Interpretare i logs di zone alarm

[RedKid]

Ciao a tutti,
qualcuno mi sa indicare che indicare dove reperire una guida per l'interpretazione corretta dei logs di zone alarm ?
Io utilizzo questo prodotto, nella versione freeware, anche in un contesto di piccola rete aziendale ed in particolare mi piacerebbe comprendere gli innumerevoli alert che vengono generati dal traffico di rete.
Grazie e ciao

[Habanero]

Intendi i segnali dei popup, della pagina Alerts & Logs o quelli testuali contenuti nella cartella "\windows\Internet Logs"?

Cosa conosci dei protocolli TCP/IP?

[RedKid]

Intanto grazie per l'interessamento,
mi riferisco alla schermata alert & logs di zone alarm più che ai messaggi di popup. Ho configurato gli accessi per i vari programmi e gli alert in versione popup sono molto diminuiti.
Specificando in particolare vorrei capire se molti dei tentativi di accesso (incoming) che vedo comparire nell'elenco (ribadisco che mi riferisco ad un contesto di rete LAN) sono da ricondursi ad "innocenti" ping provenienti o sono sintomo di qualcosa di diverso.
Faccio un esempio, potrebbero essere sintomo della presenza in rete di un pc usato come testa di ponte da un virus o altro????
Inoltre mi incuriosice molto l'enorme quantità di (outgoing) che vengono generati dalla mia macchina verso vari server e client presenti nella rete.
Le mie conoscenze relativamente al TCP non sono molto approfondite ma spero di aver chiarito bene gli aspetti che mi interessano.
P.S. Se può essere utile nella valutazione della risposta specifico che il mio S.O. e Win. 2000 server.
Ciao..

[olly]

Questa spiegazione interessa molto anche a me.

Ciao Habanero.

[olly]

Quello che mi ricordo io è questo, per quanto riguarda Zone Allarm:

La sigla PE sta ad indicare che è comparsa una popup chiedendoti il permesso di far accedere un programma alla rete;

la sigla ACCEss indica che è stato bloccato l'accesso ad un programma;

la sigla FWIn indica che è stato bloccato un pacchetto in ingresso;

la sigla Fout, nn ricordo se è scritta correttamente, indica che è stato bloccato un pacchetto in uscita.


Poi trovi scritto ad esempio: 238.255.xxxx.xxx: 19: hai l'ip e la porta alla quale il programma cerca di accedere.....

Ciao a tutti.

[RedKid]

grazie olly,
probabilmente come aveva garbatamente ventilato habanero, sarebbe più corretto iniziare il percorso da una buona guida del protocollo Tcp/ip (almeno per me).
Io sto provvedendo ed in definitiva penso di poter riassumere le mie curiosità nella comprensione dell'origine di quelli che vengono identificati come semplici "ping". Mi spiego meglio e chiedo venia per l'eventuale scontatezza della domanda, ma che bisogno hanno tutti gli host di generare questa enorme quantità di ping verso il mio server ???? Sono traffici riconducibili alla normale gestione del flusso di dati o è comunque un comportamento anomalo ????
Bah.......


______________________
Quando senti un rumore e ti sembrano zoccoli di cavallo........
di solito SONO zoccoli di cavallo.

[Habanero]

RedKid...
sai è difficile fare un discorso generale... la casistica puo' essere decisamente vasta... Se vuoi puoi provare a postare le segnalazioni più ricorrenti e si puo' tentare di analizzarle qui.

Attenzione comunque alla configurazione...

se i popup ti danno fastidio puoi disabilitare la segnalazione.
sezione Overview, foglio preferences, in basso togli la spunta da "Alert me with a pop-up....". Questo non influenza il filtro.

I ping vengono dalla tua rete o dall'esterno?
Con che frequenza arrivano?
Il ping di per sè non è pericoloso a meno che letteralmente non ti sommergano...
Con un ping uno puo' semplicemente vedere se l'host è attivo... ovviamente se il firewall lo blocca il richiedente non riceverà risposta e quindi il server sembrerà non esistere.

OLLY
per i log in forma testuale che trovi in:
Windows 9x/Me/XP : \Windows\Internet Logs
Windows 2000: \winnt\Internet Logs

puoi guardare qui:

http://robertpanderson.homestead.com...onealarm1.html

[olly]

Grazie mille Habanero.



Di nulla RedKid.

[RedKid]

Ok! Riassumendo, i tentativi di accesso assumono quasi sempre questa forma



protocol ICMP(type:8/subtype:0)
source ip xxx.xxx.xxx.74
destination ip mio server

protocol TCP(flag:S)
source ip xxx.xxx.xxx.74:3053
destination ip mio server:445
protocol UDP
source ip xxx.xxx.xxx.74:137
destination ip mio server:137

che ne dite ???

___________________
Un giorno in questa vita le domande lasceranno spazio ........
............ad altre domande

[Habanero]

allora con ordine

1)
ICMP Type 8
Ping utilizza il protocollo ICMP che si appoggia direttamente su IP.
La richiesta di Ping viene fatta utilizzando un valore 8 per il tipo di messaggio.
Tutti questi tipi di richiesta sono quindi Ping eseguiti dall'esterno verso il tuo server

2)
TCP flag S
Significa che un Pc remoto ha cercato di connettersi al tuo server tramite il protocollo TCP. Flag S indica il bit SYN settato all'interno del pacchetto: è il primo passo per la richiesta di connessione.

Quello che a questo punto devi guardare è cosa hanno cercato di fare. Come vedi c'è stato un tentativo di connessione sulla porta 445 che in genere viene usata da Windows per gestire tra le tante cose anche il CIFS (Common Internet File System) cioè il sistema che permette di condividere file e cartelle nella rete locale.
Un utilizzo simile è assegnato alla porta 139 (NetBios-session)

Insomma dall'esterno hanno probabilmente cercato di vedere se condividi documenti anche su internet.

3)
UDP
UDP è protocollo senza connessione tra gli estremi (immagina che TCP è l'analogo di una telefonata, UDP di un sms)
E' stato mandato un datagramma UDP sulla tua porta 137 (NetBios - datagram)
Attraverso questa porta vengono richieste informazioni su nome del computer, del workgroup etc... che sono utili per una eventuale successiva connessione alle risorse condivise.