Domanda Malware Come capire cosa bloccare e cosa no con il firewall ?

Stato
Discussione chiusa ad ulteriori risposte.

Mammon

Utente Jade
3 Gennaio 2013
1,935
148
410
935
Dopo tanto tempo, sto per reinstallare comodo firewall free. Lo tolsi in quanto non capivo cosa bloccare e cosa no. C'è un qualche modo per capirlo ?
 
Mai utilizzato comodo firewall. Ad ogni modo, l'uso coretto di un firewall, è quello di dare ad ogni programma soltanto i permessi minimi necessari che gli servono per funziona correttamente.
Comodo, come ogni firewall, avrà una lista delle regole. In questa lista quando crei una nuova regola specifichi programma, porta e tipo di regola. Il programma indica a quale programma applicare la regola; La porta su quale porta può comunicare; la regola se può ricevere dati in ingresso ma non in uscita o viceversa o altro.
Facendo un esempio con Skype: ad esempio se skype fa uso della porta 55902, sarebbe buona norma dal firewall permettere al programma Skype di comunicare in rete utilizzando solo la porta 55902 e nessun'altra.
Se invece ad esempio hai un download manager che deve semplicemente scaricare tramite protocolli HTTP e HTTPS (quindi porte 80 e 443), sarebbe buona norma permette a questo programma di utilizzare solo queste due porte, e bloccare le comunicazioni su ogni altra porta.
Insomma, basta sapere ciò che si sta facendo e usare un po' di testa.

Per utenti Standard Windows, l'uso del firewall di Microsoft integrato in Windows con le regole di base automatiche è più che sufficiente. Firewall servono sopratutto su server e sistemi aziendali: insomma su macchine dove ci sono dati da proteggere e possono essere vittime di attacchi hacker.

Ad ogni modo, il firewall ha questa utilità:
spesso sul nostro sistema possono venir installati dei malware (backdoor, RAT, spyware, ecc.) che permettano ad hacker di rubare informazioni importanti. Per rubare dati, ovviamente, questi malware una volta eseguiti devono inviarli su rete. Configurando a dovere il proprio firewall, ogni volta che un nuovo programma cercherà di inviare informazioni su internet (ad esempio un programma che abbiamo appena scaricato) ci verrà un messaggio del firewall che ci chiede se vogliamo autorizzarlo o meno. Questo può farci insospettire: controllando il programma vediamo che si tratta proprio di un malware. In questo modo il firewall ha tenuto al sicuro i nostri dati.
L'altro caso (in cui si vede l'utilità delle regole specifiche per applicazione) è quello di malware che, proprio per evitare i firewall, creano dei thread remoti (diciamo che "inseriscono dei loro codici") all'interno dei processi di altri programmi. Quindi potrebbe succedere questo:
-Skype è autorizzato dal nostro firewall ad accedere ovunque, a qualsiasi porta e a qualsiasi IP (non solo a quello che gli serve);
-Un malware che abbiamo eseguito crea un thread remoto nel processo di Skype inserendoci un codice che ruba dati e li invia via internet;
-Il nostro firewall non si accorgerà di questo: perché noi, stupidamente, abbiamo permesso a Skype di accedere a qualsiasi cosa. Quindi il thread remoto (che il firewall crederà che si tratti di Skype) accederà ad un qualsiasi indirizzo su una qualsiasi porta senza problemi e potrà quindi inviare i nostri dati privati.
Sostanzialmente, su server o comunque sistemi che contengono informazioni sensibili, ogni regola creata del firewall deve essere fatta in funzione di evitare queste situazioni. Su computer home di utenti standard, non c'è molto da preoccuparsi.
 
Allora credo che abbia gia risposto SpeedJack.
Però una cosa posso dirti,scaricati un anti-virus facile da usare,e in oltre cerca di non scaricare roba che potrebbe essere infettata in qualche maniera.
Comunque quando fai una scansione ti toglie automaticamente i file "infetti" .
 
Stato
Discussione chiusa ad ulteriori risposte.