| Autore |
 Discussione  |
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/09/2007 : 15:36:39
|
Infatti, sul browser non l'ho impostata perchè mi ha sempre e solo chiesto una regola di loopback per il TCP, e quindi per ora non ho aggiunto altro.
Non ho attivo nessun server web in locale. Non uso emule o emuleweb. Di Ethereal ho sentito parlare, dopo faccio una ricerca in web e ti saprò dire (speriamo non sia difficile da usare e magari tutto in inglese!).
Io ho sentito parlare anche di Currport, l'ho pure scaricato insieme allo zip del language pack (ha la traduzione in italiano  )
E ora veniamo agli screenshot:
1) Questa è la regola generale del loppback (l'unica e per il TCP), fa caso all'IP e all subnet!
Regola globale loopback.jpg
2) Pemessi oggi.jpg
3) Bloccati oggi.jpg
[edit]
PS: il loopback del browser, invece, ha il classico IP 127.0.0.1 |
Modificato da - Diana in data 22/09/2007 15:38:38 |
 |
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 22/09/2007 : 16:32:17
|
Ho guardato gli screenshot. Allora, attualmente, così come sono impostate le cose, che tipo di problema hai?
Il fatto è che gli screenshow fanno riferimento a processi in esecuzione, e a parte seamonkey (il browser) non so gli altri che funzioni svolgono. E' che oramai sono abituato a ragionare in un'altra ottica, che è quella più dal punto di vista della rete pura. Cioè, se vuoi implementare un firewall che agisca sia sui pacchetti e protocolli (quindi definendo indirizzi, porte, ecc) e che agisca anche sulle applicazioni, io personalmente partirei dalla prima che ho detto. Ovvero, prima definire quali porte possono essere utilizzate, eventualmente quali sono gli indirizzi legittimi, che tipo di pacchetti può entrare e che tipo di pacchetti può uscire. E poi, eventualmente, passare a definire materialmente quali sono le applicazioni che possono inviare e ricevere. Se malauguratamente autorizzi un'applicazione nociva a fare uso della rete, hai sempre le regole che agiscono a livello base che dovrebbero scongiurare eventuali danni.
A titolo di esempio, dal mio punto di vista, quello linux, una configurazione base, che agisce a livello di rete potrebbe essere progettata a partire da alcune considerazioni, allora, o si decide di permettere tutto a tutti e poi man mano si esclude ciò che non si vuole, oppure si chiude tutto a tutti e man mano si apre ciò che interessa. La soluzione più sicura è la seconda, quindi, tutte le porte sono chiuse sia per connessioni in ingresso che per quelle in uscita.
1) Do via libera all'interfaccia di loopback visto che è utilizzata da processi locali e per comunicazioni locali.
2) Voglio navigare in Internet, quindi posso decidere di autorizzare sono le connessioni dirette a indirizzi remoti e sulla porta remota 80, e accettare pacchetti in ingresso proveniente da indirizzi remoti e da porta remota 80
3) Voglio scaricare la posta sul mio pc, quindi posso decidere di autorizzare solo le connessioni dirette a indirizzi remoti (e magari specifico solo l'indirizzo del server di posta escludendo tutti gli altri) e sulla porta remota 110 e, in ingresso, pacchetti provenienti da indirizzi remoti e porta remota 110
3) Voglio inviare posta dal mio, quindi posso decidere di autorizzare le connessione dirette a indirizzi remoti (e magari, anche in questo caso, solo verso l'indirizzo del server che mi fa inviare la posta) e sulla porta remota 25 e i rispettivi pacchetti in ingresso.
4) Voglio connettermi a chat IRC, quindi posso decidere di permettere connessioni in uscita dirette a indirizzi remoti (e magari solo all'indirizzo dove è ospitata la chat) dirette alla porta remota 6667 e i rispettivi pacchetti in ingresso.
5) Eventuali altri tipi di connessione, di volta in volta stabilisco i criteri.
Come vedi in tutti questi casi non ci siamo preoccupati dei programmi o dei processi, ma abbiamo agito ad uno strato più basso, quello del networking vero e proprio. Successivamente poi ti puoi dedicare alle applicazioni, ad esempio, per la regola numero 2 (quella relativa alla navigazione) puoi autorizzare solo firefox e non ad esempio opera. Per la terza regola puoi decidere di autorizzare Thunderbird e non evolution. E quindi, in questi casi ti stai dedicando alla gestione delle applicazioni. Ma a priori ti sei preoccupata di una accurata gestione delle regole di base, e per accurata intendo che è stata fatta con criterio, con consapevolezza. Non so gli attuali programmi su windows, ma ad esempio su linux è addirittura possibile filtrare un singolo pacchetto TCP in base al tipo di flag, posso ad esempio autorizzare in ingresso tutti i pacchetti TCP appartenenti a connessioni già stabilite ma non a pacchetti TCP che richiedono l'apertura di connessioni. Così, se senza saperlo sul mio PC ho in esecuzione un server web, sicuramente nessuno potrà fare danni perchè, di base, c'è già un filtro che impedisce l'arrivo di pacchetti mirati all'apertura di connessioni.
