Firewall: realmente necessario?

lion246 · 06-01-2009, 17:22

Secondo voi è necessario abbinare la protezione antivirus a quella di un firewall software(ammesso che non sia presente nel router)?
Io attualmente utilizzo Avg free, dopo aver provato i noti comodo, outpost e zone alarm, che rimanevano scomodi per la notevole quantità di avvisi che generavano(che tendono a spaventare gli utenti meno esperti). Stavo , altrimenti, valutando l'acquisto di una suite completa di firewall come G-DATA, che è anche più user-friendly.
Secondo voi, se non si installa un buon firewall si è molto esposti al furto di credenziali di accesso ai siti di Home banking o alle password inserite nei siti a cui si è registrati?
Nel contesto di una azienda di meno di 10 persone, la soluzione ottimale sarebbe un'altra?

marmotta88 · 06-01-2009, 18:41

Un firewall è la prima difesa di un qualsiasi sistema informnatico che sia un pc domestico singolo che una grande lan aziendale da 1000 client.
Dico questo perché esistono software che scansionano la rete alla ricerca di porte aperte ( port scan ) e quando trovano ingressi liberi cercano di introdurre codice malevolo e/o rubare dati.
Alcuni esempi sono i virus sasser, blaster e il recente worm.conficker, un firewall è in grado di bloccarli sul punto di ingresso.
Certo l'antivirus li blocca comunque, ma metti che ti entra un codice malevolo che l'av non riconosce...

Detto questo non voglio terrorizzarti, ma ho cercato di farti capire la situazione.

Un firewall del router ti protegge solo dalle schifezze in ingresso, mentre le connessioni in uscita le controlla solo un firewall software.

G-Data è una buona suite, ma è molto pesante.
Se i firewall ti stressano e non hai un router lascia attivo quello nativo di windows, tenendo presente che ti protegge solo dal malware in ingresso.

Ciao, scusa la lunghezza del post, ma mi sono lasciato prendere

.

Ignorante Informatico · 06-01-2009, 18:47

Quote:

Originariamente inviato da lion246

..Nel contesto di una azienda di meno di 10 persone, la soluzione ottimale sarebbe un'altra?

Premettendo che un buon antivirus non faccia mai male (anche se, con l'adozione di alcuni software specifici, si potrebbe addirittura ovviare all'uso di un AV) e che, soprattutto, sia indispensabile un FW software per la gestione del traffico in uscita (in collaborazione con quello hardware del router, addetto al monitoraggio dei pacchetti in entrata), ti consiglierei l'acquisto di una suite come KIS 2009 o della nuova e migliorata NIS 2009; in genere, sono le soluzioni più adatte in un contesto aziendale, sia per facilità d'uso che per efficacia e completezza (anche per le offerte multi-licenza).

Per venire al tuo quesito sul rischio di furto delle proprie credenziali, devi tenere in considerazione che i pericoli potrebbero giungere da diverse parti, tutte attinenti alle lacune del tuo sistema di protezione. La mancanza di un FW software, ad esempio, potrebbe comportare la comunicazione di un keylogger/trojan con un indirizzo remoto, così come l'assenza di una protezione in tempo reale potrebbe permettere a tale malware di infettare la tua macchina; in generale, comunque, è bene considerare una strategia di protezione alquanto completa, poiché nessun software è infallibile e la complementarità di diversi moduli coprirebbe le lacune altrui.

Se ti interessa quanto consigliatoti, puoi trovare approfondimenti in questo thread.

Konoko · 07-01-2009, 09:22

Per me un firewall è indispensabile sempre e comunque, meglio non far scappare i buoi dalla stalla che cercare di riprenderli, per usare una metafora

.

cloutz · 07-01-2009, 09:54

secondo me tutto dipende dal contesto...
ci sono contesti in cui la configurazione usata richiede l'uso di un firewall, altri in cui è consigliabile, ma non strettamente necessario (se si usa router).

Attualmente uso solo il frw di Windows in accoppiata con quello del router, però non è sicuramente l'opzione più "consigliabile".

c.m.g · 07-01-2009, 10:05

in informatica la prudenza non è mai troppa: meglio un firewall software collaudato ed efficace come comodo od online armor, in accoppiata. i firewall dei router non sono sempre aggiornati e, spesso e volentieri, ci sono bug più o meno gravi non tappati o non scoperti. meglio affidarsi a firewall sempre e costantemente aggiornati.

vampirodolce1 · 07-01-2009, 10:23

In azienda abbiamo l'antivirus sui pc e solo firewall hardware dei router + proxy.
Configurando il firewall hardware in maniera restrittiva (es. permettere solo il traffico verso porte 80/443 in uscita, chiudere tutto in ingresso) e lo stesso per quanto riguarda il proxy (permettere solo proto HTTP/s e bloccare comunque l'accesso ai siti web non catalogati come sicuri) un firewall software sui singoli pc non e' necessario.

Ignorante Informatico · 07-01-2009, 17:36

Quote:

Originariamente inviato da Konoko

..meglio non far scappare i buoi dalla stalla che cercare di riprenderli..

Quote:

Originariamente inviato da c.m.g

in informatica la prudenza non è mai troppa: meglio un firewall software collaudato ed efficace come comodo od online armor, in accoppiata..

Quote:

Originariamente inviato da cloutz

..ci sono contesti in cui la configurazione usata richiede l'uso di un firewall, altri in cui è consigliabile, ma non strettamente necessario (se si usa router)..

Beh, come già accennato da c.m.g, un router non è mai una garanzia assoluta di efficienza; anche qualora gestisse il traffico in uscita, infatti, sarebbe soggetto a problemi di vario tipo

Tanto per fare un esempio, persino le VM dovrebbero essere dotate di un FW software (onde evitare propagazioni all'interno della rete virtuale).

Quote:

Originariamente inviato da vampirodolce1

..Configurando il firewall hardware in maniera restrittiva (es. permettere solo il traffico verso porte 80/443 in uscita, chiudere tutto in ingresso) e lo stesso per quanto riguarda il proxy (permettere solo proto HTTP/s e bloccare comunque l'accesso ai siti web non catalogati come sicuri) un firewall software sui singoli pc non e' necessario.

Premettendo che siete sicuramente ben organizzati, se posso permettermi, vorrei lanciare una piccola provocazione: come si comporterebbe il vostro sistema di protezione se, da una chiavetta USB, si intallasse del malware non ancora rilevato da molti AV e questo tentasse una connessione con lapacenelmondo.it:8080 (probabilmente, URL non ancora presente in blacklist)?

Chiaro, potrei aver scritto una grossolana banalità, partendo dal presupposto che siano consentite solo connessioni a siti inseriti in un'eventuale whitelist (ma, a quel punto, si dovrebbe parlare unicamente di connessioni consentite e non proibite).

Bazz89 · 07-01-2009, 17:50

Quote:

Originariamente inviato da Ignorante Informatico

(CUT)
Premettendo che siete sicuramente ben organizzati, se posso permettermi, vorrei lanciare una piccola provocazione: come si comporterebbe il vostro sistema di protezione se, da una chiavetta USB, si intallasse del malware non ancora rilevato da molti AV e questo tentasse una connessione con lapacenelmondo.it:8080 (probabilmente, URL non ancora presente in blacklist)?

Chiaro, potrei aver scritto una grossolana banalità, partendo dal presupposto che siano consentite solo connessioni a siti inseriti in un'eventuale whitelist (ma, a quel punto, si dovrebbe parlare unicamente di connessioni consentite e non proibite).

Ciao Ignorante Informatico (nome che racchiude in se, mi sembra, un grande ossimoro)

lancio anche io una piccola provocazione:

nn sono sicuro della necessità di un firewall...piuttosto ritengo maggiormente protettivo* un HIPS puro piuttosto di un firewall

nn a caso, infatti, i firewall oramai si dotano di moduli Hips

cmq a parte questa piccola stupida provocazione, concordo pienamente su quanto da te affermato nei post precedenti

Saluti

*in un scenario dove sia presente un semplice firewall (o NAT) del router

cloutz · 07-01-2009, 18:09

Quote:

Originariamente inviato da Ignorante Informatico

Premettendo che siete sicuramente ben organizzati, se posso permettermi, vorrei lanciare una piccola provocazione: come si comporterebbe il vostro sistema di protezione se, da una chiavetta USB, si intallasse del malware non ancora rilevato da molti AV e questo tentasse una connessione con lapacenelmondo.it:8080 (probabilmente, URL non ancora presente in blacklist)?

Chiaro, potrei aver scritto una grossolana banalità, partendo dal presupposto che siano consentite solo connessioni a siti inseriti in un'eventuale whitelist (ma, a quel punto, si dovrebbe parlare unicamente di connessioni consentite e non proibite).

premesso che non mi interesserebbe se il suddetto malware è riconosciuto o meno da molti av, al momento in cui scrivo non ne ho uno residente(

), e se ce l'avessi mi affiderei all'euristica

scherzi a parte:
1) non so se sarebbe in grado di bypassare l'account limitato e le Software Restriction Policy, che di default bloccano l'esecuzione di qualunque cosa...quindi dovrei, a mano, legittimare l'esecuzione del malware e dargli diritti d'amministratore (fossi matto

)...
2) anche se, per assurdo, riuscisse a superare il livello1 dovrei consentirne io l'esecuzione attraverso l'hips (doppiamente matto

)...

se sono così rincoglionito da consentire volontariamente 2 volte l'esecuzione di un malware allora ben mi stia l'infezione

Quote:

Originariamente inviato da Bazz89

nn sono sicuro della necessità di un firewall...piuttosto ritengo maggiormente protettivo* un HIPS puro piuttosto di un firewall

Infatti è un bel pezzo che uso il frw di Xp dietro router, senza firewall software... preferisco l'hips.

