Network Monitor - Le mie regole

International Comodo Forums Italiano / Italian
#1

Un saluto a tutti,

volevo condividere con voi le regole del Network Monitor che ho sperimentato in questi giorni e che, credo, mi abbiano garantito una buona protezione.
Era un po’ che non mi divertivo piu’ nella strutturazione di regole (e magari la ruggine si vede ancora).

Spero possiamo commentarle insieme e se possibile migliorarle.

Premesso che ho l’ultima definita di CPF (2.3.6.81), IE 7, emule e Outlook Express come softwares che girano verso l’esterno.
Inoltre un IP statico ed un routerino.

Alcune regole sono ridondanti (quelle di BLOCK) semplicemente per loggare quanto piu’ e’ interessante a mio parere.

Cominciamo… :

  1. Allow IP IN or OUT From IP “zone” to IP “zone” where IPPROTO is ANY

commento: mi sembrava opportuno ed affato rischioso permettere la comunicazione tra IP fisso (scheda di rete) e router, tutto qui.

  1. Block & Log TCP or UDP In or OUT from IP any to IP any where source port is Any and destination port is In 22,23,135,136,137,138,139,445,500,512,513,514,593,1775,2029,4045

  2. Block & Log TCP or UDP In or OUT from IP any to IP any where source port is in 22,23,135,136,137,138,139,445,500,512,513,514,593,1775,2029,4045 and destination port is Any

commento: queste due regole bloccano il traffico UDP e TCP verso le porte piu’ comunemente usate per gli attacchi. Parte di queste regole (ad esclusione delle porte 1775,2029 e 4045) sono ripeture (per cui qui inutili) anche nelle regole 4 6 7 10 e 11. Ho voluto mettere queste porte in questa regola e in questa posizione per meglio verificare da log i presunti attacchi.

  1. Allow TCP IN from IP any to IP “mio IP statico della sk di rete” where source port is ANY and destination port is “la vostra porta tcp del P2P o il vostro range TCP del P2P”

commento: questa e’ una delle regole (almeno 2) fondamentali per l’uso del P2P

  1. BLOCK & LOG TCP IN from IP ANY to IP ANY where source port is ANY and destination port is ANY

commento: il traffico TCP in entrata non serve a chi non ha connessioni tipo server. E’ sempre preferibile bloccarlo ad esclusione delle porte per il P2P.

  1. ALLOW TCP OUT from IP “mio IP statico della sk di rete” where source port is ANY and destination port is IN 21,25,80,143,443,995,

commento: le porte da aprire per poter navigare, scaricare files in FTP e usare outlook express (la 995 e’ di Gmail). Probabilmente qui manchera’ qualche porta che ancora devo verificare o quelle utili ai vostri programmi che ne usano di particolari.

  1. BLOCK & LOG TCP OUT from IP any to IP any where source port is any and destination port is (range) 0 - 1024

  2. BLOCK & LOG TCP OUT from IP any to IP any where source port is (range) 0 - 1024 and destination port is any

commento: queste regole garantiscono un buon muro contro gli attacchi verso le porte “basse” quelle piu’ comunemente usate per gli attacchi e le intrusioni. Parte di queste porte erano gia’ state bloccate dalle regole 1 e 2.

8 ) Allow UDP IN from IP any to IP “mio IP statico della sk di rete” where source port is ANY and destination port is “la vostra porta tcp del P2P o il vostro range TCP del P2P”

commento: vale il discorso della regola 3

  1. ALLOW UDP OUT from IP “mio IP statico della sk di rete” to IP any where source port is ANY and destination port is IN 53,123

commento: come nelle regole di “apertura porte” e’ possibile ne manchi qualcuna. Le 2 porte che ho aperto qui sono quella per il DNS (altrimenti non si naviga) e quella per la sincronizzazione dell’ora internet con i vari servers atomici.

  1. BLOCK & LOG UDP IN or OUT from IP any to IP any where source port is any and destination port is (range) 0 - 1024

  2. BLOCK & LOG UDP IN or OUT from IP any to IP any where source port is (range) 0 - 1024 and destination port is any

commento: vale lo stesso discorso delle regole 6 e 7.

  1. ALLOW TCP or UDP IN or OUT from IP any to IP any where source port is any and destination port is any

commento: dopo tanto bloccare e’ arrivato il momento di permettere… altrimenti anche i softwares di P2P (che non usano solo le porte da voi settate) non lavorerebbero come si deve… (in particolare emule).

  1. ALLOW ICMP OUT from IP “mio IP statico della sk di rete” to IP any WHERE ICMP MESSAGE IS ECHO REQUEST

  2. ALLOW ICMP IN or OUT from IP ANY to IP any WHERE ICMP MESSAGE IS FRAGMENTATION NEEDED

commento: cominciamo ad aprire qualcosa dell’ICMP, questo e’ quanto e’ considerato “SAFE”.

  1. BLOCK ICMP IN or OUT from IP any to IP any where ICMP message is ANY.

commento: chiudiamo il resto dell’ICMP!

  1. BLOCK IP IN or OUT from IP any to IP any where IPPROTO is IGMP

commento: questa regola puo’ in effetti essere inutile considerato che la 17 la comprende. L’ho essa senza il LOG per evitare che la 17 mi riempia di messaggi il LOG appunto. L’IGMP non serve praticamente a nessuno.

  1. BLOCK IP IN or OUT from IP any to IP any where IPPROTO is ANY

commento: con questa regola blocchiamo TUTTO il resto del traffico, del tutto inutile dopo che abbiamo aperto quello che ci serviva. Questa regola deve sempre esistere e sempre per ultima.

Spero possiate aiutarmi a migliorarle e magari spero di aiutare voi a mettere qualche tappetto senza inficiare l’uso della rete!

Ciao!!

(:WAV)

#2

Benvenuto nell forum (:HUG)

Grazie per le regole. saranno un valido aiuto per tanti.

ps. Piu tardi gli darrò un occhiata.

#3

Grazie del benvenuto Pandlouk.

In questi giorni qualche piccola modifica a queste rules l’ho fatta. In linea generale (e logica) rimangono comunque queste.
Ad esempio (vado a memoria essendo in ufficio e non a casa) ho aggiunto la porta per la posta in uscita di gmail via outlook e aggiunto qualche altro block giusto per loggare questo tipo di traffico.

Un abbraccio

#4

Prego :smiley:

Ora per le regole:
#0 : Invece della zona sicura potete creare coppie di regole per IP individuali. (spiegero come fare ad un nuovo post)
#1 OK, ma non serve. Viene coperta dalla regola Block IP IN/OUT di default.
#2 Questa non serve. I programmi usano porte a caso per le connesioni in uscita. Se un programma le trova bloccate cerchera di usare un altra delle 65.000 porte
#3 OK
#4 Non serve. Viene coperta dalla regola Block IP IN/OUT di default.
#5 Ok ma solo se vienne abinata con #6, altrimenti non serve.
#6 OK
#7 Non serve per lo stesso motivo della #2.
#8 OK
#9 OK se viene abinata con #10
#10 Ok
#11 Non serve per lo stesso motivo delle #2 & #7
#12 Non serve. Viene coperta dalla regola di default Allow IP OUT (GRE protocollo)
#13 Ok (creata dal CFP)
#14 Cambiala da In/Out a In
#15 Non serve. Viene coperta dalla regola Block IP IN/OUT di default.
#16 Non serve. Viene coperta dalla regola Block IP IN/OUT di default.
#17 Ok (creata dal CFP)

ps. ti manca la regola Allow ICMP IN (ICMP TIME EXCEEDED)

spero di esserti stato utile,
Panagiotis

#5

Eccomi e grazie per la risposta.

Considera che i block (e log) li ho messi quasi tutti solo per monitorare gli eventuali attacchi (vale per la regola 1, la 2, la 4, la 7, la 15 e la 16.

La 0 mi interessa vedere come la imposti nel post che farai. Credo comunque che l’effetto possa (debba) essere lo stesso.
5 e 6, 9 e 10 ovviamente devono viaggiare insieme ed obbligatoriamente nell’ordine messo.

La 12 sarebbe coperta dall’allow IP OUT (GRE), ma io non l’ho messa (ovvero la blocco con la 17)!

Sulla 14 (la fragmentation needed) credo invece che sia piu’ utile l’allow anche verso l’out (considera che lo blocco con la 15 (poi con la 17, ma in questo caso e’ superflua).
Sulla 15 e la 16, come gia’ dicevo, le ho messe solo a scopo di log.

