Estar conectado a Internet se está volviendo cada día más
"peligroso". La cantidad de troyanos que se mueve por la red es
inmensa. Los "padres" de estas "criaturas" buscan a sus vástagos
de forma casi continua escaneando los puertos de las máquinas que se encuentran
conectadas a Internet. El software "gratuito" patrocinado por
publicidad se está haciendo cada vez más popular. Se cuentan por cientos los
programas de uso cotidiano (sobre todo utilidades para Internet) que incluyen
"spyware" o "adware". Y para terminar de arreglarlo, en los
sistemas operativos mayoritariamente implantados (léase Windows 9.x) no paran
de detectarse fallos de seguridad que dejan "toda" la información de
nuestro ordenador a disposición del que tenga unos conocimientos mínimos sobre
redes.
La situación es realmente preocupante, y requiere que se tome muy en serio.
Afortunadamente existen utilidades que nos ayudan a mantener nuestro sistema a
salvo. Se trata de los "firewall" o "cortafuegos" por
software, una solución sencilla y barata para proteger un pequeño sistema.
De entre los cortafuegos para Windows que se pueden encontrar en Internet el
que está causando furor es "ZoneAlarm", de una compañía llamada
"ZoneLabs".
Su sencillez de manejo y su tremenda eficacia lo colocan a la cabeza de este
tipo de protecciones.
ZoneLabs produce dos versiones de este programa. Una versión gratuita para
uso personal, "ZoneAlarm", perfectamente valida para proteger un
ordenador doméstico. Y una versión algo más completa, "ZoneAlarm Pro",
que básicamente proporciona un poco más de control sobre la configuración del
programa.
Me ha parecido más interesante escribir una guía para "ZoneAlarm
Pro" porque el número de opciones de configuración es mayor. De esta
forma lo que cuente sobre él será aplicable a su hermano pequeño,
"ZoneAlarm Free".
Concretamente esta guía trata sobre "ZoneAlarm Pro v2.6.362". No
confundir con la versión gratuita
"ZoneAlarm v2.6.362".
Antes de nada creo que es conveniente conocer unos pocos conceptos básicos
relacionados con el funcionamiento de Internet. Esto nos ayudará a entender
qué es lo que está haciendo el cortafuegos y qué demonios es lo que nos está
diciendo con sus alertas.
Hace tiempo encontré un documento sobre este tema, muy corto, pero
tremendamente aclaratorio. El autor utilizaba un edificio y sus ocupantes como símil
para explicar la forma en que se transmite la información en Internet. El texto original estaba en inglés
y no he sido capaz de encontrarlo, pero intentaré hacer un pequeño resumen...
Un protocolo es un conjunto de normas que deben tener en cuenta los equipos a
la hora de comunicarse. Por ejemplo, al usar el teléfono debemos primero
descolgar, esperar tono, marcar, ... de forma análoga un ordenador debe de
seguir unos pasos antes y durante la comunicación.
Se trata de un conjunto de protocolos que permiten la comunicación a través
de una red como Internet. Su implementación práctica se suele llamar "pila
TCP/IP". De todos los protocolos que componen esta "pila", dos
son quizás los más importantes, el protocolo IP y el protocolo TCP, aunque
hay que decir que por si solos no bastarían para el correcto funcionamiento
de Internet.
Este protocolo es el que nos permite localizar un ordenador dentro de la red
(es lo que se conoce como un protocolo de rutado). Al conectarse a Internet, a
cada ordenador se le asigna un número único, dirección IP, que lo
identifica y lo distingue de todos los demás. Este número es una cadena de 32
bits, aunque suele representarse en formato cuaterna (cuatro número decimales
entre 0 y 255 separados por un punto), de modo que se vería algo así
como; xxx.xxx.xxx.xxx. Si imaginamos Internet como una gran ciudad, nuestro
ordenador seria un bloque de pisos, y este número sería el equivalente de la
dirección del edificio, de modo que gracias a él lo distinguiríamos de los demás.
Este protocolo está orientado a conexión, eso quiere decir que es el que se
encarga de negociar una conexión antes de empezar a transmitir. Como en el caso
del teléfono; primero llamamos, cuando descuelgan se establece la conexión,
entonces empezamos a hablar, o sea transmitir. Este protocolo define una serie
de "puertos" por los cuales un ordenador puede transmitir y recibir
datos.
Un puerto es una asignación lógica que reserva un "canal" para
comunicar dos aplicaciones ¿...?.
Vamos a ver si aclaramos esto. Para entendernos debemos imaginar nuestro
ordenador como un edificio de la gran cuidad que es Internet, y un programa como
un habitante de nuestro bloque de pisos. Este quiere enviar un paquete a otro
habitante de otro bloque, es decir, otro programa de otro ordenador. Para que
esto sea posible será necesario que en el paquete ponga la dirección del
edificio (dirección IP) y el piso (puerto) donde vive el receptor del paquete,
y la dirección del edificio (dirección IP) y el piso (puerto) de quien lo envía.
De este modo el cartero (pila TCP/IP) sabe dónde lo tiene que llevar, y el
receptor puede informar al emisor de que el paquete ya ha llegado. Así es, más
o menos, como funciona la comunicación entre dos ordenadores. La información
sale en forma de paquetes (bloques de datos), y sus cabeceras contienen esos
datos de IP:PUERTO del emisor y el receptor.