Sono solo esempi, poi chiaramente le configurazioni vanno adattate, studiate, progettate e messe in opera tenendo conto delle reali esigenze. |
|
|
|
Diana
Advanced Member
269 Messaggi |
 Inserito il - 22/09/2007 : 18:02:54
|
Citazione:
Messaggio inserito da pedrus
Ho guardato gli screenshot. Allora, attualmente, così come sono impostate le cose, che tipo di problema hai?
Ho sempre quel problema col DNS Resolving.
Non ti ho postato uno screenshot del Rapporto Allarmi, perchè intanto troveresti sempre le solite righe:
Richiesta DNS anomala individuata da IP:mio provider, porta 53 a IP:mioindirzzoip, porta (le più svariate).
Ora, c'è un Plug-in in Outpost relativo al DNS e ho tolto la spunta a "Verifica e blocca richiesta DNS non conformi (raccomandato)", altrimenti corro anche il rischio che mi venga bloccata la connessione ad Internet, come già è successo.
Però, così facendo, credo di aver soltanto nascosto la polvere sotto il tappeto. Ovvero non ho risolto il problema di fondo.
Nello screenshot dei Bloccati, se ci hai fatto caso, compare un 192.168.0.4. Ecco, quello è l'IP dell'altro pc che sta in altra stanza ed utilizzato da altra persona. Come fanno ad arrivarmi i pacchetti da lì??
A questo punto comincio a sospettare che il problema risieda nel router. C'è un qualcosa che crea conflitto con il firewall software.
Per tutto il resto, anche a me interesserebbe impostare le regole come hai descritto tu, ma onestamente non so se con i software che ho io si possa intervenire addirittura a livello di controllo sul singolo pacchetto TCP (o quel che è).
Forse l'unico modo per agire a basso livello, come dici tu, è quello d'impostare bene le regole globali. Se ne possono aggiungere delle nuove. Il fatto è che non saprei come impostarle.
Perchè non provi a postare qui una delle tue regole, quella per esempio relativa al controllo del singolo pacchetto che trovo molto interessante?
Magari cambia soltanto il modo d'inserirla o di scriverla su Outpost, ma forse si può.
Anzi, se ne hai voglia, postane un paio tra quelle che ritieni più significative, così mi faccio un'idea.
Ti ringrazierò alla fine, spero che continui ad assistermi ancora un po'.
|
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/09/2007 : 18:24:52
|
Ecco, ho pronunciato proprio le ultime parole famose...
Mi si è bloccato tutto, non si avviava nessuna applicazione che si collega in rete. Ho dovuto riavviare il pc e loggarmi nella prima partizione, dove c'è il 2k.
Avevo ragione io, togliendo la spunta a quel plug-in, ho soltanto nascosto il problema, non l'ho certo risolto. 
Quello che non capisco è perchè con la suite di KIS (qua sul 2k) questo problema del DNS non si verifica... |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 22/09/2007 : 18:34:17
|
Citazione:
Non ti ho postato uno screenshot del Rapporto Allarmi, perchè intanto troveresti sempre le solite righe:
Richiesta DNS anomala individuata da IP:mio provider, porta 53 a IP:mioindirzzoip, porta (le più svariate).
Beh, non so cosa intende lui per "richiesta DNS anomala", ovvero, quando una richiesta DNS è anomala? A me personalmente i dati dei DNS sono all'interno del router e sono poi specificati in un comunissimo file di testo all'interno del sistema. Qui c'è ua discussione che può essere interessante, è lunghetta, ma credo possa essere utile: htt*://[www].hwupgrade.it/forum/showthread.php?t=1327005 , e infatti, nella sezione relativa alla configurazione se si ha un router viene indicato di togliere il segno di spunta a quella voce, dice che non compromette la sicurezza, ma non dice perchè (e io avrei preferito che lo scrivesse, visto che più che capire come FARE una cosa mi interessa sapere come FUNZIONA una cosa)
Citazione:
Nello screenshot dei Bloccati, se ci hai fatto caso, compare un 192.168.0.4. Ecco, quello è l'IP dell'altro pc che sta in altra stanza ed utilizzato da altra persona. Come fanno ad arrivarmi i pacchetti da lì??
L'utilità del provare uno "sniffer" per analizzare il traffico su un'interfaccia è proprio questo, proprio per capire la natura di questi pacchetti. Avevo visto quell'IP. I motivi possono essere i più svariati. Ad esempio, hai una cartella in condivisione e l'altro pc cerca di accedere. Ho visto che si tratta di pacchetti UDP, e quel tipo di protocollo è utilizzato in tante applicazioni. UDP si utilizza anche per comunicazioni in broadcast. Oppure nella gestione della rete. Presumo, quindi, che più che un problema sul tuo pc, si tratti di qualche processo sull'altro pc ch invia dei dati per un qualche motivo (non necessariamente illecito).
Citazione:
Perchè non provi a postare qui una delle tue regole, quella per esempio relativa al controllo del singolo pacchetto che trovo molto interessante?
Attualmente sono senza firewall. Ogni tanto ne allestisco qualcuno più per diletto che per altro. In linux per fortuna il sistema non ha l'abitudine di aprire processi come gli capita e, comunque, il funzionamento è trasparente, nel senso che puoi vedere cosa avviene e perchè, cioè non ci sono, come in win, dei file.EXE dei quali non si sa assolutamente nulla e dei quali, quindi, non si sa se siano legittimi o meno. Io so quali sono i processi in esecuzione sul mio pc, so che non ne vengono avviati altri a mia insaputa e, quindi, mi permetto di essere senza firewall. Comunque, quando mi diletto a configurarlo, una tipica regola che imposto è, a titolo di esempio:
Per il traffico in entrata:
Per ogni pacchetto TCP, con FLAG diverso da SYN, destinato alla interfaccia di rete eth0 (che sarebbe la ethernet, quella collegata al router per intenderci) appartenente a connessione STABILITE o CORRELATE >>>>> PERMETTILO
Per ogni pacchetto TCP, con FLAG uguale a SYN, destinato alla interfaccia di rete eth0, >>>>>>>>> BLOCCALO
Per il traffico in uscita:
Per ogni pacchetto TCP, avente qualsiasi indirizzo di destinazione, con porta di destinazione 80 >>>>>>>> PERMETTILO
Questi sono solo esempi, in pratica abbiamo bloccato in ingresso tutti i pacchetti TCP SYN, così dall'esterno non ci si potrà collegare a eventuali server web in esecuzione a nostra insaputa sul pc, però è permesso navigare, infatti ci si può collegare alla porta remota 80 e in ingresso si accettano solo connessione già stabilite o correlate, visto che, quando ci colleghiamo ad un sito, i pacchetti di risposta fanno parte della connessione che noi stessi abbiamo aperto, e si scartano tutti gli altri che per un qualunque motivo dovessero giungere al nostro pc.
Ora devo andare a lavoro, se tutto va bene fino a mezzanotte. Vedi un po' che tipo di configurazioni ti fa fare outpost. Anche se io ti consiglierei di passare a linux (ma so che il mio è un parere di parte, e quindi, non obiettivo ) |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 22/09/2007 : 18:46:06
|
Onestamente penso proprio che passerò a Linux molto presto.
Per ora grazie mille per i link, ora me lo vado a spulciare bene bene, e grazie anche per le regole (credo che non si possano applicare in quel modo su Outpost, ma ci proverò).
Posterò comunque tutte le buone o le cattive nuove. A domani, ciao!
PS: quoto il tuo "più che capire come FARE una cosa mi interessa sapere come FUNZIONA una cosa"
GIUSTO!!!!  |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 23/09/2007 : 12:27:17
|
Di quel link di Upgrade Hardware, ho letto le prime venti pagine.
A parte qualche sporadica "dritta" sulle regole, scritta da UN SOLO UTENTE (moderatore), tutti gli altri post sono richieste d'aiuto (il più delle volte senza risposta) e annunci di aggiornamenti/bug/malunfionamenti in generale di una versione o un'altra.
Andrò avanti nella lettura perchè qualche rara chicca (di cxdegasp) c'è. Per il resto, è un thread inutile.
In ogni caso ho capito questo, quel plugin del DNS deve avere qualche baco perchè crea problemi sia a chi usa il modem (usb/ethernet), sia a chi usa i router.
Quindi la soluzione è più semplice di quanto mi aspettassi: ELIMINARE LE SPUNTE dal quel plugin a:
Impostazioni sicurezza cache DNS--> tutte!!
