|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Senior Member
Iscritto dal: Apr 2009
Messaggi: 1060
|
interpretare netstat
Vorrei imparare a capire il risultato del comando netstat -tulpn, spero qualcuno di voi abbia la pazienza di spiegarmi il significato dei valori
Codice:
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 661/cupsd tcp6 0 0 ::1:631 :::* LISTEN 661/cupsd udp 0 0 0.0.0.0:68 0.0.0.0:* 784/dhclient udp 0 0 0.0.0.0:631 0.0.0.0:* 662/cups-browsed Inoltre vorrei capire se le porte 631 e 68 sono aperte sulla lan e sono suscettibili ad attacchi in caso di lan non sicura (wifi pubblico) e/o se sono aperte ad internet. Vorrei insomma capire cosa significano i valori, che "poteri" hanno i programmi elencati nell accesso alla rete ed in caso questo comporti dei rischi in lan e/o wan come posso sistemare |
![]() |
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: Jan 2008
Messaggi: 8406
|
0.0.0.0 nel protocollo ipv4 indica "tutti gli indirizzi ip locali su tutte le interfacce di rete"
cioe' un servizio listening su quell'indirizzo, sta in ascolto su tutti gli indirizzi assegnati all'host, in pratica cattura tutto il traffico che gli passa davanti ::1 e' l'equivalente nel protocollo ipv6 e si, sono in ascolto su quelle due parti, rispettivamente usate dal demone di stampa e da quello dhcp e si, il punto e' che quei servizi vogliono essere visibili sulla rete locale e globale, ma nel caso di internet ( in genere ) ci si connette tramite nat, per cui se non si fa il port forwarding e' impossibile accedere a cups e dhclient da internet |
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Apr 2009
Messaggi: 1060
|
perfetto quindi per quello che riguarda internet grazie al discorso del nat se ho ben capito sono protetto, invece per quanto riguarda la lan?
quando mi connetto in un wifi pubblico se ci fosse un malintenzionato potrebbe utilizzare queste 2 porte per "entrare" nel sistema? in caso di risposta affermativa, come faccio a proteggermi? il dhclient è un servizio indispensabile per il funzionamento della rete oppure è un "refuso" della distro per l'ambito server e quindi da utente domestico posso disabilitarlo/disinstallarlo? |
![]() |
![]() |
![]() |
#4 | |
Senior Member
Iscritto dal: Jan 2008
Messaggi: 8406
|
qualunque host nella lan puo' comunicare con quei servizi
ma parliamo di cups ( cioe' il server di stampa ) e dhclient ( il client/server dhcp ) a meno di sfruttare delle vulnerabilita', non vedo come potrebbero danneggiarti Quote:
puoi provare ad andare all'indirizzo localhost:631 col browser per vedere la web interface di cups e comunque nel relativo file di configurazione puoi benissimo disabilitarla dhclient e' anche client dhcp, senza di esso saresti costretto a configurare la rete manualmente e staticamente |
|
![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Apr 2009
Messaggi: 1060
|
grazie, sei stato gentilissimo finalmente sono riuscito a capirne il funzionamento
un ultima domanda da quanto ho capito queste porte aperte non sono un problema in nessun caso ad eccezion fatta di vulnerabilità nei processi, volevo allora sapere se esiste qualche accorgimento aggiuntivo che si può prendere per aumentare la sicurezza in questi casi? |
![]() |
![]() |
![]() |
#6 | |
Senior Member
Iscritto dal: Jan 2008
Messaggi: 8406
|
Quote:
E infatti i web server usano la porta 80, i server ssh usano la 443, telnet la 25, ftp la 23, ecc... Per cui inviare messaggi su una porta significa inviarli al servizio che si trova in ascolto su tale porta. Dipende poi da cosa fai il servizio ( e come lo fa ) se cio' puo' condurre ad una violazione di sicurezza o meno. Ad esempio c'e' il recentissimo caso della botnet Mirai che ha bombardato alcuni siti web con un DDOS da 600 Gbit/s. Ebbene, questa botnet e' composta da dispositivi IoT ( gli smartcosi che vogliono ficcarci nelle case ). Dispositivi violati tramite l'uso del banale telnet, questo perche' tali dispositivi usano username/password di default. Il tutto senza la necessita' di usare alcuna vulnerabilita'!!! Ovviamente questo non e' il caso di cups e dhclient, che sono realizzati in maniera un pochino piu' seria. L'unico per stare sicuri al 100% e' di disabilitare questi servizi. Solo che disabilitando dhclient non puoi piu' connetterti ( in maniera semplice e automatica ) ad alcuna rete. Disabilitando cups non puoi piu' stampare. |
|
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: Apr 2009
Messaggi: 1060
|
ti ringrazio per la spiegazione, davvero molto chiara ed esaustiva
|
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:43.