Hoy en d�a, un Firewall es algo casi indispensable para proteger su conexi�n a Internet mediante ADSL o m�dem de cable. Descubra qu� es un Firewall y cu�les son los m�s recomendables para su sistema con Windows. El hecho de disponer de una conexi�n a Internet puede ser causa de multitud de ataques a nuestro ordenador desde el exterior. Cuanto m�s tiempo permanezcamos conectados mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un atacante desconocido. Hasta hace poco era bastante infrecuente disponer en el hogar de una conexi�n r�pida y permanente a Internet. En esa situaci�n el peligro de ser infectado por un virus era la mayor preocupaci�n de los usuarios, porque era bastante m�s dif�cil intentar atacar un sistema desde fuera. Un buen programa antivirus, con actualizaciones frecuentes, era un imperativo si no quer�amos perder la informaci�n almacenada en nuestro disco duro. En la actualidad el hecho de disponer de un buen antivirus sigue siendo condici�n sine qua non para estar protegidos. Pero ya no es suficiente. En el art�culo mencionado se han estudiado las medidas m�s recomendables de protecci�n a aplicar para evitar muchos de los ataques m�s t�picos de los que podemos ser objeto cuando nos encontramos conectados. A pesar de ello, en la mayor�a de los casos no ser� suficiente con esto, sobre todo si permanecemos muchas horas conectados a Internet. Aunque evitemos en gran medida el hecho de que alguien nos pueda robar archivos e informaci�n comprometida, no estamos libres de otros tipos de ataques (hay mucha gente con malas intenciones por ah�). Tipos de Ataques � Ataques DoS: Es el acr�nimo de la expresi�n inglesa Deny of Service, que significa denegaci�n de servicio. Este tipo de ataques tiene por objeto inutilizar moment�neamente el ordenador atacado, de forma que deje de responder o haya que reiniciarlo. No se consigue penetrar en el sistema, pero puede echar a perder perfectamente una jornada de trabajo, los documentos sin guardar, etc... Tambi�n puede saturar el ancho de banda de forma que se disminuya mucho la velocidad de descarga o env�o de archivos. � Caballos de Troya: Se trata de programas que se suelen regalar o enviar por correo como si fueran inocentes juegos o bromas. En realidad, una vez introducidos en el ordenador objetivo, permiten a un atacante externo tomar el control del sistema, transferir archivos, e incluso cosas como abrir la puerta del CD-ROM o enviar mensajes desconcertantes. Muchos han nacido como herramientas de administraci�n remota (NetBus, Khe Sanh...) pero luego han sido utilizados con otras intenciones menos prosaicas. Los m�s conocidos son tal vez BackOriffice, NetBus y Hack�a�Tack, aunque se cuentan ya por decenas los existentes. Si no tenemos un adecuado bloqueo de puertos establecido, estamos a merced de cualquier desaprensivo que los encuentre en nuestro ordenador, ya que hay herramientas que buscan de manera autom�tica sistemas que est�n infectados por troyanos. De ese modo pueden aprovecharse de la infecci�n, aunque no la hayan introducido ellos mismos. Un buen Antivirus es indispensable para detectarlos y eliminarlos. V�ase el recuadro adjunto Los puertos utilizados por los troyanos. � Barrido de puertos: Un barrido de puertos trata de identificar qu� puertos TCP y UDP est�n abiertos en nuestro ordenador para poder aprovechar ciertos servicios que dependen de ellos para entrar en el sistema. Existen infinidad de herramientas de barrido de puertos accesibles en la red a cualquiera y �sta ser� una de las cosas que primero compruebe un atacante. � Detecci�n de Proxies: Muchos atacantes buscan proxies que puedan estar instalados �delante� de nuestro ordenador. Un proxy sirve, b�sicamente, para compartir una conexi�n a Internet entre varios ordenadores. El atacante desea encontrar proxies mal configurados o de mala calidad, pero no para comprometer la seguridad de los equipos a los que �ste apantalla, sino para convertir sus ataques en an�nimos. Dado que casi todos los servidores llevan un registro de las direcciones IP desde las que se accede a ellos, si un individuo malintencionado quisiera atacarlos ser�a f�cil seguirle