configurazione firewall

Ciao a tutti,
tante volte ho letto che un firewall configurato male non va, di configurare bene il firewall etc. etc.. anche nel mio ultimo post si è parlato di questo ed in particolare a svchost.exe.
Ora mi piacerebbe aprire una discussione sull'argomento magari riferendosi ai più noti firewall utilizzati (ZA, norton, tiny, etc.) e a consigli pratici/operativi per limitare i rischi.
Ho letto di chiudere la porta 135 ma come si fa in pratica?
Credo possa essere interessante parlarne.
Grazie, ciao
tontolone

Certo che è interessante, infatti se n'è parlato in decine e decine di post. Cerca le parole:
firewall
kerio (e altri nomi di firewall)
svchost.exe
sul forum....
Per quanto riguarda svchost.exe, ci sono discussioni anche molto recenti.
Per la porta 135, vai su www.grc.com e scarica dcombulator (freeware), comunque il firewall respingerebbe attacchi blaster anche su sistemi non patchati, se opportunamente configurato (cioè, da persone che sanno cosa fare).
Se dopo faccio in tempo, controllo nei miei link per vedere se ho segnato qualche discussione vecchia (qualche mese fa) sull'argomento firewall.
Tu CERCA, comunque
ciao
Paolo

http://www.freeforumzone.it/viewmessaggi.aspx?f=3913&idd=16564

Questo è un thread molto interessante dove affronti l'argomento in maniera abbastanza semplice ma che a me fa sorgere dei dubbi immediatamente.
Mi spiego meglio:
prima usavo zonealarm ed oggi norton firewall, in pratica una volta installato aspettavo i vari avvisi di settaggio per i vari programmi e semplicemente per Iexplorer.exe e oulook.exe davo "permit all" e così pure per altri programmi noti utilizzati in rete. Altri programmi invece li mettevo con "block all" e in quasi tutti i casi dicevo di ricordaqrsi questa scelta per il futuro. Ora non ricordo ZA ma su norton ho curiosato oggi ed in effetti esiste la possibilità di un custom level dove si possono specificare pare porte e via dicendo, non ho visto invece la possibilità di distinguere TCP/UDp uscenti o entranti.
Mi sorge quindi la domanda se il mio comportamente adottato fino ad oggi (ovvero di permettere l'accesso ad internet solo ai programmi "noti") fosse il classico approccio da scellerato che potrebbe anche fare a meno di un firewall o se comunque ho limitato i danni o addirittura mi sono protetto seppur maldestramente (dai controlli fatti ogni tanto su grc o altro sono sempre risultato "invisibile").
Attendo commenti e consigli, sono interessato ed anche preoccuato
Ciao, grazie.
Tontolone

I firewall piu' configurabili sono quelli che funzionano con un set di regole (rule) incolonnate (ognuna ha una priorità, sono come filtri in sequenzia), regole perfezionabili in molti dettagli (protocollo, porte e ip locali e remoti, validità della regola, programma cui applicarla, operazioni da eseguire quando la regola entra in azione etc.).
La cosa MIGLIORE è di lasciare perennemente il firewall in modalità apprendimento, cioè pronto a risvegliarsi ad ogni tentativo d'accesso di un programma che non risulta nelle sue regole già impostate.
In questo modo, qualsiasi programma (di sistema, in background etc.) che tenta la connessione per qualche scopo suo (magari per cercarsi aggiornamenti e nuove versioni) viene intercettato e viene mostrato all'utente cosa quel programma sta cercando di fare. Cosa utilissima anche per capire chi, come e dove si deve connettere o non si deve connettere.
Io quando installo un firewall su qualche pc prima di tutto ritocco le eventuali regole predefinite (predefinite MALE...), per esempio nego l'accesso alle applicazioni di sistema che di solito sono considerate invece perfettamente legittime. Ovviamente, accettando le conseguenze di questo. Oppure, se alcune di queste applicazioni servono davvero per alcuni servizi di rete, occorre permetterne l'accesso ma con certi limiti precisi.
Per quello, è meglio usare firewall in cui specificare nel dettaglio cosa è lecito e cosa no, non come certi firewall inconfigurabili o quasi, in cui un'applicazione puo' essere fatta passare o no (se viene fatta passare, puo' fare TUTTO, se non viene fatta passare non puo' far NIENTE).
Poi, imposto le regole già ben conosciute in anticipo (browser vari (porta 80 e qualche altra), programmi di posta (110, 25, 119 passano, le altre no, compresa la famigerata 80..).
Anche se si puo' fare benissimo al primo utilizzo, attendendo la finestra di proposta di autoconfigurazione e completandola opportunamente.
Io lo faccio prima per concentrare tutte le cose ben note in poche regole, per alleggerire il numero delle regole e fare regole piu' snelle e mirate (esempio, una regola sola che gestisce 5 porte di IE piuttosto che 5 regole che gestiscono ognuna una porta..).
Poi, comincio a usare tutti i programmi che hanno a che fare con internet, e li configuro personalizzando la finestra di autoconfigurazione oppure accettandola di getto e poi editandola dopo.
Poi, se successivamente si aprono finestre varie, mi regolo di conseguenza.
Esempio, lanci photoshop e lui vuole comunicare col suo sito, allora mutiliamo photoshop (o lo lasciamo passare).
E cosi via.
Rule restrittive, che autorizzano al minimo e negano esplicitamente solo le cose che vogliamo siano negate esplicitamente perchè SICURAMENTE non sono buone o non servono, altrimenti anzichè negare si lascia indefinito, per studiare i comportamente ancora incogniti di programmi nuovi. Per vedere che fanno, perchè e cosa fare nel caso.
ciao
Paolo

Ti ringrazio, piano piano ci arriverò.
Ora devo scegliere il firewall, su un CD ho norton che uso sul pc attualmente e che sinceramente non mi dispiace, però non vorrei che in qualche modo cessasse di funzionare visto che è 2002.
Zonealarm è sempre disponibile ma con le nuove "rivelazioni" su configurazioni sono un pò inquieto.
Allora ho visto tiny e kerio che dovrebbero somigliarsi ed entrambi se ho ben capito per uso personale sono gratuiti, qualcuno potrebbe confermarmi questa ultima convinzione ed eventualmente consigliarmi se usare tiny o kerio (ci sono i post vecchi ma non ho trovato questa informazione, davvero ).
Ciao, grazie
tontolone

Tiny e Kerio un tempo erano la stessa cosa (Kerio non esisteva), ora no (quello che era il tiny d'un tempo è diventato Kerio e tiny ha preso altre strade).
Firewall agili e freeware sono kerio, outpost, sygate.
Io non mi discosterei da uno di questi. Su Kerio trovi un sacco di post, qua dentro, alcuni molto precisi , e tanti link.
Outpost è ottimo ugualmente.
ciao
Paolo

Perfetto grazie, avrei però ancora una domanda, supponendo di scegliere un "permit all" per iexplorer.exe (dando l'ok la prima volta che lo si apre per navigare), e quindi non customizzandolo con porte varie, cosa si rischia di fatto? Durante la normale navigazione si potrebbe trarre qualche inconveniente? Lo stesso discorso vale ovviamente per altri programmi che siano altri browser o programmi di posta o altro ancora.
Ciao
tontolone

Tanto per cominciare, l'applicazione si chiama iexplore.exe , senza la "erre" che hai messo tu. E' importante non fare questi errori non tanto quando scrivi qua quanto nel momento in cui devi valutare se autorizzare o no, visto che iexplorer.exe è un noto virus (che imita il nome di iexplore.exe per passare inosservato ad occhi disattenti o ignoranti).
Ricordati che le applicazioni, di norma, devono solo effettuare comunicazioni OUTBOUND, cioè le comunicazioni tevono uscire dai programmi e andare in rete. Non è normale che connessioni esterne ENTRINO, succede solo in caso di programmi di filesharing, di programmi di video streaming, di ftp e poco altro. Ovviamente, i programmi inviano e ricevono dati, il punto è che li ricevono di solito dentro la comunicazione tcp partita da LORO.
Poi, i programmi che vengono autorizzati ad agire indiscriminatamente in rete sono meno sorvegliabili in quello che fanno, nei loro eventuali comportamenti sospetti, perchè una volta che li autorizzi poi non vieni piu' disturbato sia che arrivino connessioni dall'esterno e loro le ricevono (devono? non devono? ) sia che loro facciano comunicazioni chissà verso chi o chissà verso quale porta.
Un set di regole restrittive serve per sorvegliare e limitare il piu' possibile le operazioni dei programmi e limitarle a quello che ha un senso. Per esempio, un programma potrebbe voler connettersi ad internet per aggiornarsi. Se tu lo autorizzi per un certo ip e una certa porta (80, http, di norma) e verifichi che sia davvero il server di quel programma, e solo in uscita, sai che quel programma usa effettuare QUEL tipo di connessione e il giorno che quel programma tenterà - esempio - di connettersi inspiegabilmente ad un ALTRO ip e ad un'altra porta il firewall ti avviserà di questo (perchè non è pronto a quest'eventualità ) oppure negherà direttamente (perchè magari avevi GIA' vietato qualsiasi altra cosa che non fosse la connessione principale).
Studiare i comportamenti dei programmi aiuta a conoscere quello che fanno e perchè lo fanno, a vedere se cercano di connettersi al loro sito (e nel caso di programmi non propriamente ottenuti pagando la registrazione potrebbe essere una cosa spiacevole..), se cercano di connettersi a siti sconosciuti (magari per passargli informazioni, ovvero sono spyware), aiuta a vedere se RICEVONO connessioni dall'esterno (quando non dovrebbero farlo, magari, quindi potrebbero avere degli elementi trojan) etc.
Limitare gli accessi di IE e OE alle porte predefinite e lasciare gli le altre porte non specificate aiuta a capire quando il browser effettua o riceve connessioni anomale (non http, quindi) e limita i rischi di eventuali exploit su IE stesso, qualora si capitasse in qualche sito che tenta di usare IE in maniera non normale o lo aggredisce.
Poi, che IE non sia sicuro per i suoi bug e la sua interazione troppo profonda con windows stesso e la potenza degli activex , quello è sicuro, comunque monitorare appunto le sue attività e permettere in maniera predefinita solo in MINIMO aiuta a capire meglio cosa sta succedendo.
Ciao
Paolo