Firewall Personal
A continuación se describen las diferentes opciones de configuración existentes para la protección firewall configurada en Modo Personal, tanto desde la consola web de administración, como desde la consola local de la estación de trabajo o servidor.
Configuración desde la consola web
Para configurar el Firewall en Modo Personal seleccionamos la opción Permitir configurar el firewall desde el cliente en la pantalla de edición de perfil.
Panda Cloud Office Protection – Guía avanzada de administración 76 En Modo Personal la configuración del firewall se realiza desde la consola local de la protección y no desde la consola web, por lo que al seleccionar esta opción, se deshabilitan el resto de opciones de configuración de la protección Firewall en la consola web de administración.
Configuración desde la consola local
El firewall en Modo Personal únicamente puede ser configurado por el usuario de la estación de trabajo o servidor con la protección instalada. La configuración de la protección se realiza desde la consola local de configuración de firewall.
Para acceder a la consola local de configuración, seleccionamos la opción Configurar Firewall del menú contextual.
Al seleccionar esta opción, el usuario accede a la consola local de configuración de Firewall.
General
Panda Cloud Office Protection – Guía avanzada de administración 77 Las opciones de configuración disponibles son:
Activar el firewall: Mediante esta opción, el usuario podrá activar o desactivar la protección firewall de la estación de trabajo o servidor en la que esté trabajando. Si el usuario desactiva la protección firewall se deshabilitarán todas las opciones de configuración de la consola local.
Panda Cloud Office Protection – Guía avanzada de administración 78 Ubicaciones: Se muestra el listado de las ubicaciones de red existentes en la máquina.
De cada ubicación de red se muestra la siguiente información: Nombre: Identificador de la ubicación de Red.
Zona: Tipo de Red a la que está conectado.
El comportamiento de la protección firewall depende del tipo de red al que esté conectado el usuario. El administrador seleccionará el tipo de red al que están
Panda Cloud Office Protection – Guía avanzada de administración 79 conectadas las máquinas pertenecientes al perfil seleccionado. Dependiendo del tipo de red seleccionado, el comportamiento del Firewall será más o menos restrictivo: Red pública: Red visible por otros usuarios, y por lo tanto, con un nivel de seguridad bajo. En este tipo de red, el firewall se configura de forma más restrictiva para incrementar la seguridad de la máquina
Red de confianza: Red privada, no visible por otros usuarios desde el exterior. En este caso, la seguridad de la red es mayor por lo que el firewall se comporta de manera más permisiva sin llegar a comprometer la seguridad de la máquina.
Como veremos posteriormente, el usuario podrá definir reglas o configurar las existentes para que apliquen únicamente a las máquinas configuradas con un tipo de red específico o que apliquen a ambos tipos de red. De esta forma, el usuario podrá definir reglas específicas para cada una de los tipos de redes disponibles, o bien reglas generales que apliquen a ambos tipos de redes.
Tipo: Describe el tipo de conexión de la ubicación (Ethernet, Wifi, Modem, …)
El nombre de la ubicación y la zona se establecen de forma automática durante el proceso de instalación del firewall siguiendo los siguientes criterios:
Nombre: Se forma automáticamente partiendo del tipo de conexión detectada y un identificador numérico que diferencia las diferentes ubicaciones existentes que compartan un mismo tipo de conexión (Ej: Ethernet 1, Ethernet 2, WiFi 1). El usuario podrá modificar el nombre de la ubicación para establecer otro nombre más descriptivo (Trabajo, Aeropuerto, …)
Zona: Se establece de forma automática en función al Tipo de IP que tenga asignada el adaptador de Red conectado. El criterio es el siguiente:
IP Privada: Se configura Ubicación de confianza. IP Pública: Se configura Ubicación pública.
Como en el caso del nombre, esta configuración automática de zona podrá ser modificada posteriormente por el usuario para ajustarla a las necesidades de seguridad reales de la ubicación.
Para modificar estos valores, pulsamos el botón Configurar en la pestaña General de la consola de configuración del firewall.
Panda Cloud Office Protection – Guía avanzada de administración 80 En la siguiente pantalla podemos modificar tanto el nombre de la ubicación como la zona a la que está asignada.
Panda Cloud Office Protection – Guía avanzada de administración 81 Si pulsamos el botón Detalles, se muestran los detalles del adaptador de red que estamos configurando. Este botón también está disponible en la pestaña General de la consola de configuración del firewall.
En caso de instalar un nuevo adaptador de red al ordenador, la protección firewall lo detectará y clasificará automáticamente, según los criterios comentados anteriormente.
Se informa al usuario de la detección del nuevo adaptador mediante la siguiente alerta local.
Panda Cloud Office Protection – Guía avanzada de administración 82 Si pulsamos el botón Clasificar de la alerta local, accederemos a la pantalla de configuración de la nueva ubicación. En esta pantalla se muestra el nombre y la zona que ha sido asignado de forma automática, permitiendo al usuario modificar estos valores.
En este caso, cambiaremos la zona asignada automáticamente a la ubicación, configurándola como Ubicación pública.
Panda Cloud Office Protection – Guía avanzada de administración 83 Una vez seleccionada la nueva configuración, pulsamos Cerrar para aplicar los cambios. Comprobamos que la nueva ubicación ha quedado correctamente configurada abriendo la consola de configuración de firewall y consultando el listado de ubicaciones en la pestaña General.
Panda Cloud Office Protection – Guía avanzada de administración 84
Panda Cloud Office Protection – Guía avanzada de administración 85
Reglas de Programas
En esta sección se configuran las reglas de firewall que establecen los permisos de comunicación de las diferentes aplicaciones instaladas en la máquina. A continuación se detallan las diferentes opciones de configuración de esta sección.
En la pestaña Programas se muestra la lista de las reglas de aplicación configuradas en el firewall. Para facilitar su uso, esta lista está filtrada para no mostrar los programas pertenecientes al sistema operativo. Si queremos que se muestren las reglas asociadas a dichos programas, marcaremos el check Mostrar programas del sistema operativo.
Panda Cloud Office Protection – Guía avanzada de administración 86
El usuario puede deshacer todos los cambios que realice en las reglas de programa y volver a la configuración original del producto, podemos pulsar el botón Restaurar.
Panda Cloud Office Protection – Guía avanzada de administración 87
Al pulsar el botón Restaurar, se mostrará un mensaje advirtiendo al usuario que se perderán todos los cambios realizados en las reglas de programas:
Panda Cloud Office Protection – Guía avanzada de administración 88 Si aceptamos, se eliminarán todas las reglas creadas por el usuario y se restaurarán las reglas iniciales del producto, eliminando las modificaciones que se hubieran realizado en dichas reglas.
Panda Cloud Office Protection – Guía avanzada de administración 89 Tras pulsar el botón, se mostrará la siguiente pantalla:
En esta pantalla debemos introducir el ejecutable de la aplicación para la que queremos crear una regla. Este proceso se realizar de dos maneras:
Ruta del programa: El usuario introducirá la ruta donde está instalada la aplicación para la que se va a crear la regla.
Pulsando el botón Examinar: Al pulsar este botón, se abrirá un explorador de Windows que permitirá seleccionar la aplicación para la que queremos crear la regla.
Panda Cloud Office Protection – Guía avanzada de administración 90 Tras seleccionar el ejecutable, pulsamos el botón Abrir para volver a la pantalla Añadir Programa, en la cual se mostrará la ruta del ejecutable seleccionado:
Una vez introducida la ruta de la aplicación, seleccionamos los permisos de Comunicación que se va a otorgar a dicho programa.
Mediante este desplegable seleccionamos los tipos de conexiones que podrá realizar la aplicación para la que estamos creando la regla
Panda Cloud Office Protection – Guía avanzada de administración 91 Ninguna conexión: La aplicación no podrá realizar ninguna comunicación, por lo que se le denegarán todas las conexiones entrantes y salientes que intente establecer. Permitir entrantes y salientes: El programa podrá establecer conexiones salientes y también permitirá que otros programas o usuarios se conecten con él (conexiones entrantes). Existen ciertos tipos de programas que requieren este tipo de permisos para funcionar correctamente, por ejemplo, programas de intercambio de archivos. Permitir entrantes: El programa aceptará conexiones externas de programas o usuarios, pero no tendrá permisos para establecer conexiones salientes.
Permitir salientes: El programa podrá establecer conexiones salientes, pero no aceptará conexiones externas por parte de otros usuarios o aplicaciones.
En este caso, queremos permitir todas las comunicaciones a la aplicación, por lo que seleccionamos la opción Permitir entrantes y salientes y pulsamos el botón Aceptar para finalizar la creación de la regla.
Tras pulsar el botón Aceptar, se añadirá la regla creada a la lista de Reglas de Programas.
Panda Cloud Office Protection – Guía avanzada de administración 92 Desde la lista de Reglas de Usuario podemos modificar el tipo de comunicación configurado anteriormente en la regla creada. En este caso, podremos seleccionar los tipos de comunicación explicados anteriormente:
Ninguna conexión
Permitir entrantes y salientes Permitir entrantes
Panda Cloud Office Protection – Guía avanzada de administración 93 Mediante los tipos de conexión anteriores se asignan a un programa los permisos para comunicaciones entrantes o salientes independientemente de los puertos de comunicaciones que utilicen, protocolos, etc. Si el usuario lo considera necesario, puede crear reglas de conexión avanzadas de programas mediante la opción Permisos Personalizados, que permite indicar exactamente qué puertos, protocolos, etc. podrán utilizar dichos programas
Esta opción está disponible tanto en la creación de una nueva regla, como en la modificación de una regla existente.
Panda Cloud Office Protection – Guía avanzada de administración 94 Creación de una nueva regla
Modificación de una regla existente
Al pulsar este botón accedemos a la pantalla Permisos personalizados, en la que se muestra la configuración de la regla:
Panda Cloud Office Protection – Guía avanzada de administración 95 En nuestro caso, estamos personalizando una regla del tipo Permitir entrantes y salientes, lo que internamente se traduce en dos reglas diferentes de firewall:
Permitir conexiones entrantes para todas las zonas, protocolos, puertos e IPs. Permitir conexiones salientes para todas las zonas, protocolos, puertos e IPs.
A continuación personalizaremos cada una de estas reglas. Para ello, seleccionamos la regla que queremos modificar, y pulsamos el botón Configurar…
Panda Cloud Office Protection – Guía avanzada de administración 96 Al pulsar este botón accedemos a la ventana Configuración de regla de aplicación, en la que se muestra la configuración actual de la regla.
En esta ventana podremos configurar los siguientes valores de la regla: Acción
Permite definir qué operación realizará la regla: • Denegar la comunicación a la aplicación. • Permitir la comunicación a la aplicación. Sentido
Permite configurar el sentido de la comunicación para el que aplicará la regla:
• Entrante: La regla sólo aplicará a las comunicaciones entrantes que vayan dirigidas a la aplicación.
• Saliente: La regla sólo aplicará a las comunicaciones salientes generadas por la aplicación.
Zona
Permite definir el ámbito en el que se aplicará la regla:
• Red de confianza: La regla aplicará únicamente a las máquinas que pertenezcan a un perfil cuya red esté configurada como Red de confianza.
• Red pública: La regla aplicará únicamente a las máquinas que pertenezcan a un perfil cuya red esté configurada como Red pública.
Panda Cloud Office Protection – Guía avanzada de administración 97 • Todos: La regla aplicará a todas las máquinas pertenecientes al perfil,
independientemente de la zona en la que estén configuradas. Protocolo
Permite definir el protocolo de comunicación al que aplicará la regla:
• TCP: La regla aplicará únicamente a las comunicaciones que realice la aplicación mediante el protocolo TCP.
• UDP: La regla aplicará únicamente a las comunicaciones que realice la aplicación mediante el protocolo UDP.
• TCP/UDP: La regla aplicará a las comunicaciones que realice la aplicación mediante los protocolos TCP o UDP.
Puerto
En esta sección podremos elegir el puerto o los puertos a los que aplicará la regla: • Todos: Aplicará a todos los puertos utilizados por la aplicación.
• Personalizado: Permite definir el puerto o los puertos a los que aplicará la regla para esta aplicación.
Al seleccionar esta opción, se habilitará el campo Personalizado en el que se introducirán los valores de los puertos que queremos configurar, pudiendo especificar:
• Puerto único: Introduciendo el valor del puerto (Por ejemplo: 4662).
• Lista de puertos: Introduciendo la lista de puertos separados por comas (Por ejemplo: 4662, 4665).
• Rango de puertos: Introduciendo el rango de puertos separados por un guión (Por ejemplo: 4662-4665).
• Listas y rangos: Utilizando una combinación de los métodos anteriores (Por ejemplo: 4662, 4665-4670, 4675).
• Puertos predefinidos: Se facilita una lista de los puertos utilizados comúnmente Direcciones IP
En esta sección podremos elegir la dirección o las direcciones IP a las que aplicará la regla:
• Sin especificar: Si en este campo no se especifica ningún valor, esta regla aplicará a todas las direcciones IP a las que acceda la aplicación.
• Personalizado: Permite definir la dirección o direcciones IP a las que aplicará la regla si la aplicación accede a ellas, pudiendo especificar:
o IP única: Introduciendo el valor de la IP (Por ejemplo: 192.168.1.10). o Lista de IPs: Introduciendo la lista de IPs separadas por comas (Por
Panda Cloud Office Protection – Guía avanzada de administración 98 o Rango de IPs: Introduciendo el rango de IPs separadas por un guión
(Por ejemplo: 192.168.1.10-192.168.1.15).
o Listas y rangos: Utilizando una combinación de los métodos anteriores (Por ejemplo: 192.168.1.10, 192.168.1.15-192.168.1.20, 192.168.1.25).
En este caso, vamos a definir una regla para permitir las conexiones entrantes al puerto 57884 del protocolo TCP/UDP para todas las IPs y que aplique a todas las zonas.
Al pulsar el botón Aceptar, volvemos a la ventana Permisos personalizados en la que podemos ver el resumen de las modificaciones que hemos realizado a la regla:
Panda Cloud Office Protection – Guía avanzada de administración 99 Repetimos el mismo proceso para configurar la regla de las conexiones salientes seleccionando dicha
regla y pulsando el botón Configurar:
En este caso, vamos a definir una regla para permitir las conexiones salientes al puerto 57884 del protocolo TCP/UDP para todas las IPs y que aplique a todas las zonas.
Panda Cloud Office Protection – Guía avanzada de administración 100
Pulsamos el botón Aceptar para finalizar la edición de la regla de conexiones salientes y volver a la ventana Permisos personalizados, en la que podemos ver el resumen de las modificaciones que hemos realizado a la regla:
Pulsamos el botón Aceptar para finalizar la personalización de la regla y volver a la pestaña Programas, en la que veremos el listado de las reglas de usuario definidas, y entre ellas, la regla que hemos personalizado:
Panda Cloud Office Protection – Guía avanzada de administración 101 Podemos eliminar la regla que hemos creado seleccionándola de la lista de reglas de usuario y pulsando el botón Eliminar.
Panda Cloud Office Protection – Guía avanzada de administración 102 Activar asignación automática de permisos.
Si esta funcionalidad está activada, la protección Firewall facilitará al usuario la creación de las reglas de usuario de la siguiente manera:
Conexiones salientes: La protección Firewall creará reglas de forma automática para las aplicaciones que:
Se ejecuten en la máquina y requieran permisos para establecer conexiones salientes. Y no tuvieran ninguna regla de programa asociada.
