[Sygate Firewall] Scansioni subite, che fare?

[Night82]

Come firewall uso Sygate Personal Firewall. Subisco spesso delle scansioni delle porte. Ecco qui ad esempio uno screeshot:



Volevo capire: ma Sygate mi avvisa dei tentativi di attacco subiti o di violazioni effettivamente subite?

Cosa dovrei fare per evitare ciò?

[wgator]

Ciao,

il firewall ti avvisa semplicemente che qualcuno sta tentando di farti un "port scan"
Siamo tutti sottoposti quotidianamente a decini di attacchi del genere e non possiamo farci nulla
Se il tuo firewall è impostato correttamente ignora pure quei messaggi.
Verifica >QUI< che sia tutto a posto

[Night82]

Il test che mi hai proposto mi dice:

Quote:

Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!

Quindi mi pare di capire che il mio firewall non è ben configurato.

Poi ho fatto il test di Sygate. Il test è riuscito ad individuare il mio Ip, il mio SO e il mio broswer. D'altra parte non è riuscito a capire quali applicazioni stavo eseguendo e il computer name.

La mia protezione è un po' scarsina mi pare.

[wgator]

Ciao,

da quanto riporti, non è assolutamente detto che tu abbia problemi di protezione... Nella pagina "Shields UP" dove hai letto quell'avvertimento, se guarda sotto c'è un bottoncino "All service port". Se lo clicchi, ti fa un port scan alle porte principali. Alla fine del test, se appaiono tutti quadratini verdi, sei tranquillo, se invece appaiono quadratini blu o peggio, rossi, potresti avere problemi... controlla!

Per quanto riguarda Ip, Sistema Operativo e Broswer, è normale che il sito di test li veda... se non fosse così, Internet non funzionerebbe. L'importante è che non veda quali servizi/applicazioni girano sul PC e non possa stabilire il nome del computer

[wgator]

Approfitto per una "spiegazione" molto semplificata: quando si contatta un qualsiasi sito Internet, questo deve necessariamente "vedere" il nostro IP pubblico altrimenti non "saprebbe" a chi mandare la pagina richiesta.
Per la stessa ragione deve conoscere il nostro Sistema Operativo e il Browser che usiamo; questo per stabilire il "Layout" della pagina che ci invia. Se non "capisse" quale browser abbiamo e qual'è la nostra risoluzione video, probabilmente la pagina apparirebbe difettosa e "scalata" male...

Tutte le porte di servizio debbono apparire "Stealth" ovvero chiuse ed invisibili. La porta 80 (la http) si deve aprire per un solo istante, il tempo strettamente necessario alla ricezione della pagina richiesta, e solamente nei confronti dell'indirizzo IP che ce la deve inviare.

Se dal test risultassero porte "aperte" o anche solamente "chiuse" ma "pingabili", (quadratino blu) in questo caso dobbiamo metterci in allarme
Le uniche deroghe a questa regola derivano dall'eventuale presenza sul nostro pc di un server, per esempio un server web (porta 80 aperta) oppure di un server ftp (porta 21 aperta)

[raceman]

Approfitto di Wgator per una risposta al volo. A me capita che su tutti e tre i pc (due collegati ad un router firewall e uno su un altro router firewall), che la porta 1 "1/tcp TCP Multiplexor " risulti chiusa e non stealth. Da precisare una cosa: capita anche ad un altro mio amico, anche lui dietro router e anche lui fastweb come me. Da qualche parte avevo letto che anche altri utenti fastweb con quel test hanno avuto lo stesso risultato. Mah..

[Night82]

Per wgator: ottima spiegazione grazie.

Ho eseguito il test. Tutte le porte sono Stealth a parte la 135. Ecco il log:

Quote:

GRC Port Authority Report created on UTC: 2006-03-02 at 14:25:51

Results from scan of ports: 0-1055

1 Ports Open
0 Ports Closed
1055 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be CLOSED.

The port found to be OPEN was: 135

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

PS Mi rendo conto della figura da noob che ho fatto sopra . Pensavo che il test fosse già stato eseguito. noob, noob, noob .

[Doreciakgulp]

Quote:

Originariamente inviato da wgator

Ciao,

il firewall ti avvisa semplicemente che qualcuno sta tentando di farti un "port scan"
Siamo tutti sottoposti quotidianamente a decini di attacchi del genere e non possiamo farci nulla
Se il tuo firewall è impostato correttamente ignora pure quei messaggi.
Verifica >QUI< che sia tutto a posto

Salve
Ho fatto il test anche io, con le seguenti risultanze :



Mi devo preoccupare?
Come fare a rendere sicura quella porta?

[satanaxe]

ehm io invece sono un po piu incasinato. vi posterei pagina ma è un po troppo grande...

GRC Port Authority Report created on UTC: 2006-03-04 at 11:19:58

Results from scan of ports: 0-1055

4 Ports Open
548 Ports Closed
504 Ports Stealth
---------------------
1056 Ports Tested

Ports found to be OPEN were: 23, 80, 1027, 1035

Ports found to be STEALTH were: 2, 4, 5, 7, 8, 9, 11, 12, 15,
16, 18, 19, 21, 22, 25, 26,
27, 28, 29, 30, 34, 42, 45,
48, 50, 52, 53, 54, 56, 58,
61, 65, 66, 67, 68, 72, 73,
74, 77, 78, 79, 89, 98, 100,
101, 102, 104, 109, 110, 113,
114, 115, 116, 117, 118, 119,
121, 123, 124, 127, 128, 131,
132, 134, 135, 136, 137, 138,
139, 140, 145, 147, 150, 154,
156, 158, 160, 162, 163, 165,
166, 173, 175, 177, 178, 180,
185, 186, 187, 189, 193, 194,
195, 198, 201, 203, 206, 213,
215, 216, 217, 221, 222, 224,
226, 229, 232, 233, 234, 235,
240, 241, 242, 243, 246, 247,
249, 250, 253, 254, 255, 256,
258, 259, 262, 268, 270, 271,
272, 273, 274, 282, 286, 287,
291, 292, 293, 294, 296, 297,
299, 300, 301, 306, 307, 308,
310, 314, 315, 316, 320, 321,
323, 326, 327, 328, 329, 336,
340, 342, 344, 345, 347, 353,
355, 357, 360, 363, 365, 368,
369, 370, 372, 374, 377, 379,
383, 386, 387, 389, 393, 396,
398, 401, 402, 406, 408, 411,
414, 416, 418, 423, 424, 437,
439, 440, 442, 445, 447, 448,
449, 450, 452, 456, 458, 459,
460, 461, 462, 463, 464, 466,
467, 469, 471, 472, 473, 474,
475, 476, 477, 478, 479, 480,
482, 484, 485, 486, 489, 490,
494, 500, 501, 502, 504, 511,
512, 513, 516, 517, 518, 519,
522, 525, 527, 530, 531, 532,
533, 534, 535, 536, 538, 539,
540, 541, 543, 544, 547, 550,
553, 554, 555, 556, 560, 561,
563, 564, 567, 568, 570, 573,
577, 578, 579, 581, 582, 585,
586, 590, 593, 595, 596, 597,
598, 602, 603, 604, 605, 609,
610, 611, 613, 615, 619, 623,
624, 634, 636, 637, 638, 643,
648, 651, 652, 653, 660, 662,
663, 664, 667, 670, 671, 672,
673, 674, 676, 679, 681, 682,
684, 690, 691, 693, 696, 698,
699, 700, 701, 710, 712, 715,
718, 719, 720, 722, 723, 724,
725, 727, 735, 736, 737, 738,
740, 742, 744, 747, 749, 751,
753, 754, 759, 761, 764, 766,
767, 768, 769, 770, 771, 772,
773, 774, 775, 778, 782, 783,
785, 786, 788, 790, 792, 794,
796, 797, 799, 800, 802, 804,
806, 808, 812, 813, 816, 817,
818, 820, 821, 823, 828, 832,
833, 834, 835, 840, 841, 845,
847, 849, 850, 851, 852, 853,
856, 857, 859, 860, 861, 863,
866, 868, 870, 871, 874, 876,
878, 880, 882, 886, 891, 892,
894, 895, 896, 899, 900, 904,
906, 907, 909, 910, 912, 914,
916, 921, 923, 925, 927, 932,
935, 936, 937, 939, 941, 944,
947, 948, 952, 953, 954, 955,
959, 960, 961, 963, 964, 966,
967, 968, 969, 970, 971, 972,
977, 978, 981, 983, 986, 990,
992, 993, 994, 995, 998, 1000,
1002, 1003, 1006, 1007, 1011,
1012, 1014, 1015, 1017, 1018,
1019, 1021, 1022, 1023, 1028,
1032, 1037, 1038, 1039, 1041,
1042, 1047, 1048, 1049, 1050,
1052, 1053, 1054

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.


ecco il log...

sono un po messo male?!

[nV 25]

Quote:

Originariamente inviato da wgator

Approfitto per una "spiegazione" molto semplificata: quando si contatta un qualsiasi sito Internet, questo deve necessariamente "vedere" il nostro IP pubblico altrimenti non "saprebbe" a chi mandare la pagina richiesta.
Per la stessa ragione deve conoscere il nostro Sistema Operativo e il Browser che usiamo; questo per stabilire il "Layout" della pagina che ci invia. Se non "capisse" quale browser abbiamo e qual'è la nostra risoluzione video, probabilmente la pagina apparirebbe difettosa e "scalata" male...

Tutte le porte di servizio debbono apparire "Stealth" ovvero chiuse ed invisibili. La porta 80 (la http) si deve aprire per un solo istante, il tempo strettamente necessario alla ricezione della pagina richiesta, e solamente nei confronti dell'indirizzo IP che ce la deve inviare.

Se dal test risultassero porte "aperte" o anche solamente "chiuse" ma "pingabili", (quadratino blu) in questo caso dobbiamo metterci in allarme
Le uniche deroghe a questa regola derivano dall'eventuale presenza sul nostro pc di un server, per esempio un server web (porta 80 aperta) oppure di un server ftp (porta 21 aperta)

eccellente spiegazione