Outpost firewall [Thread Ufficiale]

[xcdegasp]

io stasera o domani mattina incomincio la sessione di test sul mio pc con win2003-server

- tanti saluti winxp-pro e a mai più -

[zago25]

Quote:

Originariamente inviato da xcdegasp

probabilmente non gli avevi dato accesso a quel servizio/programma..
sicuramente nei miei panni è moolto difficile sapere indovinare cosa c'è nel tuo pc che non va'

Certo. Solo per capire meglio: lo stealth test dovrebbe verificare che il mio sistema sia "invisibile", cioè non dovrebbe rispondere alle richieste di quei particolari tipi di pacchetti. L'impostazione "nascosto" di outpost dovrebbe proprio impedire la visibilità del sistema, ma a quanto pare non lo fa... In che modo un servizio o un programma può "rendere visibili" quelle porte se il firewall è impostato per nasconderle?
Ciao e grazie.

[xcdegasp]

Quote:

Originariamente inviato da zago25

Certo. Solo per capire meglio: lo stealth test dovrebbe verificare che il mio sistema sia "invisibile", cioè non dovrebbe rispondere alle richieste di quei particolari tipi di pacchetti. L'impostazione "nascosto" di outpost dovrebbe proprio impedire la visibilità del sistema, ma a quanto pare non lo fa... In che modo un servizio o un programma può "rendere visibili" quelle porte se il firewall è impostato per nasconderle?
Ciao e grazie.

se stai usando quelle porte o un programma è in ascolto su quelle è ovvio che non puoi nasconderle
la funzione stealth funziona e io sono sempre stato stealth, sia con router senza firewall (quindi con funzionalità di semplice modem) sia ovviamente con router che possiede firewall hardware.

[zago25]

Quote:

Originariamente inviato da xcdegasp

se stai usando quelle porte o un programma è in ascolto su quelle è ovvio che non puoi nasconderle
la funzione stealth funziona e io sono sempre stato stealth, sia con router senza firewall (quindi con funzionalità di semplice modem) sia ovviamente con router che possiede firewall hardware.

Ciao,
ho provato a rieseguire il test disabilitando più processi possibile (anche l'antivirus) e settando il livello di protezione di outpost a "blocca la maggiorparte". Mentre il test girava, ho notato che nella sezione "porte aperte" del firewall il numero di porte aumentava per poi riabbassarsi a fine test. Questo vuol dire che le porte sulle quali viene eseguito il test non sono già aperte da qualche servizio/programma, giusto?
Sai darmi qualche altro suggerimento?
Se vuoi ti posto la lista dei processi attivi...
Ciao e grazie ancora!

[xcdegasp]

Quote:

Originariamente inviato da zago25

Ciao,
ho provato a rieseguire il test disabilitando più processi possibile (anche l'antivirus) e settando il livello di protezione di outpost a "blocca la maggiorparte". Mentre il test girava, ho notato che nella sezione "porte aperte" del firewall il numero di porte aumentava per poi riabbassarsi a fine test. Questo vuol dire che le porte sulle quali viene eseguito il test non sono già aperte da qualche servizio/programma, giusto?
Sai darmi qualche altro suggerimento?
Se vuoi ti posto la lista dei processi attivi...
Ciao e grazie ancora!

i test vanno eseguiti sempre su "blocca maggiormente", oltre al fatto che nell'uso normale deve essere sempre in questa modalità!
non ha nessun senso logico usare il firewall nell'uso quotidiano in "crea regole" inquanto se per qualche motivo ti entra un malware potrebbe creare la sua regola!

le regole servono proprio a impedire comonicazioni non autorizzate quindi usalo sempre in "blocca maggiormente".

se puoi fai l'elenco dei programmi abilitati e delle loro regole, così vediamo cosa c'è che non va'..



@ agli altri: figata il "controllo leaktest" della beta2 di outpost-pro 4.0

[zago25]

Quote:

Originariamente inviato da xcdegasp

i test vanno eseguiti sempre su "blocca maggiormente", oltre al fatto che nell'uso normale deve essere sempre in questa modalità!
non ha nessun senso logico usare il firewall nell'uso quotidiano in "crea regole" inquanto se per qualche motivo ti entra un malware potrebbe creare la sua regola!

le regole servono proprio a impedire comonicazioni non autorizzate quindi usalo sempre in "blocca maggiormente".

se puoi fai l'elenco dei programmi abilitati e delle loro regole, così vediamo cosa c'è che non va'..

Ok, ti ringrazio molto per il suggerimento.

Ecco la lista dei programmi parzialmente abilitati e delle rispettive regole:

-Microsoft Alg Service: Dove il protocollo è TCP e la direzione è in arrivo
permettilo e attiva stato di ispezione ALG


-Agnitum Product Update: Dove il protocollo è TCP e la direzione è in uscita
e la porta remota è 80-83 permettilo


-Itunes:
Itunes Http Connection: Dove il protocollo è TCP e la direzione è in
uscita e la porta remota è 80-83 permettilo
Itunes Shared Connection: Dove il protocollo è UDP e la direzione è in
uscita e la porta remota è 5353 permettilo
Itunes Https Connection: Dove il protocollo è TCP e la direzione è in
uscita e la porta remota è Https permettilo


-Agnitum Oupost Firewall: Dove il protocollo è TCP e la direzione è in uscita
e la porta remota è 80-83 permettilo


-Skype:
Skype Outbound connection from ports above 1024 UDP: Dove il protocollo è
UDP e la direzione è in uscita e la porta remota è 1025-65535 permettilo

Skype Inbound connection from ports above 1024 UDP: Dove il protocollo è
UDP e la direzione è in arrivo e la porta remota è 1025-65535 permettilo

Skype Http Connection: Dove il protocollo è TCP e la direzione è in
uscita e la porta remota è 80-83 permettilo

Skype Outbound connection from ports above 1024 TCP: Dove il protocollo è
TCP e la direzione è in uscita e la porta remota è 1025-65535 permettilo


-Generic Host Process:
Generic Host Process Time syncronize Tcp Connection: Dove il protocollo è
Tcp e la direzione è in uscita e la porta remota è Daytime,Time,NTP permettilo

Generic Host Process Time syncronize UDP Connection: Dove il protocollo è
UDP e dove la porta remota è Time,123 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: Dove il protocollo
è UDP e dove la direzione è in uscita e dove l'host è 239.255.255.250
(255.255.255.255) e dove la porta remota è 1900 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: dove il protocollo
è Tcp e la direzione è in uscita e dove la porta remota è 2869 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: dove il protocollo
è Tcp e la direzione è in arrivo e dove la porta remota è 2869 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: dove il protocollo
è UDP e la porta locale è 1900 permettilo

SSDP Legacy event notification: dove il protocollo è tcp e la direzione è in
uscita e la porta remota è 5000 permettilo


-Windows MEdia Player Http Connection: Dove il protocollo è TCP e la
direzione è in uscita e la porta remota è 80-83 permettilo


Applicazioni permesse: Internet Explorer, Avp, Msn, Zdc++


Forse devo configurare meglio il Generic Host Process e Internet Explorer...
Come mi consigli di fare?
Grazie mille!

[xcdegasp]

Quote:

Originariamente inviato da zago25

"SSDP Discovery Service" and "UPnP Device Host" service: Dove il protocollo
è UDP e dove la direzione è in uscita e dove l'host è 239.255.255.250
(255.255.255.255) e dove la porta remota è 1900 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: dove il protocollo
è Tcp e la direzione è in uscita e dove la porta remota è 2869 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: dove il protocollo
è Tcp e la direzione è in arrivo e dove la porta remota è 2869 permettilo

"SSDP Discovery Service" and "UPnP Device Host" service: dove il protocollo
è UDP e la porta locale è 1900 permettilo

SSDP Legacy event notification: dove il protocollo è tcp e la direzione è in
uscita e la porta remota è 5000 permettilo


-Windows MEdia Player Http Connection: Dove il protocollo è TCP e la
direzione è in uscita e la porta remota è 80-83 permettilo


Applicazioni permesse: Internet Explorer, Avp, Msn, Zdc++


Forse devo configurare meglio il Generic Host Process e Internet Explorer...
Come mi consigli di fare?
Grazie mille!

del servizio uPnP non te ne fai assolutamente nulla ed è profondamente pericoloso.
se non hai un router non vedo motivo di abilitarlo, oltre al fatto che cmq nei router è preferibile non usare tale servizio!

1) disabilita e poi cancella le regole relative a "SSDP uPnP", tutte quante.
2) controlla in services.msc di avere tale servizio disabilitato e stoppato


-> "Windows MEdia Player Http Connection"
io filmati in streamming non ne guardo e non ascolto radio via streamming quindi non lascio nessun player accedere a internet; oltre al fatto che media player lo snobbo per altri più performanti e sicuri oltre che meno spioni.


-> attenzione a msn!
controlla bene le sue regole, può avere in grembo la regola attiva per il desktop remoto! (connessione RDP)

-> attenzione a Internet Explorer:
sicuro che sia InternExplorer e non il processo "explorer.exe" ?
NB: IE è identificato da "iexplorer.exe"

[zago25]

Quote:

Originariamente inviato da xcdegasp

del servizio uPnP non te ne fai assolutamente nulla ed è profondamente pericoloso.
se non hai un router non vedo motivo di abilitarlo, oltre al fatto che cmq nei router è preferibile non usare tale servizio!

1) disabilita e poi cancella le regole relative a "SSDP uPnP", tutte quante.
2) controlla in services.msc di avere tale servizio disabilitato e stoppato


-> "Windows MEdia Player Http Connection"
io filmati in streamming non ne guardo e non ascolto radio via streamming quindi non lascio nessun player accedere a internet; oltre al fatto che media player lo snobbo per altri più performanti e sicuri oltre che meno spioni.


-> attenzione a msn!
controlla bene le sue regole, può avere in grembo la regola attiva per il desktop remoto! (connessione RDP)

-> attenzione a Internet Explorer:
sicuro che sia InternExplorer e non il processo "explorer.exe" ?
NB: IE è identificato da "iexplorer.exe"

Sei davvero gentilissimo, grazie!
Allora ho stoppato il servizio di rilevamento SSDP (UpnP non mi compare nella lista, basta stoppare solo il servizio SSDP?) e cancellato le voci relative in outpost.
Nella lista delle applicazioni permesse c'è "iexplorer.exe" e "msnmsgr.exe", però siccome gli ho permesso tutto, non mi fa modificare le regole associate. Devo rimuovere i due processi dalla lista e poi configurarli manualmente?Se si come mi consigli di farlo?

[zago25]

Ho dato a iexplorer.exe le regole predefinite per il browser che sono le seguenti:

Internet Explorer Http Connection: dove il protocollo è tcp e la direzione è in uscita e dove la porta remota è 80-83 permettilo

Internet Explorer Https Connection: dove il protocollo è tcp e la direzione è in uscita e dove la porta remota è https permettilo

Browser Socks Connection: dove il protocollo è tcp e la direzione è in uscita e dove la porta remota è Socks permettilo

Browser Proxy Connection: dove il protocollo è tcp e la direzione è in uscita e dove la porta remota è Proxy:3128,Proxy:8080;Proxy:8081 permettilo

Per quanto riguarda msn, usando sempre la voce "Crea regole usando predefiniti", mi compare una lista di cose tra cui "Msn messenger RTP connection", intendevi questa?
Le altre voci sono:
1. MSN messenger connection
2. Msn file transfer
3. Msn voice communication (TCP)
4. Msn voice communication (UDP)
5. Msn remote assistance
6. Msn application sharing and whiteboard
7. Msn RTP connection
8. Msn HTTP connection
9. Msn HTTPs connection
10. Msn STUN connection
11. Msn STUN connection (una seconda volta)
12. Allow UDP LDAP for Msn Messenger

Credo che vadano disattivate la 5 e la 7. 6,10,12 sai a cosa servono?

[xcdegasp]

Quote:

Originariamente inviato da zago25

Per quanto riguarda msn, usando sempre la voce "Crea regole usando predefiniti", mi compare una lista di cose tra cui "Msn messenger RTP connection", intendevi questa?
Le altre voci sono:
1. MSN messenger connection
2. Msn file transfer
3. Msn voice communication (TCP)
4. Msn voice communication (UDP)
5. Msn remote assistance
6. Msn application sharing and whiteboard
7. Msn RTP connection
8. Msn HTTP connection
9. Msn HTTPs connection
10. Msn STUN connection
11. Msn STUN connection (una seconda volta)
12. Allow UDP LDAP for Msn Messenger

Credo che vadano disattivate la 5 e la 7. 6,10,12 sai a cosa servono?

ie ora è a posto

-> msn:
la regola 5 e 6 disabilitale e poi cancellale
- la 6 servirebbe per condividere applicazioni tra due pc, assolutamente pericoloso!!! -

la connessione RTP è la connessioni che instauri con i client per chattare quindi indispensabile.

per "msn STUN" ti chiedo di postare le regole come le vedi in outpost
per dirti io usando trillian (mi simula nello stesso momento icq e msn) le regole stun non ce le ho.

[zago25]

Dunque le regole per le connessioni STUN TCP e UDP sono rispettivamente:

-Dove il protocollo è TCP e la direzione è in uscita e dove la porta remota è
3478 permettilo.

-Dove il protocollo è UDP e la direzione è in uscita e dove la porta remota è
3478 permettilo.

Per quanto riguarda iexplorer, ho provato a rifare lo stealth test ma il risultato è sempre uguale . Che devo fare?

[xcdegasp]

Quote:

Originariamente inviato da zago25

Dunque le regole per le connessioni STUN TCP e UDP sono rispettivamente:

-Dove il protocollo è TCP e la direzione è in uscita e dove la porta remota è
3478 permettilo.

-Dove il protocollo è UDP e la direzione è in uscita e dove la porta remota è
3478 permettilo.

Per quanto riguarda iexplorer, ho provato a rifare lo stealth test ma il risultato è sempre uguale . Che devo fare?

ok credo vadano bene

io ti sconsiglio caldamente di usare ie, prova invece a fare il test via firefox.
il problema è che ie e windows hanno dll condivise tra loro e sono troppo integrati questo va quindi a discapito della sicurezza.
i browser alternativi invece sono programmi molto più svincolati dal cuore di windows quindi meno succubi a vulnerabilità di windows stesso e protezione migliore.

[zago25]

Innanzitutto ti ringrazio per l'aiuto che mi hai dato, sicuramente ora il mio firewall è configurato molto meglio!
Per quanto riguardo la prova con firefox, conto di farla al più presto.
Un'ultima osservazione: sul sito di pcflank dice che in caso non si passasse il test, è necessario impostare il firewall per nascondere quelle porte e se il problema dovesse persistere di cambiare prodotto e consiglia proprio outpost!
Non hanno provato con IE?
Booo..
cmq ciao e davvero tante grazie!!!

[zago25]

Test fallito anche con firefox........

[xcdegasp]

Quote:

Originariamente inviato da zago25

Test fallito anche con firefox........

[GMarc]

ciao ho installato la 3.5, dove posso reperire una guida aggiornata per questo firewall, non so cosa devo fare per configurarlo


EDIT mi dice 29 porte aperte è normale?

[zago25]

xcdegasp avevo dimenticato di dirti che sono connesso alla rete fastweb...
può spiegare qualcosa questo?

[xcdegasp]

Quote:

Originariamente inviato da zago25

xcdegasp avevo dimenticato di dirti che sono connesso alla rete fastweb...
può spiegare qualcosa questo?

haaaa ma dillo subito
in sostanza hai settato un proxy per navigare quindi è possibile che le porte aperte che segnala potrebbero essere riferite a quel proxy e non a te

apri msn che così possiamo fare in modo più "profondo"

[xcdegasp]

Quote:

Originariamente inviato da GMarc

ciao ho installato la 3.5, dove posso reperire una guida aggiornata per questo firewall, non so cosa devo fare per configurarlo


EDIT mi dice 29 porte aperte è normale?

pure io ne ho 29, ma questo non vuol dire nulla

[zago25]

Quote:

Originariamente inviato da xcdegasp

haaaa ma dillo subito
in sostanza hai settato un proxy per navigare quindi è possibile che le porte aperte che segnala potrebbero essere riferite a quel proxy e non a te

apri msn che così possiamo fare in modo più "profondo"

Non so veramente come ringraziarti per la disponibilità! è stata una fortuna incontrarti! più tardi conto di aprire msn, ciao!