Condividi:        

Win 2k - criteri di protezione IP

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Win 2k - criteri di protezione IP

Postdi zello » 19/11/02 01:00

Ho due problemi con il mini-firewall incluso in win 2000:
- non mi riesce di listare una subnet di classe B: se provo a mettere una netmask 255.255.0.0 mi da invalid netmask - e non ho voglia di inserire 256 regole su netblocks di classe C...
- non mi riesce di listare un range di porte - o ne listo una, o le listo tutte. Io vorrei listarne 1024 - anche qui, devo inserire 1024 regole?

Grazie dell'aiuto.

--
zello (a cui manca un po' iptables...)
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Sponsor
 

Postdi kadosh » 19/11/02 01:36

Allora Zello, per quanto riguarda il Filtro TCP/IP, il mini-Firewall diciamo, per la tua seconda richiesta devi proprio inserire tutte e 1024 le prote che vuoi bloccare, non è possibile settare un Range del tipo From/To, e pensa che lo stesso tipo di filtro è rimasto su XP, che però ha il FW a parte.
Per la lista di classe B bè...ovviamente devi possedere un indirizzo di rete di ugual classe o non ti farà settare una Subnet maggiore della sua classe di appartenenza. La NetMask 255.255.0.0 è madre di 255.255.255.0 e quindi non potrà essere applicata e tentativi di indirizzamento in classi a lei inferiori. Spero di esser stato chiaro, se ho capito la domanda ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi zello » 19/11/02 01:45

Kad, metti che io voglia bloccare 207.46.0.0 netmask 255.255.0.0 (ovvero 207.46/16) in uscita- a titolo di esempio, visto che è microsoft.com :).
Mi da netmask non valida (ma prenderebbe 255.255.255.0). Qui (sono su linux), una linea come

iptables -A INPUT -d 207.46.0.0/16 -j DROP

me la prende uso ridere. Ma forse - ripeto - sono io che non capisco...
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kadosh » 19/11/02 09:34

Quando parliamo di classi e maschere di sottorete occorre pensare ad una cosa subito: il loro ambito. Mi spiego, quando su linux gli dici di bloccare il range 207.46.0.0:16 dici alla macchina che devi dropparti un'intera classe di indirizzi con relativi sottoindirizzi. Linux se ne frega delle regole esistenti e lo fa, ma metti che in quella classe B non ci fosse solo MS, che la occupa tutta, ma un'altra azienda che tiene i servizi di mille altre; facendo così non ne avresti traccia della loro esistenza perchè "faresti di tutta l'erba un fascio" e non comunicheresti più con loro. Se poi è questo che vui allora Perfect ;)
MS cmq, nel suo Filtro interno non prevede un tale genocidio eheheh, ha bisogno di un FW esterno perchè lui è mooooolto limitato, d'altronde è nato solo come Filtro TCP su IPsec e VPN, dopo lo ampliarono per comodità.
Infatti lui ti accetta solo address di classe C, per el altre classi, devi possedere un address paritetico per effettuare simili operazioni ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi zello » 19/11/02 10:59

Chiarissimo, kad.
E cambio domanda: qualcuno conosce un personal firewall decente (niente Zone Alarm, per favore - mi piace scriverle a me, le regole), e possibilmente freeware/opensource [opensource sarebbe meglio - è delicatino il ruolo del firewall, e mi dispiacerebbe che qualcuno intercettasse tutto per spedirlo - che so io - a doubleclick...]?
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kadosh » 19/11/02 11:34

Se trovi un Open Source per Win fammi un fischio ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi zello » 19/11/02 12:38

kad, con una googlata veloce non ho trovato nulla, se non le basi per scriverne uno (nel senso: qualche esempio di come fare dei filtri sui pacchetti in entrata/uscita dalle varie interfaccie di rete).
Premettendo che:
- è sicuramente un casino, anche perché mi sa che si è a ring 0;
- non ho la conoscenza sufficiente del protocollo TCP/IP al momento
- ho almeno altri due progetti in corso
la cosa mi sembra interessante. Se ti tieni libero per un po' di consulenza (leggi: se mi dai una mano), la cosa non mi sembra impossibile a farsi.

