miércoles, mayo 03, 2006

Google
 
Web www.sistemaxp.blogspot.com

Problemas con el Firewall en el Service Pack 2

El Service Pack 2 (SP2) de Microsoft Windows XP incluye Microsoft Windows Firewall, que es el software de servidor de seguridad actualizado que reemplaza a Servidor de seguridad de conexión a Internet (ICF). Si Microsoft Windows Firewall está bloqueando un puerto que un servicio o programa utilizan, puede configurar Windows Firewall para crear una excepción. Windows Firewall podría bloquear un programa o un servicio si se cumplen las condiciones siguientes:


•Los programas no responden a una solicitud de un cliente.
•Los programas del cliente no reciben datos del servidor.

Una alerta de seguridad de Windows Firewall puede notificarle que Windows Firewall está bloqueando un programa determinado. Cuando se produce esta situación, puede desbloquear el programa si selecciona Desbloquear este programa en el cuadro de diálogo Alerta de seguridad. Como ayuda para determinar qué programas y puertos están bloqueados, puede configurar Windows Firewall para registrar los paquetes perdidos. Con Windows Firewall Netsh Helper, puede configurar Windows Firewall y el registro de Windows Firewall en el símbolo del sistema. La compatibilidad de programas puede no ser siempre el problema. La configuración de directiva de grupo también puede impedir que los programas se ejecuten. El Service Pack 2 (SP2) de Windows XP incluye varias utilidades que puede emplear para solucionar problemas de Windows Firewall.


La mejor manera de solucionar problemas de bloqueo del servidor de seguridad consiste en modificar programas para que funcionen con servidores de seguridad de filtrado que conserva información de estado. Si no se puede modificar un programa, es posible configurar Windows Firewall a fin de agregar excepciones para puertos y programas específicos. En este artículo se describen los síntomas de error relacionados con la configuración predeterminada del servidor de seguridad del Service Pack 2 de Windows XP, cómo configurar excepciones para los puertos y programas, y cómo solucionar problemas de configuración del servidor de seguridad.

Reconocer los síntomas del error:

Los errores relacionados con la configuración predeterminada del servidor de seguridad aparecen de dos maneras:

• Los programas del cliente pueden no recibir datos de un servidor. Por ejemplo, los siguientes programas del cliente pueden no recibir datos:
• Un cliente FTP
• Software de transmisión de multimedia
• Nuevas notificaciones de correo en algunos programas de correo electrónico
• Los programas de servidor que se ejecutan en un equipo basado en Windows XP pueden no responder a solicitudes de clientes. Por ejemplo, los siguientes programas del servidor pueden no responder:

• Un servidor Web como Servicios de Internet Information Server (IIS)
• Escritorio remoto
• Compartir archivos

Notas:

• Los errores de los programas de red no están limitados a problemas del servidor de seguridad. Estos errores pueden deberse a cambios en la seguridad de RPC o DCOM. Por lo tanto, tiene que determinar si el error va acompañado de una alerta de seguridad de Windows Firewall que indica que se está bloqueando un programa.

• Los errores del servicio no van acompañados de una alerta de seguridad de Windows Firewall porque los servicios no están asociados normalmente con una sesión iniciada por un usuario. Si el error está relacionado con un servicio, configure el servidor de seguridad tal como se describió en la sección "Configurar Windows Firewall mediante el Centro de seguridad de Windows".

Si un programa está bloqueado, puede recibir una alerta de seguridad de Windows Firewall similar a la siguiente:


Para ayudarle a proteger su equipo, Windows Firewall ha bloqueado este programa a fin de que no reciba información no solicitada de Internet o de una red.

Nombre: Nombre_Programa
Editor: NombreDeEditor

Desbloquear este programa
Mantener el bloqueo de este programa
Mantener el bloqueo de este programa, pero preguntarme más tarde


Configurar Windows Firewall mediante Alerta de seguridad de Windows Firewall

Alerta de seguridad de Windows Firewall ofrece las tres opciones siguientes:
• Desbloquear este programa.
• Mantener el bloqueo de este programa.
• Mantener el bloqueo de este programa, pero preguntarme más tarde.

Para desbloquear el programa, haga clic en Desbloquear este programa en el cuadro de diálogoAlerta de seguridad y, a continuación, haga clic en Aceptar.
Configurar Windows Firewall mediante el Centro de seguridad de Windows
Agregar una excepción de programa
Cuando agrega un programa a la lista de excepciones, habilita el servidor de seguridad para abrir intervalos de puertos que podrían cambiar cada vez que se ejecute el programa. Para agregar una excepción de programa, siga estos pasos:
1. Utilice una cuenta de administrador para iniciar sesión.

Para obtener información adicional acerca de cómo saber si la cuenta con la que ha iniciado sesión es una cuenta de administrador, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
871211 (http://support.microsoft.com/kb/871211/) Cómo comprobar si inició sesión como administrador y si hay una directiva de grupo en su equipo
2. Haga clic en Inicio y en Ejecutar, escribaWscui.cpl y haga clic enAceptar.
3. En la ventana Centro de seguridad de Windows, haga clic en Windows Firewall.
4. En la ficha Excepciones, haga clic en Agregar programa.
5. En la lista de programas, haga clic en el nombre del programa que desee agregar y, a continuación, haga clic enAceptar. Si el nombre del programa no se encuentra en la lista de programas, haga clic enExaminar para localizar el programa y haga clic en Aceptar.


Nota: si no sabe la ubicación del programa, póngase en contacto con el proveedor del programa para averiguarla.

Para obtener información acerca de cómo ponerse en contacto con el proveedor del programa, haga clic en el número de artículo apropiado de la lista siguiente para verlo en Microsoft Knowledge Base:
65416 (http://support.microsoft.com/kb/65416/) Información de contacto de proveedores de hardware y software, A-K

60781 (http://support.microsoft.com/kb/60781/) Información de contacto de proveedores de hardware y software, L-P

60782 (http://support.microsoft.com/kb/60782/) Información de contacto de proveedores de hardware y software, Q-Z
6. Haga clic en Aceptar para cerrar Windows Firewall.
7. Pruebe el programa para comprobar que la configuración del servidor de seguridad es correcta.

Agregar una excepción de puerto
Si el problema no se resuelve al agregar un programa a la lista de excepciones, puede agregar puertos manualmente. Para ello, en primer lugar debe identificar los puertos que el programa utiliza. Una manera confiable de determinar el uso de los puertos consiste en ponerse en contacto con el proveedor del programa. Si no puede ponerse en contacto con un proveedor o si no hay disponible una lista de puertos, utilice la herramienta Netstat.exe para identificar los puertos que están en uso.
Identificar los puertos
1. Inicie el programa e intente utilizar sus funciones de red. Por ejemplo, con un programa multimedia, intente iniciar una secuencia de audio. Con un servidor Web, intente iniciar el servicio.
2. En el símbolo del sistema, escribaNetstat –ano > netstat.txt y, a continuación, presione ENTRAR. Este comando crea el archivo Netstat.txt. Este archivo muestra todos los puertos de escucha.
3. En el símbolo del sistema, escribaTasklist > tasklist.txt y, a continuación, presione ENTRAR. Si el programa en cuestión se ejecuta como servicio, escriba Tasklist /svc > tasklist.txt en lugar de Tasklist > tasklist.txt para que se enumeren los servicios que se cargan en cada proceso.
4. Abra el archivo Tasklist.txt y localice el programa cuyos problemas está solucionando. Anote el Identificador del proceso y, a continuación, abra el archivo Netstat.txt. Observe las entradas asociadas con el Identificador de proceso y el protocolo que se utiliza.
Si los números de puerto correspondientes al proceso son menores que 1024, probablemente no cambiarán. Si los números que se utilizan son mayores o iguales que 1024, el programa puede utilizar un intervalo de puertos. En consecuencia, quizás no se resuelva el problema el abrir puertos individuales.
Agregar la excepción de puerto
1. Haga clic en Inicio y en Ejecutar, escribaWscui.cpl y haga clic enAceptar para abrir Windows Firewall.
2. Haga clic en la ficha Excepciones y en Agregar puerto para abrir el cuadro de diálogo Agregar un puerto.
3. Escriba el número de puerto que el programa utiliza.
4. Seleccione el protocolo TCP o UDP según cuál de ellos utilice el programa.
5. En el cuadro Nombre, escriba un nombre descriptivo para el puerto.
6. Haga clic en Cambiar ámbito para ver o establecer el ámbito de la excepción de puerto y, a continuación, haga clic en Aceptar.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar un puerto.
8. Para comprobar que la configuración es la correcta, pruebe el programa.
Utilizar el registro
Puede habilitar el registro como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. %Windir%\pfirewall.log es el archivo de registro predeterminado. Para habilitar el registro, siga estos pasos:
1. Haga clic en Inicio y en Ejecutar, escribaFirewall.cpl y haga clic enAceptar.
2. Haga clic en la ficha Configuración avanzada.
3. En Registro de seguridad, haga clic en Configuración.
4. En Configuración de registro, active la casilla de verificación Registro de paquetes perdidos y haga clic en Aceptar.
5. Haga clic en Aceptar para cerrar Windows Firewall.

Nota: el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra.

Interpretar el archivo de registro
Se recopila la siguiente información de registro por cada paquete registrado:


Campos Descripción Ejemplo:
Fecha Muestra el año, mes y día en que tuvo lugar la transacción registrada. Las fechas se registran con el formato AAAA-MM-DD, donde AAAA es el año, MM es el mes y DD es el día. 2001-01-27
Hora Muestra la hora, minuto y segundo en que tuvo lugar la transacción registrada. La hora se registra con el formato: HH:MM:SS, donde HH es la hora en formato de 24 horas, MM es el número de minutos y SS es el número de segundos. 21:36:59
Action Indica el funcionamiento que observó el servidor de seguridad. Las opciones disponibles en el servidor de seguridad son OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Una acción INFO-EVENTS-LOST indica el número de sucesos que ocurrieron pero no se anotaron en el registro. OPEN
Protocolo Muestra el protocolo que se utilizó para la comunicación. Una entrada de protocolo también puede ser un número para los paquetes que no utilizan TCP, UDP o ICMP. TCP
src-ip Muestra la dirección IP, o la dirección IP del equipo, que intenta establecer comunicación. 192.168.0.1
dst-ip Muestra la dirección IP de destino de un intento de comunicación. 192.168.0.1
src-port Muestra el número del puerto de origen del equipo que realizó el envío. Una entrada src-port se registra en forma de número entero entre 1 y 65.535. Sólo TCP y UDP muestran una entrada src-port válida. Todos los demás protocolos muestran una entrada src-port de guión (-). 4039
dst-port Muestra el número del puerto del equipo de destino. Una entrada dst-port se registra en forma de número entero entre 1 y 65.535. Sólo TCP y UDP muestran una entrada dst-port válida. Todos los demás protocolos muestran una entrada dst-port de guión (-). 53
tamaño Muestra el tamaño del paquete en bytes. 60
tcpflags Muestra los indicadores de control de TCP que se encuentran en el encabezado TCP de un paquete IP:
• Ack: confirmación de campo significativo
• Fin: no hay más datos del remitente
• Psh: función de inserción
• Rst: restablecer la conexión
• Syn: sincronizar los números de secuencia
• Urg: campo Puntero urgente significativo
Los indicadores se escriben en mayúsculas. AFP
tcpsyn Muestra el número de secuencia TCP en el paquete. 1315819770
tcpack Muestra el número de confirmación TCP en el paquete. 0
tcpwin Muestra el tamaño de la ventana de TCP en bytes en el paquete. 64240
icmptype Muestra un número que representa el campo Tipo del mensaje ICMP. 8
icmpcode Muestra un número que representa el campo Código del mensaje ICMP. 0
info Muestra una entrada de información que depende del tipo de acción que tuvo lugar. Por ejemplo, una acción INFO-EVENTS-LOST crea una entrada con el número de sucesos que se produjeron pero no se anotaron en el registro desde el momento de la última aparición de ese tipo de suceso. 23

Nota: el guión (-) se utiliza en los campos donde no hay información disponible para una entrada.

