Configurando el Firewall en Windows y un poco de su historia

Desde hace algunos años el firewall o cortafuegos en el idioma de Cervantes, es un método de seguridad con poca efectividad real contra amenazas o ataques sino está configurado correctamente.En este articulo pretendemos explicar un poco de historia del firewall del Windows y como poder tener un cortafuegos un poco más útil y para protejernos de futuras amenazas. Aquí puedes saber un poco más sobre firewalls.

El Firewall en anteriores versiones de Windows XP

Antes de la llegada de Windows XP, se puede decir que no existía un firewall de Windows en el sistema. Si bien es cierto que sí disponíamos de herramientas de terceros, que podían suplir dicha funcionalidad pero no contábamos con un firewall en el sistema. No obstante se podían realizar algunas acciones de filtrado, como cerrar puertos o habilitar puertos mediante las propiedades avanzadas de la configuración TCP/IP, muy rudimentarias.

El Firewall evolucionó al llegar Windows XP SP2

Después del Windows XP Service Pack 2, ya sí que se dispuso de una GUI para poder modificar las opciones básicas y avanzadas de configuración del firewall. Además de incorporar la posibilidad de lanzar configuraciones a través de líneas de comandos, algo que permitió ejecutar configuraciones de múltiples ordenadores en nuestra red.

Veamos un ejemplo, de cómo añadir una regla de programa en firewall mediante linea de comandos.

CMD> netsh firewall add allowedprogram “C:\archivos de programa\jordi\aplicacion.exe” all


Este es un ejemplo del comando netsh, con el cual podemos añadir una regla de excepción de todos los perfiles de esta máquina. Por tanto a la aplicacion.exe se le permite pasar a través del firewall.

El Firewall siguió evolucionando en Windows Vista, Windows 7 hasta llegar al actual de Windows 10

Sin embargo, no sería hasta Windows Vista y Windows 7 cuando el firewall diese un importante salto de calidad, considerando este ahora sí un verdadero firewall, proporcionando un gran número de funcionalidades avanzadas. La evolución más importante fue el firewall bidireccional en ambos sentidos, ahora permitía gestionar las conexiones de entrada y las conexiones de salida hacia nuestro equipo, ya que hasta entonces sólo se disponía la gestión entrada de tráfico.

Y ahora hablemos un poco más en profundidad del firewall y de los diferentes perfiles que incorpora. Windows crea tres perfiles por cada interfaz de red, y cada perfil contiene un conjunto reglas definidas que se aplican a la tarjeta de red. Los perfiles son Dominio, Privado y Público:

  • Perfil Dominio: Es utilizada para redes con Active Directory (trabajo).
  • Perfil Privado: Es utilizada para redes privadas (casa).
  • Perfil Público: Es utilizada para redes desconocidas (Internet).

Además, dentro de cada perfil dispondremos de dos direcciones del tráfico:

  • Conexiones entrantes: Son todas las conexiones que vienen desde el exterior hacia nuestro equipo, está habilitada por defecto con reglas creadas por Microsoft.
  • Conexiones salientes: Son las conexiones que van desde nuestro equipo al exterior, es decir hacia Internet o la red local.

El mayor problema del firewall de Windows, es que los usuarios noveles pueden sentirse perdidos o abrumados por la cantidad de opciones de configuración, les puede entrar el pánico ante la cantidad de opciones existentes y la interfaz gráfica no es muy amigable ciertamente.

El gran problema de las configuraciones de firewall de Windows

El principal problema del firewall de Windows se encuentra en las configuración, y es que por defecto el tráfico de las conexiones salientes en Windows está permitido, esto quiere decir que cualquier programa de nuestro equipo puede acceder a Internet. Microsoft no aplica esta configuración por defecto, ya que podría generar problemas en las instalaciones iniciales de los equipos, la usabilidad y complicaría la vida al usuario no avanzado. No obstante esto supone un riesgo, ya que cualquier software puede enviar información a Internet. Ya sea un troyano para conectarse al master de una botnet, como un fichero malicioso que actúa como servidor de correo para realizar spam desde de nuestro equipo.

No te preocupes, te enseñamos como configurarlo

Existen varias formas de acceder al Firewall, pero el método más rápido y sencillo de abrir la configuración del firewall. Esto lo podemos realizar fácilmente presionando las teclas WIN + R y escribiendo el programa wf.msc y pulsando en Aceptar.
Aquí es donde se encuentra el firewall de Windows, ese gran desconocido.

Configurado el firewall las conexiones salientes:

Cuidado al aplicar esta configuración
Debemos tener en cuenta que las conexiones de nuestro equipo hacia Internet deberán habilitarse manualmente y es posible que no se puedan usar ciertos programas, hasta no disponer todas nuestras reglas de configuración aplicadas. Para algunos usuarios puede resultar difícil mantener esta configuración.

En el menú principal del firewall, donde deberemos hacer click al botón derecho en Windows defender firewall y seleccionar propiedades.

Vamos al perfil deseado, en nuestro caso perfil privado y podemos observar que las conexiones salientes están permitidas por defecto (en el punto 4).

Para bloquear las conexiones salientes, en el punto 5 seleccionamos el desplegable y elegimos la opción de bloquear, y en el punto 6, revisamos que las conexiones entrantes envíen una notificación cuando se bloquean, lo que nos facilitará las alertas en el sistema. Y para finalizar, seleccionamos la opción de aceptar para aplicar los cambios.

Una vez aplicados los cambios y desde este momento, ya tenemos las conexiones salientes bloqueadas en el sistema.

¿Qué ocurre a partir de este momento?

A partir de ahora, lo más probable es que puedas navegar mediante el navegador Edge, ya que Windows incorpora reglas de salida para ese navegador. Por el contrario, si intentamos utilizar el navegador Chrome o cualquier otro, no permitirá navegar y recibiremos un mensaje como el siguiente.

¿Cómo solventamos esta situación? Creando reglas.

Después de bloquear las conexiones salientes, debemos crear las reglas necesarias que permitan la salida a los programas que otorgamos acceso a conectarse a Internet. En la configuración de firewall, seleccionamos la sección de reglas salientes y en la parte derecha de la pantalla y seleccionamos nueva regla de salida.

Nos preguntara qué tipo de regla queremos crear, las más rápidas son las reglas de programa. La seleccionamos y pulsamos siguiente.

En la siguiente pantalla nos permitirá seleccionar la opción de todos los programas o un programa en concreto. Seleccionaremos la opción de un programa concreto y elegiremos la ruta del programa que deseamos conceder salida hacia Internet y, mediante el botón de examinar, buscaremos la ruta donde permanece instalado el navegador Chrome, y seleccionamos el fichero ejecutable y pulsamos siguiente.

En el siguiente paso nos solicitará que acción deseamos realizar con la regla. Como por defecto tenemos todas la conexiones bloqueadas, seleccionaremos permitir la conexión al programa y pulsaremos siguiente.

Llegados a este punto, solicitará a qué perfil queremos asociar esta regla. Podemos restringirlo o dejarlo en todos los perfiles opción recomendada, dejaremos todos los perfiles seleccionados y pulsamos siguiente.

En el ultimo paso, se nos solicitará un nombre para la regla creada. Es conveniente que el nombre de la regla creada sea descriptivo, de esta forma facilitaremos la compresión de qué reglas están actuando en cada momento. Por ejemplo podemos poner en el nombre Salida de Chrome y seleccionar finalizar. Desde este momento ya dispondremos de navegación con Chrome. Para terminar de configurar nuestro equipo, deberemos repetir estos pasos con todos los programas que queramos que salgan a Internet, normalmente no suelen ser más de 15 o 20 por equipo. De esta manera tendremos un mínimo de seguridad en nuestro equipo.

Para hacer nuestras reglas con tranquilidad y con tiempo, sería buena idea realizar una regla que permita la salida a todos los programas, y así la podríamos habilitar o deshabilitar a nuestra voluntad. Siempre que tengamos algún problema de conexión, podremos habilitar la regla de salida de todos los programas. Por defecto como medida de seguridad, siempre dejaríamos la regla deshabilitada.

Opciones de Firewall mediante línea de comandos

Una de las grandes ventajas, es que todas las reglas pueden crearse desde línea de comandos, y permititen exportarse fácilmente. Podemos exportar la configuración de un equipo e importarla a otro. Esto es muy útil ya que una vez dedicado un tiempo a configurar nuestro firewall siempre dispondremos de dicha configuración y la podremos intercambiar entre diferentes equipos.

Veamos cómo acceder a todas las opciones, el comando que disponemos para el firewall y ver la ayuda es el siguiente:

CMD> netsh advfirewall ?

Podemos observar que las opciones son varias y muy extensas, no es el objetivo explicar todas las opciones aquí, pero vamos a realizar el ejemplo de crear una regla de salida con línea de comandos. Veamos un ejemplo de crear una regla para dar salida a Internet al programa Firefox, podemos hacerlo ejecutando el siguiente comando:

CMD> netsh advfirewall firewall add rule name="Salida_Firefox" dir=out action=allow program="C:\Program Files (x86)\Mozilla Firefox\Firefox.exe" enable=yes

Si la regla se ha aplicado correctamente el comando responder aceptar, como el siguiente ejemplo:

A vosotros, ¿qué os parecen estas opciones ? ¿Os ha resultado útil? ¿Cuál es vuestra experiencia con estas configuraciones?

Adjunto una guía con varias opciones, para quien quiera profundizar con el firewall de Windows en modo linea de comandos