Mi aiutate a configurare al meglio Jetico firewall, non c'ho capito praticamente...

[mm-barabba]

Quote:

tutte le "Allow DHCP" ---> services.exe

fatto

quelle che avevano svchost le ho cambiate con services
ma ancora non funziona

riprendo domani

se hai altro dimmi pure
sono pronto a tutte le prove

grazie

[fabioxp]

ciao a tutti, discussione interessante visto che alla fine ho installato anche io questo firewall dopo aver tolto outpost: ho riformattato il mio pc server ma con outpost non riuscivo a navigare in internet dal client a meno di non impostare "permetti la maggiorparte" in outpost, ma non è che mi piaceva molto; d'altro canto però molti test firewall li superavo.
Per esempio con jetico il quicktest di pcflank mi da questo risultato:

porte vulnerabili
The test found visible port(s) on your system: 21, 23, 80, 1080, 3128

porte trojan
The test found visible ports on your system: 27374, 12345, 1243, 31337, 12348.

mi da danger nel Browser privacy check

Poi nel test Stealth non mi passa solo il TCP ping con flag ACK, anche se ho visto che esiste la regola in jetico per bloccare questi scan, però con tutti i flag cleared (se metto set o any non va la navigazione).
In poche parole è possibile rendere stealth le varie porte e tutto quello che è pericoloso ma allo stesso tempo riuscire a navigare, usare p2p ecc?

Infine volevo dire che non ho usato nessuna table fornita da altri qui sul forum perchè per il momento riesco a fare quello che mi serve, ovvero ho configurato emule e sembra andare (x ora piano perchè era fermo da 2 giorni e le code le deve riscalare) e mi funziona anche cfosspeed che per me è utilissimo.
Sperando di poter essere aiutato, ringrazio fin d'ora e vi saluto.

[fabioxp]

tutto smentito dal test Shield UP dove ho passato tutti i test di scan delle porte. Allora qual'è un test veritiero? c'è una guida o una discussione su come affrontare i test (ovvero oltre a nascondere le porte, impostare il browser in modo che navighi ma che non lasci tracce tipo il referrer e altre cose)? Specifico che io non me ne intendo ma sono autodidatta al massimo, quindi mi piace riuscire a fare una cosa in campo pc e ci provo fin che non ci riesco!
Ciao di nuovo.

[chetidolanimale]

ciao a tutti, veramente ottimo sto thread(me lo sto leggendo piano piano,sono a pagina 7 ), ho installato jetico e sto imparando a configurarlo al meglio (ma mi sa che la strada è lunga...).
Comincio la mia partecipazione al topic con un contributo su un problema(non so se è stato già trattato) che mi ha infastidito non poco finchè non ne ho capito la causa.
In pratica appena installato jetico, con le regole di default, nella application table mi compariva la checkbox di "Application blocked zone" in rosso, segno che la regola aveva qualche problema e pertanto non era attiva . Dopo qualche mal di testa ho capito che dipende da come setti la blocked zone (attraverso il configuration wizard, eseguito automaticamente a installazione del fw conclusa, o disponibile da menu start), in pratica se non ci metti niente la regola darà problemi e sarà segnata in rosso, se ci metti anche un solo indirizzo nella blocked zone la regola tornerà a posto e il checkbox avrà la spunta come tutte le altre regole.
Spero di essere stato utile, e spero che siate in tante lì fuori a usare Jetico, perchè ho la sensazione che sfrutterò molto questo thread per risolvere i miei problemi con Jetico.

[RETTIFICA] il problema che ho segnalato era già stato fatto presente nel post #125 e la risposta era già stata data nel post #127...

[chetidolanimale]

qualcuno mi potrebbe spiegare con parole semplici quali sono i rischi che corro usando firefox senza firewall?

cioè, se ho capito bene, firefox apre una porta disponibile sul mio pc(facciamo ad esempio la 4033) per connettersi alla porta 80 di un server, e usa questa porta per scaricare la pagina web. Scaricata la pagina, la porta 4033 viene chiusa? se si,da chi?
una volta che il server ha ricevuto il indirizzo ip,cosa ci può fare? può lanciare una connessione al mio pc usando un'altra porta?senza firewall, questa nuova porta viene aperta in automatico?
scusate se sono domande da niubbo, ma se non capisco le basi difficilmente combino qualcosa di buono

[chetidolanimale]

mi sapete dire perchè firefox si manda e si riceve pacchetti da solo? nel log di jetico mi compaiono spesso due eventi in sequenza, uno "send" e l'altro "receive": send ha come local address 127.0.0.1 e remote address 127.0.0.1, come porta locale 2128 e porta remota 2129. Receive ovviamente le stesse caratteriste, ma all'inverso. Che senso ha?

