Muchas personas piensan que los ataques en Internet sólo afectan a los servidores de grandes corporaciones y que los usuarios comunes están a salvo de este tipo de ataques, pero no es así. Un ordenador personal puede ser atacado, y en muchos casos es un objetivo mucho más atractivo para un presunto cracker que un gran servidor, ya que suele ser más fácil de atacar y la capacidad de respuesta del atacado es mucho menor que si el objetivo es una empresa.

La posibilidad de este ataque depende en gran medida de la visibilidad de su ordenador en Internet. Si esta máquina se conecta por módem esporádicamente, las posibilidades de ser atacado son inferiores a las de aquellos equipos que están conectados a la red de forma permanente, y si estos se encuentran detrás de un router que haga NAT o enmascaramiento de direcciones, como sucede con la mayoría de los routers ADSL las posibilidades de ataque se reducen, pero aun así siguen existiendo.

Los sistemas Unix (y en cuanto a comunicaciones Mac OS X) se puede considerar Unix, son muy potentes pero esta misma potencia también representa un riesgo. No se trata de la existencia o no de agujeros de seguridad, simplemente que todos los servicios que ofrecen estos sistemas deben estar bien administrados ya que en caso contrario pueden ser usados por algún atacante para introducirse en su ordenador.

Mac OS X ofrece las herramientas para proteger su equipo, además de soluciones más completas de otros fabricantes que se ven más adelante, pero es muy importante saber manejarlas de una forma útil y efectiva.

Descubra los puntos débiles de su equipo

Antes de poder aplicar cualquier medida de protección es una buena idea comprobar el estado de su equipo o equipos. Para ello existen muchas herramientas en el mercado, algunas increíblemente sofisticadas, aunque también es posible hacer una verificación básica sin necesidad de recurrir a estos productos.

Dentro de la carpeta Utilidades que está dentro de Aplicaciones se encuentra el programa “Utilidad de Red”. Al abrir este programa verá una ventana con diversas etiquetas, siendo la última “Port Scan”. Lo que permite este programa es verificar qué puertos o servicios tiene activos un ordenador. En este caso se puede utilizar para descubrir el estado de su propio ordenador si es usted un particular o bien de todos los ordenadores de su oficina si es el responsable de esta red.

Puede imaginarse que un “puerto” es similar a una extensión telefónica en una empresa, siendo la dirección IP de su ordenador el teléfono de la centralita. Dependiendo del servicio al que desee conectarse, tendrá que usar una u otra extensión o uno u otro puerto en el caso del ordenador.

Opcionalmente en el campo Utilidad de red puede seleccionar un rango de puertos a explorar, si no lo hace el programa explorará todos los puertos entre el 1 y el 65535.

En teoría los puertos en los que funcionan los diversos servicios están comprendidos entre el 1 y el 1.023, denominados puertos privilegiados, pero con el tiempo los desarrolladores han ampliando este límite y actualmente hay servicios como los proxies que suelen funcionar en el 8080, los servidores de IRC en los puertos 6600, etc. Por este motivo no es mala idea explorar todos los puertos aunque sea una labor más larga.

¿Tener un puerto abierto significa necesariamente que el ordenador está desprotegido? No, no es así y normalmente el ordenador mantiene varios puertos abiertos para funcionar. Pero es conveniente saber cuáles son estos puertos para prevenir posibles ataques.

Una vez obtenida la lista de puertos compárela con la descripción que se da en el recuadro “Los puertos más importantes”, si todo va bien, la lista de puertos abiertos coincidirá con los servicios que tiene activados en el panel Compartir. Si aparece algún otro puerto, revise su descripción para verificar si puede corresponder a algún programa que tenga activo o bien no tiene ningún servicio conocido activado.

Este último caso podría identificar (aunque no obligatoriamente es así) a un ordenador que haya sido atacado y en el que su atacante haya instalado una puerta trasera. Si no es así, debe proceder a asegurar su ordenador para evitar que sea atacado.

La seguridad de un firewall

Existen muchos tipos de firewall (cortafuegos). El que incluye Mac OS X es de los más sencillos, aunque permite evitar muchos ataques. Normalmente se permite el acceso a todos los puertos y si no existe ningún programa que pueda responder a una petición, es entonces cuando se rechaza este acceso. En cambio con un firewall estándar se bloquea por omisión el acceso a cualquiera de los puertos e incluso aunque haya un programa “escuchando” en uno de los puertos. Es decir el firewall cambia el funcionamiento de “todo permitido” a “todo prohibido”.

Este tipo de protección es el que corresponde a un firewall sin control de estados, que únicamente evita que un ordenador externo ataque a los puertos no autorizados, pero no evita que se produzcan ataques más sofisticados.

Debe considerarse que un firewall debe proteger contra ataques inesperados lo que hace que siempre exista la posibilidad de que un nuevo ataque se salte todas las protecciones habilitadas.

A la hora de configurar un firewall es importante tener en cuenta que los puertos que se indican son los que corresponden a un servidor y no a un cliente. Salvo casos especiales estos clientes utilizan un puerto superior al 1024, que normalmente está abierto en el firewall. Por tanto sólo tendrá que prestar atención a los puertos en los que su ordenador tenga instalado un servidor.

Un caso especial son los programas conocidos como “peer to peer” o punto a punto. En este tipo de programas no existe un servidor y un cliente, sino que todos los ordenadores actúan en ambos roles, por lo que para usar uno de estos programas tiene que configurar el puerto correspondiente.

Configurar el firewall de Mac OS X

Desde Mac OS 10.2 este servicio es mucho más cómodo de configurar y manejar, ya que aparece como una etiqueta en la preferencia del sistema Compartir. Lo primero que debe hacerse es activar el firewall pulsando sobre el botón Iniciar. Automáticamente se bloquean todos los puertos con excepción de aquellos que estén activados en la etiqueta Compartir, ya que ambas pantallas están sincronizadas y cualquiera de los servicios que se active en Compartir se permite automáticamente en la ventana de Firewall.

Esta forma de trabajo sólo funciona para los siete servicios que aparecen en el panel Compartir y la situación se complica si se instalan y usan otros servicios, como por ejemplo un servidor DNS.

Otra posibilidad no contemplada es la de restringir las máquinas que pueden o no acceder desde el exterior a determinados servicios. Imagine que desea activar el servidor web de su ordenador pero sólo quiere que puedan acceder a él un grupo de amigos, cuya dirección IP sabe. Algunos firewall permiten prohibir el acceso al puerto 80 a todas las direcciones externas excepto a un conjunto que se defina, aunque no está contemplado en la interfaz del firewall de Apple.

Estas y otras opciones pueden emplearse desde el Terminal o bien con un paquete más completo como el Firewall Personal de Norton o Impasse.

Norton Personal Firewall 2.0

Este producto incluye versiones Mac OS 9.x y OS X, ofreciendo un nivel de protección similar para ambos entornos.

En el entorno Mac OS X