Hardware Upgrade Forum - View Single Post

Perseverance · 22-07-2010, 13:01

Ho usato queste regole per intensificare la sicurezza di questi due programmi abbastanza critici. Per WinXP e precedenti non c'è bisogno di tale lavoro, mentre per Vista\7 và fatto altrimenti alcune cose non funzionano.

Aggiungere a "My Network Zone":

Multicast ridotta
224.0.0.0 - 224.0.0.2
224.0.0.5 - 224.0.0.6
224.0.0.9 - 224.0.0.10
224.0.0.13
224.0.0.18 - 224.0.0.22
224.0.0.102 -
224.0.0.251 - 224.0.0.252
224.0.1.1
224.0.1.39 - 224.0.1.41
0.0.0.0
255.255.255.255
127.0.0.1

Time
192.43.244.18
207.46.232.182
131.107.13.100
129.6.15.28 - 129.6.15.29

(Abbreviata d'ora in poi MUAZZB)
Multicast, Unicast, Anycast, Zerocast, Zeroconf, Broadcast:
224.0.0.0 - 239.255.255.255
10.0.0.0 - 10.255.255.255
192.88.99.0 - 192.88.99.255
0.0.0.0 - 0.255.255.255
169.254.0.0 - 169.254.255.255
255.255.255.255
127.0.0.1

Modificare la voce della vostra rete

Di solito viene individuata come "Local area network #1", rinominatela semplicemente in LAN, e correggete l'indirizzo in 192.168.1.1 / 255.255.255.0 nel mio esempio, questo più che altro serve per correttezza di lettura. Sempre dentro LAN aggiungete la rete 192.168.56.1 / 255.255.255.0 che verrà usata dalla virtualbox (se l'avete installata) sfruttando il miniportwan.

Date OK a tutto chiudete e riaprite la finestra di comodo. Disabilitate nelle opzioni di comodo la rilevazione automatica di nuove reti. Adesso in Application rules bisogna togliere tutte le regole create in automatico per system e svchost, quindi:

Impostare in "application rules" per SYSTEM:

Regola: LAN In/Out
Allow IP In/Out
Source Zone: LAN
Destination Zone: LAN
IP Any

Regola: Apipa In/Out
Allow IP In/Out
Source Zone: MUAZZB
Destination Zone: MUAZZB
IP Any

Regola: Discovery
Allow IP Out
Source Zone: Any
Destination Zone: MUAZZB
IP Igmp

Regola: Deny ALL
Block IP In/Out Any, Any, Any

Impostare in "application rules" per SVCHOST:

Regola: LAN In/Out
Allow IP In/Out
Source Zone: LAN
Destination Zone: LAN
IP Any

Regola: DNS*
Allow UDP Out
Source Zone: Any
Destination Zone: DNS
Source port: Any
Dest port: 53

Regola: Orologio
Allow UDP Out
Source Zone: LAN
Destination Zone: Time
Source port: 123
Dest port: 123

Regola: DHCP
Allow UDP Out
Source Ip: 0.0.0.0
Destination Ip: 255.255.255.255
Source port: Any
Dest port: Any

Per regole più precise cancellare la precedente DHCP (o spostarla infondo DOPO Deny All) e aggiungere le seguenti:

Regola: Dialogo RFC IP Class
Allow TCP or UDP In/Out
Source Zone: MUAZZB
Destination Zone: MUAZZB
Source port: Any
Dest port: Any

Regola: Handshakes Foward
Allow TCP or UDP Out
Source Zone: LAN
Destination Zone: MUAZZB
Source port: Any
Dest port: Any

Regola: Handshakes Feedback
Allow TCP or UDP In
Source Zone: MUAZZB
Destination Zone: LAN
Source port: Any
Dest port: Any

Regola: Deny ALL
Block IP In/Out Any, Any, Any

Date OK a tutto chiudete e riaprite la finestra di comodo. Adesso in Global Rules eliminate tutte le voci verdi create automaticamente, creare la regola e spostarla incima:

Impostate in "global rules":

Regola: Allow IP LAN In/Out Any
Allow IP In/Out
Source Zone: LAN
Destination Zone: LAN
IP Any

Date OK a tutto e riavviate il computer!

Commenti:
Adesso se utilizzate winvista\7, quando collegate il cavo di rete o vi connettere alla wifi è probabile che vi compaia l'icona col triangolino giallo di avviso problemi. Non appena iniziate a navigare o a fare qualunque attività sul web tale icona scomparirà. Xkè questo problema? Non è un problema, il fatto è che Vista\7 al momento della connessione dialoga con uno dei server microsoft collegandosi sulla porta 80 tramite SVCHOST, non mi è ancora chiaro se questa sia una backdoor di microsoft, ad ogni modo con queste nuove regole andiamo ad interrompere questa comunicazione, di conseguenza vista\7 interpretano questa mancanza di comunicazione con microsoft come "problema sulla rete". Senza paranoie ci stà che questo dialogo tra client e microsoft sia solo un espediente per testare la connessione internet. Ma allora non bastava un ping a google? Mah! Cmq a breve mapperò quei due o tre indirizzi, facendo una regola solo per loro.

*Chi utilizza il DHCP o indirizzi DNS nelle proprietà della connessione di rete deve creare una nuova network zone dove inserisce gli ip dei DNS che usa. Altrimenti se utilizzate il router sia come DNS che come Gateway (nelle proprietà della connessione) non scrivete questa regola.

22-07-2010, 13:01	#1613
Perseverance Senior Member Iscritto dal: Jul 2008 Messaggi: 8106	Strenghtening delle regole per SVCHOST e SYSTEM Ho usato queste regole per intensificare la sicurezza di questi due programmi abbastanza critici. Per WinXP e precedenti non c'è bisogno di tale lavoro, mentre per Vista\7 và fatto altrimenti alcune cose non funzionano. Aggiungere a "My Network Zone": Multicast ridotta 224.0.0.0 - 224.0.0.2 224.0.0.5 - 224.0.0.6 224.0.0.9 - 224.0.0.10 224.0.0.13 224.0.0.18 - 224.0.0.22 224.0.0.102 - 224.0.0.251 - 224.0.0.252 224.0.1.1 224.0.1.39 - 224.0.1.41 0.0.0.0 255.255.255.255 127.0.0.1 Time 192.43.244.18 207.46.232.182 131.107.13.100 129.6.15.28 - 129.6.15.29 (Abbreviata d'ora in poi MUAZZB) Multicast, Unicast, Anycast, Zerocast, Zeroconf, Broadcast: 224.0.0.0 - 239.255.255.255 10.0.0.0 - 10.255.255.255 192.88.99.0 - 192.88.99.255 0.0.0.0 - 0.255.255.255 169.254.0.0 - 169.254.255.255 255.255.255.255 127.0.0.1 Modificare la voce della vostra rete Di solito viene individuata come "Local area network #1", rinominatela semplicemente in LAN, e correggete l'indirizzo in 192.168.1.1 / 255.255.255.0 nel mio esempio, questo più che altro serve per correttezza di lettura. Sempre dentro LAN aggiungete la rete 192.168.56.1 / 255.255.255.0 che verrà usata dalla virtualbox (se l'avete installata) sfruttando il miniportwan. Date OK a tutto chiudete e riaprite la finestra di comodo. Disabilitate nelle opzioni di comodo la rilevazione automatica di nuove reti. Adesso in Application rules bisogna togliere tutte le regole create in automatico per system e svchost, quindi: Impostare in "application rules" per SYSTEM: *Regola: LAN In/Out* Allow IP In/Out Source Zone: LAN Destination Zone: LAN IP Any *Regola: Apipa In/Out* Allow IP In/Out Source Zone: MUAZZB Destination Zone: MUAZZB IP Any *Regola: Discovery* Allow IP Out Source Zone: Any Destination Zone: MUAZZB IP Igmp *Regola: Deny ALL* Block IP In/Out Any, Any, Any Impostare in "application rules" per SVCHOST: *Regola: LAN In/Out* Allow IP In/Out Source Zone: LAN Destination Zone: LAN IP Any *Regola: DNS Allow UDP Out Source Zone: Any Destination Zone: DNS Source port: Any Dest port: 53 Regola: Orologio Allow UDP Out Source Zone: LAN Destination Zone: Time Source port: 123 Dest port: 123 Regola: DHCP Allow UDP Out Source Ip: 0.0.0.0 Destination Ip: 255.255.255.255 Source port: Any Dest port: Any Per regole più precise cancellare la precedente DHCP (o spostarla infondo DOPO Deny All) e aggiungere le seguenti: Regola: Dialogo RFC IP Class Allow TCP or UDP In/Out Source Zone: MUAZZB Destination Zone: MUAZZB Source port: Any Dest port: Any Regola: Handshakes Foward Allow TCP or UDP Out Source Zone: LAN Destination Zone: MUAZZB Source port: Any Dest port: Any Regola: Handshakes Feedback Allow TCP or UDP In Source Zone: MUAZZB Destination Zone: LAN Source port: Any Dest port: Any Regola: Deny ALL Block IP In/Out Any, Any, Any Date OK a tutto chiudete e riaprite la finestra di comodo. Adesso in Global Rules eliminate tutte le voci verdi create automaticamente, creare la regola e spostarla incima: Impostate in "global rules": Regola: Allow IP LAN In/Out Any Allow IP In/Out Source Zone: LAN Destination Zone: LAN IP Any Date OK a tutto e riavviate il computer! Commenti:** Adesso se utilizzate winvista\7, quando collegate il cavo di rete o vi connettere alla wifi è probabile che vi compaia l'icona col triangolino giallo di avviso problemi. Non appena iniziate a navigare o a fare qualunque attività sul web tale icona scomparirà. Xkè questo problema? Non è un problema, il fatto è che Vista\7 al momento della connessione dialoga con uno dei server microsoft collegandosi sulla porta 80 tramite SVCHOST, non mi è ancora chiaro se questa sia una backdoor di microsoft, ad ogni modo con queste nuove regole andiamo ad interrompere questa comunicazione, di conseguenza vista\7 interpretano questa mancanza di comunicazione con microsoft come "problema sulla rete". Senza paranoie ci stà che questo dialogo tra client e microsoft sia solo un espediente per testare la connessione internet. Ma allora non bastava un ping a google? Mah! Cmq a breve mapperò quei due o tre indirizzi, facendo una regola solo per loro. Chi utilizza il DHCP o indirizzi DNS nelle proprietà della connessione di rete deve creare una nuova network zone dove inserisce gli ip dei DNS che usa. Altrimenti se utilizzate il router sia come DNS che come Gateway (nelle proprietà della connessione) non scrivete questa regola. __________________ System Failure Ultima modifica di Perseverance : 13-08-2010 alle 14:01.*