La función de firewall en Windows Server 2003 de Microsoft es tan rudimentaria que muchos administradores de sistemas la consideran inútil. Siempre ha sido un firewall con estado simple, basado en host, que solo admite protección entrante. A medida que Windows Server 2008 se acerca a nosotros, su función de firewall incorporada ha mejorado enormemente. Echemos un vistazo a este nuevo máximo.
¿Por qué debería utilizar este firewall basado en host para Windows?
Hoy en día, muchas empresas utilizan hardware de seguridad externo para reforzar sus redes. Esto significa que utilizan firewalls y sistemas de prevención de intrusiones para construir un muro blindado alrededor de sus redes, protegiéndolas naturalmente de atacantes maliciosos en Internet. Sin embargo, si un atacante puede traspasar las defensas perimetrales y obtener acceso a la red interna, sólo la seguridad de la Certificación de Windows le impedirá acceder al activo más valioso de una empresa: sus datos.
Esto se debe a que la mayoría de los profesionales de TI no utilizan firewalls basados en host para reforzar sus servidores. ¿Por qué sucede esto? Porque la mayoría de los profesionales de TI creen que la implementación de firewalls basados en host causa más problemas que el valor que aportan.
Espero que después de leer este artículo se tome un momento para considerar los firewalls basados en host de Windows. En Windows Server 2008, este firewall basado en host está integrado en Windows, viene preinstalado, tiene más funciones que las versiones anteriores y es más fácil de configurar. Es una de las mejores formas de reforzar un servidor base crítico. Firewall de Windows con seguridad avanzada combina firewall de host e IPSec. A diferencia del Firewall perimetral, el Firewall de Windows con seguridad avanzada se ejecuta en todas las computadoras que ejecutan esta versión de Windows y brinda protección local contra ataques de red que pueden cruzar la red perimetral o originarse dentro de la organización. También proporciona seguridad de conexión de computadora a computadora, lo que le permite solicitar autenticación y protección de datos para las comunicaciones.
Entonces, ¿qué puede hacer por usted este Firewall avanzado de Windows Server y cómo se configura?
Qué tiene el nuevo firewall y cómo puede ayudarte
El firewall integrado en Windows Server 2008 ahora es "avanzado". No soy sólo yo quien dice que es avanzado, Microsoft ahora lo ha llamado Firewall de Windows con Seguridad Avanzada (WFAS para abreviar).
Estas son las nuevas características que justifican su nuevo nombre:
1. Nueva interfaz gráfica.
Ahora configure este firewall avanzado a través de una unidad de consola de administración.
2. Protección bidireccional.
Filtrar las comunicaciones entrantes y salientes.
3. Mejor cooperación con IPSEC.
Windows Firewall con seguridad avanzada integra la funcionalidad de Windows Firewall y la seguridad del protocolo de Internet (IPSec) en una única consola. Utilice estas opciones avanzadas para configurar el intercambio de claves, la protección de datos (integridad y cifrado) y los ajustes de autenticación de la manera que su entorno lo requiera.
4. Configuración de reglas avanzada.
Puede crear reglas de firewall para varios objetos en Windows Server y configurar reglas de firewall para determinar si se debe bloquear o permitir el tráfico a través del Firewall de Windows con seguridad avanzada.
Cuando un paquete entrante llega a su computadora, Firewall de Windows con Seguridad Avanzada inspecciona el paquete y determina si cumple con los criterios especificados en las reglas del firewall. Si el paquete coincide con los criterios de la regla, Firewall de Windows con Seguridad Avanzada realiza la acción especificada en la regla, es decir, bloquea la conexión o permite la conexión. Si un paquete no coincide con los criterios de la regla, Firewall de Windows con Seguridad Avanzada descarta el paquete y crea una entrada en el archivo de registro del firewall (si el registro está habilitado).
Al configurar una regla, puede elegir entre una variedad de criterios: como nombre de la aplicación, nombre del servicio del sistema, puerto TCP, puerto UDP, dirección IP local, dirección IP remota, archivo de configuración, tipo de interfaz (como adaptador de red), usuario , grupo de usuarios, computadora, grupo de computadoras, protocolo, tipo ICMP, etc. Los criterios de una regla se suman; cuantos más criterios agregue, mejor coincidirá el Firewall de Windows con Seguridad Avanzada con el tráfico entrante.
Al agregar protección bidireccional, una mejor interfaz gráfica y una configuración de reglas avanzada, el Firewall de Windows con Seguridad Avanzada se está volviendo tan poderoso como los firewalls tradicionales basados en host, como ZoneAlarm Pro.
Sé que lo primero que piensa cualquier administrador de servidor cuando utiliza un firewall basado en host es: ¿Afectará el funcionamiento normal de esta infraestructura de servidor crítica? Sin embargo, este es un posible problema con cualquier medida de seguridad. Seguridad avanzada de Windows 2008 ¿El firewall lo hará? configurar automáticamente nuevas reglas para cualquier nuevo rol agregado a este servidor. Sin embargo, si está ejecutando una aplicación que no es de Microsoft en su servidor y requiere conectividad de red entrante, tendrá que crear una nueva regla basada en el tipo de comunicación.
Al utilizar este firewall avanzado, puede fortalecer mejor su servidor contra ataques, evitar que su servidor sea explotado para atacar a otros y determinar verdaderamente qué datos entran y salen de su servidor. Echemos un vistazo a cómo lograr estos objetivos.
Obtenga más información sobre las opciones para configurar la seguridad avanzada del Firewall de Windows
En versiones anteriores de Windows Server , podía configurar su adaptador de red o configurar el Firewall de Windows desde el Panel de control. Esta configuración es muy sencilla.
Para el Firewall de Windows con seguridad avanzada, la mayoría de los administradores pueden configurarlo desde el Administrador de servidores de Windows o desde el complemento MMC del Firewall de Windows con seguridad avanzada únicamente. Las siguientes son capturas de pantalla de las dos interfaces de configuración:
Figura 1. Administrador del servidor de Windows Server 2008
Figura 2. Consola de administración de firewall de seguridad avanzada de Windows 2008
La forma más fácil y rápida que he encontrado para iniciar este Firewall de Windows con Seguridad Avanzada es escribir "firewall" en el cuadro de búsqueda del menú Inicio, como se muestra a continuación:
Figura 3. Cómo iniciar rápidamente la Consola de administración de firewall de seguridad avanzada de Windows 2008
Además, puede configurar el Firewall de Windows con seguridad avanzada utilizando Netsh, una herramienta de línea de comandos que configura los componentes de la red. Utilice netsh advfirewall para crear scripts que configuren automáticamente un conjunto de opciones de Firewall de Windows con seguridad avanzada para el tráfico IPv4 e IPv6. También puede utilizar el comando netsh advfirewall para mostrar la configuración y el estado del Firewall de Windows con seguridad avanzada.
[Cortar-Página] ¿Qué se puede configurar usando el nuevo Firewall de Windows con el complemento MMC de seguridad avanzada?
Dado que hay tantas funciones que puede configurar utilizando esta nueva consola de administración de firewall, me resulta imposible mencionarlas todas. Si alguna vez ha mirado la interfaz gráfica de configuración del firewall integrado de Windows 2003, notará rápidamente que hay muchas opciones ocultas en este nuevo Firewall de seguridad avanzada de Windows. Permítanme seleccionar algunas de las funciones más utilizadas para presentárselas.
De forma predeterminada, cuando ingresa por primera vez a la consola de administración de Firewall de Windows con Seguridad avanzada, verá que Firewall de Windows con Seguridad avanzada está habilitado de manera predeterminada y bloquea las conexiones entrantes que no coinciden con las reglas de entrada. Además, este nuevo firewall saliente está desactivado de forma predeterminada.
Otras cosas que notará es que este Firewall de Windows con Seguridad Avanzada también tiene múltiples perfiles para que los usuarios elijan. 
Figura 4. Archivos de configuración proporcionados en el Firewall de Windows 2008 con seguridad avanzada
En este Firewall de Windows con Seguridad Avanzada existe un perfil de dominio, un perfil privado y un perfil público. Los perfiles son una forma de agrupar configuraciones, como reglas de firewall y reglas de seguridad de conexión, que se aplican a una computadora según dónde esté conectada. Dependiendo de si su computadora está en una LAN corporativa o en una cafetería local, por ejemplo.
En mi opinión, de todas las mejoras que hemos discutido en Windows 2008 Advanced Security Firewall, la mejora más significativa son reglas de firewall más complejas. Eche un vistazo a la opción para agregar una excepción en el Firewall de Windows Server 2003, como se muestra a continuación:
[img]/u/info_img/2009-06/05/20071018183935294.jpg
Figura 5. Ventana de excepción del Firewall de Windows 2003 Server
Comparemos la ventana de configuración en Windows 2008 Server .
Tenga en cuenta que las pestañas Protocolo y Puerto son sólo una pequeña parte de esta ventana de varias pestañas. También puede aplicar reglas a usuarios y computadoras, programas y servicios, y rangos de direcciones IP. A través de esta compleja configuración de reglas de firewall, Microsoft ha trasladado el Firewall de seguridad avanzada de Windows al servidor IAS de Microsoft.
También sorprende la cantidad de reglas predeterminadas que proporciona el Firewall de Windows con Seguridad Avanzada. En Windows 2003 Server , sólo hay tres reglas de excepción predeterminadas. Windows 2008 Advanced Security Firewall proporciona aproximadamente 90 reglas de firewall entrantes predeterminadas y al menos 40 reglas salientes predeterminadas.
¿Cómo crear una regla de entrada personalizada?
Supongamos que ha instalado la versión de Windows del servidor del sitio web Apache en su servidor Windows 2008. Si ya está utilizando el servidor web IIS integrado de Windows, este puerto se abrirá automáticamente. Sin embargo, dado que ahora está utilizando un servidor web de un tercero y tiene habilitado el firewall de entrada, debe abrir esta ventana manualmente.
Aquí están los pasos:
·Identifica el protocolo que deseas bloquear, en nuestro caso es TCP/IP (su contraparte sería UDP/IP o ICMP).
·Identifique la dirección IP de origen, el número de puerto de origen, la dirección IP de destino y el puerto de destino. La comunicación web que llevamos a cabo es una comunicación de datos que proviene de cualquier dirección IP y cualquier número de puerto y que fluye al puerto 80 de este servidor. (Tenga en cuenta que puede crear una regla para un programa específico, como el servidor HTTP Apache aquí).
·Abra el Firewall de Windows con la Consola de administración de seguridad avanzada.
·Agregar reglas: haga clic en el botón Nueva regla en el MMC del Firewall de Windows con seguridad avanzada para iniciar el asistente para iniciar una nueva regla.
Figura 8. Consola de administración avanzada de firewall de Windows 2008 Server : botón Nueva regla
·Seleccione la regla que desea crear para un puerto.
·Configure el protocolo y el número de puerto: seleccione el protocolo TCP predeterminado e ingrese 80 como puerto, luego haga clic en Siguiente.
·Seleccione el valor predeterminado "Permitir conexión" y haga clic en Siguiente.
·Seleccione Aplicar esta regla a todos los perfiles de forma predeterminada y haga clic en Siguiente.
·Asigne un nombre a esta regla y haga clic en Siguiente.
En este momento, obtendrá una regla como se muestra a continuación:
Figura 9. Consola de administración avanzada de firewall de Windows 2008 Server después de crear reglas
Después de mis pruebas, el servidor de mi sitio web Apache instalado recientemente no funcionó correctamente cuando esta regla no estaba habilitada. Sin embargo, después de crear esta regla, ¡funciona bien!
Conclusión: Grandes mejoras que vale la pena probar
Con archivos de configuración de firewall, configuraciones de reglas complejas, 30 veces la cantidad de reglas predeterminadas y muchas características de seguridad avanzadas que no se mencionan en este artículo, Windows 2008 Server Advanced Security Firewall es realmente lo que Microsoft llama un firewall avanzado. Creo que este firewall integrado, gratuito y avanzado basado en host garantizará que Windows Server sea aún más seguro en el futuro. Pero si no lo usas no te servirá de nada. Espero que pruebes este nuevo Firewall avanzado de Windows hoy.
Obtenga más información sobre las opciones para configurar la seguridad avanzada del Firewall de Windows
En versiones anteriores de Windows Server , podía configurar su adaptador de red o configurar el Firewall de Windows desde el Panel de control. Esta configuración es muy sencilla.
Para el Firewall de Windows con seguridad avanzada, la mayoría de los administradores pueden configurarlo desde el Administrador de servidores de Windows o desde el complemento MMC del Firewall de Windows con seguridad avanzada únicamente. Las siguientes son capturas de pantalla de las dos interfaces de configuración:
Figura 1. Administrador del servidor de Windows Server 2008
Figura 2. Consola de administración de firewall de seguridad avanzada de Windows 2008
La forma más fácil y rápida que he encontrado para iniciar este Firewall de Windows con Seguridad Avanzada es escribir "firewall" en el cuadro de búsqueda del menú Inicio, como se muestra a continuación:
Figura 3. Cómo iniciar rápidamente la Consola de administración de firewall de seguridad avanzada de Windows 2008
Además, puede configurar el Firewall de Windows con seguridad avanzada utilizando Netsh, una herramienta de línea de comandos que configura los componentes de la red. Utilice netsh advfirewall para crear scripts que configuren automáticamente un conjunto de opciones de Firewall de Windows con seguridad avanzada para el tráfico IPv4 e IPv6. También puede utilizar el comando netsh advfirewall para mostrar la configuración y el estado del Firewall de Windows con seguridad avanzada.