Descripción del Servidor de seguridad de conexión a Internet de Windows XP

Seleccione idioma Seleccione idioma
Id. de artículo: 320855 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe el Servidor de seguridad de conexión a Internet (ICF, Internet Connection Firewall) que se incluye con Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows XP Home Edition Service Pack 1 (SP1) y Windows XP Professional SP1. En este artículo no se describe el servidor de seguridad que se incluye con Windows XP SP2.

Más información

Descripción del Servidor de seguridad de conexión a Internet

El Servidor de seguridad de conexión a Internet es software que permite establecer restricciones a la información que se comunica entre la red doméstica o de pequeña oficina e Internet.

Si su red usa Conexión compartida a Internet (ICS, Internet Connection Sharing) para proporcionar acceso a Internet a varios equipos, es conveniente activar el Servidor de seguridad de conexión a Internet en la conexión compartida a Internet. Sin embargo, puede activar el Servidor de seguridad de conexión a Internet y la conexión compartida a Internet de modo independiente. Es una buena idea activar el Servidor de seguridad de conexión a Internet en la conexión a Internet de cualquier equipo basado en Microsoft Windows XP que esté conectado directamente a Internet.

El Servidor de seguridad de conexión a Internet también puede ayudarle a proteger a un solo equipo que esté conectado a Internet. Si tiene un solo equipo que esté conectado a Internet con módem por cable, un módem ADSL o un módem de acceso telefónico, el Servidor de seguridad de conexión a Internet le ayudará a proteger la conexión a Internet. No active el Servidor de seguridad de conexión a Internet para conexiones a redes privadas virtuales (VPN), porque el Servidor de seguridad de conexión a Internet interfiere en el uso compartido de archivos y en otras funciones de las VPN.

Cómo funciona el Servidor de seguridad de conexión a Internet

El Servidor de seguridad de conexión a Internet es un servidor de seguridad "que mantiene el estado". Un servidor de seguridad que mantiene el estado es aquel que controla todos los aspectos de las comunicaciones que cruzan su ruta de acceso y que examina las direcciones de origen y de destino de cada mensaje que controla el servidor de seguridad. Para impedir que el tráfico no solicitado procedente del lado público de la conexión entre en el lado privado, el Servidor de seguridad de conexión a Internet mantiene una tabla con todas las comunicaciones que se han originado desde el equipo que está ejecutando el Servidor de seguridad de conexión a Internet. Para un solo equipo, el Servidor de seguridad de conexión a Internet lleva el seguimiento del tráfico que tiene su origen en otro equipo. Si usa el Servidor de seguridad de conexión a Internet junto con la Conexión compartida a Internet, el Servidor de seguridad de conexión a Internet hace un seguimiento del tráfico que se origina en el equipo que está ejecutando el Servidor de seguridad de conexión a Internet y Conexión compartida a Internet, además de hacer un seguimiento de todo el tráfico que tiene su origen en los equipos de la red privada. El Servidor de seguridad de conexión a Internet compara todo el tráfico entrante desde Internet con las entradas que hay en la tabla. El tráfico de entrada a Internet puede llegar al equipo de su red sólo si en la tabla hay una entrada coincidente que muestra que el intercambio de comunicación se inició en su equipo o en su red privada.

Las comunicaciones que se originan desde un origen exterior al equipo que está ejecutando el Servidor de seguridad de conexión a Internet como, por ejemplo, desde Internet, son descartadas por el servidor de seguridad a menos que cree una entrada en la ficha Servicios para permitirles el paso. En lugar de enviarle notificaciones acerca de la actividad, el Servidor de seguridad de conexión a Internet descarta sin avisar las comunicaciones no solicitadas. Esto sirve para detener los intentos habituales de intrusión, como el examen de puertos. Esas notificaciones pueden enviarse con mucha frecuencia, lo que supone una distracción. En cambio, el Servidor de seguridad de conexión a Internet puede crear un registro de seguridad, para que pueda ver de qué actividad está haciendo un seguimiento el servidor de seguridad.

Puede configurar los servicios de manera que el tráfico no solicitado procedente de Internet sea enviado a la red privada por el equipo que está ejecutando el Servidor de seguridad de conexión a Internet. Por ejemplo, si está alojando un servicio de servidor Web HTTP y activa el servicio HTTP en su equipo, el tráfico HTTP no solicitado es enviado al servidor Web HTTP por el equipo que está ejecutando el Servidor de seguridad de conexión a Internet. El Servidor de seguridad de conexión a Internet requiere información operativa (que se conoce como definición del servicio) para permitir que el tráfico de Internet no solicitado sea enviado al servidor Web de la red privada.

Consideraciones acerca del Servidor de seguridad de conexión a Internet

No es una buena idea activar el Servidor de seguridad de conexión a Internet en las conexiones que no conecten directamente con Internet. Si activa el Servidor de seguridad de conexión a Internet para el adaptador de red de un equipo cliente que está ejecutando Conexión compartida a Internet, el Servidor de seguridad de conexión a Internet interferirá en algunas comunicaciones entre ese equipo y todos los demás equipos de la red. Por una razón similar, no puede usar el Asistente para configuración de red para activar el Servidor de seguridad de conexión a Internet en la conexión privada del host Conexión compartida a Internet. Esta es la conexión que conecta el equipo host de Conexión compartida a Internet con los equipos cliente de Conexión compartida a Internet. La activación de un servidor de seguridad en esta ubicación impediría las comunicaciones de red.

No tiene que usar el Servidor de seguridad de conexión a Internet si la red ya tiene un servidor de seguridad o un servidor proxy.

Si la red sólo tiene una conexión compartida a Internet, es conveniente tratar de proteger la red activando el Servidor de seguridad de conexión a Internet. Los equipos cliente individuales también pueden tener adaptadores, como un módem ADSL o de acceso telefónico, que proporcionan conexiones individuales a Internet y son vulnerables sin la protección del servidor de seguridad. El Servidor de seguridad de conexión a Internet sólo puede comprobar las comunicaciones que pasan por la conexión a Internet donde lo ha activado. Dado que el Servidor de seguridad de conexión a Internet funciona para cada conexión, debe activarlo en todos los equipos que tienen conexiones a Internet para ayudarle a proteger toda la red. Si activó el Servidor de seguridad de conexión a Internet en la conexión a Internet del equipo host con Conexión compartida a Internet, pero un equipo cliente con una conexión directa a Internet no está usando el Servidor de seguridad de conexión a Internet como protección, su red es vulnerable por una conexión no compartida.

Las definiciones de servicios que permiten que los servicios operen a través del Servidor de seguridad de conexión a Internet también funcionan para cada conexión. Si su red tiene varias conexiones de servidor de seguridad, debe configurar las definiciones del servicio para cada conexión de Servidor de seguridad de conexión a Internet a través del cual quiere que funcione el servicio.


El Servidor de seguridad de conexión a Internet y los mensajes de notificación

Dado que el Servidor de seguridad de conexión a Internet examina todas las comunicaciones entrantes, algunos programas, especialmente los de correo electrónico, pueden comportarse de manera diferente si activa el Servidor de seguridad de conexión a Internet. Algunos programas de correo electrónico consultan periódicamente el servidor de correo electrónico por si hay algún mensaje nuevo. Otros programas de correo electrónico esperan a que haya una notificación del servidor de correo electrónico.

Microsoft Outlook Express, por ejemplo, busca automáticamente mensajes de correo electrónico nuevos cuando un indicador de tiempo le indica que lo haga. Si hay mensajes de correo electrónico nuevos, Outlook Express le presenta una notificación de mensaje de correo electrónico nuevo. El Servidor de seguridad de conexión a Internet no afecta al comportamiento de Outlook Express, porque la solicitud de una nueva notificación del mensaje de correo electrónico se origina desde el interior del servidor de seguridad. El Servidor de seguridad de conexión a Internet anota una entrada en una tabla que lleva un seguimiento de la comunicación de salida. Cuando una nueva respuesta de correo electrónico es reconocida por el servidor de correo, el Servidor de seguridad de conexión a Internet encuentra una entrada asociada en la tabla y permite que la comunicación pase. Después recibe la notificación de que ha llegado un mensaje nuevo de correo electrónico.

Microsoft Outlook 2000 está conectado a un servidor basado en Microsoft Exchange que usa una llamada a procedimiento remoto (RPC) para enviar a los clientes notificaciones de mensajes nuevos de correo electrónico. Outlook 2000 no busca automáticamente mensajes nuevos de correo electrónico cuando conecta con un servidor basado en Exchange. El servidor basado en Exchange notifica a Outlook 2000 cuando llegan nuevos mensajes de correo electrónico. Como la notificación RPC se inició desde un servidor basado en Exchange que está fuera del servidor de seguridad (no por Outlook 2000), el Servidor de seguridad de conexión a Internet no puede encontrar una entrada correspondiente en la tabla. El Servidor de seguridad de conexión a Internet no permite que los mensajes RPC crucen de Internet a la red doméstica. El mensaje de notificación de RPC se descarta. Puede enviar y recibir mensajes de correo electrónico, pero debe examinar manualmente si hay correo electrónico nuevo.


Configuración avanzada del Servidor de seguridad de conexión a Internet

Puede usar la característica de registro de seguridad del Servidor de seguridad de conexión a Internet para crear un registro de seguridad de la actividad del servidor de seguridad. El Servidor de seguridad de conexión a Internet puede registrar tanto el tráfico permitido como el que es rechazado. Por ejemplo, de manera predeterminada el Servidor de seguridad de conexión a Internet no permite las solicitudes de eco entrantes desde Internet. Si no está activado el valor Permitir solicitud de eco entrante del Protocolo de mensajes de control de Internet, la solicitud entrante no tiene éxito y se genera una entrada del registro que anota el intento de entrada no logrado.

Puede modificar el comportamiento del Servidor de seguridad de conexión a Internet activando diversas opciones ICMP, tales como Permitir solicitud de eco entrante, Permitir solicitud de marca de hora entrante, Permitir solicitud de enrutador entrante y Permitir redirección. La ficha ICMP contiene breves descripciones de estas opciones.

Puede establecer el tamaño permitido del registro de seguridad para prevenir un desbordamiento que podría ser causado por ataques de denegación de servicio. El registro de eventos se generan en el Formato de archivo de registro extendido tal como es establecido por World Wide Web Consortium (W3C).

Referencias

Para obtener información adicional acerca de cómo activar o desactivar el Servidor de seguridad de conexión a Internet, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx
Para obtener más información acerca de cómo activar o desactivar el Servidor de seguridad de conexión a Internet, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
283673 Cómo activar o desactivar el servidor de seguridad en Windows XP
Para obtener más información acerca de cómo puede el Servidor de seguridad de conexión a Internet impedir el acceso a los recursos compartidos de archivos e impresoras, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
298804 Los servidores de seguridad de Internet pueden impedir el examen y el uso compartido de archivos
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
306203 El Servidor de seguridad de conexión a Internet y el servidor de seguridad básico no bloquean el tráfico de la versión 6 del Protocolo de Internet
Para obtener información adicional acerca del archivo de registro de seguridad del Servidor de seguridad de conexión a Internet, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
Para obtener información adicional acerca de las definiciones de servicios, visite los siguientes sitios Web de Microsoft:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx
Para obtener información adicional acerca de ICMP, visite los siguientes sitios Web de Microsoft:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx
Para obtener información adicional acerca de la versión del servidor de seguridad de Windows incluida en Windows XP SP2, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/windowsxp/using/security/internet/sp2_wfintro.mspx

Propiedades

Id. de artículo: 320855 - Última revisión: viernes, 17 de febrero de 2006 - Versión: 5.1
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Palabras clave: 
kbinfo kbfirewall kbenv KB320855

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com