dickdusterdly
14-08-2003, 20:33
Mi sapreste dire se ci sono porte specifiche da bloccare col firewall, cioè porte che per sicurezza dovrebbero comunque stare sempre chiuse, tipo la 135?
Grazie :confused:
Grazie :confused:
View Full Version : Quali porte bloccare?
Bilancino
15-08-2003, 01:00
beh se il pc non è in rete con altri basta chiudere la 135,137,139
Ciao
Ciao
Bilancino
15-08-2003, 01:00
beh se il pc non è in rete con altri basta chiudere la 135,137,139
Ciao
Ciao
Pardo
15-08-2003, 19:24
vanno chiuse, ossia filtrato tutto il traffico dall'esterno, tutte le porte 'basse' 1-1024
la gran maggioranza dei servizi di rete comunemente exploitati stanno in questo range e x contro se la macchina nn offre servizi di rete e` impossibile che qualcuno abbia bisogno di collegarsi a una di queste porte
se il programma permette questo livello di finezza, andrebbero poi filtrati tutti i pacchetti col flag SYN settato indirizzati alle porte restanti 1024-65535 (=equivale a rifiutare richieste di _nuove_ connessioni, chiudendo dentro quindi eventuali backdoor installate)
Se si fa questo comunque sorgeranno varie eccezioni ad es. x i prog di file sharing, x il trasferimento di file con ICQ o IRC, con FTP ecc. x cui bisogna essere sempre svegli ad accorgersi del problema e aprire la specifica porta necessaria x quei programmi.
Dopo un periodo di aggiustamento x questi motivo andra` tutto bene ma col pc molto + blindato.
Questa e` una configurazione di max sicurezza visto che si chiude tutto, e poi si va ad aprire manualmente come eccezione.
Al contrario invece di lasciare libero tutto e filtrare solo qualke porta particolare.
infine e` bene anche filtrare i ping (echo request)
la gran maggioranza dei servizi di rete comunemente exploitati stanno in questo range e x contro se la macchina nn offre servizi di rete e` impossibile che qualcuno abbia bisogno di collegarsi a una di queste porte
se il programma permette questo livello di finezza, andrebbero poi filtrati tutti i pacchetti col flag SYN settato indirizzati alle porte restanti 1024-65535 (=equivale a rifiutare richieste di _nuove_ connessioni, chiudendo dentro quindi eventuali backdoor installate)
Se si fa questo comunque sorgeranno varie eccezioni ad es. x i prog di file sharing, x il trasferimento di file con ICQ o IRC, con FTP ecc. x cui bisogna essere sempre svegli ad accorgersi del problema e aprire la specifica porta necessaria x quei programmi.
Dopo un periodo di aggiustamento x questi motivo andra` tutto bene ma col pc molto + blindato.
Questa e` una configurazione di max sicurezza visto che si chiude tutto, e poi si va ad aprire manualmente come eccezione.
Al contrario invece di lasciare libero tutto e filtrare solo qualke porta particolare.
infine e` bene anche filtrare i ping (echo request)
CYRANO
16-08-2003, 02:15
Grazie alla guida di bilancino tramite icq , son riuscito a rendere stealth tutte le porte "basse" con il Sygate 5.1
In pratica è il SvHost che mi apriva 3 porte : la famigerata 135 , la 5000 ed un'altra che non ricordo.
Una volta bloccati i 2 processi Svhost , tutte le porte sono stealth...
;)
Ciaozzz
In pratica è il SvHost che mi apriva 3 porte : la famigerata 135 , la 5000 ed un'altra che non ricordo.
Una volta bloccati i 2 processi Svhost , tutte le porte sono stealth...
;)
Ciaozzz
jedy48
17-08-2003, 16:53
Originariamente inviato da Bilancino
beh se il pc non è in rete con altri basta chiudere la 135,137,139
Ciao
ciao Bilancino, potresti spiegarmi come fare a chiudere delle porte con Outpost Pro 2? grazie
beh se il pc non è in rete con altri basta chiudere la 135,137,139
Ciao
ciao Bilancino, potresti spiegarmi come fare a chiudere delle porte con Outpost Pro 2? grazie
Bilancino
17-08-2003, 16:58
Originariamente inviato da jedy48
ciao Bilancino, potresti spiegarmi come fare a chiudere delle porte con Outpost Pro 2? grazie
devi bloccare il processo windows svhost che vuole accedere appena avvii la connessione e disabilitare la condivisione di files e stampanti. Poi fai il un test e verifichi..........
Ciao
ciao Bilancino, potresti spiegarmi come fare a chiudere delle porte con Outpost Pro 2? grazie
devi bloccare il processo windows svhost che vuole accedere appena avvii la connessione e disabilitare la condivisione di files e stampanti. Poi fai il un test e verifichi..........
Ciao
caosss
17-08-2003, 22:05
ma perchè se tolgo la condivisione non posso più salvare la password della connessione???
DooM1
25-08-2003, 00:55
Originariamente inviato da Pardo
vanno chiuse, ossia filtrato tutto il traffico dall'esterno, tutte le porte 'basse' 1-1024
la gran maggioranza dei servizi di rete comunemente exploitati stanno in questo range e x contro se la macchina nn offre servizi di rete e` impossibile che qualcuno abbia bisogno di collegarsi a una di queste porte
se il programma permette questo livello di finezza, andrebbero poi filtrati tutti i pacchetti col flag SYN settato indirizzati alle porte restanti 1024-65535 (=equivale a rifiutare richieste di _nuove_ connessioni, chiudendo dentro quindi eventuali backdoor installate)
Se si fa questo comunque sorgeranno varie eccezioni ad es. x i prog di file sharing, x il trasferimento di file con ICQ o IRC, con FTP ecc. x cui bisogna essere sempre svegli ad accorgersi del problema e aprire la specifica porta necessaria x quei programmi.
Dopo un periodo di aggiustamento x questi motivo andra` tutto bene ma col pc molto + blindato.
Questa e` una configurazione di max sicurezza visto che si chiude tutto, e poi si va ad aprire manualmente come eccezione.
Al contrario invece di lasciare libero tutto e filtrare solo qualke porta particolare.
infine e` bene anche filtrare i ping (echo request)
Beh scusa però non si fa prima a settare il firewall per bloccare tutto, e creare le regole per ogni eccezione?
Io uso kerio e faccio così!
Anche se ho comunque messo per sicurezza :sofico: la regola per bloccare la porta 135 e qualche altra! In teoria questa regola non serve a nulla perchè se non autorizzo quelle porte esplicitamente, non si aprono però...
Ah, io in casa ho una LAN tra 2 PC, e infatti non funzionava avendo bloccato le porte 135, 137, 139 (e anche qualche altra) con una regola, allora ho creato un'altra regola da mettere sopra (come priorità) autorizzando solo l'IP del PC collegato in rete locale!
Ah, ho dovuto autorizzare anche il mio stesso IP, che poi sarebbero 2 (quello online 192.168.0.1 e quello offline 127.0.0.1), nonchè un IP che non so di preciso a cosa serva che sarebbe 192.168.0.255!
In questo modo la lan funziona e sono protetto!
Ah, poi volevo chiedere una cosa:
il firewall, messo in posizione Ask Me First (praticamente mi chiede se autorizzare o no un processo non specificato nella regole), rileva degli IP tipo 0.0.0.0:68, 239.255.255.250 e 255.255.255.255!
Ma a che cacchio servono??? So solo che li blocco e funziona tutto lo stesso!!!
Ciaux :D ;)
vanno chiuse, ossia filtrato tutto il traffico dall'esterno, tutte le porte 'basse' 1-1024
la gran maggioranza dei servizi di rete comunemente exploitati stanno in questo range e x contro se la macchina nn offre servizi di rete e` impossibile che qualcuno abbia bisogno di collegarsi a una di queste porte
se il programma permette questo livello di finezza, andrebbero poi filtrati tutti i pacchetti col flag SYN settato indirizzati alle porte restanti 1024-65535 (=equivale a rifiutare richieste di _nuove_ connessioni, chiudendo dentro quindi eventuali backdoor installate)
Se si fa questo comunque sorgeranno varie eccezioni ad es. x i prog di file sharing, x il trasferimento di file con ICQ o IRC, con FTP ecc. x cui bisogna essere sempre svegli ad accorgersi del problema e aprire la specifica porta necessaria x quei programmi.
Dopo un periodo di aggiustamento x questi motivo andra` tutto bene ma col pc molto + blindato.
Questa e` una configurazione di max sicurezza visto che si chiude tutto, e poi si va ad aprire manualmente come eccezione.
Al contrario invece di lasciare libero tutto e filtrare solo qualke porta particolare.
infine e` bene anche filtrare i ping (echo request)
Beh scusa però non si fa prima a settare il firewall per bloccare tutto, e creare le regole per ogni eccezione?
Io uso kerio e faccio così!
Anche se ho comunque messo per sicurezza :sofico: la regola per bloccare la porta 135 e qualche altra! In teoria questa regola non serve a nulla perchè se non autorizzo quelle porte esplicitamente, non si aprono però...
Ah, io in casa ho una LAN tra 2 PC, e infatti non funzionava avendo bloccato le porte 135, 137, 139 (e anche qualche altra) con una regola, allora ho creato un'altra regola da mettere sopra (come priorità) autorizzando solo l'IP del PC collegato in rete locale!
Ah, ho dovuto autorizzare anche il mio stesso IP, che poi sarebbero 2 (quello online 192.168.0.1 e quello offline 127.0.0.1), nonchè un IP che non so di preciso a cosa serva che sarebbe 192.168.0.255!
In questo modo la lan funziona e sono protetto!
Ah, poi volevo chiedere una cosa:
il firewall, messo in posizione Ask Me First (praticamente mi chiede se autorizzare o no un processo non specificato nella regole), rileva degli IP tipo 0.0.0.0:68, 239.255.255.250 e 255.255.255.255!
Ma a che cacchio servono??? So solo che li blocco e funziona tutto lo stesso!!!
Ciaux :D ;)
jedy48
25-08-2003, 10:18
grazie bilancino, avevo già disabilitato la condivisione file e stampanti, ed ora hò bloccato svhost, a cosa servirebbe questo servizio?:confused:
John J. Rambo
26-08-2003, 20:40
Originariamente inviato da Bilancino
beh se il pc non è in rete con altri basta chiudere la 135,137,139
Ciao
Eseguendo il test "Advanced Port Scanner" di PC Flank, le mie porte risultano tutte "stealthed", tranne appunto questa 135 che risulta "closed". :rolleyes:
E' normale che sia cosi', oppure dovrebbe anch'essa essere "stealthed"?
Come firewall uso il Sygate 5.1, e ho bloccato il processo svchost.exe.
Grazie per l'info, ciao!! :)
beh se il pc non è in rete con altri basta chiudere la 135,137,139
Ciao
Eseguendo il test "Advanced Port Scanner" di PC Flank, le mie porte risultano tutte "stealthed", tranne appunto questa 135 che risulta "closed". :rolleyes:
E' normale che sia cosi', oppure dovrebbe anch'essa essere "stealthed"?
Come firewall uso il Sygate 5.1, e ho bloccato il processo svchost.exe.
Grazie per l'info, ciao!! :)
jedy48
26-08-2003, 22:07
ho dovuto riabilitare il svchost.exe. xchè altrimenti NON navigavo +
stexlex
27-08-2003, 14:01
dato che ho installato Kerio solo ieri...cè qualcuno che mi saprebbe dire come faccio a bloccare svchost.exe...
Bilancino
27-08-2003, 15:33
Originariamente inviato da stexlex
dato che ho installato Kerio solo ieri...cè qualcuno che mi saprebbe dire come faccio a bloccare svchost.exe...
devi bloccare le porte dalla 135 alla 139 tcp udp in entrata e in uscita, poi fai i test in rete.
Ciao
dato che ho installato Kerio solo ieri...cè qualcuno che mi saprebbe dire come faccio a bloccare svchost.exe...
devi bloccare le porte dalla 135 alla 139 tcp udp in entrata e in uscita, poi fai i test in rete.
Ciao
stexlex
28-08-2003, 13:20
grazie...stasera provo
agol
28-08-2003, 21:20
Originariamente inviato da dickdusterdly
Mi sapreste dire se ci sono porte specifiche da bloccare col firewall, cioè porte che per sicurezza dovrebbero comunque stare sempre chiuse, tipo la 135?
Grazie :confused:
Mi pare di aver letto sul sito della symantec di bloccare pure le 4444, 69; mentre sul sito miccrosoft ho trovato notizie sulle 445, 593.
Corregetemi se sbaglio.Ciao
Mi sapreste dire se ci sono porte specifiche da bloccare col firewall, cioè porte che per sicurezza dovrebbero comunque stare sempre chiuse, tipo la 135?
Grazie :confused:
Mi pare di aver letto sul sito della symantec di bloccare pure le 4444, 69; mentre sul sito miccrosoft ho trovato notizie sulle 445, 593.
Corregetemi se sbaglio.Ciao
Bilancino
28-08-2003, 21:30
Originariamente inviato da agol
Mi pare di aver letto sul sito della symantec di bloccare pure le 4444, 69; mentre sul sito miccrosoft ho trovato notizie sulle 445, 593.
Corregetemi se sbaglio.Ciao
Le porte da bloccare sarebbero diverse e bisognarebbe fare una attenta ricerca quello che non capisco come la symantec venda prodotti facendosi pagare sonoramente e non fa in modo che i suoi firewall siano loro a dire cosa bisogna fare..........
Ciao
Mi pare di aver letto sul sito della symantec di bloccare pure le 4444, 69; mentre sul sito miccrosoft ho trovato notizie sulle 445, 593.
Corregetemi se sbaglio.Ciao
Le porte da bloccare sarebbero diverse e bisognarebbe fare una attenta ricerca quello che non capisco come la symantec venda prodotti facendosi pagare sonoramente e non fa in modo che i suoi firewall siano loro a dire cosa bisogna fare..........
Ciao
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.