Che firewall installare?

[NZ]

...comunque quello che a me interessava è come settare i filtri!
Faccio un esempio:
supponiamo che voglio mettere un filtro tra l'applicazione XXX e la rete! Vado su Filter rules e clicco su add! dopo aver descritto l'applicazione in base a cosa scelgo il Protocol e la Direction?
Come faccio a sapere che protocollo associare a XXX? TCP? ICMP? UDP? o che altro? Sapessi almeno cosa sono....
E poi alle voci Local Endpoint e remote Endpoint lascio any...
oppure che cosa? Sono questi i mega dubbi che ho! In ZoneAlarmPro bastava selezionare un'applicazione e decidere se darle il permesso o no! per quanto riguarda la sicurezza si settava high,si andava su avanzate e si lasciavano tutti i quadretti deselezionati per aver massima sicurezza! Tutto qui!
Tiny invece chiede protocolli,porte e altre diavolerie che mi lasciano alquanto spiazzato..... A sto punto penso di essere il solo ad avere di questi problemi! Mi vergogno ma non so che farci!
Bilancino,perchè non aggiorni sul tuo sito il manuale di Tiny,magari aggiungendo esempi!? penso che in molti apprezzerebbero la cosa.......o sbaglio?
CIAO.

[Bilancino]

Sono dell'avviso che fare regole personalizzate sia un azzardo perchè se si sbaglia alla fine non si riesce a navigare. Io uso norton che ancora più completo ma non ho mai e poi mai modificato le impostazioni. Quando si chiede il permesso se l'applicazione la conosco l'ho do e basta. Una cosa la faccio di sicuro qualche volta programmi come rain vogliono accedere alla rete attraverso la porta 121 UDP poichè rain non ha motivo lo blocco stessa cosa è successo con ACDsee.
Ampliare il manuale di Tiny? Vedrò........

Ciao

[Bilancino]

Ho ripescato questo thread perchè volevano regole su come impostare il firewall. Ho messo sul mio sito alla pagina manuali una lista di regole per bloccare l'attacco alla ricerca dei programmi troiani. Se interessa......


Ciao a tutti

[Roller]

Quote:

Originariamente inviato da NZ
[b]....ma fin qui c'ero anche io!
Il problema è che quando appare una finestra di alert è piena zeppa di codici,protocolli e altre cose che richiedono una certa conoscenza/esperienza!
Se mi dice che TCP.xx 334548578,e8t784 sta tentando di connettersi,e io non so cos'è mi spieghi come faccio a decidere se autorizzarla o no?
Tu conosci a memoria a cosa corrisponde ogni singola porta?
Devo impedire l'ingresso dalle porte 1-34 o 67-89?...

Esiste un file di windows che ti dice a cosa serve e a cosa corrisponde ciascuna porta!
Vai su C:\Windows\services e aprilo con wordpad o blocco note!
Può essere utile!
PS: non so che versione di Win usi in caso non lo trovassi sotto windows individualo da cerca/trova!
Ciauz

[polin]

Bho...........io uso Zone alarm su Xp e il firewall di xp lo lasciato
nella config.originale.Cmq se sei collegato a con wind o simili (quelli gratuiti per intenderci) ricordati che il tuo ip è assegnato dal server ed è dinamico non statico.............
in poche parole cambia ogni volta che ti colleghi............
eppoi se fossi in tè guarderei più i virus che le intrusioni.
Ciuuuuuuuuz

[cocco20]

In pratica vuoi dire che è molto più importante un buon antivirus che un firewoll!!

[polin]

Penso di si..........ovvio che entrambi è meglio.........

[The_Condor]

Quote:

Originariamente inviato da NZ
[b]...comunque quello che a me interessava è come settare i filtri!
Faccio un esempio:
supponiamo che voglio mettere un filtro tra l'applicazione XXX e la rete! Vado su Filter rules e clicco su add! dopo aver descritto l'applicazione in base a cosa scelgo il Protocol e la Direction?
Come faccio a sapere che protocollo associare a XXX? TCP? ICMP? UDP? o che altro? Sapessi almeno cosa sono....
E poi alle voci Local Endpoint e remote Endpoint lascio any...
oppure che cosa? Sono questi i mega dubbi che ho! In ZoneAlarmPro bastava selezionare un'applicazione e decidere se darle il permesso o no! per quanto riguarda la sicurezza si settava high,si andava su avanzate e si lasciavano tutti i quadretti deselezionati per aver massima sicurezza! Tutto qui!
Tiny invece chiede protocolli,porte e altre diavolerie che mi lasciano alquanto spiazzato..... A sto punto penso di essere il solo ad avere di questi problemi! Mi vergogno ma non so che farci!
Bilancino,perchè non aggiorni sul tuo sito il manuale di Tiny,magari aggiungendo esempi!? penso che in molti apprezzerebbero la cosa.......o sbaglio?
CIAO.

bilancino ha ragione, cmq buona norma generale è quella di prevedere "movimenti" solo attraverso le porte utilizzate dai servizi internet normali (quelle predefinite, per intenderci) e di bloccare tutte le altre perché i trojan e tutte le applicazioni che fanno uso "illecito" delle tue connessioni sfruttano proprio le porte non utilizzate dai servizi standard.
in generale, anche in riferimento al file suggerito da roller (perché altrimenti non le ricorderei tutte), ti consiglio di:

- consentire SOLO in udp le porte dalla 7 alla 19, 37->38,

- consentire 20/21 (ftp), 25 (posta elettronica), 43 (whois), 80 (http, la più importante), 113, 137, 138, 139, 143, 194, 213, 443, 500, 513, 520, 525, 526, 530, 531, 532, 540, 1167, 1512, 1701, 1723, 1812, 1813, 2049, 5001,

- bloccare 23 perché con la telnet ci si può divertire...., la 42 se non usi sql server sul tuo pc, la 53 solo in UDP se non sei in lan con dominio, 67/68 se non sei in lan, la 69 che non viene usata "solo" per servizi ftp...., 70, 79, per gli stessi motivi...., 88,
la 101 se il tuo pc non è un web server con gestione dominio, 107 assolutamente da bloccare!, poi la 109 perché viene più utilizzata per altro che per la posta elettronica...., la 111 se non sbaglio viene utilizzata solo da linux & company, 117, 119, 123, 135, 158, 161, 162, 170, 179, 389, 445 (serve per spiarci...), 512, 514, 515, 517, 518, 533, 543, 544, 550, 556, 560, 561, 636, 666, 749, 1109, 1433/1434 se non usi sqlsvr, 1524, 9535


la 102 non ricordo a cosa serve.... ma bloccala per sicurezza

tutte le altre vanno bloccate perché utilizzare in larga misura dai trojan e dai tool di amministrazione remota....

in più, aggiungo che andrebbe tenuto sotto controllo anche il file hosts perché tramite esso si può facilmente trasformare un pc vittima in server remoto anche senza trojan.... chi installa le vpn sicuramente avrà capito di cosa parlo...

bye!

[Bilancino]

Se NZ vuole le regole eccole

Per ogni singola regola presente nella Tabella sotto indicata bisogna:

Bloccare ogni applicazione

Per il servizio Remoto----->Blocca tutti i servizi

Per gli indirizzi Remoto e Locali------->Blocca tutti gli indirizzi





Blocco in Entrata Protocollo Porte e/o Servizi locali (Proprio PC)


Back Orifice 2000 TCP o UDP Back-Orifice, Back-Orifice-2000,Back-Orifice-2000-1

NetBus TCP NetBus-Pro, NetBus, NetBus-2

GirlFriend TCP 21554

WinCrash TCP 2583,3024,4092,5742

DeepThroat TCP o UDP 2140, 3150, 41, 60000,6670,6771,999

Hack 'A' Tack TCP o UDP 31785,31787,31788,31789,31791,31792

FC Infector Trojan TCP o UDP 146

Dmsetup Troian TCP 58

Stealth Spy Troian TCP 555
FireHotcker Troian TCP 5321

Attack FTP Trojan TCP 666

Dark Shadow Troian TCP 911

Silencer Troian TCP 1001

Block Netspy Trojan TCP 1024

RASmin Trojan TCP 1045,conference
Extreme Trojan TCP 1090

Ultor's Trojan TCP 1234

Whack-a-Mole Trojan TCP Porta da 12361 a 12363

WhackJob Trojan TCP 12631

FTP99CMP Trojan TCP 1492

Shiva Burka Trojan TCP 1600

Spy Sender Trojan TCP 1807

Blook ShockRave Trojan TCP 1981

Remote Explorer Trojan TCP 2000

Trojan Cow Trojan TCP 2001

Trojan Ripper Trojan TCP 2023

Blook Bugs Trojan TCP 2115

Striker Trojan TCP 2565

Phinneas Phucker Trojan TCP 2801

Rat Trojan UDP 2989

Filenail Troian TCP 4567

Sokets de Trois v1. Trojan TCP 5000,5001

Blade Runner Trojan TCP Porta da 5400 a 5402

SERV-Me Trojan TCP rmt

BO-Facil Trojan TCP Porta da 5556 a 5557

Robo-Hack Trojan TCP 5569

The Thing Trojan TCP 6400

Indoctrination Trojan TCP 6939

GateCrasher Trojan TCP 6969,6970

Priority Trojan TCP 6969

Remote Grab Troian TCP vdolive

ICKiller Troian TCP 7789

iNi Killer Troian TCP 9989

Acid Shivers Trojan TCP 10520

COMA Trojan TCP 10607

Senna Spy Trojan TCP 11000,13000

Progenie Trojan TCP 11223

GJammer Trojan TCP 12076

Keylogger Trojan TCP 12223

Proziack Trojan TCP 22222

EvilFTP, UglyFTP Trojan TCP 23456

Delta Source Trojan TCP o UDP 26274

QaZ Trojan TCP 7597

TrinOO DDoSTrojan UDP 34555

Block SubSeven 2.1/2.2 Trojan TCP 27374,2774

NetBlOS Networking TCP o UDP nbsession

Backdoor/SubSeven TCP 1999,2773,54283,7215,Backdoor-g-1, Backdoor-g-3

Master Paradise TCP o UDP 31,3129,40421,40422,40423,40426

Bla TCP o UDP 1042,666

Portal of Doom TCP o UDP 10067,10167,3700,9872,9873, 9874,9875

NetSphere TCP Porta da 30100 a 30102

NetMonitor TCP 7300, 7301,7306, 7307, 7308

TransScout TCP Porta da 1999 A 2005

Doly TCP 1010 1011 1012 1015
Donald Dick TCP 23476,23477

Se non si legge bene la lista è presente nel mio sito alla pagina manuali

Ciao

[The_Condor]

la lista è ottima
però deep throat e proziack utilizzano un bel po' di porte in più

[Bilancino]

la lista l'ho estrapolata da norton e lui blocca queste porte se tu dici che ci sono altre porte allora norton è una schifezza........

Ciao

[The_Condor]

Quote:

Originariamente inviato da Bilancino
[b]la lista l'ho estrapolata da norton e lui blocca queste porte se tu dici che ci sono altre porte allora norton è una schifezza........

Ciao

non è che norton è una schifezza, anzi, è solo che le nuove versioni dei trojan, anche quelli poco diffusi, escono più rapidamente delle nuove versioni dei firewall
vedi anche backdoor-g

[Bilancino]

però con l'aggiornamento che faccio ogni settimana dovrebbe cambiare il database delle porte..............

[The_Condor]

Quote:

Originariamente inviato da Bilancino
[b]però con l'aggiornamento che faccio ogni settimana dovrebbe cambiare il database delle porte..............

azz... ogni settimana, che pazienza! così è sicuramente diverso....

ormai è da tempo che non uso più firewall....
...non software si intende

[lipro]

Quote:

Originariamente inviato da The_Condor
[b]

bilancino ha ragione, cmq buona norma generale è quella di prevedere "movimenti" solo attraverso le porte utilizzate dai servizi internet normali (quelle predefinite, per intenderci) e di bloccare tutte le altre perché i trojan e tutte le applicazioni che fanno uso "illecito" delle tue connessioni sfruttano proprio le porte non utilizzate dai servizi standard.
in generale, anche in riferimento al file suggerito da roller (perché altrimenti non le ricorderei tutte), ti consiglio di:

- consentire SOLO in udp le porte dalla 7 alla 19, 37->38,

- consentire 20/21 (ftp), 25 (posta elettronica), 43 (whois), 80 (http, la più importante), 113, 137, 138, 139, 143, 194, 213, 443, 500, 513, 520, 525, 526, 530, 531, 532, 540, 1167, 1512, 1701, 1723, 1812, 1813, 2049, 5001,

- bloccare 23 perché con la telnet ci si può divertire...., la 42 se non usi sql server sul tuo pc, la 53 solo in UDP se non sei in lan con dominio, 67/68 se non sei in lan, la 69 che non viene usata "solo" per servizi ftp...., 70, 79, per gli stessi motivi...., 88,
la 101 se il tuo pc non è un web server con gestione dominio, 107 assolutamente da bloccare!, poi la 109 perché viene più utilizzata per altro che per la posta elettronica...., la 111 se non sbaglio viene utilizzata solo da linux & company, 117, 119, 123, 135, 158, 161, 162, 170, 179, 389, 445 (serve per spiarci...), 512, 514, 515, 517, 518, 533, 543, 544, 550, 556, 560, 561, 636, 666, 749, 1109, 1433/1434 se non usi sqlsvr, 1524, 9535


la 102 non ricordo a cosa serve.... ma bloccala per sicurezza

tutte le altre vanno bloccate perché utilizzare in larga misura dai trojan e dai tool di amministrazione remota....

in più, aggiungo che andrebbe tenuto sotto controllo anche il file hosts perché tramite esso si può facilmente trasformare un pc vittima in server remoto anche senza trojan.... chi installa le vpn sicuramente avrà capito di cosa parlo...

bye!

ma in entrata o in uscita????

specifichiamo meglio.....

fondamentalmente i programmi in uscita tendono ad aprire porte random (dalla 1025 in su), per cui i firewall software tendono automaticamente a controllare l'applicazione uscente...per questo con Tiny nel local endpoint si tiene "any port only for the application below"...nel remote endpoint (cioè il server remoto) si seleziona la porta corrispondente (es per IE dirigo le connessioni su porta 80, 8080, 443 che sono le porte su cui risponde un web server)...

ovvio quindi che la logica è di aprire tutto in uscita (controllando però l'applicazione che esce, ovvio che se è un trojan me ne accorgo) e di filtrare in entrata....se uno non ha server web installati, ftpserver, server di posta ovvio che deve mantenere tutto chiuso, oppure aprire la porta corrispondente al servizio che deve essere esposto (e volendo la apro solo ad un IP/classe che mi interessa)...

es in molti server che gestisco è aperta la 3389 solo per alcuni IP e risulta chiusa per il mondo intero...

il firewall di windowsXP funziona pressapoco come blackice, tendono a chiudere tutto in entrata ed aprire tutto in uscita (per questo li considero più degli intrusion detection che dei firewall), senza alcun controllo su cosa esce....

per questo uso Tiny

bye

[The_Condor]

Quote:

Originariamente inviato da lipro
[b]

ma in entrata o in uscita????

specifichiamo meglio.....

fondamentalmente i programmi in uscita tendono ad aprire porte random (dalla 1025 in su), per cui i firewall software tendono automaticamente a controllare l'applicazione uscente...per questo con Tiny nel local endpoint si tiene "any port only for the application below"...nel remote endpoint (cioè il server remoto) si seleziona la porta corrispondente (es per IE dirigo le connessioni su porta 80, 8080, 443 che sono le porte su cui risponde un web server)...

ovvio quindi che la logica è di aprire tutto in uscita (controllando però l'applicazione che esce, ovvio che se è un trojan me ne accorgo) e di filtrare in entrata....se uno non ha server web installati, ftpserver, server di posta ovvio che deve mantenere tutto chiuso, oppure aprire la porta corrispondente al servizio che deve essere esposto (e volendo la apro solo ad un IP/classe che mi interessa)...

es in molti server che gestisco è aperta la 3389 solo per alcuni IP e risulta chiusa per il mondo intero...

il firewall di windowsXP funziona pressapoco come blackice, tendono a chiudere tutto in entrata ed aprire tutto in uscita (per questo li considero più degli intrusion detection che dei firewall), senza alcun controllo su cosa esce....

per questo uso Tiny

bye

fai bene ad usare tiny perché almeno ti da un certo grado di "sicurezza".....

secondo me tutte le porte non utilizzate dai servizi standard o da servizi di rete è meglio bloccarle sia in ingresso che in uscita, la sicurezza è maggiore e così si scovano gli spyware e i prg malicious

il firewall di xp è una caricatura, innumerevoli sono quelli che secondo me, oggi, andrebbero chiamati "bug"....
sapete se nel service pack 1 (non l'ho ancora scaricato) hanno migliorato la sicurezza?

[FiSHBoNE]

ragazzi,conoscete il bla trojan? Ebbene,ho messo su un ftp su un pc,su cui è in funzione il norton pers firewall 2001. Ebbene,riscontrando frequentissimi casi ingiustificati di blocco nell'accesso all'ftp sia da client ftp che da dos che da explorer,ho capito che dipendeva dal firewall... smanettando ho visto che nella tabella dei log,quando tentavo di connettermi al mio ftp e mi bloccava,veniva scritto che era statoi bloccato il bla trojan... allora ho abilitato l'accesso per questo trojan (ritenendo che fosse solo una sega mentale del norton) e ho visto che tutto funzionava... e mi faceva connettere perfettamente... mi pare di aver capito che questo trojan sia legato all'uso di dns2go... Per aumentare un pò il filtraggio di questo trojan ho messo nella sezione remote address il nome l'ip (vabbè,+ che l'ip,visto che è dinamico,il nome) e come local address volevo mettere solo la porta 1042 ma se lo faccio torna a bloccare tutto... . Ho letto cmq che il bla trojan agisce proprio sulla 1042,sicchè anche limitando l'accesso a quella porta penso non avrei risolto nulla... però da quel momento il norton mi da tantoi allarmi,e nel log degli alert mi dice molto spesso "unused port blocking has blocked communications" è forse legato al fatto della mia abilitazione in inbound al bla trojan? Insomma,che mi consigliate di fare? E' grave lasciare l'impostaz per il bla così come l'ho messa io? Non è che consente l'accesso solo per l'uso dell'ftp e avendo messo come remote host address il nome del server lascia tutti gli altri intrusori fuori? Ma è forse uno spyware di dns2go?

[Straniero]

Quote:

Originariamente inviato da The_Condor
[b]

azz... ogni settimana, che pazienza! così è sicuramente diverso....

ormai è da tempo che non uso più firewall....
...non software si intende

Intendi dire che usi un firewall hardware? Che tipo?
Una volta avevo letto che Norton utilizzava, in aggiunta a quello che è compreso nel firewall, le definizioni dei virus presente nel NAV. Aggiornando entrambi, secondo te si possonoi avere problemi (ovviamente non contro trojan che escono il giorno prima)?

[lipro]

Quote:

Originariamente inviato da FiSHBoNE
[b]ragazzi,conoscete il bla trojan? Ebbene,ho messo su un ftp su un pc,su cui è in funzione il norton pers firewall 2001. Ebbene,riscontrando frequentissimi casi ingiustificati di blocco nell'accesso all'ftp sia da client ftp che da dos che da explorer,ho capito che dipendeva dal firewall... smanettando ho visto che nella tabella dei log,quando tentavo di connettermi al mio ftp e mi bloccava,veniva scritto che era statoi bloccato il bla trojan... allora ho abilitato l'accesso per questo trojan (ritenendo che fosse solo una sega mentale del norton) e ho visto che tutto funzionava... e mi faceva connettere perfettamente... mi pare di aver capito che questo trojan sia legato all'uso di dns2go... Per aumentare un pò il filtraggio di questo trojan ho messo nella sezione remote address il nome l'ip (vabbè,+ che l'ip,visto che è dinamico,il nome) e come local address volevo mettere solo la porta 1042 ma se lo faccio torna a bloccare tutto... . Ho letto cmq che il bla trojan agisce proprio sulla 1042,sicchè anche limitando l'accesso a quella porta penso non avrei risolto nulla... però da quel momento il norton mi da tantoi allarmi,e nel log degli alert mi dice molto spesso "unused port blocking has blocked communications" è forse legato al fatto della mia abilitazione in inbound al bla trojan? Insomma,che mi consigliate di fare? E' grave lasciare l'impostaz per il bla così come l'ho messa io? Non è che consente l'accesso solo per l'uso dell'ftp e avendo messo come remote host address il nome del server lascia tutti gli altri intrusori fuori? Ma è forse uno spyware di dns2go?

ecco un motivo per cui preferisco usare i firewall dove decido io cosa fare e non il firewall.....
appena si fa qualcosa di leggermente complesso saltano fuori le magagne di certi firewall così decantati, come zonealarm o il norton...

un consiglio che posso darti è quello di provare Tiny

bye

[FiSHBoNE]

mi hai convinto,appena formatto metto il Tiny... magari poi mi aiuti se ho qualche problema a settarlo,ok? =)

Grazie