Allarme kerio firewall su kernel.... con la lan devo abilitarlo?

Sulla giuda di kerio c'è skritto ke bisonga respingere questo avviso:


e pure quest'altro:




simili a questi ce ne sono molti.....dato ke ho la lan non so come comportarmi....

mi aiutate?

PSle estenzioni dei files erano in minuskolo quindi non andavano... (nn credevo ke c fosse differenza anke x le estenzioni))
-----------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------
#Kenilchattiero#

Il computer non è una macchina intelligente che aiuta le persone stupide, anzi è una macchina stupida che funziona solo nelle mani delle persone intelligenti. (Umberto Eco)


Il Forum di Kenilchattiero Admin

Modificato da kenilchattiero 15/09/2003 12.59
Modificato da kenilchattiero 15/09/2003 13.37
Modificato da kenilchattiero 15/09/2003 14.18
Modificato da kenilchattiero 15/09/2003 14.46

Fai in modo che le immagini si VEDANO...
ciao
Paolo

ecco ora finalmente si vedono..

xo' e' successo un fatto strano, visto ke volevo kambiare i files delle foto ke stavano sul sever xke nn si leggevano le skritte ho provato a farlo modificando i files e sovrasrivendoli sul server ...xo' mi sono accorto che non cambiava niente le immagini erano uguali ... x far vedere queste immagini ho dovuto kambiarle d nome! mah...nn mi sembra normale....:o cmq nn andiamo OT...

E' normale che IE comunichi con il localhost su udp, e le connessioni sul localhost sono sicure, per cui non c'è ragione per impedirglielo (limitatamente a QUELL'indizizzo, ovviamente).
La prima schermata...mostra uno scambio di ping con un indirizzo esterno (tedesco?). I ping di norma non si impediscono (anche perchè se ci sono hanno una funzione...), anche se possono essere veicolo di "attacchi", se sfruttati adeguatamente. Molti limitano tutti i ping e l'intero protocollo ICMP col firewall (a scanso di equivoci), altri - se il firewall permette quel livello di dettaglio - limitano il protocollo ICMP in generale ma lasciano passare i ping e i pacchetti icmp usati per il traceroute (proprio perchè sono funzioni che servono).
E' una questione di scelte e di convenienza.
Se ricevi ping sempre da QUELL'indirizzo preciso occorre capire perchè succede, e comunque puoi confermare quella rule in maniera da farla valere solo per QUELL'indirizzo preciso, se ti disturba o se non si capisce l'origine di questo scambio di ping.
ciao
Paolo

p.s. ti conviene salvare le immmagini catturate in dimensione REALE e in GIF (non ingrandite e in jpg..). Otterrai immagini realistiche, piccole come dimensioni e non deteriorate.

p.p.s. e comunque non ho capito cosa ci faceva questa discussione su "Html, Webpublishing & Programmazione".........



Modificato da Paolo1 19/09/2003 10.55

ok grazie....

cmq mi arrivano ping semrpe diversi,

> e comunque non ho capito cosa ci faceva questa discussione su "Html, Webpublishing & Programmazione".........


skusa, probabilmente mi sono sbagliato xke stavo in quella sezione x altri motivi e ho dimentikato d tornare all'altra sezione

---

Scritto da: Paolo1 19/09/2003 10.54
E' normale che IE comunichi con il localhost su udp, e le connessioni sul localhost sono sicure, per cui non c'è ragione per impedirglielo (limitatamente a QUELL'indizizzo, ovviamente).
10.55

---

Ovvio,quello è un indirizzo di loopback ma mi è capitato parecchie volte di vedere lameroni che simulavano un indirizzo di loopback...
Quindi in questo caso le ipotesi sono due:
1)1) stanno scaricando la rete riempiendola di syn flood, sperando che il defenser ne svuoti la cache tampone (del fw, router o qualsiasi altro appliance) per evitare un buffer overflow (DoS) e quindi lanciare un bit di ack per spoofare allegramente.
2) cercando di capire cosa ci sia dietro a ciò che vedono dalle risposte al loro scan. Solitamente un router o un front-end generico, se ben settati, ignorano il traffico d'ingresso se classificato come scan altrimenti avvisano di un DoS in corso, magari grazie a un sistema di rilevazione intrusioni.

