Notas tecnológicas de Rafael San José

Google
WWW rsanjose.webcindario.com

¡Recomienda esta página a tus amigos!
Powered by miarroba.com

Página Principal

Informatica

Retroceder

¡No hay carpetas!

ZoneAlarmPro.html (Sin descripción)

ZoneAlarm Pro [Protección firewall/cortafuegos]... (por ELISOFT)

ZONEALARM PRO

Protección Firewall

NOTAS INICIALES

Estar conectado a Internet se está volviendo cada día más "peligroso". La cantidad de troyanos que se mueve por la red es inmensa. Los "padres" de estas "criaturas" buscan a sus vástagos de forma casi continua escaneando los puertos de las máquinas que se encuentran conectadas a Internet. El software "gratuito" patrocinado por publicidad se está haciendo cada vez más popular. Se cuentan por cientos los programas de uso cotidiano (sobre todo utilidades para Internet) que incluyen "spyware" o "adware". Y para terminar de arreglarlo, en los sistemas operativos mayoritariamente implantados (léase Windows 9.x) no paran de detectarse fallos de seguridad que dejan "toda" la información de nuestro ordenador a disposición del que tenga unos conocimientos mínimos sobre redes.

La situación es realmente preocupante, y requiere que se tome muy en serio. Afortunadamente existen utilidades que nos ayudan a mantener nuestro sistema a salvo. Se trata de los "firewall" o "cortafuegos" por software, una solución sencilla y barata para proteger un pequeño sistema.

De entre los cortafuegos para Windows que se pueden encontrar en Internet el que está causando furor es "ZoneAlarm", de una compañía llamada "ZoneLabs". Su sencillez de manejo y su tremenda eficacia lo colocan a la cabeza de este tipo de protecciones.

Veamos qué es esto y cómo se utiliza...

ENTRAMOS EN MATERIA

ZoneLabs produce dos versiones de este programa. Una versión gratuita para uso personal, "ZoneAlarm", perfectamente valida para proteger un ordenador doméstico. Y una versión algo más completa, "ZoneAlarm Pro", que básicamente proporciona un poco más de control sobre la configuración del programa.

Me ha parecido más interesante escribir una guía para "ZoneAlarm Pro" porque el número de opciones de configuración es mayor. De esta forma lo que cuente sobre él será aplicable a su hermano pequeño, "ZoneAlarm Free".

Concretamente esta guía trata sobre "ZoneAlarm Pro v2.6.362". No confundir con la versión gratuita "ZoneAlarm v2.6.362".

Nota: Puedes descargar "ZoneAlarm" y "ZoneAlarm Pro" desde la sección de "Software - Internet - Seguridad".

¿Cómo funciona Internet?

Antes de nada creo que es conveniente conocer unos pocos conceptos básicos relacionados con el funcionamiento de Internet. Esto nos ayudará a entender qué es lo que está haciendo el cortafuegos y qué demonios es lo que nos está diciendo con sus alertas.

Hace tiempo encontré un documento sobre este tema, muy corto, pero tremendamente aclaratorio. El autor utilizaba un edificio y sus ocupantes como símil para explicar la forma en que se transmite la información en Internet. El texto original estaba en inglés y no he sido capaz de encontrarlo, pero intentaré hacer un pequeño resumen...

Protocolos

Un protocolo es un conjunto de normas que deben tener en cuenta los equipos a la hora de comunicarse. Por ejemplo, al usar el teléfono debemos primero descolgar, esperar tono, marcar, ... de forma análoga un ordenador debe de seguir unos pasos antes y durante la comunicación.

Pila TCP/IP

Se trata de un conjunto de protocolos que permiten la comunicación a través de una red como Internet. Su implementación práctica se suele llamar "pila TCP/IP". De todos los protocolos que componen esta "pila", dos son quizás los más importantes, el protocolo IP y el protocolo TCP, aunque hay que decir que por si solos no bastarían para el correcto funcionamiento de Internet.

Protocolo IP

Este protocolo es el que nos permite localizar un ordenador dentro de la red (es lo que se conoce como un protocolo de rutado). Al conectarse a Internet, a cada ordenador se le asigna un número único, dirección IP,  que lo identifica y lo distingue de todos los demás. Este número es una cadena de 32 bits, aunque suele representarse en formato cuaterna (cuatro número decimales entre 0 y 255 separados por un punto), de modo que se vería algo así  como; xxx.xxx.xxx.xxx. Si imaginamos Internet como una gran ciudad, nuestro ordenador seria un bloque de pisos, y este número sería el equivalente de la dirección del edificio, de modo que gracias a él lo distinguiríamos de los demás.

Protocolo TCP

Este protocolo está orientado a conexión, eso quiere decir que es el que se encarga de negociar una conexión antes de empezar a transmitir. Como en el caso del teléfono; primero llamamos, cuando descuelgan se establece la conexión, entonces empezamos a hablar, o sea transmitir. Este protocolo define una serie de "puertos" por los cuales un ordenador puede transmitir y recibir datos.

Puertos

Un puerto es una asignación lógica que reserva un "canal" para comunicar dos aplicaciones ¿...?.

Vamos a ver si aclaramos esto. Para entendernos debemos imaginar nuestro ordenador como un edificio de la gran cuidad que es Internet, y un programa como un habitante de nuestro bloque de pisos. Este quiere enviar un paquete a otro habitante de otro bloque, es decir, otro programa de otro ordenador. Para que esto sea posible será necesario que en el paquete ponga la dirección del edificio (dirección IP) y el piso (puerto) donde vive el receptor del paquete, y la dirección del edificio (dirección IP) y el piso (puerto) de quien lo envía. De este modo el cartero (pila TCP/IP) sabe dónde lo tiene que llevar, y el receptor puede informar al emisor de que el paquete ya ha llegado. Así es, más o menos, como funciona la comunicación entre dos ordenadores. La información sale en forma de paquetes (bloques de datos), y sus cabeceras contienen esos datos de IP:PUERTO del emisor y el receptor.

Tráfico

Esta es la forma genérica de referirse a cualquier transferencia de datos a través de una conexión. Cuando una aplicación envía o recibe datos a/de Internet se dice que está "generando tráfico". Siguiendo con el ejemplo de la ciudad (Internet) y el edificio (dirección IP), podríamos equiparar "el tráfico" de datos al tráfico que originarían los carteros (pila TCP/IP) por las calles para llevar los paquetes (bloques de datos) de un sitio a otro.

¿Cómo funciona un cortafuegos?

Realmente existen varios tipos de cortafuegos, pero ZoneAlarm es del tipo de "filtrado de paquetes", y ese es el tipo que explicaré.

Filtrado de paquetes

Teníamos que nuestro ordenador es un bloque de pisos identificado por su dirección (IP), y que en ese bloque tenemos varias casas (programas) identificadas por su número de puerta (puerto). ¿Cómo encaja en esta estructura un cortafuegos?.

Bien, podemos imaginar que el cortafuegos es el portero del bloque. Este portero está vigilando continuamente quién sale y quién entra del edificio, para ello pregunta a todo el mundo de dónde viene y a dónde va. Es decir, mira las cabeceras de todos los paquetes que entran y salen de nuestro ordenador, comprobando su dirección IP y puerto de origen, y su dirección IP y puerto destino.

Este portero es realmente eficaz. Le podemos decir que cuando el cartero traiga un envío de tal dirección no le deje pasar. Si el envío es de esa otra dirección que lo deje pasar, pero solo si es de la puerta 25 del otro edificio y es para el vecino de la puerta 1031 de nuestro bloque. O que no admita nada que no sea una respuesta a algo que hemos pedido previamente. Y así vamos definiendo las "reglas" mediante las cuales el cortafuegos controlará qué tráfico entra y sale de nuestro PC... realmente sencillo.

Además de este servicio de "filtro de paquetes" que nos presta nuestro "portero", los cortafuegos actuales suelen incorporar algunas opciones más. Por ejemplo, le podríamos dar a nuestro portero la foto de alguien (la identificación de un troyano) y decirle que si lo ve aparecer por el portal del edificio (entrando o saliendo) no le deje moverse del sitio y nos avise. Otras veces los niños que juegan en la calle llaman a todas las puertas para ver quien está en casa (un escáner de puertos). En este caso podemos desviar los timbres para que sea el portero el que compruebe si el que llama es alguien serio o está jugando.

¿Cómo funciona ZoneAlarm?

Creo que la explicación sobre los cortafuegos de "filtrado de paquetes" define perfectamente lo que hace ZoneAlarm. Basándose en ese sencillo principio ZoneAlarm realiza las siguientes funciones...

Bloqueo automático de intrusiones

Cuando ZoneAlarm detecta un paquete entrante, que no es respuesta a una solicitud por nuestra parte, lo bloquea inmediatamente.

Control de aplicaciones

ZoneAlarm controla todos los programas que intentan conectarse a Internet desde nuestro equipo. Esto permite detectar fácilmente troyanos y spyware.

Cuando un programa intenta conectarse a Internet aparece una ventana en la que se nos pregunta si queremos dejar que esta aplicación "salga" de nuestro ordenador. Podemos autorizar la conexión de forma temporal o permanente. Esto posibilita la detección de troyanos y spyware.

De igual forma, se pedirá nuestra confirmación cuando un programa pretenda abrir una conexión para prestar un servicio. Esto posibilita la detección de troyanos.

Protección contra anexos en el e-mail (MailSafe)

Si descargamos correo electrónico mientras ZoneAlarm está funcionando, este interceptará los mensajes descargados y renombrará los archivos adjuntos. De esta forma se evita que determinados tipos de archivo se ejecuten automáticamente, o los ejecutemos manualmente sin fijarnos en lo que hacemos.

Nivel de seguridad configurable por zonas

ZoneLabs ha supuesto que nuestro ordenador puede estar conectado a una red de área local, y que simultáneamente puede tener una conexión a Internet. Es posible configurar niveles de protección diferentes para cada una de estas conexiones, de forma que se puedan seguir compartiendo archivos e impresoras en nuestra red de área local sin que sean "visibles" desde Internet.

Instalación

La instalación de ZoneAlarm Pro no tiene nada de particular. Una vez descargado el instalador se inicia y aparecerán unas ventanas que nos guiarán durante todo el proceso.

Los requisitos del programa tampoco son especialmente restrictivos...

  • Windows 95 (original con WinSock 2 o versión OSR2)
  • Windows 98 (original, con SP1, y SE)
  • Windows ME
  • Windows NT 4.0 (con SP3, SP4, SP5 o SP6)
  • Windows 2000 (original, con SP1 o SP2)
  • Windows XP
  • Procesador 80386 o superior (486 recomendado)
  • 8 Mb de RAM
  • Aproximadamente 3 Mb de espacio en disco
  • Una conexión de tipo TCP/IP (Ethernet LAN, DSL, cable-módem o acceso telefónico)

Como parte del proceso de instalación se nos pedirá algo de información...

  • Nombre
  • Organización o Empresa
  • Dirección de correo (que ZoneLabs utilizará para notificarnos la disponibilidad de nuevas versiones si así lo elegimos)

A continuación se nos pedirá la carpeta de nuestro sistema en la que queremos instalar el programa.

...

Aquí quiero hacer un pequeño paréntesis. Como otros muchos programas ZoneAlarm copia sus archivos principales en la carpeta elegida para la instalación y unas cuantas librerías en la carpeta SYSTEM. También se copian parte de las librerías (las correspondientes a los servicios de monitorización) en una carpeta de nombre "ZoneLabs" dentro de SYSTEM. Además de esa carpeta se crea otra dentro de WINDOWS con el nombre "Internet Logs" en la que se guardan un par de archivos que nos pueden resultar interesantes. Se trata del archivo en el que se almacena la lista de autorizaciones de programas (IAMDB.RDB) y el archivo en el que se registra la actividad de ZoneAlarm, el famoso archivo LOG (ZALog.txt).

Como me gusta tener cada cosa en su sitio he querido mover la carpeta "Internet Logs" dentro de la carpeta de instalación de ZoneAlarm (en mi caso "X:\ZoneAlarm"). Para ello he editado el registro de Windows (ejecutando REGEDIT.EXE) y he localizado unas claves en las que se guarda la ruta a esta carpeta...

HKEY_LOCAL_MACHINE
    Software
        Zone Labs
            MiniLog
            valor: Directory

HKEY_LOCAL_MACHINE
    Software
        Zone Labs
            TrueVector
                LocalStoreDir
                    valor: (Predeterminado)

HKEY_LOCAL_MACHINE
    Software
        Zone Labs
            TrueVector
                LogStoreDir
                    valor: (Predeterminado)

He cambiado el valor original (C:\WINDOWS\Internet Logs\) por el que yo quería poner (X:\ZoneAlarm\Internet Logs\). He movido la carpeta "Internet Logs" de su ubicación original a la nueva ubicación, he arrancado el programa... y ha funcionar.

...

Al continuar con el proceso de instalación se nos pide confirmación para que nuestro navegador predeterminado sea autorizado a "salir" a Internet. Lo más recomendable es contestar "Yes" a esta pregunta. Si luego cambias de idea podrás modificar el permiso para este programa desde el panel de control de ZoneAlarm.

Para terminar se nos solicitarán unos cuantos datos estadísticos a los que podemos contestar, si queremos.

Llegado este punto comienza la instalación de los archivos del programa. Cuando termina el proceso aparece una pequeña ventana que nos informa de que el proceso ha terminado, y que nos pregunta si queremos iniciar "ZoneAlarm Pro". Si quieres modificar la ubicación de la carpeta "Internet Logs" pulsa sobre "No" y haz los cambios que he descrito anteriormente, en otro caso pulsa directamente sobre "Yes".

Registro

La primera vez que arranques "ZoneAlarm" aparecerá una ventana en la que se te pide el número de registro. Si eres un usuario registrado, y tienes el número de serie, introdúcelo y pulsa sobre el botón "GO". Si quieres probar el programa durante 30 días pulsa sobre el botón "Try Now".

A continuación aparecerá una ventana de tipo asistente que en siete sencillos pasos te describirá los puntos principales del manejo y configuración de ZoneAlarm. Con esto debería ser suficiente para entender lo básico sobre el programa... pero parece que no es así.

Un detalle sobre el registro...

Si quieres iniciar el proceso de registro desde el principio, como si acabaras de instalar el programa, sigue estos pasos:

  • Cierra el programa con la opción "Shutdown" que aparece en el menú de contexto al pulsar con el botón secundario sobre el icono de ZoneAlarm de la barra de estado.
  • Localiza el archivo "zllictbl.dat" en la carpeta "SYSTEM" y bórralo.
  • Reinicia ZoneAlarm desde la opción correspondiente del menú "Inicio".

Desinstalación

Si necesitas desinstalar ZoneAlarm sin dejar ni rastro de su existencia hazlo de esta manera...

  • Desinstala el programa con la opción correspondiente del menú de programas o del asistente para "Agregar o quitar programas". Si es necesario reinicia el sistema.
  • Localiza la carpeta donde estaba instalado ZoneAlarm y bórrala con lo que pueda contener.
  • Localiza la carpeta "ZoneLabs" dentro de la carpeta "SYSTEM" y elimínala.
  • Localiza la carpeta "Internet Logs" dentro de la carpeta "WINDOWS" y elimínala. Si la has movido siguiendo mi consejo estará dentro de la carpeta de instalación de ZoneAlarm.
  • Localiza los siguientes archivos en la carpeta "SYSTEM" y elimínalos:
    vspubapi.dll, vsmonapi.dll, vsdatant.sys, vsdata.dll, vsnetutils.dll, vsutil.dll, vsdata95.vxd, zllictbl.dat (en este último archivo se guarda el número de registro).
  • Abre el registro de Windows (ejecuta REGEDIT.EXE), localiza las siguientes claves y elimínalas:
    HKEY_CURRENT_USER\Software\Zone Labs
    HKEY_LOCAL_MACHINE\Software\Zone Labs
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VSDATA95
    Esta última clave hace referencia al archivo "vsdata95.vxd" y puede ser la causa de una pantalla de error en el primer arranque después de la desinstalación del programa.

Si el desinstalador ha podido hacer bien su trabajo no deberías encontrar nada de esto, pero me he encontrado con algunos sistemas en los que quedaban rastros después de hacer una desinstalación aparentemente correcta.

Panel de control

Se supone que ya tienes instalado y registrado correctamente el programa. Cuando se está ejecutando aparece un icono en la barra de estado, junto al reloj...

Pulsando dos veces sobre este icono, o seleccionando la opción "Restore ZoneAlarm Pro Control Center" se abre la ventana principal del programa...

Estos botones hacen que se despliegue toda la ventana del panel de control para poder ver y configurar las opciones principales...

Este indicador muestra el tráfico de datos que está monitorizando ZoneAlarm. Las barras verdes indican tráfico de entrada y las rojas de salida. La dos barras de la parte superior indican el tráfico instantáneo y las dos de la parte inferior un histórico de los últimos segundos.

El candado es un indicador/pulsador. Señala el estado de bloqueo/desbloqueo de tráfico con el exterior. Un candado abierto ("Unlocked" escrito en verde) indican que el tráfico está permitido. Cuando el candado aparece cerrado ("Locked" escrito en rojo) indica que el tráfico está restringido sólo a las aplicaciones que tengan marcada la casilla "Pass Lock".

Con este botón se bloquea instantáneamente el acceso al exterior de todas las aplicaciones, incluidas las que tienen marcada la casilla "Pass Lock". Nada podrá entrar o salir del sistema mientras el botón "Stop" permanezca pulsado.