Conexiones entrantes: En este caso, la protección Firewall hace una distinción entre las aplicaciones consideradas como confiables y las no confiables:
Panda Cloud Office Protection – Guía avanzada de administración 103 Aplicaciones confiables por Panda: La protección Firewall generará la regla de manera automática para aquellas aplicaciones confiables.
Aplicaciones no confiables por Panda: La protección Firewall mostrará una alerta local en la que el usuario podrá permitir o denegar las conexiones entrantes de la aplicación.
Al igual que en el caso de conexiones salientes, esta funcionalidad aplicará a las aplicaciones que:
Se ejecuten en la máquina y requieran permisos para establecer conexiones entrantes.
Y no tuvieran ninguna regla de programa asociada.
En el caso de que esta funcionalidad esté desactivada, la protección Firewall mostrará alertas locales al usuario, solicitando permisos para todas las aplicaciones que se ejecuten en la máquina que no tengan regla asociada y requieran establecer conexiones entrantes o salientes.
Panda Cloud Office Protection – Guía avanzada de administración 104 A continuación realizaremos un ejemplo práctico que explica el comportamiento de esta funcionalidad:
Marcamos el check Activar asignación automática de permisos y buscamos una aplicación para la que no exista una regla de programa creada.
Ejecutamos una aplicación, en este caso un navegador web que requiere conexiones salientes, y observamos que el navegador accede directamente a Internet sin la intervención del usuario ya el firewall ha creado la regla necesaria de forma automática.
Panda Cloud Office Protection – Guía avanzada de administración 105
A continuación ejecutaremos otra aplicación que no tenga regla creada en la protección Firewall, en este caso un programa P2P que requiere conexiones salientes y entrantes. El firewall creará de forma automática la regla necesaria para que la aplicación pueda establecer conexiones salientes y mostrará una alerta local al usuario solicitando permisos para establecer las conexiones entrantes.
Panda Cloud Office Protection – Guía avanzada de administración 106
La alerta local muestra las siguientes opciones al usuario:
Denegar la conexión ahora: Se denegarán las conexiones, en este caso entrantes, durante esta ejecución de la aplicación. Esta acción no crea una regla en el Firewall, por lo que se volverá a mostrar una alerta local solicitando permisos en la próxima ejecución de la aplicación.
Denegar la conexión siempre: Se denegarán las conexiones, en este caso entrantes, y se crea una regla en el Firewall, por lo que no se volverá a mostrar una alerta local solicitando permisos en la próxima ejecución de la aplicación.
Permitir la conexión ahora: Se permitirán las conexiones, en este caso entrantes, durante esta ejecución de la aplicación. Esta acción no crea una regla en el Firewall, por lo que se volverá a mostrar una alerta local solicitando permisos en la próxima ejecución de la aplicación.
Permitir la conexión siempre: Se permitirán las conexiones, en este caso entrantes, y se crea una regla en el Firewall, por lo que no se volverá a mostrar una alerta local solicitando permisos en la próxima ejecución de la aplicación.
En este caso, seleccionamos la opción Permitir la conexión siempre y pulsamos el botón Aceptar:
Panda Cloud Office Protection – Guía avanzada de administración 107 De esta forma, se creará una regla del tipo Permitir entrantes asociada a la aplicación. Como el Firewall ha creado de forma automática una regla del tipo Permitir salientes, el resultado final es que la aplicación tendrá configurada una regla del tipo Permitir entrantes y salientes.
Panda Cloud Office Protection – Guía avanzada de administración 108 A continuación desmarcamos el check Activar asignación automática de permisos y buscamos una aplicación para la que no exista una regla de programa creada.
Ejecutamos una aplicación, en este caso un navegador web que requiere conexiones salientes, y observamos que el navegador no accede a Internet y se muestra una