Quali porte bloccare?

[dickdusterdly]

Mi sapreste dire se ci sono porte specifiche da bloccare col firewall, cioè porte che per sicurezza dovrebbero comunque stare sempre chiuse, tipo la 135?
Grazie

[Bilancino]

beh se il pc non è in rete con altri basta chiudere la 135,137,139

Ciao

[Bilancino]

beh se il pc non è in rete con altri basta chiudere la 135,137,139

Ciao

[Pardo]

vanno chiuse, ossia filtrato tutto il traffico dall'esterno, tutte le porte 'basse' 1-1024
la gran maggioranza dei servizi di rete comunemente exploitati stanno in questo range e x contro se la macchina nn offre servizi di rete e` impossibile che qualcuno abbia bisogno di collegarsi a una di queste porte

se il programma permette questo livello di finezza, andrebbero poi filtrati tutti i pacchetti col flag SYN settato indirizzati alle porte restanti 1024-65535 (=equivale a rifiutare richieste di _nuove_ connessioni, chiudendo dentro quindi eventuali backdoor installate)
Se si fa questo comunque sorgeranno varie eccezioni ad es. x i prog di file sharing, x il trasferimento di file con ICQ o IRC, con FTP ecc. x cui bisogna essere sempre svegli ad accorgersi del problema e aprire la specifica porta necessaria x quei programmi.
Dopo un periodo di aggiustamento x questi motivo andra` tutto bene ma col pc molto + blindato.

Questa e` una configurazione di max sicurezza visto che si chiude tutto, e poi si va ad aprire manualmente come eccezione.
Al contrario invece di lasciare libero tutto e filtrare solo qualke porta particolare.

infine e` bene anche filtrare i ping (echo request)

[CYRANO]

Grazie alla guida di bilancino tramite icq , son riuscito a rendere stealth tutte le porte "basse" con il Sygate 5.1
In pratica è il SvHost che mi apriva 3 porte : la famigerata 135 , la 5000 ed un'altra che non ricordo.
Una volta bloccati i 2 processi Svhost , tutte le porte sono stealth...







Ciaozzz

[jedy48]

Quote:

Originariamente inviato da Bilancino
beh se il pc non è in rete con altri basta chiudere la 135,137,139

Ciao

ciao Bilancino, potresti spiegarmi come fare a chiudere delle porte con Outpost Pro 2? grazie

[Bilancino]

Quote:

Originariamente inviato da jedy48
ciao Bilancino, potresti spiegarmi come fare a chiudere delle porte con Outpost Pro 2? grazie

devi bloccare il processo windows svhost che vuole accedere appena avvii la connessione e disabilitare la condivisione di files e stampanti. Poi fai il un test e verifichi..........

Ciao

[caosss]

ma perchè se tolgo la condivisione non posso più salvare la password della connessione???

[DooM1]

Quote:

Originariamente inviato da Pardo
vanno chiuse, ossia filtrato tutto il traffico dall'esterno, tutte le porte 'basse' 1-1024
la gran maggioranza dei servizi di rete comunemente exploitati stanno in questo range e x contro se la macchina nn offre servizi di rete e` impossibile che qualcuno abbia bisogno di collegarsi a una di queste porte

se il programma permette questo livello di finezza, andrebbero poi filtrati tutti i pacchetti col flag SYN settato indirizzati alle porte restanti 1024-65535 (=equivale a rifiutare richieste di _nuove_ connessioni, chiudendo dentro quindi eventuali backdoor installate)
Se si fa questo comunque sorgeranno varie eccezioni ad es. x i prog di file sharing, x il trasferimento di file con ICQ o IRC, con FTP ecc. x cui bisogna essere sempre svegli ad accorgersi del problema e aprire la specifica porta necessaria x quei programmi.
Dopo un periodo di aggiustamento x questi motivo andra` tutto bene ma col pc molto + blindato.

Questa e` una configurazione di max sicurezza visto che si chiude tutto, e poi si va ad aprire manualmente come eccezione.
Al contrario invece di lasciare libero tutto e filtrare solo qualke porta particolare.

infine e` bene anche filtrare i ping (echo request)

Beh scusa però non si fa prima a settare il firewall per bloccare tutto, e creare le regole per ogni eccezione?
Io uso kerio e faccio così!
Anche se ho comunque messo per sicurezza la regola per bloccare la porta 135 e qualche altra! In teoria questa regola non serve a nulla perchè se non autorizzo quelle porte esplicitamente, non si aprono però...

Ah, io in casa ho una LAN tra 2 PC, e infatti non funzionava avendo bloccato le porte 135, 137, 139 (e anche qualche altra) con una regola, allora ho creato un'altra regola da mettere sopra (come priorità) autorizzando solo l'IP del PC collegato in rete locale!
Ah, ho dovuto autorizzare anche il mio stesso IP, che poi sarebbero 2 (quello online 192.168.0.1 e quello offline 127.0.0.1), nonchè un IP che non so di preciso a cosa serva che sarebbe 192.168.0.255!
In questo modo la lan funziona e sono protetto!

Ah, poi volevo chiedere una cosa:
il firewall, messo in posizione Ask Me First (praticamente mi chiede se autorizzare o no un processo non specificato nella regole), rileva degli IP tipo 0.0.0.0:68, 239.255.255.250 e 255.255.255.255!
Ma a che cacchio servono??? So solo che li blocco e funziona tutto lo stesso!!!
Ciaux

[jedy48]

grazie bilancino, avevo già disabilitato la condivisione file e stampanti, ed ora hò bloccato svhost, a cosa servirebbe questo servizio?

[John J. Rambo]

Quote:

Originariamente inviato da Bilancino
beh se il pc non è in rete con altri basta chiudere la 135,137,139

Ciao

Eseguendo il test "Advanced Port Scanner" di PC Flank, le mie porte risultano tutte "stealthed", tranne appunto questa 135 che risulta "closed".
E' normale che sia cosi', oppure dovrebbe anch'essa essere "stealthed"?
Come firewall uso il Sygate 5.1, e ho bloccato il processo svchost.exe.

Grazie per l'info, ciao!!

[jedy48]

ho dovuto riabilitare il svchost.exe. xchè altrimenti NON navigavo +

[stexlex]

dato che ho installato Kerio solo ieri...cè qualcuno che mi saprebbe dire come faccio a bloccare svchost.exe...

[Bilancino]

Quote:

Originariamente inviato da stexlex
dato che ho installato Kerio solo ieri...cè qualcuno che mi saprebbe dire come faccio a bloccare svchost.exe...

devi bloccare le porte dalla 135 alla 139 tcp udp in entrata e in uscita, poi fai i test in rete.

Ciao

[stexlex]

grazie...stasera provo

[agol]

Quote:

Originariamente inviato da dickdusterdly
Mi sapreste dire se ci sono porte specifiche da bloccare col firewall, cioè porte che per sicurezza dovrebbero comunque stare sempre chiuse, tipo la 135?
Grazie

Mi pare di aver letto sul sito della symantec di bloccare pure le 4444, 69; mentre sul sito miccrosoft ho trovato notizie sulle 445, 593.
Corregetemi se sbaglio.Ciao

[Bilancino]

Quote:

Originariamente inviato da agol
Mi pare di aver letto sul sito della symantec di bloccare pure le 4444, 69; mentre sul sito miccrosoft ho trovato notizie sulle 445, 593.
Corregetemi se sbaglio.Ciao

Le porte da bloccare sarebbero diverse e bisognarebbe fare una attenta ricerca quello che non capisco come la symantec venda prodotti facendosi pagare sonoramente e non fa in modo che i suoi firewall siano loro a dire cosa bisogna fare..........

Ciao