porte closed, but not hidden!

[Guhk]

Ho misurato l' efficacia della protezione del mio pc sul sito www.pcflank.com, ma il risultato mi ha lasciato un pò perplesso: uso kerio personal firewall 4 e ho chiuso le porte 135, 137, 138, 139 ai protocolli TCP e UDP...infatti mi ha confermato questo fatto, ma ha aggiunto che queste porte (e altre) sono visibili sulla rete, raccomandandomi di renderle invisibili per una maggiore sicurezza. Allora mi chiedo:

E' veramnte importante che le porte non siano visibili (stealthed, giusto?) oltre che chiuse?

Se sì, come posso farlo?


Grazie in anticipo!

[pasKuz]

per quanto ne so io, le porte del tuo pc devono essere invisibili, x fare in modo di scansare eventuali attakki hacker. difatti, in tal modo, chiunque cerki con un qualke programma di entrare nel tuo pc, vede che nn hai porte aperte!
ti consiglio di renderle invisibili, ma nn so come si faccia con kerio personal firewall ( vedi 1 po' nelle opzioni)
inoltre, ti consiglio di mettere qualke sondino da parte ed acquistare Norton Internet Security 2004: è eccezionale!

[Delmak_O]

ne so poco, però penso che se delle porte sono chiuse, bé sono chiuse non si pone neppure il problema se siano visibili o invisibili...una porta chiusa è un programma che 'rinuncia' all'accesso ad Internet, se ne sta tranquillo nella tua macchina, senza alcun legame con la rete...casomai il problema è opposto, un firewall dovrebbe poter rendere in-visibili tutte le tue porte, anche quelle che non potrai mai chiudere perché essenziali, se poi vuoi chiudere le porte già in-visibili grazie al tuo firewall devi settare la configurazione di qualche tuo programma in modo che non richieda più l'accesso ad Internet, o disabilitare quelche servizio, o utilizzare qualche utility che ti permetta tutto questo...ma se qualcuno ne sa più di me...

[shishii]

Ciao,

si dice che una porta è chiusa quando il sistema risponde ad un pacchetto di richiesta di connessione TCP con il flag SYN attivato con un pacchetto TCP con il flag RST (reset) e chiude la connessione stessa. E' definita stealth quando non risponde affatto. E' aperta quando risponde con un pacchetto SYN|ACK.

Non è esatto dire che ad una porta chiusa corrisponde un programma che rinuncia ad accedere sulla rete, al 99% ad una porta chiusa non corrisponde nessun programma, infatti se un programma è fatto per accedere alla rete al momento dell'avvio apre un socket e quindi una porta relativa al servizio che deve dare.

Che io sappia nessun sistema operativo nasce per NON rispondere alle richieste di connessione, quindi ricevuto un paccheto SYN su qualunque porta risponderà con un SYN|ACK o con un RST. Il rendere una porta stealth è un comportamento tipico dei firewall.

Sotto il profilo della sicurezza è meglio rendere le porte stealth che chiuse perchè qualuque risposta, anche negativa, fornisce preziose informazioni ad un attaccante, infatti qualunque pacchetto è una miniera di dati, per chi li sa leggere a basso livello. Infatti software tipo Nmap sono capaci di determinare il sistema operativo del computer attaccato anche in presenza di tutte le porte chiuse, invece non possono se non ricevono risposte.

[Habanero]

Originariamente inviato da shishii
Sotto il profilo della sicurezza è meglio rendere le porte stealth che chiuse perchè qualuque risposta, anche negativa, fornisce preziose informazioni ad un attaccante, infatti qualunque pacchetto è una miniera di dati, per chi li sa leggere a basso livello. Infatti software tipo Nmap sono capaci di determinare il sistema operativo del computer attaccato anche in presenza di tutte le porte chiuse, invece non possono se non ricevono risposte.

Oltre a questo aggiungo che porte chiuse possono ancora permettere attacchi allo stack TCP/IP nel caso questo sia vulnerabile. Tipici sono attacchi DoS e crash di sistema.
Eventualità rare, ma comunque possibili.