firewall, ma ci sei?

[blackbit]

ho la mandriva 2007 installata e ho messo sù un firewall con la procedura guidata... il livello di sicurezza generale di mandriva è su 'alto'.

Il mio problema è: xkè il firewall interattivo non mi segnala nessun attacco, nessun indirizzo permesso, nessun indirizzo bannato ecc ecc...? ho tutte le liste vuote

eppure testando da vari siti di sicurezza risulto con le porte invisibili... ma nessun attacco è registrato, nemmeno se scelgo test molto 'espliciti'.

come mai??

[sanford]

questa interessa anche a me, di firewall su Linux non ci capisco quasi nulla e di sicuro quello di Mandriva si può perfezionare un po' conoscendolo meglio.

[Johnn]

Quote:

Originariamente inviato da sanford

questa interessa anche a me, di firewall su Linux non ci capisco quasi nulla e di sicuro quello di Mandriva si può perfezionare un po' conoscendolo meglio.

Buona lettura:

http://it.wikipedia.org/wiki/Netfilter/iptables

Poi si possono installare tool grafici (come immagino sia per mandrivia) che facilitano l'utilizzo di iptables, soprattutto per gli utenti meno esperti, ma settare il tutto a mano non ha prezzo!

[Fil9998]

è i mtivo per cui non mi son mai dannato più di tanto...

router firewall, guardog ...

è una cosa che assieme a 0 virus, 0 troyan e sbattimenti etc etc può letteralmente sconvolgere chi viene da windows...

[Johnn]

Non pensare che io sia un guru: sto alle primissime armi con iptables!

Solo di recente ho realizzato un primo rudiemntale script, che tra l'altro mi blocca l'ftp (deve essere gestito in modo particolare). Però sapere che potenzialità ha lascia l'acquolina in bocca e quando ho tempo mi ci dedico un po'!

[blackbit]

si ma raga

il problema è un'altro!

ho già il tool grafico di mandriva, solo ke non rileva niente! per lui è tutto apposto, nessuna traccia di log! anke se mi faccio attaccare da 3-4 siti con tutti i trojan di questo mondo e anche se mi faccio diecimila portscan espliciti.

[blackbit]

per non parlare del fatto che ho lasciato il ping disponibile, quindi il mio computer è assolutamente visibile... e dopo ore e ore di connessione non esiste traccia di attacco!

il firewall è settato sulla eth0, sulla eth1 (a scanso di equivoci) e sulla ppp0

ho una adsl telecom. il firewall non rileva niente... mi spiegate?

[WebWolf]

Puoi spiegare come fai a testare il firewall ?

[blackbit]

http://www.grc.com (sezione shields up per due volte)

www.pcflank.com

www.auditmypc.com

e altri ke non sto ricordando.


ho provato persino ad auto-scannarmi le porte con diversi programmi

[blackbit]

up

[WebWolf]

Il primo non lo conosco, ma gli altri due e anche quello sul sito della Symantec sono dei test che fanno ridere.

Su un windows con tutto aperto mi dicevano: attento attento hai la porta 21, 23 e 80 aperte, rischi un raffreddore.... ma va !

Servono solo a farti comprare la loro roba.

Devi chiedere a qualcuno 'esterno' di farti un nmap sul tuo indirizzo ip, magari con un OS Detection e uno stealth.

[lnessuno]

io ho un router della 3com con firewall, però invece di nascondermi le porte le segna come chiuse... mica ho capito come fare per nasconderle :\ ho dovuto settare il livello di sicurezza su medium perchè con alcune applicazioni mi inchiodava il traffico internet quando mandavo molte richieste ad un server

[Scoperchiatore]

Perchè non fai tu, a mano, nmap sul tuo PC, ovviamente avendo a disposizione un altro PC? Io l'ho fatto, e i risultati sono carini

In quel caso saresti sicuro del tipo di attacco.

Considera anche altre due cosine:
1) GLi attacchi di trojan sono inutili. Conosci trojan pe Linux? Probabilmente ne esistono anche,ma chi è così stupido da eseguirli??
2) iptables ha vari livelli di gestione, i più importanti sono accept e drop, ma c'è anche il livello log. Hai controllato che la tuatabella iptables logghi qualcosa? Perchè se non logga e droppa solo, allora è quello il motivo per cui non registra nulla

Apri una shell, e scrivi
su -
iptables -L -nv

postaci l'output che così ci rendiamo conto di quale firewall hai installato.
Non postare schermate provenienti da software esterno, che potrebbero risultare più semplicistiche per semplificarti la vita...

[blackbit]

si c'è anke l'azione LOG per ogni DROp, è una configurazione troppo lunga da postare, ma penso sia tutto apposto.

vorrei capire una cosa... iptables e shorewall sono strettamente correlati o sono due programmi alternativi?

[blackbit]

Quote:

Originariamente inviato da WebWolf

Il primo non lo conosco, ma gli altri due e anche quello sul sito della Symantec sono dei test che fanno ridere.

Su un windows con tutto aperto mi dicevano: attento attento hai la porta 21, 23 e 80 aperte, rischi un raffreddore.... ma va !

Servono solo a farti comprare la loro roba.

Devi chiedere a qualcuno 'esterno' di farti un nmap sul tuo indirizzo ip, magari con un OS Detection e uno stealth.

1) ho provato nmap dal mio stesso pc... rileva aperte 631 e 6000
2) ho provato anke lsof -i da console e mi segnala una valanga di porte aperte, ma nessuna relativa a servizi importanti. Solo tante X11 e RPC che non conosco

3) symantec la evito come la peste nei link ke ho postato non c'è niente ke riguardi symantec


4) www.pcflank.com lo trovo parecchio affidabile con l'advanced firewall test. lui mi trova solo la 113 chiusa ma non invisibile

5) riposto la domanda che forse è passata in secondo piano: iptables e shorewall... sono correlati o son 2 cose a sè?

[blackbit]

mi rispondo da solo.

shorewall è in effetti un'interfaccia per iptables, che è il firewall vero e proprio. a quanto ho capito è un tool di configurazione.


Come si imposta il log per ogni azione drop? sono andato in /etc/shorewall/policy e nel DROP nela colonna loglevel ho messo info...

basta così o si deve aggiungere altro? xkè tutt'ora non logga niente nel firewall interattivo (logga solo in /var/log/messages)