come funziona un firewall?

[Caleb]

mi sto leggendo un pò di documentazione ma ho qualche dubbio

dunque, da quel che ho capito le porte su una macchina sono normalmente tutte chiuse, e si aprono solo se si tira su un servizio che opera su una data porta

a quel punto la mia macchina è aperta su quella porta, se faccio telnet indirizzo porta mi ci collego, indipendentemente dal fatto che poi dal client telnet possa dare o meno comandi sensati

ma a quel punto se io metto su un firewall per proteggere quella macchina, e chiudo quella porta, il servizio non è + raggiungibile

quindi il firewall lo uso solo per chiudere le altre porte... ma quelle non sono già chiuse, per il fatto che nessun servizio è attivo su quelle porte? e allora il firewall a che serve?

chiaritemi..... grazie!

[indre]

ciao..
il firewall serve ad un sacco di cose..
puoi fare le VPN, proteggere da attacchi Denial of Service..
NAT. PAT.. ecc..

filtra i pacchetti in bae ad ip, porta, protocollo, contenuti, sessioni...
ciao

[Caleb]

eeeh sì.... fin qui mi è chiaro... conosco il nat, mi son letto qualcosa sui pix, sto pasticciando con iptables su linux.... ma è la logica che sta alla base che mi sfugge...

[indre]

ma è la logica che sta alla base che mi sfugge...

che logica?
il firewall server per proteggere la tua lan dalla lan stessa e dal mondo esterno..

[Caleb]

fin qui ci sono

ma come ho scritto nel primo post

se io non ho nessun servizio attivo su una determinata porta nessuno ci si può collegare, in questo senso una macchina senza nessun servizio attivo è inviolabile, perchè non ci si può affidare a nessun difetto del servizio per violarla (come potrebbe essere un bug di sendmail, ad esempio)

nel momento in cui tiro su un servizio viene aperta una porta, a quel punto io mi ci posso collegare

poi decido di proteggere la macchina con un firewall

ma il firewall se chiude l'accesso a quella porta mi chiude anche l'utilizzo del servizio dall'esterno...

quindi quella porta non la devo chiudere dal firewall se no non mi collego +, per contro potrei chiudere tutte le altre

ma dove sta il senso di chiudere quello che in realtà non è mai stato aperto, se nessun altro servizio sta girando?

[Boromir]

se io non ho nessun servizio attivo su una determinata porta nessuno ci si può collegare, in questo senso una macchina senza nessun servizio attivo è inviolabile, perchè non ci si può affidare a nessun difetto del servizio per violarla (come potrebbe essere un bug di sendmail, ad esempio)

Ti sbagli !! Se io sono "qualcuno" che ti vuole affondare ... ci riesco con o senza servizi aperti ! una macchina è obbligata a rispondere a pacchetti di broadcast di syn/ack . Con questi principi si basano attacchi come i DOS !!
Con Iptables , poi vedrai + avanti studiando, potreai seguire delle logcihe di difese non solo basate su servizio aperti , basta che chiudi la porta et voilà , ma marcature di pacchetto , priorità del pacchetto , rifiutare i New ack ma lasciar passare solo gli established e così via !! Poi se vuoi addentrarti c'è anche Ebtables una modifica di iptables con cui poui giocare anche con Mac address ... se sei paranoico !

[Caleb]

no, sono curioso! hehe

grazie del chiarimento

allora la logica generale è quella di chiudere in ogni caso tutte le porte, per poi lasciare aperte solo quelle dei servizi a cui ci si deve collegare dall'esterno?

[b00malek]

Broadcast di syn/ack??
Cazzo sono???

Non ne ho mai sentito parlare....

[indre]

credo intenda un attacco per sfruttare la debolezza dello stack tcp/ip.

io mando un syn con un ip inesistente su una porta del server-- il server mi manda il suo syn e rimane in attesa del mio ACK..
perciò il server può stare in pending dai 75 sec. ai 23 minuti in attesa della mia risposta... basta farne un bel po per satura la memoria di buffer.. e quindi bloccare il servizio o rallentarlo molto

credo intenda questo..

[indre]

oppure intende un land attack..
una machina invia un syn con l'ip sorgente del server stesso..
il server continua a rispondere a se stesso..intasando il tutto...