Torna indietro   Hardware Upgrade Forum > Software > Linux, Unix, OS alternativi > Linux per newbies

Samsung Galaxy S25 Edge: il top di gamma ultrasottile e leggerissimo. La recensione
Samsung Galaxy S25 Edge: il top di gamma ultrasottile e leggerissimo. La recensione
Abbiamo provato il nuovo Galaxy S25 Edge, uno smartphone unico per il suo spessore di soli 5,8 mm e un peso super piuma. Parliamo di un device che ha pro e contro, ma sicuramente si differenzia dalla massa per la sua portabilità, ma non senza qualche compromesso. Ecco la nostra prova completa.
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
Pensato per il professionista sempre in movimento, HP Elitebook Ultra G1i 14 abbina una piattaforma Intel Core Ultra 7 ad una costruzione robusta, riuscendo a mantenere un peso contenuto e una facile trasportabilità. Ottime prestazioni per gli ambiti di produttività personale con un'autonomia lontano dalla presa di corrente che permette di lavorare per tutta la giornata
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso
Basato su piattaforma Qualcomm Snapdragon X Plus a 8 core, il nuovo Microsoft Surface Pro 12 è un notebook 2 in 1 molto compatto che punta sulla facilità di trasporto, sulla flessibilità d'uso nelle differenti configurazioni, sul funzionamento senza ventola e sull'ampia autonomia lontano dalla presa di corrente
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 06-07-2008, 08:42   #1
Dânêl
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 485
Application layer con Iptables

Ciao a tutti,
sono da circa un mese passato a debian e volevo cominciare ad occuparmi seriamente della sicurezza. Diciamo che non ho particolari necessità ma "esagerare" anche se per un pc domestico è un buon modo per imparare.
Su windows ero abituati a firewall come Jetico e nell'ultimo periodo Comodo, volendo piuttosto avanzati e con la possbilità di impostare regole a livello applicativi.

È possibile fare una cosa del genere con iptables? Cercando su google non ho trovato molto a parte qualche richiesta senza risposta.
Possibile che cosi potente, Iptables non abbia questa capacità? Sarebbe utile soprattutto se è necessario aprire specifiche porte per specifiche applicazioni (vedi p2p o particolari servizi).
Dato che per il momento devo prendere ancora confidenza con Debian e Iptables (vuol dire che ho pacchi di guide e manuali da leggere ) utilizzo fwbuilder per la gestione...se eventualmente può essere d'aiuto.

Grazie per qualsiasi intervento
Dânêl è offline   Rispondi citando il messaggio o parte di esso
Old 06-07-2008, 12:30   #2
sasa83
Senior Member
 
L'Avatar di sasa83
 
Iscritto dal: May 2008
Messaggi: 622
con guarddog puoi settare tutto quello ke vuoi tramite interfaccia grafica e senza impazzire...
sasa83 è offline   Rispondi citando il messaggio o parte di esso
Old 06-07-2008, 16:52   #3
Dânêl
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 485
Ciao sasa83,
grazie della risposta ma guarddog non è la soluzione adeguata perchè innanzitutto è per kde e io invece uso gnome...
Ad ogni modo lo avevo provato ma non mi aveva soddisfatto più di tanto.
Oltretutto non permette un controllo a livello applicativo ma semplicemente uno sblocco dei servizi (alias apertura porte ma senza alcun filtraggio sulle applicazioni che possono utilizzarle). Non sarebbe tanto diverso dall'aprire le porte necessarie tramite i comandi da terminale di iptables...e poi se sono passato a linux e soprattutto per imparare evitando per quanto possibile gui utilissime e rapide ma che "nascondono" ciò che si dovrebbe fare e sapere. Da questo punto di vista fwbuilder è leggermente diverso....e comunque non appena imparerò per bene l'utilizzo di iptables lo lascerò.

Grazie comunque...
Dânêl è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 01:38   #4
Red`XIII
Senior Member
 
Iscritto dal: Dec 2001
Città: Crema
Messaggi: 2040
Ciao,
se intendi un filtraggio applicativo alla ZoneAlarm credo che per Linux non siano diffusi firewall che mirino a filtrare determinati programmi rispetto ad altri (a parità di impostazioni tcp). Ad es., in Windows, volendo, posso consentire ad un client ftp di uscire sulla porta 21, e contemporaneamente vietarlo ad un altro client ftp.
Ecco, se intendi *questo* tipo di filtraggio, secondo me non c'è tanta roba in giro.
Diversamente, se intendi un filtraggio a livello di protocollo applicativo, esiste un modulo per iptables (in realtà una patch per il kernel + patch per l'eseguibile /sbin/iptables) che ti consente di poter definire delle regole che filtrino alcuni tra i protocolli più famosi (ad es msn, gnutella, edonkey, etc.).
Ti posso garantire che funziona abbastanza bene (ci ho messo le mani per un progetto d'esame consegnato l'altro ieri ).
Tieni presente cmq che per questo tipo di filtraggio è consigliato il traffic shaping più che il blocking delle connessioni, perchè purtroppo si può sempre in qualche modo aggirare i filtri.
Trovi tutto qui http://l7-filter.sourceforge.net/

Considera poi che in linux gli applicativi tendono ad essere molto meno invasivi rispetto a quelli windows: difficilmente ti ritroverai un editor di testi che cerca di accedere ad internet, se non per fare il checking degli aggiornamenti
Di conseguenza, monitorare accuratamente le connessioni in uscita su base applicativa non è così fondamentale.


Ciao!

Ultima modifica di Red`XIII : 08-07-2008 alle 01:41.
Red`XIII è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 10:36   #5
Dânêl
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 485
Bhe si più o meno intendevo un filtraggio "alla zone alarm", certo non per controllare che il mio editor di testo si connetta o meno ad internet ma per controllare le connessioni in entrata soprattutto nel caso in cui sia "obbligato" in particolari situazioni a mantenere delle porte aperte.
Faccio un esempio:

Emule necessita di una porta TCP e UDP aperta per le connessioni in entrata.
Ora perchè tenerle aperte sempre anche quando non servono o farle utilizzare per connessioni in entrata non desiderate verso altri programmi?

Non so se ora sono riuscito ad essere più chiaro...

Comunque forse ottengo lo stesso risultato con un filtraggio a livello di protocollo...correggetemi se sbaglio, ma se quella patch è in grado di identificare i protocolli allora è in grado di "filtrare" dalle porte aperte solo i protocolli da me desiderati.

Es.
Le porte aperte per emule non potrebbero mai essere usate da bittorrent essendo protocolli diversi.

è cosi o sono in errore?
Ultima domanda e poi la smetto (lo giuro ).
E se qualche "anima pia" mascherasse dei pacchetti malevoli con il protocolo di amule, anche se questo fosse chiuso, verrebbe filtrato o passerebbe indenne?
Dânêl è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 11:00   #6
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
Per l'esempio hai ragione

Se controlli il protocollo e i pacchetti lo rispettano il firewall lo lascia passare.

Questo e altri problemi li puoi aggirare controllando anche il processo che prende in carico la connessione, prova a dare un occhio al match owner anche se vale solo per OUTPUT torna comodo.
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 11:59   #7
vampirodolce1
Senior Member
 
L'Avatar di vampirodolce1
 
Iscritto dal: Jul 2006
Messaggi: 1175
Quote:
Originariamente inviato da W.S. Guarda i messaggi
Per l'esempio hai ragione

Se controlli il protocollo e i pacchetti lo rispettano il firewall lo lascia passare.

Questo e altri problemi li puoi aggirare controllando anche il processo che prende in carico la connessione, prova a dare un occhio al match owner anche se vale solo per OUTPUT torna comodo.
Per quanto riguarda --pid-owner, --sid-owner, --cmd-owner, una nota alla pagina man di iptables dice:
pid, sid and command matching are broken on SMP. Come mai nessuno si e' mai occupato di sistemare questo problema? --cmd-owner (matches if the packet was created by a process with the given command name) e' l'equivalente del classico 'personal firewall' di Windows.
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200
[Debian 7.0 Wheezy] Installazione, consigli e trucchi
vampirodolce1 è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 12:05   #8
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
Vero, da tempo (in effetti da più di un anno ) mi riprometto di verificarne il comportamento/problemi su SMP ma non l'ho ancora fatto, non so a che punto siano..
Qualche esperienza personale? Funziona?
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 12:24   #9
vampirodolce1
Senior Member
 
L'Avatar di vampirodolce1
 
Iscritto dal: Jul 2006
Messaggi: 1175
Su debian stable (iptables v1.3.6) non funziona, ossia restituisce un errore.
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200
[Debian 7.0 Wheezy] Installazione, consigli e trucchi
vampirodolce1 è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 12:29   #10
Red`XIII
Senior Member
 
Iscritto dal: Dec 2001
Città: Crema
Messaggi: 2040
Quote:
Originariamente inviato da Dânêl Guarda i messaggi
Faccio un esempio:

Emule necessita di una porta TCP e UDP aperta per le connessioni in entrata.
Ora perchè tenerle aperte sempre anche quando non servono o farle utilizzare per connessioni in entrata non desiderate verso altri programmi?
A mio avviso potresti lasciarle anche sempre aperte sul firewall, dal momento che per esporre una vulnerabilità deve esserci un processo in ascolto su quelle porte. Se emule è chiuso, nessun problema. Che qualche altro processo vi si metta in listening è possibile, però cmq controllabile.
Un'alternativa è quella di utilizzare le funzionalità UPnP delle ultime versioni di emule per consentire l'apertura dinamica delle porte necessarie sul router.

Quote:
Comunque forse ottengo lo stesso risultato con un filtraggio a livello di protocollo...correggetemi se sbaglio, ma se quella patch è in grado di identificare i protocolli allora è in grado di "filtrare" dalle porte aperte solo i protocolli da me desiderati.
Certamente. Nel progetto che ho presentato coesistevano sulla stessa macchina un ftp server e un web server, entrambi in ascolto sulla porta 80 (con conseguenti conflitti di binding, ma lasciamo perdere ). Il firewall lasciava passare connessioni solo su questa porta (e sulla porta per i dati dell'ftp passivo), e con il matching a layer 7 bloccavo le connessioni ftp, mentre le http continuavano a funzionare. Ovviamente il tutto era una proof of concept del filtraggio layer 7, nulla più.
Considera ad ogni modo che il filtraggio layer 7 si basa sul confronto di tutti i pacchetti in transito con specifici pattern, disponibili per un numero elevato ma finito di protocolli: in sostanza non puoi decidere arbitrariamente quale protocollo fargli filtrare, a meno che non esista un pattern predefinito per esso oppure che tu non individui un'espressione regolare che lo caratterizzi.
Resta però sempre e comunque un tipo di filtraggio mooooooooooolto pesante, computazionalmente parlando.

Quote:
Es.
Le porte aperte per emule non potrebbero mai essere usate da bittorrent essendo protocolli diversi.

è cosi o sono in errore?
Questo è errato, una porta non caratterizza in alcun modo il protocollo applicativo che vi transita (vedi sopra, ftp e http sulla 80), si tratta solo di convenzioni (peraltro ristrette alle porte <=1024). Pertanto del traffico bittorrent potrebbe essere tranquillamente veicolato su una porta usata da emule.

Tieni sempre presente questa regola: una connessione tcp è caratterizzata (e univocamente identificata) da 4 aspetti:
- ip sorgente
- ip destinatario
- porta sorgente
- porta destinataria

Quote:
E se qualche "anima pia" mascherasse dei pacchetti malevoli con il protocolo di amule, anche se questo fosse chiuso, verrebbe filtrato o passerebbe indenne?
Si, passerebbe indenne. Ad ogni modo, per far danno, dovrebbe esserci una vulnerabilità da exploitare, altrimenti quei pacchetti finirebbero nel vuoto

byebye!

Ultima modifica di Red`XIII : 08-07-2008 alle 12:33.
Red`XIII è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 12:40   #11
Dânêl
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 485
ok Grazie mille delle risposte.

Quote:
Originariamente inviato da Red`XIII
Questo è errato, una porta non caratterizza in alcun modo il protocollo applicativo che vi transita (vedi sopra, ftp e http sulla 80), si tratta solo di convenzioni (peraltro ristrette alle porte <=1024). Pertanto del traffico bittorrent potrebbe essere tranquillamente veicolato su una porta usata da emule.

Tieni sempre presente questa regola: una connessione tcp è caratterizzata (e univocamente identificata) da 4 aspetti:
- ip sorgente
- ip destinatario
- porta sorgente
- porta destinataria
ops scusa non sono stato chiaro e mi hai frainteso. Intendevo dire che se sulle porte utilizzate da amule impostassi un filtraggio consentendo solo al suo protocollo di passare anche se bittorrent usasse le stesse non funzionerebbe

Quote:
Originariamente inviato da Red`XIII
Si, passerebbe indenne. Ad ogni modo, per far danno, dovrebbe esserci una vulnerabilità da exploitare, altrimenti quei pacchetti finirebbero nel vuoto
ok grazie è proprio quello che volevo sapere. Non esiste dunque al momento la possibiità di una verifica anche a quale applicazione siano destinati i pacchetti ( a parte cmd-owner ecc...ho trovato qualcosa cercandolo)...va be poco male ci ho provato

Sapete come è.... una volta imparata la sicurezza con Windows vecchie "abitudini" rimangono...e poi ora che con linux posso davvero fare tutto (o quasi) ne voglio approfittare
Dânêl è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 12:54   #12
Red`XIII
Senior Member
 
Iscritto dal: Dec 2001
Città: Crema
Messaggi: 2040
Quote:
Originariamente inviato da Dânêl Guarda i messaggi
ok Grazie mille delle risposte.

ops scusa non sono stato chiaro e mi hai frainteso. Intendevo dire che se sulle porte utilizzate da amule impostassi un filtraggio consentendo solo al suo protocollo di passare anche se bittorrent usasse le stesse non funzionerebbe
Si si, questo è corretto


Ad ogni modo buon divertimento!
Red`XIII è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2008, 16:53   #13
psimem
Senior Member
 
L'Avatar di psimem
 
Iscritto dal: Jan 2006
Messaggi: 1525
Scusatemi ma vorrei anch'io chiarirmi un attimo le idee:
quindi per poter bucare un sistema sono necessari 3 fattori indispensabili, che sono: 1) porta aperta 2) processo in ascolto su tale porta 3) vulnerabilita' di tale processo
Corretto? O sto vaneggiando?
__________________
-)(- debian -)(-
psimem è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2008, 08:36   #14
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
Quote:
Originariamente inviato da psimem Guarda i messaggi
Scusatemi ma vorrei anch'io chiarirmi un attimo le idee:
quindi per poter bucare un sistema sono necessari 3 fattori indispensabili, che sono: 1) porta aperta 2) processo in ascolto su tale porta 3) vulnerabilita' di tale processo
Corretto? O sto vaneggiando?
Corretto, anche se tra i processi in ascolto rientra anche tutto lo stack di rete del sistema operativo che si trova a gestire la connessione in entrata anche senza processi utente in ascolto. Quindi se quella parte di kernel è vulnerabile può non servire un processo in ascolto.
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2008, 09:43   #15
psimem
Senior Member
 
L'Avatar di psimem
 
Iscritto dal: Jan 2006
Messaggi: 1525
Grazie per la risposta;
ancora una cosa: se chiudo tutte le porte tramite iptables le vulnerabilita' dello stack di rete del sistema operativo sono ancora esposte? In altre parole: lo stack di rete sta "davanti" al firewall o "dietro"? (scusate i termini poco tecnici )
__________________
-)(- debian -)(-
psimem è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2008, 10:41   #16
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
La presenza di una vulnerabilità li è estremamente remota comunque, iptables funziona "agganciandosi" al percorso che i pacchetti fanno nel kernel (detta brutale). Se chiudi una porta tramite iptables il pacchetto percorre meno strada ma ne percorre comunque un pochino, se la vulnerabilità si trova in quel breve percorso è comunque sfruttabile.
Stiamo comunque parlando di una cosa teorica, è ben difficile che esista. Già è improbabile che ci sia nel resto del percorso.
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2008, 13:05   #17
psimem
Senior Member
 
L'Avatar di psimem
 
Iscritto dal: Jan 2006
Messaggi: 1525
Capito grazie
__________________
-)(- debian -)(-
psimem è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Samsung Galaxy S25 Edge: il top di gamma ultrasottile e leggerissimo. La recensione Samsung Galaxy S25 Edge: il top di gamma ultraso...
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto HP Elitebook Ultra G1i 14 è il notebook c...
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso Microsoft Surface Pro 12 è il 2 in 1 pi&u...
Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet! Recensione REDMAGIC Astra Gaming Tablet: che spe...
Dopo un mese, e 50 foto, cosa abbiamo capito della nuova Nintendo Switch 2 Dopo un mese, e 50 foto, cosa abbiamo capito del...
Intel taglierà un terzo della for...
Alchimia? No, scienza: ecco come produrr...
Il CISPE chiede di annullare l'acquisizi...
La Now Bar supporterà il doppio d...
Vecchi Bitcoin, guadagno mostruoso: bale...
Nel 2018 Samsung snobbò NVIDIA: u...
Provare i vestiti senza mai uscire di ca...
SanDisk High Bandwidth Flash (HBF): un c...
Panasonic presenta Aquarea DHW, pompa di...
Il bracciale Meta leggerà i gesti...
iOS e Android sotto attacco: per l'antit...
A Verona dopo i monopattini ecco le e-bi...
Itch.io come Steam: al bando i giochi pe...
Digitalizzazione, identità e AI: ...
Kindle Colorsoft: arriva la versione da ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 06:32.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v