Firewall personali - opinione

[mbruti]

Scrivo questo post in onore del mio amico Kam il quale mi ha stuzzicato dicendo che secondo lui un firewall sui PC di casa non e' necessario.

Beh diciamo che questa affermazione puo sembrare sia geniale sia ... ehm ... molto curiosa ...a seconda dei punti di vista.

Cerco di esprimere la mia posizione.

Un firewall e' un sistema di filtraggio dei pacchetti IP che autorizza solo il transito dei tipi di connessioni desiderati.

Ecco la lista delle porte TCP aperte e di quelle UDP attive su di un sistema Win XP Pro SP2 installato da poco:



Come potete vedere ci sono molti programmi in ascolto che possono essere raggiunti da Internet.

Ora un firewall personale vi permetterebbe di avere solo le porte che veramente volete siano raggiunte sul vostro PC esposte all'esterno senza dover blindare in altro modo il PC stesso.

Inoltre il firewall personale puo' limitare anche i pacchetti in USCITA dal vostro PC (credo che quello integrato di Windows non lo sappia fare) avvertendovi se un programma sta cercando di connettersi verso qualche indirizzo di Internet.

Questo aspetto e' parecchio importante.

Conoscevate il termine botnets ? Molti amici che hanno un PC a casa mi dicono "Che cacchio mi proteggo a fare, tanto sul mio PC non c'e' niente !". Beh sopratutto con l'ADSL e le connessioni H24 il vostro PC potrebbe essere coinvolto in attacchi criminali senza che ve ne rendiate conto. Giusto per darvi una idea la polizia olandese ha pizzicato tre ragazzotti che avevano infettato e "zombizzato" UNLIMIONEEMEZZO di PC casalinghi dico 1.5M !!! Venivano usati per ricattare proprietari di siti con la minaccia di attacchi "DDOS" (Distributed Denial of Service).

Un altro buon motivo per avere il controllo delle connessioni uscenti e' quello di limitare/rallentare la diffusione ad incendio estivo di certi worms/trojans di cui abbiamo tutti sentito parlare.

Ovviamente il firewall proprio non c'entra quando VOI utenti maledetti vi collegate con il browser (programma ovviamente autorizzato a farlo) ad un sito beccandovi trojans e file infetti di varia natura nonche' esponendovi a diventare sordi, calvi e ciechi a forza di guardare l'epidermide delle femmine della razza umana (e sospetto e temo che qualcuno di voi estenda la sua passione oltre i mammiferi)

Insomma io credo che un buon firewall con controllo delle connessioni uscenti accoppiato ad un buon antivirus con componente residente siano uno strumentario necessario per ogni PC di casa, in specie se collegato alla rete.

Bob

[mbruti]

A proposito, anche uno degli esperti di sicurezza piu famosi del pianeta, Bruce Schneier, diceva che i firewall erano inutili. Lui intendeva che tali sistemi rendevano gli amministratori di sistema "pigri" e che era meglio sapere di esporre i propri server ad attacchi in modo da porre la massima cura nella configurazione dei servizi di rete. Il contesto pero' e' molto diverso da quello hobbistico/casalingo/personale di cui stiamo parlando.

Bob

[frakka]

Se ne può discutere.

Personalmente non ho mai usato un firewall sul pc perchè sono pigro e mi infastidiva tantissimo spendere tempo a configurarlo. Inoltre da quando ho l'ADSL ho praticamente sempre avuto un router che provvedeva in proprio, più o meno, a svolgerne le funzioni e quindi ho sempre disabilitato quello del so ritenendo sufficiente quello del router.
Ora che stò iniziando a trafficare con la rete sono stato obbligato a sbatterci la testa ed effettivamente è meno complesso di quello che pensavo.

Però se penso di doverlo spiegare a mia sorella mi viene il mal di testa... Questo per dire che per quella rilevante fetta dell'utenza home che usa il pc sapendo a mala pena dove stà il power-on il discorso firewall, seppur concettualmente semplice da rappresentare, è molto più difficile da realizzare in pratica.

[AirJ]

Bob, conosco le teorie del Kammello riguardo i firewall, ma devo dire che mi trovo sostanzialmente d'accordo con te.
E aggiungo un'altra cosa, probabilmente non avrei problemi a navigare senza fw e anche senza antivirus, basta essere "accuorti". Nonostante cio' sul mio pc ho installato entrambi scegliendone tra i piu' "leggeri" e meno invadenti, e considerando la potenza delle macchine attuali credo che non sia un grosso sacrificio considerando che comunque stiamo parlando di sicurezza.

[mbruti]

Frakkone bello. Quello del router non e' un firewall personale e quindi:

1) non puo sapere quale programma processo sta effettuando una data comunicazione
2) non puo fermare le connessioni in uscita

Per cui e' vero che ti protegge SE BEN CONFIGURATO da attacchi dall'esterno ma se ti sei preso un trojan non puo' farci nulla. Mediamente la configurazione di un firewall del router a parere mio e' PIU' complessa di quella di un firewall personale. Molti di questi ultimi hanno modalita' "per principianti" in cui rompono molto poco o per nulla.

AirJ amico mio. Non basta stare "accuorti", stile "sesso sicuro". Mi dici quante porte aperte hai sul tuo PC e se conosci ognuno dei processi che li generano e se sicuro che in questo momento per ciascuno di essi non esista un attacco attivo ?

Comunque questo thread va proprio nella direzione che desideravo ed ossia discutere di ognuno dei nostri punti di vista in maniera poco "fanatica".

Bob

[frakka]

... ma se ti sei preso un trojan non puo' farci nulla. ...

Uso Linux!!!

Scherzi a parte, effettivamente non sò quasi nulla dei firewall se non che servono a bloccare il traffico in entrata od in uscita e, anche se logica, non avevo mai pensato alla differenza tra il "personal firewall" ed quello integrato nel router.
Stò iniziando solo ora a cercare di capirci qualcosa lavorando con il firewall della SuSE (non Armor, quello "normale") e di solito il problema più grosso è riuscire a capire quali porte aprire o chiudere.
Non sò che differenza ci sia tra una porta TCP ed una UDP, figuriamoci se mi riesce di capire quale porte usare...

Ci vorrebbe una lista di pronta consultazione, almeno per i servizi standard o più diffusi tipo SSH, MSN, sw p2p, etc...

Uhm... L'ho buttata lì ma non sarebbe una cattiva idea.

[frenc]

ottima idea frakka :-).

non che' un a mbruti x la spiegazione dell'utilita' dei firewall .

:-).

[4x4]

Uso Linux!!!

Non sò che differenza ci sia tra una porta TCP ed una UDP, figuriamoci se mi riesce di capire quale porte usare...

Premetto che il discorso è ampio e complesso cerco però di stare il più stringato e chiaro possibile.
Sono due protocolli che vengono usati per la trasmissione dati via rete:
il tcp diciamo è il più sicuro, perchè, una volta instradato il pacchetto da trasmettere, questo viene frammentato e "sparato", può capitare che prima che il pacchetto arrivi a destinazione, un "frammento" si perda, allora il destinatario richiede alla sorgente di rimandargli quello che manca e glielo manda. Tutto questo avviene senza che l'utente se ne accorg, dimodochè all'utente arrivi sempre e comunque il pacchetto completo, a meno di qualche grave errore tipo perdita di portante ecc... (diciamo che la cosa funziona a grandi linee come il trasferimento dati tra 2 hd)
Mentre l'udp all'inizio funziona come il tcp, ma se si perde un frammento per strada è perso e basta. Il pro di questo protocolla è la grande velocità del trasferimento dati essendoci meno controlli sul trasferimento stesso. Questo tipo di protocollo viene usato spesso per lo straming video, perchè è poco importante se perdo un frame video per strada, l'importante che l'immagine risulti più fluida possibile.

Ci vorrebbe una lista di pronta consultazione, almeno per i servizi standard o più diffusi tipo SSH, MSN, sw p2p, etc...
Uhm... L'ho buttata lì ma non sarebbe una cattiva idea.

Se si cerca con google port forwarding ti esce una marea di materiale e se aggiungi il nome dell'aplicazione spesso trovi guide e tutorial che ti aiutano a configurare i router più comuni in commercio.

io come riferimento ho http://portforward.com/

[Kam]

Ehehehe... ho spolettato la NADE!e mo ...mio caro mbruti, ce spieghi tutto!

LOOOOOOOOOOOL

Kam

[mbruti]

Allora alcune risposte:

a) Il fatto che usi Linux non ti protegge tipo magia da attacchi esterni a vulnerabilita' sfruttabili remotamente in uno dei servizi che hai attivi. Dai un bel netstat -a e vedi le porte che hai aperte. Non ti mettere affatto a configurare le netfilter/iptables/ipchains a manella. Usa un firewall tipo shorewall e non tornerai mai indietro.

b) la spiegazione della differenza tra TCP e UDP rende l'idea anche se la questione della frammentazione potrebbe confondere. LA differenza sostanziale e' che il protocollo TCP e' un protocollo "stateful e connection oriented" mentre l'UDP e' "connectionless". In estrema sintesi se io mando un pacchetto UDP non ho meccanismi per controllare le ricezione o la sequenza, mentre il TCP mi assicura che il protocollo si preoccupa di contare i pacchetti, metterli nella sequenza giusta, eventualmente ripeterne la spedizione etc. Una paginetta di riassunto potrebbe essere http://www.tutorialpc.it/tcp3.asp oppure http://it.wikipedia.org/wiki/Tcp

c) Kam, cosa cacchio essere il/la NADE ? mica intenderai http://www.nade.it/ ???