Win 2k - criteri di protezione IP

[kadosh]

Mi sono sfogliato e letto tutte le History di Zone Alarm, ho provato alcuni tipi di attacco e sinceramente...non sa nemmeno cosa siano le DLL!!
Lavora a livello applicativo, quindi legge dal datagramma TCP dove debba andare l'informazione e la recapita, a patto che siano rispettate le policy stabilite dall'utente, ma se viene attivata un DLL interna al PC lui non se la fila de pezza, come si dice a RM
Le uniche DLL che processa sono quelle di tipo Run, cioè quelle con redirect ad applicativi di immediatly processing e multi threading, tipo SVCHOST, SPOOLSV et similia.
Ed infatti applicando un codicillo come flusso alternato al File System, il simpatico ZA fa la fine della sentinella addormentata, qualunque versione sia

[zello]

Il discorso dovrebbe essere questo: chiunque, su Windows, può installare una funzione da richiamarsi ogni qualvolta una finestra si apre, si chiude, si ridimensiona, o diventa attiva/inattiva, in qualunque processo. Si chiama hook globale, e richiede *necessariamente* che la funzione sia esportata da una DLL (pena un General protection fault).
Windows cosa fa? Rimappa - nel senso che carica in memoria - la dll nei vari processi che sono "proprietari" delle finestre, mano a mano che vengono attivate, ed esegue (oltre all'hook) anche la funzione DllMain, che viene chiamata quando la Dll viene caricata (e scaricata).
A quel punto si è dentro il processo (qualunque esso sia), senza che il processo sappia che ci ha caricati (mmh, con qualche trucco sporchissimo è possibile capirlo, ma va a scapito delle prestazioni). Se è explorer, chiamare InternetOpen/InternetOpenUrl/InternetReadFile è una stupidaggine da tre righe. Che poi ZA controlli, beh, la mia (vecchia) versione non lo fa...

[shellylost]

l'argomento e' interessante..ma ho da debuggare una procedura di 3000 righe in cobol (si' 3000, stampata sono circa 92 pagine di codice)...
peccato cmq...se poi il e' un problema di architettura di windows ebbe' non e' una novita'...manco Linux e' sicuro al 1000 per mille, se non sbaglio anche ipchains aveva qualche problemuzzo..e di sicuro saltera' fuori qualcosa anche per netfilter, iptables e tutta quella roba li'...
cmq dal sito zonelabs..

ZoneAlarm Plus 3.1 provides advanced program control that 'fingerprints' not only the applications that have been granted permission to access the Internet, but also the components of the applications at the .DLL level. This helps ensure that rogue code masquerading as a trusted application in order to gain unauthorized access cannot be inserted onto a PC.

probabilmente pero' la versione free non lo fa, sul sito le informazioni tecniche sono scarse , non lo so...se ci fidiamo di dado...lo fa..mboh

[tuculca]

non so se può interessare, ma in questo link (http://www.hideaway.net/home/public_html/pc/firewalls.php) c'è l'elenco dei personal firewall scaricabili (quasi tutti free): a quanto mi pare nessuno Open Source, purtroppo... a proposito, qualcuno di voi sa se i primi 2 sono decenti .
Attualmente io ho sù Norton Internet Security, ma, oltre ad agire solo a livello application (con tutte le falle di cui avete già parlato), consuma una cifra di memoria e di prestazioni ed ho sviluppato una specie di odio nei suoi confronti (mi sa che lo tolgo).

[dado]

Sono tutti e 4 famosi firewall, anche se credo che il più utilizzato sia zone alarm.
L'hai mai provato zone alarm? secondo me è un buon fw, anche se, ovviamente, nessun firewall potrà mai proteggerti contro un attacco fatto da gente realmente competente... ma se uno non è la NASA/FBI/ecc... di cosa dovrebbe preoccuparsi?

[tuculca]

si, mi sa che passerò a ZA, ma che ne dici di kerio (anche lui a gratisss)???http://www.kerio.com/us/kpf_home.html

[dado]

Mai provato, Keryo. Ma credo che a quei livelli si assomiglino un pò tutti! Forse cambia la semplicità d'uso...

[tuculca]

Via, faccio una specie di benchmark e poi posto quì i risultati...

[dado]

Via, faccio una specie di benchmark e poi posto quì i risultati...

Ottimo! Aspettiamo il benchmark!

[tuculca]

Allora:
1) premesso che non sono esperto in materia sistemistica ed in particolare di protocolli e porte
2) premesso che non ho ancora installato ZA, dunque il benchmark è da intendersi Kerio VS Norton Internet Security
3) premesso che non sono stato a prendere i secondi con il cronometro

...benchmarko (e non la faccio lunga):

Kerio appare un prodotto molto ben fatto e professionale. Si compone di:
-un monitor che visualizza tutte le comunicazioni attive (ed in ascolto) indicando porte, protocolli, applicazioni chiamanti, verso e molto altro. Vengono anche indicate le regole di blocco inserite, ovviamente.
-uno strumento di amministrazione con una prima schermata per stabilire il livello di protezione (alto: rifiuta tutto tranne regole impostate, medio: regole impostate + chiedi per nuove comunicazioni, basso: fai passare tutto tranne regole impostate.
con un pulsante <advanced> si accede allo strumento vero e proprio che permette di gestire le regole, gestisce le comunicazioni in ambiente winnt (indicando gruppi di indirizzi trusted e mask ecc.) e molto altro. Le regole in particolare possono essere impostate per applicazioni, ma anche per porte sia locali che remote, protocolli, indirizzi remoti ecc. ecc., quindi mi pare che ci sia qualcosina in più che in ZA e Norton.

Ho provato il prodotto con win 2000 e non ho riscontrato problemi, tranne uno smanettamento iniziale per attivare le comunicazioni in LAN, subito risolto. Il carico sulla RAM è di circa 1 MB, quindi molto inferiore a Norton (dai 5 MB in sù) e l'effetto di rallentamento sull'elaborazione è davvero impercettibile (mentre in Norton è veramente deprimente).

Per quel che mi riguarda butterò via Norton all'istante, per kerio o, al limite ZA (devo ancora provarlo)

[Nicola]

Finalmente un prog. che si limita ad usare le regole impostate...

Kerio Personal Firewall vero?