importancia decisiva el orden de las entradas de la tabla.
Encontrará más información sobre la configuración del firewall en innumerables páginas web, que puede localizar introduciendo
un concepto como "ipfwadmin", por ejemplo, en un buscador.
Descripción detallada de todos los filtros preconfigurados en el controlador
---------------------------------------------------------------------------------------------------------------
El firewall se configura de manera que se rechacen todos los paquetes de datos para los cuales no existen criterios explícitos (filtro)
que les permitirían pasar. Este modo de proceder provoca que la configuración del
firewall sea un poco más costosa, pero también es menos probable que se "olvide" someter los paquetes al paso
por el firewall.
Algunos filtros contienen criterios para rechazar paquetes que en realidad no serían necesarios con la configuración escogida del
firewall, pues éste, configurado por el asistente de filtro, ya rechaza todos los
paquetes no habilitados por el filtro. Los criterios
de
rechazo mencionados están incluidos a pesar de eso para rechazar lo antes posible los paquetes utilizados para determinados ataques y no tener que hacerlos pasar por toda la cadena de criterios de filtrado, y aumentar así el rendimiento del firewall en caso de ataque o de portscans.
Si en el orden se utiliza el concepto "puertos no privilegiados", se está hablando de los puertos 1024 - 65535; los puertos
61000 - 65000 se denominan puertos NAT.
Atención:
Algunos filtros contienen a otros, es decir, hay filtros que abren en el firewall
una apertura más amplia que otros. En esta zona "abierta" puede haber otros filtros (que abrirían dentro de ella una zona
más pequeña) que no han de ser ser activados para que funcione la aplicación asociada a ellos.
En caso de que también se quiera usar el firewall para que determinadas aplicaciones no sean posibles desde la LAN
(por ejemplo intercambio de archivos Peer to Peer), es imprescindible verificar si se consigue la meta de la configuración
.
El firewall constituye una cadena de filtros cuya ordenación también influye decisivamente sobre la efectividad de cada uno
. La primera regla que se aplica a un paquete IP decide si se autoriza o si se rechaza.
Por esta razón, los filtros generados por el asistente de filtros no se introducen en parte en la secuencia de la tabla "Filtros IP"
en la que aparecen en el asistente de filtros.
Nombre del filtro: Proteger sistema
Este filtro bloquea el firewall contra el establecimiento de conexiones en los puertos privilegiados (0 ... 1023) para TCP y UDP.
La mayoría de los servicios de datos relevantes (transformación de nombre, transferencia de archivos, etc.) se ofrecen a través de los puertos privilegiados.
Nombre del filtro: Bloqueo de interferencias IP
Este filtro bloquea el firewall contra la simulación de paquetes "en el lado equivocado" del firewall. Así,
son ignorados los paquetes de datos que por su dirección IP pertenecerían inequívocamente a LAN pero que son dirigidos
a la conexión del módem DSL por un atacante desde Internet (lo mismo sucede con las conexiones RDSI a
Internet).
Nombre del filtro: Filtro DNS
Este filtro permite la transformación de nombre (asignación de direcciones IP a URLs) al autorizar tanto los UPD como los paquetes
TCP salientes hacia el puerto 53 y los entrantes desde el puerto Port. Autorizando los TCP se permiten también
respuestas y transferencias de zona más largas.
Si se desconecta este filtro, ninguna consulta DNS puede pasar el firewall,
lo que hará el uso de Internet prácticamente imposible!
Nombre del filtro: Active FTP
Este filtro permite activar el FTP conjuntamente con el correspondiente módulo de software en el firewall. El FTP activo
se diferencia del FTP pasivo porque el servidor FTP establece una conexión a petición
del cliente para transferir datos (esto se aplica tanto a la respuesta al comando FTP "ls" como a la transferencia
de archivos en sí).
El problema está en que el servidor FTP establece la conexión en un puerto no privilegiado cualquiera del cliente FTP
y en consecuencia hay que habilitar un sector muy grande del firewall.
Se habilitan las conexiones salientes hacia los puertos 20 y 21 (TCP), así como las conexiones entrantes desde estos puertos a
puertos no privilegiados.
Nombre del filtro: Passive FTP
Este filtro permite transferir archivos por FTP, siendo siempre el cliente FTP el que establece la conexión.
Se habilitan las conexiones salientes hacia el puerto 21 (TCP), así como las conexiones entrantes desde ese puerto a
puertos no privilegiados. Cuando es posible, los navegadores web utilizan ftp pasivo para descargar archivos (en caso de que no lo hagan de todos modos mediante
http).
Nombre del filtro: HTTP
Este filtro permite la búsqueda Web al habilitar paquetes hacia los puertos 80 (TCP) y 8080 (TCP, para la utilización de
proxys http) para conexiones salientes y paquetes entrantes desde estos puertos a puertos NAT.
Nombre del filtro: HTTPS
Este filtro permite la búsqueda Web segura al habilitar paquetes hacia el puerto 443 (TCP) para conexiones salientes y
paquetes entrantes desde este puerto a puertos NAT.
El protocolo https se utiliza frecuentemente para banca en casa y compras en línea, se utilizan conexiones http para la transmisión de paquetes protegidos por cifrado.
Nombre del filtro: Servicios bancarios
Este filtro permite utilizar HBCI para banca en casa al habilitar paquetes hacia el puerto 3000 (TCP) para conexiones salientes
y paquetes entrantes desde este puerto a puertos NAT.
Simultáneamente se autoriza el puerto 866 (TCP) que se utiliza para servicios de banca en casa con software T-Online.
Nombre del filtro: E-Mail
Este filtro permite la transferencia de correos electrónicos:
- Por SMTP (= enviar correo) al autorizar paquetes en el puerto Port 25 (TCP) para conexiones salientes y sus
paquetes de respuesta.
- Por POP3 (= recibir correo) al autorizar paquetes en el puerto 110 (TCP) para conexiones salientes y sus
paquetes de respuesta.
- Por IMAP, al autorizar paquetes en los puertos 143 y 993 para conexiones salientes de puertos NAT y En abierto puertos NAT y sus
paquetes de respuesta.
Nombre del filtro: Noticias de Internet
Este filtro permite el acceso a servidores de noticias al habilitar paquetes para el puerto 119 (TCP) para
conexiones salientes y paquetes provenientes de este puerto en puertos NAT.
Nombre del filtro: Internet-Relay Chat (IRC)
Este filtro permite el acceso a servidores de IRC, autorizaciones de puertos:
- puerto 113 para conexiones salientes de puertos NAT y sus paquetes de respuesta,
- puertos 6660 a 6669 para conexiones salientes de puertos NAT y sus paquetes de respuesta,
- puertos 7000 a 7002 para conexiones salientes de puertos NAT y sus paquetes de respuesta.
Nombre del filtro: ICMP
Este filtro permite la utilización del programa de servicio "ping" para por ejemplo medir la accesibilidad de ordenadores
en Internet y la duración de transmisión de paquetes IP a esos ordenadores. Resulta de ayuda p. ej. para juegos en
Internet, para poder encontrar el servidor que responda con mayor rapidez.
Si este filtro está activado, puede utilizarse "ping" desde la LAN; también puede utilizarse el programa de servicio "traceroute"
y/o tracert.
Este filtro permite únicamente el envío de paquetes ICPM a Internet con el protocolo "echo request".
Desde el lado de la recepción pueden pasar el firewall todos los protocolos ICMP. Con este filtro se impide que el firewall pueda hacerse un
ping él mismo y que los intentos de conexión a la dirección IP externa del firewall que se rechacen creen tráfico IP
de salida (por ejemplo destination unreachable.
Este comportamiento es importante en los siguientes casos:
- El propio firewall está escondido para que con medios sencillos no se pueda detectar desde Internet si
la dirección IP existe y es un objetivo potencial para ataques.
- La IP externa del firewall es asignada en el momento de establecer la conexión por ISP. Para ello el ISP cuenta con un
pool de direcciones reutilizables. Puede ocurrir que se asigne una dirección IP
que recientemente haya sido usada, por ejemplo por un participante de una red Peer to Peer.
Hasta que se haya extendido en esta red la información de que la oferta que anteriormente hacía esa IP ya no está
disponible puede pasar mucho tiempo. Durante ese tiempo es posible que se registre un enorme número de
intentos de conexión desde Internet al firewall, intentos que sin el correspondiente filtro del firewall se rechazan con el
correspondiente paquete de respuesta, lo que carga el ancho de banda de subida y reiniciaría el temporizador de la
desconexión automática. Esto puede tener como consecuencia que su conexión a Internet no
se establezca automáticamente, lo que en función de la tarificación del acceso a Internet puede generar costes muy importantes.
Si es necesario, puede delimitar este filtro todavía más autorizando solamente los protocolos ICMP necesarios
(por ejemplo, echo request, echo reply, destination unreachable).
Nombre del filtro: Intercambio de archivos P2P (de usuario a usuario) y radio por Internet
Este filtro permite la utilización de software para compartir archivos Peer to Peer (P2P, de usuario a usuario). Para poder ofrecer un único filtro para
todos los distintos sistemas de P2P y radio por Internet, se ha previsto habilitar los siguientes puertos:
- de puertos NAT a todos los puertos no privilegiados para TCP
- de puertos NAT a todos los puertos no privilegiados para UDP
Atención: este filtro abre un hueco muy amplio en el firewall.
Nombre del filtro: Intercambio de archivos Peer to Peer con High ID (filtro adicional)
Este filtro permite la utilización de software de intercambio de archivos Peer to Peer (P2P) que utiliza privilegios para los usuarios
que a su vez tienen una oferta disponible (High ID). Para hacerlo el ordenador en cuestión debe ser accesible
a conexiones iniciadas desde Internet,
es decir. debe estar configurado Portforwarding.
Atención: Active también los filtro "DNS", "http" e "Intercambio de archivos P2P (de usuario a usuario) y radio por Internet".
Atención: La desconexión automática tras inactividad no puede funcionar mientras sigan dirigiéndose peticiones desde
Internet a su router! Estas peticiones son, sin embargo, "invisibles", de forma que
debe usted utilizar la función "Bloquear router" del Control Center para finalizar la conexión de Internet.
Atención: Si es el caso, deben adaptarse los puertos y la dirección IP del PC de destino en la LAN.
Atención: El ordenador al que se derivan los puertos queda en ellos totalmente desprotegido
(como si estuviese conectado directamente a Internet por ellos).
Configuración:
- EL puerto 4662 (TCP) se deriva incluso cuando hay conexiones por establecer al ordenador de dirección
IP 192.168.1.42 de la LAN.
- El puerto 4567 (UDP) se deriva al ordenador de dirección IP 192.168.1.42 de la LAN.
Nombre del filtro: Administración remota Win2k
Este filtro permite la administración remota de servidores Windows 2000.
Atención: La desconexión automática tras inactividad no puede funcionar mientras sigan dirigiéndose peticiones desde
Internet a su router! Estas peticiones son, sin embargo, "invisibles", de forma que
debe usted utilizar la función "Bloquear router" del Control Center para finalizar la conexión de Internet.
Atención: Si es el caso, deben adaptarse los puertos y la dirección IP del PC de destino en la LAN.
Atención: El ordenador al que se derivan los puertos queda en ellos totalmente desprotegido
(como si estuviese conectado directamente a Internet por ellos).
Ajuste:
- EL puerto 3638 (TCP) se deriva incluso cuando hay conexiones por establecer al ordenador de dirección
IP 192.168.1.42 de la LAN.
Nombre del filtro: Gaming
Este filtro permite la conexión a servidores de juegos, por B: ejemplo para Counterstrike.
Se utiliza autorización de puertos NAT al puerto 7002 (TCP) y sus
paquetes de respuesta, así como paquetes UPD de puertos NAT a puertos no privilegiados y sus paquetes de respuesta.
Nombre del filtro: Realplayer
Este filtro permite la utilización de Realplayer para el Streaming de Audio y Video. Se ha previsto habilitar los siguientes puertos:
Paquetes entrantes:
- Del puerto 554 a puertos no privilegiados para TCP
- del puerto 7002 a puertos no privilegiados para TCP
y además para paquetes entrantes
- de puertos no privilegiados a los puertos 6970 - 7170 para UDP
Nombre del filtro: Mediaplayer
Este filtro permite la utilización de Mediaplayer para el Streaming de audio y vídeo. Se ha previsto habilitar los siguientes puertos:
- del puerto 1755 a puertos no privilegiados para UDP
- del puerto 1755 a puertos no privilegiados para TCP
Nombre del filtro: VPN (PPTP)
Este filtro permite el paso de paquetes para conexiones TCP de control que se utilizan en PPTP-VPN.
Los datos intercambiados con VPN se transmiten con paquetes GRE que pueden pasar el firewall
si la conexión de control TCP ha sido establecida correctamente con anterioridad. Para ello se autorizan los paquetes al puerto 1723 (TCP)
para conexiones salientes y los paquetes entrantes por él a puertos NAT.
Nombre del filtro: Webserver Portmap
Este filtro permite el acceso desde Internet a un servidor web de su LAN.
Para ello el ordenador con la dirección IP indicada debe ser ser accesible por el puerto HTTP (80) directamente desde Internet en
la dirección IP externa o el nombre de DNS dinámico.
Lea las indicaciones en la información que acompaña al router (archivo PDF).
La dirección IP indicada (dirección IP LAN: 192.168.1.42) debe sustituirse si es el caso por la dirección fija de su servidor web
o su servidor web debe configurar esta dirección como IP fija.
Este filtro puede servir como modelo para más registros de portmapping (por ejemplo para un servidor FTP o Peer to Peer Mappings).
Modifique como corresponda el número de puerto (por ejemplo, 21 para FTP), el protocolo (TCP/UDP) y el nombre en las tres
entradas de este filtro.
Nombre del filtro: Time Server
Este filtro permite que hardware de VoIP, como teléfonos IP, obtengan los ajustes de fechas y horas desde un servidor horario externo
y público. Este filtro se halla desactivado de forma estándar y debe activarse con
la función correspondiente si se utilizan teléfonos IP.
Nombre del filtro: Voice over IP
Este filtro permite darse de alta en un proveedor SIP para utilizar telefonía por Internet. Además mediante este
filtro tiene lugar la señalización (timbre para llamadas entrantes) y el intercambio de datos de voz.
Para que el aparato terminal (teléfono IP, Softclient) esté accesible, la dirección IP (192.168.1.42) debe adaptarse correspondientemente a la dirección IP verdadera
. Se recomienda utilizar IP fijas con los teléfonos IP.
Al conectar varios teléfonos IP para utilizar una cuenta Sipgate hay que asignar a cada teléfono IP un puerto de señalización
(5004, 5005 etc.) y mapearlo como corresponde a la dirección IP.
Vea también: http://www.sipgate.de/faq/index.php?aktion=anzeigen&type=devices&rubrik=660
Download Driver Pack
After your driver has been downloaded, follow these simple steps to install it.
Expand the archive file (if the download file is in zip or rar format).
If the expanded file has an .exe extension, double click it and follow the installation instructions.
Otherwise, open Device Manager by right-clicking the Start menu and selecting Device Manager.
Find the device and model you want to update in the device list.
Double-click on it to open the Properties dialog box.
From the Properties dialog box, select the Driver tab.
Click the Update Driver button, then follow the instructions.
Very important: You must reboot your system to ensure that any driver updates have taken effect.
For more help, visit our Driver Support section for step-by-step videos on how to install drivers for every file type.