la pista a trav�s de su IP. Sin embargo, utilizando un proxie ajeno que enmascarar�a su verdadera IP, el ataque parecer�a que proviene de dicho proxie, ocultando las huellas del verdadero agresor y cargando las culpas a quien no las tiene. � Ataques Smurf/Fraggle: Bajo el nombre de los graciosos personajes de dibujos animados (Smurf es �Pitufo� en ingl�s), se esconde una t�cnica de ataque masivo a servidores utilizando para ello a v�ctimas inocentes que no est�n bien protegidas. Concretamente el ataque se basa en el env�o de paquetes de difusi�n a los ordenadores de una subred (que llegan a todos los ordenadores). Estos paquetes llevan falseada la direcci�n de origen, apuntando en realidad a un servidor que se desea atacar (t�cnica conocida como spoofing). Todos los ordenadores de la subred responden a los paquetes falsos dirigi�ndolos a la v�ctima, la cual se ve sobrecargada instant�neamente por el enorme efecto multiplicador debido a la difusi�n. La diferencia entre el ataque Smurf y el ataque Fraggle estriba en el tipo de paquete enviado (un Echo UDP al puerto 7 en el caso de �ste y un ping en el caso de aqu�l). Este ataque fue el utilizado durante los famosos asaltos a buscadores y sitios de comercio electr�nico el a�o pasado. Como se ve, los peligros son muchos y variados, y casi cada d�a aparecen nuevas t�cnicas e imaginativos ataques que pueden explotar nuestro sistema mal protegido. Un software especializado que podamos actualizar a menudo es lo que necesitamos para evitarlo. Lo recomendable es, adem�s de un programa antivirus, disponer de un buen Firewall. Qu� es un Firewall y c�mo trabaja Con ese gr�fico t�rmino, tan propio del esp�ritu comercial anglosaj�n, se designa a una utilidad inform�tica que se encarga de aislar redes o sistemas inform�ticos respecto de otros sistemas inform�ticos que se encuentran en la misma red. Constituyen una especie de �barrera l�gica� delante de nuestros sistemas que examina todos y cada uno de los paquetes de informaci�n que tratan de atravesarla. En funci�n de unos criterios establecidos previamente deciden qu� paquetes deben pasar y cu�les deben ser bloqueados. Muchos son capaces de filtrar el tr�fico de datos que intenta salir de nuestra red al exterior, evitando as� que los troyanos sean efectivos. En la figura se muestra gr�ficamente el concepto. El Firewall act�a de intermediario entre nuestra red local (o nuestro ordenador) e Internet, filtrando el tr�fico que pasa por �l. Un Firewall se coloca "en medio" de las comunicaciones entre nuestro ordenador (o red local) e Internet, filtrando todo el tr�fico que lo atraviesa y tomando decisiones de qu� hacer con �l en funci�n de reglas establecidas. Todas las comunicaciones de Internet se realizan mediante el intercambio de paquetes de informaci�n, que son la unidad m�nima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las m�quinas que se comunican, debe llevar aneja la informaci�n referente a la direcci�n IP de cada m�quina en comunicaci�n, as� como el puerto a trav�s del que se comunican. La direcci�n IP de un dispositivo lo identifica de manera �nica dentro de una red. El puerto de comunicaciones es una abstracci�n l�gica que podr�amos asimilar a la frecuencia en una emisi�n radiof�nica: del mismo modo que no podemos escuchar una emisora si no sintonizamos su frecuencia, no podremos conectarnos a un servicio de otro ordenador si no usamos el mismo puerto. Un Firewall, como se ha dicho, intercepta todos y cada uno de los paquetes destinados a o procedentes de nuestro ordenador, y lo hace antes de que ning�n otro servicio los pueda recibir. De esto extraemos la conclusi�n de que el Firewall puede controlar de manera exhaustiva todas las comunicaciones de un sistema a trav�s de Internet. Se dice que un puerto de comunicaciones est� abierto si, cuando llega un paquete de petici�n de establecimiento de conexi�n, el sistema devuelve una respuesta. En caso contrario el puerto se considera cerrado y nadie podr� conectarse a �l. La verdadera potencia de un Firewall reside en que al analizar cada paquete que fluye a su trav�s, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexi�n a determinados puertos deben responderse o no. Por ejemplo, de este modo podemos configurar un Firewall para que s�lo permita las comunicaciones a trav�s de los puertos de correo electr�nico, FTP y HTTP, si esos son los �nicos servicios que necesitamos. Otra caracter�stica interesante que se refiere a la manera de intercambiar datos a trav�s de TCP/IP es que, gracias al bit ACK de los paquetes, es f�cil determinar si un paquete procede de una conexi�n ya establecida o es un intento de penetraci�n externa. As� es relativamente sencillo que un Firewall pueda dejar pasar aquellas comunicaciones que el sistema interno haya establecido, impidiendo todas aquellas cuyo origen sea el exterior. Otra funci�n �til de la mayor�a de los Firewall es su capacidad para mantener un registro detallado de todo el tr�fico e intentos de conexi�n que se han producido (lo que se conoce como un Log). Estudiando los Log es posible determinar los or�genes de posibles ataques, descubrir patrones de comunicaci�n que identifican ciertos programas malignos (lo que se conoce como Malware), etc... S�lo los usuarios avanzados podr�n sacar partido a estos registros, pero es una caracter�stica que se le puede exigir perfectamente a estas aplicaciones. Ventajas Podemos resumir las ventajas de instalar un Firewall en los siguientes puntos, que son los m�s importantes: � Proteger el ordenador de los ataques que se produzcan desde m�quinas situadas en Internet. � Asegurar que nuestro ordenador no se utiliza para atacar a otros. � Prevenir el uso de troyanos que puedan existir en el sistema debido a que alguien nos los ha introducido a trav�s de correo electr�nico o en alg�n CD o disquete. � Detectar patrones de ataques e identificar de d�nde provienen. � Evitar que nuestro ordenador pueda ser un punto de entrada a una red privada virtual en el caso de utilizarlo para teletrabajo o acceso remoto a la red de una empresa. � Al probar nuevas aplicaciones podremos averiguar cu�les son exactamente los puertos de comunicaciones que necesitan usar. De hecho se est�n convirtiendo en algo tan indispensable, dada la proliferaci�n de conexiones permanentes a Internet, que se rumorea que el pr�ximo sistema operativo de Microsoft, conocido como Whistler, traer� incorporado directamente un Firewall. Se trata de una evoluci�n l�gica. Los puertos utilizados por los troyanos y otras pruebas t�picas Si alguien cuela un troyano en nuestro ordenador y pasa inadvertido, cualquiera que sepa que est� ah� puede hacer uso de �l, aunque no sea el que lo introdujo. Por esto es muy habitual encontrar en los registros los Firewall multitud de pruebas de conexi�n a determinados puertos, que son los t�picos que utilizan dichos troyanos. Se trata de personas o programas autom�ticos que rastrean la red en busca de ordenadores infectados a los que poder entrar sin ni siquiera trabajar para conseguirlo. Conviene conocer los puertos t�picos que usan los troyanos m�s conocidos para as�, estudiando los registros del Firewall, poder averiguar si estamos infectados por uno de esos indeseables programas o si alguien lo ha estado intentando averiguar desde fuera. T�ngase en cuenta que estos puertos son los m�s t�picos, pero que en la mayor parte de los casos se pueden cambiar, as� que le valdr�n principalmente para detectar rastreos desde el exterior: Puerto que utiliza Nombre del troyano 555 phAse zero 1.243 Sub-7, SubSeven 3.129 Masters Paradise 6.670 DeepThroat 6.711 Sub-7, SubSeven 6.969 GateCrasher 21.544 GirlFriend 12.345 NetBus 23.456 EvilFtp 27.374 Sub-7, SubSeven 30.100 NetSphere 31.789 Hack�a�Tack 31.337 BackOrifice, y otros muchos 50.505 Sockets de Troie Esto es solamente una peque�a muestra. Se puede encontrar una completa informaci�n sobre esta cuesti�n en la p�gina de Simovits Consulting: www.simovits.com/nyheter9902.html donde se podr�n consultar ordenados por diversas categor�as (incluso el pa�s de origen del troyano). Por cierto, s�lo hay uno espa�ol reconocido. No conviene confundir pruebas de conexi�n a ciertos puertos con ataques premeditados. Por ejemplo, cuando nos conectamos a nuestro servidor de acceso a Internet, si �ste alberga juegos a trav�s de Internet como Quake o Unreal Tournament, generalmente probar� si nuestro ordenador admite conexiones a trav�s de los puertos utilizados por estos juegos, para as� permitirnos la entrada a ellos. Esto puede despistar a algunas personas que lo pueden confundir con un ataque al verlo en los registros del Firewall. Firewalls Personales Los Firewalls pueden ser implementados en hardware (opci�n m�s recomendable pero muy cara) y por software. Las conexiones a Internet a trav�s de l�neas de caudal asegurado (Frame Relay, ATM...) suelen estar protegidas por Firewalls hardware, muchos de los cuales se instalan en el propio encaminador o router. Estas conexiones son de por s� muy caras y el uso de este tipo de Firewalls apenas las encarecen. En el caso que nos ocupa, las redes personales o conexiones permanentes dom�sticas, lo habitual es que el ordenador est� conectado directamente a Internet, de ah� la necesidad de un Firewall por software. Algunas empresas proporcionan encaminadores ADSL que incorporan un sistema de protecci�n por hardware, pero este tipo de servicio suele restringirse a empresas y se trata de conexiones mucho m�s caras que las pensadas para el hogar. Los Firewalls Personales que se van a analizar en este art�culo est�n implementados por software. No son tan complejos como otras soluciones profesionales mucho m�s caras y pensadas para empresas, pero en general cumplen bien con su cometido y son suficientes para la seguridad de un ordenador conectado a Internet o una red dom�stica. A continuaci�n procederemos a analizar los seis Firewalls m�s destacables dentro del mercado para Microsoft Windows. �Cu�l elegir? A la hora de escoger un buen Firewall personal el punto m�s importante, obviamente, es la protecci�n que nos otorgue el programa. Sin embargo al tratarse de programas dirigidos supuestamente al usuario m�s inexperto, esta protecci�n debe producirse con la m�nima intervenci�n del usuario. El programa m�s f�cil de usar y que ofrece una protecci�n de primer nivel es ZoneAlarm, que tiene la ventaja a�adida de ser gratuito para uso personal. Sin embargo, le falta la flexibilidad suficiente para los usuarios m�s avanzados, que siempre requieren m�s control. Es el �nico que ofrece protecci�n para c�digo malicioso de Script que est� contenido en el correo electr�nico, aunque eso ya lo hace habitualmente un buen antivirus, que deber�amos tener. Dos buenas opciones para los que desean una administraci�n sencilla y adem�s un control exhaustivo sobre las reglas de filtrado son Tiny Firewall y Norton Personal Firewall 2001. El primero tiene la ventaja de ser gratuito, pero el segundo es algo m�s completo e incluye actualizaciones autom�ticas y soporte t�cnico en castellano. eSafe Personal Firewall Esta aplicaci�n es gratuita para uso personal. Ha sido creada por la casa Aladdin, de gran reputaci�n en el mundo de la seguridad gracias sobre todo a sus llaves hardware. Antes de nada conviene avisar a quien lo desee descargar desde Internet que es el que m�s ocupa de todos los analizados: 10 MB, eso sin contar la descarga del manual, que es un archivo aparte de casi 3 MB. En cualquier caso, tambi�n incluye un completo antivirus, as� como el m�dulo Sandbox, del que pasaremos a hablar enseguida. Para tratar de ser lo m�s equitativos posible no se instal� el m�dulo antivirus, ya que se trata de medir tan s�lo la efectividad como Firewall. Soporta varios idiomas, entre ellos el espa�ol, aunque la traducci�n no es todo lo correcta que debiera. Su interfaz es de las m�s atractivas aunque es enga�osa en cuanto a su facilidad de uso. Funciona sobre cualquier versi�n de Windows, incluidos Windows 2000 y ME. La protecci�n ofrecida por el Firewall en lo que se refiere a filtrado de comunicaciones es bastante pobre por defecto, y puede darnos bastante trabajo conseguir que sea efectiva, por lo que no recomendamos este producto para usuarios noveles. Si la dejamos tal y como viene por defecto, aunque establezcamos el nivel de seguridad a �extremo�, seremos capaces de enumerar puertos, acceder a recursos compartidos, etc. O sea, se trata de una protecci�n bastante baja en lo que se refiere puramente a comunicaciones. El programa incluye tambi�n protecci�n de la intimidad, que ofrece filtrado de las palabras y frases que se tratan de enviar desde el ordenador, verificaci�n de que no se env�an datos personales, control de las cookies, etc... La tecnolog�a Sandbox II de Aladdin incluida en este producto consiste en ejecutar las aplicaciones dentro de lo que se denomina un �patio de juegos� (Sandbox, en ingl�s) que intercepta todas las acciones que hacen los programas que ejecutemos, analizando si tienen permiso o no para llevarlas a cabo, e impidi�ndoles da�ar el sistema de alg�n modo. El control que se puede tener sobre el comportamiento del Sandbox es muy elevado y constituye una excelente protecci�n contra los virus e incluso caballos de Troya. De hecho, fue lo �nico que nos protegi� de Netbus, ya que �ste intenta acceder a determinados archivos de sistema y no se lo permite. Si modificamos el patio de juegos para que Netbus pueda ejecutarse, el filtrado de paquetes no hace nada por impedir que accedamos a �l. Dispone de gesti�n de usuarios, ofreciendo un control bastante completo sobre lo que cada uno puede hacer o no en el sistema . Esta es, junto al SandBox, su baza de protecci�n m�s importante. Si Aladdin lograra mejorar la protecci�n de las comunicaciones, eSafe ser�a sin duda el producto m�s completo de los aqu� comparados. Pero no es as�. McAfee Firewall La casa McAfee es sobradamente conocida por todos como productora de su software antivirus y otras utilidades. Con este producto entran tambi�n de lleno en el mercado de la protecci�n de sistemas dom�sticos. McAfee Firewall posee dos enfoques a la hora de filtrar el tr�fico de un ordenador: controlando tr�fico del sistema y controlando el de las aplicaciones . El primero de ellos se refiere al control de tr�fico dirigido a recursos compartidos, acceso a los puertos, tr�fico de control ICMP, DHCP, etc. El control de tr�fico de las aplicaciones regula qu� aplicaciones pueden enviar y recibir datos y cu�les no, manteniendo una lista de aplicaciones en las que se conf�a. Este producto es, de entrada, demasiado restrictivo (no permite ni realizar ping contra la m�quina, e incluso nos imped�a acceder a recursos compartidos de la red local) y puede entrar en conflicto con algunas aplicaciones que no usen puertos est�ndares. Sin embargo, basta a�adirlas a la lista de confianza para que todo funcione perfectamente. Las reglas de filtrado son muy flexibles, m�s que en el caso de Tiny Firewall, por ejemplo. Permiten no s�lo definir c�mo se filtra el tr�fico sino tambi�n en qu� ocasiones. Es posible definir reglas para cada dispositivo, para cada servicio, para cada recurso compartido, e incluso para cada n�mero de tel�fono al que se llame para establecer una conexi�n. En cambio, como contraste, no permite definir reglas de filtrado para puertos TCP/UDP espec�ficos. En cuanto a la protecci�n contra troyanos, por ejemplo, al ejecutar NetBus se mostraba un mensaje preguntando: Allow NBSVR.exe to communicate?. Aunque se conteste afirmativamente, con la configuraci�n por defecto no permite que �ste se comunique con el exterior. La interfaz de usuario es bastante intuitiva, pero aun as� el programa requiere de conocimientos avanzados si queremos sacarle partido de verdad. El producto es un excelente Firewall, pero para lograr la m�xima flexibilidad requerir� una configuraci�n muy cuidadosa, a pesar del asistente que incluye para simplificar las cosas. Las estad�sticas de actividad y el Log son muy detalladas y el archivo de registro puede llegar a ocupar hasta 2 MB, as� que conviene borrarlo de vez en cuando. Entre los puntos negativos debemos destacar tambi�n que la aplicaci�n no dispone de todas sus caracter�sticas cuando lo ejecutamos bajo Windows 2000. Cuando instalamos la �ltima actualizaci�n desde el sitio web de McAfee, provoc� una pantalla azul de la muerte al arrancar de nuevo el sistema, aunque en un segundo intento (y sucesivos) no volvi� a dar problemas. Volvi� a provocar la pantalla azul al reiniciar cuando se desinstal� del equipo, aunque de nuevo s�lo la primera vez, no las