L'n'S: alcuni chiarimenti (per chi lo utilizzasse)

nV 25 · 21-02-2005, 14:24

un pò di chiarezza su alcuni aspetti di L'n'S che lo rendono cosi' ermetico per i meno pratici ( tra cui mi colloco di diritto anch'io

....nessuno, infatti, nasce imparato!

)

1) consultando la guida in linea della scheda internet filtering, si nota chiaramente questo discorso (anche se non troppo enfatizzato).... :

Le regole sono applicate NELL'ORDINE in cui sono visualizzate nella apposita schermata.

Pertanto, se un pacchetto con determinate caratteristiche dovesse incontrare una specifica regola posta ad un certo livello della sezione internet filtering, questo verrebbe automaticamente "interpretato" senza dover far intervenire successivamente regole immediatamente a valle preposte all'intercettazione di altri aspetti del flusso dati.

Ne discende la necessità di capire la logica sottostante la disposizione delle regole, che quindi non può essere arbitraria.

Lo schema generale vuole che la disposizione delle regole segua questa precisa architettura: regole per il protocollo IP, a seguire quelle per il TCP, UDP, ICMP, IGMP.

Detto questo, fondamentale è allora capire il ruolo rivestito dalla seguente regola: TCP:block incoming connection, vero spartiacque tra le regole che identificano il nostro PC come server o solo come client.

il motivo è semplice:

la regola è impostata in modo tale da funzionare come "ASSORBENTE" di tutti i pacchetti che hanno il SYN-FLAG attivo (quelli inviati ad es da un qualsiasi PC client quando vuole iniziare una comunicazione), IMPEDENDO cosi' l'invio di una risposta ( da parte del NOSTRO terminale, assimilabile in questo caso ad un server) caratterizzata da un FLAG SYN-ACK, che è condizione necessaria perchè a seguito della prima sollecitazione (il pacchetto con SYN-FLAG attivo), il PC remoto completi la connessione chiudendo il ciclo (attraverso l'invio di pacchetti ACK).
Eccellente in proposito lo schema sotto:

OK, ma perchè tutti questi discorsi? che c'incastrano con L'n'S?

Semplice, se ad es si vanno a scaricare le apposite regole per es di emule, si vede che queste sono costituite da 3 parti, 2 relative al protocollo TCP e 1 che riguarda il Protocollo UDP.
Queste, di default, vengono collocate in cima alla lista , ma devono poi essere riposizionate correttamente nella scheda internet filtering!

Pertanto, mentre la SOLA regola di emule ( che è quella che consente agli altri di instaurare una conness con il ns PC) :

va posta, per i ragionamenti fatti, sopra la TCP:Block...., le altre, viceversa, vanno poste al di sotto, facendo attenzione peraltro a posizionare quella definita per il protocollo UDP nella sua apposita zona.

2) Se si abilita il meccanismo TCP: Stateful Packet Inspection e si utilizzano programmi di P2P (eMule in primis) si presenta il seguente problema:
la navigazione viene fortemente rallentata (al limite impedita del tutto) dopo diverse ore di connessione, e il Log è inondato letteralmente di avvisi TCP stateful packet inspection....
La causa: un problema intrinseco nell'attuale revision (2.05) di L'n'S, che non è capace di gestire più di 128 connessioni TCP con l'SPI attivo

...
Soluzione:
a) disabilitare la funzionalità SPI quando si usano software P2P (sconsigliata)
b) limitare il n° delle connessioni massime direttamente intervenendo sui settaggi di eMule ( in modo tale che siano minori delle 128 massime gestibili dal FW, ad es settando il valore max @ 100.....)

NDR: ho saputo proprio pochi min fà da fonte attendibile (uno dei programmatori) che presto verrà rilasciato un'aggiornamento per risolvere proprio questo bug...

3) differenze tra l'Application filtering & l'Internet filtering.
L'n'S prevede 2 livelli di filtraggio, il 1° offerto dall'internet filtering è di basso livello nel senso che opera SIA nel momento in cui i dati entrino nel pc SIA nel momento in cui questi si apprestino ad uscire, pertanto il controllo effettuato sui pacchetti è nelle 2 direzioni ( outbound/inbound).
L'application filtering opera invece ad un livello più alto e entra in funzione SOLO nel momento in cui un'applicazione spedisca dati verso l'esterno.

Il flusso di dati in uscita subisce dunque un duplice controllo; pertanto, anche se questi avessero l'autorizzazione ad uscire (concessa dalle regole presenti nella scheda application filtering), prima di essere effettivamente spediti verso l'esterno i pacchetti di dati devono essere autorizzati anche dalle regole di + basso livello CHE HANNO LA PRIORITA' sulle regole nella sezione filtraggio applicazioni.

Ovviamente questa non è una guida di L'n'S, ma solo alcuni pensieri che mi piaceva condividere.....

Un grazie sincero a WinCenzo (P2P Forum italia) per il suo prezioso contributo.

nV 25 · 28-02-2005, 10:28

Quote:

Originariamente inviato da nV 25

2) Se si abilita il meccanismo TCP: Stateful Packet Inspection e si utilizzano programmi di P2P (eMule in primis) si presenta il seguente problema:
la navigazione viene fortemente rallentata (al limite impedita del tutto) dopo diverse ore di connessione, e il Log è inondato letteralmente di avvisi TCP stateful packet inspection....
La causa: un problema intrinseco nell'attuale revision (2.05) di L'n'S, che non è capace di gestire più di 128 connessioni TCP con l'SPI attivo

...

NDR: ho saputo proprio pochi min fà da fonte attendibile (uno dei programmatori) che presto verrà rilasciato un'aggiornamento per risolvere proprio questo bug...

Finalmente !!!!
Sono felice di annunciare l'uscita di nuovi driver che consentono di superare il problema citato, migliorando al contempo anche il supporto per pacchetti IP Frammentati

...

Il limite di connessioni massime attive TCP con SPI attivato è stato infatti esteso a 256 ( dai 128 iniziali).

Per eseguire la modifica, è necessario scaricare questi driver, andare poi nella cartella C:\WINDOWS\system32\drivers e sostituire il file lnsfw.sys con quello precedentemente scaricato.

La descrizione precisa del procedimento è questa:

(Per poter rinominare un file, aprire risorse del computer, cercare "strumenti", opzioni cartella, visualizzazione, togliere il segno di spunta alla voce "nascondi le estensioni per i tipi di file conosciuti")

Per attivare la Feature relativa ai pacchetti IP frammentati, è necessario aggiungere la voce IPFragActive (attribuendogli valore dword:00000001) nella chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw1

Buon lavoro

Kyodo · 28-02-2005, 13:53

Sei sempre una sicurezza(

)!
Provvedo.

Ciao e grazie.

D@nix · 13-03-2005, 15:04

Ciao nv25!

Io prima di installare qs nuovi drivers vorrei risolvere ancora qualche problemino legato ai leak tests che ancora non supero!!!

Non supero PC Audit2!
Non passo i 10 test AWFT , ma solo2 su 10!

Puoi dare qualche indicazione, anche se le hai già date in un altro post che non trovo?

P.S: propongo che tu apra un Thread ufficiale su Look'n'Stop!
Credo che qs FW meriti la massima attenzione possibile!

Kars · 13-03-2005, 19:50

la maggior parte di quei test usa applicazioni ritenute sicure come internet explorer;in linea di massima non spetta al firewall riconoscere applicazioni/transizioni insicure o meno,convieni con me che esegue solo le regole impartite.Quello che serve e' un sistema chiamato "application protect" presente in molti firewall compreso l'sp2.Ti faccio un esempio banale,creo un programma che avviandolo ti cancella per sempre la cartella documenti dove tieni dati molto preziosi,fatto cio' credi possa essere data la colpa all' antivirus secondo te?
Tieni presente che escluso i worm che arricchiscono sempre piu' i database e non solo di case produttrici di antivirus esistono tool fatti a manina che eludono quasi tutte le + disparate protezioni per l' homeuser;quando si ha il pc compromesso non si puo' far affidamento solo a programmi automatizzati ma anche alla bravura,alll'esperienza,all' accortezza ecc.. propri dell utente.
Quello che voglio dirti e' che il firewall fondamentalmente serve per proteggerti dall'esterno,dall'interno puoi benissimo far affidamento solo alle tue capacita' di riconoscere o meno applicazioni malevoli e qui' chiudiamo perche' siamo ampiamente fuori tema,esistono molti altri treadh in cui parlare

ciao e complimenti per i chiarimenti.

nV 25 · 13-03-2005, 19:55

Quote:

Originariamente inviato da D@nix
Ciao nv25!

Io prima di installare qs nuovi drivers vorrei risolvere ancora qualche problemino legato ai leak tests che ancora non supero!!!

Non supero PC Audit2!
Non passo i 10 test AWFT , ma solo2 su 10!

Puoi dare qualche indicazione, anche se le hai già date in un altro post che non trovo?

P.S: propongo che tu apra un Thread ufficiale su Look'n'Stop!
Credo che qs FW meriti la massima attenzione possibile!

Premetto dicendo che i driver che sono stati proposti sono in versione beta.
In quanto tali, non c'è sicurezza che funzionino necessariamente su qualsiasi Pc, nè che questa sia la strada seguita dai programmatori per le future rev. di L'n'S.

Il primo suggerimento che potrei darti per consentirti di superare i leak citati, oltre a quello di ripartire con una installazione fresca del Fw, è quello di provare ad installare la 2° revision dei driver LNSFW1, chiamata D2 che trovi qui .

E' sufficiente pertanto che tu sostituisca i vecchi driver versione D1 (in sostanza, il file LNSFW1 che trovi nella cartella c:\windows\system32\drivers) con i D2 dopo aver rinominato i D1 in lnsfw1.old

Trovi cmq la procedura precisa su questo forum.

Per quanto riguarda i driver capaci di risolvere alcune magagne che affliggono la gestione del protocollo TCP quando il meccanismo SPI è attivo, il consiglio è quello ovviamente di procedere alla modifica proposta.
I driver in questione infatti sono totalmente diversi da quelli preposti all'identificazione di Trojan (simulati dai leak-test) e di altro codice maligno...la differenza difatti si riflette anche nei nomi utilizzati per identificarli, LNSFW.SYS in luogo di LNSFW1.SYS .

PS: sagge anche le considerazioni di Kars

emipao · 14-03-2005, 14:43

Quote:

Originariamente inviato da nV 25
Finalmente !!!!
Sono felice di annunciare l'uscita di nuovi driver che consentono di superare il problema citato, migliorando al contempo anche il supporto per pacchetti IP Frammentati

...

Il limite di connessioni massime attive TCP con SPI attivato è stato infatti esteso a 256 ( dai 128 iniziali).

Per eseguire la modifica, è necessario scaricare questi driver, andare poi nella cartella C:\WINDOWS\system32\drivers e sostituire il file lnsfw.sys con quello precedentemente scaricato.

La descrizione precisa del procedimento è questa:

(Per poter rinominare un file, aprire risorse del computer, cercare "strumenti", opzioni cartella, visualizzazione, togliere il segno di spunta alla voce "nascondi le estensioni per i tipi di file conosciuti")

Per attivare la Feature relativa ai pacchetti IP frammentati, è necessario aggiungere la voce IPFragActive (attribuendogli valore dword:00000001) nella chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lnsfw1

Buon lavoro

adesso capisco tante cose....soprattutto il perchè tutti i sabati da nana hai sempre il PC formattato di fresco!

nV 25 · 15-03-2005, 12:13

Quote:

Originariamente inviato da emipao
adesso capisco tante cose....soprattutto il perchè tutti i sabati da nana hai sempre il PC formattato di fresco!

Se non facevi il tuo commento mongolo non eri contento, eh!

(alla prox, xò, giuro che ti segnalo ai mod, cosi' almeno i tuoi interventi costruttivi sarai costretto a farli con altri nick

...)

Per ritornare in tema, ciascuno ha la possibilità di verificare se la propria installazione di L'n'S sia in grado di supportare le nuove features semplicemente dando un'occhiata alla consolle del FW che è attivabile dalla scheda options.

Cliccando sulla voce Driver Log, se dopo la voce FW1 si vedono le linee

significa che le nuove features sono supportate.
Nel caso invece in cui sia presente un esito come questo, FOx_KO!, significa che la feature X non è supportata.

Attenzione: talvolta è necessario lanciare qualche applicazione prima di poter vedere le scritte che ho citato! ( non è detto infatti che esse compaiano fin dall'inizio)

Passiamo quindi alla legenda dei simboli FOx_:

FO2_2 si riferisce alla capacità di rilevare trojan del tipo copycat (Process injection)

FO3 si riferisce alla capacità di rilevare trojan del tipo DNS TESTER (Recursive request)

FO4, che è legato alla chiave di registro check hsre, è preposto ad identificare vulnerabilità sfruttate ad es dal leak Pc Audit (DLL injection)

FO è presente quando la feature watch DNS CALLS è abilitata. Questa feature, peraltro, dovrà essere disabilitata quando nel registro sia presente la chiave check DNSQ !!!...
Nella consolle, allora, al posto di FO figurerà la SOLA voce FO3.

Non conosco invece il significato della voce FO5

...spero non me ne vogliate

PS: una disamina + approfondita dei diversi Leaktest è reperibile qui

21-02-2005, 14:24	#1
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	L'n'S: alcuni chiarimenti (per chi lo utilizzasse) un pò di chiarezza su alcuni aspetti di L'n'S che lo rendono cosi' ermetico per i meno pratici ( tra cui mi colloco di diritto anch'io ....nessuno, infatti, nasce imparato! ) 1) consultando la guida in linea della scheda internet filtering, si nota chiaramente questo discorso (anche se non troppo enfatizzato).... : Le regole sono applicate NELL'ORDINE in cui sono visualizzate nella apposita schermata. Pertanto, se un pacchetto con determinate caratteristiche dovesse incontrare una specifica regola posta ad un certo livello della sezione internet filtering, questo verrebbe automaticamente "interpretato" senza dover far intervenire successivamente regole immediatamente a valle preposte all'intercettazione di altri aspetti del flusso dati. Ne discende la necessità di capire la logica sottostante la disposizione delle regole, che quindi non può essere arbitraria. Lo schema generale vuole che la disposizione delle regole segua questa precisa architettura: regole per il protocollo IP, a seguire quelle per il TCP, UDP, ICMP, IGMP. Detto questo, fondamentale è allora capire il ruolo rivestito dalla seguente regola: TCP:block incoming connection, vero spartiacque tra le regole che identificano il nostro PC come server o solo come client. il motivo è semplice: la regola è impostata in modo tale da funzionare come "ASSORBENTE" di tutti i pacchetti che hanno il SYN-FLAG attivo (quelli inviati ad es da un qualsiasi PC client quando vuole iniziare una comunicazione), IMPEDENDO cosi' l'invio di una risposta ( da parte del NOSTRO terminale, assimilabile in questo caso ad un server) caratterizzata da un FLAG SYN-ACK, che è condizione necessaria perchè a seguito della prima sollecitazione (il pacchetto con SYN-FLAG attivo), il PC remoto completi la connessione chiudendo il ciclo (attraverso l'invio di pacchetti ACK). Eccellente in proposito lo schema sotto: OK, ma perchè tutti questi discorsi? che c'incastrano con L'n'S? Semplice, se ad es si vanno a scaricare le apposite regole per es di emule, si vede che queste sono costituite da 3 parti, 2 relative al protocollo TCP e 1 che riguarda il Protocollo UDP. Queste, di default, vengono collocate in cima alla lista , ma devono poi essere riposizionate correttamente nella scheda internet filtering! Pertanto, mentre la SOLA regola di emule ( che è quella che consente agli altri di instaurare una conness con il ns PC) : va posta, per i ragionamenti fatti, sopra la TCP:Block...., le altre, viceversa, vanno poste al di sotto, facendo attenzione peraltro a posizionare quella definita per il protocollo UDP nella sua apposita zona. 2) Se si abilita il meccanismo TCP: Stateful Packet Inspection e si utilizzano programmi di P2P (eMule in primis) si presenta il seguente problema: la navigazione viene fortemente rallentata (al limite impedita del tutto) dopo diverse ore di connessione, e il Log è inondato letteralmente di avvisi TCP stateful packet inspection.... La causa: un problema intrinseco nell'attuale revision (2.05) di L'n'S, che non è capace di gestire più di 128 connessioni TCP con l'SPI attivo ... Soluzione: a) disabilitare la funzionalità SPI quando si usano software P2P (sconsigliata) b) limitare il n° delle connessioni massime direttamente intervenendo sui settaggi di eMule ( in modo tale che siano minori delle 128 massime gestibili dal FW, ad es settando il valore max @ 100.....) NDR: ho saputo proprio pochi min fà da fonte attendibile (uno dei programmatori) che presto verrà rilasciato un'aggiornamento per risolvere proprio questo bug... 3) differenze tra l'Application filtering & l'Internet filtering. L'n'S prevede 2 livelli di filtraggio, il 1° offerto dall'internet filtering è di basso livello nel senso che opera SIA nel momento in cui i dati entrino nel pc SIA nel momento in cui questi si apprestino ad uscire, pertanto il controllo effettuato sui pacchetti è nelle 2 direzioni ( outbound/inbound). L'application filtering opera invece ad un livello più alto e entra in funzione SOLO nel momento in cui un'applicazione spedisca dati verso l'esterno. Il flusso di dati in uscita subisce dunque un duplice controllo; pertanto, anche se questi avessero l'autorizzazione ad uscire (concessa dalle regole presenti nella scheda application filtering), prima di essere effettivamente spediti verso l'esterno i pacchetti di dati devono essere autorizzati anche dalle regole di + basso livello CHE HANNO LA PRIORITA' sulle regole nella sezione filtraggio applicazioni. Ovviamente questa non è una guida di L'n'S, ma solo alcuni pensieri che mi piaceva condividere..... Un grazie sincero a WinCenzo (P2P Forum italia) per il suo prezioso contributo. Ultima modifica di nV 25 : 23-02-2005 alle 11:09.

28-02-2005, 13:53	#3
Kyodo Member Iscritto dal: May 2003 Città: Legnano Messaggi: 232	Sei sempre una sicurezza( )! Provvedo. Ciao e grazie. __________________ DELL STUDIO XPS 16: Core i7 820 QM - RGB LED 16" Full HD - 4 GB RAM 1333 Mhz - Radeon HD 4670 Mobility 1 GB - SDD Intel X25 M 80 GB - WLAN Intel 5300

13-03-2005, 19:50	#5
Kars Senior Member Iscritto dal: Jan 2003 Città: Roma Messaggi: 2821	la maggior parte di quei test usa applicazioni ritenute sicure come internet explorer;in linea di massima non spetta al firewall riconoscere applicazioni/transizioni insicure o meno,convieni con me che esegue solo le regole impartite.Quello che serve e' un sistema chiamato "application protect" presente in molti firewall compreso l'sp2.Ti faccio un esempio banale,creo un programma che avviandolo ti cancella per sempre la cartella documenti dove tieni dati molto preziosi,fatto cio' credi possa essere data la colpa all' antivirus secondo te? Tieni presente che escluso i worm che arricchiscono sempre piu' i database e non solo di case produttrici di antivirus esistono tool fatti a manina che eludono quasi tutte le + disparate protezioni per l' homeuser;quando si ha il pc compromesso non si puo' far affidamento solo a programmi automatizzati ma anche alla bravura,alll'esperienza,all' accortezza ecc.. propri dell utente. Quello che voglio dirti e' che il firewall fondamentalmente serve per proteggerti dall'esterno,dall'interno puoi benissimo far affidamento solo alle tue capacita' di riconoscere o meno applicazioni malevoli e qui' chiudiamo perche' siamo ampiamente fuori tema,esistono molti altri treadh in cui parlare ciao e complimenti per i chiarimenti. __________________ **Glocal University Network.eu/] The Dark Discovery CeASOnline**

13-03-2005, 15:04	#4
D@nix Member Iscritto dal: May 2004 Città: Sassari Messaggi: 243	Ciao nv25! Io prima di installare qs nuovi drivers vorrei risolvere ancora qualche problemino legato ai leak tests che ancora non supero!!! Non supero PC Audit2! Non passo i 10 test AWFT , ma solo2 su 10! Puoi dare qualche indicazione, anche se le hai già date in un altro post che non trovo? P.S: propongo che tu apra un Thread ufficiale su Look'n'Stop! Credo che qs FW meriti la massima attenzione possibile!

Strumenti
Mostra una versione stampabile Invia questa pagina per email