Concludendo sulle regole “dubbie”:

La 2 (quella che blocca l’out dalle porte “sospette”) l’ho messa per evitare il blocco da parte dei firewall di destinazione che vedono l’uscita da una porta potenzialmente “sospetta”; vedendo una porta “safe” permettono l’ingresso dei pacchetti.

La 12 per me ha senso non avendo una regola per l’IP out GRE

La 14 invece mi e’ un po’ piu’ oscuro il motivo per autorizzare solo l’IN e non l’OUT. Fammi sapere.

Per il resto grazie della disponibilita’… (:WIN)

P.S.: per il time exceeded, dimenticavo, ho trovato un interessante documento dove c’era una spiegazione che riguardava l’utilita’ dell’ICMP in entrata ed in uscita e il time exceeded era escluso da quelli autorizzabili senza preclusioni. Andrebbe capito (devo capire, e’ diverso) quanto possa essere pericoloso o meno.

#6

Bloccare specifiche porte in uscita non ha senso. Un ppogramma sé trova una porta chiusa cercherà automaticamente di aprire un altra, e sé la trova chiusa anche questa proverà in un altra e cosi via.

Il protocollo ICMP time exceeded in uscita avrà come risultato che il tuo pc risultera visibile all esterno. Ha senso di tenerla abilitata solo sè usi il pc come server da dove gli altri possono scaricare file,documenti,etc. Sicuramente non ti serve per il p2p.

#7

Grazie ancora pandlouk,

allora convieni con me che l’ICMP time exceeded non e’ utile autorizzarlo (difatti per quanto mi riguarda e’ bloccato).

Sulle porte in uscita, mi ripeto, le ho messe solo per evitare un blocco della destinazione che vede porte sospette che inviano pacchetti. Che poi i pacchetti vengano inviati da altre porte e’ ovviamente corretto. Correggimi se e’ una considerazione illogica.

In questi giorni ho aggiunto anche un blocco Inbound per le porte x-windows (da 6000 a 6255).

Ciao!

#8

Ad oggi sono messo cosi’ (direi che sono piu’ soddisfatto di quanto passa e di quanto e’ bloccato).

Ricordo che molte delle BLOCK & LOG le ho messe solo per vedere i pacchetti che vengono bloccati per ogni singola regola e per verificare che tutto funzioni, sono spesso ridondanti e probabilmente per pulire le troppe regole le togliero’. DI fatto non inficiano la funzionalita’ del tutto.

http://img204.imageshack.us/img204/293/cpf1jz5.jpg

http://img209.imageshack.us/img209/313/cpf2ed1.jpg

#9

Salve a tutti, ho da poco installato la versione 5. Nonostante abbia letto le guide non ho ancora ben capito e vi chiedo se per cortesia potevate darmi un’occhiata alle regole che si sono impostate e confermarmi che dopo l’installazione si passa a proactive security e si lascia il resto tutto di default, in particolare il firewall su Sicuro, si usa il pc qualche giorno e poi si mette su policy personalizzata. Questo è il modo giusto?
Nella schermata delle mie regole di applicazione vedo che è consentito tutto alle applicazioni di sistema ed agli agg. a windows è corretto? E il discorso dei collegamenti di svchost e system come viene gestito? Ho avuto qualche messaggio l’ho bloccato ma non vedo le regole dove sono?
Grazie
Ho XP SP3 sono collegato da casa con un solo pc tramite modem con alice 7M.
Grazie

http://img225.imageshack.us/img225/2072/regoleglobali.jpg


http://img180.imageshack.us/img180/2370/regoleapplicazioni.png


http://img716.imageshack.us/img716/6375/zonenetwork.jpg

#10

Ciao rrico,

Sì, direi che non ci sono problemi

Le applicazioni di sistema e gli aggiornamenti di windows devono potersi collegare in internet, quindi quelle regole vanno bene…al massimo potresti impostarle su “Solo in uscita”.

Hai già letto questa guida di sirio?:

Se i messaggi che hai ricevuto sono relativi a System, la regola si trova in “Regole applicazioni”, sotto la regola del “Google update” e sopra quella di “firefox”.

spero di essere stato d’aiuto

saluti

fuco