siguientes. Se trata de un programa en ingl�s con el que se incluye tambi�n una copia del antivirus de McAfee. Norton Personal Firewall Este producto consta realmente de dos m�dulos independientes, aunque administrados desde el mismo lugar. Se trata del modo de Firewall Personal y el de Privacidad. Ambos tienen tres niveles de configuraci�n autom�tica (baja, media y alta protecci�n), adem�s de poder definir niveles personalizados. En los ajustes b�sicos se puede definir si se bloquea el uso de Applets Java y controles ActiveX . Igualmente desde ah� se pueden bloquear los puertos que no se est�n usando por ning�n servicio. Desde las opciones avanzadas se puede definir todo tipo de reglas de filtrado, de modo muy similar a otros productos como TinyFirewall. Existe multitud de filtros por defecto que protegen de todo tipo de ataques conocidos. Tambi�n trae reglas para infinidad de troyanos conocidos, adem�s de otros tipos de ataques. En lugar de mostrar avisos continuamente cuando se intenta acceder al equipo, se limita a guardar todos los registros en el Log (para una posterior consulta) y cambia el icono del �rea de notificaci�n, poniendo un signo de admiraci�n para advertirnos de ello sin interrumpir nuestro trabajo. De hecho los datos del registro de sucesos son enormemente detallados, siendo probablemente los de mejor calidad de toda la comparativa. Existe una caracter�stica llamada Live update que permite actualizar de manera autom�tica el programa y estar as� siempre a la �ltima en lo que se refiere a seguridad de las conexiones. Al instalarlo en un equipo port�til, deshabilita las funciones de hibernaci�n, cosa que a algunos usuarios no les har� demasiada gracia. Se comercializa una versi�n con utilidades adicionales que se denomina Norton Security 2001. Incluye un antivirus y protecci�n de la intimidad, que permite controlar que de ning�n modo puedan salir desde nuestro ordenador cadenas de texto de ciertos tipos (como n�meros de tarjetas de cr�dito, DNI o direcciones de correo electr�nico), que no se utilicen cookies, regula el uso de conexiones encriptadas por SSL, etc... Tambi�n permite bloquear los programas que env�an informaci�n para personalizar la publicidad que nos muestran al usarlos (al estilo de FlashGet o el propio cliente de NetBus). Sygate Personal Firewall Otra aplicaci�n de defensa de redes personales que se puede descargar gratuitamente si s�lo se va a utilizar para fines dom�sticos. Este Firewall proporciona cinco niveles de seguridad predeterminados que van desde su desactivaci�n hasta el Ultra-seguro, con sus niveles intermedios. Por defecto se instala el nivel de alta seguridad, siendo recomendable el Ultra. Si se dedica cierto tiempo a estudiar la documentaci�n se puede conseguir una protecci�n bastante elevada, pero por defecto los ajustes no son los m�s recomendables. Aunque nos encontremos en el nivel de seguridad m�s alto se permite hacer pings al ordenador, as� como barridos de puertos, no quedando constancia de �stos en el Log del programa, que por otra parte es bastante escueto. La ventana de configuraci�n permite un ajuste bastante fino de la seguridad, aunque, como ya se ha dicho, requiere unos ciertos conocimientos previos. Es posible especificar qu� aplicaciones y protocolos se quieren admitir a trav�s del Firewall. �stos se deben manejar siempre por n�mero, no por nombre, lo que hace a�n m�s dif�cil su configuraci�n a usuarios no expertos. Despista un poco el hecho de que no disponga de un icono en el �rea de notificaci�n. S�lo se muestra uno cuando est� abierta la ventana de configuraci�n, a la que se accede desde el men� Inicio. De esta forma, nunca se est� seguro de si la protecci�n est� activa o no. Una caracter�stica interesante es que puede enviar notificaciones por correo electr�nico cuando se produzca cualquier circunstancia sospechosa de peligro. Si se desea, se pueden especificar direcciones IP concretas (o rangos de ellas) en las que se debe confiar siempre, independientemente del tr�fico que generen hacia nuestro equipo. Se puede programar para que bloquee absolutamente todo el tr�fico a determinadas horas, lo cual es �til, por ejemplo, si deseamos dejar encendido durante toda la noche el equipo sin preocuparnos de que nadie pueda entrar en �l. Este producto tampoco permite especificar ajustes diferentes para cada adaptador de red existente en el sistema, de forma que cualquier ajuste que se efect�e en la seguridad se aplicar� tanto para la red local como la conexi�n a Internet. Tiene algunos problemas de configuraci�n con ciertos puertos. Por ejemplo, cuando estamos en el nivel de seguridad m�s alto no permite la comunicaci�n a trav�s del puerto 110, correspondiente a la recepci�n de correo electr�nico (POP3), aunque se le indique expl�citamente desde la ventana de configuraci�n avanzada. El troyano NetBus pierde toda su efectividad ya que, en cualquiera de los niveles de seguridad (incluso en el m�s bajo), no se le permite ninguna comunicaci�n con el exterior. De manera autom�tica, cuando un programa intenta comunicarse con el exterior es colocado en la lista de programas en los que no se conf�a, pero sin un aviso previo. Debido a esto, la primera vez que intentamos usar, por ejemplo, el explorador de Internet, no se nos permite acceder a ning�n servidor. Para poder usarlo debemos ir a la configuraci�n avanzada e indicar al Firewall que se puede confiar en el navegador para comunicarse con el exterior. Esto es algo engorroso y estar�a bien que por defecto vinieran configuradas ciertas aplicaciones comunes en las que confiar. Funciona adecuadamente en todas las versiones de Windows, incluido Windows 2000 y Windows ME. Tiny Personal Firewall Este producto perteneciente a la casa Tiny Software es totalmente gratuito para uso dom�stico. Se puede descargar desde www.tinysoftware.com/pwall.php, debiendo descargar por separado el manual. La versi�n que hemos probado es la del 22 de diciembre de 2000. Es tal vez uno de los m�s sencillos de usar y su calidad viene avalada por estar basado en la reconocida tecnolog�a del producto WinRoute Pro, certificada por el ICSA. Funciona sin problemas en todas las versiones de Windows (95, 98, 98SE, Millennium, NT y 2000). En lo referente a la defensa de ataques externos, este producto ofrece una alta protecci�n. Incluso un simple ping efectuado desde el exterior lanza la alarma del sistema y nos pregunta si deseamos aceptarlo o no. La seguridad de nivel medio que se instala por defecto es bastante adecuada para la mayor�a de los casos. Como en la mayor parte de los productos de esta comparativa, el nivel de seguridad se puede modificar de manera sencilla a trav�s del uso de una gu�a deslizante, cosa que agradecer�n los usuarios con poca experiencia. Si somos usuarios avanzados es posible tener un mayor control sobre lo que ocurre, manipulando directamente las reglas de filtrado. Lo mejor es la vigilancia proactiva que ofrece. Dispone de un asistente muy f�cil de utilizar que detecta actividades sospechosas en las comunicaciones y nos pregunta c�mo debemos actuar ante ellas . Desde �l se brinda la oportunidad de simplemente aceptar o rechazar una cierta comunicaci�n o bien crear directamente una regla de trabajo con car�cter general. Si escogemos esta �ltima opci�n ya no ser� necesario que se nos vuelva a preguntar cuando se den condiciones o ataques similares. Ante un ataque masivo usando herramientas de ataque t�picas como nmap, Tiny se comport� perfectamente, avis�ndonos ante todos los intentos de acceso no deseado y rechazando los intentos de conexi�n de todo tipo. No se pudo siquiera detectar el sistema operativo del ordenador atacado. En el caso del troyano NetBus, Tiny no impide que �ste se ejecute en el ordenador, pero s� detiene todo intento de acceder a �l desde fuera, es decir, anula sus efectos. El programa mantiene una lista (en un simple archivo de texto) de los programas en los que se puede confiar. Si se crea una regla para permitir que un determinado programa pueda comunicarse con el exterior, es posible utilizar el algoritmo de hash MD5 para asegurar la autenticidad de dicho programa y que un troyano no va a intentar hacerse pasar por �l. Esta caracter�stica es especialmente destacable. Por supuesto, se mantiene un Log con toda la actividad