Ciao,
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi piercing » 19/11/02 13:01

Che bella cosa l'ignoranza!! :lol:

Avessi capito una mazza beata!! eheheh... ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi kadosh » 19/11/02 13:31

Compatibilmente con quello che ho da fare ben volentieri, per quel che posso. Se vuoi ho del codice VB per un prog cavolata in grado di aprire e chiudere le porte ( pure quelle di casa volendo :D :D ), se lo ritrovo ti mando tutto. ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi zello » 19/11/02 17:34

kad, temo che avrò bisogno di informazioni sul formato dei pacchetti ip (e vari header tcp, semmai), e sul protocollo icmp. Nel senso che - se le cose stanno come ho letto nella documentazione velocemente - il programma filtrerà direttamente i pacchetti in uscita e in entrata, con possibilità di drop o reject. Ma se voglio filtrare a seconda dei vari flags (che so, SYN piuttosto che SYN ACK), dovrò farmi un'istruzione che non possiedo. Potrà risultare utile una "sintesi" dei vari handshaking, oppure su determinati flag "nebulosi"...
Ma con calma!!!
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi kadosh » 19/11/02 18:53

Dovrei avere un file trovato in rete che ti calzerebbe a pennello, non so chi l'abbia scritto ma mi è molto piaciuto! ;)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi Nicola » 20/11/02 14:14

Se riuscite a fare/se conoscete un firewall basato su IP e porte invece dei soliti ZA e simili mi fate un fischio.. sono interessato!!

Grazie...


Nicola
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Nemok » 22/11/02 00:31

A suo tempo provai Tiny per una recensione per pc-facile e non mi sembrò male....mi sembra che avesse anche la possibilità di lavorare su ip,porte e range di tali.E' ancora nella sezione download.... ;)
Nel 1968 la potenza operativa di 2 C-64 hanno portato un razzo sulla luna. Oggi la potenza operativa di un Athlon 4000+ viene usata per far girare Windows XP....Qualcosa deve essere andato storto....
--Powered by Debian Sid/unstable on 2.6.10--
Nemok
Utente Senior
 
Post: 1420
Iscritto il: 04/09/01 01:00
Località: Roma

Postdi Namberone » 27/11/02 08:59

WINROUTE Pro della Kerio non e' male.
Namberone
Utente Senior
 
Post: 141
Iscritto il: 02/09/02 10:21

Postdi Nicola » 27/11/02 13:48

Namberone ha scritto:WINROUTE Pro della Kerio non e' male.

ma non è software di sharing della connessione Internet (un gateway e un proxy) più un proxy e-mail ???

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi shellylost » 27/11/02 14:00

Nicola ha scritto:Se riuscite a fare/se conoscete un firewall basato su IP e porte invece dei soliti ZA e simili mi fate un fischio.. sono interessato!!

Grazie...


Nicola


..ho come l'impressione che non vi fidiate dello ZA...non capisco come mai...personalmente lo considero uno dei migliori ... apparte un problema di syn flood segnalato per quel che ne so io bucarlo l'e' veramente dura..
c'abbiamo provato in 5..che non sia riuscito a me di bucarlo non sorprende...ma per quel che ne so di quelli che conosco io nessuno c'e' riuscito...
siccome ce l'ho sul win 2000 mi interesserebbe sapere se c'e' qualche problema di cui non sono al corrente (cosa che non sorprende visto che sono mesi che 40Rm0...)
shellylost
 

Postdi zello » 27/11/02 14:33

..ho come l'impressione che non vi fidiate dello ZA...non capisco come mai...personalmente lo considero uno dei migliori ...

