Migliori pratiche: guida alle impostazioni del firewall

  • ID dell'articolo: 57757
  • Aggiornato: 04 lug 2013

Quando si configura un criterio del firewall, può essere necessario disporre di maggiori informazioni relative ad alcune impostazioni specifiche e alla necessità (o meno) di abilitarle.

In questo articolo vengono descritte le regole e le impostazioni di configurazione "predefinite di fabbrica" relative al firewall Sophos, quando configurato utilizzando il pulsante "Impostazioni avanzate" in "Criterio firewall". Laddove possibile, abbiamo descritto le implicazioni, in termini di protezione, relative a determinate impostazioni, oppure spiegato per quale motivo è stata scelta una determinata impostazione predefinita.

Prima di procedere con la distribuzione ai computer endpoint, si consiglia la lettura della Guida alla distribuzione del firewall.

Disabilitazione del firewall: per disabilitare il firewall, consultare la sezione "Disabilitazione temporanea del firewall", della Guida in linea per Endpoint o Console, a seconda del caso. Nota: la disattivazione del firewall tramite disabilitazione dei servizi del firewall non è supportata.

Nel caso si desiderino consultare ulteriori articoli sulle migliori pratiche consigliate, andare al nostro indice delle migliori pratiche

In questo articolo

Configurazione avanzata:
Impostazioni generali | Percorso impostazioni rilevamento | Impostazioni checksum | Impostazioni log

Configurazione del percorso primario o secondario:
Impostazioni generali | Impostazioni ICMP | Impostazioni LAN | Regole globali | Regole applicazioni | Implementazione controllo dei processi

Configurazione avanzata

Scheda "Impostazioni generali"

Nome dell'impostazione Impostazione predefinita Commenti
Percorso primario: Consenti tutto il traffico Disabilitata

Questa impostazione è pensata per l'utilizzo solo nel caso si verifichino circostanze particolari. Consente infatti di disabilitare il firewall nel percorso primario. Non si consiglia l'utilizzo di questa impostazione in situazioni normali.

Se si desidera consentire una determinata applicazione o connessione, impostare una "Regola dell'applicazione", una "Regola ICMP" o una "Regola globale".

Aggiungi configurazione per un percorso secondario Disabilitata Questa impostazione deve essere utilizzata per laptop o altri tipi di computer che si collegano regolarmente a reti aggiuntive, quali reti wireless domestiche o pubbliche.
Percorso applicato Applica la configurazione per il percorso rilevato

È disabilitata se non si seleziona l'opzione "Aggiungi configurazione per un percorso secondario". Consente di stabilire quale criterio sia applicato quando viene rilevato un nuovo percorso.

L'impostazione predefinita "Applica la configurazione per il percorso rilevato" consentirà al firewall di rilevare automaticamente la rete corrente e di selezionare le relative configurazioni.

Se gli utenti finali appartengono al gruppo SophosPowerUsers o SophosAdministrators, possono anche scegliere manualmente di utilizzare il percorso primario o secondario quando si trovano in un terzo percorso. Sarà necessario informare gli utenti di tali laptop della possibilità di utilizzare questa opzione quando si collegano a una rete nuova e spigare loro quale tipo di configurazione debbano scegliere.

Scheda "Rilevamento del percorso"

 

Nome dell'impostazione Impostazione predefinita Commenti

Metodo di rilevamento

DNS, nessuno configurato Si consiglia l'utilizzo del rilevamento "Gateway MAC Address", se possibile. Il firewall rileverà facilmente le impostazioni di gateway per poi utilizzare il percorso primario o secondario, in base alle circostanze.

Scheda "Checksum"

Nome dell'impostazione Impostazione predefinita Commenti
Applicazione/
Versione/
Checksum
Nessuno configurato Prima di distribuire il firewall, inserire i checksum MD5 delle applicazioni più comunemente utilizzate nella rete. Ciò consentirò di risparmiare tempo e di evitare di ripetere più volte le stesse operazioni quando si risponderà alle richieste del firewall durante la fase di distribuzione.

Scheda "Log"

Nome dell'impostazione Impostazione predefinita
Mantieni tutti i record/Elimina i record vecchi Elimina i record vecchi
Elimina i record dopo x giorni 1 giorno
disabilitata
Mantieni non più di y record 200 record
disabilitata
Mantieni dimensioni entro z MB 50 MB
abilitata

Configurazione del percorso primario o secondario

Nota: non è preconfigurato alcun percorso secondario. Nel caso ne venga aggiunto uno le sue impostazioni predefinite saranno identiche a quelle del percorso primario.

Scheda "Generale"

Nome dell'impostazione Impostazione predefinita Commenti
Modalità di lavoro Blocca per impostazione predefinita

Questo articolo presenta le migliori pratiche. Se si sta installando Sophos Client Firewall per la prima volta, consultare la Guida sull'implementazione per amministratori per dettagli sull'installazione.

In linea di massima, una volta che il firewall concede l'accesso a tutte le applicazioni approvate, i computer dovrebbero essere impostati nella modalità "Blocca per impostazione predefinita", così da bloccare l'accesso alla rete a tutto il traffico non autorizzato.

Nota: se sono abilitati sia il percorso primario che secondario, e la modalità di quello primario è interattiva, quello secondario sarà automaticamente impostato su "Blocca per impostazione predefinita". La modalità interattiva non è disponibile in Windows 8.

Blocca processi se la memoria viene modificata Abilitata Questa opzione consente di evitare che minacce infettino i computer. Questa opzione dovrebbe restare selezionata.

Non disponibile in Windows 8. Funzionalità fornita da HIPS.
Blocca processi nascosti Abilitata Questa opzione dovrebbe essere sempre abilitata per poter evitare che programmi malevoli possano essere eseguiti negli endpoint.

Non disponibile in Windows 8. Funzionalità fornita da HIPS.
Ignora pacchetti inviati alle porte bloccate Abilitata Questa opzione evita che un estraneo venga a conoscenza dell'esistenza di un accesso al computer, proteggendolo in questo modo da eventuali attacchi. Questa opzione dovrebbe restare selezionata.

Non disponibile in Windows 8. Al momento mai disponibile.
Usa checksum per autenticare le applicazioni Abilitata Questa opzione aiuta il firewall a distinguere tra applicazioni legittime e programmi malevoli aventi lo stesso nome. Questa opzione dovrebbe restare selezionata.

In Windows 8, questa opzione si trova nella scheda "Applicazioni".
Blocca pacchetti IPv6 Abilitata Attualmente IPv6 viene utilizzato da un numero limitato di applicazioni e ISP, ma grazie a questa impostazione tutto il traffico IPv6 verso i computer endpoint verrà bloccato, nel caso per esempio vengano utilizzate applicazioni P2P. Per bloccare l'utilizzo di tutte le applicazioni P2P nella rete, configurare invece un criterio per il controllo delle applicazioni.

In Windows 8, questa opzione si trova nella scheda "Regole globali". È stata rinominata "Tutto il traffico IPv6 bloccato".
Visualizza un allarme nella console di gestione se alle regole, applicazioni, processi o checksum globali vengono apportate modifiche a livello locale Abilitata Selezionando "Visualizza un allarme nella console di gestione..." è possibile verificare se le impostazioni del firewall nelle workstation siano state modificate dall'utente o dal malware. Nella maggior parte dei casi, questa opzione deve restare selezionata.

Non disponibile in Windows 8.
Segnala applicazioni e traffico sconosciuti alla console Abilitata Si consiglia di tenere sempre selezionata questa opzione in modo tale da poter monitorare gli utenti finali.
Segnala errori alla console di gestione Abilitata Questa opzione consente all'amministratore di visualizzare i messaggi di errore del firewall nelle workstation attraverso la console. Questa opzione dovrebbe restare selezionata.
(Messaggistica desktop)
Mostra allarmi ed errori

Abilitata

Si consiglia di tenere questa opzione selezionata, in modo tale da poter informare gli utenti in caso di problemi.
(Messaggistica desktop)
Mostra applicazioni e traffico sconosciuti
Disabilitata Questa impostazione mostrerà solo applicazioni e traffico sconosciuti, se la modalità interattiva è selezionata.

 

Scheda "ICMP"

Nome dell'impostazione Impostazione predefinita Commenti
Risposta Echo (0) Consentito IN ENTRATRA Utilizzata per rispondere a richieste echo (ping). L'abilitazione della "Risposta Echo" potrebbe rendere il computer vulnerabile ad attacchi smurf.
Destinazione irraggiungibile (3) Consentito IN ENTRATRA e IN USCITA Abilitando questa opzione si potrebbe rendere il computer vulnerabile ad attacchi del tipo "Destinazione non raggiungibile".
Richiesta di rallentamento dell'origine (4) Bloccate Per gestire situazioni di sovraccarico, i messaggi di Richiesta di rallentamento dell'origine richiedono la riduzione delle informazioni inviate dal mittente del messaggio. Se si abilita la Richiesta di rallentamento il computer potrebbe essere vulnerabile ad attacchi del tipo man-in-the-middle e Denial of Service (DoS).
Messaggio di reindirizzamento (5)

Bloccate

Se non è richiesto il reindirizzamento nella rete, si consiglia di non impostare questa opzione, dal momento che il reindirizzamento può essere utilizzare per modificare le tabelle di routing in router e computer e quindi favorire attacchi DoS
Richiesta echo (8) Consentito IN USCITA utilizzata per verificare se i computer in rete sono attivi (per es. ping). L'abilitazione della Richiesta echo potrebbe rendere i computer vulnerabili ad attacchi smurf.
Annuncio router (9) Consentito IN ENTRATRA

In Windows 8, è per impostazione predefinita "Bloccato"
I messaggi di annuncio dei router vengono inviati come risposta ai messaggi di Richiesta router, oppure per informare della presenza del router. I messaggi di annuncio dei router falsificati possono essere utilizzati per modificare le tabelle di routing dei router al fine di favorire attacchi man-in-the-middle o DoS; ecco perché si è deciso di bloccare per impostazione predefinita i messaggi di annuncio in entrata.
Richiesta router (10) Consentito IN USCITA

In Windows 8, è per impostazione predefinita "Bloccato"
I messaggi di annuncio dei router vengono inviati per localizzare i router all'interno della rete, come parte delle operazioni di scansione della rete. Utenti malintenzionati potrebbero utilizzare le richieste router per trovare computer da colpire; questo è il motivo per cui vengono bloccate per impostazione predefinita.
Tempo scaduto (11) Consentito IN ENTRATRA
Problema col parametro (12) Bloccate
Richiesta timestamp (13) Bloccate
Risposta timestamp (14) Bloccate
Richiesta informazioni (15) Bloccate
Risposta informazioni (16) Bloccate
Richiesta di maschera di indirizzo (17) Bloccate
Risposta di maschera di indirizzo (18) Bloccate

Scheda "LAN"

Nome dell'impostazione Impostazione predefinita Commenti
LAN (indirizzo IP e subnet) Nessuna impostazione NetBIOS consente la condivisione di file e stampanti con altri computer nella LAN o in una subnet attendibile. Questa opzione dovrebbe essere efficace per la maggior parte delle normali attività lavorative.

Consente il traffico fra computer nella LAN. Utilizzare questa opzione solo se assolutamente necessario.


Scheda "Regole globali"

Nome dell'impostazione Impostazione predefinita Commenti
Consenti connessione loopback TCP

Dove il protocollo è TCP e l'indirizzo remoto è 127.0.0.0 (255.0.0.0)
Consentire

La connessione di loopback consente alle applicazioni di verificare che esista una connessione di rete. I browser web spesso verificano la presenza di connessione in questo modo.
Consenti Protocollo GRE

Dove il protocollo è IP e il tipo è GRE
Consentire

Ciò consentirà l'esecuzione a o da computer client di GRE nei tunnel IP, per esempio nel caso di connessioni di Rete privata virtuale (VPN).
Consenti connessione di controllo PPTP Dove il protocollo è TCP,
la direzione è In uscita,
la porta remota è la 1723,
e la posta locale è la 1024-65535
Consentire
Ciò consentirà l'esecuzione a o da computer client di PPTP nei tunnel IP, per esempio nel caso di connessioni di Rete privata virtuale (VPN).
Consenti connessione loopback UDP

Dove il protocollo è UDP,
l'indirizzo remoto è 127.0.0.0 (255.0.0.0)
e la porta remota è uguale a quella locale
Consentire

Nota: in Windows 8, l'opzione "e la porta locale è uguale alla porta remota" non è disponibile. Per es. la regola è: dove il protocollo è UDP e l'indirizzo remoto è 127.0.0.0 (255.0.0.0)
Consentire
Blocca chiamata RPC (TCP) Dove il protocollo è TCP,
la direzione è In entrata,
e la posta locale è la 135
Bloccare
Questa impostazione evita che dai computer client vengano eseguite chiamate Remote Procedure Call (RPC) con protocollo TCP. Ciò evita che intrusi eseguano codici legittimi nei computer locali in modo indesiderato.
Nota: la porta utilizzata dal Portmapper RPC (135) è legata a numerose vulnerabilità di livello elevato sfruttate da worm di rete per replicarsi e diffondersi.
Blocca chiamata RPC (UDP) Dove il protocollo è UDP
e la posta locale è la 135
Bloccare
Questa impostazione evita che dai computer client vengano eseguite chiamate Remote Procedure Call (RPC) con protocollo UDP. Ciò evita che intrusi eseguano codici legittimi nei computer locali in modo indesiderato.

