Quote:
Originariamente inviato da Dânêl
Faccio un esempio:
Emule necessita di una porta TCP e UDP aperta per le connessioni in entrata.
Ora perchè tenerle aperte sempre anche quando non servono o farle utilizzare per connessioni in entrata non desiderate verso altri programmi?
|
A mio avviso potresti lasciarle anche sempre aperte sul firewall, dal momento che per esporre una vulnerabilità deve esserci un processo in ascolto su quelle porte. Se emule è chiuso, nessun problema. Che qualche altro processo vi si metta in listening è possibile, però cmq controllabile.
Un'alternativa è quella di utilizzare le funzionalità UPnP delle ultime versioni di emule per consentire l'apertura dinamica delle porte necessarie sul router.
Quote:
|
Comunque forse ottengo lo stesso risultato con un filtraggio a livello di protocollo...correggetemi se sbaglio, ma se quella patch è in grado di identificare i protocolli allora è in grado di "filtrare" dalle porte aperte solo i protocolli da me desiderati.
|
Certamente. Nel progetto che ho presentato coesistevano sulla stessa macchina un ftp server e un web server, entrambi in ascolto sulla porta 80 (con conseguenti conflitti di binding, ma lasciamo perdere
). Il firewall lasciava passare connessioni solo su questa porta (e sulla porta per i dati dell'ftp passivo), e con il matching a layer 7 bloccavo le connessioni ftp, mentre le http continuavano a funzionare. Ovviamente il tutto era una proof of concept del filtraggio layer 7, nulla più.
Considera ad ogni modo che il filtraggio layer 7 si basa sul confronto di tutti i pacchetti in transito con specifici pattern, disponibili per un numero elevato ma finito di protocolli: in sostanza non puoi decidere arbitrariamente quale protocollo fargli filtrare, a meno che non esista un pattern predefinito per esso oppure che tu non individui un'espressione regolare che lo caratterizzi.
Resta però sempre e comunque un tipo di filtraggio mooooooooooolto pesante, computazionalmente parlando.
Quote:
Es.
Le porte aperte per emule non potrebbero mai essere usate da bittorrent essendo protocolli diversi.
è cosi o sono in errore?
|
Questo è errato, una porta non caratterizza in alcun modo il protocollo applicativo che vi transita (vedi sopra, ftp e http sulla 80), si tratta solo di convenzioni (peraltro ristrette alle porte <=1024). Pertanto del traffico bittorrent potrebbe essere tranquillamente veicolato su una porta usata da emule.
Tieni sempre presente questa regola: una connessione tcp è caratterizzata (e univocamente identificata) da 4 aspetti:
- ip sorgente
- ip destinatario
- porta sorgente
- porta destinataria
Quote:
|
E se qualche "anima pia" mascherasse dei pacchetti malevoli con il protocolo di amule, anche se questo fosse chiuso, verrebbe filtrato o passerebbe indenne?
|
Si, passerebbe indenne. Ad ogni modo, per far danno, dovrebbe esserci una vulnerabilità da exploitare, altrimenti quei pacchetti finirebbero nel vuoto
byebye!