Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Tutorial / How-To / F.A.Q.

Panasonic Toughbook A3, un tablet indistruttibile per chi non lavora in ufficio
Panasonic Toughbook A3, un tablet indistruttibile per chi non lavora in ufficio
Abbiamo provato l'ultimo tablet fully rugged di Panasonic, Toughbook A3, concentrandoci sulla sua robustezza e sulle sue capacità accessorie rispetto ai modelli tradizionali che rendono questo prodotto un must per alcune realtà aziendali. Ecco cosa abbiamo scoperto, e quali sono le peculiarità rivolte ai professionisti che - di certo - non lavorano comodamente in ufficio.
Nikon Z fc: bella e possibile. Ma non perfetta. La recensione
Nikon Z fc: bella e possibile. Ma non perfetta. La recensione
Se volessimo farla semplice potremmo dire che è una 'Nikon Z50 in salsa vintage', con un'estetica disegnata per richiamare la gloriosa fotocamera a pellicola 35mm Nikon FM2. A ben guardare non è però solo una Z50 rivestita in livrea argento, l'aggiornamento è sostanzioso sotto diversi punti di vista. Nel video mettiamo in luce pregi e difetti di questa particolare fotocamera
Volkswagen ID.4, SUV elettrico per la famiglia che convince
Volkswagen ID.4, SUV elettrico per la famiglia che convince
La declinazione SUV elettrica per Volkswagen prende il nome di ID.4 e abbiamo avuto l'occasione di provarla. Ecco le nostre impressioni, test prestazionali, consumi e tante considerazioni che non sono mai troppe per un settore ancora difficile da digerire per l'utente abituato alle care e vecchie auto con motore termico.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 27-02-2006, 15:07   #1
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
LooK'n'Stop: Non è tutto oro quello che luccica...un RIASSUNTO (Lento, NON ROCK!)

Chiedo scusa se mi trovo costretto ad aprire questo nuovo thread quando esiste già una discussione riguardante Look'n'Stop peraltro ben avviata (http://www.hwupgrade.it/forum/showthread.php?t=1023122):

il motivo è solo legato al tentativo di mettere un pò d'ordine alle cose più importanti inerenti questo Fw e trattate nel thread "ufficiale" ( che evidentemente qualcuno si ostina ancora A NON leggere ) e a risparmiarmi innumerevoli PVT a cui solitamente fornisco le SOLITE risposte.

Anzitutto, il tipo di filtraggio offerto da Look'n'Stop è di 2 tipi ciascuno operante su un PIANO diverso:

il primo, definito DI BASSO LIVELLO o INTERNET FILTERING, agisce materialmente a livello di Network ed è preposto letteralmente a filtrare tutto il flusso di dati sia in entrata che in uscita: il suo controllo è pertanto di tipo BIDIREZIONALE.

il secondo, definito APPLICATION FILTERING, opera invece su di un piano più elevato ed è chiamato proprio per questo DI ALTO LIVELLO.
E' materialmente preposto a passare in rassegna tutti i dati inviati verso l'esterno dalle varie applicazioni.

Ne discende pertanto come il filtraggio sui pacchetti in uscita venga materialmente effettuato sui 2 livelli distinti precedentemente menzionati:
i dati inviati infatti da un'applicazione e autorizzati dall'application filtering devono a loro volta essere compatibili con l'internet filtering prima di essere reindirizzati verso il network.


ATTENZIONE: ENTRAMBI I LIVELLI CITATI (BASSO/ALTO) SONO ESSENZIALI E COMPLEMENTARI !!! e non devono interpretarsi come " livelli più importanti/meno importanti"....

Look'n'Stop, per scelta progettuale, non offre quello che in JETICO Firewall è chiamato "USER LEVEL o PROCESS ACTIVITY FILTERING" che esamina proprio l'attività ( o comportamento ) dei processi.
E' consigliato pertanto l'uso di programmi di tipo IPS ( http://www.hwupgrade.it/forum/showthread.php?t=1064733 ) per sanare questa lacuna.

In sintesi la SCALETTA delle operazioni da eseguire per entrare nel mondo di LnS:

- Guardare ALMENO le figure di questo thread: 1 che si propone di illustrare con chiari screenshot i primi passi.

- Se registrate da subito qualche problema, CONTROLLATE LE FAQ che forniscono un ottimo supporto ai problemi più comuni. F.A.Q.!

- Se dovete installare una LAN o condividere una connessione, guardate QUI! per farvi un'idea su come LnS tratta queste cose.

- Se dovete installare LnS dietro un ROUTER, seguite passo passo questo THREAD:
il mio personale consiglio, però, è quello di guardare altrove ( per esempio ad un Fw che abbia la cfg automatica delle regole...) per il semplice fatto che è necessario creare delle regole ad hoc e l'utente inesperto potrebbe incontrare serie difficoltà nel farlo.

- OK, ho seguito tutti i passi sopra: non mi stressare più con i tuoi discorsi e dimmi pittosto dove trovo le regole belle e pronte per eMule, Msn.... che le voglio integrare con quelle di default!

Calma, calma....perchè aggredire cosi'? Eccovele : REGOLE !!!

A questo punto avete la possibilità di procedere alla "PERSONALIZZAZIONE" di LnS SEMPRE CHE vogliate avere un CONTROLLO più PROFONDO sul Fw:
con il settaggio di default, infatti, e quindi anche con le regole di default, LnS non sprigiona tutte le sue potenzialità MA CMQ FORNISCE GIA' UN BUON LIVELLO DI ROBUSTEZZA.
( non c'è in sostanza un dottore che vi obbliga a seguire le mie raccomandazioni, per cui potete ALLEGRAMENTE saltare tutta la parte che segue....)




PARTE FACOLTATIVA !!!



CURIOSITA': DA DOVE DERIVA LA "FORZA" DI LnS COME PACKET FILTER?

Come avrete visto installando LnS, viene richiesto obbligatoriamente di installare dei driver (NDIS IM Driver) che si collocano a metà strada TRA il livello chiamato "NDIS Protocol Layer" in cui è materialmente implementato il protocollo TCPIP.SYS preposto al trasporto dei dati , E il NIC stesso come da figura sotto:


Bene, questi Intermediate (IM) Driver si prestano potenzialmente a diversi usi come illustrato sotto:



LnS fà quindi un buon uso di tutte queste potenzialità....

.........................................................................................

Una sorta di INDICE per districarsi nei meandri del Post:

1) LnS e i SETTAGGI AVANZATI
2a) L'IMPORTANZA DI AVVALERSI DI VALIDI RULE-SET
2b) UN'INFARINATURA SULLA DISPOSIZIONE DELLE REGOLE ASSOCIATE AD APPLICAZIONI: il caso di applicazioni P2P che devono funzionare sia come client che come server...
3a) COME SI LEGGONO LE REGOLE?
3b) .. ma + che altro, COME SI SCRIVONO?
4) COME SI COMPORTA LnS CON I LEAKTEST
5) I SALUTI DI RITO :: )))

.........................................................................................



1 ** LnS e i SETTAGGI AVANZATI **


il consiglio è ovviamente quello di ABILITARLI.
Come?
Linguetta OPTIONS, sezione miscellaneous, Advanced options, nella scheda miscellaneous ABILITARE TUTTE LE VOCI mettendo il segno di spunta in tutte le caselline!



NB: se avete seguito questa guida! avrete anche abilitato il controllo delle DLL.

NB 1: Se si utilizza un A64 che, come noto, impiega la tecnologia 'NX'-bit progettata per prevenire alcuni tipi di buffer overflows, è NECESSARIO disabilitare o l'opzione WATCH THREAD INJECTION in LnS [sconsigliata] o direttamente questa funzionalità in windows, in accordo con questo thread: http://www.wilderssecurity.com/showthread.php?t=75128.

Per disabilitare la funzionalità in Windows XP SP2, andare su pannello di controllo,sistema, avanzate, avvio e ripristino, impostazioni, modifica, e aggiungere la stringa /NoExecute=AlwaysOff al file boot.ini.



NB 2: L'abilitazione della voce TCP Stateful Packet inspection contemporanea all'uso di programmi P2P (emule, BT...) può portare, al limite, all'impossibilità di navigare a causa della SATURAZIONE della tavola delle connessioni Statefull (al punto 2 viene fornita una rapida spiegazione di questo concetto):
LnS, infatti, con l'attuale revision, gestisce "solo" 256 connessioni attive (open/half-open).

Di conseguenza, per NON RINUNCIARE all'SPI ( vera perla di LnS ), è necesario aggirare il problema riducendo il n° delle connessioni massime che il singolo programma di P2P utilizzato sia in grado di stabilire.

ES:
- emule
ridurre a 90 il n° di connessioni max (opzioni/connessione)

restano cosi "libere per altri usi" 166 connessioni, che verranno distribuite per la navigazione, ecc...., senza il rischio di saturare alcunchè.
- BT
ridurre a 60 il n° di connessioni max....

SE utilizzate cosi' Emule+BT contemporaneamente, avete che restano libere 256 - (90+60) = 106 connessioni per altri impieghi....

.....................................

Abilitate inoltre quella che è chiamata "Protocols Configurations" mettendo su ENABLED sia NETBT.SYS che TCPIP.SYS dal solito percorso: Linguetta OPTIONS, sezione miscellaneous, Advanced options, Pulsante PROTOCOLS.



.....................................

Non dimentichiamo poi di ASSOCIARE le regole alle APPLICAZIONI !!

Se ad esempio scarichiamo le regole per Skype (ma il ragionamento vale per qualsiasi altra regola ), questa va associata al programma stesso!
In sostanza dobbiamo dire a LnS che quella regola va attivata SOLO se Skype è in funzione.
Ok, come?
E' sufficiente cliccare nella scheda internet filtering sulla regola da modificare ( in questo caso quella di Skype ), andare alla linguetta APPLICAZIONI e selezionare nella scheda di destra l'applicazione stessa che si trasferirà nel campo di sinistra.
La scheda applicazioni infatti si articola in 2 sezioni:
la parte destra è quella dove troviamo la LISTA delle applicazioni autorizzate ad accedere alla rete, quella sinistra (inizialmente vuota) ci dice che la regola SI ATTIVA NON APPENA L'APPLICAZIONE CHE INDICHIAMO si connette ad internet.

Fatta questa operazione, ritornando nella scheda internet filtering vediamo che SE la regola E' ATTIVA, c'è il simbolino verde, altrimenti la regola è contrassegnata con il simbolo di colore marroncino.
Vedi l'immagine sotto:


......................................................

LE OPERAZIONI DI PERSONALIZZAZIONE CHE è POSSIBILE OPERARE SULLA SEZIONE DELLE APPLICAZIONI:

Nel caso in cui, pur avendo importato/creato una specifica regola per un dato programma per autorizzarne il traffico sulla rete, volessimo IMPORRE al programma stesso di accedere si' alla rete MA SOLO VERSO UN CERTO IP ( o RANGE ), è necessario procedere come segue:
anzitutto è necessario essere in modalità AVANZATA, andare successivamente nella scheda application filtering e cliccare 2 volte sull'applicazione.
Si apre automaticamente una finestra come da immagine:


Come è possibile vedere, si ha la possibilità di settare ( tanto per il protocollo TCP che per quello UDP ) le PORTE o gli INDIRIZZI IP.
Si dovrà usare allora la seguente SIMBOLOGIA:
; come separatore
- per specificare un RANGE
! per bloccare


Per bloccare allora ad esempio il range di IP [192.168.0.1 / 192.168.0.100] e l'IP 192.168.100.100 si dovrà scrivere

!192.168.0.1-192.168.0.100;!192.168.100.100
L'applicazione, allora, che ha editati manualmente i valori, COMPARE in application filtering CON UN PALLINO GIALLO.