Parto dal presupposto che, in una configurazione standard, se sono arrivato al punto di dover bloccare la connessione in uscita di un malware col frw, allora l'infezione ha già superato il livello del router e dell'av, infettando il mio pc e cercando di contattare l'esterno...questo presuppone che son già bello infettato e, se il virus è uno con le palle, può fare piazza pulita nel mio pc... altro che firewall software

Anche in questa eventualità solo l'hips, se non viene disabilitato, può limitare il raggio d'azione (o meglio d'infezione

) del malware in questione.

ad ogni modo sia chiaro: se il firewall software ci da una possibilità in più di bloccare l'infezione tanto meglio..

Edit:
Ignorante Informatico mi sa che si riferiva a questa mia opinione :P

Ignorante Informatico · 07-01-2009, 18:10

Quote:

Originariamente inviato da Bazz89

..nn sono sicuro della necessità di un firewall...piuttosto ritengo maggiormente protettivo* un HIPS puro piuttosto di un firewall

..

Ringraziandoti per le parole (fin troppo buone) e non ritenendo per nulla stupida la tua provocazione (hai scritto una realtà tangibile), ritengo che il lavoro dell'HIPS non possa far sentir meno la necessità di avere un FW installato; giusto per scriverne una, pensa se Opera.exe (processo lecito ed autorizzato dall'HIPS) stabilisse connessioni remote attraverso porte superiori alle note 80/8080/443/21/ecc...

A tal proposito, mi viene in mente una bella discussione sostenuta, tempo fa, con l'ottimo cloutz

Quote:

Originariamente inviato da cloutz

..dovrei consentirne io ... se sono così..

Questo è il punto: cloutz non lo farebbe, ma sei sicuro che sarebbero tutti così accorti in un'azienda?

cloutz · 07-01-2009, 18:23

Quote:

Originariamente inviato da Ignorante Informatico

Questo è il punto: cloutz non lo farebbe, ma sei sicuro che sarebbero tutti così accorti in un'azienda?

domanda retorica

Ignorante Informatico · 07-01-2009, 18:36

Quote:

Originariamente inviato da cloutz

domanda retorica

Proprio per questo, specialmente se in sede lavorativa, sono fondamentali dei FW software/hardware. Poi, certo, l'utente pasticcione potrebbe autorizzare qualsiasi porcheria, ma incontrerebbe serie difficoltà ad aggirare tutti i programmi citati finora

Privatamente, invece, è tutta un'altra storia e diventa un vero piacere discutere su diverse strategie di difesa (già più associabili al livello reale degli utenti che decidono di prendere parte al dibattito); non a caso, leggo le soluzioni proposte da sampei.nihira (soprattutto quando puntano al miglior compromesso fra efficacia e leggerezza) sempre con molta ammirazione

vampirodolce1 · 08-01-2009, 07:34

Quote:

Originariamente inviato da Ignorante Informatico

Premettendo che siete sicuramente ben organizzati, se posso permettermi, vorrei lanciare una piccola provocazione: come si comporterebbe il vostro sistema di protezione se, da una chiavetta USB, si intallasse del malware non ancora rilevato da molti AV

Dimenticavo, abbiamo le porte USB disabilitate e NON siamo amministratori di macchina.

xcdegasp · 08-01-2009, 10:35

Quote:

Originariamente inviato da vampirodolce1

Dimenticavo, abbiamo le porte USB disabilitate e NON siamo amministratori di macchina.

però questa restrizione vi porterà anche a monitorare con webcam cosa faccia il tizio davanti al pc o lasciate ancora spazio alla creatività del malcapitato?

nelle vostre politiche di sicurezza ci sono dei nodi un po' troppo contorti e che sono dispendiosi sicuramente se venissero generalizzati a tutti gli ambienti lavorativi, per esempio il non poter immettere su supporto removibile dei documenti ti mette in serie difficoltà perchè il client email non può spedire allegati superiori a tot Kb, certe estensioni non sono possibili da spedire (presumo adottiate anche questo controllo), bisogna quindi avere un disco remoto sharato in lan (chi lo monitora? chi lo protegge? su che macchina risiede?), oppure bisogna chiamare Tizio alla propria postazione per farglielo vedere, o masterizzarlo su cd (sempre che anche queste non siano state disattivate essendo possibile veicolo di infezione).

non sarebbe più semplice preddisporre un software antivirus o ancora meglio cips (essendo adattabile alla propria realtà aziendale) sulle workstation di modo da lasciare libertà espressiva ai lavoratori senza complicare loro la vita in macchinose operatività?

vampirodolce1 · 08-01-2009, 11:24

Quote: