Chiarimenti router, firewall, sicurezza in generale

[Caterpillar86]

C'è una cosa che non ho mai capito dei router e dei firewall in generale...

Si usa spesso aprire le porte in uscita dal computer che servono per far funzionare alcuni programmi...
Ma mi son sempre chiesto; facciamo un'analogia:

prendi un palazzo a piano terra, apri le finestre che ti servono per prender aria, ma chi te lo dice che da quelle finestre non possa entrar qualcuno?

Stessa cosa per i pc. All'inizio tutte le porte sono chiuse per evitare che qualche hacker sfrutti bug od altro. Apro ad esempio la porta 80 che mi serve per navigare, ma secondo quale mistica regola dovrei sentirmi al sicuro? Secondo me chi riesce ad entrar nei pc (lasciate stare i trojan e compagnia bella) ci riesce pure dalla porta 80...

[xcdegasp]

bisogna distinguere tra porte locali (il tuo condominio) e quelle remote ossia le finestre non tue ma a cui l'aereoplanino di carta o la palla da carta deve arrivare e poter entrare..

la nat è come una grande rete che avvolge il tuo condominio..

le porte locali vengono aperte ogni volta che un programma viene lanciato, ciasc'un programma usa un porta locale univoca e un ID che lo identifica all'interno dello stesso pc.
quelle che devi consentire sono le chiamate alle finestre (porte) remote e appunto creare un buco per consentire alla palla di carta di raggiungere la finestra dell'altro palazzo.

ovviamente quella porta aperta può essere usata da altre persone per lanciare una palla nella tua finestra ma per farlo è necessario che ci sia qualcuno affacciato che possa raccogliere la palla

l'estraneo deve quindi convincere il tizio affacciato (maggiordomo) che sia la palla che attendeva nonostante non la stesse attendendo.

per quersto motivo è sempre alta,mente consigfliato eseguire i programmi come utente non privileggiato perchè facendo ciò il maggiordomo non si sentirà il padrone di casa

il firewall software è come un ispettore che controlla le palle in entrata e uscita e le azioni dei maggiordomi e come comunicano tra di loro, chiaramente solo se il firewall softwae integrasse un meccanismo HIPS altrimenti si limiterà a fare il vigile del traffico in entrata e uscita

[iron84]

Quote:

Originariamente inviato da xcdegasp

bisogna distinguere tra porte locali (il tuo condominio) e quelle remote ossia le finestre non tue ma a cui l'aereoplanino di carta o la palla da carta deve arrivare e poter entrare..

la nat è come una grande rete che avvolge il tuo condominio..

le porte locali vengono aperte ogni volta che un programma viene lanciato, ciasc'un programma usa un porta locale univoca e un ID che lo identifica all'interno dello stesso pc.
quelle che devi consentire sono le chiamate alle finestre (porte) remote e appunto creare un buco per consentire alla palla di carta di raggiungere la finestra dell'altro palazzo.

ovviamente quella porta aperta può essere usata da altre persone per lanciare una palla nella tua finestra ma per farlo è necessario che ci sia qualcuno affacciato che possa raccogliere la palla

l'estraneo deve quindi convincere il tizio affacciato (maggiordomo) che sia la palla che attendeva nonostante non la stesse attendendo.

per quersto motivo è sempre alta,mente consigfliato eseguire i programmi come utente non privileggiato perchè facendo ciò il maggiordomo non si sentirà il padrone di casa

il firewall software è come un ispettore che controlla le palle in entrata e uscita e le azioni dei maggiordomi e come comunicano tra di loro, chiaramente solo se il firewall softwae integrasse un meccanismo HIPS altrimenti si limiterà a fare il vigile del traffico in entrata e uscita

Ottimo esempio figurato

[W.S.]

Quote:

Originariamente inviato da Caterpillar86

Apro ad esempio la porta 80 che mi serve per navigare, ma secondo quale mistica regola dovrei sentirmi al sicuro? Secondo me chi riesce ad entrar nei pc (lasciate stare i trojan e compagnia bella) ci riesce pure dalla porta 80...

Infatti non devi sentirti sicuro Il ragionamento che fai è giusto, pecca solo nel non considerare la direzione della connessione, ovvero che per navigare il client si connette alla porta 80 del server, quindi un attaccante non può connettersi alla porta 80 del client perchè essa rimane chiusa. E' quella del server ad essere aperta. Un attaccante può sfruttare la regola in altri modi ma non connettendosi direttamente al client.

Comunque in generale hai ragione, ogni volta che apriamo delle porte indeboliamo la nostra protezione. La sicurezza in fondo è sempre un compromesso, più servizi vogliamo usare più dobbiamo faticare per stare tranquilli, come dimostra anche l'analogia di xcdegasp controllando sempre meglio il comportamento del maggiordomo

[BEY0ND]

http://www.gianniamato.it/2007/12/pr...uter-voip.html

[manga81]

Quote:

Originariamente inviato da xcdegasp

bisogna distinguere tra porte locali (il tuo condominio) e quelle remote ossia le finestre non tue ma a cui l'aereoplanino di carta o la palla da carta deve arrivare e poter entrare..

la nat è come una grande rete che avvolge il tuo condominio..

le porte locali vengono aperte ogni volta che un programma viene lanciato, ciasc'un programma usa un porta locale univoca e un ID che lo identifica all'interno dello stesso pc.
quelle che devi consentire sono le chiamate alle finestre (porte) remote e appunto creare un buco per consentire alla palla di carta di raggiungere la finestra dell'altro palazzo.

ovviamente quella porta aperta può essere usata da altre persone per lanciare una palla nella tua finestra ma per farlo è necessario che ci sia qualcuno affacciato che possa raccogliere la palla

l'estraneo deve quindi convincere il tizio affacciato (maggiordomo) che sia la palla che attendeva nonostante non la stesse attendendo.

per quersto motivo è sempre alta,mente consigfliato eseguire i programmi come utente non privileggiato perchè facendo ciò il maggiordomo non si sentirà il padrone di casa

il firewall software è come un ispettore che controlla le palle in entrata e uscita e le azioni dei maggiordomi e come comunicano tra di loro, chiaramente solo se il firewall softwae integrasse un meccanismo HIPS altrimenti si limiterà a fare il vigile del traffico in entrata e uscita

[Caterpillar86]

Una cosa: attivando la condivisione file all'interno della lan, c'è qualche possibilità che qualche utente dall'esterno possa vedere o ciucciarsi i file? Le porte del NAT che sono aperte sono pochissime (3-4)

(Lasciate stare l'ipotesi virus perchè con Kaspersky su Windows, e Linux sugli altri dispositivi un'infezione è impossibile)

[W.S.]

Se non è abilitato il forwarding dall'esterno a quelle porte, l'unica possibilità è compromettere una macchina interna (router compreso) ed usarla per accedere a quelle risorse. Possibilità estremamente remota in ambito domestico.

[Caterpillar86]

Quote:

Originariamente inviato da W.S.

Se non è abilitato il forwarding dall'esterno a quelle porte, l'unica possibilità è compromettere una macchina interna (router compreso) ed usarla per accedere a quelle risorse. Possibilità estremamente remota in ambito domestico.

In questo senso il mio Linksys mi fa dormire sogni tranquilli