Manuale "utonto" ... e regole .

Buon ponte a tutti voi . Io avrò una gamba ingessata (fino al 2 gennaio) per un intervento al tendine di Achille subito il 24 ottobre (:AGY). Ne approfitto per diventare più utente e meno “utonto” .
A parte la scherzosità del titolo, mi ritrovo sempre più spesso ottimi prodotti, come in questo caso, con la mancanza di un manuale “utonto” .
Per intenderci, in modo che nessuno si senta offeso, mi ritengo “utonto” anche io, in questo campo, anche se sono laureato in informatoca dal 1986 .

Scusatemi, mi è partito inavvertitamente il Post.
Tornando all’argomento, il manuale “utonto”, trovo non semplice per chi non è almeno un pò nel settore capire quando deve permettere accessi in/out per una certa porta ecc.
Sarebbe il caso, secondo me, di stilare alcune regole fondamentali da applicare. Poche regole che facciano possibilmente uso delle zone in modo che sia anche più leggibile.
Ad esempio : definire una regola permetti udp out per [ZONA DNS] sulla porta 53 .
Alcune regole sono più o meno valide per tutti.
Per venire incontro agli “utonti” come me, mi piacerebbe che si possano esportare/importare le singole regole e in maniera intelligente .
Immaginiamo che Sirio o Pandlouk, per citare un paio di guru, quindi NON IN ZONA “UTONTI”, abbiano creato una regola per il loro sistema, per permettere l’accesso dal DHCP al processo SvcHost.
Auspicherei un export del tipo:
[%Windows%svchost]:Allow UDP in from [?DHCP_LOCALE?] Where Source Port …
Il guru di turno esporta la regola in questo modo, io importo la regola ma in fase di import mi viene richiesto l’indirizzo o la zona del DHCP .
Ovviamente la regola va importata lasciando intatte le regole preesistenti .
Buon week-end . :■■■■

Ciao franco59,

Perché la mia guida la trovi complessa? Io l’ho fatta proprio per le persone inesperte.

Questa è una buona idea, nella guida l’avevo già scritto che le metterò.
Comunque ripeto anche qui, mettendo il firewall in Safe Mode, non si ha la necessità di creare questo tipo di regole, perché CIS si autoconfigura.

Per venire incontro agli "utonti" come me, mi piacerebbe che si possano esportare/importare le singole regole e in maniera intelligente . Immaginiamo che Sirio o Pandlouk, per citare un paio di guru, quindi NON IN ZONA "UTONTI", abbiano creato una regola per il loro sistema, per permettere l'accesso dal DHCP al processo SvcHost. Auspicherei un export del tipo: [%Windows%svchost]:Allow UDP in from [?DHCP_LOCALE?] Where Source Port .... Il guru di turno esporta la regola in questo modo, io importo la regola ma in fase di import mi viene richiesto l'indirizzo o la zona del DHCP . Ovviamente la regola va importata lasciando intatte le regole preesistenti . Buon week-end . :■■■■

Ti ringrazio per la nomina che mi hai dato ma io non sono né guru, né esperto, sono solo un utente comune appassionato d’informatica, col “pallino” della sicurezza…

Per quanto riguarda la tua idea sulle importazioni incrementali delle regole… è vero sarebbe ancora più semplice, però non credo sia così complicato selezionare con il mouse Allow o block, In o Out eccetera eccetera.

Buon fine settimana anche a te franco59 e in bocca al lupo per il post-intervento :slight_smile:

(:WAV)

Ciao Sirio.
Non trovo complessa la tua guida, e come potrei, hai indicato ogni passo (:CLP).
Ma una volta a regime le regole che trovo impostate nel firewall mi danno da pensare :THNK.
Possono essere migliorate ? Cerco di spiegarmi meglio con le mie regole per OUTLOOK .
Ti ricordo che mi collego ad una vpn con indirizzi : x.y..
Inizialmente Outlook aveva le regole standard di client e-mail .
Ho creato una zona contenente i server Exchange e SIP (per communicator 2005) :
Zona Server Exchange e SIP : IP x.y.224.26 Mask 255.255.255.0
e una regola : Allow TCP or UDP out from IP Any to Zona Server dest port 1025 .
( Per la porta 1025 vedi : GRC | Port Authority, for Internet Port 1025   , per le altre porte basta cambiare il numero prima di htm ) .
Ho creato questa regola raggruppando le n-regole che Comodo aveva generato, legate alla porta 1025 e ai server Exchange e SIP, per TCP e UDP.
Successivamente, però, altre regole si sono create previa mia conferma :
Allow tcp out to x.y.224.11 port from Any to 1026, 135
Allow tcp out to x.y.224.26 port from Any to 135, 1519, 1033
Allow UDP in from x.y.226.26 port from Any to Any
Seguono le regole standard.
Non sarebbe il caso di avere una unica regola per x.y.224.* per tutte le porte tcp out ?
Ancora aggiungere alla la zona : IP x.y.226.26 Mask 255.255.255.0
e creare un set di porte Outlook Ports ecc. ecc.
Non parliamo poi di SVCHOST e LSASS, per i quali non si capisce bene da chi vengano lanciati.

Che impatto sulle prestazioni del sistema ha un elenco sempre più lungo di regole.
Conviene raggruppare le regole ?
Credo di si, anche se non fosse più veloce, sicuramente sarebbe più leggibile perchè con il passare del tempo queste regole si moltiplicheranno e andare a scovare tra le tante quella inserita da un hacker sarebbe complesso.

Ma come si raggruppano le regole ?
Quali sono le porte da non aprire mai ?
Quali sono le porte da aprire per tutte le applicazioni creando una prima regola generale, penso ad esempio alla porta 53 che forse potrei aprire in Output per tutte le applicazioni ed evitarmi di ripetere per Outlook, Outlook Express, Communicator, lSass, SvcHost ecc…

Troppo lungo il post ? Spero di non aver annoiato nessuno .
Ciao . (:WAV)

Salve,
sono pienamente d’accordo,anzi a mio parere sarebbe da ricostruire il programma d’installazione tutto dall’inizio.
1)installazione in pro active ed eliminare le altre sezioni(dato che è quella che offre il più alto livello)
2)installazione ad hoc delle regole globali che ormai tutti i topic dicono di scrivere (blocco porte 135-139/445/500)
3)installazione ad hoc delle regole x svchost,lsass e system (qui la diversità sarà dal S.O - Windows)
Chiaramente poi ogniuno ha un pc differente nei programmi installati e questo crea diversità finali ma i dubbi sono quei 3 files di sistema che sono ‘’ poco conosciuti’’ e che mal configurati bloccano internet.
Magari si può usare un topic x postare le regole(o nella guida con molte regole già riportate)

prandi63

No, affatto, imo i tuoi post sono interessanti e ricchi di spunti.

Sicuramente raggruppare le regole per mantenere una struttura più semplice, “fluida” e leggibile è una buona cosa; credo come te, che facendo in questo modo il FW acquisti in velocità.

Il mio comportamento a riguardo è simile se non uguale al tuo:

Quando avvio un programma nuovo (senza regole in CIS) seguo attentamente le richieste del firewall, e dò i vari allow o block per le connessioni che mi chiede in base a quello che sto facendo, controllando sempre il funzionamento del software.
Una volta registrate tutte le regole me le studio e faccio dei tentativi, raggruppandole, eliminando quelle che ormai non servono perché inglobate in un’altra regola, facendone di nuove, ecc. finché non arrivo a quelle definitive.
Questa penso sia la procedura più logica in assenza di dati precisi, per poter fare delle regole specifiche.

Hai chiesto come raggruppare le regole per un’applicazione, faccio un esempio:
Mettendo l’Alert Frequncy Level su Very High quando risponderemo alle richieste del FW flaggando Remeber my answer, creeremo nell’Application Rules delle regole specifiche con protocolli indirizzi e porte utilizzate, però, ad esempio per ogni indirizzo IP diverso avremo una richiesta diversa, come anche se cambia la porta o il protocollo… e se il programma in questione necessita di vari indirizzi o porte diverse, avremo molte regole. Per poter snellire e ragguppare le regole in una, due o quelle che servono, non faremo altro che studiarci gli indirizzi, le porte e i protocolli usati riassumendo il tutto in una o più regole.
Mettiamo il caso che il nostro Antivirus per scaricarsi aggiornamenti utilizzi il range IP 205.234.175.0 - 205.234.175.255 sulla porta 80, noi faremo una regola che raggruppa tutti gli indirizzi, TCP Out from IP Any to IP range 205.234.175.0 - 205.234.175.255 source port Any destination port 80, e cancelleremo tutte le altre ormai divenute inutili.

IMHO le porte a cui bisogna prestare più attenzione sono le WKP (Well Know Ports) cioè le porte inferiori a 1024 che vengono utilizzate dai servizi più comuni.

Per la porta 53, io, che forse sono un pò “maniacale”, ho dato il permesso solo per svchost di connettersi ai DNS quindi UDP Out from IP Any to DNS source port any destination 53, ora non sò se così e corretto però non ho problemi di alcun genere.
Forse tu ne sai più di me, che ne pensi?

Saluti,
sirio.

Mi sembra eccessivo…

1)installazione in pro active ed eliminare le altre sezioni(dato che è quella che offre il più alto livello)

Secondo me no, le configurazioni sono state aggiunte da poco e sono utili per chi ha esigenze diverse, si possono fare dei profili diversi per ogni occasione o utente differente che utilizzi il PC.

2)installazione ad hoc delle regole globali che ormai tutti i topic dicono di scrivere (blocco porte 135-139/445/500)

Anche qui non sono d’accordo, il blocco di quelle porte è “necessario” solo per chi usa connessioni dirette, inoltre non sono valide per chi ha una LAN privata.

3)installazione ad hoc delle regole x svchost,lsass e system (qui la diversità sarà dal S.O - Windows) Chiaramente poi ogniuno ha un pc differente nei programmi installati e questo crea diversità finali ma i dubbi sono quei 3 files di sistema che sono '' poco conosciuti'' e che mal configurati bloccano internet.

IMHO se uno ha le capacità per poter fare delle regole a System o svchost non ha problemi… se invece non ce l’ha, porta su Safe Mode il FW e il problema non sussiste.

Magari si può usare un topic x postare le regole(o nella guida con molte regole già riportate)

prandi63

Saluti,
sirio.

Ciao Prandi.
Sono ancora troppo “utonto” per scegliere tra i vari moduli.
Mi sono imbattuto in Comodo 3 perchè il mio vecchio firewall ha cominciato a dare i numeri dopo un aggiornamento.
A dire il vero anche il primo aggiornamento di Comodo mi ha piantato il firewall ( errore interno ecc. ).
Ho dovuto disinstallare con la procedura manuale, ma intanto avevo “annusato” la bontà di Comodo firewall e non appena ne avrò il tempo, verificherò anche gli altri tools del prodotto .
Perchè non cominciamo a mettere giù alcune regole generali ?
Dove hai letto del blocco delle porte 135-139/445/500 ? Discutiamone.
Hai altre info a riguardo ?
Ad esempio nel mio caso per la porta 500 ho una regola per lSass :
Allow UDP out from IP Any to [Server IOL e FastWEB] from port Any to port 500
Se non erro questa porta è richiesta da Communicator o dalla VPN ( come dice Sirio “per chi ha una lan privata”,
vedi GRC | Port Authority, for Internet Port 500   ).
Ma come dicevo in un precedente post : come si fa a sapere chi ha chiamato lsass ?
Potrebbe essere utile questa info per sapere se il processo di Windows è stato chiamato perchè ho lanciato un mio applicativo o se invece è stato un maledetto virus.
Credo di aver letto di un firewall che permette di impostare un permesso ad un applicativo e a quelli da esso richiamati, ma non ricordo quale sia .

Ciao.

Ciao Sirio.
Ho perso mezz’ora a cercare il modulo IMHO in Comodo (:KWL). Meno male che mi è venuta la geniale idea di cercare su Google :-La.
Il “copia e impasta” e il raggruppamento delle regole manuale mi sembra troppo “manuale” .
Non sarebbe male un raggruppamento automatico, un automatismo del tipo :
crea una super regola, creando un set di porte e una zona con le regole selezionate.

Riguardo la porta 53, è una mia supposizione.
Se permetto a tutte le applicazioni di uscire verso un DNS, ma in entrata permetto l’ingresso a poche specifiche procedure, suppongo non possa subire danni.
L’unico rischio potrebbe essere un eventuale virus che riesce a superare le barriere dell’antivirus AVG e di Spybot e comincia a inviare un milione di richieste al secondo in uscita senza attendere risposte.
Ma ripeto è una mia supposizione che potrebbe anche essere smentita .

TAUBS.
( Ti Auguro Una Buona Serata ) :■■■■

;D ;D ;D Scusami per l’abbreviazione.

Non hai tutti i torti, però il bello di CIS imo (secondo me) è proprio il fatto di essere manuale, offrendo in questo modo ampie possibilità di configurazione.
Ci sono altri firewall più “automatici” ma magari sono limitati e non si possono fare regolazioni particolari.

Ti dico la mia filosofia per spiegarti meglio: “Blocca da default e accetta solo il necessario” (;D).
Per questo motivo sono molto restrittivo nelle regole, che siano del firewall o dell’HIPS. Visto che non ho problemi con la regola che ho per la porta 53 penso sia più sicuro bloccare tutto il resto.

Purtroppo (non sò se hai avuto modo di imbatterti in qualche malware tipo i rootkit) ho visto malware fare cose incredibili; è sconcertante vedere con quale facilità alcuni malware riescano a bypassare un firewall “puro”.
L’unico modo per porre una barriera valida è dotarsi di un firewall come CIS (R) che con il DEFENSE+ (il suo modulo HIPS) può controllare le attività delle applicazioni. Questo per rispondere anche al tuo dubbio:

Ce l’hai già installato, ovviamente parlo di CIS.
Da quello che hai scritto mi rendo conto che non l’hai letta la mia guida… anche a te, come ho fatto più volte con prandi63, suggerisco di leggerla per capire meglio CIS :stuck_out_tongue: un programma che se usato “ammodino” (come dice un amico) offre una grande sicurezza e un controllo su tutte le applicazioni, spettacolare. :wink:

Buona serata anche a te… :■■■■

Ciao Sirio .
Da profano ho pensato di cominciare con l’uso del solo Firewall, disattivando il Defense+ .

Ma secondo te è facile capire quali sono i programmi/processi/dll lanciati da Communicator in un PC dove sono già installati una marea di altri programmi ?

Io ho provato a ripulire tutte le regole di Comodo, cercando di bloccare tutto il possibile.
Ho lanciato Communicator e mi ha creato quattro regole, richiamando anche lsass e svchost .
Pensavo di aver finito, ma quando ho lanciato ancora Communicator, mi ha fatto altre richieste.
Il problema è che lo fa a distanza di tempo, quando hai creato altre regole, magari raggruppandole e cancellandole altre.
Ripulire di nuovo tutte le regole per riprovare ancora alla lunga, scoccia.
Per adesso, quindi, dopo aver impostato una minima protezione sto cercando di capire come migliorare .
Per fare dei test, avete mai provato su una macchina virtuale ?
A proposito di macchina virtuale, secondo te va protetta come un normale PC ??? ?
Quanto sono reali i virus di una macchina virtuale (:NRD) ?

Ciao.

Non è complicato, dipende da come hai impostato il D+.
Se lo hai settato su Clean PC Mode il D+ considererà il PC pulito, quindi molti de permessi saranno accettati senza chiederti niente.
C’è un’altra cosa che influisce, Communicator è un programma Microsoft e se tu vai in DEFENSE+==>>Common Tasks==>>My Trusted Software Vendors troverai anche Microsoft… poi, insieme a questa impostazione
http://img529.imageshack.us/img529/3059/231tu6.th.png
l’hips non ti chiederà la maggior parte dei permessi.

Io ho provato a ripulire tutte le regole di Comodo, cercando di bloccare tutto il possibile. Ho lanciato Communicator e mi ha creato quattro regole, richiamando anche lsass e svchost . Pensavo di aver finito, ma quando ho lanciato ancora Communicator, mi ha fatto altre richieste. Il problema è che lo fa a distanza di tempo, quando hai creato altre regole, magari raggruppandole e cancellandole altre. Ripulire di nuovo tutte le regole per riprovare ancora alla lunga, scoccia. Per adesso, quindi, dopo aver impostato una minima protezione sto cercando di capire come migliorare .

Comunque, anche se puoi impostare il D+ per avvisarti di tutte le attività che compie Communicator secondo me non ne hai bisogno, basta che ti avvisi di quelle pericolose… e questo lavoro posso dire che lo svolge senza problemi.

Per fare dei test, avete mai provato su una macchina virtuale ?

Certo puoi usare una macchina virtuale, così ti puoi sbizzarrire come vuoi e fare ogni tipo di prova.

A proposito di macchina virtuale, secondo te va protetta come un normale PC ??? ? Quanto sono reali i virus di una macchina virtuale (:NRD) ?

Ciao.

In che senso? Se vuoi testare dei Malware devi prendere tutte le precauzioni necessarie, la sola VM non basta, anche perchè i malware se sono reali, lo sono anche dentro la VM ed alcuni riescono anche a bypassare quella. :wink:

Ciao Franco. :slight_smile: