lunes, 4 de junio de 2012

Hispasec presenta FWRulez: Herramienta que facilita la administración de Windows Advanced Firewall


Hemos creado FWRulez, un programa que mejora y facilita la administración de Windows Advanced Firewall. Esta pequeña utilidad permite agregar reglas de excepción al cortafuegos desde el menú contextual y además, crear lotes de reglas por directorio. Si bien el cortafuegos avanzado de Vista y 7 es muy potente, estos detalles no son algo que incluya Windows de serie.

FWRulez interactúa con las APIS de Windows Firewall facilitando la creación de reglas desde una interfaz simplificada y accesible. Sin necesidad de seguir un asistente o utilizar la línea de comandos, ofrece la posibilidad definir las reglas más comunes, desde el menú contextual del fichero o directorio.




Cómo funciona

Básicamente, existen dos formas de usarlo:

  • Ejecutándolo directamente y buscando el archivo/carpeta para añadir reglas.
       
  • Menú contextual (haciendo click derecho sobre los archivos o directorios). Agrega dos opciones: 
    - "FWRulez file": Sobre ficheros exe.
    - "FWRulez exes in folder". Creará reglas para todos los ejecutables en el directorio seleccionado y sus subdirectorios recursivamente.


Por supuesto, las reglas de excepción solo funcionan si el firewall está activado. De forma predeterminada, únicamente está activado el cortafuegos entrante en Windows.

¿Por qué utilizar este programa?

El malware de hoy en día necesita conectividad. Es decir, que cuando se ejecuta un troyano (siendo conscientes de ello o no), existen muchas posibilidades de que se conecte a un servidor para descargar archivos de configuración, otra versión, o cualquier otra información que se necesite enviar o recibir. Cuando un programa roba datos, lo más probable es que se conecte a un "buzón" en el que almacenar el botín.

Por lo tanto, una de las mejores protecciones conocidas pasa por bloquear todas las conexiones hacia el exterior, y solo permitir la salida a la Red a ciertos programas que realmente la necesiten. Tanto Windows Vista como 7 incluyen un excelente cortafuegos, que pensamos que no está siendo aprovechado convenientmente. Entre otras razones, por lo completo/complejo de su interfaz.

El bloqueo tradicional en un cortafuegos por puertos ya no tiene sentido puesto que si se quiere navegar por Internet, se deberá abrir el puerto 80, 443... y todo el malware que utilice este puerto tendrá vía libre para realizar sus acciones. Con esta filosofía de bloqueo por programas, se permitirá la conexión, por ejemplo, al navegador hacia cualquier puerto (o sólo al 80 y 44), pero se bloqueará el malware y cualquier otro programa que desee "salir hacia fuera". Si se corta la conexión, las posibiladades de que que el malware no funcione o que simplemente no pueda enviar la información robada, son altas.

Otro uso posible de la herramienta es simplemente permitir la conexión entrante hacia servidores en el equipo, creando de manera rápida excepciones en el cortafuegos.

Sin embargo esto no es la panacea. Sabemos que el malware más sofisticado puede inyectar en los procesos siendo capaz de transmitir información a través del navegador, por ejemplo. Hoy, esto ya es usado por el malware, pero no es una característica universal.

Y por supuesto, si un programa para el que se ha creado una regla, es reemplazado por un malware... fin del juego.

Así que esto es otra capa de seguridad. Y, de hecho, creemos que es buena por los siguientes motivos:

  • Impide que el malware se conecte a servidores, por lo que resultan inútiles la mayor parte de las veces.
       
  • Aprovecha una tecnología incluida en Windows de forma más eficiente.

En cualquier caso, esto es insuficiente si no es combinado con otras acciones.

El programa ha sido creado en C# por Sergio de los Santos, y el diseño es de José Mesa. Solo necesita .NET 2, por tanto no se require ningún marco de ejecución en los sistemas operativos que funciona: Vista, 7, 2008 y Windows 8.

Hay más información y puede ser descargado desde


Sergio de los Santos
Twitter: @ssantosv


4 comentarios:

  1. Los iconos de inbound y outbound en la aplicación están al reves ;-)

    ResponderEliminar
  2. Hemos debatido mucho sobre el asunto (en serio). Pero ha prevalecido el criterio de que, si las puertas se abren normalmente hacia dentro en una casa, ahí afuera está Internet (otras redes) y tu equipo es tu "hogar".

    Yo te hubiera comentado lo mismo de verlos en otro orden... es más bien "filosófico".

    ResponderEliminar
    Respuestas
    1. Now the aplication is so "That's JUST what we need, no more no less" that we are only disputing about the "doors" XD

      Eliminar
  3. Buen detalle lo del icono de entrada y salida.

    Se puede desinstalar despues sin ningun problema y seguir usando normalmente windows 7?.

    Saludos.

    ResponderEliminar