Scheda "Applicazioni"

Vengono qui elencati i servizi Windows più comuni e di maggior rilievo. È molto probabile che si debbano aggiungere ulteriori applicazioni durante le operazioni di distribuzione del firewall in modalità interattiva. 

Nome applicazione Impostazione predefinita

alg.exe
(componente di Windows Firewall)

Consenti reindirizzamento ALG
Dove il protocollo è TCP
e la direzione è in entrata
Consentire
ed eseguire un'ispezione di stato
Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Connessione del Servizio Gateway di livello applicazione di Microsoft
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 21
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

lsass.exe
(Servizio sottosistema autorità di protezione locale)

Connessione UDP Local Security Authority Service Kerberos
Dove il protocollo è UDP
e la porta remota è 88
Consentire
ed eseguire un'ispezione di stato
Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Connessione TCP del servizio Kerberos autorità di protezione locale
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 88
Consentire

Connessione LDAP di LSASS al Server di catalogo globale
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 3268-3269
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Connessione UDP del servizio LDAP autorità di protezione locale
Dove il protocollo è UDP
e la porta remota è la 389
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Connessione TCP del servizio LDAP autorità di protezione locale
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 389
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Assegnazione dinamica predefinita della porta del servizio DCOM autorità di protezione locale
Dove il protocollo è TCP,
la direzione del traffico è in uscita
e la porta remota è la 1025-1040
Consentire

Connessione TCP del servizio DCOM autorità di protezione locale
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 135
Consentire

Consentire DNS Resolving (TCP)
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è la 53
Consentire

Consentire DNS Resolving (UDP)
Dove il protocollo è UDP,
la direzione è in uscita
e la porta remota è la 53
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

services.exe
(Windows Service Controller)

Connessione DCOM servizi
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 135
Consentire
Assegnazione dinamica predefinita della porta del servizio DCOM
Dove il protocollo è TCP,
la direzione del traffico è in uscita
e la porta remota è la 1090-1110
Consentire
Connessione LDAP servizi
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 389, 3268
Consentire
Consentire DNS Resolving (TCP)
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è la 53
Consentire

Consentire DNS Resolving (UDP)
Dove il protocollo è UDP,
la direzione è in uscita
e la porta remota è la 53
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Consentire DHCP
Dove il protocollo è UDP,
la porta remota è la 67
e la porta locale è la 68
Consentire
Consentire DHCP (v6)
Dove il protocollo è UDP,
la porta remota è la 547
e la porta locale è la 546
Consentire

svchost.exe
(Host servizio)

Consentire DNS Resolving (TCP)
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è la 53
Consentire

Consentire DNS Resolving (UDP)
Dove il protocollo è UDP,
la direzione è in uscita
e la porta remota è la 53
Consentire
ed eseguire un'ispezione di stato

Nota: l'opzione "ed eseguire un'ispezione di stato" al termine della regola, non è disponibile in Windows 8 in quanto tutte le regole eseguono ispezioni di stato per impostazione predefinita.

Consentire DHCP
Dove il protocollo è UDP,
la porta remota è la 67
e la porta locale è la 68
Consentire

Consentire DHCP (v6)
Dove il protocollo è UDP,
la porta remota è la 547
e la porta locale è la 546
Consentire

userinit.exe
(Inizializzazione per utenti)

Connessione LDAP Microsoft Userinit
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 389, 3268
Consentire

Connessione DCOM Microsoft Userinit
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 135
Consentire

winlogon.exe
(Accesso a Windows)

Connessione LDAP Microsoft Winlogon
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 389, 3268
Consentire

Connessione DCOM Microsoft Winlogon
Dove il protocollo è TCP,
la direzione è in uscita
e la porta remota è 135
Consentire


Scheda "Processi"

Questa scheda non è disponibile in Windows 8. Il supporto per processi nascosti è stato interrotto e i rawsocket vengono trattati come socket normali

Nome dell'impostazione Impostazione predefinita Commenti
Avvisa della presenza di nuove utilità di avvio. Abilitata È disponibile solo se si utilizza la modalità Interattiva.
Avvisa dell'utilizzo di rawsocket. Abilitata È disponibile solo se si utilizza la modalità Interattiva.

 

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti