Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 2 su 2
  1. 03-11-2004, 20:54 #1
    FlashDomi
    FlashDomi non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2002
    Messaggi
    247

    curiosità firewall per inesperto

    ciao, volevo domandarvi qualche curiosità che mi tormentano da quando ho installato sygate personal firewall. e' un po lungo il post ma mi sono da poco appassionato alla sicurezza, protocolli internet e le loro implementazioni in ambiente win e sono confuso.

    uso win xp1, IE6 sp1 e outlook express. mi collego con router/modem ADSL e ho una lan.

    ci sono un po di pacchetti che non comprendo (a dir la verità il mio problema riguarda NDIS user I/O - ndisuio.sys -, pur avendo letto molto ultimamente non riesco a capire cos'e' e cosa fa. non so se devo permettere di uscire o meno). in ogni caso i pacchetti sono i seguenti:

    quando accendo il computer e il router i primi pacchetti sono sempre comunicazioni del kernel UDP dalla porta 137-138 che centrano con il netbios (avevo sentito che si poteva disabilitare pero' non mi ricordo se dopo non riesci piu ad condividere file e stampanti in lan)

    subito dopo mi arriva un pacchetto UDP (bloccato dal FW) da 0.0.0.0:68 (remote) a 255.255.255.255:67(local) con nessuna applicazione associata e subito dopo mi arriva (da ndisuio.sys) un pacchetto UDP dal router sempre dalle stesse porte pero invertite (local = 68). per quest'ultimo mi arriva il messaggio se abilitare o meno l'ingresso.

    domanda 1: e' il DHCP?? funziona anche se blocco la richiesta quindi non so se bloccarlo o meno.

    se non lo blocco successivamente questo servizio continua a dialogare con il router (porte 53-137-138). oggi pero' sono arrivati anche pacchetti sospetti.
    non so come ho inviato dei pacchetti con outlook express alla porta 80 degli ip: 151.4.39.12 e 151.38.9.167 (INFOSTRADA)
    domanda 2: potrebbe essere la risposta a una mail con conferma di ricezione??

    dopo di che il primo ip postato sopra mi ha risposto dalla porta 80 alla 1094. poi ecco i pacchetti sospetti: via ICMP verso la porta 13 da 195.45.58.17:3 (infostrada iunet) prima usando ndisuio poi da nessuna applicazione (bloccato dal fw)
    dopo 30 secondi la stessa cosa da 139.130.97.62:3 (ip riservato iana)
    uno passato tramite ndisuio.sys e uno bloccato perche senza nessuna applicazione.

    domanda 3: cosa sono questi indirizzi? sono pericolosi? e soprattutto come mai ci sono questi pacchetti con nessuna applicazione associata??

    infine vi lascio con l'ultima domanda: quando navigo in un sito, oltre a collegarsi a molti altri siti (pubblicità e stat), fa tante richieste all'url digitato.

    domanda 4: ma con HTTP 1.1 non dovrebbe fare una sola richiesta ed scaricare l'html e tutti le immagini incorporate? come mai fa tante richieste separate?

    spero che queste domande non siano frutto della mia paranoia o della mia curiosità insana, e che possano avere una risposta.
    se ho scritto qualche passaggio senza senso posso provare a spiegarmi meglio.

    grazie mille. ciao
    Rispondi quotando Rispondi quotando
  2. 04-11-2004, 15:26 #2
    Habanero
    Habanero non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di Habanero
    Registrato dal
    Jun 2001
    Messaggi
    9,782
    hai decisamente messo molta carne al fuoco...

    NDIS è il driver di basso livello che comunica con la scheda di rete.

    Netbios si puo' disabilitare a patto che la rete sia composta da sole macchine windows 2000/xp/2003. E sufficiente disabilitarlo su tutte le interfacce presenti:
    A pagina 3 di questo articolo trovi come fare:
    http://sicurezza.html.it/articoli/ar...&idarticoli=72
    Senza Netbios la condivisione cartelle e stampanti avviene sulla porta 445.

    All'avvio è normale una attività Netbios. Il pc appena acceso infatti deve ottenere dagli altri PC informazioni sulla rete, sulle risorse condivise etc...


    Risposte e considerazioni alla rinfusa:

    Le porte UDP 67 e 68 sono usate dal DHCP (BOOTP). Se sui pc della tua rete tutti gli ip privati sono fissi (non assegnati dal dhcp del router) allora puoi blocacre i pacchetti.... ma forse fai prima a disabilitare il dhcp sul router.

    La porta UDP 53 è quella del DNS. Il tuo pc ha richiesto una traslazione nome<->IP.

    Tra gli indirizzi indicati:
    151.4.39.12 appartiene alla società ICEDATA39 appartenente alla rete infostrada
    139.130.97.62 è un indirizzo appartenente al provider australiano Telstra

    Le connessioni sulla porta 80 di cui parli potrebbero essere qualsisasi cosa... difficile fare congetture: programmi che "chiamano casa", l'apertura del browser, l'apertura di una email che contiene immagini presente sul web...

    ICMP non usa le porte per cui non ha senso quello che affermi sulla porta 13.

    Per quanto riguarda il protocollo HTTP1.1:
    Http 1.1 supporta la connessione Keep Alive. Questo significa che con una unica connessione TCP posso fare numerose richieste HTTP con lo stesso server prima di disconnetermi.
    In genere se la pagina è semplice possono essere richiesti nella stessa connessione pagina e immagini. La decisione però sta unicamente al browser. Se per esempio hai una pagina con frame il browser potrebbe decidere di aprire una connessione per ogni sottopagina in modo da parallelizzare il download.
    Leggi il REGOLAMENTO!

    E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
    Drugo
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.