Tag Archive | windows
2012/01/13  

Firewall Windows 7 y Cygwin

Hola!

Muy buenas a todos/as!

En mis andaduras de configurción del Firewall de Windows 7, me encontraba con el problema de que a veces no sabía si un paquete estaba recibiendo un DROP un allow. Los firewalls en general conocen 3 estados para la decisión con un paquete:

Allow: El paquete mediante una regla preestablecida deja pasar hacia fuera

Drop:Se deniega el paso del paquete y no manda respuesta de ello

Reject:Se deniega el paso de ese paquete, manda un ICMP como destino inalcanzable

El log de Firewall de Wndows 7 es bastante sencillo de interpretar, así que mientras hacía mis pruebas y al mas estilo Unix, con Cygwin me hice un sh para ir comprobando los paquetes. Para activar el LOG en Firewall hemos de ir a la utilidad wf.msc con permisos de administrador.

Si obervamos la imagen tenemos que ir al menú de Propiedades de Firewall

Aqui tenemos los 3 perfiles del firewall, cada perfil se establece en un área de red que heos definido cuando nos conectamos a una red. En el caso de dominio normalmente  si trabajas en dominio en una empresa, privado en casa, por ejemplo y público en todo aquel sitio que no conozcas ni sea de tu confianza.

Aunque puede que cada pefil debería d estar configurado de una manera especial, creo que es bueno configurar el Firewall lo mas restringivo posible en todas las áreas, siendo así una medida de mitigación contra posibles ataques del exterior.

En el apartado de inicio de sesión:

Para cada uno de estos dominios, hemos de activar que registre los paquetes descartados y correctos. El log se guarda por defecto en:

/Windows/System32/LogFiles/Firewall/pfirewall.log

Como trabajo mucho con Cygwin, con un simple tail, podríamos ir viendo como se van registrando los paquetes:

#!/bin/bash

#Shell que hace un tail de las conexiones del Firewall

tail -f /cygdrive/c/Windows/System32/LogFiles/Firewall/pfirewall.log

Una utilidad mas por si hay alguien que queire probarlo ;)

 

 

 

2012/01/12  

Resolviendo el problema de Firewall en Windows VISTA/7 con VMware

Hola!

Muy buenas a todos/as!

Cuando me encontraba leyendo el libro de Sergio de los Santos “Máxima Seguridad en Windows” sabría que acabaría formateando el ordenador para acabar de instalarlo totálmente seguro y a mi gusto, con las recomendaciones de lo que supone para mi ahora una guía de como configurar un Windows de manera segura y sin antivirus ;) .

Una de las muchas cosas que cambié es el tema del Firewall que viene integrado con Sistema en Windows 7, por defecto en los 3 perfiles, dominio, público y privado todo me basé en listas blancas para permitir la salida de programas hacia la red. Uno de los problemas que tuve es que, me quedé sin conexión a  Internet con VMWare. El problema de VMWare en Windows 7e s que las interfaces de red, vmnet, te las asigna como redes públicas y por lo tanto te quedas sin acceso a Internet.

Una solución para tener conexión a Internet es mediante un script en Power Shell que Windows no asigne las interfaces de red como públicas.

Podemos ver como Windows asigna las interfaces de red como públicas.

Te marca la red como red desconocida

El script en Power Shell es el siguiente:

# see <a href="http://msdn2.microsoft.com/en-us/library/bb201634.aspx">http://msdn2.microsoft.com/en-us/library/bb201634.aspx</a>
#
# *NdisDeviceType
#
# The type of the device. The default value is zero, which indicates a standard
# networking device that connects to a network.
#
# Set *NdisDeviceType to NDIS_DEVICE_TYPE_ENDPOINT (1) if this device is an
# endpoint device and is not a true network interface that connects to a network.
# For example, you must specify NDIS_DEVICE_TYPE_ENDPOINT for devices such as
# smart phones that use a networking infrastructure to communicate to the local
# computer system but do not provide connectivity to an external network.
#
# Usage: run in an elevated shell (vista/longhorn) or as adminstrator (xp/2003).
#
# PS&gt; .\fix-vmnet-adapters.ps1

# boilerplate elevation check

$identity = [Security.Principal.WindowsIdentity]::GetCurrent()
$principal = new-object Security.Principal.WindowsPrincipal $identity
$elevated = $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)  

if (-not $elevated) {
    $error = "Sorry, you need to run this script"
    if ([System.Environment]::OSVersion.Version.Major -gt 5) {
        $error += " in an elevated shell."
    } else {
        $error += " as Administrator."
    }
    throw $error
}

function confirm {
$host.ui.PromptForChoice("Continue", "Process adapter?",
[Management.Automation.Host.ChoiceDescription[]]@("&amp;No", "&amp;Yes"), 0) -eq $true
}

<!-- Adkit freestyle placement -->[adkit: zone="freestyle" limit="1" list="0"] <br><br><br> [netshelter]# adapters key
pushd 'hklm:\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}' 

# ignore and continue on error
dir -ea 0  | % {
    $node = $_.pspath
    $desc = gp $node -name driverdesc
    if ($desc -like "*vmware*") {
        write-host ("Found adapter: {0} " -f $desc.driverdesc)
        if (confirm) {
new-itemproperty $node -name '*NdisDeviceType' -propertytype dword -value 1
        }
    }
}
popd

# disable/enable network adapters
gwmi win32_networkadapter | ? {$_.name -like "*vmware*" } | % {

# disable
    write-host -nonew "Disabling $($_.name) ... "
    $result = $_.Disable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
    # enable
    write-host -nonew "Enabling $($_.name) ... "
    $result = $_.Enable()
    if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." }
}

Este script se ha power shell se ha de ejecutar con Power Shell.

Las redes VMNet se ha de marcar el Y para aplicar la configuración.

ya tenemos las redes como enabled

Y hasta aquí la solución al problema

Referencias

Saludos!

2011/04/19  

Svchostviewer, descifra los procesos svchost en Windows

Hola!

Muy buenas a todos/as!

Desde siempre cuando nos hemos dedicado al mantenimiento de sistemas, nos hemos encontrado con los procesos svchost. Nadie a primera vista que son estos procesos. Para poder saber de que se encargan exactamente podemos usar svchostviewer.

Svchostviewer está alojado en codeplex, podemos descargarlo de aquí.

Cuando lo ejecutamos empieza a recopilar información de nuestro sistema de los procesos svchost

Aquí podemos ver los diferentes procesos svchost a que se dedican exactamente. Además nos da una descripción de que significa el proceso.

También tenemos dos opciones mas con svchostviewer

Podemos abrir los servicios de Windows, por si queremos detener o iniciar alguno.

Y también podemos sacar un report de los svchost de la máquina

Ya tenemos un report de los svchost de la máquina.

Sin duda una aplicación interesante.

Un saludo

2011/04/17  

IEZoneAnalyzer, comprueba la seguridad de tu Internet Explorer

Hola!

Muy buenas a todos/as!

Tenemos varias maneras de comprobar la seguridad de Internet Explorer. Hoy os traigo una utilidad de Microsoft para comprobar la seguridad de Internet Explorer e incluso poder exportar los resultados.

La utilidad se llama IEZoneAnalyzer

Algunas imágenes sobre la utilidad.

Desde la utilidad podemos acceder a todas las zonas que hay en Internet Explorer.

Ahora por ejemplo, cambiaremos la página de Inicio

Ya tenemos la página cambiada en Internet Explorer.

Ahora exportaremos la configuración de una zona, para poder revisar la configuración.

Ya no hay excusa para volver a configurar la seguridad de Internet Explorer.

Un saludo

« Older Posts
Newer Posts »