............................................................

Un'altro aspetto su cui occorre fare una puntualizzazione è il seguente:
scheda options/advanced options/sotto tutta la lista dei settaggi avanzati c'è una voce che si chiama "NETWORK INTERFACE AUTODETECT, IP TO EXCLUDE" seguito da una serie di numeri:

10;169.254;192.168.0.1;127.0.0.1



Se il nostro IP Privato inizia per 10 o è 192.168.0.1, RICORDIAMOCI di MODIFICARE LA STRINGA DI NUMERI SOPRA togliento rispettivamente il 10 o il 192.168.0.1 dalla stringa stessa a seconda del bisogno!!!




2 a ** L'IMPORTANZA DI AVVALERSI DI VALIDI RULE-SET **



Senza presunzione, vi propongo di utilizzare il Set di Regole che ho assemblato io e che, essendo la FUSIONE delle regole di Phant0m e delle estese, è già testato per garantire INVISIBILITA' e il MAX ° di robustezza possibile.
Lo potete prelevare ** QUI **

Se volete costruirvi da soli il vostro ruleset ( e magari condividerlo anche con noi ), potete partire dalle regole originali di Phant0m che potete trovare QUI!.

Questo HELP FILE invece mostra come costruire una regola: CLICCAMI !


2 b ** UN'INFARINATURA SULLA DISPOSIZIONE DELLE REGOLE ASSOCIATE AD APPLICAZIONI ( pensiamo ad esempio al caso di applicazioni P2P che devono funzionare sia come client che come server....) **




Purtoppo in LnS è DETERMINANTE capire anche COME DISPORRE LE REGOLE specie se si riferiscono a delle applicazioni che devono avere libero accesso alla rete:
e questo non perchè i programmatori volessero complicare la vita a noi utenti, ma per la struttura intrinseca di Fw come questi ( vedi il caso CHX-i, 8Signs....)

Mi permetto quindi di spiegare giusto in 2 parole il funzionamento dell'SPI e di rimandarvi a questo articolo http://www.spitzner.net/fwtable.html per una lettura più approfondita.

Per poter iniziare la spiegazione, è necessario tracciare un rapido promemoria:

- il protocollo preposto al trasferimento dati è il TCP
- un pacchetto che ha come caratteristica una "bandiera" ( FLAG ) di tipo SYN attivo è quello preposto ad INIZIALIZZARE UNA CONNESSIONE e idealmente porta con sè SOLO questa sua volontà ( e non quindi dati ).
- un pacchetto che ha come caratteristica un FLAG di tipo SYN-ACK attivo idealmente può essere interpretato come un "OK, accetto di stabilire la connessione".
- un pacchetto che ha come caratteristica un FLAG di tipo ACK attivo può essere interpretato come un "Bene, iniziamo allora lo scambio dei dati".


Ogni volta che si riceve un pacchetto con il flag SYN attivo ( indicato per semplicità con A ) che tenta di inizializzare una connessione TCP, si ha che il pacchetto A è analizzato sulla base del database di regole contemplate nel Fw secondo un ordine SEQUENZIALE ( partendo dalla regola più in alto nel database stesso ).

A può cosi' essere scartato... o accettato, nel qual caso la sessione verrebbe registrata nella tavola delle connesioni stateful del Firewall che risiede all'interno della memoria kernel.

Qualsiasi pacchetto che segua ( e che NON dovrà avere il flag SYN ATTIVO ), per semplicità chiamato B, è confrontato con la tavola precedentemente costituita [ stateful inspection table ], per cui SE LA SESSIONE è PRESENTE NELLA TAVOLA E IL PACCHETTO B è PARTE DI QUELLA SESSIONE, B viene accettato, ALTRIMENTI, NON APPARTENENDO ALLA SESSIONE IN ESSERE, B verrà scartato.

E' chiaro allora come questo meccanismo velocizzi le performance visto che SOLO i pacchetti di TIPO A ( con SYN FLAG ATTIVO...) subiscono questo processo, mentre tutti i pacchetti di tipo B verranno trattati in base a quanto disposto nella tavola.

Ma è chiara anche l'importanza che assume in Fw di questa natura la disposizione delle regole.

E veniamo allora a noi per tentare di capire come disporle:

Come si è visto poc'anzi, quando si vuole INIZIALIZZARE UNA CONNESSIONE, una parte (client) manifesta questa sua volontà al server mediante l'invio di un pacchetto SYN.
La risposta del server può essere pertanto affermativa ( da qui SYN ACK, ossia ACCETTO LA SINCRONIZZAZIONE cui farà seguito l'ACK del client che in parole povere è un "ok, ho capito che ti stà bene scambiare informazioni ") o tale da NON DAR SEGUITO alla sollecitazione SYN del client "assorbendo di fatto questa richiesta".


Vedere in proposito lo schema riassuntivo sotto che mostra il caso di un client che voglia connettersi ad un WEB SERVER sulla sua porta 80:



Alla luce delle considerazioni fatte poc'anzi, la regola TCP:SYN FLAG ALONE del mio rule set, per il modo con cui è costruita, è lo spartiacque tra le regole che identificano il nostro PC come server o come client perchè è impostata in modo tale da funzionare come "ASSORBENTE" di tutti i pacchetti che hanno il SYN-FLAG attivo IMPEDENDO cosi' l'invio di una risposta da parte del NOSTRO terminale assimilabile in questo caso ad un server ( se il ns/Pc rispondesse a questa sollecitazione, lo farebbe ( come si è visto ) con un pacchetto caratterizzato da un FLAG SYN-ACK attivo che è la condizione necessaria per chiudere il processo.....).