sospechosa que se haya detectado y para todo aquel tr�fico que se defina en las reglas personalizadas. El Firewall ofrece estad�sticas de texto bastante detalladas sobre la actividad de comunicaciones realizada desde que se inici� el sistema. Se incluyen datos sobre el tr�fico TCP, UDP y sobre la actividad del propio Firewall. Tanto el registro de actividad como la configuraci�n se pueden proteger mediante contrase�a y pueden ser accedidos remotamente. Otras caracter�sticas interesantes son la posibilidad de definir rangos de direcciones IP en las que confiamos, asignar caducidades a las reglas de filtrado, la ejecuci�n bajo demanda o como servicio y la administraci�n remota de la aplicaci�n (el �nico de la comparativa junto a eSafe que la tiene). Ocupa muy poco en el disco duro y en memoria, sin que su presencia interfiera en el rendimiento del equipo. Su mayor desventaja es que, mientras no lo llevemos usando un cierto tiempo, los mensajes que revelan la existencia de conexiones no autorizadas pueden llegar a hacerse muy pesados, saltando cada dos por tres. En cuanto hayamos ido definiendo reglas ante esos avisos el programa interferir� cada vez menos y la seguridad ser� muy efectiva. Es un producto al que se le pueden mejorar algunos peque�os detalles, pero que es de los de mayor calidad, y adem�s gratuito. ZoneAlarm 2.1.44 Se trata de un programa gratuito para uso personal que puede ser descargado desde http://www.zonealarm.com/. Ha sido creado por la empresa ZoneLabs, y es el hermano peque�o de ZoneAlarm Pro, que dispone de algunas caracter�sticas m�s avanzadas. De todos modos, se trata posiblemente del m�s efectivo de todos los firewalls de esta comparativa. Aunque no permite tanto control sobre �l como otros programas, es de lo m�s eficaz protegiendo las conexiones. Las reglas de trabajo se crean sobre la marcha, de manera parecida a como lo hace Tiny, pero luego no permite la misma flexibilidad si se desean modificar. Ante cualquier ataque o intento de conexi�n externo se nos informa inmediatamente y se nos pregunta si queremos permitir el acceso, guard�ndose un registro de lo acontecido, aunque �ste no es demasiado detallado. Su interfaz es tal vez la m�s sencilla de todas. Para gestionar la seguridad de los adaptadores s�lo se permite establecer uno de los niveles de seguridad (bajo, medio o alto), aunque, como se ha comentado, son siempre muy efectivos, sobre todo el de alta seguridad. Se pueden a�adir servidores o rangos de direcciones IP a la lista de sitios de confianza, pero no se permite especificar los servicios o puertos en los que se conf�a. Se habilitan todos. Cuando se trata de ejecutar un programa que intenta enviar informaci�n fuera del sistema, salta una alarma autom�tica pregunt�ndonos qu� se debe hacer. Las reglas para cada programa se guardan en una lista y posteriormente se pueden modificar. De este modo se impidi� la ejecuci�n de Netbus, pero ocurri� como en el caso de McAfee Firewall, es decir, se nos pregunt� si dese�bamos que el programa se comunicase con el exterior o no. Un usuario inexperto podr�a no entender bien las implicaciones de permitirlo y comprometer su seguridad. Adem�s, como en el caso de Tiny Firewall, la profusi�n inicial de mensajes puede llegar a ser muy desesperante hasta que haya las suficientes reglas establecidas. Incluso Internet Explorer provoca una alerta de seguridad. El hecho de permitir una configuraci�n diferente para Internet y para la red local nos otorga m�s comodidad a la hora de acceder a recursos internos, algo que con otros programas podr�a ser m�s problem�tico. El bot�n de bloqueado de la red es muy �til para evitar cualquier tipo de comunicaci�n si por cualquier motivo no estamos seguros de lo que est� pasando y queremos que ni un solo paquete de informaci�n entre o salga de nuestra red. Se echa de menos algo m�s de control para usuarios avanzados y unas cuantas explicaciones m�s del porqu� de algunos bloqueos autom�ticos. Tambi�n tiene un peque�o problema con el Service Pack 1 para Windows 2000 que le impide trabajar a pleno rendimiento en este sistema. La versi�n Pro arregla todos estos detalles.