Esta es la forma genérica de referirse a cualquier transferencia de datos a
través de una conexión. Cuando una aplicación envía o recibe datos a/de
Internet se dice que está "generando tráfico". Siguiendo con el
ejemplo de la ciudad (Internet) y el edificio (dirección IP), podríamos
equiparar "el tráfico" de datos al tráfico que originarían los carteros
(pila TCP/IP) por las calles para llevar los paquetes (bloques de datos) de un
sitio a otro.
Teníamos que nuestro ordenador es un bloque de pisos
identificado por su dirección (IP), y que en ese bloque tenemos varias casas
(programas) identificadas por su número de puerta (puerto). ¿Cómo encaja en
esta estructura un cortafuegos?.
Bien, podemos imaginar que el cortafuegos es el portero del
bloque. Este portero está vigilando continuamente quién sale y quién entra
del edificio, para ello pregunta a todo el mundo de dónde viene y a dónde va.
Es decir, mira las cabeceras de todos los paquetes que entran y salen de nuestro
ordenador, comprobando su dirección IP y puerto de origen, y su dirección IP y
puerto destino.
Este portero es realmente eficaz. Le podemos decir que
cuando el cartero traiga un envío de tal dirección no le deje pasar. Si el
envío es de esa otra dirección que lo deje pasar, pero solo si es de la puerta
25 del otro edificio y es para el vecino de la puerta 1031 de nuestro bloque. O que no admita nada que no sea una respuesta a algo que hemos
pedido previamente. Y así vamos definiendo las "reglas" mediante las
cuales el cortafuegos controlará qué tráfico entra y sale de nuestro PC...
realmente sencillo.
Además de este servicio de "filtro de paquetes"
que nos presta nuestro "portero", los cortafuegos actuales suelen
incorporar algunas opciones más. Por ejemplo, le podríamos dar a nuestro
portero la foto de alguien (la identificación de un troyano) y decirle que si
lo ve aparecer por el portal del edificio (entrando o saliendo) no le deje
moverse del sitio y nos avise. Otras veces los niños que juegan en la calle llaman a
todas las puertas para ver quien está en casa (un escáner de puertos). En este
caso podemos desviar los timbres para que sea el portero el que compruebe si el
que llama es alguien serio o está jugando.
Creo que la explicación sobre los cortafuegos de "filtrado
de paquetes" define perfectamente lo que hace ZoneAlarm. Basándose en
ese sencillo principio ZoneAlarm realiza las
siguientes funciones...
ZoneAlarm controla todos los programas que intentan conectarse a Internet
desde nuestro equipo. Esto permite detectar fácilmente troyanos y spyware.
Cuando un programa intenta conectarse a Internet aparece una ventana en la que
se nos pregunta si queremos dejar que esta aplicación "salga" de
nuestro ordenador. Podemos autorizar la conexión de forma temporal o
permanente. Esto posibilita la detección de troyanos y spyware.
De igual forma, se pedirá nuestra confirmación cuando un programa pretenda
abrir una conexión para prestar un servicio. Esto posibilita la detección de
troyanos.
Si descargamos correo electrónico mientras ZoneAlarm está funcionando, este
interceptará los mensajes descargados y renombrará los archivos adjuntos. De
esta forma se evita que determinados tipos de archivo se ejecuten
automáticamente, o los ejecutemos manualmente sin fijarnos en lo que hacemos.
ZoneLabs ha supuesto que nuestro ordenador puede estar conectado a una red de
área local, y que simultáneamente puede tener una conexión a Internet. Es
posible configurar niveles de protección diferentes para cada una de estas
conexiones, de forma que se puedan seguir compartiendo archivos e impresoras en
nuestra red de área local sin que sean "visibles" desde Internet.
La instalación de ZoneAlarm Pro no tiene nada de particular. Una vez
descargado el instalador se inicia y aparecerán unas ventanas que nos guiarán
durante todo el proceso.
Los requisitos del programa tampoco son especialmente restrictivos...
Windows 95 (original con WinSock 2 o versión OSR2)
Windows 98 (original, con SP1, y SE)
Windows ME
Windows NT 4.0 (con SP3, SP4, SP5 o SP6)
Windows 2000 (original, con SP1 o SP2)
Windows XP
Procesador 80386 o superior (486 recomendado)
8 Mb de RAM
Aproximadamente 3 Mb de espacio en disco
Una conexión de tipo TCP/IP (Ethernet LAN, DSL, cable-módem o acceso telefónico)
Como parte del proceso de instalación se nos pedirá algo de información...
Nombre
Organización o Empresa
Dirección de correo (que ZoneLabs utilizará para notificarnos la
disponibilidad de nuevas versiones si así lo elegimos)
A continuación se nos pedirá la carpeta de nuestro sistema en la que
queremos instalar el programa.
...
Aquí quiero hacer un pequeño paréntesis. Como otros muchos programas
ZoneAlarm copia sus archivos principales en la carpeta elegida para la
instalación y unas cuantas
librerías en la carpeta SYSTEM. También se copian parte de las librerías (las
correspondientes a los servicios de monitorización) en una carpeta de nombre
"ZoneLabs" dentro de SYSTEM. Además de esa carpeta se crea otra
dentro de WINDOWS con el nombre "Internet Logs" en la que se guardan
un par de archivos que nos pueden resultar interesantes. Se trata del archivo en
el que se almacena la lista de autorizaciones de programas (IAMDB.RDB) y el
archivo en el que se registra la actividad de ZoneAlarm, el famoso archivo LOG (ZALog.txt).
