CONSIGLIO: Rendere più protettivo il firewall

Pubblicità
D

dr.pexquz

Utente Attivo
Messaggi
346
Reazioni
9
Punteggio
39
Salve a tutti, con questo post non voglio chiedere consiglio ma offrirne uno per gli utenti che vogliono tenere Windows Firewall.

Firewall Leak Tester

A questo indirizzo è possibile scaricare un programmino chiamato Windows Worms Door Cleaner, o più semplicemente WWDC. Permette di risolvere i buchi per quanto riguarda le porte aperte di Windows al fine di ottenere una maggiore protezione.

Cosa che si può riscontrare a livello effettivo dopo la chiusura delle porte con questo programma è che il proprio PC, se pingato, NON darà alcuna risposta, proprio come se dietro a firewall come ZoneAlarm o Comodo.

NOTE IMPORTANTI:
- Per la chiusura delle porte NetBios (il terzo pulsante), vi ricordo che se siete in una LAN o dietro modem/router Alice o router Fastweb dovete settare "Si", altrimenti impostando "No" (per le connessioni dirette via modem) non potrete più connettervi nella sottorete. Se sceglieste no per sbaglio è comunque sufficiente riabiliatare NetBios con WWDC e poi disabilitarlo nuovamente scegliendo "Si"
- SE AVETE VISTA, questo programma funziona anche con Vista (come amministratore), fatta eccezione per DCOM (la prima opzione, anche se sarà possibile effettuare la disabilitazione del servizio, rendendo impossibile usare l'utilità di deframmentazione integrata e lasciando comunque aperta la porta 135) e per il servizio Messenger (che su vista non esiste più). Inoltre mi è capitato spesso di ricevere avvisi sul fatto che svchost fosse di dimensioni fuori dalla norma, nonostante il mio PC fosse pulito.

Nonostante i problemi con Vista, anche con quest'ultimo dopo aver disabilitato le altre porte non sarete più pingabili e fatta eccezione per Vista (con la porta 135) tutte le porte saranno chiuse. Avendo comunque Windows Firewall, o qualsiasi altro firewall attivo che possa mettere in stealth le porte, queste rimarrano ad ogni modo invisibili.

NOTE FINALI: Se volete sostituire il firewall di default non installate ZoneAlarm Free in Vista (poichè diversamente da XP la versione per Vista NON METTE in stealth le porte, per questo che blocca 0 attacchi, cosa importantissima ma che nessuno dice) nè Ashampoo in versione free perchè lo stealth delle porte c'è solo nella versione PRO.

Se avete critiche, commenti, suggerimenti o correzioni ditemi pure! Spero di essere stato utile per qualcuno!! :ok:
 
Nessuno mi dice niente? Devo pensare in bene :) o rattristarmi :(?
Scherzi a parte, mi sono dimenticato che, comunque, dopo questa operazione il firewall controllerà sempre e solo il traffico in ingresso come prima. Cosa che non è tragica se sapete cosa installate sulla vostra macchina o se non usate applicazioni che non vorreste che si colleghino a internet. :ok:
 
creare delle regole IN USCITA è policy di routing in entrata un consiglio è se il firewall lo consente di avvisare l'utente per ogni singola connessione in Uscita con tanto di visualizzazione del pakketto in HEX come preview..

Le porte piu gettonate DA rats,reverse,worm sono tipicamente basse di sistema le porte più pericolose sono 21,25,80,81,1080,1863,7001 molti malware si injettano in processi come iexplorer firefox utilizzando la porta 80 eludono maggior parte dei firewall .. che dando per scontato che si tratti di traffico web passano indisturbati .. ma in realta e ben altro

p.s aggiungo la porta 80 è open in uscita su molti router\firewall per default.. stesso per 25,81,8080,e le mitiche porte IM :)
 
