Firewall e processi

[Simeon]

Ho installato un firewall (sygate) e ho notato come numerosi processi (o applicazioni) chiedono frequentemente l’accesso ad internet. Prima di affidarmi soltanto a consigli del tipo permetti/blocca, vorrei capirci qualcosa. Vi elenco alcuni di questi processi nella speranza di ottenere una descrizione circa la loro funzione (sui alcuni ho già una vaga idea ma li elenco ugualmente per approfondimenti).
Credo sia fondamentale segnalarvi che il pc è connesso ad una rete (2 pc) tramite schede di rete e cavo incrociato.

Processi:

Sistema e kernel NT (ntoskrnl.exe)
NDIS User mode I/O Driver (ndisuio.sys)
LSA Shell (Export Version)
Generic Host Process for Win 32 Services (svchost.exe)
IP Network Address Translator
Application Layer Gateway Service (lsass.exe)


Quali devono essere bloccati? Quali permessi? (tenete sempre conto della rete)

Grazie per l’attenzione.

[Habanero]

Premetto che non conosco Sygate quindi non posso indicarti nel dettaglio come configurarlo. Questo lo lascio fare a chi ha esperienza di questo firewall. Ti darò solo generiche informazioni sui processi da te indicati.

Prima di tutto penso che sia utile che tu specifichi come ti colleghi ad internet. Usi un router? Usi la condivisione della connessione attraverso un modem collegato ad uno dei PC?
Nel primo caso la cosa diventa relativamente semplice dal punto di vista della sicurezza in quanto tutte le porte di sistema vengono virtualmente chiuse sul router rimanendo visibili solo all'interno della rete locale.
Nel secondo caso la cosa è un po' più complicata.

In ogni caso:

Sistema e kernel NT (ntoskrnl.exe) è il processo System (PID=4) responsabile tra l'altro dell'apertura delle porte 137-138-139-445 usate per la condivisione file e stampanti. Questo processo non dovrebbe mai comunicare nè aprire porte in listening sull'interfaccia WAN (quella che comunica su internet). Se condividi file nella lan tale processo deve accedere solo alla classe IP della LAN.

LSA (lsass.exe) è un il processo che si occupa dell'autenticazione al sistema. Valgono le stesse considerazioni fatte per ntoskernl.exe.

Generic Host Process for Win 32 Services (svchost.exe). Di questi processi ne esistono parecchi contemporaneamente in memoria, tipicamente 5 o 6 a seconda di quali servizi sono attivati. Svchost si occupa di lanciare e gestire gruppi di servizi. E' importante che svchost.exe acceda ad internet (interfaccia WAN) in quanto alcuni servizi sono essenziali per una corretta navigazione. E' però molto più importante che svchost non si ponga in ascolto sull'interfaccia WAN ma solo sulla LAN. Uno dei processi svchost infatti gestisce il servizio RPC (RpcSs) responsabile dell'apertura della porta 135. In passato l'accesso a tale porta ha causato notevoli problemi di sicurezza. Conclusioni per svchost: accesso illimitato nella lan, accesso ad internet. Assolutamente negare l'accesso come server su internet in modo tale da rifiutare connessioni provenienti dall'esterno.

Application Layer Gateway Service (alg.exe) che erroneamente hai indicato come lsass.exe
Si occupa sia della condivisione della connessione internet sia della gastione di windows firewall. Dovrebbe avere accesso alla rete.

IP Network Address Translator credo sia il modulo NAT installato per la condivisione della connessione internet da cui deduco che usi questa per collegarti alla rete esterna. Anche qui dovresti dare accesso.

NDIS User mode I/O Driver (ndisuio.sys) è il driver di windows che consente al sistema di comunicare a basso livello con la scheda di rete. Anche qui devi concedere l'accesso.

Su sygate:
http://forums.sygatetech.com/vb/show...?threadid=5459
http://www.p2pforum.it/forum/showthread.php?t=40016

Per testare le tue porte e vedere cosa gli altri vedono dall'esterno:
https://www.grc.com/x/ne.dll?bh0bkyd2
clicca su PROCEED e tra i test scegli "all service ports". Il tuo firewall potrebbe notificarti un port scan proveniente da un ip compreso tra 4.79.142.192 e 4.79.142.207. Alla fine dello scan se tutto è ok tutti i quadratini relativi a tutte le porte devono essere verdi.

[Simeon]

Perfetto!

Sei riuscito a chiarirmi ogni dubbio in modo preciso ed esaustivo.

Grazie per il tempo dedicatomi.

[wallrider]

Originariamente inviato da Habanero
...
Generic Host Process for Win 32 Services (svchost.exe). Di questi processi ne esistono parecchi contemporaneamente in memoria, tipicamente 5 o 6 a seconda di quali servizi sono attivati. Svchost si occupa di lanciare e gestire gruppi di servizi. E' importante che svchost.exe acceda ad internet (interfaccia WAN) in quanto alcuni servizi sono essenziali per una corretta navigazione. E' però molto più importante che svchost non si ponga in ascolto sull'interfaccia WAN ma solo sulla LAN. Uno dei processi svchost infatti gestisce il servizio RPC (RpcSs) responsabile dell'apertura della porta 135. In passato l'accesso a tale porta ha causato notevoli problemi di sicurezza. Conclusioni per svchost: accesso illimitato nella lan, accesso ad internet. Assolutamente negare l'accesso come server su internet in modo tale da rifiutare connessioni provenienti dall'esterno.

...

Ma non è che qualche merdware si può nascondere dietro questo processo e fare i propri comodacci?

[Habanero]

puo' succedere come puo' succedere per qualsiasi altro processo...
se svchost.exe è quello presente nella cartella /windows/system32/ non puo' che essere quello legittimo. In caso contrario il check di integrità del sistema lo sostituirebbe con quello giusto presente in archivio.