Guida a PrivateFirewall

[sbondo]

Al riavvio dopo l'installazione del firewall, si carica quella finestra nella quale bisogna impostare le connessioni affidabili. Non faccio neanche in tempo ad inserirle che si blocca tutto. Il pc al riavvio, è più lentino per via del firewall che carica anche quella finestra, ma tutto sommato i tempi di caricamento non sono poi così differenti. C'è qualcosa che farà conflitto...

[xcdegasp]

se attendi qualche minuto che succede? consiglio di aspettare 5 minuti effettivi d'orologio

[sbondo]

Cinque minuti d'orologio? Mah non ho provato ad aspettare così tanto. Quando provo ti faccio sapere.

[manano3]

Quote:

Originariamente inviato da Romagnolo1973

Non hai modo di fare regole su PFW, o meglio dire si fanno ma solo nel modo in cui le vuole fare lui e che è ben meno stringente di come sei abituato si Cis, ci sono delle limitazioni più di gui che del programma.
Quello che puoi fare se paragonato a CIS è il 10%. E' il vero problema di PrivateFw, la GUI orribile non solo è brutta ma pone dei limiti, ti faccio un esempio delle regole skype che ho, come puoi vedere se le confronti alle regole "a modo" fatte da CIS siamo alla preistoria

Le porte sono quelle lì e non altre da creare, aggiungere, modificare....
Quindi per questa ragione non trovi discussioni con regole e altro (a parte che per Comodo solo noi qua vi abbiamo abituati bene con regole e tutto pronto o quasi ) ma per PFW c'è proprio un limite nel fare le regole che non è bypassabile fino a quando non si decideranno a cambiare la grafica e a sbloccare funzioni che di suo il programma potrebbe fare senza problemi.
Però escluso quei 3 o 4 programmi per cui in CIS hai regole più stringenti (Torrent, emule, skype e poco altro) per le altre cose i 2 hanno un funzionamento molto simile. Diciamo che PFW è molto più generico quando si tratta di fare regole mentre Comodo è precisino (consentendo solo quel IP su quella porta, per quel protocollo solo)

Scusa ma in quel campo non puoi scrivere a mano le porte che vuoi?

Per ora un problema che sto riscontrando è quando tento di aggiungere manualmente dei programmi.
Appena si apre la finestra apri per selezionare un eseguibile si blocca tutto esplora risorse e devo riavviare

[Romagnolo1973]

Quote:

Originariamente inviato da manano3

Scusa ma in quel campo non puoi scrivere a mano le porte che vuoi?

Per ora un problema che sto riscontrando è quando tento di aggiungere manualmente dei programmi.
Appena si apre la finestra apri per selezionare un eseguibile si blocca tutto esplora risorse e devo riavviare

sì certo che puoi mettere una singola porta, anche un range di porte tipo questo 1024-65535 ma se devi fare una regola che coinvolge più porte singole e provi a fare questa "80;443;57; 1024-65535" ecco che a volte non le vede e devi rifarle separandole, prova inoltre a fare una regola di blocco IP e vedrai che nel campo Generic IP packets non ci entri proprio quindi una regola di blocco IP tutti in entrata e uscita come è l'ultima regola CIS per emule non la fai, c'è nella grafica ma non lo puoi settare, idem i protocolli ICMP che sono gestibili solo per certi processi Microsoft ma non per altri. Inoltre potrebbero fare in modo da poter autorizzare o bloccare con una singola regola sia UDP che TCP, per evitare di dover creare una regola per UDP e una per TCP che è una perdita di tempo. Sono cose che a loro costerebbe poco ma che non fanno, soprattutto poter creare un set di porte dandogli un nome sarebbe davvero comodo piuttosto che dover creare 28 regole una per ogni porta o range col rischio poi di sbagliare

[manano3]

Si hai proprio ragione
Io sono un deluso dell'ultima versione di Comodo, prima di ritornarci però penso di passare ad Outpost. Mi sorprende che qui se ne parli poco

[Romagnolo1973]

Quote:

Originariamente inviato da manano3

Si hai proprio ragione
Io sono un deluso dell'ultima versione di Comodo, prima di ritornarci però penso di passare ad Outpost. Mi sorprende che qui se ne parli poco

tieni presente che outpost free ha un antivirus integrato non escludibile che fa pena e inoltre viene aggiornato una volta ogni secolo, hanno chiaramente e onestamente detto che della free a loro frega nulla ed è solo una sorta di spot per la versione pay. Questa è la principale ragione per cui se ne parla poco. Io fossi in te rimarrei su Private che è buono e semplice, certo se migliorassero quegli aspetti carenti sarebbe un must have ma anche così è più che discreto e infatti sta nei miei 2 pc

[kliffoth]

Se avessi sbagliato a fare regole, basta togliere i programmi (o processi) dalle liste in process monitor o in applications e ricominciare a rispondere ai pop up, giusto?

[Romagnolo1973]

Quote:

Originariamente inviato da kliffoth

Se avessi sbagliato a fare regole, basta togliere i programmi (o processi) dalle liste in process monitor o in applications e ricominciare a rispondere ai pop up, giusto?

yes

[manano3]

Quote:

Originariamente inviato da Romagnolo1973

tieni presente che outpost free ha un antivirus integrato non escludibile che fa pena e inoltre viene aggiornato una volta ogni secolo, hanno chiaramente e onestamente detto che della free a loro frega nulla ed è solo una sorta di spot per la versione pay. Questa è la principale ragione per cui se ne parla poco. Io fossi in te rimarrei su Private che è buono e semplice, certo se migliorassero quegli aspetti carenti sarebbe un must have ma anche così è più che discreto e infatti sta nei miei 2 pc

Si mi sa che è quello che farò.
Ho testato per un po' gli altri ma alla fine rimarrò su questo perchè più immediato e soprattutto leggero.
Lo affiancherò al buon Avira

[key8]

sono passato al private firewall anche io.
Non mi hanno convinto alcune cose di cis 6 (cis 5 lo amavo) e così ho deciso di provarlo. Per adesso mi garba molto.
Appena avrò di che dire non mancherò

[key8]

Mah...
onestamente dopo un primo approccio molto piacevole inizio a non fidarmi di questo firewall.
Vi dico in due parole un paio di cose che proprio non capisco e venute fuori mentre facevo delle prove.
1 - Apro skype, mi appare il popup, vado in dettagli e deselezione "remember this settings" e "apply to all alerts" al fine di vedermi richiedere sempre il permesso (non mi piace che gli rimanga impostato un "allow"), e clicco su block. Fin quì nulla di strano se nonchè skype parte lo stesso, posso ricevere files e chatto regolarmente. Inoltre se provano a mandarmi un file non mi avvisa di nulla.
Dico io, se ti blocco, per quale motivo il programma parte lo stesso?

2 - sempre facendo i miei esperimenti, ho aperto windows mail e al popup ho deciso di bloccare e terminare (sempre andando in dettagli e deselezionando "remember this settings" e "apply to all alerts" al fine di vedermi richiedere sempre il permesso. Tutto ok. Poi però provo a riaprire win mail e lui inizia a scaricare la posta come niente fosse e SENZA NEANCHE DARMI UN POPUP DI AVVISO.

Insomma quì qualcosa non va! Ho anche provato a deselezionare trusted publisher ma nulla fa sempre così.
Ma che senso ha?

[key8]

1 Prima di tutto la cosa più banale. Su un pc sul quale ho messo private firewall, e con il quale da quando l'ho messo non mi sono MAI connesso, ho visto una cosa strana. In pratica il semaforo è rosso e senza che io abbia toccato nulla è impostato su firewall locked DENY TRAFFIC.
Tale impostazione ho pensato sia chiaramente dovuta al fatto che il pc, da quando c'è il Private F. non si è ancora mai connesso. E' giusto oppure ci sono dei problemi? Preciso che non l'ho neanche attaccato al modem da quando ho installato PF.

2 Sul pc con il quale mi connetto ho notato che in applications appare avast mentre sul pc con cui non mi connetto, in applications, avast non c'è.

3 Inoltre in port tracking ho notato che sul pc con il quale mi connetto c'è la voce avast, mentre sul pc con il quale non mi sono connesso, tale voce NON C'è

4 Sul pc con cui non mi sono ancora connesso, ho visto che in process monitor cliccando sulla voce avast (è l'unico screen in cui, sul pc non conness, mi appare la voce avast) era impostato tutto su ask meno che la voce "adjust privilege". La cosa strana è che nel pc con cui navigo c'erano un sacco di allow e "adjust privilege" è una delle poche voci settate su ask.
Io vedendo questo, sul pc NON CONNESSO, ho spostato la voce adjust privilege su ASK e al momento su questo pc, in process monitor, per quanto riguard avast ho tutto su ask.
Che fare?

5 Una cosa mi ero scordato di chiedere (anche se ho comunque già fatto le mie prove che sembrano andare ok).
Mettiamo che per errore ad un popup dessi blocca e checcassi ricorda...
come e dove dovrei andare per rimettere le cose apposto e chiedergli di "richiedermi di volta in volta" nonchè di "sbloccarlo"?

[xcdegasp]

semplicemente cercherai nelle due schermate la voce del programma con il pallino rosso al quale metterai ask piuttosto che verde.

[key8]

beh nella schermata application e in quella process monitor non ho trovato quanto cerchi.
Mi spiego,
ho bloccato erroneamente un paio di programmi e mi era rimasta la spunta su ricorda.
Insomma questi due programmi non riesco più ad avviarli.
Se invece disabilito private e attivo il firewall di windows questi rifunzionano.
Nelle schermate del firewall non ho trovato neanche la voce relativa a questi due programmi... non appare proprio.

Inoltre per quanto riguarda le altre domande del mio precedente post sai dirmi qualcosa?

[Romagnolo1973]

Risposte:
1) Dovrebbe essere normale la cosa perchè non vede alcuna rete, quando ti connetterai da quel pc la vedrà e ti informerà sulla correttezza della rete stessa
2-3) Applications è relativa al FW quindi ovviamente non essendoti mai connesso non hai la voce Avast come tante altre, quando sarai connesso vedrai in Applications i vari programmi che vogliono uscire, sempre che negli avvisi metti il ricorda, altrimenti non li vedi nella tabella se non momentaneamente ma al riavvio non avresti più la regola senza il ricorda al popup. Port Tracking analizza le porta aperte o in ascolto o chiuse, ovvio che senza esserti mai connesso non ci sia la voce relativa ad Avast.
4) Io ho un po' di ask e un po' di allow, tutto dipende da come rispondi agli avvisi (dando il ricorda altrimenti come detto sopra sarebbero istruzioni che dai ma temporanee e non più valide al riavvio) Adjust Privilege sta su ask perchè probabilmente non mi è mai comparso un avviso relativo a questa operazione fatta da Avast. Quelli che ho su Allow è perchè mi ha dato il popup al quale ho ovviamente risposto con il permetti essendo Avast una applicazione sicura e quindi .. lasciagli fare quello che deve in sostanziale libertà. Dare ask non è un delitto comunque ma poniamo il caso che hai un virus ed oltre agli avvisi di Avast hai anche un sacco di avvisi di PrivateFW, in quei momenti è facile andare in confusione e magari sbagliare a dare il permesso. Quindi le cose sicure e che sono delicate è meglio sempre dare gli Allow così hanno libertà di lavorare sul pc
5) Ti ha già risposto il buon mod, sì può sia facendo tasto destro sul nome dell'applicazione nelle 2 schermate sia facendo doppio clic sul nome, sono 2 modi leggermente diversi per modificare i permessi ma che ti permettono un controllo totale

[key8]

Dunque oggi ho testato e il semaforo, anche rilevata la rete, non si è spostato dal rosso.
Ho provveduto io a spostarlo sul giallo (filter).
1 - E' comunque ok se ho spostato io manualmente su filter il firewall? Oppure secondo voi dovrei addirittura reinstallare (dubito).

2 - Seconda domanda, e quì mi rifaccio ad alcuni preziosissimi consigli letti nelle pagine addietro del buon romagnolo:
Ho visto che per quanto riguarda explorer.exe (in process monitor) ci sono un sacco di allow come ad esempio "copy screen content".
Ora la domanda è d'obbligo... che senso ha che esplora risorse abbia questi permessi? Non è più saggio mettere tutto su ask?
Grazie a tutti

[Romagnolo1973]

continui a mescolare le 2 aree (FW e Hips) ovvio che se bocchi a livello hips un programma poi non parte e non lo vedi nel FW perchè se non si avvia neppure uscirà dal pc verso internet
L'Hips serve nel 99% dei casi solo per controllare cosa faccia un processo inserito da te in un pc e se fa cose strane allora si blocca e lo si controlla ben bene per vedere se sia fasullo quindi virus. Ma quello che è legittimo e che sta nel pc da che è installato sulla macchina , come explorer.exe deve avere libertà di movimento con i diritti che i programmatori gli hanno già dato per evitare agli utenti la fatica e la probabilità di sbagliare. Perchè mai dovresti mettere copy script content su ask? Non è certo un virus quel processo, se sul tuo pc qualche virus avesse cambiato explorer.exe con un malware avresti avuto da parte del hips 1000 avvisi, quindi quello è il file Microsoft sicuro e che deve girare sul pc senza tanti avvisi da Private. Come pensi di copiare del testo da un file ad un altro se metti su ask quel permesso? Ad ogni taglia\copia & incolla avresti un avviso inutile a cui rispondere, perchè?
Diverso è il discorso lato FW quando explorer.exe vuole uscire, non ha molto senso che quel processo esca e quindi lo si può bloccare nel FW, e comunque lasciarlo uscire non è un delitto, comunicherà qualcosa a Microsoft mica ad altri.
Se il semaforo lo hai messo tu su giallo è OK mica devi reinstallare

[Romagnolo1973]

Faccio un piccolo Vedemecum sul come comportarsi con gli avvisi di un programma FW+Hips così magari si usano questi programmi con criterio e vale sia per private che per cis o outpost o altri simili
Due cose sono importanti da sapere per prima cosa:
- Si ha tempo per pensare e comunque si devono mettere gli avvisi su un timing alto, il massimo che la suite consente, così si ragiona senza fretta e la fretta è cattiva consigliera quindi ... tranquilli pensate a quello che fate con calma olimpica;
- Se si sbaglia a rispondere ai popup si può sempre cancellare la regola e far ripartire il tutto dando le corrette istruzioni
Detto ciò se la suite è composta da Hips e FW allora vanno tenuti distinti le 2 aree, perchè quello che blocco nel FW non è detto che lo si blocchi nel Hips e a volte alcune cose bloccate in parte nel hips non è detto che non debbano uscire in internet per funzionare quindi:
- tenete distinte le 2 anime della suite (o 3 se avesse un AV integrato)
- lato Hips: guardate cosa dice l'avviso circa la firma digitale, è in genere il primo popup che si riceve, se l'applicazione è digitalmente segnata e riconosciuta allora potete dargli tutti i permessi del mondo lato Hips. Di virus che sfruttavano firme digitali rubate ce ne sono stati, ma sono cose a livello di alto spionaggio o mirate verso un determinato ente (Stuxnet ne è un mirabile esempio), per un soggetto privato quale siamo noi questo genere di virus non è un pericolo perchè non saremo certo noi il suo obiettivo.
Idem se il processo è un processo Microsoft, è lì per girare sul pc quindi non ha senso bloccare alcune sue azioni soprattutto per una utenza media. Magari l'espertone vuole bloccare alcune funzioni per studiare come funziona un certo programma ma insomma, non è la situazione standard.
- lato FW: fatevi la domanda ha senso che un certo processo voglia uscire e se sì perchè? La risposta varia da persona a persona, per esempio chiaramente Chrome vuole uscire per fare il suo lavoro di browser quindi va acconsentito, explorer.exe che esce ha giò meno senso e lo si può bloccare visto che continuerà a funzionare benissimo nel pc pure se non va in internet.
I programmi in genere vogliono uscire per 2 motivi:
a) sono setup che vanno online a recuperare un altro pezzo di setup per concludere l'installazione (tipici sono skype o gli antivirus o cclenaer che recupera online le lingue) quindi si deve dare OK ma senza il ricorda che tanto in futuro non servirà più e se serve il setup sarò diverso, nuova versione quindi si avranno gli avvisi a prescindere. Dare il ricorda non serve a nulla
b) cercano passando dalla porta 80 di auto-aggiornarsi, quindi l'utente deciderà se vuole che si aggiorni o meno, ovvio che un AV deve aver modo di aggiornarsi, magari non interessa che CCleaner si autoaggiorni, ma sta all'utente decidere.
Io uso Sumo Updater nella versione Portable (la installabile ha degli adware che servono al programmatore per campare) che è un ottimo programma a cui dare in pasto C o le cartelle Programmi e ti dice se ci sono aggiornamenti.
Quindi constatato che fa un ottimo lavoro ho bloccato ogni software dal uscire per autoaggiornarsi e lascio uscire Sumo che faccio girare una volta al giorno, ho visto come lavora il programmatore e mi fido, andando online non ha comunque altre info mie se non l lista delle mie applicazioni sui pc.
Quindi personalemente la mia lista programmi a livello FW è piena di blocchi
Ognuno comunque può agire come vuole, l'importante è che si faccia la domanda che dicevo, ha senso esca? gli serve per lavorare andare in internet? voglio si auto-aggiorni dalla porta 80?

Tutto qui, queste sono le regole per usare bene un Fw+Hips e con un ottimo livello di sicurezza e per qualsiasi utente e uso del pc.

Ovvio fossi un ente sensibile e maneggiassi segreti allora la questione sarebbe diversa e il livello sicurezza dovrebbe essere innalzato assai e sicuro non userei PrivateFW in quel caso ma sarei su Linux e con qualche programma gestito da cervelloni a pararmi le spalle

[key8]

ottima guida romagnolo.
Per quanto riguarda Private, dopo averlo usato per un medio periodo posso dire che è di facile utilizzo.
Sicuramente meno ostico di comodo (che comunque seguendo la guida di Romagnolo, dato che mi sono fermato alla versione 5.12, era di semplice utilizzo) e sicuramente molto più snello.
L'ho configurato in maniera più selettiva in quanto mi piace essere avvisato di quel che accade.
A mio modestissimo parere è un prodotto che meriterebbe maggiore visibilità.