Che firewall installare?

[NZ]

ormai è un po che uso Tiny e mi trovo bene!
Per evitare di dover editare tutti i filtri per le porte suggerite dall'amico Bilancino vorrei chiedere:
Se un qualcosa tente di passare per una di quelle porte sopra elencate e non esiste il relativo filtro Tiny mi avverte? Se si creo il filtro (negando l'accesso) direttamente a seguito del tentativo di intrusuione e mi evito di editare 100 filtri! Dico giusto o no?

Per chiudere tutte le porte (escluse quelle utilizzate dai filtri preimpostati) pensavo di settare il livello di sicurezza da medio ad alto!
così facendo (mi sembra) però Tiny non mi fa più accedere a niente Boh!

Ciao

[O\'Ray]

X chi vuole capire come impostare le regole secondo le proprie esigenze(Tiny personal firewall)

Allora, innanzitutto consiglierei di impostare il livello di protezione su "Ask me first" che permette di far passar solo ciò che è stato definito sulle regole.
Poi, nella finestra filter rules consiglierei di attivare la casella in basso a destra che serve per chiedere all'utente l'azione da compiere nel caso vi siano tentativi di entrata/uscita dati non descritti nelle regole.
Ora comincerei col spiegare bene come impostare le regole del firewall.
Innanzitutto è necessario selezionare Add rules (ovviamente).
Ci si trova davanti alla finestra di impostazione della regola.
Nella casella Description va messo il nome della regola (che può essere deciso arbitrariamente).
Vi è poi la casella protocollo dove è possibile selezionare il protocollo che la regola dovrà controllare.
Ad esempio con il TCP è possibile controllare connessioni a siti web, connessioni a server telnet, proxy ecc...
Con l'UDP si può controllare il traffico multimediale (filmati in streaming ecc...), il traffico dei giochi, il DNS ecc...
Con l'ICMP si possono controllare i vari messaggi di controllo (ping, errori vari dei server ecc...)
Con l'Other si possono controllare altri protocolli (di solito è poco usata)
Una volta scelto il protocollo, è necessario stabilire se la regola sarà valida quando il pacchetto sta uscendo dal vostro computer e andando verso l'esterno (outgoing) oppure se dovrà essere valida quando il pacchetto proveniente dall'esterno viene verso l'interno. Tutto questo, ovviamente, attraverso l'opzione direction.
Una volta scelta la direzione, è (nel caso di TCP e UDP che sono i più usati) possibile selezionare la porta locale e l'applicazione che detiene il controllo di tale porta.
In pratica su application dovrette mettere l'applicazione alla quale permetterete o vieterete il traffico descritto nella regola.
Su local port, invece, la questione è un po' + complessa. Infatti, se il pacchetto viene dall'esterno verso l'interno, questa opzione starà ad indicare la porta che è in ascolto sul nostro computer, mentre se il pacchetto è uscente, l'opzione servirà a determinare quale porta locale utilizzare per stabilire il collegamento con l'esterno. Normalmente questa opzione va settata solo nel caso che direction sia stata settata su incoming altrimenti va lasciata su Any port.
La parte sotto (remote endpoint) specificherà adeguatamente con che IP remoto sarà valida questa regola (address type) e da quale porta quest'ultimo sta cominicando con voi(port type)
Vi è poi la casella Rule valid nella quale potrete specificare in che giorni e in che ore questa regola sarà attiva.
Infine, nel frame action sarà possibile specificare se il pacchetto che risponde alle caratteristiche impostate sopra dovrà essere ignorato (Deny) o accettato(permit).
La casella log when this rule match permette, se sono state attivate le funzionalità di logging nel menù Miscellaneous, di scrivere su un file di log data, ora, e altri dettagli quando vengono intercettati pacchetti che corrispondono alla regola.
La casella sottostante serve per mostrare un messaggio d'avviso quando arrivano pacchetti che corrispondono alla regola.

Breve esempio di settaggio Internet Explorer.
Partiamo dal presupposto che IE si collega alla porta 80 dei vari siti web.
Inoltre, quando vengono effettuate comunicazioni sicure HTTPS IE si collega alla porta 443
Quando si vuole accedere ad un server FTP, a meno che non si utilizzi un FTP passivo, IE effettua una connessione sulla porta 21 e ne riceve un'altra su una porta non definita proveniente dalla porta 20 del server.

Quindi delle valide e funzionanti regole per Internet Explorer potrebbero essere:

Regola IE n.1
Protocol=TCP
Direction=Outgoing
Application=c:\.....iexplore.exe
Local endpoint port type= Any port
Remote endpoint address type=any address
Remote endpoint port type=List of ports(80-21-443)
Action=Permit

Regola IE n.2
Protocol=TCP
Direction=Incoming
Application=c:\.....iexplore.exe
Local endpoint port type= Any port
Remote endpoint address type=any address
Remote endpoint port type=Single port(20)
Action=Permit

Spero di esser stato abbastanza chiaro e di aver aiutato qualcuno. Ciao.

[Lupen_il_ladro]

Io mi trovo bene con Sygate Personall Firewall Pro 5.0 non è Freeware .....Ciao

[NZ]

Complimenti per la descrizione! Semplice ma chiara!
C'è però una cosa che non ho capito nel tuo esempio....
quando ho installato Tiny ed ho lanciato explorer mi è apparsa una finestra che mi chiedeva cosa fare!
Naturalamente io ho dato il permesso!
da allora explorer lo uso e funge bene eppure nella lista delle regole c'è ne solo una che riguarda explorer:
è un filtro TCP outgoing con tutto settato con "any address" o "any port"!
Dici che dovrei editare gli esempi che hai fornito?
Quegli esempi che hai fornito con explorer sono validi anche per altri browser come Opera?

Ciao

[DarkSaga]

Ciao a tutti, vorrei avere un vostro parere...

secondo voi è valido il test della Symantec sulla sicurezza del pc che trovate qui http://www.symantec.com/securitycheck/ ???

io uso tiny (che d'ora in poi si chiamerà Kerio - www.kerio.com), ho fatto il test e mi dice che sono protetto al 100%

--------

ps: per quanto riguarda la configurazione del kerio/tiny proporrei una cosa.... installatevi la versione 2.1 beta 3 (da www.kerio.com), con essa è possibile salvare su file la configurazione del fw comprese tutte le regole, poi ci possiamo scambiare questi file, caricarli e vedere come abbiamo configurato i nostri fw

bye

[NZ]

Scusa Dark ma questa versione beta l'hai provata???
Non vorrei che facesse crashare il povero XP pro!
Risulta come Tiny o come Kerio?

Ciao

[DarkSaga]

Quote:

Originariamente inviato da NZ
[b]Scusa Dark ma questa versione beta l'hai provata???
Non vorrei che facesse crashare il povero XP pro!
Risulta come Tiny o come Kerio?

Ciao

In pratica il team della tiny che sviluppava il firewall ora si chiama kerio... la beta 3 funziona benissimo (provato su win2k e xp)

.....il personal fw ha cambiato nome ma è identico a prima

prima di installarla però disinstalla la tua ver. del tiny

bye

[O\'Ray]

X NZ

In pratica, con la tua regola hai lasciato passare tutto il traffico in uscita di Internet Explorer. Le mie 2 regole, invece, puntavano a lasciar passare solo quello che realmente serve.
Io ho preferito fare questo nel mio firewall per essere avvertito di eventuali connessioni a porte non standard( chi ci assicura che Internet Explorer non sia uno spyware della M$, oppure, che con i suoi bachi di sicurezza qualcuno possa entrare, attraverso qualche porta, nel nostro PC?).
So che forse è un po' da paranoici fare questo, infatti, se non vuoi incasinarti la vita, ti consiglio di tenere quella regola.
Cmq quella regola, anche se permette tutto il traffico in uscita, non dovrebbe essere sufficiente se accedi ai siti FTP con IE.
Questo perchè l' FTP prevede che ci siano 2 connessioni: una entrante ed una uscente. Quindi se non aggiugi la mia seconda regola, i trasferimenti FTP non funzioneranno.

Per quanto riguarda la tua domanda su opera, la risposta è sì, almeno per quanto riguarda la porta 80 e la 443. Per quanto riguarda l'FTP (21 in uscita e 20 in entrata) non so se opera supporti trasferimenti FTP direttamente dal browser. Cmq, se tu ce l'hai e hai sempre potuto sfogliare i file di un server FTP direttamente via browser, dovrebbero essere valide tutte e 2 le regole.

[lipro]

sei stato chiaro, l'unica cosa per cui ti muoverei un'appunto è la creazione delle regole....

perchè:

Regola IE n.1
Protocol=TCP
Direction=Outgoing
Application=c:\.....iexplore.exe
Local endpoint port type= Any port
Remote endpoint address type=any address
Remote endpoint port type=List of ports(80-21-443)
Action=Permit

Regola IE n.2
Protocol=TCP
Direction=Incoming
Application=c:\.....iexplore.exe
Local endpoint port type= Any port
Remote endpoint address type=any address
Remote endpoint port type=Single port(20)
Action=Permit

e non:

Protocol=TCP
Direction=Outgoing
Application=c:\.....iexplore.exe
Local endpoint port type= Any port
Remote endpoint address type=any address
Remote endpoint port type=List of ports(80-20-21-443)
Action=Permit

Regola IE n.2
Protocol=TCP
Direction=Incoming
Application=c:\.....iexplore.exe
Local endpoint port type= Any port
Remote endpoint address type=any address
Remote endpoint port type=any port
Action=Permit


la 20 e la 21 devono essere aperte sull'ftp remoto per ricevere i dati....
difatti se tu non hai firewall e sull'ftp remoto hai aperto solo la 21 non vedi assolutamente nulla....e non è un problema del tuo firewall, ma di quello remoto...

bye

ps: io ho regole solo in uscita su IE, nulla in entrata...

[lipro]

cmq potremmo iniziare a scrivere tutti assieme le regole per le varie applicazioni più usate e finalmente a trattare seriamente le regole di firewalling, invece che affidarsi ai soliti zonealarm e norton....

bye

[O\'Ray]

Come dicevo nel primo intervento che ho fatto, io considero l'FTP normale, non l'FTP passivo. L'FTP normale prevede due connessioni: una in uscita (che se non sbaglio serve per trasmettere messaggi di controllo) e una in entrata proveniente dal server ftp e originata dalla sua porta 20.
Le tue regole sono valide nel caso di un FTP passivo il quale non è sempre supportato da tutti i server. Questo tipo di FTP è stato studiato affinchè si possa accedere al server FTP anche da dietro una NAT e non penso sia il caso di usarlo se si è direttamente connessi a internet.

[Bilancino]

Quote:

Originariamente inviato da NZ
[b]ormai è un po che uso Tiny e mi trovo bene!
Per evitare di dover editare tutti i filtri per le porte suggerite dall'amico Bilancino vorrei chiedere:
Se un qualcosa tente di passare per una di quelle porte sopra elencate e non esiste il relativo filtro Tiny mi avverte? Se si creo il filtro (negando l'accesso) direttamente a seguito del tentativo di intrusuione e mi evito di editare 100 filtri! Dico giusto o no?

Per chiudere tutte le porte (escluse quelle utilizzate dai filtri preimpostati) pensavo di settare il livello di sicurezza da medio ad alto!
così facendo (mi sembra) però Tiny non mi fa più accedere a niente Boh!

Ciao

Qualsiasi accesso in entrata e uscita viene comunque riconusciuto e nel caso del livello medio viene chiesto il permesso (in uscita). La differenza tra i firewall free e quelli a pagamento è che quest'ultimi hanno un data base interno che permette in base alla porta attaccata di riconoscere il tipo di attacco (troinano). Questo non significa che i firewall freeware non bloccano attacchi non impostati nelle regole, li bloccano (se il livello è medio) ma non ti dicono che attaco è......

Ciao

[O\'Ray]

X bilancino

Da quel che ho visto io sul Norton (che è a pagamento), quello che tu chiami database non sono altro che delle regole impostate sulle varie porte e alle quali è riferito, per ognuna, un nome di un trojan. La cosa è fattibilissima anche con il Tiny: basta andare in google, trovare una elenco di trojan con le relative porte predefinite, e mettere una regola per porta, mettendo come action Deny e impostando l'opzione Display alert box when this rule match. Per ogni regola, poi, si setta du description il nome del trojan e il gioco è fatto: ogni qualvolta un aggressore cercasse di collegarsi a noi attraverso una porta di un trojan, la richiesta verrebbe automaticamente bloccata e verrebbe visualizzata una finestra segnalante il tentativo di collegamento al trojan (mostrando, naturalmente, il nome del trojan alla quale corrisponde la porta alla quale è pervenuta la richiesta di connessione)

[DarkSaga]

Quote:

Originariamente inviato da lipro
[b]cmq potremmo iniziare a scrivere tutti assieme le regole per le varie applicazioni più usate e finalmente a trattare seriamente le regole di firewalling, invece che affidarsi ai soliti zonealarm e norton....

bye

ok, buona idea

Queste sono le regole che ho impostato sul mio Kerio/Tiny PFW
Non guardate quelle di Audiogalaxy, perchè devo ancora metterle a posto...

.......Ditemi le vostre opinioni


Infine mi sapete dire cosa sono i protocolli (IP protocol 103,2) delle ultime 2 regole (che io ho bloccato)??
nel log vedo che me li invia "dns.inwind.it", il mio provider!! Farei bene a lasciarli entrare??


Grazie e ciao.




http://forum.hwupgrade.it/attachment...postid=2064033

[O\'Ray]

Mi sembrano fatte bene!
Però ho una domanda da porti:
nella prima regola cosa serve lasciar passare la porta 67?

Per quanto riguarda le ultime 2 regole, non ho idea di cosa sia il protocollo 103. Il protocollo 2, invece, è il protocollo IGMP e penso serva per far sapere al provider se sei up o sei down. Inizialmente lo bloccavo, poi ho visto che mi staccavano (evidentemente credevano fossi offline dato che non ricevevo il pacchetto), quindi lo ho lasciato passare.

Cmq, se ve ne intendete, http://www.iana.org/assignments/protocol-numbers

[NZ]

ho installato kerio 2.1 beta 3
è proprio uguale a Tiny
Ho visto che è possibile esportare le regole dei filtri...
appena finisco di settare magari le posto

Ciao

[DarkSaga]

Quote:

Originariamente inviato da O'Ray
[b]
Però ho una domande da porti:
nella prima regola cosa serve lasciar passare la porta 67?

ehm... sinceramente non lo so , però ogni tanto quando mi collego services.exe vuole uscire sulla 67

provero a chiuderla e vedere che succede.


Sapete per caso dirmi come configurare Audiogalaxy??


x NZ:

magari invece di postare il file di config, posta una gif come la mia, così le possono vedere tutti




ciao

[NZ]

come si fa a creare una file .gif delle regole di kerio???
Ciao

[Lupen_il_ladro]

Quote:

Originariamente inviato da DarkSaga
[b] ho fatto il test e mi dice che sono protetto al 100%

La miglior protezione è avere il computer spento.....

[DarkSaga]

premi "Stamp", incolli dentro paint shop pro (o un'altro), ridimensioni e comprimi in gif

bye