En este espacio se muestran los iconos de las aplicaciones que actualmente están haciendo uso de la conexión con el exterior. Cuando un icono parpadea indica que esa aplicación está recibiendo o enviando datos en ese momento. Si el icono de la aplicación tiene una pequeña mano debajo indica que está actuando como servidor.

Este es el botón para ver la ayuda del programa. No entiendo por qué los fabricantes de software siguen empeñándose en malgastar recursos añadiendo estas cosas... si luego nadie las utiliza.

...

Otro sitio desde el que se puede controlar el funcionamiento de ZoneAlarm es desde una barra de botones que se puede hacer aparecer en la barra de tareas del sistema. Pulsa con el botón secundario sobre la barra de tareas y selecciona "Barra de herramientas > ZoneAlarm Pro Desk Band". Los botones son equivalentes a los del panel de control.

Configuración

Realmente no es necesario tocar muchas cosas para que ZoneAlarm funcione correctamente. Las opciones predeterminadas son perfectas para conseguir una protección muy efectiva sin complicarnos la vida. De todas formas pasaremos por cada una de las pantallas comentando lo que tenga de especial.

Al pulsar sobre el botón de cada opción (Alerts) (Lock) (Security) (Programs) (Configure) aparece lo siguiente...

ALERTS (Internet Alerts)

En esta ventana se muestran las alertas ocurridas durante la sesión, y el total de bytes recibidos y transmitidos. Desde aquí también se puede ver el archivo LOG.

Lo único que deberías cambiar es la opción "Show the alert popup window". De forma predeterminada está marcada, lo que ocasionará que cada vez que el cortafuegos detecte algo anormal muestre una ventana de información de este tipo...

Al principio todos cometemos el mismo error y dejamos esta marca activada. Al poco de estar conectados a Internet las ventanas de alerta empiezan a aparecer, y alguna veces salen a tal velocidad que hacen imposible dedicarse a otra cosa que no sea cerrarlas. Deja la marca desactivada, esto no impide que ZoneAlarm haga su trabajo, pero impide que las alertas te vuelvan loco.

Cuando las alertas están desactivadas sigues teniendo información de que "algo" está ocurriendo si miras el icono de la barra de estado. Cuando no ha sucedido nada, o cuando has visto las alertas desde el panel de control (se supone que te has dado por enterado), el icono tiene este aspecto...

En cuanto se produce una alerta que ZoneAlarm ha gestionado, pero que no te ha mostrado, el icono cambia de aspecto...

Si pulsas sobre el botón "Avanced" aparecerá una ventana desde la que podrás configurar todo lo relacionados con las alertas.

Pestaña "Submitting info"

  • En el bloque "IP address display", marca "Hide last octet of local IP address". De esta forma tu IP no será enviada a ZoneLabs cuando pidas más información sobre una alerta concreta.
  • En el bloque "Notification pop-up" ,marca "Show me these pop-ups". De esta forma aparecerá una aviso cuando pidas información ampliada sobre una alerta a ZoneLabs.

Pestaña "Suppress alerts"

  • Pulsa el botón "Restore To Default" y no te compliques la vida. Si quieres que ZoneAlarm registre absolutamente todo en el archivo LOG pulsa el botón "Check All", pero entonces recibirás todavía más alertas como no desactives la notificación automática.

Pestaña "Log file"

  • En el bloque "Archive log", marca cualquier casilla que no sea "Never". De esa forma se guardarán los registros de los días pasados para que puedas consultarlos en un momento dado. Una buena opción podría ser "Weekly" (semanalmente).
LOCK (Internet Lock Settings)

Desde esta ventana puedes activar un curioso mecanismo de auto-bloqueo que "cerrará" la puerta de tu sistema (para entrar y para salir).

Cuando el mecanismo de bloqueo automático está "Enable" (habilitado) puedes elegir que se realice pasado un cierto tiempo de inactvidad del ordenador o cuando se active el salvapantallas. También puedes elegir el tipo de bloqueo que será activado.

Si decides activar este sistema de auto-bloqueo debes tener la precaución de marcar la casilla "Pass Lock" de los programas que quieres que sigan teniendo acceso al exterior cuando ZoneAlarm active el mecanismo. Imagina que dejas tu ordenador descargando cosas toda la noche con este sistema activado. Cuando ZoneAlarm active el auto-bloqueo la descarga se interrumpirá si el programa que estás usando para descargar no está autorizado a pasar bajo la verja (casilla "Pass Lock").

Nota: El mecanismo de bloque/protección de ZoneAlarm tiene dos niveles. En el nivel más bajo sólo las aplicaciones que tengan marcada la casilla "Pass Lock" podrán seguir conectando con Internet. En el nivel más restrictivo "nada" se conecta con Internet.

Si quieres que se registre en el archivo LOG cuándo se ha denegado el acceso a Internet a una aplicación por estar activado el bloqueo, marca la casilla "Show alert when Internet access is denied". Recuerda que si has elegido "ver todas las alertas" esto ocasionará una ventana de aviso más.

SECURITY (Security Level / MailSafe e-mail protection)

En esta ventana se selecciona el nivel de protección que se aplicará a cada una de las dos zonas que ZoneAlarm es capaz de gestionar (zona de red Local y zona de Internet). También se activa la protección MailSafe que renombra automáticamente los archivos adjuntos a los mensajes de correo.

La configuración predeterminada (nivel medio en Local y alto en Internet) es perfecta para el 99% de los casos. No parece muy recomendable el nivel "Low" (bajo) porque deja tu sistema casi igual que si no tuvieras el cortafuegos instalado.

Desde cada botón "Customize", o desde el botón "Advanced" de esta ventana, podrás configurar todos los detalles concernientes a los niveles de seguridad. Mi consejo es que dejes los valores predeterminados en todas las pestañas. La única excepción puede ser la pestaña "Local Zone Contents", sobre todo en el caso de que te conectes por cable-módem o ADSL. La primera vez que inicies ZoneAlarm después de su instalación puede que aparezca una venta de alerta de este tipo...

Deberías contestar "No" a esta pregunta, y la razón es sencilla. Esta alerta aparece porque ZoneAlarm ha detectado en el sistema una configuración de red como consecuencia de tener instalado el "Acceso Telefónico a Redes" o la tarjeta de red que habitualmente se usa para conectar con el router o el cable-módem. En apariencia esto podría ser una red de área local gestionable desde la zona "Local", pero realmente no lo es. Si contestas "Yes" a esta pregunta estarás considerando todas las direcciones IP de esa subred como parte de tu "Zona Local" cuando realmente son máquina que se conectan a Internet desde tu mismo ISP.

Puedes modificar esta selección desde la pestaña "Local Zone Contents" de la ventana "Avanced Security Properties" que aparece al pulsar sobre el botón "Advanced" de la opción principal del programa "Security".

Desde aquí también se puede solucionar un problema típico del que tiene una pequeña red montada en casa... ¡¡ desde que he instalado ZoneAlarm no consigo que los ordenadores se vean !!. Eso pasa porque no forman parte de la "Zona Local". Añadiendo sus direcciones IP individualmente, en forma de rango o de subred se soluciona el problema.

...

Te recomiendo que dejes activada la protección de e-mail. ZoneAlarm renombrará los archivos adjuntos a los correos que recibas con una extensión propia que impedirá la asociación automática del archivo con su aplicación. Desde el botón "Configure" puedes elegir que tipos de archivo que serán controlados por ZoneAlarm.

Es una buena solución para evitar los script que se auto-ejecutan, y siempre te dará un toque de atención cuando intentes iniciar un programa que te ha llegado por correo (pasa el antivirus)...

PROGRAMS (Programs Settings)

Aquí está la famosa lista de autorizaciones de aplicaciones. Cuando ZoneAlarm detecta que "algo" quiere conectar con el exterior lo registra en esta lista.

En cada programa se puede configurar si se le permite el acceso a Internet y/o a la red local. Si se permite que el programa preste un servicio. Y si el programa está autorizado a conectar con el exterior cuando ZoneAlarm este funcionando en modo "bloqueado" (casilla "Pass Lock").

Las selecciones más importantes se pueden hacer directamente pulsando sobre las casillas que aparecen a la derecha del nombre del programa. Si pulsas el botón secundario sobre la línea de cada aplicación aparecerá un menú de contexto en el que podrás hacer esa y otras selecciones. También puedes acceder a una ventana de configuración detallada (selección de puertos) pulsando sobre el botón "Options" de cada programa.

No te recomiendo que marques las opción "Changes Frequently" o "Identify program by full path name only". Esto desactiva un mecanismo que puede ayudar a ZoneAlarm a detecta virus y troyanos.

Nota: De forma predeterminada ZoneAlarm identifica los programas con una combinación de valores (la ruta hasta el ejecutable, la versión y un checksum del archivo). Si algo de esto cambia, ZoneAlarm pedirá nuevamente permiso para dejar conectarse a ese programa. Esto puede suceder porque has actualizado el programa, porque se ha contaminado con un virus o porque un troyano se está intentando hacer pasar por quien no es... mucho cuidado con este detalle.
CONFIGURE (Configuration / Updates / License key / Password)

Desde esta ultima ventana se seleccionan cosas como que el cortafuegos se inicie en el arranque del sistema o que busque automáticamente actualizaciones. También se pueden modificar y enviar los datos de registro. Y se puede proteger la configuración con una contraseña.

Creo que esta ventana no requiere aclaraciones adicionales. Puede que lo único digno de mención sea el apartado "Password".

Cuando se ha establecido una contraseña no será permitida la modificación ninguna opción importante hasta que el usuario se identifique adecuadamente. No se podrá cerrar el cortafuegos (opción "Shutdown" del menú de contexto). Y tampoco se podrá desinstalar ZoneAlarm. En versiones anteriores poner clave impedía que ciertos programas de dudosas intenciones descargaran automáticamente el cortafuegos para que este no detectase sus actividades. Este fallo ya ha sido corregido, pero si utilizas software que tenga por costumbre desactivar tu sistema de protección puede que te interese lo de poner una clave a ZoneAlarm.

...

Si eres de los afortunados que cuentan con conexión permemente a Internet (ADSL o cable-módem) deberías dejar marcada la casilla "Load ZoneAlarm Pro at startup" para que se cargue el cortafuegos nada más arrancar el sistema.

Cuando configuramos ZoneAlarm para que se inicie al arrancar el sistema, se crea lo siguente...

  • Un acceso directo al programa en la carpeta...
    WINDOWS\All Users\Menú Inicio\Programas\Inicio
  • La clave "minilog" en la rama del registro...
    HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrenVersion\RunServices
  • La clave "TrueVector" en la rama del registro...
    HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrenVersion\RunServices

No quites nada de esto si quires que ZonaAlarm se inicie correctamente.

Las alertas... menudo follón

Bien. Si has llegado hasta aquí es que el tema te interesa realmente. Y si has hecho todo lo que te he propuesto no deberías preocuparte demasiado por las alertas, porque no verás nada más que las justas. De todas formas no está de más conocer lo que indican y que se debe hacer con ellas.

Por cierto, las alertas son esas ventanas emergentes en forma de globo... por si todavía no te habías dado cuenta.

¿Qué es una alerta?

Parece de cajón, pero este concepto siempre se entiende mal. Una alerta es la notificación de un bloqueo realizado por ZoneAlarm como consecuencia de haber aplicado las reglas de filtrado definidas... no te pregunta lo que debe hacer, sólo te dice lo que ha hecho.

¿Son igual de importantes todas las alertas?

No. ZoneAlarm genera dos tipos de alerta. La alerta "Urgente" (de color rojo) originada por el bloqueo de un tráfico potencialmente peligroso, posiblemente generado con intenciones poco amistosas.

Y la alerta de "Advertencia" (de color naranja), que indica un tráfico bloqueado por pura precaución, pero que no encerraba un peligro inminente.

¿Son alertas todas las ventanas emergentes que aparecen?

Estrictamente hablando, no. Las alertas como tal son las descritas en el punto anterior. El resto de ventanas emergentes son ayudas para que ZoneAlarm defina las reglas de filtrado.

¿Puedo volver a ver una alerta que ya he cerrado?

Puedes ver las alertas de la sesión en curso desde el panel de control de ZoneAlarm pulsando sobre el botón "Alerts".

Puedes ver las alertas de otros días examinando los archivos LOG (son archivos de texto) que se guardan automáticamente en la carpeta "Internet Logs".

...

Aclarado el tema de las alertas (espero) veamos los tipos de ventana emergente que pueden aparecer...

PROTECTED "red" (Alerta "Urgente")

Generada tipicamente por un intento de intrusión.

PROTECTED "orange" (Alerta de "Advertencia")

Posiblemente generada por un tráfico no deseable de la red local, o por una confirmación de presencia de un servidor de Internet (un ping).

NEW NETWORK (Configuración automática de Zona Local)

Normalmente se genera en el primer arranque de ZoneAlarm. Si no tenemos una red de área local, y nos conectamos a Internet por ADLS o cable-módem (tenemos instalada una tarjeta de red), lo más aconsejable es responder "No" a esta pregunta para evitar que se incluyan en la "Zona Local" las direcciones IP de otros usuarios de nuestro mismo ISP.

NEW PROGRAM (Configuración de programas)

Aparece la primera vez que una aplicación intenta acceder al exterior. Si el programa en cuestión es de nuestra confianza, y no queremos ser molestados nuevamente con este aviso, podemos marcar la casilla "Remember this answer...". De esta forma se autoriza el acceso del programa a Internet de forma permanente.

REPEAT PROGRAM (Configuración de programas)

Sólo aparecerá en los sucesivos intentos de acceso al exterior de un programa al que previamente no hemos autorizado de forma permanente marcando la casilla "Remember this answer...".

SERVER PROGRAM (Configuración de programas)

Aparece cuando un programa intenta abrir un puerto para prestar un servicio que podría ser accesible desde el exterior. Muchos programas utilizan esta técnica de forma legitima para realizar su cometido, por ejemplo los filtros de publicidad, los antivirus on-line, o los clientes FTP. La autorización dependerá de la evaluación por parte del usuario de si el programa en cuestión es "algo" que necesite funcionar como servidor.

CHANGED PROGRAM (Configuración de programas)

He comentado en la descripción de la opción "PROGRAMS" que ZoneAlarm identifica los programas que acceden a Internet con una especie de "firma digital". Esta alerta aparece si esa firma cambia. En ese caso ZoneAlarm pedirá nuevamente permiso para dejar acceder a Internet a ese programa. Esto puede suceder porque has actualizado el programa, porque se ha contaminado con un virus o porque un troyano se está intentando hacer pasar por quien no es... mucho cuidado con este detalle.

El archivo LOG

ZoneAlarm registra automáticamente toda actividad que genere una alerta (de cualquier tipo) en un archivo de texto que guarda en la carpeta "Internet Logs". Este archivo puede ser muy interesante para analizar que ha estado pasando durante una conexión. Para eso deberíamos conocer "el lenguaje" en el que está escrito...

El archivo siempre comienza con un par de líneas que identifican las versiones de ZoneAlarm y del sistema operativo que utilizamos.

A continuación aparece una línea de cabecera que identifica los campos de información del registro propiamente dicho.

Seguido a esto comienzan a registrarse las alertas que se hayan generado, ordenadas por fecha y hora.

Cada línea de registro está compuesta por la siguiente información...

Códigos de alerta

Cada alerta registrada en el archivo LOG se codifica de la siguiente manera...

FWIN Indica el bloqueo de un paquete entrante.

Ej.- Bloqueo de un escáner buscando un troyano

FWIN , 2001/10/07 , 10:05:14 +2:00 GMT , 65.8.171.102:4210 , 215.95.169.91:31337 , UDP
FWOUT Indica el bloqueo de un paquete saliente.

Ej.- Bloqueo de una solicitud de presencia

FWOUT , 2001/02/27 , 21:05:24 +1:00 GMT , 63.35.169.144:0 , 206.251.6.192:0 , ICMP (type:8/subtype:0)
FWROUTE Indica el bloqueo de un paquete que no era para nuestro sistema pero que ha pasado por él.

Ej.- Bloqueo de un intento de usarnos como pasarela

FWROUTE , 2001/09/09 , 12:39:07 +2:00 GMT , 232.1.125.76:2201 , 232.97.159.238:80 , TCP (flags:S)
FWLOOP Indica el bloqueo de un paquete dirigido a localhost (127.0.0.1).
LOCK Indica el bloqueo de un paquete por estar activado el modo "Locked" (bloqueo del sistema).

Ej.- Bloque del comando PING mientras el sistema está "Locked"

LOCK , 2001/10/07 , 15:59:47 +2:00 GMT , Comando Ping de TCP/IP , 215.95.161.3 , N/A
PE Se ha pedido permiso de acceso al exterior para una aplicación de nuestro sistema.

Ej.- Solicitud de autorización de acceso a Internet para Outlook Express

PE , 2001/10/07 , 09:37:53 +2:00 GMT , Outlook Express , 215.92.164.3:53 , N/A
ACCESS Una aplicación ha sido bloqueada por no tener permiso de acceso al exterior.

Ej.- Bloqueo de una aplicación sospechosa

ACCESS , 2001/08/12 , 18:28:57 +2:00 GMT , SFXC336.TMP was temporarily blocked from connecting to the Internet (65.89.43.186:Port 1237) , N/A , N/A
MS La función MailSafe ha renombrado un archivo anexo a un e-mail recibido.

Ej.- Renombrado automático de un ejecutable (el archivo 'enano.exe' tenía el virus 'Hybris')

MS , 2001/03/10 , 08:26:40 +1:00 GMT , Outlook Express Renamed email attachment of type .exe to .zl9 , N/A
Códigos de transporte (datos ampliatorios)

A continuación del indicador de transporte (protocolo TCP/UDP/ICMP/IGMP) puede aparecer un código con datos ampliatorios. Entre la ayuda del programa y los RFCs he recopilado esta información...

TCP

S SYN El indicador SYN ('Synchronize') sólo se envía en el primer paquete al iniciar una conexión TCP. Su aparición representa un intento de establecer una conexión más que una respuesta en una conexión establecida.
F FIN El indicador FIN representa un intento de terminar una conexión.
R RESET El indicador RST se usa para reiniciar la conexión.
P PUSH El indicador PSH hace significativo el campo "Entregar datos inmediatamente" del datagrama que lo contiene.
A ACK El indicador ACK ('Acknowledged') hace significativo el campo "Número de acuse de recibo" del datagrama que lo contiene. Se usa para dar acuse de recibo de los últimos datos del emisor.
U URGENT El indicador URG hace significativo el campo "Puntero urgente" del datagrama que lo contiene.
4 low-order unused bit s/c
8 high-order unused bit s/c

ICMP

Típicamente, los mensajes ICMP (Protocolo de Mensajes de Control Internet) informan de errores en el procesamiento de datagramas (paquetes de datos). La descripción detallada de estos mensajes se encuentra en el RFC-792. El cortafuegos puede bloquear estos mensajes porque los considere tráfico superfluo o no correspondiente a nuestras comunicaciones (una "trampa" para usarnos como pasarela del ataque a un tercero), o porque pueden suponer un ataque directo por saturación (denegación de servicio).
0 Echo Reply Respuesta de Eco.

Se recibe como respuesta a un mensaje ICMP-8. Los campos de cabecera del mensaje permiten emparejar la solicitud y la respuesta.
3 Destination Unreachable Destino Inaccesible.

Puede ser causado por ser inaccesible una red, un máquina, un protocolo, un puerto, por tener que fragmentar un paquete que se había solicitado no fragmentar o por un fallo en la ruta.
4 Source Quench Disminución del Tráfico desde el Origen (DTO).

El DTO es una petición al remitente de un paquete para que reduzca el ritmo al que envía tráfico al destinatario.
5 Redirect Redirección.

Un mensaje de redirección recomienda a un remitente que dirija el tráfico destinado a la red X por un camino alternativo, supuestamente más corto, hacia el destinatario.
8 Echo Request Solicitud de Eco.

Los datos recibidos en el mensaje de eco deben ser devueltos en el mensaje de respuesta de eco (ICMP-0).
9 Router Advertisement s/c
10 Router Solicitation s/c
11 Time Exceeded Tiempo Superado.

Se origina cuando el campo TTL (tiempo de vida) de un paquete ha llegado a cero, o cuando un servidor de Internet no ha podido reensamblar un datagrama en el tiempo límite debido a fragmentos perdidos.
12 Parameter Problem Problema de Parámetros.

Notificación de que un error en los datos de la cabecera de un paquete hacen imposible su procesamiento.
13 Timestamp Request Solicitud de Marca de Tiempo.

La marca de tiempo es un entero de 32 bits que indica los milisegundos transcurridos desde la medianoche UT. El mensaje contiene una referencia al instante en el cual fue manipulado por última vez por el emisor antes de enviarlo.
14 Timestamp Reply Respuesta de Marca de Tiempo.

La marca de tiempo es un entero de 32 bits que indica los milisegundos transcurridos desde la medianoche UT. El mensaje debe contener las referencias del instante en el cual el destinatario lo recibe y del momento en el cual el destinatario lo manipula por última vez antes de enviarlo.
15 Information Request Solicitud de Información.

Este mensaje solicita a su receptor que informe del número de la red en la que se encuentra.
16 Information Reply Respuesta de Información.

Este mensaje informa al solicitante del número de la red en la que se encuentra el remitente.
17 Address Mask Request s/c
18 Address Mask Reply s/c

Los complementos

Cuando un programa resulta ser bueno en su terreno no tardan en aparecer complementos que llenan los huecos que el fabricante original no ha llenado del todo. Parece que ZoneAlarm es un gran programa en el apartado de cortafuegos, pero tiene un par de puntos mejorables (no diré que débiles).

...

Si has leído el punto que trata sobre el archivo LOG te habrás dado cuenta de lo complicado que es sacar algo en claro de esos archivos. Son engorrosos y difíciles de leer e interpretar.

Para solucionar este contratiempo contamos con "ZoneLog Analyser". Estupendo complemento para ZoneAlarm (Pro y Free) que analiza su archivo de registro de actividad (el LOG) mostrando información muy detallada de todo lo registrado. Colorea las líneas señalando los distintos tipos de actividad registrada. Identifica ataques típicos. Hace traducciones 'Whois' y 'DNS'. Crea automáticamente un e-mail de notificación para el ISP del atacante. En resumen... una maravilla.

Nota: Puedes descargar "ZoneLog Analyser" desde la sección de "Software - Internet - Seguridad".

...

El otro detalle "mejorable" es el del idioma. De momento ZoneLabs no se ha decidido ha sacar una versión con soporte multi-idioma. El no contar con documentación en castellano ha sido la causa de haber escrito esta guía/tutorial. El tema de tener el programa en castellano ya está resuelto.

En 'La Web de (lo) Hispánico' puedes encontrar un parche de traducción al castellano para cada versión de ZoneAlarm (Pro y Free).

Nota: Usando los archivos traducidos de 'La Web de (lo) Hipánico' he preparado mi propia versión del instalador de la traducción para ZoneAlarm Pro. Esta instalación es un poco más cuidadosa, y un poco más automática que la original. Permite alternar entre el idioma original y la traducción. Y se puede desinstalar dejando todo en su estado original.

Nota: Puedes descargar los parches de traducción desde la sección de "Software - Internet - Seguridad".

¿Contiene ZoneAlarm "spyware"?

El rumor de que ZoneAlarm contiene "spyware" está comenzado a difundirse en varios grupos de noticias. He intentado verificar la existencia de "algo" que se pueda considerar "spyware" en el funcionamiento de este cortafuegos... y no he sido capaz.

Posiblemente, este rumor ha sido originado por usuarios que no tiene muy claro lo que es el "spyware", y que no han entendido la advertencia que hace el propio ZoneAlarm sobre el envío de cierta información a su central en Internet.

¿Qué es "spyware"?

En pocas palabras, es software que envía a determinados servidores de Internet información acerca de los hábitos del usuario durante sus conexiones a Internet. El propósito es el de realizar estudios estadísticos que permitan dirigirnos publicidad personalizada. La palabra clave es "publicidad".

Buena parte de los programas gratuitos se financian con publicidad que aparece en forma de banner mientras los utilizamos. El software "spyware" se incluye en estos programas "gratuitos", y envía al publicista información que le permite crear un perfil de usuario en función del tipo de uso que hacemos de nuestro ordenador. La información enviada puede ser mínima (utilizaciones del programa en cuestión) o tremendamente extensa (software instalado, tiempo de conexión, páginas visitadas, dirección de correo, etc.). Teóricamente, cuanto más preciso sea ese perfil de usuario, más precisa será la elección del publicista del tipo de anuncios que nos pueden interesar.

La idea no es mala, pero la forma de llevarla a la práctica es lo que no ha gustado nada a los usuarios de Internet. Esto programas "gratuitos" no suelen advertir de que incluyen "cierto software" que obtendrá datos sobre nuestros hábitos. Tampoco suelen informar de "qué datos recopilan", ni "a qué lugar de Internet se envían". Eso se considera atentar contra la privacidad. Eso es "spyware".

¿Qué envía ZoneAlarm a Internet?

Durante el proceso de instalación se nos solicitan unos pocos datos sobre nuestro sistema y nuestra empresa (número de ordenadores, número de trabajadores, etc.). Supongo que para elaborar alguna estadística. Además se nos solicita la típica información de registro (nombre, organización y dirección de correo).

El instalador advierte que esta información será enviada a Internet (al servidor central de ZoneLabs) en el momento de cumplimentar el procedimiento de registro on-line. La acción de enviar la información es manual, y basta con no tomarla para que esos datos no salgan de nuestra máquina.

...

Otro momento en el que ZoneAlarm puede enviar información a Internet (al servidor de ZoneLabs que analiza las alertas) es cuando pulsamos el botón "More Info" que aparece en las ventanas de alerta...

ZoneAlarm se conectará al servidor de ZoneLabs, le pasará los datos de la alerta (tipo de paquete interceptado, direcciones IP y puertos implicados), y el servidor de ZoneLabs nos devolverá una página HTML con información detallada de lo que significa y lo que implica esa alerta. Los detalles de este mecanismo están descritos en la ayuda del programa.

Lo único que se puede considerar "comprometido" de esa información que se manda a ZoneLabs es la dirección IP que tenemos asignada en ese momento. ZoneAlarm permite definir la precisión con la que se manda nuestra dirección IP con las opciones de la pestaña "Submitting info" que aparece pulsando el botón "Avanced" del apartado "Alerts" del panel de control del programa.

En esta misma ventana se puede configurar la aparición de un aviso que nos informe de que la acción que hemos tomado implica enviar información a Internet.

Porque tú lo digas...

Steve Gibson, el autor de la web "Gibson Research Corporation", es un reconocido experto en seguridad informática. Entre otras cosas ha realizado completos estudios y pruebas sobre el software "spyware" (OptOut) y los "firewall" (LeakTest). En sus pruebas con ZoneAlarm no ha detectado comportamiento "spyware" de ninguna clase.

...

La empresa "LavaSoft" ha creado un magnifico programa gratuito llamado "Ad-Aware" que detecta y elimina el software "spyware" en nuestro sistema. También tienen disponible una base de datos con los programas conocidos que incluyen software "spyware". ZoneAlarm no aparece en su base de datos, y "Ad-Aware" no detecta nada raro en el sistema después de instalarlo.

Nota: Puedes descargar "Ad-Aware" desde la sección de "Software - Internet - Seguridad".

...

A la vista de todos estos datos, creo que se puede afirmar que ZoneAlarm no contiene software "spyware" de ninguna clase conocida.

Cargar y descargar de forma automática

Esta utilidad sólo se usa mientras se está conectado a Internet, por lo que es absurdo tenerla cargada si la conexión no está activa.

Si quieres ver una buena forma de cargar todo lo necesario para navegar por Internet en el preciso momento de establecer la conexión, y descargarlo cuando ya no sea necesario, te recomiendo que leas mi guía sobre la forma en que yo me conecto a la red.

NOTAS FINALES

Como comentaba al principio, tener instalado un "firewall" es imprescindible para garantizar la seguridad de nuestro equipo mientras estamos conectados a Internet. ZoneAlarm se ha convertido por meritos propios en el cortafuegos para Windows más popular, por su eficacia y su facilidad de manejo. Espero que con la ayuda de esta guía la utilización de este programa te resulte un poco más sencilla.

Por si no he conseguido mi objetivo aquí tienes otras guías y tutoriales sobre ZoneAlarm:

No te lo piense más... pasa por la sección de "Software - Internet - Seguridad" y descarga ZoneAlarm. Lo instalas, lo configuras y podrás vivir tranquilo sin miedo a una intrusión que te "limpie" el contenido de tu ordenador. Internet está lleno de usuarios con intenciones poco amistosas...

Tened cuidado ahí fuera (como dijo alguien sabio).

Elisoft © 07-10-2001


¿Has encontrado este documento interesante?... entonces tal vez quieras hacer una donación en agradecimiento.
¿Quieres tener una copia de este documento en los formatos MS-Word y PDF?... pues pasa por la página de descarga.




La Web de ELISOFT
Copyright © Elisoft - Septiembre 2000


(C)2.000-2.012 Rafael San José Tovar (trabajando en SEUR Sevilla)