Ne discende cosi' che l'applicazione sottostante la regola che si trovi materialmente collocata AL DI SOTTO della TCP:SYN FLAG ALONE potrà funzionare SOLO come CLIENT !.


Ipotizzando allora di utilizzare PER SEMPLICITA' ESPOSITIVA il "mio" set di regole, quando si importano delle regole per personalizzare LnS in base ai propri bisogni, queste vengono disposte senza alcun criterio apparente in cima alla lista nella scheda internet filtering ( vedi l'es. della guida: A -> B).

Bene, queste regole devono essere successivamente ricollocate nella giusta posizione a seconda del fatto che l'applicazione sottostante debba agire come SERVER o come CLIENT.

ok, ma qual'è allora questa giusta posizione di cui parlo ?? :

Semplice:

Un posto QUALSIASI TRA LA TCP: block 80 outbound E LA TCP: syn flag alone SE LA REGOLA ( di tipo TCP ) DEVE AUTORIZZARE L'APPLICAZIONE sottostante AD AGIRE COME SERVER!!

ALTRIMENTI, se la regola ( di tipo TCP ) autorizza un applicatione a funzionare SOLO come CLIENT, QUESTA LA SI DISPORRA' IN UN POSTO QUALSIASI CHE SIA Xò COMPRESO TRA LA TCP: syn flag alone E LA TCP: any other packet.

Analogamente, se a dover essere ricollocate sono le regole UDP, andranno disposte TRA LA SYN time E LA UDP: any other packets

Posto anche uno screen per dare maggiore chiarezza:



Come si vede nell'immagine, per semplicità di spiegazione ho suddiviso il BLOCCO di regole TCP da quelle UDP/ICMP e ho evidenziato con rettangoli NERI i SOTTOGRUPPI di regole che NON DEVONO ESSERE ALTERATI in quanto si tratta di pacchetti "ANORMALI" da scartare e che, per il "principio della SEQUENZIALITA' " che caratterizza il funzionamento di un Fw con engine SPI, devono essere messi "in testa alla lista".

Il 1 definisce lo SPARTIACQUE tra le regole che devono agire come server o come client, i 2/3 sono le regole CONCLUSIVE dei rispettivi protocolli.

NB: se conoscete il FRANCESE e non avete capito bene i concetti sopra, provate a dare un'occhiata a questo thread trovato per caso nella sezione francese del forum di supporto a LnS: http://www.wilderssecurity.com/showthread.php?t=122398 ( realizzato ieri, quindi dopo la "mia" guida....)




3 a ** COME SI LEGGONO LE REGOLE? **



Mi servo dell'es. sotto:



Se si osserva la riga B che si riferisce alla regola (B,4) o ARP: authorize all ARP..., si vede facilmente che nella cella (B,1) c'è il simbolino verde. Il suo significato? la regola (B,4) è ATTIVA!
Se in (B,1) mancasse il simbolino verde, la regola è come se fosse DISATTIVATA! [caso della regola della riga A, vedi (A,1)...]

Nella colonna 1, pertanto, è possibile scegliere solo tra 2 opzioni: lasciare il campo vuoto ( regola disabilitata; pensa se hai necessità di avere una regola da abilitare solo temporaneamente....) o mettere il simbolino verde ( regola attiva).

Proseguendo sempre sulla riga B, si nota la cella (B,2): è un campo vuoto, quindi SI AUTORIZZA il flusso di dati che ha le proprietà descritte dalla regola (B,4).
Ma in (B,2) si sarebbe potuto mettere il simbolo di divieto d'accesso per bloccare il traffico [vedi il caso della regola delle righe A & C, celle (A,2) e (C,2)].

Nella colonna 2, quindi, o si lascia vuoto per autorizzare, o si mette il divieto d'accesso per bloccare.

Il campo 3 è quello che dice se vuoi che il pacchetto filtrato compaia nella pagina di Log.

Nel caso della regola ARP..., allora, se si va a "leggere" per esteso, è possibile vedere che la regola in essere non solo è ATTIVA ma anche che QUEL traffico è AUTORIZZATO.




3 b ** ... ma + che altro, COME SI SCRIVONO? **



E' frequente il caso in cui LnS TAGLI automaticamente PACCHETTI che invece sarebbero legittimati a dover passare, specie se si è installata una nuova applicazione per la quale non è stata ancora creata una regola ad hoc.

Il modo più semplice di RISOLVERE consiste nell'avvalersi della PAGINA DI LOG:
pertanto, dopo aver identificato il pacchetto erroneamente scartato da LnS, fare click con il tasto destro del mouse sulla riga che ci interessa.
Si aprirà una cosa del tipo illustrato in figura:



Arrivati a questa fase, allora, abbiamo la possibilità di scegliere tra una delle opzioni che il programma ci mette a disposizione:
nel ns/es, la porta TCP n° 1863 dal lato client, la porta TCP n°1133 dal lato server o, se il pacchetto è di tipo ICMP, il TIPO e il CODICE.

PUNTO.

NON è NECESSARIO DOVER FARE ALTRO SE NON REDISPORRE LA REGOLA NELLA "GIUSTA POSIZIONE".


...........................................................

L'altro CANALE per REALIZZARE una REGOLA è quello descritto immediatamente sotto.


NB: se si opta per questo metodo, è NECESSARIA la conoscenza delle porte di cui fà uso il programma per il quale si crea la regola stessa!!!

Si parte dalla scheda internet filtering/ADD.
Si apre una finestra analoga a quella sotto nella quale si può indicare protocolli/direzioni/porte....


Nel caso in cui ad es. voglia rendere possibile una comunicazione in uscita sul protocollo TCP, è OVVIO che dovrò SPUNTARE nel "CAMPO DIREZIONE" la voce "PC>> INTERNET" e selezionare il protocollo corretto.

Per praticità di spiegazione, seguo allora passo passo questa GUIDA che ipotizza un collegamento tra un indirizzo IP ( idealmente il nostro ) e il web server di LnS.

Dell'immagine postata sopra, focalizziamoci SOLO su questa parte:



- CASO DI REGOLA UNIDIREZIONALE IN USCITA ( Pc >> Internet )

A1 e B1 sono nella parte chiamata "SOURCE" che in questo caso è il ns/Pc ( il luogo fisico dal quale materialmente parte la richiesta di connessione ).
A2 e B2 sono nella parte chiamata "DESTINATION" che in questo caso è il web server di LnS.

Pertanto in A1 si dovrà inserire il nostro IP e in B1 le porte che vogliamo aprire;
in A2 e B2 inseriremo invece rispettivamente l'IP del web server di LnS e la porta ( 80 ) su cui deve giungere la nostra richiesta.

( IL CASO DI UNA REGOLA UNIDIREZIONALE IN ENTRATA è IDENTICO MA RIBALTATO!!!
In A1/B1 metto l'ip del server web e la porta 80, in A2/B2 il nostro ip e il range di porte che voglio aprire).

- CASO DI REGOLA BI-DIREZIONALE

TRUCCO:

IN A1 INSERIRE IL NOSTRO IP LOCALE
IN A2 INSERIRE L'IP REMOTO


( Si spunta ovviamente la voce Internet>>PC & PC>>Internet )

In B1 inserisco il nostro range di porte da aprire e in B2 la porta remota (80) SE SI VUOLE AUTORIZZARE UN "EVENTO IN USCITA" VERSO IL SERVER WEB DI LnS.
In B1 inserisco la porta remota (80) e in B2 il nostro range di porte da aprire SE SI VUOLE AUTORIZZARE UN "EVENTO IN ENTRATA" DAL SERVER WEB DI LnS.


NEL CASO DI REGOLE BI-DIREZIONALI, QUINDI, SONO FISSI I CAMPI A1 e A2 MENTRE POSSONO INVERTIRSI I CAMPI B1 e B2




4 ** COME SI COMPORTA LnS CON I LEAKTEST **



Proprio male no, eh?!, come si può ricavare anche da questo Link! sebbene un pò datato.



Ma LnS può fare di meglio:
Come?
Se utilizzate la versione 2.05p3, dovrete attivare manualmente la voce lns-ActivateBetaFeatures cosi' da aggiungerla al registro di sistema.
E' una chiave di registro che si trova nel percorso "C:\Program Files\Soft4Ever\looknstop", per cui è sufficiente cliccarci sopra 2 volte e autorizzare la scrittura.

L'ATTIVAZIONE DELLA CHIAVE DI REGISTRO INDICATA PERMETTE DI SUPERARE IN AGILITà I LEAKTEST "COPYCAT/DNS TESTER/Pc AUDIT 2".
Prove di quello che affermo ( effettuate sul mio Pc ):
DNS Tester // Pc Audit 2


DALLA CONSOLLE DI LnS ( scheda Options, sotto la sezione miscellaneous, spuntare la voce Consolle... ) è POI POSSIBILE VERIFICARE LA "SALUTE" DELLE NUOVE FEATURES:

Cliccando cosi' sulla voce DRIVERS LOG, se tutto va bene, si dovrebbe leggere una cosa come questa:



FO2_2 e FO5 si riferiscono alla capacità di rilevare trojan del tipo copycat (Process injection)

FO3 si riferisce alla capacità di rilevare trojan del tipo DNS TESTER (Recursive request)

FO4, che è legato alla chiave di registro check hsre, è preposto ad identificare vulnerabilità sfruttate ad es dal leak Pc Audit (DLL injection)

NB!!!: il superamento del Test Pc Audit2 è legato alla versione del file WININET.DLL in uso sul Pc:
con la nuova versione 6.0.2900.2861 contenuta nelle ultime Patch di XP rilasciate dalla Microsoft, LnS riesce nuovamente ad intercettare "le chiamate" di Pc Audit2 superando di conseguenza il test.


FO è presente quando la feature watch DNS CALLS è abilitata. Questa feature, peraltro, dovrà essere disabilitata quando nel registro sia presente la chiave check DNSQ !!!...
Nella consolle, allora, al posto di FO figurerà la SOLA voce FO3.

SIGNIFICATO DI RESLIN! SE presente nella Consolle:

identifica un'evento relativo ad un errore interno: se EVENTUALMENTE fosse presente IN CIMA alla lista degli FOx_yy ( dove yy stà per OK o KO ) NON CI SI DEVE PREOCCUPARE visto che talvolta può accadere...

.........................................................



EDIT 02/4/2006

Visto che, se siete arrivati a questo punto, avete avuto la forza di leggervi anche la parte 2b) sulla DISPOSIZIONE DELLE REGOLE ASSOCIATE AD APPLICAZIONI e ne avete appreso la meccanica, aggiungo questo passaggio che ho trovato proprio oggi in una discussione sul forum ufficiale e che chiarisce meglio il meccanismo dello Statefull Inspection.
Bene, un utente ha chiesto che relazione esisteva tra la chiave di registro "IPFragActive" ( che viene abilitata con la chiave "lns-ActivateBetaFeatures" ) e le regole nella scheda packet filtering chiamate "IP: TCP Fragment Block" & "IP: TCP MF Flag Block" in quanto secondo lui esisteva una RIDONDANZA.


La chiave IPFragActive autorizza allora l'ingresso ai pacchetti frammentati SE COLLEGATI AL PACCHETTO INIZIALE che abbia avuto precedentemente l'autorizzazione a costituire una nuova sessione, mentre la regola Block fragmented IP packets taglia quei pacchetti (frammentati) che non appartengano alla sessione. -- Non esiste quindi nessuna ridondanza visto che operano "su piani" diversi. --

Analogamente per la regola "IP: TCP MF Flag Block" costruita xò per bloccare pacchetti con proprietà diverse.
Potenzialmente si potrebbe DISATTIVARE se nel network nel quale è inserito il Pc (LAN) vi fossero flussi di pacchetti di questo tipo che troverebbero altrimenti ostacolo.


.........................................................


EDIT 11/3/2006: LEAKTEST AGGIORNATI!!





.........................................................



Come avrete capito leggendo tutti questi pensieri ampollosi, LnS non è forse il Fw più semplice da configurare e quindi non è indirizzato ad un'utenza che voglia "tutto e subito": se xò siete disposti a pagare questo scotto, le soddisfazioni che ne potrete trarre non tarderanno ad arrivare.

5 ** I SALUTI DI RITO **


Ciao ciao!!!

Ultima modifica di nV 25 : 10-05-2006 alle 18:29. Motivo: Ritocchini quà e là
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 27-02-2006, 15:23   #2
Stev-O
Senior Member
 
L'Avatar di Stev-O
 
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34262
anche se non lo uso, mi complimento per lo sforzo realizzativo e le energie profuse : ho appena fatto una cosa analoga per un router, so cosa significa
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK
Stev-O è offline   Rispondi citando il messaggio o parte di esso
Old 27-02-2006, 15:30   #3
nemo99
Senior Member
 
Iscritto dal: Nov 2002
Città: Baci da NAPOLI
Messaggi: 460
COMPLIMENTI
nemo99 è offline   Rispondi citando il messaggio o parte di esso
Old 28-02-2006, 09:35   #4
grillo_81
Senior Member
 
L'Avatar di grillo_81
 
Iscritto dal: Jul 2003
Città: roma
Messaggi: 849
grandissimo...

giuro, mi hai fatto venire voglia di usare questo FW con una guida così dettagliata ed accorata.
ma visto che sono uno di quelli che preferisce la pappa pronta o quasi, e che usa sygate , passo.

mettetelo in rilievo questo post!!!
grillo_81 è offline   Rispondi citando il messaggio o parte di esso
Old 28-02-2006, 19:35   #5
fabrixx2
Senior Member
 
L'Avatar di fabrixx2
 
Iscritto dal: Jan 2004
Città: Firenze
Messaggi: 1549
Molto bello, magari ci fosse una cosa così anche per Outpost
fabrixx2 è offline   Rispondi citando il messaggio o parte di esso
Old 01-03-2006, 09:17   #6
nemo99
Senior Member
 
Iscritto dal: Nov 2002
Città: Baci da NAPOLI
Messaggi: 460
quello che mi affascina di LnS è la possibilità di creare e modificare le regole (come succede per Jetico)

ti obbliga a pensare
nemo99 è offline   Rispondi citando il messaggio o parte di esso
Old 01-03-2006, 09:43   #7
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
mi fa piacere che abbiano apprezzato anche utilizzatori di Fw diversi da LnS...in fondo, è anche un modo per far conoscere meglio questo programmino di soli 700Kb e che pesa ( quando va male ) sui 6mb.

Il Thread Ufficiale era obiettivamente troppo dispersivo per chi avesse voluto prendere una rapida visione degli aspetti salienti.

Grazie ancora.


PS: IMO, un thread del genere non può essere messo in rilievo anche là dove fosse perfetto.
Come specificato anche nel titolo, è troppo "lento".
Inoltre, quanti siamo ad utilizzare LnS? Se si arriva al n° delle dita in entrambe le mani sarebbe già da stappare un Mumm

nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 01-03-2006, 09:55   #8
eraser
Senior Member
 
L'Avatar di eraser
 
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6369
infatti non è in rilievo, bensì nella sezione guide, tutorial e faq
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::
eraser è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2006, 14:36   #9
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Rielaborata tutta la parte relativa all' IMPORTANZA DI DOTARSI DI UN VALIDO RULE-SET.
Ho tentato di semplificare il + possibile il concetto, ma che fatica gente....sarò un pò legnoso io, ma quella parte non è proprio semplicissima ....

Cercherò inoltre di arricchire il lavoro con una parte dedicata alla costruzione delle regole, specie quelle bidirezionali, e di mettere qualche "chicca" relativa alla sezione "application Filtering"...

Se avete pazienza...la voglia d'altronde è quella che è...
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2006, 18:55   #10
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Aggiunte alla "guida" 2 parti nuove:

- l'associazione delle regole alle rispettive applicazioni

- le operazioni che è possibile eseguire nella sezione application filtering per restringere gli IP o le porte ad un programma

nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 06-03-2006, 13:52   #11
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
FINALMENTE LE ULTIME FATICHE DI IACOPO ORTIS SONO TERMINATE!

Ho aggiunto tutta la parte relativa alla creazione delle regole.

A questo punto, non saprei cos'altro aggiungere a quanto trattato in questa guida.

Speriamo davvero sia servito a qualcosa tutto questo lavoro....


Ora non ci resta che attendere gli ultimi Test di Gkweb per vedere come la versione 2.05p3 si comporti contro i LeakTest recenti...
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 08-03-2006, 15:34   #12
nemo99
Senior Member
 
Iscritto dal: Nov 2002
Città: Baci da NAPOLI
Messaggi: 460
anche se sono da solo permettimi

una stand-ovation

nemo99 è offline   Rispondi citando il messaggio o parte di esso
Old 12-03-2006, 12:31   #13
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28653
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 13-03-2006, 17:50   #14
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
PS: fatti altri ritocchini quà e là: la "guida" si fa sempre più completa...




Ultima modifica di nV 25 : 20-04-2006 alle 11:53.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2006, 19:28   #15
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
hihihih

Aggiunta una minuscola particina ( da dove deriva la "forza" di LnS come PACKET FILTER ) ...


Ciao ciao

EDIT 11/3/2006: aggiunte le prove che con LnS 2.05p3 i leaktests Pc Audit2 & DNS Tester vengono superati ...

Non posto Copycat in quanto il KAV lo identifica come EXPLOIT... ( potrei sempre disabilitarlo.....ma ho paura! )

EDIT 02/4/2006: sono ridondanti la chiave IPFragActive e le regole IP:TCP Fragment Block / IP:TCP MF Flag Block ?


Ultima modifica di nV 25 : 02-05-2006 alle 20:03.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 03-05-2006, 18:52   #16
riva.dani
Senior Member
 
L'Avatar di riva.dani
 
Iscritto dal: Oct 2002
Messaggi: 3922
Complimenti a nV25 per l'ottima guida.

Ho iniziato da poco ad usare questo software, ma venendo da BlackICE mi sono trovato benissimo, e non ho trovato troppe complicazioni. L'unica cosa che ho notato è che, nella lista delle applicazioni, Look 'n' Stop bloccava... se stesso! Voi direte: beh, che te ne frega? E invece ci ho messo 20 minuti a capire che era quello il motivo per cui non riuscivo ad impostare l'italiano nel plugin delle lingue.

Un elogio anche alla leggerezza del programma, davvero notevole, che se confrontata con la sua robustezza ed efficacia, ci fa capire come LnS sia un software efficiente che sfrutta intelligentemente le risorse!

Domanda: la 1.1 è l'ultima versione delle tue regole? Tra queste hai già integrato alcune regole per sw diffusi come eMule, o devo aggiungerle io a mano?

Grazie.
__________________
Intel Core i5 4690K by Cooler Master Hyper 412S | ASRock Z97 Extreme4 | G.Skill Ares 2x4GB DDR3 1600 | MSI nVidia GTX 260 55nm | Samsung SSD 840EVO 250GB | Cooler Master Stacker | Corsair RM650x
riva.dani è offline   Rispondi citando il messaggio o parte di esso
Old 04-05-2006, 13:02   #17
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
troppo buono.
L'hai trovata chiara anzitutto?

Ma le parole che + ho trovato belle sono queste:
"Un elogio anche alla leggerezza del programma... che se confrontata con la sua robustezza ed efficacia, ci fa capire come LnS sia un software efficiente che sfrutta intelligentemente le risorse!"

( non a caso L'n'S è "ospitato" su Wilders ...che, (sempre) guarda caso, "ospita" anche Nod32, i prodotti della Diamond CD [leggi in particolare Process-Guard] e tutta la linea della Ghost Security..)

Per venire a noi:
si, la 1.1 è l'ultima. ( in realtà, ho fatto qualche altra modifica al set che uso io ...ma la "ciccia" non cambia rispetto alla 1.1 ).
Se guardi lo screenshot delle regole nel par.2 b vedi che ci sono già le regole per BT,emule,msn,winMX...


Ricorda di ASSOCIARE le regole alle APPLICAZIONI....(vedi par.1)

Ultima modifica di nV 25 : 04-05-2006 alle 13:11.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 04-05-2006, 17:33   #18
riva.dani
Senior Member
 
L'Avatar di riva.dani
 
Iscritto dal: Oct 2002
Messaggi: 3922
Grazie.

E quanto alla tua domanda, sì l'ho trovata chiarissima, divertente (a me piace smanettare) e veramente molto utile. Se non l'avessi letta, magari non avrei avuto problemi eccessivi con la configurazione (anzi, non mi sarei nemmeno addentrato così in profondità nei settagi), ma sicuramente non mi sarei nemmeno accorto di cosa avevo tra le mani... Non so se sia il miglior firewall software del mondo (è di certo il migliore che ho provato) ma a me piace un sacco, soprattutto per il suo comportamento: i due tipi di filtraggio, l'SPI, la sua leggerezza...
In una parola adoro la "filosofia" che sta dietro a questo software!!

PS: le tue regole sembrano ottime, anche se per eMule avevano funzionato meglio quelle che si possono scaricare dal sito di LnS: qualche porta e qualche altro piccolo parametro l'ho dovuto modificare a mano . Però devo chiederti una cosa: è normale che quando testo le porte col browser (sul sito di eMule) il test fallisce? Se è normale significa che la sicurezza del mio PC al momento è talmente curata nei dettagli che quando eMule chiede accesso alle porte TCP e UDP lo ottiene (ho ID Alto e mi connetto al KAD senza problemi), mentre il browser non è autorizzato... E 'così oppure ho sbagliato io da qualche parte?
__________________
Intel Core i5 4690K by Cooler Master Hyper 412S | ASRock Z97 Extreme4 | G.Skill Ares 2x4GB DDR3 1600 | MSI nVidia GTX 260 55nm | Samsung SSD 840EVO 250GB | Cooler Master Stacker | Corsair RM650x

Ultima modifica di riva.dani : 04-05-2006 alle 18:01.
riva.dani è offline   Rispondi citando il messaggio o parte di esso
Old 04-05-2006, 18:30   #19
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da riva.dani

PS: le tue regole sembrano ottime, anche se per eMule avevano funzionato meglio quelle che si possono scaricare dal sito di LnS: qualche porta e qualche altro piccolo parametro l'ho dovuto modificare a mano . Però devo chiederti una cosa: è normale che quando testo le porte col browser (sul sito di eMule) il test fallisce? Se è normale significa che la sicurezza del mio PC al momento è talmente curata nei dettagli che quando eMule chiede accesso alle porte TCP e UDP lo ottiene (ho ID Alto e mi connetto al KAD senza problemi), mentre il browser non è autorizzato... E 'così oppure ho sbagliato io da qualche parte?
le "mie regole" sono mie giusto per modo di dire:
non ho fatto altro che fondere quelle di Phant0m con le estese, togliendo eventuali ridondanze e aggiungendo le regole dei programmi che mi servivano.
Semmai sono stato abile, diciamo cosi', a metterle nelle posizioni corrette (vedi tutta la menata che ho dovuto scrivere per il P2P, ad es...)

Quindi diamo a Phant0m quello che è di Phant0m: lui si che di protocolli e compagnia bella ne sa, ma tanto...
Se con emule ti sembra che funzionino meglio le originali, togli dalle "mie" tutti i riferimenti ad emule stesso e le rimpiazzi con le originali stesse.

"è normale che quando testo le porte col browser (sul sito di eMule) il test fallisce?"

o questa?
L'ho provato giusto ora visto che mi hai segnalato la cosa e ottengo anch'io il tuo solito risultato (pur avendo come te ID ALTO/Kad non Firewalled)



Strano perchè fino a non molto t fà tutto era ok.
Prova a rimpiazzarle e fammi sapere.

EDIT: di sicuro, pur non essendo normale di fallire il test delle porte, non influenza il download.


(Alice 640)

Ultima modifica di nV 25 : 04-05-2006 alle 18:42.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 04-05-2006, 18:59   #20
riva.dani
Senior Member
 
L'Avatar di riva.dani
 
Iscritto dal: Oct 2002
Messaggi: 3922
Abbiamo trovato un bel grattacapi... Ho provato diverse combinazioni, adesso ho le regole Phant0m con l'aggiunta delle regole di eMule ed MSN (per ora sono in cima alla lista).

Però non ho risolto completamente: ho sempre ID Alto, e il test della porta TCP lo passo. Quello della UDP invece...

Il test della porta UDP e fallito!

Tuttavia:

Kad Rete
Stato: Connesso


... non firewalled...
Ed infatti la porta risulta aperta tra le regole!

Mistero totale. Ad ogni modo sto per rimettere le "tue" ( ) regole che mi sembravano più complete. Al massimo sostituirò le regole di eMule.

Grazie di nuovo.

Edit
X TUTTI: ho messo su le regole di Phant0m modificate ad hoc dal mitico nV25. Ho sostituito le regole di eMule con quelle scaricabili dal sito ufficiale di LnS perchè mi piacevano di più quelle . Ad ogni modo ho portato ogni regola al livello in cui si trovava quella pre-importata da nV.
eMule funziona perfettamente, ho ID Alto e KAD non "firewalled" e velocità di download nella norma. Quindi ne deduco che funziona perfettamente.
Se però provate a fare il test delle porte tramite browser non supererete nemmeno il test TCP. Al momento non so perchè, ma non dipende nè dal livello a cui sono le regole nè dal fatto che sono state associate ad un programma specifico (eMule), poichè in teoria dovrebbero funzionare lo stesso (l'associazione fa si che le regole si attivino solo se avete lanciato eMule, ma se eMule è attivo le porte dovrebbero apparire aperte a qualunque software del vostro PC tenti di accedervi).
Probabilmente IMHO dipende dal tipo di pacchetti che vengono inviati per il test.
__________________
Intel Core i5 4690K by Cooler Master Hyper 412S | ASRock Z97 Extreme4 | G.Skill Ares 2x4GB DDR3 1600 | MSI nVidia GTX 260 55nm | Samsung SSD 840EVO 250GB | Cooler Master Stacker | Corsair RM650x

Ultima modifica di riva.dani : 04-05-2006 alle 19:31.
riva.dani è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Panasonic Toughbook A3, un tablet indistruttibile per chi non lavora in ufficio Panasonic Toughbook A3, un tablet indistruttibil...
Nikon Z fc: bella e possibile. Ma non perfetta. La recensione Nikon Z fc: bella e possibile. Ma non perfetta. ...
Volkswagen ID.4, SUV elettrico per la famiglia che convince Volkswagen ID.4, SUV elettrico per la famiglia c...
iPad mini 6 contro iPad 9: il più piccolo contro il più economico. La recensione iPad mini 6 contro iPad 9: il più piccolo...
Recensione FIFA 22: ecco com'è su Google Stadia Recensione FIFA 22: ecco com'è su Google ...
La denuncia di Slack fa effetto? La Comm...
LG per i suoi 25 anni di presenza in Ita...
OPPO Reno7: apparso online lo smartphone...
Half-Life 2 immortale: la nuova patch po...
Microsoft Flight Simulator: Game of the ...
Risultati trimestrali Tesla, cosa aspett...
Gli astronauti della missione Shenzhou-1...
Detect for AWS, la soluzione SaaS di ril...
Canonical annuncia Ubuntu Frame ed entra...
Samsung valuta il tuo usato e rimborsa f...
Si avvicina l'integrazione della capsula...
Skiller SGK60, la tastiera meccanica di ...
Samyang AF 24-70mm F2.8 FE: il primo obi...
Xiaomi Mijia, aspirapolvere potente e co...
Windows 11 supporta alcune vecchie CPU I...
NOD32
AIDA64 Extreme Edition
Chromium
IObit Uninstaller
Process Lasso
Sandboxie
Dropbox
Internet Download Manager
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
K-Lite Codec Pack Update
Opera Portable
Opera 80
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 18:53.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www2v