Utilizar el soporte técnico de la línea de comandos
Windows Firewall Netsh Helper se agregó a Windows XP en Microsoft Advanced Networking Pack. Esta ayuda de la línea de comandos se aplicaba anteriormente a IPv6 Windows Firewall. Con el Service Pack 2 de Windows XP, la ayuda incluye ahora soporte técnico para configurar IPv4.

Con Netsh Helper, puede:
• Configurar el estado predeterminado de Windows Firewall. (Las opciones incluyen Off [Activado], On [Desactivado] yOn with no exceptions [Activado sin excepciones].)
• Configurar los puertos que deben estar abiertos.
• Configurar los puertos para habilitar el acceso global o restringir el acceso a la subred local.
• Establecer los puertos que se abrirán en todas las interfaces o sólo en una específica.
• Configurar las opciones de registro.
• Configurar las opciones de control del Protocolo de mensajes de control de Internet (ICMP).
• Agregar o quitar programas de la lista de excepciones.
Estas opciones de configuración se aplican a IPv4 Windows Firewall e IPv6 Windows Firewall excepto en los casos en los que no existe funcionalidad específica en la versión de Windows Firewall.

Recopilar datos de diagnóstico
Es posible recuperar información de configuración y estado de Windows Firewall en la línea de comandos mediante la herramienta Netsh.exe. Esta herramienta agrega compatibilidad con el servidor de seguridad IPv4 al siguiente contexto de Netsh:
netsh firewall
Para emplear este contexto, escriba netsh firewall en el símbolo del sistema y utilice comandos Netsh adicionales como sea necesario. Los comandos siguientes se pueden utilizar para recopilar información de configuración y estado del servidor de seguridad:
• Netsh firewall show state
• Netsh firewall show config

Compare el resultado de estos comandos con el del comando netstat –ano para identificar los programas que hayan estado escuchando en los puertos abiertos y no dispongan de las excepciones correspondientes en la configuración del servidor de seguridad. Los comandos de configuración y recopilación de datos admitidos se enumeran en las tablas siguientes.

Nota: la configuración sólo puede ser modificada por un administrador.

Recopìlación de datos
Comando Descripción
show allowedprogram Muestra los programas permitidos.
show config Muestra información detallada acerca de la configuración local.
show currentprofile Muestra el perfil actual.
show icmpsetting Muestra la configuración de ICMP.
show logging Muestra la configuración de registro.
show opmode Muestra el modo de funcionamiento.
show portopening Muestra los puertos con excepciones.
show service Muestra los servicios.
show state Muestra la información de estado actual.
show notifications Muestra la configuración actual de las notificaciones.

Configuración
Comando Descripción
add allowedprogram Se utiliza para agregar tráfico exceptuado especificando el nombre de archivo del programa.
set allowedprogram Se utiliza para modificar la configuración de un programa permitido existente.
delete allowedprogram Se utiliza para eliminar un programa permitido existente.
set icmpsetting Se utiliza para especificar el tráfico ICMP permitido.
set logging Se utiliza para especificar las opciones de registro de Windows Firewall globalmente o para una conexión específica (interfaz).
set opmode Se utiliza para especificar el modo de funcionamiento de Windows Firewall globalmente o para una conexión específica (interfaz).
add portopening Se utiliza para agregar tráfico exceptuado definiendo un puerto TCP o UDP.
set portopening Se utiliza para modificar las opciones de un puerto TCP o UDP abierto.
delete portopening Se utiliza para eliminar un puerto TCP o UDP abierto.
set service Se utiliza para habilitar o descartar el tráfico RPC y DCOM, el uso compartido de impresoras y archivos, y el tráfico UPnP.
set notifications Se utiliza para especificar si se habilitan las notificaciones al usuario cuando los programas intentan abrir puertos.
reset Restablece la configuración del servidor de seguridad a los valores predeterminados. Esto proporciona la misma funcionalidad que el botón Restaurar valores predeterminados de la interfaz de Windows Firewall.

