Firewall: regola

[sonicomorto]

Ciao
ieri ho trovato un sito che offre un programmino che avviato dal pc permette di testare il livello di protezione del proprio firewall. Il programma è Pc Audit ed è scaricabile qui: http://www.programmifree.com/freeapp/pcaud.exe

Così l'ho provato e sono rimasto stupito nel vedere che il test ha fallito clamorosamente, ovvero il programmino ha inviato tranquillamente a un al tro pc remoto ogni tipo di dato scritto ecc...

Allora ho messo mano al firewall. Io utilizzo come firewall Sygate Firewall Pro 5.5 (in accoppiata con Nod32 2.51.30). Il pc fa parte di una rete locale (dietro router wi-fi ) con ip 192.168.0.xxx . L'unica regola che ho sempre impostato nel firewall era quella di permettere qualsiasi tipo di traffico (sia ingresso che uscita) per gli ip dal 192.168.0.0 al 192.168.0.255 .

Quindi ho provato ad eliminare la suddetta regola e a ri-effettuare il test con Pc Audit... ebbene non è passato nulla. Il programmino non è riuscito a inviare nulla!!

Ora mi chiedo: ma che regola devo impostare nel firewall per permettere agli altri pc della rete locale di accedere ai condivisi del pc stesso? e ovviamente che permetta il normale funzionamento di tutto.

Fatemi sapere, grazie. ciao

[Baltico]

tu sai che hai scaricato uno spyware vero?

[ania]

Quote:

Originariamente inviato da Baltico

tu sai che hai scaricato uno spyware vero?

Ciao Baltico, non conosco il programma Pc Audit.
Ed in un primo momento erroneamente lo avevo scambiato con Spy Audit, di cui si è parlato molto tempo fa in questo forum, e precisamente in questo thread:
http://www.hwupgrade.it/forum/showthread.php?t=667908
Guida alla rimozione degli Spyware!!
Come mai sostieni che Pc Audit è uno spyware ( o forse ne installa ?) un pò come si è sempre sostenuto in merito a DAP , forse)
Grazie mille ciao

[Baltico]

macchina virtuale + download del file + rtvscan

[wizard1993]

è uno spyware; e a me process guard gli ha fatto battere una tale craniata che ha rimbalsato una ventina di volte

[wgator]

Ciao,

bè... non è che sia esattamente uno spyware... E' un programma che, per sua natura cerca di "bucare" il sistema allo scopo di verificarne le "falle"

Ovviamente usandolo, si inviano una serie di informazioni riguardanti la propria macchina ad un server... Non credo però che ne facciano "cattivo uso"
Molti antivirus ovviamente e giustamente si "incavolano" e lo segnalano come spyware. In effetti pcaud.exe tenta di carpire delle informazioni...

[wizard1993]

Quote:

Originariamente inviato da wgator

Ciao,

bè... non è che sia esattamente uno spyware... E' un programma che, per sua natura cerca di "bucare" il sistema allo scopo di verificarne le "falle"

Ovviamente usandolo, si inviano una serie di informazioni riguardanti la propria macchina ad un server... Non credo però che ne facciano "cattivo uso"
Molti antivirus ovviamente e giustamente si "incavolano" e lo segnalano come spyware. In effetti pcaud.exe tenta di carpire delle informazioni...

tutto sta che la mia santa barbara formata da PD/RD/KIS/AAS appena ha sentito la scintilla del processo ha scatenato un inferno tale che il nostro spy non ha fatto in tempo nemmeno a cominciare a rubar info

[nV 25]

Quoto il mod.

Se quel fantomatico pcAud.exe è il leaktest in una delle sue 3 varianti (che si possono peraltro scaricare da qui: http://www.firewallleaktester.com/leaktest6.htm http://www.firewallleaktester.com/leaktest12.htm), tranquillizziamo pure il nostro amico visto che di semplice test si tratta e quindi, anche se avesse "carpito" qualcosa, sarebbe mal di poGo*....






*= in Garfagnana o nell'alta Versilia la C si pronuncia G, es (oltre a quello sopra):
hai miGa delle Garamelle?

[lester99]

Fatto sta che quando si approda su quel sito, McAfee SiteAdvisor diventa rosso , perciò meglio evitarlo comunque !

[Bonovox767]

Dettagli su Pc Audit da McAfee Site Advisor:



http://www.siteadvisor.com/sites/pro...loads/1169027/

[sonicomorto]

Credo che si stia perdendo il filo del 3D. Io non devo essere tranquillizzato da nessuno: so che PcAudit non è dannoso. L'ho avviato appositamente per testare il livello di protezione del mio firewall ed è proprio grazie a PcAudit se sono qui a voler sistemare il firewall.

Il punto non è quello: se leggete bene il post iniziale chiedo a riguardo della regola.

Intanto grazie a tutti.

[nV 25]

Quote:

Originariamente inviato da sonicomorto

Credo che si stia perdendo il filo del 3D. Io non devo essere tranquillizzato da nessuno: so che PcAudit non è dannoso...

Il punto non è quello: se leggete bene il post iniziale chiedo a riguardo della regola.

...

forse sono poco preparato io, ma il test PcAudit (che sia l'1, il 2 o il 3, poco importa) non c'incastra nulla con le "regole del firewall" visto che sfrutta un meccanismo, in questo caso la DLL injection, per iniettare il proprio codice (per es, la sua dll...) all'interno di un applicazione che è stata legittimamente autorizzata ad accedere all'esterno, ad es Firefox, IE...

Il gioco qual'è, allora?
Che il Firewall crede che l'istanza provenga legittimamente dall'applicazione precedentemente autorizzata e NON dal test (o malware)....

Come vedi, cosa ci dovrebbe incastrare "una regola"?
Nessuno è andato OT e forse non sai bene cosa fa il test in questione....


IMO....

[sonicomorto]

Ho rieffettuato il test:

PcAudit con regola del firewall: il PcAudit invia i dati
PcAudit senza regola del firewall: il PcAudit NON invia i dati, il firewall rileva ogni suo tentativo di comunicare verso l'esterno

Non mi sembra molto difficile da comprendere. Quella regola non va bene, perchè lascia passare. Io vorrei che ci fosse libero permesso tra i pc della mia lan locale, ma che ci sia protezione SICURA per internet.

Chiaro adesso?

[Kars]

Blocca il traffico uscente su questo ip: 209.101.114.44
Piu' di questo con il solo firewall non puoi fare, come ti e' stato gia' detto.
ciao

[wizard1993]

Quote:

Originariamente inviato da sonicomorto

Ho rieffettuato il test:

PcAudit con regola del firewall: il PcAudit invia i dati
PcAudit senza regola del firewall: il PcAudit NON invia i dati, il firewall rileva ogni suo tentativo di comunicare verso l'esterno

Non mi sembra molto difficile da comprendere. Quella regola non va bene, perchè lascia passare. Io vorrei che ci fosse libero permesso tra i pc della mia lan locale, ma che ci sia protezione SICURA per internet.

Chiaro adesso?

se un firewall è ben configurato; riesci a condividere pc anche tramite remoto

[sonicomorto]

Ok, chiaro che se blocco l'ip al quale comunica il PcAudit , esso non comunicherà. Ma non me ne frega niente! Pc audit l'ho avviato io, e non lo farò piu!! quello ch volevo dire è che se pc audit è in grado di comunicare con l'esterno anche un qualsiasi hacker può farlo! e io voglio bloccare quest'ultimo caso.

Quindi: se toglo ogni regola dal firewall sarò sicuro che non avrò alcun problema di intrusioni, trojan ecc... ma con i pc della lan locale non riesco ad accedere al pc stesso. Come posso fare?

(tutto quello che sto ripetendo per la terza volta l'avevo già scritto nel PRIMO post, attendo ancora una RISPOSTA. grazie)

[Kars]

Guarda, non so se te ne sei accorto, ma risulti difficilmente comprensibile. Prendiamo in esame l' ultimo post:

Quote:

quello ch volevo dire è che se pc audit è in grado di comunicare con l'esterno anche un qualsiasi hacker può farlo! e io voglio bloccare quest'ultimo caso.

Ti hanno gia' detto che pcaudit sfrutta le credenziali di accesso di programmi leciti a cui e' consentito libero accesso alla rete per veicolare dati sensibili.
Detto cio' non e' possibile bloccare programmi che si fingono altri solo con le regole del firewall a meno che di non bloccare tutti i programmi dirottabili. Per quanto il firewall sia intelligente (Dpi) usera' come parametri delle "semplici" regole di filtraggio, che nei firewall classici basati su packet filtering sono solo nell' analisi dell Header, ovvero tra il confronto della sorgente e della destinazione.
Non ho capito, ordunque, se ancora vuoi sapere come bloccare pcaudit con le regole del firewall o vuoi sapere come connettere il pc con il firewall solo alla rete locale lan e non a Internet.
A scanso di ulteriori equivoci ti dico che per bloccare pcaudit o sue varianti ce' bisogno di un programma che blocchi le tecniche di application hijacking descritte da nV 25 cosi' da non lasciare al firewall troppe aspettative e speranze. Ma mi immagino gia' come i migliori programmi anti-virus possano considerare pcaudit...sta' di fatto che ho la sensazione che basti usare un finto proxy per annullare questo tipo di attacco.
Se ti serve connettere un pc della rete locale al firewall "senza regole" impostate, bastera' semplicemente impostare delle regole di accesso solo per gli host voluti.
Spero di essere stato chiaro anchio.
ciao