Nel caso di un personal firewall, il suo cioè, aspettano risposte dal metodo di stop dei pacchetti usato, o magari...si stan bevendo e fumando l'impossibile e non se ne accorgono nemmeno

Riassumendo penso che sia un DoS o uno smurf se sul loopback hai una broadcast aperta (ma non credo bisogna proprio abilitare l'opzione relativa nel kernel,almeno su Linux,su windows non so ). Se è IP Spoofing credo che sia cosa a basso livello e quindi molto elaborata e complessa




Modificato da Dax0r 19/09/2003 15.44

Simulazioni a parte....se non è simulato ma VERO, è Windows che parla con se stesso via udp, come gli capita normalmente di fare..
ciao
Paolo

---

Scritto da: Paolo1 19/09/2003 23.44
Simulazioni a parte....se non è simulato ma VERO, è Windows che parla con se stesso via udp, come gli capita normalmente di fare..
ciao
Paolo

---

Certo,avevo precisato che è possibile simularlo(da qualche pseudo h4x0r) e non è poi tanto raro

ekko 1 altro allarme a cui nn so kome rispondere.... cmq non vorrei perdere le funzionalita' di kazaa... mi aiutate??grazie

ps: come questo ne ho ricevuti parecchi.... quindi oltre a dirmi se permettere o no questo sapete dirmi anche qual'è il ragionamento da fare è meglio....grazie 1000... io cmq x ora sto permettendo..

-----------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------
#Kenilchattiero#

Il computer non è una macchina intelligente che aiuta le persone stupide, anzi è una macchina stupida che funziona solo nelle mani delle persone intelligenti. (Umberto Eco)


Il Forum di Kenilchattiero Admin

Modificato da kenilchattiero 10/10/2003 12.51

> ekko 1 altro allarme a cui nn so kome rispondere..

Qualcuno vuole un tuo file e non lo sta chiedendo sulla tua porta dati predefinita (che si imposta dai settings).
Kazaa è difficile da gestire con precisione con un firewall, soprattutto con Kazaa lite, che usa un sacco di porte.
In genere chi non vuole particolari fastidi autorizza TUTTO (udp in e out, tcp in e out), relativamente all'applicazione kazaa (ovviamente), scelta avversata da altri, ovviamente.
ciao
Paolo

beh allora autorizzo tutto anke io...spero d nn bekkare virus o trojan.....

L'autorizzare Kazaa a fare quello che vuole non è che ti esponga a virus e trojan "qualsiasi"...ti espone al rischio (ignoto) che il programma possa compiere delle operazioni non previste (cioè, venga utilizzato, a causa di qualche SUO bug, a fare delle cose diverse da quelle per cui è studiato). Rischio che rimane anche se centellini le porte da tenere aperte, ma di meno.
Comunque, stai (relativamente) tranquillo...
ciao
Paolo

si ma penso che come hanno potuto sfruttare il bug di svchost potrebbero sfruttare eventuali bug di kazaa... correggimi se sbaglio....

ps: posso autorizzare totalmente anke delle chat come icq (ho sentito e provato sulla mia pelle ke è 1 po perikolosino) yahoo, c6 ecc..??
-----------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------
#Kenilchattiero#

Il computer non è una macchina intelligente che aiuta le persone stupide, anzi è una macchina stupida che funziona solo nelle mani delle persone intelligenti. (Umberto Eco)


Il Forum di Kenilchattiero Admin

Modificato da kenilchattiero 14/10/2003 1.16

> posso autorizzare totalmente anke delle chat come icq (ho sentito e provato sulla mia pelle ke è 1 po perikolosino)
> yahoo, c6 ecc..??

Se non ne puoi fare a meno e non trovi configurazioni piu' restrittive dell' "any port-any remote address", per forza..
ciao
Paolo

ok allora ho kapito creo parekkie regolette x ogni indirizzo ed ogni porta remota, quelle lokali lasci any, non penso ke bisogna tokkarle... grazie

Fai così:
cancellale tutte (tranne quelle che c'erano gia'..)
Metti DENY sulla roba microsoft, lascia ping, dns, traceroute.
Per tutti gli altri programmi, NON fare tu le regole (non ti conviene...tu le modificherai dopo). Usa i programmi normalmente. La prima volta che li usi, si aprirà l'allerta, e a quel punto tu aprirai la personalizzazione della rule che Kerio ti offre, confermerai porte e ip remoti o cambierai qualcosa, poi farai OK e infine il fatidico DENY o PERMIT (a seconda...).
Per esempio, il programma di posta deve comunicare solo VERSO L'ESTERNO, TCP, porte 25, 110, 119 (se usi i newsgroup), 80 (se vuoi vedere le immagini linkate a certe email, ma di solito si bloccano) e basta. Come IP remoti puoi lasciare solo la lista degli ip dei tuoi server di posta, anzichè lasciare any address. Come porte locali, ANY. Come UDP, OE vorrà comunicare con 127.0.0.1 (se stesso). Bloccalo (di norma non crea problemi) oppure consentilo (è sicuro perchè è con se stesso, senza dubbio - tranne exploit improbabili).
Questo, per ogni programma. Il browser, lascialo comunicare solo VERSO l'ESTERNO alla porta 80. Poi, quando serviranno altre porte, le autorizzerai "solo per quella volta" o creerai una regola apposita, se vuoi, oppure aggiungerai la porta (se serve davvero) alla 80 già inserita editando la regola del browser.
Ricordati che tutti i programmi devono essere di norma autorizzati VERSO l'ESTERNO e non per comunicazini che ARRIVANO dall'esterno. Queste sono lecite solo nel caso di file sharing, certe chat o se tu sei un server e cose simili.
Questo perchè le comunicazioni tcp che ti interessano devono PARTIRE da te (per esempio, la richiesta di controllo della posta, la richiesta di una pagina web, la richiesta di un download etc.) Poi, ovviamente, la comunicazione scorrerà in tutti e due i sensi, ma è importante vedere CHI la inizia, e di solito la devi iniziare TU, non deve piovere da chissà dove.
Nel caso di programmi di file sharing le cose cambiano, ovviamente. Là, pioveranno (in seguito alle tue outbound), delle INBOUND..
ciao
Paolo

ok ho kapito tutto, ti ringrazio infinitamente!!!

ma bloccando i servizi (svchost ecc..) poi gli aggiornamenti automatici funzioneranno?

No, non funzioneranno.
Se vuoi che funzionino (ma io raramente ho conosciuto persone che li usassero, preferendo tutti andare a pigliarseli a mano, sul sito, senza lasciar comunicare svchost con la "casa madre", appunto...) devi fare una regola che permetta a svchost (perchè è lui che si occupa della faccenda) di comunicare SOLO con l'IP giusto (di windowsupdate) e solo alla porta giusta (non so di preciso quale userebbe svchost per gli aggiornamenti...la normale http 80..? ) e blocchi tutto l'altro traffico.
ciao
Paolo

beh a me gli aggiornamenti automatici d win piacciono xke cosi' nn perdo tempo..e poi il mio win xp dovrebbe essere regolare ..quindi nn dovrei avere problemi...grazie cmq...

Sì, ma configura la rule in modo che possa ricevere dati SOLO dall'IP di windowsupdate e alla porta 80, altrimenti se autorizzi svchost a casaccio sei punto e a capo, come sicurezza su eventuali (altre) sue falle..
ciao
Paolo

Sapete cosa viene impostato effettivamente nella scheda Rete/applicazioni di kerio? cioe' da li si va al filtro pacchetti e fin qui ci siamo...il filtro pacchetti sarebbero tutte le regolette....
ma nella scheda applicazioni...se io imposto autorizza....poi autorizza tutto? se ho fatto anche delle regole restrittive in filtro pacchetti blocca quello che ho chiesto di bloccare o scavalca tutto ed autorizza tutto? come mi devo comportare?
Ad esempio per "applicazioni accesso usernit" come devo fare? cos'è? come lo imposto?