Solucionar problemas del servidor de seguridad
Además de los problemas de compatibilidad de programas, Windows Firewall puede presentar otros problemas. Siga estos pasos para diagnosticarlos:
1. Para comprobar si TCP/IP funciona correctamente, utilice el comando ping con el fin de probar la dirección de bucle invertido (127.0.0.1) y la dirección IP asignada.
2. Compruebe la configuración en la interfaz de usuario para averiguar si el servidor de seguridad se ha configurado inadvertidamente como Desactivado o Activado sin excepciones.
3. Utilice los comandos netsh de información de configuración y estado para buscar opciones no deseadas que pudieran interferir con el comportamiento previsto.
4. Determine el estado del servicio Windows Firewall o Conexión compartida a Internet (ICS); para ello, escriba lo siguiente en un símbolo del sistema:
sc query sharedaccess
(El nombre breve de este servicio es SharedAccess.) Solucione los problemas de inicio del servicio mediante el código de salida Win32 si el servicio no se inicia.
5. Determine el estado del controlador del servidor de seguridad Ipnat.sys escribiendo lo siguiente en el símbolo del sistema:
sc query ipnat
Este comando también devuelve el código de salida Win32 del último intento de inicio. Si el controlador no se inicia, utilice los pasos de solución de problemas que se aplican a cualquier otro controlador.
6. Si el controlador y el servicio están en ejecución y no aparecen errores relacionados en los registros de sucesos, utilice la opción Restaurar valores predeterminados en la ficha Avanzadas del cuadro de propiedades de Windows Firewall para eliminar cualquier configuración problemática posible.
7. Si el problema sigue sin resolverse, busque valores de configuración de directivas que pudieran causar el comportamiento inesperado. Para hacerlo, escriba GPResult /v > gpresult.txt en el símbolo del sistema y, a continuación, examine el archivo de texto resultante para buscar las directivas configuradas que estén relacionadas con el servidor de seguridad.

Configurar las directivas de grupo para Windows Firewall
Póngase en contacto con el administrador de la red a fin de averiguar si una opción de directiva de grupo impide que los programas y escenarios se ejecuten en su entorno corporativo.

Las opciones de directiva de grupo para Windows Firewall están ubicadas en las siguientes rutas de acceso en el complemento Editor de objetos de directiva de grupo:
• Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Windows Firewall
• Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Windows Firewall/Perfil de dominio
• Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Windows Firewall/Perfil estándar

Desde estas ubicaciones, se pueden configurar las siguientes opciones de directiva de grupo:
• Windows Firewall: Allow authenticated Internet Protocol security (IPSec) bypass [Permitir omisión de Seguridad de protocolo Internet (IPSec)]
• Windows Firewall: Protect all network connections (Proteger todas las conexiones de red)
• Windows Firewall: Do not allow exceptions (No permitir excepciones)
• Windows Firewall: Define program exceptions (Definir excepciones de programa)
• Windows Firewall: Allow local program exceptions (Permitir excepciones de programa local)
• Windows Firewall: Allow remote administration exception (Permitir excepción de administración remota)
• Windows Firewall: Allow file and print sharing exception (Permitir excepción de Compartir impresoras y archivos)
• Windows Firewall: Allow ICMP exceptions (Permitir excepciones de ICMP)
• Windows Firewall: Allow Remote Desktop exception (Permitir excepción de Escritorio remoto)
• Windows Firewall: Permitir excepción de la estructura de Universal Plug and Plan (UpnP)
• Windows Firewall: Prohibit notifications (Prohibir notificaciones)
• Windows Firewall: Allow logging (Permitir registro)
• Windows Firewall: Prohibit unicast response to multicast or broadcast requests (Prohibir la respuesta de unidifusión a solicitudes de difusión o multidifusión)
• Windows Firewall: Define port exceptions (Definir excepciones de puerto)
• Windows Firewall: Allow local port exceptions (Permitir excepciones de puerto local)

Para obtener más información acerca de la configuración de directivas de grupo para Windows Firewall, descargue el siguiente documento técnico:
Implementación de opciones de Windows Firewall para Microsoft Windows XP con el Service Pack 2


Nota Autor: Brianxp