Como me gusta tener cada cosa en su sitio he querido mover la carpeta "Internet Logs"
dentro de la carpeta de instalación de ZoneAlarm (en mi caso
"X:\ZoneAlarm"). Para ello he editado el registro de Windows
(ejecutando REGEDIT.EXE) y he localizado unas claves en las que se guarda la
ruta a esta carpeta...
HKEY_LOCAL_MACHINE
Software
Zone Labs
MiniLog
valor: Directory
HKEY_LOCAL_MACHINE
Software
Zone Labs
TrueVector
LocalStoreDir
valor: (Predeterminado)
HKEY_LOCAL_MACHINE
Software
Zone Labs
TrueVector
LogStoreDir
valor: (Predeterminado)
He cambiado el valor original (C:\WINDOWS\Internet Logs\) por el que yo
quería poner (X:\ZoneAlarm\Internet Logs\). He movido la carpeta "Internet
Logs" de su ubicación original a la nueva ubicación, he arrancado el
programa... y ha funcionar.
...
Al continuar con el proceso de instalación se nos pide confirmación para que
nuestro navegador predeterminado sea autorizado a "salir" a Internet.
Lo más recomendable es contestar "Yes" a esta pregunta. Si luego
cambias de idea podrás modificar el permiso para este programa desde el panel de control de
ZoneAlarm.
Para terminar se nos solicitarán unos cuantos datos estadísticos a los que
podemos contestar, si queremos.
Llegado este punto comienza la instalación de los archivos del programa.
Cuando termina el proceso aparece una pequeña ventana que nos informa de que el
proceso ha terminado, y que nos pregunta si queremos iniciar "ZoneAlarm
Pro". Si quieres modificar la ubicación de la carpeta "Internet
Logs" pulsa sobre "No" y haz los cambios que he descrito
anteriormente, en otro caso pulsa directamente sobre "Yes".
La primera vez que arranques "ZoneAlarm" aparecerá una ventana en
la que se te pide el número de registro. Si eres un usuario registrado, y tienes
el número de serie, introdúcelo y pulsa sobre el botón "GO". Si
quieres probar el programa durante 30 días pulsa sobre el botón "Try
Now".
A continuación aparecerá una ventana de tipo asistente que en siete
sencillos pasos te
describirá los puntos principales del manejo y configuración de ZoneAlarm. Con
esto debería ser suficiente para entender lo básico sobre el programa... pero
parece que no es así.
Un detalle sobre el registro...
Si quieres iniciar el proceso de registro desde el principio, como si
acabaras de instalar el programa, sigue estos pasos:
Cierra el programa con la opción "Shutdown" que aparece en el
menú de contexto al pulsar con el botón secundario sobre el icono de
ZoneAlarm de la barra de estado.
Localiza el archivo "zllictbl.dat" en la carpeta
"SYSTEM" y bórralo.
Reinicia ZoneAlarm desde la opción correspondiente del menú
"Inicio".
Si necesitas desinstalar ZoneAlarm sin dejar ni rastro de su existencia hazlo
de esta manera...
Desinstala el programa con la opción correspondiente del menú de
programas o del asistente para "Agregar o quitar programas". Si es
necesario reinicia el sistema.
Localiza la carpeta donde estaba instalado ZoneAlarm y bórrala con lo que
pueda contener.
Localiza la carpeta "ZoneLabs" dentro de la carpeta
"SYSTEM" y elimínala.
Localiza la carpeta "Internet Logs" dentro de la carpeta
"WINDOWS" y elimínala. Si la has movido siguiendo mi
consejo estará dentro de la carpeta de instalación de ZoneAlarm.
Localiza los siguientes archivos en la carpeta "SYSTEM" y elimínalos:
vspubapi.dll, vsmonapi.dll, vsdatant.sys, vsdata.dll, vsnetutils.dll, vsutil.dll,
vsdata95.vxd, zllictbl.dat (en este último archivo se guarda el número de
registro).
Abre el registro de Windows (ejecuta REGEDIT.EXE), localiza las siguientes
claves y elimínalas:
HKEY_CURRENT_USER\Software\Zone Labs
HKEY_LOCAL_MACHINE\Software\Zone Labs
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VSDATA95
Esta última clave hace referencia al archivo "vsdata95.vxd" y
puede ser la causa de una pantalla de error en el primer arranque después
de la desinstalación del programa.
Si el desinstalador ha podido hacer bien su trabajo no deberías encontrar
nada de esto, pero me he encontrado con algunos sistemas en los que quedaban
rastros después de hacer una desinstalación aparentemente correcta.
Se supone que ya tienes instalado y registrado correctamente el programa.
Cuando se está ejecutando aparece un icono en la barra de estado, junto al
reloj...
Pulsando dos veces sobre este icono, o seleccionando la opción "Restore
ZoneAlarm Pro Control Center" se abre la ventana principal del programa...
Estos botones hacen que se despliegue toda la ventana del
panel de control para poder ver y configurar las opciones principales...
Este indicador muestra el tráfico de datos que está monitorizando
ZoneAlarm. Las barras verdes indican tráfico de entrada y las rojas de salida.
La dos barras de la parte superior indican el tráfico instantáneo y las dos de
la parte inferior un histórico de los últimos segundos.
El candado es un indicador/pulsador. Señala el estado de
bloqueo/desbloqueo de tráfico con el exterior. Un candado abierto ("Unlocked" escrito en verde) indican que el tráfico está permitido.
Cuando el candado aparece cerrado ("Locked" escrito en rojo) indica
que el tráfico está restringido sólo a las aplicaciones que tengan marcada la
casilla "Pass Lock".
Con este botón se bloquea instantáneamente el acceso al
exterior de todas las aplicaciones, incluidas las que tienen marcada la casilla
"Pass Lock". Nada podrá entrar o salir del sistema mientras el botón
"Stop" permanezca pulsado.
En este espacio se muestran los iconos de las aplicaciones que
actualmente están haciendo uso de la conexión con el exterior. Cuando un icono
parpadea indica que esa aplicación está recibiendo o enviando datos en ese
momento. Si el icono de la aplicación tiene una pequeña mano debajo indica que
está actuando como servidor.
Este es el botón para ver la ayuda del programa. No entiendo
por qué los fabricantes de software siguen empeñándose en malgastar recursos añadiendo
estas cosas... si luego nadie las utiliza.
...
Otro sitio desde el que se puede controlar el funcionamiento de
ZoneAlarm es desde una barra de botones que se puede hacer aparecer en la barra
de tareas del sistema. Pulsa con el botón secundario sobre la barra de tareas y
selecciona "Barra de herramientas > ZoneAlarm Pro Desk Band". Los
botones son equivalentes a los del panel de control.
Realmente no es necesario tocar muchas cosas para que ZoneAlarm funcione
correctamente. Las opciones predeterminadas son perfectas para conseguir una
protección muy efectiva sin complicarnos la vida. De todas formas pasaremos por
cada una de las pantallas comentando lo que tenga de especial.
En esta ventana se muestran las alertas ocurridas durante la sesión, y el
total de bytes recibidos y transmitidos. Desde aquí también se puede ver el
archivo LOG.
Lo único que deberías cambiar es la opción
"Show the alert popup window". De forma predeterminada está marcada,
lo que ocasionará que cada vez que el cortafuegos detecte algo anormal muestre
una ventana de información de este tipo...
Al principio todos cometemos el mismo error y dejamos esta marca activada. Al
poco de estar conectados a Internet las ventanas de alerta empiezan a aparecer,
y alguna veces salen a tal velocidad que hacen imposible dedicarse a otra cosa
que no sea cerrarlas. Deja la marca desactivada, esto no impide que ZoneAlarm
haga su trabajo, pero impide que las alertas te vuelvan loco.
Cuando las alertas están desactivadas sigues teniendo información de que
"algo" está ocurriendo si miras el icono de la barra de estado.
Cuando no ha sucedido nada, o cuando has visto las alertas desde el panel de
control (se supone que te has dado por enterado), el icono tiene este aspecto...
En cuanto se produce una alerta que ZoneAlarm ha gestionado, pero que no te
ha mostrado, el icono cambia de aspecto...
Si pulsas sobre el botón "Avanced" aparecerá una ventana desde la
que podrás configurar todo lo relacionados con las alertas.
En el bloque "IP address display", marca "Hide last octet
of local IP address". De esta forma tu IP no será enviada a ZoneLabs
cuando pidas más información sobre una alerta concreta.
En el bloque "Notification pop-up" ,marca "Show me these pop-ups". De esta forma aparecerá una aviso cuando pidas información
ampliada sobre una alerta a ZoneLabs.
Pestaña "Suppress alerts"
Pulsa el botón "Restore To Default" y no te compliques la vida.
Si quieres que ZoneAlarm registre absolutamente todo en el archivo LOG pulsa
el botón "Check All", pero entonces recibirás todavía más
alertas como no desactives la notificación automática.
Pestaña "Log file"
En el bloque "Archive log", marca cualquier casilla que no sea
"Never". De esa forma se guardarán los registros de los días
pasados para que puedas consultarlos en un momento dado. Una buena opción
podría ser "Weekly" (semanalmente).
Desde esta ventana puedes activar un curioso mecanismo de auto-bloqueo que
"cerrará" la puerta de tu sistema (para entrar y para salir).
Cuando el mecanismo de bloqueo automático está "Enable" (habilitado) puedes
elegir que se realice pasado un cierto tiempo de inactvidad del ordenador o cuando
se active el
salvapantallas. También puedes elegir el tipo de bloqueo que será activado.
Si decides activar este sistema de auto-bloqueo debes tener la precaución de
marcar la casilla "Pass Lock" de los programas
que quieres que sigan teniendo acceso al exterior cuando ZoneAlarm active el
mecanismo. Imagina que dejas tu ordenador descargando cosas toda la noche con
este sistema activado. Cuando ZoneAlarm active el auto-bloqueo la descarga se
interrumpirá si el programa que estás usando para descargar no está
autorizado a pasar bajo la verja (casilla "Pass Lock").
Nota: El mecanismo de bloque/protección de ZoneAlarm tiene dos
niveles. En el nivel más bajo sólo las aplicaciones que tengan marcada
la casilla "Pass Lock" podrán seguir conectando con Internet.
En el nivel más restrictivo "nada" se conecta con Internet.
Si quieres que se registre en el archivo LOG cuándo se ha denegado el acceso
a Internet a una aplicación por estar activado el bloqueo, marca la casilla
"Show alert when Internet access is denied". Recuerda que si has
elegido "ver todas las alertas" esto ocasionará una ventana de
aviso
más.
En esta ventana se selecciona el nivel de protección que se aplicará a cada
una de las dos zonas que ZoneAlarm es capaz de gestionar (zona de red Local y
zona de Internet). También se activa la protección MailSafe que renombra
automáticamente los archivos adjuntos a los mensajes de correo.
La configuración predeterminada (nivel medio en Local y alto en Internet) es
perfecta para el 99% de los casos. No parece muy recomendable el nivel
"Low" (bajo) porque deja tu sistema casi igual que si no tuvieras el
cortafuegos instalado.
Desde cada botón "Customize", o desde el botón
"Advanced" de esta ventana, podrás configurar todos los detalles
concernientes a los niveles de seguridad. Mi consejo es que dejes los valores
predeterminados en todas las pestañas. La única excepción puede ser la
pestaña "Local Zone Contents", sobre todo en el caso de que te conectes por cable-módem
o ADSL. La primera vez que inicies ZoneAlarm después de su instalación
puede que aparezca una venta de alerta de este tipo...
Deberías contestar "No" a esta pregunta, y la razón
es sencilla. Esta alerta aparece porque ZoneAlarm ha detectado en el sistema una configuración de red como
consecuencia de tener instalado el "Acceso Telefónico a Redes" o la tarjeta de red que habitualmente se usa para conectar con el router o
el cable-módem. En apariencia esto podría ser una red de área local
gestionable desde la zona "Local", pero realmente no lo es. Si
contestas "Yes" a esta pregunta estarás considerando todas las
direcciones IP de esa subred como parte de tu "Zona Local" cuando realmente son
máquina que se conectan a Internet desde tu mismo ISP.
Puedes modificar esta selección desde la pestaña "Local
Zone Contents" de la ventana "Avanced Security Properties" que
aparece al pulsar sobre el botón "Advanced" de la opción principal
del programa "Security".
Desde aquí también se puede solucionar un problema típico del que tiene
una pequeña red montada en casa... ¡¡ desde que he instalado ZoneAlarm no
consigo que los ordenadores se vean !!. Eso pasa porque no forman parte de
la "Zona Local". Añadiendo sus direcciones IP individualmente, en forma
de rango o de subred se soluciona el problema.
...
Te recomiendo que dejes activada la protección de e-mail. ZoneAlarm renombrará
los archivos adjuntos a los correos que recibas con una extensión propia que
impedirá la asociación automática del archivo con su aplicación. Desde el
botón "Configure" puedes elegir que tipos de archivo que serán
controlados por ZoneAlarm.
Es una buena solución para evitar los script que se auto-ejecutan, y siempre te dará un toque de atención cuando intentes iniciar un
programa que te ha llegado por correo (pasa el antivirus)...
Aquí está la famosa lista de autorizaciones de aplicaciones. Cuando
ZoneAlarm detecta que "algo" quiere conectar con el exterior lo registra en
esta lista.
En cada programa se puede configurar si se le permite el acceso a Internet y/o
a la red local. Si se permite que el programa preste un servicio. Y si el
programa está autorizado a conectar con el exterior cuando ZoneAlarm este
funcionando en modo "bloqueado" (casilla
"Pass Lock").
Las selecciones más importantes se pueden hacer directamente pulsando sobre
las casillas que aparecen a la derecha del nombre del programa. Si pulsas el
botón secundario sobre la línea de cada aplicación aparecerá un menú de
contexto en el que podrás hacer esa y otras selecciones. También puedes
acceder a una ventana de configuración detallada (selección de puertos)
pulsando sobre el botón "Options" de cada programa.
No te recomiendo que marques las opción "Changes Frequently" o
"Identify program by full path name only". Esto desactiva un mecanismo
que puede ayudar a ZoneAlarm a detecta virus y troyanos.
Nota: De forma predeterminada ZoneAlarm identifica los programas
con una combinación de valores (la ruta hasta el ejecutable,
la versión y un checksum del archivo). Si algo de esto cambia, ZoneAlarm
pedirá nuevamente permiso para dejar conectarse a ese programa. Esto
puede suceder porque has actualizado el programa, porque se ha contaminado
con un virus o porque un troyano se está intentando hacer pasar por quien
no es... mucho cuidado con este detalle.
Desde esta ultima ventana se seleccionan cosas como que el cortafuegos se
inicie en el arranque del sistema o que busque automáticamente actualizaciones.
También se pueden modificar y enviar los datos de registro. Y se puede proteger
la configuración con una contraseña.
Creo que esta ventana no requiere aclaraciones adicionales. Puede que lo
único digno de mención sea el apartado "Password".
Cuando se ha establecido una contraseña no será permitida la modificación
ninguna opción importante hasta que el usuario se identifique adecuadamente. No
se podrá cerrar el cortafuegos (opción "Shutdown" del menú de
contexto). Y tampoco se podrá desinstalar ZoneAlarm. En versiones anteriores poner clave impedía que ciertos programas de dudosas intenciones descargaran
automáticamente el cortafuegos para que este no detectase sus actividades. Este
fallo ya ha sido corregido, pero si utilizas software que tenga por costumbre
desactivar tu sistema de protección puede que te interese lo de poner una clave
a ZoneAlarm.
...
Si eres de los afortunados que cuentan con conexión permemente a Internet
(ADSL o cable-módem) deberías dejar marcada la casilla "Load ZoneAlarm
Pro at startup" para que se cargue el cortafuegos nada más arrancar el
sistema.
