Firewall ZoneAlarm

sky1 · 17-10-2008, 18:42

Ho installato da pochi giorni una versione trial di ZoneAlarm Security Suite. Guardando gli avvisi e log del programma noto, per esempio, che nell'arco di una giornata di collegamento ad internet, 2265 intrusioni sono state bloccate, di cui 59 ad alto livello, ovvero riferite alle porte 137,139 e 23. In alcuni giorni le intrusioni ad alto livello possono arrivare anche più di 100.

Mi devo preoccupare, o fa parte del monitoraggio normale della rete da parte del firewall ?

Chiedo inoltre, se possibile, delle ulteriori informazioni per interpretare nel modo giusto la mole di dati che mi fornisce il firewall:

1) Chi decide di hackerare il PC remoto, durante la scansione delle porte mantiene sempre lo stesso indirizzo IP (per esempio qualche ora) o continua a cambiarlo dinamicamente durante la scansione ?

2) L'indirizzo IP è mascherato o corrisponde effettivamente all'utente finale ?

3) Ci sono delle utility per monitorare queste attività ?

4) Se uno decide di introdursi nel mio PC (supponiamo un amico) che strumenti o indizi dovrebbe utilizzare per localizzare il computer in questione ?

Grazie in anticipo

xcdegasp · 17-10-2008, 20:15

esiste già un thread aperto su ZA quindi eventuali domande prettamente riguardanti questo firewall andranno poste lì

se ZA ti segnala degli eventi è perchè li ha intercettati e bloccati, cio non significa che debbano essere per forza nocivi.
su stai usando software p2p è normalissimo avere moltissime connessioni in esecuzione e talvolta può capitare che il firewall blocchi alcune di queste connessioni per svariati motivi ma non perchè siano nocive bensì perchè ci può essere una regola non impostata proprio a dovere.. (esempio un ip può fare un limitato numero di richieste in un periodo di tempo prefissato)

1) gli attacchi veri non arrivano più dall'esterno ma sfrutano semmai delle falle riguardanti programmi installati quindi avvengono dall'interno del nostro pc.
come?
un email o un sito ben costruito o un programmino apparentemente innocente o ancora un file wma
quindi è richiesta comunque una tua azione ovviamente ben mitigata dalle parole del "attaccante" che farà leva sulla tua ingenuità

per bloccare gli attacchi provenienti dall'esterno basterebbe un router

2) per mascherato si intende che l'utente attaccante abbia usato un proxy o abbia dirottato la sua connessione attraverso un altro pc quindi ai tuoi occhi che sei il destinatario tuti gli ip sono uguali inquanti tutti sono reali.
dovrai per ciasc'un ip cercare la provienienza e proprietà usando uno dei servizi "who is" disponibili in rete, ovviamente se un indirizzo ip risulterà assegnato ad un proxy sarà per te difficile risalire al mittente ammesso che tu ci riesca ad arrivare al mittente.

3) quali attività? delle notifiche di eventi bloccati del firewall? sì, lui stesso produce il log.
io sinceramente non ci passerei il tempo a controllarlo, semmai controlla cio' che non è bloccato essendo questo un eventuale problema

4) escludo che tu sia una preda prelibata nell'oceano immenso di internet tanto da attirare i scuali

è molto più facile che tu finisca nella rete di pescatori di frodo, ma si intende di pesca grossa tipo creare grandi bot-net (insieme di tanti pc infetti che come zombie attendono ordini da una o un gruppo di persone per svolgere attività criminali come attacchi dos a istituzioni o aziende) e rubare nel frattempo i tuoi dati sensibili.
per dati sensibili si intende carte di credito, numeri di documenti, accesso a home@banking, accessi a caselle email e siti web, non di certo il nome e cognome e numero di cellulare

per fare questo come dicevo in precedenza basta un sito ben costruito o un sito lecito ma violato aggiungendo degli iframe che facciano scaricare in automatico al browser e in modo invisibile all'utente oggetti infetti che vanno poi a iniziare l'infezione del pc.
completamente invisibile questa attività all'utente se non possiede un firewall adeguato perchè nell'infezione si sfruttano i servizi già aperti da windows quindi nel task-manager e nelle connessioni aperte non vedresti nulla dis trano

ZA non è un firewall che possa metetrti al riparo da queste minacce per i scarsi controlli che esegue all'interno del pc, anche la versione professional lascia a desiderare.
molto meglio si comportano i due firewall gratuiti Comodo-Firewall e OnlineArmor-free che oltre a essere considerati i migliori in ambito free sono anche quelli che rivaleggiano a testa alkta con quelli commerciali

sky1 · 17-10-2008, 20:50

Grazie mille!!!

Qualcun'altro sa darmi altre indicazioni?

17-10-2008, 18:42	#1
sky1 Junior Member Iscritto dal: Oct 2008 Messaggi: 27	Firewall ZoneAlarm Ho installato da pochi giorni una versione trial di ZoneAlarm Security Suite. Guardando gli avvisi e log del programma noto, per esempio, che nell'arco di una giornata di collegamento ad internet, 2265 intrusioni sono state bloccate, di cui 59 ad alto livello, ovvero riferite alle porte 137,139 e 23. In alcuni giorni le intrusioni ad alto livello possono arrivare anche più di 100. Mi devo preoccupare, o fa parte del monitoraggio normale della rete da parte del firewall ? Chiedo inoltre, se possibile, delle ulteriori informazioni per interpretare nel modo giusto la mole di dati che mi fornisce il firewall: 1) Chi decide di hackerare il PC remoto, durante la scansione delle porte mantiene sempre lo stesso indirizzo IP (per esempio qualche ora) o continua a cambiarlo dinamicamente durante la scansione ? 2) L'indirizzo IP è mascherato o corrisponde effettivamente all'utente finale ? 3) Ci sono delle utility per monitorare queste attività ? 4) Se uno decide di introdursi nel mio PC (supponiamo un amico) che strumenti o indizi dovrebbe utilizzare per localizzare il computer in questione ? Grazie in anticipo

17-10-2008, 20:15	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	esiste già un thread aperto su ZA quindi eventuali domande prettamente riguardanti questo firewall andranno poste lì se ZA ti segnala degli eventi è perchè li ha intercettati e bloccati, cio non significa che debbano essere per forza nocivi. su stai usando software p2p è normalissimo avere moltissime connessioni in esecuzione e talvolta può capitare che il firewall blocchi alcune di queste connessioni per svariati motivi ma non perchè siano nocive bensì perchè ci può essere una regola non impostata proprio a dovere.. (esempio un ip può fare un limitato numero di richieste in un periodo di tempo prefissato) 1) gli attacchi veri non arrivano più dall'esterno ma sfrutano semmai delle falle riguardanti programmi installati quindi avvengono dall'interno del nostro pc. come? un email o un sito ben costruito o un programmino apparentemente innocente o ancora un file wma quindi è richiesta comunque una tua azione ovviamente ben mitigata dalle parole del "attaccante" che farà leva sulla tua ingenuità per bloccare gli attacchi provenienti dall'esterno basterebbe un router 2) per mascherato si intende che l'utente attaccante abbia usato un proxy o abbia dirottato la sua connessione attraverso un altro pc quindi ai tuoi occhi che sei il destinatario tuti gli ip sono uguali inquanti tutti sono reali. dovrai per ciasc'un ip cercare la provienienza e proprietà usando uno dei servizi "who is" disponibili in rete, ovviamente se un indirizzo ip risulterà assegnato ad un proxy sarà per te difficile risalire al mittente ammesso che tu ci riesca ad arrivare al mittente. 3) quali attività? delle notifiche di eventi bloccati del firewall? sì, lui stesso produce il log. io sinceramente non ci passerei il tempo a controllarlo, semmai controlla cio' che non è bloccato essendo questo un eventuale problema 4) escludo che tu sia una preda prelibata nell'oceano immenso di internet tanto da attirare i scuali è molto più facile che tu finisca nella rete di pescatori di frodo, ma si intende di pesca grossa tipo creare grandi bot-net (insieme di tanti pc infetti che come zombie attendono ordini da una o un gruppo di persone per svolgere attività criminali come attacchi dos a istituzioni o aziende) e rubare nel frattempo i tuoi dati sensibili. per dati sensibili si intende carte di credito, numeri di documenti, accesso a home@banking, accessi a caselle email e siti web, non di certo il nome e cognome e numero di cellulare per fare questo come dicevo in precedenza basta un sito ben costruito o un sito lecito ma violato aggiungendo degli iframe che facciano scaricare in automatico al browser e in modo invisibile all'utente oggetti infetti che vanno poi a iniziare l'infezione del pc. completamente invisibile questa attività all'utente se non possiede un firewall adeguato perchè nell'infezione si sfruttano i servizi già aperti da windows quindi nel task-manager e nelle connessioni aperte non vedresti nulla dis trano ZA non è un firewall che possa metetrti al riparo da queste minacce per i scarsi controlli che esegue all'interno del pc, anche la versione professional lascia a desiderare. molto meglio si comportano i due firewall gratuiti Comodo-Firewall e OnlineArmor-free che oltre a essere considerati i migliori in ambito free sono anche quelli che rivaleggiano a testa alkta con quelli commerciali __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 17-10-2008 alle 20:43.

17-10-2008, 20:50	#3
sky1 Junior Member Iscritto dal: Oct 2008 Messaggi: 27	Grazie mille!!! Qualcun'altro sa darmi altre indicazioni?

Strumenti
Mostra una versione stampabile Invia questa pagina per email