Allora, premetto - ho una versione di ZA che uso per testare alcune cosine che è vecchia di un annetto, e qualche problema (anche se non vedo come) potrebbe essere stato risolto.
ZA autorizza/nega a seconda del processo che tenta di accedere alla rete (am I right? Ripeto, conosco poco e vecchie versioni). Morale: se Internet Explorer accede alla rete, voi lo autorizzate serenamente - lo avete aperto voi proprio per questo. Ditto per Outlook Express.
Ora, se un programma fa il seguente:
- scorpora una apposita dll dalle risorse
- installa un hook globale di tipo CBT, con callback nella dll. Per i non tecnici, questo porta alla conseguenza che qualsiasi processo diventi attivo la dll ci viene mappata dentro, cioé entra nel suo spazio di indirizzamento e la funzione DllMain viene chiamata
- nella DllMain controllo se sono in Explorer, e se c'è una connessione attiva
- se è così, utilizzo la connessione per scaricare il tubo che mi pare.
Il processo che si connette a internet risulta essere Internet Explorer, il ché al tuo Zone Alarm va benissimo, perché lo hai autorizzato a pensare che qualunque connessione in uscita da IE vada benissimo. Ora, io posso pure connettermi ad una porta diversa dalla 80 (http), questo - che io sappia - ZA non lo controlla.
Analogamente, posso "hookare" un processo che so che si comporta da server (per dirne una, un qualsiasi kazaa o un messager) e mettermi in ascolto sulla 31337 per qualsiasi connessione (tanto, quando ZA ti dice "kazaa sta cercando di comportarsi da server", tu in buona fede lo autorizzi). Potrei anche sfruttare lo stesso processo di ZA, oppure rimpiazzare il link che fa avviare ZA con un programma che all'avvio fa ciò che vuole, e poi avvia ZA (almeno teoricamente: non ho provato).
iptables su linux, impostato con i giusti privilegi (solo root!), è praticamente inattaccabile, anche perché le autorizzazioni non sono per programma, ma per IP di origine/destinazione e per porta di origine/destinazione.

Just my 2 eurocents.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

...mah..

Postdi shellylost » 27/11/02 16:09

mi pare che invece la versione dell za che ho io faccia proprio un controllo a livello di dll per evitare appunto quello che hai detto..ma la mia e' una versione professional..forse in quella gratis non c' e'...non lo so...
azz...vedro' di informarmi...
shellylost
 

Postdi dado » 27/11/02 17:33

La mia è una versione gratis (ZA 3), però a volte mi ha già bloccato delle dll. ;)

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 27/11/02 18:39

Vabbene, prometto di aggiornarmi.
Però (così, a naso, non ho provato) un programma può controllare se in giro c'è un'istanza di IE, e se c'è una connessione. Se la trova, può avviarne un'altra istanza (nascosta, o anche in un altro desktop/Workstation sotto Winnt/2000/XP, ma fare debug diventa un casino) e scaricare tramite quella. Una cosa tipo
Codice: Seleziona tutto
if(IEIsExecuting() && IsConnectionUp())
{
      CreateProcess("c:\programmi\InternetExplorer\IExplore.exe","www.google.com\index.html"...)
}

Se qualcuno ha pazienza si può provare.

E poi, se il controllo è nello spazio di indirizzi di ZA, chissenefrega. Noi mica sfondiamo il suo di spazio (o meglio, non solo il suo) - sfondiamo quello di IE. Per essere più fini, possiamo "scrivere" l'eseguibile con WriteProcessMemory e mandarlo in esecuzione con CreateRemoteThread, e non deve neppure essere una dll (in effetti può essere anche una manciata di bytes scritta in assembly rilocabile...).
Se qualcuno ha voglia di farlo (utili i sorgenti di Back Orifice, che usa anche quest'ultima tecnica) sono curioso dei risultati.

Ciao,

--
zello
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Win 2k - criteri di protezione IP":


Chi c’è in linea

Visitano il forum: Nessuno e 60 ospiti