Ritengo che buon senso associato ad antimalware ed antispyware in real time, oltre che antivirus, possano rimpiazzare un firewall che controlli le connessioni in uscita. Purtroppo molta gente pensa di avere i suddetti requisiti e si lancia un po' alla deriva in internet con il solo Windows Firewall. La protezione anti leak, cosi come i moduli HIPS di firewall e affini sono particolarmente impegnativi e non si finisce mai di configurarli, bisogna avere pazienza, tempo ed essere oculati nelle scelte (il che prevede una buona se non ottima conoscenza del proprio sistema operativo). Quindi avere un firewall super tecnologico ma al quale si dice sempre di si perché non si ha la più pallida idea di quello che salti fuori coi popup alert è la stessa cosa che avere un firewall meno protettivo ma meno invasivo ;)
Questa è una mia opinione, non voglio convincere nessuno a togliere HIPS e antileak, sia chiaro. :D
 
dr.pexquz ha detto:
.....

Cosa che si può riscontrare a livello effettivo dopo la chiusura delle porte con questo programma è che il proprio PC, se pingato, NON darà alcuna risposta, proprio come se dietro a firewall come ZoneAlarm o Comodo.
Clicca per espandere...

il fatto che una macchina non risponda o non sia visibile dopo un ping effettuato su di essa significa solamente che non risponde ad un "echo request". Non viene chiusa alcuna porta perché ciò avvenga, questo è soltanto il risultato della gestione del protocollo ICMP che non invia il corrispettivo 'echo reply".
 
Totocellux ha detto:
il fatto che una macchina non risponda o non sia visibile dopo un ping effettuato su di essa significa solamente che non risponde ad un "echo request". Non viene chiusa alcuna porta perché ciò avvenga, questo è soltanto il risultato della gestione del protocollo ICMP che non invia il corrispettivo 'echo reply".
Clicca per espandere...

Ho fatto i test delle porte prima e dopo aver usato WWDC disattivando il firewall. Dopo averlo usato tutte le porte sono effettivamente chiuse. :ok: Essendo le porte in questione del livello di trasporto parliamo di software e non più di hardware. Quindi il fatto che il software dedicato alla generazione dell'echo reply non risponda perchè disattivato o impostato per non rispondere risulti effettivamente in una porta, seppur visibile, chiusa. Le porte "aperte" sono di fatto quelle dove i software dedicati ad uno specifico servizio si trovano in ascolto di eventuali connessioni. ;)
 
dr.pexquz ha detto:
Ho fatto i test delle porte prima e dopo aver usato WWDC disattivando il firewall. Dopo averlo usato tutte le porte sono effettivamente chiuse. :ok: Essendo le porte in questione del livello di trasporto parliamo di software e non più di hardware. Quindi il fatto che il software dedicato alla generazione dell'echo reply non risponda perchè disattivato o impostato per non rispondere risulti effettivamente in una porta, seppur visibile, chiusa. Le porte "aperte" sono di fatto quelle dove i software dedicati ad uno specifico servizio si trovano in ascolto di eventuali connessioni. ;)
Clicca per espandere...

come ho già detto, il fatto che una o tutte le porte TCP da 1 a 65535 siano aperte o chiuse sulla tua macchina, non influisce sul ping effettuato da un'altra macchina sulla propria. Il comando ping utilizza il protocollo ICMP (Internet Control Message Protocol) che per il proprio funzionamento non sfrutta alcuna porta TCP: infatti invierà una query ICMP 'echo request' (type 8) incapsulata tramite IP. Di conseguenza, la macchina che risponde dovrà utilizzare il proprio ICMP per colloquiare. Se il firewall non fosse in grado di gestire anche ICMP (al giorno d'oggi praticamente tutti invece lo utilizzano) la risposta di un host online (tranne qualche particolare router o alcuni dispositivi layer 2 o 3) ad un ping darà sempre esito positivo con un 'echo reply' (type 0).
Se il firewall sull'host è impostato per droppare o scartare i pacchetti ICMP type 8, allora lo scenario sarà quello che hai delineato (l'host accetta ma non risponde, ovvero non accetta neppure il colloquio) altrimenti l'host risponderà 'comunque', firewall o non firewall, con un 'echo reply' type 0.
Spero stavolta di essere stato chiaro ;)
 
Pardon, dimenticavo che il Ping fosse del protocollo ICMP e non TCP. Ho dato un'occhiata al programma comunque, probabilmente l'assenza di risposta al Ping è data dal fatto che la terza voce di WWDC è NetBIOS, probabilmente disabilitando quello viene disabilitato anche il Ping. :sisi: Anche se onestamente non so cosa sia NetBIOS, farò ricerche. :asd:
 
per ciò che concerne l'essere nascosto ad un ping o un traceroute, nemmeno NetBios c'entra nulla, te l'assicuro: è solo una questione ICMP.
Comunque se hai dei dubbi o delle domande, faccele conoscere. Per quanto mi riguarda, nel limite del poco tempo a mia disposizione, farò il possibile per schiarirti la situazione. :)
 
Devo correggerti Totocellux, a quanto pare (e non so per quale motivo dato che ICMP è a livello interrete e TCP a livello di trasporto, e quindi avresti ragione tu) il PING è correlato alla porta 445.

EDIT: Probabilmente è collegata alla porta TCP perchè il servizio legato alla 445 necessita del Ping. A quel poco che ho letto a questo indirizzo What's Port 445 in W2K/XP/2003? - SMB Over TCP il servizio "incriminato" è SMB.
 
dr.pexquz ha detto:
Devo correggerti Totocellux, a quanto pare (e non so per quale motivo dato che ICMP è a livello interrete e TCP a livello di trasporto, e quindi avresti ragione tu) il PING è correlato alla porta 445.

EDIT: Probabilmente è collegata alla porta TCP perchè il servizio legato alla 445 necessita del Ping. A quel poco che ho letto a questo indirizzo What's Port 445 in W2K/XP/2003? - SMB Over TCP il servizio "incriminato" è SMB.
Clicca per espandere...


Se noti bene in quella finestra di dialogo, Windows ti fa sapere che se apri la porta TCP 445, consentirai automaticamente tutte le risposte ICMP: non il contrario. Infatti chiudendo la porta 445 non disattiverai automaticamente le risposte ICMP. Questo comportamento ha un senso spiegando a grosse linee che in un Dominio di rete utilizzante Active Directory (AD) e il Servizio di Replicazione dei File (FRS) viene utilizzata per questo scopo la porta Tcp 445. Gli sviluppatori Microsoft hanno deciso di appoggiarsi (sin dai tempi di 2000 Server) al motore ICMP per risolvere alcune problematiche e per ridurre notevolmente le trasmissioni e le relative problematiche sulla rete. Quindi il messaggio vuole far sapere: "Attenzione: attivando la porta 445 attiverete tutte le risposte ICMP verso l'esterno!". Tutto qui.
 
Totocellux ha detto:
Se noti bene in quella finestra di dialogo, Windows ti fa sapere che se apri la porta TCP 445, consentirai automaticamente tutte le risposte ICMP: non il contrario. Infatti chiudendo la porta 445 non disattiverai automaticamente le risposte ICMP. Questo comportamento ha un senso spiegando a grosse linee che in un Dominio di rete utilizzante Active Directory (AD) e il Servizio di Replicazione dei File (FRS) viene utilizzata per questo scopo la porta Tcp 445. Gli sviluppatori Microsoft hanno deciso di appoggiarsi (sin dai tempi di 2000 Server) al motore ICMP per risolvere alcune problematiche e per ridurre notevolmente le trasmissioni e le relative problematiche sulla rete. Quindi il messaggio vuole far sapere: "Attenzione: attivando la porta 445 attiverete tutte le risposte ICMP verso l'esterno!". Tutto qui.
Clicca per espandere...

Beh ad ogni modo quello che dice quella finestra non dà torto né a me, né a te poiché di fatto non nega nessuna delle nostre affermazioni. Le alternative sono due dunque, o chiudendo la porta 445 automaticamente vengono disattivate le risposte ICMP altrimenti è WWDC che se ne occupa quando lo fa. Comunque sia, l'importante é che chiudendo la 445 con WWDC si diventi "invisibili" alle richieste di PING, un passo decisamente avanti dato che la maggior parte degli utenti che usano Windows Firewall nemmeno si curano di disabilitare il PING, poiché neanche sanno cosa sia. ;)
 
Pubblicità
Pubblicità
Indietro
Top