Resolución de Problemas de Conectividad (No puedo conectarme a …) – Cortafuegos y Servicio que Espere Conexión

Ya vistos los pasos para la resolución de problemas de conectividad que hemos hecho en las dos notas anteriores:

Si tenemos conectividad IP, y además resolvemos correctamente el nombre de la máquina destino, nos queda esta última parte, donde veremos los motivos para no poder acceder a un servicio o aplicación

Es muy común ver la pregunta “¿cómo hago para abrir X puerto?” cuando en realidad no es solamente esa condición para poder conectarse a un servicio o aplicación, sino que además y muy importante es que dicho servicio o aplicación esté esperando, “escuchando” decimos, recibir esa conexión

No sólo debe estar el puerto abierto, sino que además debe haber algo que escuche, que espere recibir la conexión remota

La mayoría de las aplicaciones y servicios propios de Windows, al instalarlas o habilitarlas automáticamente modifican el cortafuegos abriendo el o los puertos correspondientes, pero no todas las de terceros lo hacen

Comencemos por el el Cortafuegos incluido con el propio sistema operativo, que por omisión está activo, y es muy recomendable mantenerlo en ese estado, ayuda a la seguridad de la instalación

Es importante mencionar que el Cortafuegos se comporta de diferente forma de acuerdo a que detecte la conexión de red como “Pública” (o “Desconocida”), “Privada” o “Dominio”. Siendo mucho más restrictivo en el primero de los casos

Para el que tenga problemas para cambiar entre “Pública” y “Privada” recomiendo vea la nota “Cambiar Perfil de Red Pública a Privada o Privada a Pública (Fácil)

De todas formas, la configuración por omisión en cualquiera de los tres perfiles de red es muy floja, entiendo que es así para no poner en situaciones complicadas a quien no domine el tema. Por omisión permite sin limitaciones todas las conexiones salientes; y las entrantes sólo si están respondiendo a un pedido o si está explícitamente indicada

Vemos esto ingresando a “Windows Firewall with Advanced Security” donde podemos ver en la pantalla inicial el estado para cada pefil de red, y además que tenemos una serie de reglas predefinidas, tanto de entrada (“Inbound”) como de salida (“Outbound”). Las con símbolo verde están habilitadas, y si el signo es en gris entonces significa que no está activa. Las de salida (“Outbound”) aunque están definidas en realidad no afectan, ya que por omisión el sistema permite todas, estén definidas o no; esto se puede cambiar aunque no es algo muy común

Confirmando lo dicho anteriormente, si ingresamos a las Propiedades de “Windows Firewall with Advanced Segurity” observamos que para los tres posibles perfiles de red, y los valores por omisión

Algo importante es que si pulsamos el botón “Customize” nos permite elegir sobre qué interfaces estará activo el sistema, podríamos exceptuar alguna si tuviéramos varias

Para tener un mejor panorama les recomiendo observen cuáles son las reglas predefinidas tanto de entrada como de salida

Si la aplicación o servicio que instalamos no hiciera los cambios necesarios en el Cortafuegos, podemos crear la regla en forma manual

Como ejemplo explicativo, mostraré los pasos para crear una regla de entrada en forma general, cada uno deberá adaptarla de acuerdo a necesidad

Con botón derecho sobre el tipo de regla a crear comenzará un asistente

Como siempre el objetivo es “trabajar menos” el sistema ya nos ofrece cuatro posibilidades:

  • Un programa específico
  • Indicando los puertos de conexión
  • Una regla ya predefinida
  • Una personalizada

Mostraré las opciones de esta última pues es la que más opciones ofrece, pero no la hagan como muestro, ya que equivaldría a quitar el Cortafuegos

Podremos seleccionar una aplicación específica

Protocolo y puertos tanto locales como remtos

Direcciones IP locales y remotas

Y si la conexión es permitida, denegada, o debe ser segura. Este último caso está relacionado al uso de IP-Sec que en esta ocasión no entraré en detalles

Para qué perfil o perfiles de red se aplicará

Y por último preguntará por el nombre de la regla. En este caso simplemente cancelaré la creación, ya que las opciones que fue mostrando equivaldrían a deshabilitar al Cortafuegos

Si hicimos la correcta configuración del cortafuegos, y hay una aplicación o servicio que esté esperando recibir una conexión ya debería funcionar todo correctametne, pero no siempre es así, y tenemos otra opción

Podemos ver qué puertos están escuchando, que sesiones están establecidas o esperando conexión, pero debemos ejecutar el comando NETSTAT desde un CMD ejecutado como administrador

Este comando tiene varios modificadores que ofrecen diferentes opciones, que las podremos ver con el modificador “-?”

Estos modificadores se pueden combianr en uno sólo como muestra la siguente captura. Aunque no mostraré cada uno de ellos, si lo haré sobre una opción de las que más comunmente se utilizan, ya que permite ver los puertos en escucha y conexiones, las direcciones IP y puertos, y cuál es el ID del proceso en escucha o con conexión

Sólo faltaría conocer a qué aplicación o servicio pertenece el ID de proceso, pero eso lo podemos ver fácilmente en el Administrador de Tareas

Todavía hay algo que puede generar dudas, y es que normalmente aparecen varias instancias del proceso SVCHOST. Este proceso es simplemente un “lanzador de servicios” y es utilizado en varias instancias por Windows

Esto se debe a que hay servicios que pueden compartir su espacio de memoria con otros, pero algunos no deben hacerlo. Además hay servicios que se ejecutan con diferentes cuentas como pueden ser: “System”, “Network Service” o “Local Service” para nombrar sólo algunos

Para saber qué servicios se están ejecutando en cada instancia de SVCHOST hay un utilitario gratuito, de uso muy sencillo llamado “Svchost Viewer” que se puede descargar desde https://svchostviewer.codeplex.com/

Para poder usarlo es necesario tener instalado, o instalar previamente “.NET Framework 3.5”. Si tienen problema para instalar este componente revisen la siguiente nota: “Windows Server 2012 (R2) – Instalar .NET Framework 3.5

No requiere instalación “Svchost Viewer”, sólo debemos descomprimir el ZIP y ponerlo en una carpeta a gusto

Y al ejecutarlo nos mostrará por cada instancia de SVCHOST qué servicios contiene cada una. Inclusive, seleccionando un servicio permitirá ver si se puede pausar o detener dicho servicio

 

Llego hasta acá con esta serie de tres notas que espero les sean de utilidad

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Bryan David Román  On 23/02/2017 at 15:08

    Muy buena tu nota Guillermo, conocía algunas cosas del Firewall pero no sabía sobre las opciones por defecto y del comando Netstat.

    Algo que quiero añadir en la parte sobre las instancias de Svchost es que también es posible ver los servicios de cada instancia con solo darle clic derecho y luego seleccionar “Ir al servicio”, luego te lleva a la pestaña “Servicios” y los que estén seleccionados son los servicios que está “usando” esa instancia de Svchost.

    Aunque es un poco más simple ver los servicios de esta manera (comparado con el Svchost Viewer), sirve para algún apuro o alguna cosa similar, además de que también es posible desactivar y reactivar los servicios desde esta pestaña.

    Y muchas gracias por tus notas, me has enseñado mucho más que otros sitios web, :D

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: