Upload
dragonballfg
View
2.014
Download
0
Embed Size (px)
Citation preview
Versione Guida 1.03 15/10/2011
COMODO INTERNET SECURITY 5Questa opera distribuita con licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questa guida deve necessariamente riportare il link originario. Eccoci qui a parlare di Comodo Internet Security 5, uscito a settembre 2010 e che ci allieter per qualche tempo, proprio come hanno fatto i suoi predecessori. E stato aggiunto al nome la parola PREMIUM per distinguerla dalle versioni Plus e Pro che sono a pagamento ma hanno in aggiunta solo un servizio di assistenza telefonica e di aiuto da remoto, insomma cose di cui possiamo fare a meno. Si tratta di una suite completamente free anche per uso commerciale compatibile con tutti gli ultimi sistemi operativi sia a 32 che a 64 bit e che ingloba al suo interno Firewall, Hips, Antivirus, Sandbox in un sol colpo. Tutti questi moduli li analizzeremo uno ad uno nei successivi post. Per chi ha gi familiarit con i precedenti CIS le novit sono date dalla nuova grafica, una sandbox pi stabile e configurabile, la comparsa di un Game Mode e alcune funzioni di scansione cloud, ovvero via web, di analisi comportamentale, con invio dei file ai loro server per il controllo. Il numero di applicazioni riconosciute da Comodo ulteriormente aumentato e ci incide su un numero sempre minore di avvisi a video, cosa apprezzata dai neofiti. FORUM UFFICIALE FORUM UFFICIALE ITALIANO DOWNLOAD HELP ONLINE
REQUISITI MINIMI: Sistema Operativo: Seven / Vista / XP Sp2 sia 32 che 64bit Ram: 128 MB HD: almeno 210 MB liberi Consumi di Risorse: bassissimi, la Suite completa di Antivirus va sulla mia macchina dai 22 ai 30 MB massimo. Anche con lantivirus in scansione si riesce a navigare e ad effettuare operazioni normali. E' molto leggera e performante quindi adatta anche a pc vecchi a patto di avere un sistema operativo tra quelli supportati.
1
Due parole ancora prima di passare ai fatti: questa guida rivolta all'utente medio o anche principiante per consentirgli in poco tempo una buona conoscenza dei fondamenti del software che non certo "un clicca e via" ma come tutti i programmi di sicurezza richiede un po' di pratica. I settaggi particolari sono demandati a post specifici e qui ne facciamo il richiamo a mezzo di link, cos la lettura della prima pagina risulter pi snella, se quell'argomento vi interessa basta cliccarne il titolo ed andate alla fonte dell'informazione. Vi prego prima di postare nella discussione di visionare bene questa prima pagina e le FAQ. Si tratta di un lavoro a pi mani dove hanno collaborato diversi utenti oltre a me, Roby_P, bender8858, arnyreny, luke1983 e tanti altri. Un lavoro fatto "da una comunit di utenti per una comunit di utenti" questo il vero spirito di un Forum. Ho evidenziato con la parola HARDENING le operazioni per incrementare la sicurezza, comunque gi discreta di partenza. Se non si modificano in alcun modo le impostazioni di default CIS 5 praticamente "silente", quasi invisibile, fatte le prime operazioni di apertura dei programmi pi usati il numero di avvisi a video non supera i 2 o 3 al giorno, lo potrebbe usare anche vostro nonno!!!! Quindi non diteci che a default i pop-up vi stressano, a quel punto tenetevi il FW di Windows e basta. La guida che segue composta dai seguenti argomenti:
INSTALLAZIONE FIREWALL DEFENSE+ SANDBOX & MODALITA' GIOCO ANTIVIRUS ALTRO DISINSTALLAZIONE REGOLE FIREWALL TEST F.A.Q. APPROFONDIMENTO: Come sandboxare I browser by arnyreny APPROFONDIMENTO: Come cancellare la cartella VirtualRoot automaticamente con CCleaner 2
INSTALLAZIONEEsistono 3 differenti setup, come potete vedere dal link per il download, il Firewall, il solo AntiVirus (scelta che non prendo in considerazione), la suite completa. Per i sistemi a 64 bit aprite il men a tendina sul sito e scaricate l'apposita versione. A voi la scelta quindi tra la suite completa o il FW (che comprende gi il modulo hips Defense+ e relativa sandbox). Le immagini che seguono sono relative allinstallazione della suite gli screen sono comunque sostanzialmente analoghi. Se il vostro sistema operativo impostato nella lingua di Dante allora il setup ed anche il programma saranno di conseguenza in italiano. Ecco lo screen dei primi 4 passaggi davvero basilari:
Notate che alla fase 3 siete alla scelta dei prodotti da installare, il FW d'obbligo essendo uno dei migliori al mondo, l'antivirus sta crescendo ed un'ottima opzione per chi usa commercialmente il suo pc, gli utenti finali possono trovare anche altri prodotti validi ma questo ha il pregio di integrarsi bene nella suite e di non incidere molto in termini di risorse. NON installate invece GeekBuddy che stato inserito da CIS 5.3 (non nell'immagine) e che una sorta di helpdesk Comodo, a noi italiani di nessuna utilit.
3
Ponete attenzione a questo screen, vi far scegliere tra il solo FW attivo, Fw con D+ ottimizzata oppure completa, scegliete questa ultima opzione e vi risparmierete di dover modificare qualche settaggio di hardening in seguito, inoltre siamo qui per garantire la massima protezione quindi ...
Qui lo screen degli ulteriori passi fino alla conclusione:
4
Alla schermata 5 CIS vi chiede se impostare come default sul pc i Comodo DNS, sono una buona alternativa ai vostri DNS sebbene personalmente consiglio luso dei Norton DNS. Potete comunque intervenire successivamente per inserirli o cancellarli, basta seguire quanto indicato qui, tenete presente che oltre che sul pc vanno inseriti anche sul router se lo avete e questa operazione CIS non la pu fare di suo. Affinch Comodo si attivi occorre fare un restart come lo stesso programma ci consiglia. Al riavvio CIS diventa operativo ed ecco che subito ci compare questa schermata molto importante, questa fase stata oggetto in passato di molte domande, quindi vi prego di fare attenzione su cosa fare, lo so che magari CIS vi sta anche dando i primi pop-up ma a quelli potete rispondere entro 2 minuti, concentratevi sulla finestra riportata sotto:
1. Passo 1: "Area Network Locale #1" il nome con cui CIS riconoscer la vostra rete, potete anche modificarlo se volete, io ho sempre lasciato quel nome. Questo passo non ha mai dato problemi grazie a dio. 2. Passo 2: occhio a queste scelte perch variano da rete a rete e anche a seconda del vostro operatore internet. Si tratta di decidere se volete accedere pienamente ad altri pc presenti nella suddetta rete. 3. Se mettete i baffetti alle opzioni indicate allora acconsentirete agli altri pc pieno accesso alla nostra rete e/o le nuove reti che dovessero esserci in futuro non verrebbero automaticamente rilevate da Comodo. 4. In sintesi relativamente al Passo 2 abbiamo: A. Prima Casella relativa ad altri computer in rete a cui permettere accesso a questo pc se siete nella condizione classica di avere un pc collegato al router/modem allora questa non una rete, poich non condividete cartelle o stampanti con altri pc, quindi lasciate come da immagine ovvero NON selezionate la prima casella; se avete altri pc che si collegano al router ma che non hanno mai condiviso nulla tra di loro, allora anche in questo caso NON dovete selezionare la casella; se siete utenti FastWeb o avete una chiavetta internet, anche in questo caso NON5
selezionate nulla altrimenti tutti i pc della rete fastweb o della lan dell'operatore, potrebbero collegarsi a voi e questo male; a volte gli utenti fastweb non ricevono alcun avviso e non hanno neppure alcuna areal locale in Zone Network, state comunque tranquilli non siete visibili agli altri del nodo e cis funziona perfettamente. Se non ricadete in nessuno dei casi esposti sopra ed avete una rete condividendo stampanti o cartelle con altri pc appartenenti alla rete, allora in questo caso DOVETE selezionare la casella. B. Seconda casella relativa alla non rilevazione automatica delle nuove reti in linea di principio sempre meglio NON selezionare la casella, la scelta descritta una frase negativa, quindi non selezionarla corrisponde ad essere avvertiti per ogni nuova rete, questa la scelta migliore e che consiglio. Se invece non volete che le eventuali reti vi siano via via comunicate allora indicatela. La scelta B comunque sempre modificabile andando in Altro Impostazioni Generale ed avr effetto dal successivo riavvio. La scelta A invece modificabile solo andando in FW Avanzate - Policy Sicurezza Network - Zone Network e rimuovendo l'area network impostata e dando OK; al Successivo riavvio del pc vi trover l'Area Network "nuova" e potrete reimpostarla come meglio credete. Speriamo di essere stati abbastanza chiari ed evitarvi i dubbi su questo punto che in passato riempivano la discussione . CIS durante la sua attivazione disabilita automaticamente il FW di windows e anche Windows Defender (solo se usate l'antivirus di CIS) e se lo disinstallate riabilita il tutto senza alcun vostro intervento. Eccoci ora alla situazione standard di avvio di CIS, tenete presente che se non avete installato l'Antivirus di CIS detta voce non presente sulla vostra GUI che per il resto analoga.
Lo scudo a sinistra mostra lo stato dei moduli ed verde se tutto ok, giallo se vi sono moduli disabilitati o avvisi importanti. In questo caso iniziale non ho fatto ancora una scansione del6
sistema e CIS mi avverte di ci, praticamente consigliandomi di farla. Se un modulo di CIS fosse disattivato da un malware , evento praticamente impossibile, beh comunque ad occhio avreste un avviso del problema. Dalla finestra di Sommario avete le informazioni basilari di ci che cis sta facendo, azioni bloccate, file sandoboxati, traffico di rete, malware in quarantena Dall'icona nella tray possibile gestire e vedere l'impostazione con cui CIS agir, quella in chiaro col baffetto quella attualmente in azione LIVELLI DI SICUREZZA POSSIBILI:
Firewall Security Internet Security Proactive Security Tutti i livelli di sicurezza sono impostabili velocemente dal tasto destro sull'icona nella tray, comunque per settarli in modo preciso occorre andare nelle singole schermate di configurazione. Firewall Security corrisponde a disattivare il D+ e neanche la prendo in considerazione per ovvi motivi di scarsa sicurezza. Internet Security la modalit consigliata per chi ha tutte queste tre caratteristiche contemporaneamente: a. insofferente ai pop-up; b. ha scarse conoscenze informatiche e quindi non sa bene decidere le azioni per rispondere agli avvisi; c. installa CIS per la prima volta. Cos settato ha comunque una protezione migliore di quella offerta dal Firewall di Windows e da molti altri prodotti in commercio, ma noi vogliamo dare la maggiore sicurezza e quindi di seguito faremo hardening, ovvero rinforzeremo il livello di protezione offerto da Comodo. Vorrei essere molto chiaro la "Modalit di Configurazione" fondamentale, potete anche avere D+ e FW settati al massimo delle possibilit ma se siete in "Internet Security" il D+ coprir solo le aree di registro statisticamente pi colpite dai malware, se invece siete in "Proactive Security" il Defense avr il controllo di aree molto pi vaste. In "Internet Security" rispetto a "Proactive" Image Execution Control disabilitato. Computer Monitor/Disk/Keyboard/DNS Client Access/Window Messages/Protected COM Interfaces/Windows Hooks NON sono monitorati.. Solo le cartelle/file pi comunemente colpite dai malware sono controllate. Solo le interfacce COM pi comunemente oggetto di attacchi sono monitorate. D+ settato in modo da creare il minor numero possibile di avvisi. HARDENING FONDAMENTALE: Per le ragioni appena dette tutti DEVONO passare alla Proactive Security, per farlo velocemente agite dall'icona nella tray cliccandoci sopra e in Configurazione cliccate su Proactive Security, il baffetto si sposta su questa modalit che diventa anche pi chiara
7
delle altre e CIS vi avvisa della variazione avvenuta. Ora il D+ protegge pi aree sensibili e iniziamo cos ad aumentare le difese contro i virus.
Fatto questo step fondamentale, e penso ne abbiate ora capito i motivi, passiamo ad analizzare i vari componenti della suite. Ricordo che le varie modalit sono a camera stagna quindi ogni configurazione autonoma da quello che avete fatto con un'altra, sia per le regole D+ e FW sia per le Policy Predefinite messe a mano da voi (per esempio le regole per il p2p).
Vai allInizio8
FIREWALLTramite questo componente si controlla il traffico in entrata e in uscita (quest'ultima la grande differenza nei confronti del FW presente sui router, o il FW di Windows) Comodo Firewall agisce per mezzo di avvisi che sono svariati ma in linea generale rispecchiano questo schema:
A: modulo di CIS che genera l'avviso, in questo caso il Firewall. Il colore rosso se CIS considera l'azione pericolosissima, arancione se in base a certi criteri l'operazione potrebbe essere lecita ma comunque al vaglio dell'utente. B: informazioni su cosa sta succedendo, su quale applicazione stia uscendo, destinazione remota (TCP/UDP/IP), porta coinvolta. Trucchetto: cliccare sul nome dell'applicativo (in azzurro) vi far vedere dove si trova quel programma e quindi gi cos vi aiuter a capire se un programma fidato oppure magari un malware, nel dubbio se non sapete che processo usate questa opzione. C: consigli generali preconfezionati da CIS per aiutare l'utente nella scelta D: azioni che l'utente deve intraprendere (se non si vedessero tutte cliccate su Pi Opzioni), tipicamente si tratta di consentire, bloccare, trattare l'azione con una Policy prestabilita da scegliere tra quelle presenti nel men a tendina (per esempio WebBrowser, o Trusted, o Isolated, o Blocked ecc...) si veda a tal proposito dopo quando parlo di Policy Predefinite Firewall per i dettagli. E: se si sceglie il box Ricorda allora la prossima volta che questa situazione si presenter verr applicata la stessa azione senza che veniate pi disturbati dall'avviso. In questo caso la regola viene quindi registrata in Policy Sicurezza Network Regole Applicazioni. Se non si risponde all'avviso, di default Comodo blocca l'azione oggetto della richiesta.
9
Vediamo ora brevemente tutte le funzioni del Firewall:
Eventi Firewall: il Log del FW, una volta aperta la sua finestra si vedono tutte le azioni svolte dal firewall sia in blocco sia quelle attivit di cui si avvisato l'utente. Se si preme in basso sul pulsantino Altro della finestra si apre un vero e proprio gestore del Log con criteri di ricerca anche molto dettagliati. Connessioni Attive: specchietto molto utile che vi permette immediatamente di monitorare quali applicazioni siano in uscita e con quale porta, verso quali IP, quanti Byte ricevuti/trasmessi. Notate nella immagine sotto che se la porta in ascolto allora ovviamente non trasmette o riceve dati. Cliccando sul processo si pu vederne l'intero percorso e cliccando sui singoli IP si pu terminare quella connessione al volo. Per quanto riguarda le porte del pc eccovi l'elenco delle riconosciute alla IANA qui, vi aiuteranno a capire cosa esce e perch.
10
Definire una Nuova Applicazione Sicura: permette di inserire una applicazione che consideriamo Safe tramite un comodo esplora risorse. Procedura Invisibilit Porte: permette di settare l'invisibilit delle porte in rete, molto importante effettuarla, infatti rende le porte stealth, invisibili, che cosa diversa da essere chiuse. Fondamentale se facciamo P2P.
Andiamo in Firewall Funzioni Generali Procedura Invisibilit Porte e scegliamo una delle procedure:11
1. Definisce una nuova rete sicura e rende invisibili le porte a chiunque altro: per rendere il pc invisibile agli altri eccetto per la rete o reti che andrete a indicare nel proseguo della procedura; 2. Avvisa connessioni in ingresso e rende invisibili le porte caso per caso: questa l'opzione che devono scegliere tutti quelli che fanno file sharing con Emule, Torrent o altro. Cos facendo il FW rende le porte stealth ma permette il traffico nele porte deputate al P2P. Senza questa opzione scelta lo scarico sar impossibile o molto limitato oltre ad essere molto pericoloso. Se scegliete questa opzione che raccomandata per tutti anche se non fate P2P la situazione in "Regole Globali" sar questa
3. Blocca tutte le connessioni in ingresso e rende le porte invisibili a tutti: come dice lui stesso render il pc invisibile e bloccher tutto in entrata. Cliccate su Finito per rendere effettiva la procedura scelta e CIS ci avviser che il FW stato configurato di conseguenza, infatti le regole globali presenti in FW Avanzate- Policy Sicurezza Network ora sono state modificate in accordo con quanto scelto.
Definire una Nuova Applicazione Bloccata: in questo caso l'applicazione scelta non potr uscire in internet. Impostazioni di Comportamento del Firewall: settore questo IMPORTANTISSIMO, qui nelle varie schede si impostano i livelli di sicurezza del FW, la frequenza di avvisi e protezioni da alcuni attacchi web. I livelli di sicurezza presenti sono i seguenti:o
Disabilitato: il FW non attivo12
o
Apprendimento: il FW non fa richieste, vede cosa fanno le applicazioni che non conosce, o di cui non ha gi istruzioni e in base a ci crea le regole. Funzione da usare poco e per poco tempo, utile se abbiamo problemi con una applicazione o un gioco. Sicuro: Cis impara e memorizza tutte le azioni fatte dalle applicazioni che ha nel suo database come fornitori sicuri, per le sconosciute invece chieder a noi come comportarsi. Policy Personali: Comodo FW applicher le regole per le specifiche applicazioni presenti in Policy Sicurezza Network e chieder all'utente per tutte le altre. Blocca Tutto: il traffico in entrata e uscita completamente bloccato.
o
o
o
Volendo si pu flaggare l'opzione per creare regole per le applicazioni sicure. Sono sicure tutte le applicazioni che: si trovano in Defense+ - File Sicuri; le applicazioni fatte da produttori presenti in Defense+ - Policy Sicurezza del Computer - Produttori Software Fidati; le applicazioni presenti in una lista interna di CIS che si aggiorna ad ogni cambio versione. Sconsiglio di usare questa opzione, meglio decidere in autonomia, comunque una possibilit per chi si avvicina a CIS per la prima volta visto che riduce in numero di richieste a video permettendo di fatto a tutte queste applicazioni sicure di uscire senza avvisarci.13
Policy Sicurezza Network: la sezione fondamentale del nostro FW, da qui si inseriscono, modificano, dettagliano le azioni con cui il Firewall gestisce le applicazioni, le regole globali, le zone network e i set di porte. Vediamo bene queste funzioni:
.
Regole Applicazioni: sono le regole principali che il FW rispetta per le comunicazioni in uscita, per poi filtrarle ulteriormente in base alle regole Regole Globali. Quando ci compare un avviso relativo al Firewall e diamo una determinata istruzione cliccando su Ricorda la mia Risposta allora quella regola viene inserita nella tabella; senza il ricorda non comparir in elenco. Possiamo controllare, aggiungere, modificare, rimuovere, spostare le regole in ogni momento, ricordatevi di dare OK alla fine perch diversamente la modifica che state facendo non verr svolta. Il tasto Pulisci a destra molto utile per eliminare regole relative ad applicazioni che non abbiamo pi sul pc o abbiamo spostato, va usato ogni tot per alleggerire il programma. Ora ad esempio voglio modificare la regola che ho generato mediante la risposta ad un pop-up e relativamente a Prevx, mi basta cliccare su modifica ed appare una finestra in cui mi possibile intervenire per editare la regola.
14
Nel settore A si interviene sulla regola generale per quella applicazione e le scelte possibili sono due: Usa Policy Predefinita come per esempio bloccare l'applicazione, trattarla come sicura, farla solo uscire ecc.. (ne parleremo tra poco in dettaglio) ; Copia da Policy predefinite (quindi si ricade nella situazione appena detta) o Copia da Altra Applicazione presente nella schermata Policy Sicurezza Network, utile se vogliamo prendere come base di partenza una regola gi fatta su cui fare delle piccole modifiche alle azioni che compariranno nel settore B. Nel settore B si interviene infatti sulla singola azione, per renderla da generica a pi specifica, per esempio la regola dell'immagine per una uscita generica, potremmo restringerla ad un singolo ip per esempio, oppure aggiungere altri comportamenti che il FW deve avere circa Prevx, i tasti sottostanti sono proprio per intervenire qui. Perch le modifiche siano prese da CIS occorre cliccare Applica e poi OK sulla finestra successiva. A. Regole Globali: queste sono le regole principali che il FW rispetta per le comunicazioni in entrata, per poi filtrarle ulteriormente in base alle "Regole Applicazioni". Variano a seconda di come avete risposto a quella famosa finestra che si ha al primo riavvio del pc dopo l'installazione. Queste regole si possono anche modificare o aggiungerne altre, come faremo per esempio nel post dedicato alle regole per le porte 135-139 per chi ha ancora un modem 56k, quindi vi rimando a l per i dettagli. B. Policy Predefinite Firewall: Comodo ci da gi alcune regole basilari prefabbricate e che qui vedete, sono queste regole (comprese quelle che eventualmente aggiungerete voi come per Emule) che il pop-up del Firewall ci propone come scelta di azione nell'avviso scegliamo Tratta come ed agiamo sul men a tendina.15
Le Policy Predefinite Firewall sono le seguenti: 1. Browser Web: da associare col Ricorda ai nostri browser per evitare di essere sommersi da avvisi ad ogni sito 2. Client Email: da dare ai nostro gestori di email siano Outlook o ThunderBird, segnalo che per TB soprattutto dovremo poi dare qualche altro ok per permettere di scaricare immagini presenti nei messaggi di posta in arrivo, nulla di preoccupante a patto che il messaggio provenga da un utente sicuro. 3. Client FTP: da associare al vostro programma Ftp se ne usate uno. 4. Applicazione Sicura: da dare con cautela, teoricamente si pu associare questa policy ai vostri programmi di sicurezza a patto che siano scaricati dal sito del produttore. Per altri programmi non lo userei, io anzi non lo uso neanche per i programmi antimalware che ho sul pc. 5. Applicazione Bloccata: da associare alle appllicazioni che non vogliamo escano in internet. 6. Solo in Uscita: se volgiamo che l'applicazione esegua solo connessioni IP in uscita e venga bloccato tutto il resto.
C. Zone Network: qui vedete la LoopbackZone che basicamente il vostro pc, rappresenta infatti tutti gli indirizzi possibili e ovviamente vedete anche l'Area Network, la rete rilevata da CIS al primo avvio o quelle ulteriori da voi create sia in16
termini di indirizzi Ip che di nuova Area Network andando ad agire sul pulsante Aggiungi. Gli utenti FastWeb potrebbero anche non avere alcuna area network locale, alcuni la hanno e altri no, penso dipenda dalle impostazioni del HAG FastWeb in dotazione, comunque non preoccupatevi CIS sta funzionando alla perfezione anche per voi fortunati con connessione iper veloce. D. Zone Network Bloccate: permette di bloccare una determinata rete oppure singoli IP che non vogliamo siano raggiunti (per esempio siti di phishing o malware) E. Set di Porte: per poter creare un insieme di porte se ci occorre, la useremo per fare le regole per alcune applicazioni come Skype o Messenger che vedremo in un post dedicato. Ovvio le scelte nei pop-up devono essere oculate, se non sapete cosa fare date un blocco senza ricordare l'azione poi informatevi sul processo che vuole uscire, iniziate gi cliccando sul nome del processo che in azzurro sul pop-up, vedrete dove allocato quel programma e gi capirete molto sul fatto che sia o meno fidato. Dare un permesso Web Browser ad un malware ci porter a formattare. I settaggi di base a default sono buoni ma non ottimi, vanno bene solo per chi fa un uso sporadico di internet o non ama gli avvisi, insomma noi vediamo adesso come settare il tutto per avere una sicurezza ottimale. Di seguito i livelli a default e quelli che poi consigliamo per rendere il pc pi sicuro. A default: Firewall a livello sicuro - Impostazione Avvisi su basso ARP Cache non protetta HARDENING: Impostazioni Generali: Firewall su Policy Personali , inoltre NON indichiamo la Creazione di regole per Applicazioni Sicure; Impostazione Avvisi: Molto Alto e tutte le caselle selezionate; Avanzate: mettiamo la spunta su ARP Cache e anche su Blocca Messaggi ARP Inattesi date OK e il settaggio sar eseguito. Fate la Procedura Invisibilit Porte scegliendo la seconda opzione, fatelo anche se non avete programmi P2P, vi inserir regole globali pi sicure di quelle di default. Come limitare il numero di avvisi ? Siete nuovi di CIS e i popup vi sembra non vi diano respiro? Fatevi forza e rispondete agli avvisi dando il Ricorda, se sbagliate potete sempre intervenire modificando il comando dato; se non siete contenti allora provate a spuntare le creazione di regole per le applicazioni sicure, se ancora non vi trovate bene allora abbassate il livello di frequenza avvisi. Per chi gi usava CIS e seguiva i nostri consigli, impostare il tutto come indicato non sar un problema. Ricordo ancora che il livello del FW pu essere abbassato o alzato anche agendo sull'icona della tray, per le altre azioni appena descritte per occorre intervenire in questa finestra sulle varie schede. CIS 5 di default ha delle regole preimpostate per gli Aggiornamenti Windows e per le Applicazioni di Sistema (System e Svchost) e sono in sola uscita. Questa impostazione permette di non avere problemi su tutti i pc e per ogni uso possibile. Le regolamentazioni di SVCHOST e System qui riportata (relativa a CIS 4 ma facilmente trasportabile in CIS 5) per "smanettoni" e comunque gente che conosce CIS da parecchio.17
Ricordo che svchost un file di sistema mica un virus, con quanto qui linkato li si controlla un po' meglio, ma tanto M$ sa tutto di noi comunque anche per vie differenti, inutile farsi crucci vari, lasciate il mondo come sta e senza fare regole strane. Un FW serve per controllare i programmi in uscita ma se vi si bloccasse un servizio vitale sarebbe controproducente, l'importante sapere cosa va fuori e che sia un file sicuro e non un virus, poi col tempo e la pratica si possono anche fare delle regole pi restrittive per svchost, ma solo dopo, quando si ha buona conoscenza del FW e dei servizi attivi sul pc.
Vai allInizio18
DEFENSE+il Defense+ il modulo Hips che accompagna il Firewall di Comodo nella protezione del nostro sistema, monitorizza le parti principali del registro e ad ogni tentativo di modifica ci chiede cosa fare. Si tratta di uno strumento fondamentale visto che i malware hanno sempre bisogno di attivarsi e quindi di variare il registro, cos facendo si rendono visibili all'HIPS che lo comunica all'utente, niente male quindi come difesa. Seguiamo il canovaccio gi intrapreso parlando del FW e quindi inizio con il mostrare l'avviso spiegandone i contenuti per poi passare a illustrare le funzioni del D+.
A: ci indica che un avviso del Defense+, il suo colore rosso ci fa capire che si tratta di una scelta importante e che in base alle analisi euristiche la reputa pericolosa; se il suo colore fosse giallo allora sarebbe di pericolo inferiore, generalmente perch una delle applicazioni coinvolte sicura. B: ci indica i file o applicazioni coinvolte in questa azione, cliccando sui loro nomi in blu possiamo vedere dove sono allocati sul pc per farci una idea migliore su come agire. C: il Defense ci da gi una sua valutazione sul tipo di azione e ci suggerisce quasi cosa fare D: abbiamo alcune azioni sostanzialmente analoghe a quelle gi viste per il FW ovvero consentire, bloccare oppure trattarla come una modalit da scegliere dal men a tendina. E: in aggiunta alla scelta suddetta possibile contemporaneamente inviare il tutto a Comodo (utile in caso di virus) e anche creare un punto di ripristino tramite l'apposita utility Microsoft (se l'avete19
attiva). Questo per salvaguardare l'integrit del vostro Windows se per esempio l'avviso nascesse da un malware e quindi successivamente dovesse scatenarsi l'inferno. Per chi avesse installato Comodo Time Machine allora, in luogo del punto di ripristino, si troverebbe la voce relativa al creare una immagine tramite TM. F: mettendo il baffetto su Ricorda la mia Risposta facciamo in modo che CIS non ci avvisi nuovamente al ripetersi di questa situazione. Tra qualche giorno quindi, dopo aver aperto le applicazioni di uso maggiore, il numero di popup caler.
Nella immagine sopra possibile vedere anche come il D+ si interfaccia con la tecnologia sandbox che vedremo poi, CIS riesce ora tramite euristica a capire se una applicazione richiede privilegi elevati. Si tratta di installer, Comodo ci fornisce varie informazioni, la prima che il setup vuole avere permessi elevati, cosa normale poich spesso i setup devono installare dei driver a livello del kernel nel sistema, ci avvisa anche chi il creatore del setup . Notate la differenza tra i 2 avvisi della immagine, quello rosso dato da una applicazione non firmata, quindi pericolosissima (i virus al 99% non hanno firme digitali e se le hanno le hanno contraffatte), quella gialla di pericolo minore poich come si legge il produttore conosciuto avendo firma digitale ma per non tra quelli della WhiteList di Comodo. Possiamo dire a CIS di considerare fidato il produttore (in questo caso lavviso cambia e il tasto sandbox scompare), oppure semplicemente dare consenti e alla prossima occasione il pop-up ricomparir. Se non siamo sicuri della provenienza del file il tasto Sandbox ci viene in aiuto, lapplicazione girer recintata secondo le impostazioni che vedremo nel prossimo post. Da notare che se diamo il comando Fidati sempre del produttore di questo file allora il nome del produttore (in questo caso Returnil Software) apparir in fondo alla lista che in Defense+ Policy Sicurezza del Computer Autori Software Fidati. Se non si risponde all'avviso di default Comodo blocca l'azione oggetto della richiesta. Analizziamo ora in dettaglio le varie opzioni disponibili per il D+:20
Eventi Defense+: analogamente alla funzione vista per il FW, qui trovate l'elenco delle azioni svolte dall'Hips. Cliccando sul tasto in basso Altro avete accesso alla vera sezione di log di tutta la suite Cis, dettagliatissima e con possibilit anche di usare filtri. La abbiamo gi vista parlando degli eventi del Firewall quindi non mi dilungo oltre. Processi Attivi: la lista dei processi in questo momento attivi sul pc. Da notare che cliccando col tasto destro su un processo possiamo terminarlo, terminarlo e bloccarlo col d+, analizzarlo via cloud File Sicuri: qui trovate la lista dei file con cui tramite popup abbiamo istruito il D+ perch li tratti come sicuri. In questo elenco vengono inseriti anche i file *.exe e i setup che la SandBox di CIS non conosce e a cui noi al suo avviso diciamo di eseguire comunque fuori dal "recinto". Possiamo aggiungere non solo un file come avviene rispondendo ad un popup ma anche intere cartelle, spostarli in file non riconosciuti o bloccarli, rimuoverli dalla lista (ma non eliminarli dal pc) o pulire la tabella da vecchie voci non pi presenti nel computer. Avvia un Programma nella Sandbox: ne parleremo nel prossimo post. File non Riconosciuti: qui finiscono i file che leuristica di CIS non conosce, quelli che hanno un certificato che CIS no ha in lista. Se vi ricordate lavviso del D+ a inizio post, quello relativo a Returnil, ecco ora quel setup si trova in questa sezione proprio a causa di quanto appena detto. Possiamo inserire file o cartelle, spastare gli elementi in File Sicuri o bloccarli. Il tasto Controlla fa un check online se fosse stato aggiunto alla lista Master che Comodo ha sui server e che si aggiorner sui pc ad ogni cambio versione (quindi la nostra21
lista in locale potrebbe essere non aggiornata), se lesito negativo allora CIS ci chiede di inviarlo a loro per analizzarlo. Stessa cosa se si clicca su Invia. Attenzione, Elimina File elimina definitivamente il file dal pc, quindi cautela. Pulisci aggiorna la lista cancellando dalla tabella le voci non pi a sistema.
Impostazioni Defence+ : questa , assieme alla prossima, la finestra principale del D+. Da qui si setta il nostro Hips per avere la migliore sicurezza possibile. o Impostazioni Generali: Le modalit di sicurezza del D+ sono:
Disabilitato: il D+ non attivo quindi nessun avviso a video, in questo stato anche il controllo esecuzione esso stesso disattivato. Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorder queste nuove azioni. Da usare per pochi minuti e solo in caso di necessit. Poi tornate ad un livello di sicurezza pi consono. PC Pulito: lo stato di default che abbiamo appena CIS viene installato, quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverr solo per i nuovi applicativi che installerete. Gli elementi presenti in File non Riconosciuti sono comunque monitorati. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi ha un pc nuovo ed sicuro sia privo di virus e da quello stato parte installando i suoi programmi. Dopo poche ore o giorni il caso di settare D+ in modo pi stringente. Sicuro: il livello che usa la maggioranza degli utenti di CIS, quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalit PC Pulito . Il numero di avvisi crescer ma siamo gi capaci di rispondere con criterio ai pop-up. Le regole delle Policy sono applicate, i file che Comodo conosce come Sicuri vengono acconsentiti, per tutti gli altri il Defense ci chieder cosa fare. Paranoico: D+ ci avviser di ogni attivit tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici come me o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano pi.
22
Le altre impostazioni presenti sono:
Variazione del tempo di permanenza a video del pop-up: di default 120 secondi, soprattutto se siete nuovi utenti potete aumentarlo a 180, avrete pi tempo per rispondere al popup. Se non si sceglie entro la tempistica e la finestra scompare allora il D+ blocca lazione senza ricordarla. Blocca richieste sconosciute con l'applicazione chiusa: nel caso CIS venga chiuso da noi o da un malware, se questa opzione stata scelta allora tutto quello che non acconsentito nelle Policy verr automaticamente bloccato. Da usare solo se credete che il pc sia infetto e per esigenze di controllo con altri programmi di sicurezza dovete disattivare CIS. Abilit modalit adattativa se con basse risorse di sistema: in alcune circostanze se il pc ha un alto carico di ram usata (tipico di malware nel sistema) CIS potrebbe risultare lento o privo di alcune funzioni, attivando questa opzione CIS riesce comunque a reperire risorse per il suo pieno utilizzo. Poich potrebbe rallentare il comparire dei pop-up e la reattivit di Comodo una opzione da scegliere solo se si installa su computer che sapete essere gi infettati da malware. Disattivare Permanentemente il D+: se il D+ disabilitato lo avete sempre a disposizione, in questo caso se vorrete usare il D+ dovrete reinstallarlo.23
Crea regole per applicazioni sicure: se scelta l'opzione allora il D+ creer automaticamente regole per le applicazioni sicure e le mostrer in Policy di Sicurezza del Computer. Sono sicuri gli applicativi firmati da chi in Produttori Software Fidati, tutte le applicazioni in File Potetti , quelle che Comodo ha internamente come Master List di produttori fidati e che poi aggiorna ad ogni versione sui nostri pc. Scegliete lopzione solo se il numero di avvisi vi sembra eccessivo. Non mostrare gli avvisi: in questo caso il d+ attivo ma non da popup, si pu scegliere se il Defense debba acconsentire tutto o bloccare tutto. Abilit la modalit di protezione avanzata: novit della versione 5.8, sinceramente non hanno spiegato a cosa serva ma solo che aiuta i sistemi a 64bit ad essere protetti quasi quanto quelli a 32bit, quindi da attivare (a default non lo ) per chi ha windows 64bit, mentre per chi a 32 direi lasciate disattivato. Se notaste problemi disabilitatelo.
o
Impostazioni Controllo Esecuzione: consente al D+ di controllare l'hash degli eseguibili prima che vengano caricati, li confronta con la sua lista interna di software sicuri per evitare che quell'exe sia diverso, sia stato manipolato. Deve restare abilitato.
24
Le altre opzioni presenti sono:
Tratta i file non riconosciuti come: diciamo a CIS come comportarsi con i file che non vengono riconosciuti dal Controllo Esecuzione. Le scelte possibili vanno dal valore di default "Parzialmente Limitato" fino al Blocco totale, le sfumature tra questi stati sono spiegati nel prossimo post sulla Sandbox visto che sono gli stessi. A default un programma sconosciuto riesce a girare al 90% delle sue capiacit, avendo precluso solo il poter modificare i valori di registro protetti, su blocca invece il programma non si avvia non avendo alcun permesso. Io consiglio di provare a tenere il valore su Bloccato ma in questo caso dovete ricordarvi che ogni nuovo eseguibile beta, sperimentale, poco conosciuto verr bloccato da CIS dandovi un messaggio analogo a quello della immagine 1 sotto. Per sbloccare il file se siete sicuri della sua bont dovete agire come nella sezione 2 dell'immagine stessa.
Se si utilizza questo metodo io francamente non vedo la necessit di tenere la SandBox su Blocca per esempio, i due sistemi di protezione vanno a sovrapporsi, in questo caso disabiliterei la SB, ed utlizzerei questa funzione di, passatemi il termine, Hash Blocker che trovo molto valida.
Effettua una analisi euristica da riga di comando: controlla il comportamento di certi script visual basic o java quali wscript.exe, cmd.exe, java.exe, javaw.exe. Tenetela attiva. Effettua una analisi del comportamento Cloud Based per i file non riconosciuti: gli elementi presenti nella sezione File non Riconosciuti vengono inviati ai server del Comodo Instant Malware Analysis (CIMA) per una analisi del loro comportamento; vengono studiati su una macchina25
virtuale e il responso rispedito al nostro pc entro 15 minuti. Se risulta sicuro allora pu eseguirsi, se malevolo invece verr eliminato e inserito nelle firme virali dellAntivirus. Quel famosi setup di Returnil di cui allavviso a inizio post stato analizzato ed essendo sicuro ora non pi presente nella lista dei non riconosciuti ma stato spostato autonomamente in Regole D+ con una policy personalizzata. Attivate lopzione. Solo chi ha una internet a consumo (Internet Key) deve disattivarlo o finir presto il credito. Ecco di seguito un avviso scaturito da questo controllo in Cloud:
Scansiona automaticamente in Cloud i file non riconosciuti: gli elementi presenti in File non Riconosciuti vengono inviati automaticamente a Comodo per controllare sulla Master List presente su server se quel programma ora nella white list dei sicuri o no. Se presente il prodotto sicuro e CIS si comporter di conseguenza, se non presente CIS attender il verdetto del CIMA di cui alla opzione precedente. Attivate lopzione. Solo chi ha una internet a consumo (Internet Key) deve disattivarlo. Rileva attacchi di tipo Shellcode Injection: controlla gli eseguibili presenti anche nella cache proteggendo dal c.d. Buffer Overflow ovvero un eseguibile che impegna la cache cos tanto da bloccare il pc ed usare questo momento di difficolt per iniettare virus nel sistema. Possiamo escludere certi file da questo controllo volendo. Tenetelo abilitato.
o o
Parametri Sandbox: ne parleremo nel prossimo post.
Aree di Controllo: controllate che tutte le arre siano selezionate, cosa che fatta di default se siete in Proactive Security ma meglio assicurarcene. Policy di Sicurezza del Computer: ci permette di modificare, aggiungere, cancellare o aggiornare le regole fatte per il nostro Hips sulle singole applicazioni del pc. Alcune applicazioni di sistema sono gi state preimpostate da Comodo come per esempio gli update Microsoft che sono trattati di default come Installazione o Aggiornamento per evitarci molti pop-up in futuro.
26
A. Regole Defense+: nella tabella sono presenti i programmi monitorati e come vengono trattati dallHips. Cliccando in una delle applicazioni presenti in elenco andiamo a modificare il comportamento del D+ nei suoi confronti.
a. Usa Policy Predefinita tra quelle presenti nel men a tendina. Nel caso in figura essendo Prevx un prodotto di sicurezza potremmo anche trattarlo come Applicazione Sicura, in quel caso il D+ non ci informer pi con avvisi a video per ogni azione svolta dal programma antimalware considerandolo sicuro. b. Usa Policy Personalizzata si compone di 2 specchietti specifici. In Diritti di Accesso si imposta come D+ dovr comportarsi circa lazione richiamata a destra della tabella (chiedi, blocca, acconsenti) ed impostare anche una27
eccezione specifica. In Impostazioni di Protezione si determina invece se si vuole proteggere o meno lapplicazione nei confronti di determinate azioni svolte su di lei da altri processi
Personalizzare le Policy comunque cosa riservata ai soli utenti esperti, le impostazioni predefinite che il D+ ci offre sono quelle ideali per praticamente tutti gli utenti e tutti gli eventi.
B. Policy Predefinite: sono quelle che possiamo andare a scegliere nel men a tendina degli avvisi a video. Quelle preconfigurate da CIS sono le pi comuni e coprono il 99% dei casi:
Applicazione Sicura: in questo caso il D+ lascer l'applicazione libera di agire sul nostro sistema limitando i pop-up al solo caso in cui questa applicazione vada a lanciarne un'altra . Da settare se volete solo per i programmi davvero attendibili come per esempio i programmi di sicurezza (a patto di averli scaricati dal sito del produttore). Applicazione di Sistema: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense rester muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema pericoloso e sbagliato. Applicazione Isolata: praticamente un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc. Applicazione Limitata: per monitorare una applicazione di cui nutriamo dubbi. Praticamente blocca alcune azioni (tipicamente gli accessi al registro) e per altre chiede all'utente se consentirli. Installazione o Aggiornamento: curiosamente non presente in lista ma comunque sempre la prima opzione presente nei pop-up. Poich come28
abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup. Non modificabile e per questo non nominata qui Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere per mai il Ricorda se si sceglie questa modalit.
Ovviamente si possono creare regole personali andando ad aggiungerle ma sono comunque cose riservate ad utenti esperti e che esulano dalla finalit di questa guida. C. Sandboxa Sempre: ne parleremo nel prossimo post. D. File Bloccati: possibile aggiungere file o cartelle in questa sezione, cos il Defense bloccher ogni azione che vorranno intraprendere. Attenzione al tasto Elimina File perch lo cancella dal sistema. E. File e Cartelle Protette: elenco dei file e cartelle di sistema che sono monitorate dal D+. Possiamo aggiungerne di nuove (come per esempio il file host (c:\windows\system32\drivers\etc\hosts) , le altre applicazioni possono leggere quel file ma e se vogliono modificarlo allora avremo un avviso da parte del D+. F. Chiavi di Registro Protette: idem come sopra ma relativo al registro di sistema. Aggiunte o modifiche sono riservate ad utenti molto esperti. G. Interfacce COM Protette: :le COM (Component Object Model) sono modelli comportamentali creati da Microsoft per stabilire come le applicazioni devono interagire tra loro. Qui possiamo aggiungere singole COM o gruppi. Settaggi che lasciamo ai super-esperti. H. Autori Software Fidati: ecco la lista dei produttori conosciuti e fidati, possiamo andare ad aggiungerne altri e rimpolparla, ovviamente dovete avere certezza che sia davvero safe. Eccoci al consiglio di configurazione: A default: il Defense su "PC Pulito" HARDENING OBBLIGATORIO:
passare a Sicuro: se mettete il Blocco alle richieste quando CIS chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perch a CIS disattivato quel tale programma non funziona; Crea regole per applicazioni sicure non selezionato; per chi pratico di CIS valutare anche il passaggio successivamente alla modalit Paranoico.
Come diminuire gli avvisi ? Rimanendo in "Sicuro" selezionate "Crea regole per applicazioni sicure".29
Vai allInizio
SANDBOXEccoci ad una funzionalit inglobata nel Defense + molto utile, la SANDBOX . Si tratta di un recinto, un ambiente virtuale dove poter far giocare un applicazione per studiarne le azioni senza che possa intaccare il sistema operativo (File System e Registro). Questa virtualizzazione pu essere fatta con programmi appositi quali ad esempio Sandboxie o Returnil ma la SB di CIS che ha per una funzionalit unica, infatti alla virtualizzazione del file system e del registro affianca privilegi ridotti per l'applicazione recintata. Il programma cos sandboxato andr a leggere e scrivere su un registro o su cartelle che sono in realt virtuali, replica di quelle reali senza in alcun modo poter intaccare il nostro sistema. Vediamo ora come di consueto l'avviso dell'applicazione per poterlo interpretare, anche se devo dirvi che difficile incontrare questo popup, molto pi facile vedere quello del D+ con il tastino per sandboxare lapplicazione che abbiamo visto allinizio del post precedente e che per rinfrescarvi la memoria riporto nella stessa figura:
A: chi origina l'allerta Comodo Sandbox anche se non vi scritto, l'avviso facilmente distinguibile da quelli del FW e del D+ poich ha dimensioni diverse, inoltre riporta la scritta "Applicazione Isolata". B: il nome dell'applicazione che ha generato l'avviso ed il perch (risulta sconosciuto nella lista Comodo di autori fidati), oltre al cosa viene fatto ovvero che stata sandboxata girando nel pc con diritti di "Non Sicuro" . Cis ha scelto questa regola poich al momento del popup era cos settato da me in Impostazioni Controllo Esecuzione Tratta File Non Riconosciuto come . (lo vedremo nel proseguo del post, tranquilli) C: Se clicchiamo la voce a destra "Non isolarlo nuovamente" allora CIS rimuover la voce dai File Non Riconosciuti dove CIS la ha appena messa per trasferirla in File Sicuri ed eseguirla fuori dal30
recinto. Prima di cliccare quella opzione occorre veramente essere super sicuri che sia un programma 100% legittimo. L'avviso della Sandbox che ci informa di aver isolato un file un popup particolare poich rispetto agli avvisi del D+ o del FW qu c' solo la possibilit di dirgli di non isolare l'applicazione, nessun consenti, rifiuta, annulla, diciamo una presa di fatto, ci mette a conoscenza che quel file sospetto quindi lo virtualizza. L'argomento Sandbox abbastanza tecnico, anche troppo, ed ho quindi preferito proporvelo in forma di domanda e risposta, mi sembra che cos lo si possa trattare in forma pi chiara e leggera. Ricordatevi l'immagine sopra con i suoi 2 file "SIW.exe" e "Returnil" perch nel proseguo li richiameremo varie volte.
Quando CIS fa girare un programma recintato? Quando chi ha firmato l'applicazione non si trova nella lista Autori Software Fidati e non stata inserita dall'utente tra i File Sicuri o L'utente non acconsente a dare al file privilegi elevati e clicca il tasto Sandbox(era l'avviso visto per il D+) o Lutente manualmente dice a CIS recintare il fileo
Cosa succede al programma che CIS ha isolato? Se il file si trova nella sandbox perch, come visto sopra, risulta sconosciuto a CIS allora di default viene messo in "File non Riconosciuti" e da li possiamo controllare se nel mentre stato inserito nella "Master List" che la lista sempre in aggiornamento presente sui loro server, se l'esito negativo allora possiamo, anzi dobbiamo, inviarlo a Comodo perch lo analizzino. Una volta controllato dai loro tecnici (dicono che lo fanno entro 15 minuti) se nocivo allora viene aggiunto nelle firme dell'AV, se sicuro viene inserito nella "Master List" a livello server (che in futuro passeranno sui nostri singoli pc) e anche spostato in automatico in "File Sicuri". Vediamo dalle immagini cosa succede al nostro caro compagno di viaggio, il file "SIW.exe":
31
E se all'avviso Sandbox diciamo di non isolarlo (SIW.exe) o a quello D+ consentiamo l'accesso illimitato (Returnil)? Se a due tipi di pop-up diamo istruzioni a CIS di eseguire quell'applicazione fuori dalla sandbox allora immediatamente Comodo la inserisce in "File Sicuri" del Defense+. Infatti ad esempio nell'immagine sotto quel famoso setup Returnil che stato analizzato in remoto e giudicato sicuro si trova proprio l.
Come si vede se e come attiva la recinzione? Pu essere attivata o disattivata a vostro piacere; tutto si setta da Impostazioni Defense+ andando nella scheda Parametri Sandbox
32
Inoltre si pu fare in modo che di default siano attive o meno tutte queste altre caratteristiche:o
Abilita Virtualizzazione Sistema: Cis crea un file system virtuale dove poter analizzare lapplicazione senza che questa possa interagire con quello reale. Abilita Virtualizzazione Registro: Cis crea un registro virtuale dove lapplicazione va a scrivere le sue voci, il registro reale non viene minimamente intaccato. Automaticamente rileva installazioni / aggiornamenti ed avviali fuori dalla Sandbox: se la indicate allora tramite euristica CIS eseguir tutti gli eseguibili e setup fuori dalla Sandbox. Praticamente se abilitate questa scelta la SB non la vedrete praticamente mai allopera o quasi. Consiglio quindi di non indicarla e di farlo solo se il numero di applicazioni sandboxate sul pc (perch non riconosciute) notevole o se incontrate difficolt nelleseguire il programma da recintato. Automaticamente autorizza file di installazioni sicure: con questa scelta se il setup o installer sicuro allora anche i file da esso derivati non saranno sandboxati. Mostra notifiche per i programmi avviati automaticamente nella Sandbox: per poter vedere lavviso di Sandbox (quello a inizio del post). Se non lo si sceglie allora non verremo avvisati che un programma gira recintato e poi magari perdiamo33
o
o
o
o
unora a capire perch non funziona correttamente, quindi meglio indicare lopzione. Quali sono i livelli di restrizione con cui le applicazioni girano virtualizzate sul pc ? I livelli di restrizione sono 5 e li si vede da Impostazioni Defense+ andando nella scheda Impostazioni Controllo Esecuzione:
o
PARZIALMENTE LIMITATO: lapplicazione pu accedere ai file del sistema operativo e ad alcune risorse. Non pu modificare file protetti o chiavi di registro, operazioni che richiedono privilegi quali il caricamento driver o modifica di altre applicazioni non permesso. LIMITATO: l'applicazione ha accesso solo ad alcune risorse di sistema, non pu eseguire pi i 10 processi alla volta, gira con privilegi di ACCOUNT LIMITATO. CIRCOSCRITTO: l'applicazione accede a poche risorse di sistema, per il resto tutto analogo a quanto detto sopra. NON SICURO: l'applicazione sandboxata non pu in alcun modo accedere a risorse del sistema (RAM, CPU), non pu eseguire pi di 10 processi alla volta, ha diritti di accesso super limitati. E' un livello cos stringente in termini di permessi che molte applicazioni cos limitate non funzionerebbero. BLOCCATO: il file non pu essere eseguito, bloccato.34
o
o
o
o
Oltre ai livelli di restrizione che vengono dati alle applicazioni sandboxate, anche il D+ nei loro confronti si setta in modo da bloccare in automatico: accessi in memoria nei confronti di applicazioni non recintate; accessi ad Interfacce COM protette; keylog e catture schermo; hooks; modificare chiavi di registro protette (se la virtualizzazione del registro disattivata); o modificare file protetti gi esistenti (se la virtualizzazione del file system disattivata).o o o o o
Ma la virtualizzazione funziona ? Malfidati !!! Certo che funziona!! Ok, non mi credete e ne volete la prova ehhh .. Bene, andiamo ad aprire il nostro caro amico SIW.exe e vediamo che succede. Vi ricordo che sandboxato con livello di restrizione "Non Sicuro" un livello molto stringente, praticamente in un recinto stretto stretto, vediamo se esce o resta ingabbiato:
35
Fosse sandboxato con un livello meno restrittivo allora probabilmente potrebbe girare sul pc normalmente ma comunque se recintato andrebbe a scrivere e ad interfacciarsi su un sistema virtuale, non su quello reale.
Come posso manualmente far partire una volta sola una applicazione come recintata ? Lo si fa comodamente da taso destro del mouse sulla stessa, basta sia un file exe o un setup, nel men contestuale apparir la voce Avvia in Comodo Sandbox Si pu comunque farlo dalla finestra principale del D+ cliccando su Avvia un Programma nella Sandbox, si aprir una tabella in cui andare a cercare lapplicazione da recintare. Cliccando il pulsante Avvia si sceglie anche con quale livello di restrizione avviarlo.
E se voglio che quel file parta non una volta ma sempre virtualizzato ? Si va alla tabella Defense+ Policy di Sicurezza del Computer Sandboxa Sempre e si aggiunge il programma, occorre settare il livello di restrizione ed anche opzioni avanzate quale i limiti di memoria e le virtualizzazioni del file system e del registro.
Attenzione !!! Esiste come appena detto la virtualizzazione in Sandboxa Sempre e la virtualizzazione in Impostazioni Defense+ - Parametri Sandbox ed questultima ad avere la priorit ecco sotto lo specchietto che illustra la virtualizzazione se attiva o meno relativamente ad una specifico programma che stato inserito in Sandboxa Sempre.
Consiglio di lasciare la virtualizzazione attiva in Parametri Sandbox e poi di settarla diversamente36
sulle singole applicazione se volete, solo cos infatti avrete certezza di non trovarvi brutte sorprese. Disattivare la Sandbox: una funzionalit abbastanza particolare e complessa che inevitabilmente potrebbe dare problemi in configurazioni particolari e quindi vediamo come disabilitarla se avete dei problemi. Andate in Defense+ - Impostazioni Defense+ Parametri Sandbox e portate il livello su disabilitato e date OK o pi semplicemente dall'icona di CIS nella tray fate tasto destro poi Livello Sicurezza Sandbox e cliccate su Disabilitato. Clicca qui per come Sandboxare i Browser by arnyreny (fine documento) MODALITA GIOCO Esiste in CIS una modalit gioco che permette ai gamers di poter giocare tranquillamente anche in rete senza doversi preoccupare degli avvisi di CIS. Anticamente ci si faceva mettendo in modalit Apprendimento il FW ma poi vi erano anche gli avvisi del D+ e gli aggiornamenti ellantivirus, era tutto da settare a mano e poi si correva il rischio di dimenticarsi attivo questo settaggio troppo permissivo anche quando si era finito di giocare. Comodo ha quindi risolto il problema creando questo Game Mode. Lo si seleziona facilmente dallicona della tray come in figura:
Una volta che attivo pensa lui in automatico a settare la suite al fine di consentirvi di giocare in tranquillit e pi precisamente:
Firewall: in Apprendimento, quindi non avete popup; Defense+: in Apprendimento, quindi non avete avvisi; Antivirus: laggiornamento firme e la scansione programmata sono posticipate fino alluscita dalla modalit gioco; il Real-time comunque pienamente funzionante (se si usa lAv di CIS ovvio); Sandbox: i file sconosciuti sono comunque isolati (se si usa la Sandbox).
Notate che durante il Game Mode lo scudo a destra nella GUI principale di CIS di colore azzurro e Comodo ci avverte che tutti i sistemi sono in Modalit Gioco.
37
Una volta finito di giocare per ritornare alla configurazione usuale basta cliccare il tasto Spegni nella finestra principale oppure ancora su Modalit Gioco del men nella tray, tutto molto semplice e pratico. Buon divertimento !!
38
Vai allInizio
ANTIVIRUSMancano ancora delle opzioni presenti nei concorrenti ma non sicuramente un prodotto scarso ed ha il pregio di integrarsi nella suite e di pesare davvero poco. Inoltre GRATUITO anche per uso commerciale e l di alternative gratuite superiori a questa non ne vedo. Per l'utenza privata con un pc potente le alternative certo non mancano e di grande livello ma comunque l'idea di usarlo non da scartare, purtroppo la vera incognita la mancanza di un test decente e questo ne frena sicuramente l'uso. E' possibile anche installare il solo AV (con D+ compreso) senza il Firewall ma un azione davvero strana e che non ho preso in considerazione in questa guida gi lunga di suo. Vediamo per prima cosa come interpretare gli avvisi:
Le possibilit sono le stesse comunemente presenti negli AV ovvero intervenire Cancellando la minaccia sia in modo definitivo che inserendola in quarantena nel caso volessimo attendere e studiare il problema.
39
Possiamo anche ignorare l'avviso e in questo caso dobbiamo scegliere tra acconsentire una volta, aggiungere il file nella lista File Sicuri, inviarlo a Comodo come Falso Positivo, aggiungerlo alle esclusioni in modo che non si ripetano avvisi in realtime e anche in scansione. Se siamo sicuri sia un Falso Positivo sempre bene inviarlo a Comodo per aiutarli a far crescere il prodotto, loro lo analizzeranno e se ritenuto effettivamente un FP allora al prossimo aggiornamento firme quella minaccia non sar pi presente poich in realt file legittimo. Comodo AntiVirus presente nel men contestuale tasto destro del mouse per permettere agevolmente di scansionare quel determinato elemento selezionato, sia esso un file, una cartella o un intero disco. L'antivirus si aggiorna da solo contattando in autonomia i server Comodo una volta ogni 30 minuti circa. Qui trovate la definizione dei virus e il DataBase da scaricare qualora aveste dei problemi di aggiornamento. In quella pagina c' anche il link alla guida per aggiornare CAV dal database offline. Se avete una internet a consumo (chiavetta internet) allora meglio scaricare i DB da una linea flat e poi fare il travaso per salvaguardare il vostro portafoglio. Ora passiamo brevemente alla analisi delle sue funzioni :
Fai una Scansione: da qui possibile fare le scansioni a comando. Di default sono presenti 3 opzioni preconfigurate:40
1. Mio Computer: scansiona tutti gli HD presenti sul pc, se volete scansionare solo C o singole partizioni allora create una scansione dallapposito tasto e inseriteli. 2. Aree Critiche: scansiona solo le aree pi critiche dove solitamente i virus vanno ad agire, ovvero la cartella Programmi e quella Windows del sistema operativo. Corrisponde ad una scansione veloce in altri AV o denominazioni simili. 3. Spyware Scan: scansiona iI Registro di Windows ed il File System alla ricerca di infezioni da spyware. Utile per un controllo su sistemi che si sa essere gi infetti o dopo la rimozione di un virus per controllare non vi siano residui.
Aggiorna database Virus: cliccandoci si avvier il download delle firme virus manualmente. Elementi in Quarantena: qui si vede la quarantena file, si possono aggiungere manualmente file, cancellare un singolo file ivi presente dal sistema, ripristinare gli elementi nel sistema operativo, svuotare la quarantena che corrisponde ad eliminare definitivamente tutti gli elementi dal sistema, inviare i file a Comodo per analisi. Ricordo che una volta in quarantena il file totalmente innocuo perch criptato. Eventi Antivirus: da qui si vedono le azioni svolte dall'AV. Tra le voci selezionabili, una volta cliccato su "Altro" compare anche quella per vedere se l'aggiornamento riuscito, si chiama "Compiti Avviati", da l potete controllare gli ultimi aggiornamenti che CIS ha fatto automaticamente.
41
Invia File Sospetti: con un comodo Explorer si possono inviare determinati file a Comodo per l'analisi. In alternativa potete uppare i file qui, utile anche se si volesse inviare loro campioni di malware, massimo 5 files e 10 mega in dimensione. Scansioni Programmate: di suo CIS impostato per fare una scansione settimanale di Domenica, potete modificarla, cancellarla e farne altre con cadenza differente. Profili di Scansione: qui trovate i profili gi visti in Fai una Scansione. Si possono modificare o inserirne altri. Impostazioni Antivirus: la finestra pi importante, qui si impostano le funzionalit avanzate dell'AV. Nella tab Esclusioni ci sono i file che a seguito di un pop-up abbiamo detto di escludere dal controllo e altri che a mano potete inserire. Occhio !!! Di default tutto impostato su "Basso"
HARDENING: consiglio di modificare come da figura le impostazioni.
Realtime, Scansione Manuale e Programmata tutti con euristica ALTA e pazienza se ci saranno dei Falsi Positivi, all'avviso daremo istruzione di mettere in quarantena poi andiamo con calma ad analizzare il file incriminato su VirusTotal. In Scansione Manuale e Programmata vi una opzione Cloud che analizza sui server Comodo i file dubbi, ideale per proteggersi dai virus zero day ovvero non ancora presenti tra le firme virali. Chi ha una internet a consumo (tipico delle internet key) meglio non abiliti questa funzione o42
rischia di esaurire il traffico dati in breve tempo, idem per l'invio dei file sconosciuti a Comodo. Fondamentale anche abilitare la scansione rootkit. Cosa la Scansione Real-Time Ottimizzata? E una feature interessantissima che porta il RealTime a controllare solo i file che non ha controllato in precedenza, pi precisamente scansiona solo i file che non sono stati controllati a partire dall'ultimo update di firme virali. Ci permette di limitare gli accessi al disco e il consumo di risorse tipiche invece della funzione Real-Time standard. Se scegliete Completo allora corrisponder al real-time dei classici AV con controllo di tutti i file prima della loro apertura.
43
Vai allInizio
ALTRONella scheda Altro si trovano importanti funzioni di supporto che ora andremo ad analizzare soffermandoci sulle principali:
Impostazioni: da qui si possono decidere cose futili come l'animazione della icona nella tray o i temi (ve ne sono disponibili 6 differenti), e cose importanti come l'aggiornamento automatico o la rilevazione di nuove reti private. Vi consiglio di navigare le varie schede di cui si compone e vedere se dovete cambiare qualche impostazione come per esempio settare un Proxy.. Gestisci le mie configurazioni: sicuramente la funzione pi usata tra quelle della sezione Altro. Ci permette di esportare e importare le nostre configurazioni in modo da non dover partire da zero ad ogni aggiornamento di versione. Da qui si possono attivare le varie configurazioni di sicurezza (se avete seguito il consiglio siete in Proactive Security), cancellarne una, esportare la configurazione (CIS esporta solo quella attiva in quel momento), importare una configurazione precedentemente salvata. Consiglio ogni tanto di farsi una copia di backup della configurazione, la si salva tramite il tasto Esporta e la si carica tramite Importa.
44
Diagnostica: se incontrate dei problemi e strani errori di CIS allora fate girare questo tool, non ha mai risolto molto ma..meglio tentare prima di dover disinstallare il programma. Controlla Aggiornamenti: se in Preferenze - Generali selezionata la ricerca automatica di aggiornamenti qui non entrerete mai, utile invece per chi gli aggiornamenti vuole controllarli manualmente. Consulta il Forum di Supporto: vi direziona al forum ufficiale dove una volta registrati potrete chiedere aiuto. Aiuto: apre l'Help del programma in inglese. A differenza di tanti altri questo davvero ben fatto e completo. Se qualcosa qui non vi chiaro consultate questo e avrete sicuramente la risposta che cercate. Informazioni Su: ci informa sulla versione di CIS che possediamo e sul DataBase dei virus (se attivato).
45
Vai allInizio
DISINSTALLAZIONE CIS 5In Start- Programmi - COMODO - Comodo Internet Security trovate il suo disinstallatore proprietario. Una valida alternativa quella di usare Revo Uninstall Free che non ha mai tradito il sottoscritto. Se invece per qualche ragione lo dovete disinstallare per poi reinstallarlo allora oltre quanto detto il caso di fare anche pulizia del registro con CCleaner che abbastanza cautelativo e quindi non ha mai causato danni, poi riavviare il pc e reinstallare. Attenzione !!! Come tutti i programmi di sicurezza prima di disinstallarlo va chiuso !!! Basta andare sull'icona nella tray e cliccare su "Esci" Per disinstallare o installare l'AV senza dover renstallare tutta la suite vi basta far partire il disinstallatore di Comodo come detto sopra e scegliere "Change" e poi nella successiva schermata "Product Selection" togliere la spunta a "Install Comodo Antivirus" per disinstallarlo o mettere la spunta se volete utilizzarlo. Siamo arrivati alla fine, non mi resta altro che dirvi buon CIS !!!!
46
Vai allInizio
REGOLE FIREWALL DEFINITE DALL'UTENTEAbbiamo visto come Comodo ci dia alcune regole gi confezionate ma noi abbiamo anche altre esigenze sul nostro pc come per esempio avere programmi P2P, Messenger, Skype e altro. Se non riavviate CIS una volta fatte le regole pu essere che non siano presenti subito tra le scelte possibili nell'avviso del FW quando lanciate l'applicazione relativa, ecco cosa fare. Qui vediamo come creare e regole giuste in queste situazioni, con lo stesso procedimento potrete poi crearne altre a volont; praticamente restringiamo un po' il campo di azione di alcuni programmi per evitare troppe intrusioni senza per limitare la performance in download e upload. Per gli sfaticoni ho creato il FILE con le regole Firewall Preconfigurate per un buon numero di applicazioni, se invece volete fare a mano come si sempre fatto o usate programmi che io non ho inserito nel file allora pi sotto trovate le istruzioni singole.
FILE PRECONFIGURATOREGOLE SINGOLE IMPORTANTE !!!! Per non farvi fare il lavoro due volte vi ricordo che affinch CIS prenda le regole che impostiamo occorre cliccare su i vari pulsanti Applica e OK che appaiono in basso in ogni finestra, diversamente le regole non vendono attuate. OPERAZIONI PRELIMINARI: 1. Eseguite la Procedura Invisibilit Porte scegliendo la seconda opzione; 2. Andate in Impostazioni di Comportamento del Firewall Scheda Avanzate e disattivate l'opzione Blocca Datagrammi IP Frammentati e scegliete al suo posto Analizza i Protocolli; 3. Impostate un IP statico sul pc ed aprite le porte del router, per come fare guardate qui, ci sono sia le istruzioni per creare Ip statici che per aprire le porte in decine di router, seguitele!! Fatte queste azioni ora siamo pronti a configurare i vari programmi P2P. Tenete presente che i router in commercio sono tantissimi ed a volte occorre fare regole leggermente differenti o integrarle come succede per esempio nel caso dei router Fritz.Box dove occorre inserire questa regola per non essere sommersi di connessioni bloccate. Vale solo per quei router ehh non applicatela ad altri. Importante!! Se non avete ID alto in Emule o Torrent, prima di chiedere aiuto provate brevemente con CIS chiuso, se avete ID basso ugualmente, non colpa di COMODO ma del vostro router settato male o del vostro operatore.
Continua47
ISTRUZIONI DI BASE PER CREARE LE REGOLEPer creare una Nuova Policy Predefinita andate in: Firewall Policy Sicurezza Network Policy Predefinite e cliccate Aggiungi Per creare un Nuovo Set di porte andate in: Firewall Policy Sicurezza Network Set di porte e cliccate Aggiungi-> Nuovo gruppo Per creare una Nuova Zona Network: Firewall -> Policy Sicurezza Network -> Zone Network e cliccate su Aggiungi-> Nuova ZN
ELENCO REGOLE ELEMENTI DI SISTEMA: Chi ha un modem 56K by Romagnolo1973 System (pc in LAN senza condivisione) by bender8858 System (pc in LAN con condivisione) by bender8858DNS DHCP Windows Update by bender8858
ELENCO REGOLE DELLE APPLICAZIONI: eMule by Romagnolo1973 Torrent e altri P2P by Romagnolo1973 Windows Live Messenger 2011 by Romagnolo1973 Windows Media Player by Romagnolo1973 Skype by Romagnolo1973 MIRC by Romagnolo1973 Mozilla Thunderbird by luke1983 Filezilla by luke1983 BOINC by luke1983 cFosspeed by luke1983Games For Windows Live by luke1983 (non definitive) Steam by luke1983 aMSN by Perseverance Yahoo Messenger by luke1983 (non definitive)
48
Vai allInizio
REGOLE PER CHI USA UN MODEM 56KSe avete un modem che va in internet direttamente senza possedere un router, si tratta penso di pochissime persone, comunque in questo caso occorre proteggere alcune porte che in passato sono state oggetto di attacchi. Chi ha un router NON deve intervenire creando queste regole. Set di porte: Porte Modem 56K Da 135 a 139 445 500 Firewall > Policy Sicurezza Network > Scegliete la scheda Regole Globali e poi Aggiungi Regola 1 Azione = Blocca con il flag su Registra l'evento nel Log Protocollo = TCP o UDP Direzione = in Entrata Descrizione = Regole Modem Indirizzo di Origine = Qualsiasi Indirizzo di destinazione = Qualsiasi Porta di origine = Qualsiasi Porta di destinazione = Set di Porte Porte Modem 56K Ora premete su Applica, a questo punto avete creato la regola e la vedete tra le Regole Globali. Fatto il tutto ora spostate la regola, che al momento in basso, in cima alla lista usando il tasto Sposta Su e date OK altrimenti non prende il lavoro fatto. Rientrate in quella tabella per vedere che effettivamente sia stato memorizzato ed ecco che avete creato le vostre prime regole, bravi !!!
49
Vai allIndice delle Applicazioni
SYSTEM (PC in LAN senza condivisione)Set di porte: Porte System Da 137 a 138 Regola 1 Azione = Consenti Protocollo = UDP Direzione = In uscita Descrizione = chiacchere porta 137 e 138 Indirizzo sorgente = Zona -> Local Area Network #1 Indirizzo destinazione = Zona -> Local Area Network #1 Porta sorgente = Set di Porte -> Porte System Porta di destinazione = Set di Porte -> Porte System Regola 2 Azione = Consenti Protocollo = IP Direzione = In uscita Descrizione = IGMP Indirizzo sorgente = qualsiasi Indirizzo di destinazione = 224.0.0.22 Dettagli IP = IGMP Regola 3 Azione = Blocca (registra evento nel log) Protocollo = IP Direzione = In/out Descrizione = Blocca e registra le richieste che non corrispondono indirizzo di origine= qualsiasi indirizzo di destinazione qualsiasi Dettagli IP = qualsiasi
Se avete un solo pc collegato ad internet tramite ad esempio un modem, potete trattare system come applcazione bloccata.
50
Vai allIndice delle Applicazioni
SYSTEM (PC in LAN con condivisione)Dopo aver spuntato la prima opzione al riconoscimento della rete locale, alla voce system troveremo le regole predefinite create automaticamente da comodo. Sotto di esse aggiungiamo la regola di blocco: Regola Azione = Blocca (registra evento nel log) Protocollo = IP Direzione= In/out Descrizione = Blocca e registra le richieste che non corrispondono idirizzo di origine= qualsiasi indirizzo di destinazione= qualsiasi Dettagli IP = qualsiasi
51
Vai allIndice delle Applicazioni
DNS DHCP Windows UpdateRegole per i server DNS che NON stanno sul router Zona Network: Zona DNS DNS Primario xxx.xxx.xxx.xxx DNS Secondario xxx.xxx.xxx.xxx Regola DNS non centralizzati Azione: Consenti Protocollo: TCP o UDP Direzione: In uscita Descrizione: server DNS Indirizzo sorgente: qualsiasi Indirizzo destinazione: Zona network -> Zona DNS Porta di destinazione: 53 ----------------------------------------------------------------------------------------------------------------------------------Regole per i server DNS che stanno sul router Se usate dei DNS centralizzati sul router, avrete 1 solo indirizzo corrispondente a quello del router. Quindi usate questa regola: Regola DNS centralizzati Azione: Consenti Protocollo: TCP o UDP Direzione: In uscita Descrizione: server DNS Indirizzo sorgente: qualsiasi Indirizzo destinazione: indirizzo del router Porta di destinazione: 53 ----------------------------------------------------------------------------------------------------------------------------------Regola per DHCP Se avete il DHCP abilitato (potete vedere se abilitato eseguendo il comando ipconfig /all nel prompt dei comandi), aggiungete la seguente regola: Regola DHCP Azione = Consenti Protocollo = UDP Direzione = In uscita Descrizione = DHCP Indirizzo sorgente = 0.0.0.0 Indirizzo destinazione = 255.255.255.255 Porta sorgente = 68 Porta di destinazione = 67 ----------------------------------------------------------------------------------------------------------------------------------52
Continua Regole per windows update (svchost.exe) Regola 1 Azione = Permetti Protocollo = TCP o UDP Direzione = In uscita Descrizione = svchost update Indirizzo sorgente = qualsiasi Indirizzo destinazione = qualsiasi Porta sorgente = qualsiasi Porta di destinazione = Set di porte -> Porte HTTP Regola 2 Azione = Blocca (registra evento nel log) Protocollo = IP Direzione= In/out Descrizione = Blocca e registra le richieste che non corrispondono idirizzo di origine= qualsiasi indirizzo di destinazione= qualsiasi Dettagli IP = qualsiasi
53
Vai allIndice delle Applicazioni
EMULEControllate sul mulo quali porte avete di TCP e UDP e che queste siano fisse. Nome Policy: EMULE
Regola 1 Azione = Consenti Protocollo = TCP Direzione = in Entrata Descrizione = Regola Protocollo TCP in Entrata Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = la porta singola TCP del vostro emule
Regola 2 Azione = Consenti Protocollo = UDP Direzione = in Entrata Descrizione = Regola Protocollo UDP in Entrata Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = la porta singola UDP del vostro emule
Regola 3 Azione = Consenti Protocollo = TCP o UDP Direzione = in Uscita Descrizione = Regola Protocollo TCP o UDP in Uscita Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = Range di Porte Porte privilegiate(spuntate la casella Escludi)
Regola 4 (Valida per chi utilizza lupload dinamico USS con eMule) Azione = Consenti Protocollo = ICMP Direzione = in Uscita Descrizione = Ping ai server Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli ICMP = ICMP Echo Request54
Continua
Regola 5 (Valida solo per chi usa connessioni dirette ad esempio tramite modem a 56K) Azione = Consenti Protocollo = UDP Direzione = in Uscita Descrizione = Regola per gli aggiornamenti Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Server DNS (che trovate nei dettagli della connessione) Porta di Origine = porta singola UDP di emule Porta di Destinazione = porta singola 53
Regola 6 Azione = Chiedi (attivate lopzione Registra levento nel Log) Protocollo = TCP Direzione = in Uscita Descrizione = Regola Aggiornamenti Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = Porta singola 80
Regola 7 Azione = Blocca (attivate lopzione Registra levento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Blocca e registra tutte le richieste che non corrispondono Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
Ora avete creato le regole, date Applica e la regola EMULE si posizioner tra le Policy Predefinite, date ancora Applica a questa finestra perch venga effettivamente creata in CIS. Andate in Fw Policy Sicurezza Network Regole Applicazioni e se presente cancellate la veccia regola che avevate in uso precedentemente per emule, poi avviate emule e al pop-up del Firewall date un bel Tratta come EMULE e scegliete di ricordare la risposta, ora il CIS agir in base alle regole fatte e vi avvertir solo per quelle connessioni Tcp sulla porta 80 di cui ala regola 6 che impostata su chiedi e relativa agli aggiornamenti server o del programma.
55
Vai allIndice delle Applicazioni
TORRENT E ALTRI P2PFate le Operazioni Preliminari viste sopra e poi procedete come indicato: Nome Policy: TORRENT
Regola 1 Azione = Consenti Protocollo = TCP o UDP Direzione = in Entrata Descrizione = Regola Protocollo TCP o UDP in Entrata Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = la singola porta di Torrent Regola 2 Azione = Consenti Protocollo = TCP Direzione = in Uscita Descrizione = Regola Protocollo TCP in Uscita Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = Range di Porte Porte privilegiate(spuntate la casella Escludi)
Regola 3 Azione = Consenti Protocollo = UDP Direzione = in Uscita Descrizione = Regola Protocollo UDP in Uscita Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = la singola porta di Torrent Porta di Destinazione = Range di Porte Porte privilegiate(spuntate la casella Escludi)
Regola 4 Azione = Chiedi (attivate l'opzione Registra l'evento nel Log) Protocollo = "TCP o UDP" Direzione = in Uscita Descrizione = Regola Richieste HTTP Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = la singola porta 8056
Continua
Regola 5 Azione = Chiedi (attivate l'opzione Registra l'evento nel Log) Protocollo = "TCP o UDP" Direzione = in Uscita Descrizione = Regola Richieste HTTPS Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Range di Porte Porte privilegiate(spuntate la casella Escludi) Porta di Destinazione = la singola porta 443
Regola 6 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Blocca e registra tutte le richieste che non corrispondono Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
Nelle ultimissime vesioni UTorrent usa Teredo e IPV6 e veicola tutto il traffico da IPV6 a IPV4 via SVCHOST, quindi il numero di richieste nonostante le regole sono molte, occorre quindi o sopportare i popup e rispondere ok senza il ricorda oppure disabilitare teredo e IPV6 (che CIS supporter solo nel 2011). Per disabilitare Teredo apri il prompt dei comandi con diritti amministrativi, digita il comando seguente: >netsh >interface >teredo >set >state disabled Per disabilitare IPV6 8 volte f come qui detto: http://support.microsoft.com/kb/929852/it
57
Vai allIndice delle Applicazioni
WINDOWS LIVE MESSENGER 2011Il nuovo WLM nella sua edizione per il 2011 porta con se ben 3 processi incaricati del buon funzionamento del programma: 1. msnmsgr.exe 2. WLIDSVC.EXE 3. wlcomm.exe
Creazione Set di Porte: Andiamo in Policy Sicurezza Network e clicchiamo la scheda Set di Porte e da l il pulsante Aggiungi e Nuovo Gruppo Porte. Diamo a questo nuovo gruppo il nome WLM TCP & Skype Ports (servono dopo anche per Skype ecco il nome da dove deriva, potete anche chiamarle Pippo Pluto o Paperino ma cos pi chiaro) ora nel fondo della tabella apparso il nome di questa nuova famiglia, nella riga subito dopo appare la scritta aggiungi qui le porte ci clicchiamo e inseriamo la porta singola 80 e applichiamo, poi dal tasto in alto Aggiungi e Nuova Porta e inseriamo la 443 e fatto questo diamo OK.
Creazione Regole Potete fare 3 regole apposite in Policy Predefinite come visto per Emule o Torrent ed allavvio di messenger associarle ai relativi eseguibili quando compare il popup del Firewall, oppure dare una regola qualsiasi (pure di blocco) ma con il Ricorda e poi andare in Regole Applicazioni e modificarle come indicato di seguito mettendo ad una a una le regole . I due metodi si equivalgono, fate voi. Io qui mi riferisco al crearle in Policy Predefinite per semplicit. P.S.: La regola n. 1) per Messenger la stessa della versione 2009 quindi se la avete tra le regole usate quella. 1. Nome Policy = MESSENGER cliccate Aggiungi e inserite le seguenti regole
Regola 1 Azione = Consenti Protocollo = TCP Direzione = in Uscita Descrizione= Regola Login Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Set di Porte - WLM TCP & Skype Ports Continua58
Regola 2 Azione = Consenti Protocollo = TCP o UDP Direzione = in Uscita Descrizione = Trasferimento File Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Range di Porte Porte privilegiate(spuntate la casella Escludi)
Regola 3 Azione = Consenti Protocollo = UDP Direzione = in Uscita Descrizione = Rete di rilevamento Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = la singola porta 9
Regola 4 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Blocca e registra tutte le richieste che non corrispondono Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
2. Nome Policy = WLIDSVC.EXE cliccate Aggiungi e inserite le seguenti regole
Regola 1 Azione = Consenti Protocollo = TCP Direzione = in Uscita Descrizione= Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Set di Porte - WLM TCP & Skype Ports Continua59
Regola 2 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
3. Nome Policy = WLCOMM.EXE cliccate Aggiungi e inserite le seguenti regole
Regola 1 Azione = Consenti Protocollo = TCP o UDP Direzione = in Uscita Descrizione= Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Range di Porte -> Porte privilegiate(spuntate la casella Escludi)
Regola 2 Azione = Consenti Protocollo = TCP Direzione = in Uscita Descrizione= Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Set di Porte Porte HTTP
Regola 3 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
60
Vai allIndice delle Applicazioni
SKYPENome Policy = SKYPE cliccate Aggiungi e inserite le seguenti regole
Regola 1 Azione = Consenti Protocollo = TCP o UDP Direzione = in Uscita Descrizione = Regola per il login Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Set di Porte Porte HTTP
Regola 2 Azione = Consenti Protocollo = TCP o UDP Direzione = in Uscita Description = Trasferimento File Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Range di Porte -> Porte privilegiate(spuntate la casella "Escludi")
Regola 3 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Blocca e registra tutte le richieste che non corrispondono Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
Ora lanciamo il programma ed al solito avviso da parte del FW trattiamo l'applicazione come SKYPE e ricordiamo l'azione. Esiste anche un altro eseguibile di skype denominato SkypePM.exe, serve per associare a skype dei contenuti o funzioni extra per permettergli ad esempio di interfacciarsi con altri servizi Voip o giochini via skype o cose simili, insomma ... al 99% delle persone non serve, ecco come trattarlo: Se vi servisse proprio bene allora trattatelo come Skype lui stesso Se non vi serve allora risolviamo alla radice che poi salviamo anche qualche mega di ram occupata e lo disabilitiamo proprio. Vi basta aprire Skype ed andare in Strumenti - Opzioni - Avanzate Impostazioni Avanzate e da li togliere la spunta a "Avvia automaticamente il gestore degli Extra" e il gioco fatto, non si avvier pi in automatico. Potete cancellare la regola fatta per lui nel FW e se dovesse avviarsi per qualsiasi motivo CIS vi avviser.61
Vai allIndice delle Applicazioni
WINDOWS MEDIA PLAYEREssendo un po' impiccione qui lo teniamo sotto controllo con queste regole un poco pi restrittive anche se consiglio sempre di usare altri prodotti che non necessitano di codec, sono meglio e sono free (SPlayer, The Korean MediaPlayer, VLC, MediaPlayerClassic HD....) Set di porte: Porte MEDIAPLAYER - 80 - 443 - 1080 - 1755 - 3128 - da 8000 a 8001 - 8080 - 44080 Nome Policy: MEDIAPLAYER
Regola 1 Azione= Consenti Protocollo = TCP Direzione = in Uscita Descrizione = Regola generale Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Set di Porte Porte MEDIAPLAYER
Regola 2 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Blocca e registra tutte le richieste che non corrispondono Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
62
Vai allIndice delle Applicazioni
MIRCCreiamo un set di porte come visto in precedenza e che chiameremo MIRC TCP Ports e andremo ad aggiungervi la porta 113 singola, il range di porte da 6660 fino a 6669 e anche il range di porte da 1024 fino a 5000 Set di porte: Porte MIRC TCP - 113 - da 6660 a 6669 - da 1024 a 5000 Nome Policy: MIRC
Regola 1 Azione= Consenti Protocollo = TCP Direzione = in Uscita Descrizione = Regola Chat Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Porta di Origine = Qualsiasi Porta di Destinazione = Set di Porte Porte MIRC TCP
Regola 2 Azione = Blocca (attivate l'opzione Registra l'evento nel Log) Protocollo = IP Direzione = In/Out Descrizione = Blocca e registra tutte le richieste che non corrispondono Indirizzo di Origine = Qualsiasi Indirizzo di Destinazione = Qualsiasi Dettagli IP = Qualsiasi
63
Vai allIndice delle Applicazioni
MOZILLA THUNDERBIRDOltre alle regole indicate nella Policy predefinita di Comodo denominata "Email Client", Thunderbird ha bisogno di un'altra regola per connettersi ad internet. Una porta per caricare il contenuto dei messaggi html (la porta 80 http) e un'altra per caricare il mini-browser dei componenti aggiuntivi o gli update da Mozilla (la porta 443 https). Ecco perch nel post iniziale c' scritto che ha bisogno di richieste successive. Questa regola permette di aprire solo le porte 80 e 443 a differenza di quella pi generale che apre tutte le porte su TCP al programma e che viene impostata dal popup Nome Policy: Mozilla Thunderbird 1) Selezionate "Usa Policy personale" 2) cliccate su "Copia da" -> "Policy predefinite di sicurezza" -> "Email Client" 3) Alle regole appena apparse aggiungente un'altra con queste caratteristiche e spostatela in cima:
Regola da aggiungere in cima Azione: Consenti Protocollo: TCP Direzione: In uscita Descrizione: Regola per HTML e addon Indirizzo origine: qualsiasi Indirizzo destinazione: qualsiasi Porta origine: qualsiasi Porta destinazione: Set di porte -> Porte HTTP
64
Vai allIndice delle Applicazioni
FILEZILLA FTP CLIENTCome per Thunderbird anche per Filezilla bisogna aggiungere una regola per comunicare con TCP oltre che con FTP. Nome Policy: Filezilla Mettete il pallino su "Usa Policy Personale" e copiate da FTP Client Poi aggiungete questa regola e spostatela subito sopra quella rossa che blocca tutto il resto.
Regola per aggiornamenti Azione: Consenti Protocollo: TCP Direzione: In uscita Descrizione: Regola