Cuando configuramos ZoneAlarm para que se inicie al arrancar el sistema, se
crea lo siguente...
Un acceso directo al programa en la carpeta...
WINDOWS\All Users\Menú Inicio\Programas\Inicio
La clave "minilog" en la rama del registro...
HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrenVersion\RunServices
La clave "TrueVector" en la rama del registro...
HKEY_LOCAL_MACHINE\Software\Microsft\Windows\CurrenVersion\RunServices
No quites nada de esto si quires que ZonaAlarm se inicie correctamente.
Bien. Si has llegado hasta aquí es que el tema te interesa realmente. Y si
has hecho todo lo que te he propuesto no deberías preocuparte demasiado por las
alertas, porque no verás nada más que las justas. De todas formas no está de
más conocer lo que indican y que se debe hacer con ellas.
Por cierto, las alertas son esas ventanas emergentes en forma de globo... por
si todavía no te habías dado cuenta.
¿Qué es una alerta?
Parece de cajón, pero este concepto siempre se entiende mal. Una alerta es
la notificación de un bloqueo realizado por ZoneAlarm como consecuencia de
haber aplicado las reglas de filtrado definidas... no te pregunta lo que debe
hacer, sólo te dice lo que ha hecho.
¿Son igual de importantes todas las alertas?
No. ZoneAlarm genera dos tipos de alerta. La alerta "Urgente" (de
color rojo) originada por el bloqueo de un tráfico potencialmente peligroso, posiblemente generado con intenciones poco amistosas.
Y la alerta de "Advertencia" (de color
naranja), que indica un tráfico bloqueado por pura precaución, pero que no
encerraba un peligro inminente.
¿Son alertas todas las ventanas emergentes que aparecen?
Estrictamente hablando, no. Las alertas como tal son las descritas en el
punto anterior. El resto de ventanas emergentes son ayudas para que ZoneAlarm
defina las reglas de filtrado.
¿Puedo volver a ver una alerta que ya he cerrado?
Puedes ver las alertas de la sesión en curso desde el panel de control de ZoneAlarm
pulsando sobre el botón "Alerts".
Puedes ver las alertas de otros días examinando los archivos LOG (son archivos
de texto) que se guardan automáticamente en la carpeta "Internet
Logs".
...
Aclarado el tema de las alertas (espero) veamos los tipos de ventana
emergente que pueden aparecer...
Posiblemente generada por un tráfico no deseable de la red local, o por una
confirmación de presencia de un servidor de Internet (un ping).
NEW NETWORK (Configuración automática de Zona Local)
Normalmente se genera en el primer arranque de ZoneAlarm. Si no
tenemos una red de área local, y nos
conectamos a Internet por ADLS o cable-módem (tenemos instalada una tarjeta de
red), lo más aconsejable es responder
"No" a esta pregunta para evitar que se incluyan en la "Zona Local" las
direcciones IP de otros usuarios de nuestro mismo ISP.
Aparece la primera vez que una aplicación intenta acceder al exterior. Si el
programa en cuestión es de nuestra confianza, y no queremos ser molestados
nuevamente con este aviso, podemos marcar la casilla "Remember this
answer...". De esta forma se autoriza el acceso del programa a Internet de
forma permanente.
Sólo aparecerá en los sucesivos intentos de acceso al exterior de un
programa al que previamente no hemos autorizado de forma permanente marcando la
casilla "Remember this answer...".
Aparece cuando un programa intenta abrir un puerto para prestar un servicio
que podría ser accesible desde el exterior. Muchos programas utilizan esta
técnica de forma legitima para realizar su cometido, por ejemplo los filtros de
publicidad, los antivirus on-line, o los clientes FTP. La autorización
dependerá de la evaluación por parte del usuario de si el programa en cuestión es "algo"
que necesite funcionar como servidor.
He comentado en la descripción de la opción "PROGRAMS"
que ZoneAlarm
identifica los programas que acceden a Internet con una especie de "firma
digital". Esta alerta aparece si esa firma cambia. En ese caso ZoneAlarm
pedirá nuevamente permiso para dejar acceder a Internet a ese programa. Esto
puede suceder porque has actualizado el programa, porque se ha contaminado
con un virus o porque un troyano se está intentando hacer pasar por quien
no es... mucho cuidado con este detalle.
ZoneAlarm registra automáticamente toda actividad que genere una alerta
(de cualquier tipo) en un archivo de texto que guarda en la carpeta "Internet
Logs". Este archivo puede ser muy interesante para analizar que ha
estado pasando durante una conexión. Para eso deberíamos conocer "el
lenguaje" en el que está escrito...
El archivo siempre comienza con un par de líneas que identifican las
versiones de ZoneAlarm y del sistema operativo que utilizamos.
A continuación aparece una línea de cabecera que identifica los campos de
información
del registro propiamente dicho.
Seguido a esto comienzan a registrarse las alertas que se hayan generado,
ordenadas por fecha y hora.
Cada línea de registro está compuesta por la siguiente información...
A continuación del indicador de transporte (protocolo TCP/UDP/ICMP/IGMP)
puede aparecer un código con datos ampliatorios. Entre la ayuda del programa
y los RFCs he recopilado esta información...
TCP
S
SYN
El indicador SYN ('Synchronize') sólo se envía en el primer paquete
al iniciar una conexión TCP. Su aparición representa un intento de
establecer una conexión más que una respuesta en una conexión
establecida.