Nel Plugin Individuazione attacchi:
1) impostare la levetta di Livello d'allarme su Normale
2) togliere le spunte a:
- Mostra allarmi visuali in caso di attacco
- Attiva allarme sonoro in caso di attacco
- Blocca anche la subnet dell'intruso
3) lasciare invece la spunta su Blocca IP dell'intruso e impostare il tempo a soli 5 minuti.
Per creare regole (che possono essere cmq individuali, a seconda delle esigenze della persona), ho trovato questi due link:
Indice del forum di Outpost [purtroppo in inglese]: htt*://[www].outpostfirewall[.com]/forum/
e in particolare questo sulle regole: htt*://[www].outpostfirewall[.com]/forum/forumdisplay.php?s=ce3b0b5fb55e85aee17b864638148cdf&f=57
Ma girando girando (sono giorni che mi sbatto!) ho trovato anche questo interessante link, che contiene a sua volta molti link utili. Insomma (quasi) tutto in una sola pagina, una leccornia! 
htt*://[www].wilderssecurity[.com]/showthread.php?t=24415
Interessante anche questa pagina (contenuta tra i link di cui sopra) in cui si può fare la ricerca di tutte, dico TUTTE, le porte (pcflank non le trova proprio tutte invece):
htt*://lists.thedatalist[.com]/portlist/lookup.php
X Pedrus: un GRAZIE ENORME per tutto l'aiuto che mi ha dato sforzandosi (ma facendolo anche con piacere, credo) di farmi capire i meccanismi di certe funzioni, il significato dei protocolli, delle porte, etc. etc.
Spero comunque che la discussione non finisca qui e che, se si hanno nuove idee, dubbi, o ulteriori spiegazioni da offrire a tutti gli utenti e lettori, si continui a postare.
PS: mi rimane solo un piccolo rebus ancora da sciogliere. Perchè ricevo continui attacchi dall'IP del pc del mio coinquilino, al quale oltretutto non funziona più Emule (dice che ha le porte bloccate)?? 
|
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 23/09/2007 : 19:49:47
|
Citazione:
PS: mi rimane solo un piccolo rebus ancora da sciogliere. Perchè ricevo continui attacchi dall'IP del pc del mio coinquilino, al quale oltretutto non funziona più Emule (dice che ha le porte bloccate)??
Purtroppo il discorso è sempre lo stesso, bisognerebbe analizzare i singoli pacchetti che entrano nel PC e, ancora meglio analizzare i pacchetti in uscita da quel PC e a quali processi sono associati. Magari vedere più nel dettaglio in quali momenti, con quale tipo di utilizzo vengono generati quei pacchetti. Magari all'avvio di quel PC qualche processo cerca di conoscere tutte le macchine presenti nella rete e manda un messaggiio broadcast in attesa che altre rispondano, oppure, come già accennato, la ricerca di possibili condivisione di rete. In ogni caso, come già detto, l'ideale è avere sotto mano, magari in tempo reale, i log dettagliati del traffico generato (in ingresso e in uscita). Sul mio pc solitamente uso una piccola utility da riga di comando (piccola si fa per dire, è di una flessibilità e potenza mostruosa) che si chiama tcpdump, sebbene ci siano comunque applicazioni grafiche. Su win, come ho detto qualche post fa, dovrebbe esservi ethereal, ma non ho idea se sia ancora in sviluppo.
Citazione:
X Pedrus: un GRAZIE ENORME per tutto l'aiuto che mi ha dato sforzandosi (ma facendolo anche con piacere, credo) di farmi capire i meccanismi di certe funzioni, il significato dei protocolli, delle porte, etc. etc.
Di niente. L'argomento lo trovo interessante, avrei più piacere nel vedere discussioni mirate all'approndimento dei misteri legati alle reti e al loro funzionamento. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 25/09/2007 : 17:37:13
|
Anche a me piacerebbe comprendere i tanti e complessi misteri legati alle reti.
Purtroppo non ho le conoscenze adeguate ad arricchire la discussione come sai fare tu.
Però sono in grado di fare le domande! 
Quindi vi aggiorno, i problemi stanno aumentando. Oltre al problema già esposto sopra, non riesco a:
- scaricare la posta (pur avendo autorizzato pop3 e smtp)
- a chattare con un programma di instant messaging
- fare il login in alcuni siti
e tutto questo, sia con la configurazione di default, sia con quella più restrittiva con le regole inserite nel post di apertura.
Per quanto riguarda l'altro pc dell'appartamento, ho provato a fare lo shatdown del firewall, ho provato pure a spegnere il pc, ma niente da fare, al mio amico non funziona più emule e accusa me di aver smanettato troppo con il firewall.
Ethereal l'ho scaricato ma non ancora installato. La paura mia è che, essendo abbastanza ignorante in fatto di reti, non riesca a interpretarlo.
Vi chiedo umilmente aiuto  |
Modificato da - Diana in data 25/09/2007 17:38:10 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/09/2007 : 21:00:35
|
il programma indicato da Pedrus(ethereal) attualmente si chiama Wireshark
htt*://[www].wireshark.org/
è l'ideale per monitorare tutto il traffico di rete.
Non è facilissimo ma, se hai dimestichezza con inglese e protocolli, puoi ottenere ogni tipo di informazione sulla tua rete.
Sto seguendo questa discussione con molto interesse ma configurare un firewall come Outpost utilizzando funzionalità avanzate
e regole mi sembra un'impresa ardua se fatta in forum.
Una configurazione del genere è personalizzata alla propria rete e non valida per altre.
Se prendiamo in considerazione, ad esempio, il DNS Resolving e non utilizzi la configurazione standard, devi creare le
regole per ogni singolo applicativo, questo significa disabilitare il clientdsn che utilizza il file
svchost.exe per fare ciò; quindi devi analizzare tutte le istanze in/outbound degli applicativi, che nella tua rete sono certamente diversi dalla mia a o dalle altre reti, e stabilirne le regole.
Allora che fare? io ho installato il programma in funzionalità standard è l'ho personalizzato con l'uso, serve tempo ed
esperienza per fare ciò ma è il sistema migliore per imparare e sopratutto capire cosa si fa.
La guida che hai utilizzato all'inizio, non mi piace troppo, tende a blindare la rete ed è di difficile comprensione per un
neofita.
Io sono partito da qui: htt*://web.tiscali.it/winzozz/outpost.htm?
questa è la quida in inglese:htt*://dl2.agnitum[.com]/User_Guide.pdf
Voglio elogiare pubblicamente Pedrus,pur non conoscendo il programma e poco il sistema operativo, ha affrontato con straordinaria competenza un argomento così complicato dando ottime indicazioni.
Ma si vede che i protocolli sono pane per i suoi denti e questa conoscenza è basilare per impostare qualsiasi programma su qualunque sistema.
|
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 26/09/2007 : 01:28:31
|
Citazione:
Quindi vi aggiorno, i problemi stanno aumentando. Oltre al problema già esposto sopra, non riesco a:
- scaricare la posta (pur avendo autorizzato pop3 e smtp)
- a chattare con un programma di instant messaging
Problemi riconducibili sempre al solito discorso. Porte aperte e chiuse e in quali circostanze.
Citazione:
- fare il login in alcuni siti
Questo è già più strano. Cosa hanno in comune i siti sui quali riesci a loggarti? E quelli sui quali non riesci? Che non sia magari bloccato il traffico htt*s? O SSL?
Dicono che linux sia difficile. Sarà anche vero in alcune circostanze, però, da linea di comando, digiti:
Citazione:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
E compare, per le varie catene presenti (in questo caso INPUT (traffico in ingresso), FORWARD (traffico in transito) OUTPUT (traffico in uscita)) le regola predefinita e, qualora presenti, riga per riga le singole regole impostate. Quelle sono e da quelle non si scappa, quindi bisogna leggersi riga per riga le singole regole. Credo che sia più semplice che che barcamenarsi in mille schermate differenti ognuna con tre bottoni (OK, Apply, Cancel) e qualche quadratino nel quale mettere il segno di spunta. Bah, ma Windows è più semplice. Sia chiaro, non voglio denigrare tutti gli utilizzatori windows e relativi software, il mio è solo un discorso ironico.
Citazione:
Per quanto riguarda l'altro pc dell'appartamento, ho provato a fare lo shatdown del firewall, ho provato pure a spegnere il pc, ma niente da fare, al mio amico non funziona più emule e accusa me di aver smanettato troppo con il firewall.
Con quale firewall? Con quello presente sul PC del tuo amico? In ogni caso, tieni anche presente il fatto che emule (e in generale in software P2P hanno bisogno che nel router siano impostate le regole di natting, in pratica bisogna abilitare il forwarding verso le porte utilizzate dal software. Per emule tipicamente sono la 4662 TCP e la 4672 UDP. In pratica, al router bisogna dire che tutto il traffico in ingresso destinato all'apertura di connessioni sulla porta 4662 TCP e 4672 UDP deve essere "dirottato" sull'IP del pc che ha in esecuzione emule.
Citazione:
Ethereal l'ho scaricato ma non ancora installato. La paura mia è che, essendo abbastanza ignorante in fatto di reti, non riesca a interpretarlo.
Effettivamente questi programmi richiedono interpretazione. E' un po' come un elettrocardiogramma, non c'è scritto su un pezzo di carta se stai bene o male, ma è un medico che analizzando il tracciato lo interpreta e ne da un giudizio. Poi, a volte non è semplice filtrare il traffico analizzato, nel senso che, di default, questi software visualizzano tutto ciò che entra o esce, e alla fine risulta difficile capire da quali applicazioni o in quali circostanze quel traffico stesso è generato. Credo che il sistema migliore sia quello di avviare il software a sistema appena avviato e col minor numero di servizi in esecuzione. Dopo di che, uno alla volta si aprono i vari applicativi e si vede quale traffico generano fino ad avere una visione complessiva. Richiede pazienza e, mi rendo conto, non è così semplice. Comunque ci possiamo sempre provare. In outpost disabilita tutte quelle regole così particolareggiate. Poi blocca da subito i processi che sai non devono accedere alla rete e poi, con calma comincia a vedere cosa dice ethereal (anzi, come ha giustamente precisato michal Wireshark), magari postandone il risultato. Comunque, con molta pazienza, volendo, ci si può basare semplicemente sui log di outpost, anche se a me tutte quelle suddivisioni in schermate diverse (bloccati oggi, permessi oggi, allarmi, ecc.) fanno molta confusione, e comunque c'è sempre quell'abbinamento a quei processi che io, purtroppo, proprio non conosco e non so a cosa servano, ecco perchè il mio aiuto può arrivare fino a un certo punto.
Citazione:
Voglio elogiare pubblicamente Pedrus,pur non conoscendo il programma e poco il sistema operativo, ha affrontato con straordinaria competenza un argomento così complicato dando ottime indicazioni.
Ma si vede che i protocolli sono pane per i suoi denti e questa conoscenza è basilare per impostare qualsiasi programma su qualunque sistema.
Non esagerare, così mi emoziono. Sono perito chimico e sai che di lavoro faccio tuttaltro. E in questo settore, sebbene mi piaccia leggere qualche libro, a volte mi sento un ignorante irrecuperabile. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 26/09/2007 : 13:10:10
|
Allora:
- ho installato whireshark
- ho avviato il profilo di default di Outpost
- ho avviato il servizio Client DNS (in automatico)
- ho pulito tutti i log di Outpost, in modo da partire da una situazione chiara
- ho riavviato il pc.
Aiutoooo!! Whireshark non fa vedere nessun diagramma!! C'è una pagina beige in cui non si vede un bel nulla! Che devo fare per farlo avviare? Ci sono un sacco di opzioni, non so nemmeno come devo impostarlo... potevate darmi almeno istruzioni su come metterlo in funzione...! Credo che così mi serva a poco!
a Pedrus per quanto riguarda il pc del mio amico, non ho buttato giù il suo firewall, ma il mio, per vedere se (come diceva lui) ero io ad impedirgli di far funzionare emule.
Al mio amico fino a qualche giorno fa, funzionava emule, e ovviamente aveva dato all'applicazione i giusti permessi (per quanto riguarda il suo firewall. Così come è ovvio che nel rotuer ha inserito tutti i corretti parametri. Altrimenti emule non gli avrebbe funzionato nemmeno prima. E' più di un anno che utilizza questa applicazione!
Infine, onestamente non so che differenza ci sia tra un sito e un altro per quanto riguarda il login. Però, tanto per fare un esempio, su quello di Tim sono riuscita a loggarmi (e usa la cifratura), su Notrace riesco a loggarmi, su un altro forum no. E sinceramente, tra notrace e quell'altro forum non ho idea di quali differenze corrano!
a Michal per quanto riguarda il DNS resolving, e per non farlo gestire da svchost.exe, avevo esattamente fatto quello che hai scritto tu, ovvero avevo disabilitato il servizio Client DNS. Funzionava solo la navigazione, ma non tutte quelle altre cose che ho scritto, e ci aggiungo il windows update.
Però, ve lo sottolineo e ve lo ripeto, ho gli stessi identici problemi anche con il profilo di default di Outpost!!!
Beh, comunque, per ora, non posso fare nessuna rilevazione, visto che non so come far partire l'elettrocardiogramma . Posso semmai farvi gli screenshot di alcune regole globali (sempre di default) che non riesco molto bene a interpretare ma mi sembrano "poste male".
Oppure postarvi uno screenshot del log di Outpost. Altro non posso fare. |
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 26/09/2007 : 14:09:17
|
Intanto ecco gli screenshot dei Bloccati e dei Permessi relativamente a quando ho acceso il pc (dopo averlo riavviato con le impostazioni di cui sopra):
(impostazioni default) Bloccati.jpg
Da notare l'indirizzo remoto, ora quello del router, ora quello del pc del mio amico. E anche l'indirizzo locale che fa parte di un range di IP di IANA.
(impostazioni default) Permessi.jpg
Da notare come svchost.exe mi abbia chiesto (e per ben 2 volte, anche se nello screenshot non si vede la seconda volta) il permesso per il DNS Resolving, malgrado questo permesso lo abbia già di default nelle regole globali.
NB: tutte le diciture con questo simbolo #, nella colonna "Ragione", sono le regole che mano mano Outpost mi chiede di creare!
Queste immagini riguardano due Regole Globali:
(impostazioni default) Permetti loopback.jpg
Secondo voi è giusta l'impostazione "dove l'host è 127.0.0.0255.255.255.0"?
Lolalhost UDP connection.jpg
Anche in questo caso, è giusto che nella condizione ci sia "Dove l'host è 127.0.0.0(255.255.255.255) e dove l'host locale è 255.255.255.255 (0.0.0.0)?
A me paiono un po' strani questi indirizzi... e il bello (o il brutto) è che sono quelle di default!!
Sempre Tra le regole globali, inoltre, ci sono altre cose che non capisco, tipo:
- Permetti DCHP in uscita che dice:
Dove il protocollo è UDP, e dove la porta remota è: BOOTPS, BOOTPC, 546, 547 Permettilo
A cosa servono il Bootstrap Protocol Server e il Bootstrap Protocol Client? E perchè quelle porte 546 e 547?
- Permetti protocollo GRE
Dove il protocollo è IP e tipo GRE, Permettilo
Il protocollo Generic Routing Encapsulation, serve alla mia rete LAN? Serve al router? Tra le regole globali del tizio della guida, questo tipo di permesso era impostato come Negalo
- Permetti controllo connessione PPTP
Dove il protocollo è TCP, dove la direzione è in uscita e il tipo di pacchetto locale, e dove la porta locale è 1024-65535, Permettilo
Che è il PPTP e quale tipo di controllo svolge?
Dulcisi in fundo, con le impostazioni di default del firewall, ogni tanto mi esce fuori di Negare il protocollo IP e di tipo IGMP. Me lo chiede Outpost, perchè?
|
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 26/09/2007 : 19:44:38
|
Mi sembra di aver esagerato con le richieste sopra esposte... scusate, è che ho tanta voglia di capire.
Comunque vi tengo aggiornati.
Checchè se ne dica, la configurazione con le regole restrittive funziona meglio di quella di default. Con l'impostazione restrittiva vedo che almeno non si verificano gli Allarmi Attacchi, anche se continuo a vedere nel log dei bloccati (ma con molta meno frequenza) gli IP del router e del pc del mio amico. Poi, onestamente, navigo più velocemente!
Per ora sono riuscita a risolvere il problema dell'instant messaging. Era errata () non un impostazione nel firewall, me nelle preferenze di connesione all'interno del programma aMsn.
Ovvero, volevo farlo connettere attraverso la porta htt*, e invece richiede necessariamente la porta 1863.
Per quanto riguarda il problema dei login nei forum (o nei siti), sembra che sia legato ad un plug-in di Outpost, che si chiama Filtro Contenuti Attivi, dove si possono disabilitare diverse cose, tra cui cookies, ActiveX, applet Java, immagini flash, frame nascosti, Script Java e VB Script. Insomma, un bel po' di cosine. Oppure si può far in modo che di volta in volta Outpost chieda, a seconda del sito che si visita, se accettare o no tutte le cose elencate.
Io ho disabilitato un po' di cose, per altre ho impostato in modo che Outpost mi ponga la domanda se accettare o meno. Fatto sta che quando ho disabilitato i cookies, non riuscivo ad entrare più nemmeno qui. 
Ma ci deve essere qualche altra cosa che da fastidio al sito di notrace, perchè subito dopo il login mi spedisce in una pagina in cui trovo scritta questa frase:
Forum2field blocked by outpost firewall
Però poi, attraverso il segnalibri riesco a rientrare nel forum loggata. Con i cookies abilitati però!
Per quanto riguarda la posta, ho risolto il problema a metà. Cioè, mi sto avvicinando alla risoluzione, ma ancora non ho capito bene qual è l'inghippo. Comunque entrano in ballo 2 fattori: quello del loopback:localhost (che pure ho autorizzato! ), e quello del DNS Resolving. Perchè?
Ve lo dico io perchè: purtroppo uso una suite (browser + client) e quindi le regole che ho dato a SM sono quelle di browser default + quelle di client default + il DNS Resolving (con svchost.exe bloccato).
Quindi che succede? Che il DNS Resolving per il browser funziona, per il client invece no.
Ho provato a separare le due cose, ma Outpost me lo impedisce perchè quando inserisco Seamonkey.exe, mi dice che le regole per questa applicazione sono state già create.
Outlook Express non lo resuscito nemmeno se mi puntano una pistola alla tempia. Quindi non posso fare prove con client alternativi. Nemmeno con Thunderbird perchè è stretto parente di SeaMonkey.
Whireshark ho provato a farlo funzionare, ma niente da fare, non so quale comando devo dargli per farlo partire. Ho provato con "Go" e con "Start", ma non mi fa vedere un bel niente se non una finestra bianca divisa in 3 parti...
Vi farò sapere ulteriori sviluppi... non mi abbandonate!
|
|
|
|
Diana
Advanced Member
269 Messaggi |
Inserito il - 26/09/2007 : 19:46:45
|
Mi sembra di aver esagerato con le richieste sopra esposte... scusate, è che ho tanta voglia di capire.
Comunque vi tengo aggiornati.
Checchè se ne dica, la configurazione con le regole restrittive funziona meglio di quella di default. Con l'impostazione restrittiva vedo che almeno non si verificano gli Allarmi Attacchi, anche se continuo a vedere nel log dei bloccati (ma con molta meno frequenza) gli IP del router e del pc del mio amico. Poi, onestamente, navigo più velocemente!
Per ora sono riuscita a risolvere il problema dell'instant messaging. Era errata () non un impostazione nel firewall, me nelle preferenze di connesione all'interno del programma aMsn.
Ovvero, volevo farlo connettere attraverso la porta htt*, e invece richiede necessariamente la porta 1863.
Per quanto riguarda il problema dei login nei forum (o nei siti), sembra che sia legato ad un plug-in di Outpost, che si chiama Filtro Contenuti Attivi, dove si possono disabilitare diverse cose, tra cui cookies, ActiveX, applet Java, immagini flash, frame nascosti, Script Java e VB Script. Insomma, un bel po' di cosine. Oppure si può far in modo che di volta in volta Outpost chieda, a seconda del sito che si visita, se accettare o no tutte le cose elencate.
Io ho disabilitato un po' di cose, per altre ho impostato in modo che Outpost mi ponga la domanda se accettare o meno. Fatto sta che quando ho disabilitato i cookies, non riuscivo ad entrare più nemmeno qui.
Ma ci deve essere qualche altra cosa che da fastidio al sito di notrace, perchè subito dopo il login mi spedisce in una pagina in cui trovo scritta questa frase:
Forum2field blocked by outpost firewall
Però poi, attraverso il segnalibri riesco a rientrare nel forum loggata. Con i cookies abilitati però!
Per quanto riguarda la posta, ho risolto il problema a metà. Cioè, mi sto avvicinando alla risoluzione, ma ancora non ho capito bene qual è l'inghippo. Comunque entrano in ballo 2 fattori: quello del loopback:localhost (che pure ho autorizzato! ), e quello del DNS Resolving. Perchè?
Ve lo dico io perchè: purtroppo uso una suite (browser + client) e quindi le regole che ho dato a SM sono quelle di browser default + quelle di client default + il DNS Resolving (con svchost.exe bloccato).
Quindi che succede? Che il DNS Resolving per il browser funziona, per il client invece no.
Ho provato a separare le due cose, ma Outpost me lo impedisce perchè quando inserisco Seamonkey.exe, mi dice che le regole per questa applicazione sono state già create.
Outlook Express non lo resuscito nemmeno se mi puntano una pistola alla tempia. Quindi non posso fare prove con client alternativi. Nemmeno con Thunderbird perchè è stretto parente di SeaMonkey.
Whireshark ho provato a farlo funzionare, ma niente da fare, non so quale comando devo dargli per farlo partire. Ho provato con "Go" e con "Start", ma non mi fa vedere un bel niente se non una finestra bianca divisa in 3 parti...
Vi farò sapere ulteriori sviluppi... non mi abbandonate!
|
|
|
|
Discussione |
|
|
|
Outpost e regole
Forum Bloccato
