COMODO Internet Security

[gyonny]

Quote:

Originariamente inviato da Roby_P

Ciao gyonny,
se stavi usando eMule è normale che tu abbia tutti quei tentativi di intrusione ed è pure normale che quando lo chiudi chi stava scaricando da te continui a contattarti.
Solo che eMule è chiuso e quindi Comodo blocca tutte quelle connessioni in entrata e siccome non sa quale applicazione cercano di contattare usa un nome di fantasia, cioè Windows Operating System.

Ciao ciao

Grazie per aver risposto!
La tua risposta esaustiva ha chiarito ogni mio dubbio ed è un motivo in più per credere che questo firewall svolge egregiamente il suo lavoro

[@Sirio@]

Quote:

Originariamente inviato da Sikillo

Mi potresti spiegare come sono le tue regole per System?



Oppure mi basta cancellare le prime due come dicevi in un altro intervento?

Basta leggere qualche pagina indietro: http://www.hwupgrade.it/forum/showpo...ostcount=12072

...vuoi anche che qualcuno ti imbocchi?

(non te la prendere, scherzo ..cmq mica tanto, non ti stai sforzando neanche un po' per andare a cercare dove sono le regole )

[@Sirio@]

Quote:

Originariamente inviato da Simona85

uhmm..l'ho letta tutta la prima pagina..ho fatto sta richiesta apposta
è che nella guida si dice di non spuntare la second aopzione di quel pop quando rileva la rete..
io le avevo spuntate tutte e 2..dicendo cosi di non rilevare altre reti..

la mia rete è semplice...internet adsl alice..

poi vabbe' i 2 pc che ho sono sotto lo stesso router...ma non condivido assolutamente nulla tra i 2 pc
ho solo dato 2 ip progressivi 192.168.0.2 e 192.168.0.3 (192.168.0.1 è il router)
ciao

No Simona, non hai letto attentamente:

Quote:

Originariamente inviato da @Sirio@

...
Quindi riepilogando, se avete una LAN privata configuratela prima di stabilire la connessione ad internet, ...
Non dovrete selezionare niente anche nel caso in cui riceveste questa notifica e non avete una LAN ma solo un PC collegato al router.
Se invece non voleste più ricevere queste notifiche, spunterete la seconda casella Do not automatically detect the new networks.

...

Quote:

Originariamente inviato da @Sirio@

F.A.Q.

• ...
  
• D. Perché nelle regole per eMule quella relativa alla porta 80 è impostata su Ask? Come mi devo comportare con le richieste?
  Risposta
  
  
  ...

Ciao

[@Sirio@]

Quote:

Originariamente inviato da Roby_P

In realtà non volevo mi dicessi niente in particolare
E' che sei mancato per un pò e sei tornato con un sacco di novità
Cercavo solo di capire a cosa serve quella regola per IGMP e perchè io non ho richieste in tal senso
Però non penso sia una questione di servizi almeno per XP, perchè per ora non ho disabilitato niente di significativo; 4 servizi in tutto e uno è l'ora di Windows ed un altro è per il gruppo di continuità
Forse Vista e Win7, che hanno una gestione dei servizi diversa, hanno anche delle impostazioni a default dei servizi diverse, per questo io non ho richieste e voi sì

Ciao ciao

Si scusami Roby

Non credo dipenda dal tipo di Windows, penso più che dipenda dalle regole che hai nel FW oltre che dai servizi abilitati.

L'O.S. è molto ingegnoso e quando non riesce in un modo ne cerca un altro per fare la stessa cosa.

Forse la regola per svchost (compresa nelle Applicazioni Aggiornamenti Windows) gli è sufficiente per le richieste IGMP ...

Non so mi piacerebbe essere lì e fare qualche prova.

Potrebbe anche essere il modello del router o la sua configurazione..

Ciao bella

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Mentre il forward DNS resolution è per risolvere dal nome digitato sul nostro browser (per es. www.hwupgrade.it) l'indirizzo IP 151.1.244.2, il reverse DNS lookup è il processo inverso, cioè la risoluzione dall'indirizzo Ip xxx.xxx.xxx.xxx al nome del dominio www.pippo.it.

Quindi in questo caso il reverse DNS lookup non c'entra nulla

La trasmissione bloccata da CIS mostrata da Drunke, cioè l'IP 8.8.8.8 (che da quello che avete scritto capisco essere il server DNS di Google) che tramite la porta 53 tenta di entrare sul suo PC tramite la porta 53879, la cosa è molto sospetta... perché?
Perché la trasmissione è in entrata, parafrasando significa che qualcuno vuole entrare in casa vostra senza essere stato invitato, non so se è chiaro il concetto

Questo evento potrebbe essere ad esempio un UDP scan... ma per fortuna c'é CIS con le sue regole (configurato a "modino" []) che blocca queste intrusioni.

Ciao.

suona strano pure a me..
l'unico dialogo in cui il server dns è parte attiva è quando riceve dal lato client dell'applicazione dns la richiesta con l'hostname (es: il browser passa a svchost.exe l'hostname www.google.com e questo lo passa al server dns);
in questo momento il server dns risponde al lato client dns fornendo l'indirizzo ip, corrispondente all'hostname..

Credo che ci troviamo in quest'ultimo passaggio, ed in tal caso bisognerebbe rivedere le regole per svchost.exe..
Poi non so cosa salti in mente ai dns di google, questa è solo la mia opinione (non ho neanche CIS installato, non so che regole siano)

ps.: il ruolo dell'applicazione client dns, in questo mio esempio, viene svolto da svchost

Saluti

[Drunke]

Quote:

Originariamente inviato da @Sirio@

Si scusami Roby

Forse la regola per svchost (compresa nelle Applicazioni Aggiornamenti Windows) gli è sufficiente per le richieste IGMP ...

Quindi la regola per svchost che mi hai consigliato la tolgo? La richiesta di entrata del server DNS di google non mi capita sempre, è stato solo quella volta però mi scoccia sta cosa, eppure risultano i più veloci come DSN quelli di google

[Sikillo]

Quote:

Originariamente inviato da @Sirio@

Basta leggere qualche pagina indietro: http://www.hwupgrade.it/forum/showpo...ostcount=12072

...vuoi anche che qualcuno ti imbocchi?

(non te la prendere, scherzo ..cmq mica tanto, non ti stai sforzando neanche un po' per andare a cercare dove sono le regole )

Ciao, grazie per la segnalazione, non è che voglio essere imboccato, cio' una certa età , solo la certezza che fossero quelle.
Domani quando scendo, perchè adesso sto' al pc di casa, le faccio e poi posto
lo screen per vedere se vanno bene.
Ciao Sikillo

[Simona85]

grazie a tutti per le risposte..
ci ho capito pochino cmq

[Roby_P]

Quote:

Originariamente inviato da cloutz

suona strano pure a me..
l'unico dialogo in cui il server dns è parte attiva è quando riceve dal lato client dell'applicazione dns la richiesta con l'hostname (es: il browser passa a svchost.exe l'hostname www.google.com e questo lo passa al server dns);
in questo momento il server dns risponde al lato client dns fornendo l'indirizzo ip, corrispondente all'hostname..

Credo che ci troviamo in quest'ultimo passaggio, ed in tal caso bisognerebbe rivedere le regole per svchost.exe..
Poi non so cosa salti in mente ai dns di google, questa è solo la mia opinione (non ho neanche CIS installato, non so che regole siano)

ps.: il ruolo dell'applicazione client dns, in questo mio esempio, viene svolto da svchost

Saluti

Non sono molto convinta
Le policy predefinite Web Browser, Client email e Client FTP per le richieste DNS consentono solo le connessioni UDP in uscita con porta di destinazione la porta 53. Se per la risoluzione dei nomi servissero anche connessioni in entrata, allora il browser non dovrebbe funzionare, perchè tali connessioni vengono bloccate.

[Roby_P]

Quote:

Originariamente inviato da @Sirio@

Si scusami Roby

Non credo dipenda dal tipo di Windows, penso più che dipenda dalle regole che hai nel FW oltre che dai servizi abilitati.

L'O.S. è molto ingegnoso e quando non riesce in un modo ne cerca un altro per fare la stessa cosa.

Forse la regola per svchost (compresa nelle Applicazioni Aggiornamenti Windows) gli è sufficiente per le richieste IGMP ...

Non so mi piacerebbe essere lì e fare qualche prova.

Potrebbe anche essere il modello del router o la sua configurazione..

Ciao bella

Mi hai fatto venire un'idea ....
Ora metto il flag a Registra l'evento nel Log e vediamo un pò

[cloutz]

Quote:

Originariamente inviato da Roby_P

Non sono molto convinta
Le policy predefinite Web Browser, Client email e Client FTP per le richieste DNS consentono solo le connessioni UDP in uscita con porta di destinazione la porta 53. Se per la risoluzione dei nomi servissero anche connessioni in entrata, allora il browser non dovrebbe funzionare, perchè tali connessioni vengono bloccate.

e allora la tua ipotesi quale sarebbe?
la mia era solo una idea...

Quello che accade in questo caso, secondo me è:

1. digiti l'indirizzo www.google.com sul browser
2. il browser passa www.google.com a svchost (in particolare svchost.exe -k NetworkService, ossia il servizio DNS Client)
3. svchost si connette al server dns 8.8.8.8:53 via UDP portando come messaggio l'hostname
4. il server dns (8.8.8.8) legge la richiesta, traduce l'hostname in indirizzo ip, e spedisce la risposta con indirizzo destinatario 192.168.1.2:53*
5. svchost si vede arrivare il pacchetto UDP con l'hostname tradotto e lo passa al browser
6. il browser inizia la connessione TCP verso l'indirizzo ip

Secondo me ci troviamo tra il passaggio 4 e il 5.. Probabilmente quello era semplicemente un pacchetto che si è perso, o è arrivato in ritardo rispetto alla richiesta, o era corrotto (si è modificato per sbaglio durante il tragitto), o era un pacchetto ripetuto..o non c'entrava nulla, ma se succede ogni tanto ci ci può stare ().. e per questo è stato, giustamente, scartato da COMODO.

Potrebbe anche essere che, di norma, sia direttamente il server dns poi a inviare direttamente la richiesta al server http.. per questo di solito non vi sono richieste in ingresso UDP:53..

Ma è solo la mia idea
Può anche essere che sia una semplice intrusione..






* in realtà non sarà 192.168.1.2 l'indirizzo, ma quello dell'interfaccia in uscita del router (poi il router lo inoltra nella lan con ip-destinazione 192.168.1.2).

[Roby_P]

Quote:

Originariamente inviato da cloutz

e allora la tua ipotesi quale sarebbe?
la mia era solo una idea...

....

Ma è solo la mia idea
Può anche essere che sia una semplice intrusione..

Scusa, la mia non voleva assolutamente essere una critica

[cloutz]

Quote:

Originariamente inviato da Roby_P

Scusa, la mia non voleva assolutamente essere una critica

non volevo essere provocatorio
cercavo solo di articolare una giustificazione sensata a ciò che è successo, magari dal confronto di più opinioni si può trovare la soluzione più plausibile (per questo chiedevo qual'era la tua ipotesi)..

Saluti

p.s.:chissà che questo pensare/ragionare mi possa servire per l'esame di domani di Reti

[@Sirio@]

Quote:

Originariamente inviato da cloutz

e allora la tua ipotesi quale sarebbe?
la mia era solo una idea...

Quello che accade in questo caso, secondo me è:

1. digiti l'indirizzo www.google.com sul browser
2. il browser passa www.google.com a svchost (in particolare svchost.exe -k NetworkService, ossia il servizio DNS Client)
3. svchost si connette al server dns 8.8.8.8:53 via UDP portando come messaggio l'hostname
4. il server dns (8.8.8.8) legge la richiesta, traduce l'hostname in indirizzo ip, e spedisce la risposta con indirizzo destinatario 192.168.1.2:53*
5. svchost si vede arrivare il pacchetto UDP con l'hostname tradotto e lo passa al browser
6. il browser inizia la connessione TCP verso l'indirizzo ip

Secondo me ci troviamo tra il passaggio 4 e il 5.. Probabilmente quello era semplicemente un pacchetto che si è perso, o è arrivato in ritardo rispetto alla richiesta, o era corrotto (si è modificato per sbaglio durante il tragitto), o era un pacchetto ripetuto..o non c'entrava nulla, ma se succede ogni tanto ci ci può stare ().. e per questo è stato, giustamente, scartato da COMODO.

Potrebbe anche essere che, di norma, sia direttamente il server dns poi a inviare direttamente la richiesta al server http.. per questo di solito non vi sono richieste in ingresso UDP:53..

Ma è solo la mia idea
Può anche essere che sia una semplice intrusione..






* in realtà non sarà 192.168.1.2 l'indirizzo, ma quello dell'interfaccia in uscita del router (poi il router lo inoltra nella lan con ip-destinazione 192.168.1.2).

I passaggi IMO sono giusti, pero` c`e` un errore di fondo (mi ricordo i primi mesi che frenquentavo il forum e `sta cosa non riuscivo a spiegarmela poi un giorno, smanetta e ri-smanetta mi si accese la lampadina).

Ti do alcuni elementi: ci sono connessioni in entrata (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita e connessioni in uscita (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita cosa significa?

Sempre parafrasando, le connessioni in uscita sarebbero noi che chiediamo qualcosa (= trasmissioni in uscita) e qualcuno ci risponde (= trasmissioni in entrata) sempre tramite la connessione in uscita, invece, le connessioni in entrata sarebbero che qualcuno vuole qualcosa da noi senza che noi abbiamo chiesto niente.

Non so se sono stato chiaro ma ora non posso dilungarmi.

In bocca al lupo per domani

[Xaolao]

Quote:

Originariamente inviato da @Sirio@

I passaggi IMO sono giusti, pero` c`e` un errore di fondo (mi ricordo i primi mesi che frenquentavo il forum e `sta cosa non riuscivo a spiegarmela poi un giorno, smanetta e ri-smanetta mi si accese la lampadina).

Ti do alcuni elementi: ci sono connessioni in entrata (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita e connessioni in uscita (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita cosa significa?

Sempre parafrasando, le connessioni in uscita sarebbero noi che chiediamo qualcosa (= trasmissioni in uscita) e qualcuno ci risponde (= trasmissioni in entrata) sempre tramite la connessione in uscita, invece, le connessioni in entrata sarebbero che qualcuno vuole qualcosa da noi senza che noi abbiamo chiesto niente.

sono sinceramente colpito

Quote:

Originariamente inviato da @Sirio@

In bocca al lupo per domani

mi associo

[Roby_P]

Quote:

Originariamente inviato da @Sirio@

I passaggi IMO sono giusti, pero` c`e` un errore di fondo (mi ricordo i primi mesi che frenquentavo il forum e `sta cosa non riuscivo a spiegarmela poi un giorno, smanetta e ri-smanetta mi si accese la lampadina).

Ti do alcuni elementi: ci sono connessioni in entrata (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita e connessioni in uscita (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita cosa significa?

Sempre parafrasando, le connessioni in uscita sarebbero noi che chiediamo qualcosa (= trasmissioni in uscita) e qualcuno ci risponde (= trasmissioni in entrata) sempre tramite la connessione in uscita, invece, le connessioni in entrata sarebbero che qualcuno vuole qualcosa da noi senza che noi abbiamo chiesto niente.

Non so se sono stato chiaro ma ora non posso dilungarmi.

Questo spiega tutto
Chiarisce il mio dubbio sulle policy predefinite.

Quote:

Originariamente inviato da @Sirio@

In bocca al lupo per domani

cloutz facci sapere

[Roby_P]

Quote:

Originariamente inviato da Drunke

Perché invece mi ha bloccato il server DNS di Google?

Dopo un giorno di chiacchiere la conclusione è: se capita sporadicamente non è niente di preoccupante; se capita spesso, cambia DNS che è meglio

[Sikillo]

Ho fatto la modifica delle regole di System:


Ora negli eventi firewall mi ritrovo con questo:

come la vedete la situazione?

Cioa Sikillo

[Kohai]

Quote:

Originariamente inviato da @Sirio@

I passaggi IMO sono giusti, pero` c`e` un errore di fondo (mi ricordo i primi mesi che frenquentavo il forum e `sta cosa non riuscivo a spiegarmela poi un giorno, smanetta e ri-smanetta mi si accese la lampadina).

Ti do alcuni elementi: ci sono connessioni in entrata (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita e connessioni in uscita (protocolli TCP, UDP, ecc.) con trasmissioni in entrata ed in uscita cosa significa?

Sempre parafrasando, le connessioni in uscita sarebbero noi che chiediamo qualcosa (= trasmissioni in uscita) e qualcuno ci risponde (= trasmissioni in entrata) sempre tramite la connessione in uscita, invece, le connessioni in entrata sarebbero che qualcuno vuole qualcosa da noi senza che noi abbiamo chiesto niente.

Non so se sono stato chiaro ma ora non posso dilungarmi.

In bocca al lupo per domani

Ciao Sirio, in primis buonasera e complimenti per l'ottima guida per l'ottimo Comodo.
Mi permetto di intervenire nel tuo post sperando di non sbagliare, anche perche' credo di saperne molto ma molto meno di voi e non penso di essere alla vostra altezza.

Comunque riguardo alle differenze fra connessioni e traffico internet, tempo addietro avevo letto una cosetta che mi ha aiutato molto e che posto a pie' di pagina linkandovela, sperando di far cosa gradita e di non avere preso fischi per fiaschi.

Un saluto a tutti quanti, ciao! ^_^

Link -> http://wiki.ubuntu-it.org/Sicurezza/...ll/Connessioni

[Drunke]

Quote:

Originariamente inviato da Roby_P

Dopo un giorno di chiacchiere la conclusione è: se capita sporadicamente non è niente di preoccupante; se capita spesso, cambia DNS che è meglio

Si si l'ho detto, mi è capitato soltanto una volta altrimenti di sicuro avrei cambiato i DNS con altri