Firewall UDP-IN porta 53: devo permettere?

[windigo]

Ciao,

ieri volevo mettere una nuova regola di bloccaggio nel mio Kerio Firewall. Ma, stupidamente, invece di cliccare sul bottone Add o cliccato su quello Edit, modificando così qualche regola per qualche processo che evidentemente era selezionata con il mouse.

Da quel momento mi sono iniziati ad apparire due messaggi di questo tipo che interessano l'applicazione svchost.exe:



Someone from host68-28-static.38-85-b.business.telecomitalia.it [85.38.28.68], port 53 wants to send UDP datagram to port 1044 owned by 'Generic Host Process for Win32 Services' on your computer



Ora, se lo nego non riesco più a navigare su Internet, mentre al contrario ci riesco se permetto l'intrusione.

Il problema è che prima non mi sembra che avevo questa voce e quindi sono pieno di dubbi.

La devo permettere? E' Sicura?

[Cipriani]

Porto 53 e utilizato per DNS (DOMAIN NAME SERVER) . Il DNS è un componente critico del Internet, poichè tiene conto una traduzione automatica dei nomi leggibili umani (come www.dshield.org) negli indirizzi del Internet (123.32.123.32). Cioè il DNS compie la stessa funzione come assistenza di indice per la linea telefonica.Tuttavia, uno dei pacchetti di programmi più popolari di DNS, BIND , ha una storia ricca dei problemi di sicurezza.
Molti luoghi hanno rilevato tantissimi pacchetti del UDP diretti all'orificio di DNS (53). Questi pacchetti contengono la struttura molto e ci è preoccupazione che sono pacchetti di telecomando o di impresa. Risulta che sono pacchetti “di scoperta„ che sono trasmessi agli indirizzi casuali del IP dalla worm virus senza fine Calypso/di Sinit.
Se non conoscete i host(sito) la risposta è no.È il vtuo fornitore di Internet Telecom Italia? Le informazioni:

domain: telecomitalia.it
org: Telecom Italia S.P.A.
descr: Tlc Company
admin-c: FC379-ITNIC
tech-c: NA84-ITNIC
postmaster: NA84-ITNIC
zone-c: NA84-ITNIC
nserver: 156.54.249.250 ns.telecomitalia.it
nserver: dnsts.interbusiness.it
nserver: dns3.nic.it
remarks: Fully - managed
mnt-by: INTERBUSINESS-MNT
created: before 19960129
expire: 20070129
source: IT-NIC

person: Flavio Cataldi
address: Telecom Italia S.P.A.
address: Divisione Clienti Business
address: Via Paolo Di Dono, 44
address: I-00143 Roma
address: Italy
nic-hdl: FC379-ITNIC
source: IT-NIC

person: Nicola Aresta
address: Via S.Dioguardi, 1
address: 70124 Bar
nic-hdl: NA84-ITNIC
source: IT-NIC

Extended Information - :
IP Address: 217.169.121.234
IP Location: Italy
Website Status: active
Server Type: Apache
Alexa Trend/Rank: 1 Month: 13,382 3 Month: 14,290
Page Views per Visit: 1 Month: 3.3 3 Month: 3.1
Cache Date: 2006-11-27 09:09:44 MST
Compare Archived Data: 2005-06-16

Spiacente per la lingua, ma io non sono italiano ma provo ad imparare l'italiano migliore.

[W.S.]

Quello che dice Cipriani è vero (almeno in parte): i pacchetti DNS hanno causato molti problemi. Nel caso di personal computer però il rischio è estremamente minore (dato che non hai un server bind in ascolto), inoltre se, come hai detto, non permettendo la connessione non riesci a risolvere i nomi, significa che quelle connessioni udp sono le risposte a query che tu stesso hai fatto, quindi vai tranquillo e lasciale passare.

[manganese]

Ne approfitto per una curiosità sull'argomento.
Ho notato che il computer che ho in uso spedisce dei pacchetti udp (attrerso svchost e sfruttando varie porte di solito 1030-40) alla porta 53 di un indirizzo IP (sempre lo stesso).
Volevo sapere come interpretare tale comportamento.

Un piccolo OT
Per monitorare l'attività di rete del mio comp mi è stato consigliato di installare Pr-paser (e il relativo visualizzatore di log) secondo voi ne vale la pena?
P.S.
HO xp prof e sono collegato attraverso router con firewall (sul quale ci sono varie porte aperta) e IP fisso....ma mi hanno detto di non preoccuparmi

[W.S.]

bhe si è normale, serve appunto per tradurre i nomi in ip.
Vedrai che l'ip remoto corrisponde ad uno dei tuoi dns server (ipconfig /all per visualizzarli) altrimenti in effetti potresti iniziare a preoccuparti.

Per monitorare il traffico dipende da cosa ti interessa, Pr-paser non lo conosco ma se ti basta sapere grossomodo che connessioni hai attive prova tcpview (e un netstat visuale)

edit: sorry, avevo scritto netstat al posto di ipconfig

[manganese]

Quote:

Originariamente inviato da W.S.

bhe si è normale, serve appunto per tradurre i nomi in ip.
Vedrai che l'ip remoto corrisponde ad uno dei tuoi dns server (ipconfig /all per visualizzarli) altrimenti in effetti potresti iniziare a preoccuparti.

Si ho visto che sono 3 i server dns, è che pensavo fossero solo i 2 visualizzati nella schermata di windows e i conti non mi tornavano.

Quote:

Originariamente inviato da W.S.

Per monitorare il traffico dipende da cosa ti interessa, Pr-paser non lo conosco ma se ti basta sapere grossomodo che connessioni hai attive prova tcpview (e un netstat visuale)

edit: sorry, avevo scritto netstat al posto di ipconfig

Quello che vorrei ottenere è una sorta di report giornaliero di tutte le connessioni del mio computer per vedere se cè qualcosa di sospetto...le porte aperte nel firewall del router non mi piacciono per niente...

[W.S.]

capito, io ho configurato le regole di firewalling in modo che logghino ciò che mi interessa, su alcuni server questi log mi vengono poi inviati via mail giornalmente (o immediatamente a seconda della criticità)... il problema è che su linux è semplice, su win non ho idea di come fare, immagino debba essere un'opzione supportata dal firewall che usi... piccolo suggerimento: logga il meno possibile e solo quello che il tuo firewall non droppa altrimenti rischi di ottenere troppo log e non riuscire nemmeno più a trovare il tempo di controllarlo!