F
FIN
El indicador FIN representa un intento de terminar una
conexión.
R
RESET
El indicador RST se usa para reiniciar la conexión.
P
PUSH
El indicador PSH hace significativo el campo
"Entregar datos inmediatamente" del datagrama que lo
contiene.
A
ACK
El indicador ACK ('Acknowledged') hace significativo el
campo "Número de acuse de recibo" del datagrama que lo
contiene. Se usa para dar acuse de recibo de los últimos datos del
emisor.
U
URGENT
El indicador URG hace significativo el campo "Puntero
urgente" del datagrama que lo contiene.
4
low-order unused bit
s/c
8
high-order unused bit
s/c
ICMP
Típicamente, los mensajes ICMP (Protocolo
de Mensajes de Control Internet) informan de errores en el
procesamiento de datagramas (paquetes de datos). La descripción
detallada de estos mensajes se encuentra en el RFC-792.
El cortafuegos puede bloquear estos mensajes porque los considere
tráfico superfluo o no correspondiente a nuestras comunicaciones (una
"trampa" para usarnos como pasarela del ataque a un
tercero), o porque pueden suponer un ataque directo por saturación
(denegación de servicio).
0
Echo Reply
Respuesta de Eco.
Se recibe como respuesta a un mensaje ICMP-8. Los campos de cabecera
del mensaje permiten emparejar la solicitud y la respuesta.
3
Destination Unreachable
Destino Inaccesible.
Puede ser causado por ser inaccesible una red, un máquina, un
protocolo, un puerto, por tener que fragmentar un paquete que se
había solicitado no fragmentar o por un fallo en la ruta.
4
Source Quench
Disminución del Tráfico desde el Origen (DTO).
El DTO es una petición al remitente de un paquete para que reduzca el
ritmo al que envía tráfico al destinatario.
5
Redirect
Redirección.
Un mensaje de redirección recomienda a un remitente que dirija el tráfico
destinado a la red X por un camino alternativo, supuestamente más
corto, hacia el destinatario.
8
Echo Request
Solicitud de Eco.
Los datos recibidos en el mensaje de eco deben ser devueltos en el
mensaje de respuesta de eco (ICMP-0).
9
Router Advertisement
s/c
10
Router Solicitation
s/c
11
Time Exceeded
Tiempo Superado.
Se origina cuando el campo TTL (tiempo de vida) de un paquete ha
llegado a cero, o cuando un servidor de Internet no ha podido
reensamblar un datagrama en el tiempo límite debido a fragmentos
perdidos.
12
Parameter Problem
Problema de Parámetros.
Notificación de que un error en los datos de la cabecera de un
paquete hacen imposible su procesamiento.
13
Timestamp Request
Solicitud de Marca de Tiempo.
La marca de tiempo es un entero de 32 bits que indica los milisegundos
transcurridos desde la medianoche UT. El mensaje contiene una
referencia al instante en el cual fue manipulado por última vez
por el emisor antes de enviarlo.
14
Timestamp Reply
Respuesta de Marca de Tiempo.
La marca de tiempo es un entero de 32 bits que indica los milisegundos
transcurridos desde la medianoche UT. El mensaje debe contener las
referencias del instante en el cual el destinatario lo recibe y del
momento en el cual el destinatario lo manipula por última vez antes
de enviarlo.
15
Information Request
Solicitud de Información.
Este mensaje solicita a su receptor que informe del número de la red
en la que se encuentra.
16
Information Reply
Respuesta de Información.
Este mensaje informa al solicitante del número de la red en la que se
encuentra el remitente.
Cuando un programa resulta ser bueno en su terreno no tardan en aparecer
complementos que llenan los huecos que el fabricante original no ha llenado
del todo. Parece que ZoneAlarm es un gran programa en el apartado de
cortafuegos, pero tiene un par de puntos mejorables (no diré que débiles).
...
Si has leído el punto que trata sobre el archivo
LOG te habrás dado cuenta de lo complicado que es sacar algo en claro de
esos archivos. Son engorrosos y difíciles de leer e interpretar.
Para solucionar este contratiempo contamos con "ZoneLog
Analyser". Estupendo complemento para ZoneAlarm (Pro y Free) que analiza
su archivo de registro de actividad (el LOG) mostrando información muy
detallada de todo lo registrado. Colorea las líneas señalando los distintos
tipos de actividad registrada. Identifica ataques típicos. Hace traducciones
'Whois' y 'DNS'. Crea automáticamente un e-mail de notificación para el ISP
del atacante. En resumen... una maravilla.
El otro detalle "mejorable" es el del idioma. De momento ZoneLabs
no se ha decidido ha sacar una versión con soporte multi-idioma. El no contar
con documentación en castellano ha sido la causa de haber escrito esta guía/tutorial.
El tema de tener el programa en castellano ya está resuelto.
En 'La Web de (lo) Hispánico'
puedes encontrar un parche de traducción al castellano para cada versión de
ZoneAlarm (Pro y Free).
Nota: Usando los archivos traducidos de 'La Web de (lo) Hipánico'
he preparado mi propia versión del instalador de la traducción para
ZoneAlarm Pro. Esta instalación es un poco más cuidadosa, y un poco más
automática que la original. Permite alternar entre el idioma original y
la traducción. Y se puede desinstalar dejando todo en su estado
original.
El rumor de que ZoneAlarm contiene "spyware" está comenzado a
difundirse en varios grupos de noticias. He intentado verificar la existencia
de "algo" que se pueda considerar "spyware" en el funcionamiento
de este cortafuegos... y no he sido capaz.
Posiblemente, este rumor ha sido originado por usuarios que no tiene muy
claro lo que es el "spyware", y que no han entendido la advertencia
que hace el propio ZoneAlarm sobre el envío de cierta información a su
central en Internet.
En pocas palabras, es software que envía a determinados servidores de
Internet información acerca de los hábitos del usuario durante sus
conexiones a Internet. El propósito es el de realizar estudios estadísticos
que permitan dirigirnos publicidad personalizada. La palabra clave es
"publicidad".
Buena parte de los programas gratuitos se financian con publicidad que
aparece en forma de banner mientras los utilizamos. El software
"spyware" se incluye en estos programas "gratuitos", y
envía al publicista información que le permite crear un perfil de usuario en
función del tipo de uso que hacemos de nuestro ordenador. La información
enviada puede ser mínima (utilizaciones del programa en cuestión) o
tremendamente extensa (software instalado, tiempo de conexión, páginas
visitadas, dirección de correo, etc.). Teóricamente, cuanto más preciso sea
ese perfil de usuario, más precisa será la elección del publicista del tipo
de anuncios que nos pueden interesar.
La idea no es mala, pero la forma de llevarla a la práctica es lo que no
ha gustado nada a los usuarios de Internet. Esto programas
"gratuitos" no suelen advertir de que incluyen "cierto
software" que obtendrá datos sobre nuestros hábitos. Tampoco suelen
informar de "qué datos recopilan", ni "a qué lugar de
Internet se envían". Eso se considera atentar contra la privacidad. Eso
es "spyware".
Durante el proceso de instalación se nos solicitan unos pocos datos sobre
nuestro sistema y nuestra empresa (número de ordenadores, número de
trabajadores, etc.). Supongo que para elaborar alguna estadística. Además se
nos solicita la típica información de registro (nombre, organización y
dirección de correo).
El instalador advierte que esta información será enviada a Internet (al
servidor central de ZoneLabs) en el momento de cumplimentar el procedimiento
de registro on-line. La acción de enviar la información es manual, y basta
con no tomarla para que esos datos no salgan de nuestra máquina.
...
Otro momento en el que ZoneAlarm puede enviar información a Internet (al
servidor de ZoneLabs que analiza las alertas) es cuando pulsamos el botón
"More Info" que aparece en las ventanas de alerta...
ZoneAlarm se conectará al servidor de ZoneLabs, le pasará
los datos de la alerta (tipo de paquete interceptado, direcciones IP y puertos
implicados), y el servidor de ZoneLabs nos devolverá una página HTML con
información detallada de lo que significa y lo que implica esa alerta. Los
detalles de este mecanismo están descritos en la ayuda del programa.
Lo único que se puede considerar "comprometido" de
esa información que se manda a ZoneLabs es la dirección IP que tenemos
asignada en ese momento. ZoneAlarm permite definir la precisión con la que se
manda nuestra dirección IP con las opciones de la pestaña "Submitting
info" que aparece pulsando el botón "Avanced" del apartado
"Alerts" del panel de control del programa.
En esta misma ventana se puede configurar la aparición de un
aviso que nos informe de que la acción que hemos tomado implica enviar
información a Internet.
Steve Gibson, el autor de la web "Gibson
Research Corporation", es un reconocido experto en seguridad
informática. Entre otras cosas ha realizado completos estudios y pruebas
sobre el software "spyware" (OptOut)
y los "firewall" (LeakTest).
En sus pruebas con ZoneAlarm no ha detectado comportamiento
"spyware" de ninguna clase.
...
La empresa "LavaSoft"
ha creado un magnifico programa gratuito llamado "Ad-Aware" que
detecta y elimina el software "spyware" en nuestro sistema. También
tienen disponible una base de datos con los programas conocidos que incluyen
software "spyware". ZoneAlarm no aparece en su base de datos, y
"Ad-Aware" no detecta nada raro en el sistema después de
instalarlo.
Esta utilidad sólo se usa mientras se está conectado a Internet,
por lo que es absurdo tenerla cargada si la conexión no está activa.
Si quieres ver una buena forma de cargar todo lo necesario para navegar por
Internet en el preciso momento de establecer la conexión, y descargarlo
cuando ya no sea necesario, te recomiendo que leas mi guía sobre la
forma en que yo me conecto a la red.
Como comentaba al principio, tener instalado un "firewall" es
imprescindible para garantizar la seguridad de nuestro equipo mientras estamos
conectados a Internet. ZoneAlarm se ha convertido por meritos propios en el
cortafuegos para Windows más popular, por su eficacia y su facilidad de manejo.
Espero que con la ayuda de esta guía la utilización de este programa te
resulte un poco más sencilla.
Por si no he conseguido mi objetivo aquí tienes otras guías y tutoriales sobre ZoneAlarm:
No te lo piense más... pasa por la sección de "Software
- Internet - Seguridad" y descarga ZoneAlarm. Lo instalas, lo configuras y podrás
vivir tranquilo sin miedo a una intrusión que te "limpie" el
contenido de tu ordenador. Internet está lleno de usuarios con intenciones poco
amistosas...
Tened cuidado ahí fuera (como dijo alguien sabio).