[webrunner]

Salve ragazzi, mi sto scervellando ankio ad usare Jetico e volevo farvi un paio di domande:

quando impongo una regola di tipo Outbound la porta che devo impostare deve essere remota o locale? e quando imposto SendDatagrams?
Ho visto infatti dalle vale rules che avete postato che in genere in entrata si considera la porta locale ed in uscita la remota.

Sareste così buoni da spiegarmi la differenza tra porta locale e remota ed il loro utilizzo nelle regole?

Grazie in anticipo

[chetidolanimale]

la porta locale è la porta del tuo pc, la porta remota è la porta del pc esterno

ad esempio quando col browser richiedi una una pagina internet, parte un pacchetto da una porta variabile del tuo pc e questo pacchetto è diretto alla porta 80 del pc che contiene la pagina(il server su cui sta il sito); porta locale:any; porta remota:80.
In effetti quando nel browser scrivi ad esempio www.hwupgrade.it , in realtà è come se scrivessi www.hwupgrade.it:80, cioè chiedi una connessione sulla porta remota(cioè la porta del server)80, che è quella che usano la maggior parte dei server per darti le pagine internet, e per questo puoi omettere l'indicazione della porta nel browser, che fa tutto in automatico. Alcuni siti usano invece la porta 8080, come ad esempio http://stud.unifi.it:8080/ , e se tu ometti la porta,la pagina non si apre. Per questo quando si fa una regola per fare scaricare le pagine al browser, bisognerebbe farne in realtà più di una, cioè una con la porta remota 80,una con porta remota 8080, una con porta remota 443 perchè questa porta viene usata per le connessioni sicure, una con porta 21 perchè viene usata per le connessioni ftp,una con porta 20 perchè anche questa viene usata dall'ftp,eccetera. A dire il vero un server può impostare la porta che più gli piace, ad esempio la 30221, ma la convenzione è di usare la porta 80 per http ,20 e 21 per ftp,eccetera.
Spero di non aver detto cavolate

[webrunner]

Quote:

Originariamente inviato da chetidolanimale

la porta locale è la porta del tuo pc, la porta remota è la porta del pc esterno
Spero di non aver detto cavolate

Grazie per la risposta è come supponevo.
Allora come è stato detto in precedenza nella configurazione di jetico ed in genere dei firewall vanno bloccate le porte 135-139.
Devono essere bloccate sia in IN che in OUT?
Ora in qualche bcf postata prima, tipo quella di olap, egli bloccava sia in INBOUND che in OUTBOUND la 135-139 ma su local port, non dovrebbe essere su remote port? Allego immagine:



le prime due voci riguardanti l'OUT sono come le aveva impostate OLAP, le altre due sotto è come penso dovrebbero andare. O sbaglio?

[chetidolanimale]

non conosco le "regole di ingaggio" di netbios, ma presuppongo che olap le conosca e quindi cerco di interpretare il suo ruleset(eventuali correzioni da parte di esperti sono ben accette):

caso 1) Il cracker(o il lamer di turno ) sa che netbios ha una falla che gli può permettere di fare il bello e il cattivo tempo sul tuo pc, e vuole sapere se tu hai netbios attivo per poi attaccarti. Netbios quando è attivo apre la porta 135 e si mette in ascolto, quindi, attraverso una porta qualunque del suo pc, il cracker ti lancia una connessione sulla tua porta 135; se gli arriva una risposta vuol dire che netbios è attivo e sprotetto e il cracker può fregarti il sistema operativo.Quindi devi impedire al tuo sistema di aprire le porte 135-139,di mettersi in ascolto su queste porte, di accettare connessioni in entrata su queste porte da qualunque porta remota e di ricevere pacchetti su queste porte da qualunque porta remota. Queste sono le ultime quattro regole nell'immagine che hai postato.
caso 2) Hai già un programma infetto sul tuo pc. Questo programma vuole usare netbios per contattare il cracker che poi ti sistemerà per le feste. Devi quindi impedire al tuo sistema di avviare connessioni e spedire datagrammi tramite le porte locali 135-139(quelle del tuo netbios) e rivolte a una porta qualunque di un pc esterno.Queste sono le prime due regole dell'immagine che hai postato.

Le due regole che hai scritto tu impediscono al tuo sistema di contattare un altro pc sulle _sue_ porte 135-139 partendo da una porta qualunque del tuo sistema: è quello che farebbe un cracker, quindi le tue regole servono a impedire a te stesso di crackare i sistemi altrui .
In realtà, oltre a te stesso, anche un programmino maligno sul tuo pc potrebbe fare questa cosa(non so se sarebbe una cosa complicata da gestire per il cracker), quindi secondo me le tue regole hanno un loro senso, ma magari aspetta qualche parere autorevole perchè potrei aver detto una marea di cavolate

[webrunner]

Quote:

Originariamente inviato da chetidolanimale

non conosco le "regole di ingaggio" di netbios, ma presuppongo che olap le conosca e quindi cerco di interpretare il suo ruleset(eventuali correzioni da parte di esperti sono ben accette):

caso 1) Il cracker(o il lamer di turno ) sa che netbios ha una falla che gli può permettere di fare il bello e il cattivo tempo sul tuo pc, e vuole sapere se tu hai netbios attivo per poi attaccarti. Netbios quando è attivo apre la porta 135 e si mette in ascolto, quindi, attraverso una porta qualunque del suo pc, il cracker ti lancia una connessione sulla tua porta 135; se gli arriva una risposta vuol dire che netbios è attivo e sprotetto e il cracker può fregarti il sistema operativo.Quindi devi impedire al tuo sistema di aprire le porte 135-139,di mettersi in ascolto su queste porte, di accettare connessioni in entrata su queste porte da qualunque porta remota e di ricevere pacchetti su queste porte da qualunque porta remota. Queste sono le ultime quattro regole nell'immagine che hai postato.
caso 2) Hai già un programma infetto sul tuo pc. Questo programma vuole usare netbios per contattare il cracker che poi ti sistemerà per le feste. Devi quindi impedire al tuo sistema di avviare connessioni e spedire datagrammi tramite le porte locali 135-139(quelle del tuo netbios) e rivolte a una porta qualunque di un pc esterno.Queste sono le prime due regole dell'immagine che hai postato.

Le due regole che hai scritto tu impediscono al tuo sistema di contattare un altro pc sulle _sue_ porte 135-139 partendo da una porta qualunque del tuo sistema: è quello che farebbe un cracker, quindi le tue regole servono a impedire a te stesso di crackare i sistemi altrui .
In realtà, oltre a te stesso, anche un programmino maligno sul tuo pc potrebbe fare questa cosa(non so se sarebbe una cosa complicata da gestire per il cracker), quindi secondo me le tue regole hanno un loro senso, ma magari aspetta qualche parere autorevole perchè potrei aver detto una marea di cavolate

Ti ringrazio sei stato chiarissimo come al solito
Dimmi se ho capito bene allora. Le altre due regole di Olap sotto alle mie prime due, impediscono a NETBIOS di uscire sulla rete dalle mie porte 135-139?

[chetidolanimale]

le due in alto a tutto impediscono a netbios di uscire su internet dalle 135-139(caso 2 del precedente post)

le quattro sotto le tue impediscono a internet di entrarti nel attraverso le porte 135-139

ma a questo punto mi domando: per fare tutto questo non bastava una unica regola che blocca le porte 135-139, qualunque sia l'evento?
di più:e se disabilito direttamente il netbios dalle proprietà della scheda di rete non faccio prima?tanto che lo tengo a fare attivato, se poi jetico gli blocca qualunque attività?

[webrunner]

Quote:

Originariamente inviato da chetidolanimale

ma a questo punto mi domando: per fare tutto questo non bastava una unica regola che blocca le porte 135-139, qualunque sia l'evento?
di più:e se disabilito direttamente il netbios dalle proprietà della scheda di rete non faccio prima?tanto che lo tengo a fare attivato, se poi jetico gli blocca qualunque attività?

Ok ti riferisci a mettere "any" in event e bloccare tutto il range 135-139. L'avevo fatto pero' visto che qualcun altro aveva fatto diversamente...... poi io ho dei dubbi sulle porte 135-139 e la 445 che dovrei bloccare. Guarda il mio Application LOG:




Vedo un listen in corrispondenza della porta 135 e 445 è normale visto la regola che ho imposto?

[chetidolanimale]

ora che me l'hai fatto notare, ce l'ho anch'io un svchost in ascolto sulla porta 135....quasi quasi blocco l'applicazione su quella porta e vedo cosa succede...

[webrunner]

Quote:

Originariamente inviato da chetidolanimale

ora che me l'hai fatto notare, ce l'ho anch'io un svchost in ascolto sulla porta 135....quasi quasi blocco l'applicazione su quella porta e vedo cosa succede...

Da quello che ho letto in rete è normale che quelle porte siano in LISTEN, in ascolto, l'importante è che non scambino in entrata e uscita.

Vediamo se risponde qualcun altro.

[olap]

Ragazzi vi mando una regola un puo aggiornata.
Come funziona (spiegazione in inglese)

The main idea that for any application I prefer not to count rules (allow to 80, 8080 ports and disallow any other), but set ”access level”: full, infoline(that’s my ISP with free traffic inside), localnet (my router, another pc etc.), localhost and access_to_network_only. The last one is JPF specific, it allows ”access to network” (see JPF manual) and deny anything other.
Those acess levels could be set in dialog produced by ”Ask” as ”verdict”.
In some (rare) cases I can add some manual rules for application to shrink (for example to disallow spy information sending to developer) or to enlarge (e.g. application can access only my ISP, but also it can access developer website to check for update) access levels.

Esistono due NetBIOS regole, perché una e UDP e altra TCP

Deny NetBIOS UDP disabled UDP any any any 137:139
Deny NetBIOS TCP disabled TCP any any any 137:139

Se hai tutti quelli port listen non e buono!

[webrunner]

Quote:

Originariamente inviato da olap

Esistono due NetBIOS regole, perché una e UDP e altra TCP

Deny NetBIOS UDP disabled UDP any any any 137:139
Deny NetBIOS TCP disabled TCP any any any 137:139

Se hai tutti quelli port listen non e buono!

Le ho applicate ma la 135 e la 445 sono sempre LISTEN e a quanto pare non si possono chiudere

vedi qui

[olap]

Io gli port 135 e 445 rimuovo totalmente, perché non servono a niente.
Poi farlo in due modi, manualmente come scrito o usando reg file che poi creare da solo, o usare questo che ti mando.

Quote:

Disabling Distributed COM (this closes Port 135)
Click on Start | Run | and enter: C:\windows\system32\dcomcnfg.exe
Then click on the Applications tab.
Many programs "support" Distributed Communication (DCOM) but rarely ever use it. This includes such programs as Windows Media and Wordpad. When examining this option, look for third-party applications that might actually REQUIRE network support, as opposed to those that simply support it. To find out if these programs really require DCOM, you must disable it, run the programs, and see what happens.
Note that it is probably only necessary to look at third-party programs here.
Microsoft programs designed to run on a non-networked, stand-a-lone computer are usually written to support but do not require DCOM. To disable DCOM, go to the Default Properties tab and uncheck the box labeled "Enable Distributed COM on this computer".
Reboot, and try running the third-party software noted as above. Odds are that everything will still run correctly. If not, go back and enable DCOM again. As you re-enable it, also go to the Default Protocols tab and remove all protocols except "Connection-oriented TCP/IP". This doesn’t create any additional security but does reduce the number of connection methods you have to keep an eye on.
If you do not have to re-enable DCOM again, then on the Default Protocols tab remove all protocols. You won't need them, and that should stop Windows from listening on Port 135.

Quote:

(this closes Port 445)

Remove: port 445 from binding
at all under Windows XP using the following Registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
under this key remove the default value "\Device\" from the
TransportBindName REG_SZ value. upon reboot, port 445 is gone completely,
both TCP and UDP.

==========================================================================================
Windows Registry Editor Version 5.00

;-----Deinstall port 135

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"DCOM Protocols"=hex(7):20,00,00,00
"UuidSequenceNumber"=dword:0098d840

;-----Deistall port 445

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"TransportBindName"=""
==========================================================================================
txt fra le rige copy
apri un nuovo txt. file e paste, vai save as, cambia "Save as type:" to All Files
e File name: Port.reg ==> save, dopio click su di lui, yes,yes e gli port sono andati.
Prima di fare questo va Start ==> RUN scrivi Regedit OK
Nel Registry Editor trova questi due key:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

destro click del mouse su di loro e vai export - save as Port135 e Port445, cosi avrai il backup degli key, se te viene voglia di reinstallare.

o usare questo che ti mando. vai destro click e edit, vedrai che e uguale come sopra scritto.
sempre fa backup degli key come prima.

restart PC e non avrai piu problemi con port 135/445

Sincerely,

[webrunner]

Quote:

Originariamente inviato da olap

Io gli port 135 e 445 rimuovo totalmente, perché non servono a niente.
Poi farlo in due modi, manualmente come scrito o usando reg file che poi creare da solo, o usare questo che ti mando.

Grazie Olap, penso che così si risolva il problema. Bloccando le porte 135 e 445 con il firewall, netstat le mostra sempre come LISTENING. Risolviamo il problema alla radice....

[olap]

Hi.