Win 2k - criteri di protezione IP

[zello]

Ho due problemi con il mini-firewall incluso in win 2000:
- non mi riesce di listare una subnet di classe B: se provo a mettere una netmask 255.255.0.0 mi da invalid netmask - e non ho voglia di inserire 256 regole su netblocks di classe C...
- non mi riesce di listare un range di porte - o ne listo una, o le listo tutte. Io vorrei listarne 1024 - anche qui, devo inserire 1024 regole?

Grazie dell'aiuto.

--
zello (a cui manca un po' iptables...)

[kadosh]

Allora Zello, per quanto riguarda il Filtro TCP/IP, il mini-Firewall diciamo, per la tua seconda richiesta devi proprio inserire tutte e 1024 le prote che vuoi bloccare, non è possibile settare un Range del tipo From/To, e pensa che lo stesso tipo di filtro è rimasto su XP, che però ha il FW a parte.
Per la lista di classe B bè...ovviamente devi possedere un indirizzo di rete di ugual classe o non ti farà settare una Subnet maggiore della sua classe di appartenenza. La NetMask 255.255.0.0 è madre di 255.255.255.0 e quindi non potrà essere applicata e tentativi di indirizzamento in classi a lei inferiori. Spero di esser stato chiaro, se ho capito la domanda

[zello]

Kad, metti che io voglia bloccare 207.46.0.0 netmask 255.255.0.0 (ovvero 207.46/16) in uscita- a titolo di esempio, visto che è microsoft.com .
Mi da netmask non valida (ma prenderebbe 255.255.255.0). Qui (sono su linux), una linea come

iptables -A INPUT -d 207.46.0.0/16 -j DROP

me la prende uso ridere. Ma forse - ripeto - sono io che non capisco...

[kadosh]

Quando parliamo di classi e maschere di sottorete occorre pensare ad una cosa subito: il loro ambito. Mi spiego, quando su linux gli dici di bloccare il range 207.46.0.0:16 dici alla macchina che devi dropparti un'intera classe di indirizzi con relativi sottoindirizzi. Linux se ne frega delle regole esistenti e lo fa, ma metti che in quella classe B non ci fosse solo MS, che la occupa tutta, ma un'altra azienda che tiene i servizi di mille altre; facendo così non ne avresti traccia della loro esistenza perchè "faresti di tutta l'erba un fascio" e non comunicheresti più con loro. Se poi è questo che vui allora Perfect
MS cmq, nel suo Filtro interno non prevede un tale genocidio eheheh, ha bisogno di un FW esterno perchè lui è mooooolto limitato, d'altronde è nato solo come Filtro TCP su IPsec e VPN, dopo lo ampliarono per comodità.
Infatti lui ti accetta solo address di classe C, per el altre classi, devi possedere un address paritetico per effettuare simili operazioni

[zello]

Chiarissimo, kad.
E cambio domanda: qualcuno conosce un personal firewall decente (niente Zone Alarm, per favore - mi piace scriverle a me, le regole), e possibilmente freeware/opensource [opensource sarebbe meglio - è delicatino il ruolo del firewall, e mi dispiacerebbe che qualcuno intercettasse tutto per spedirlo - che so io - a doubleclick...]?

[kadosh]

Se trovi un Open Source per Win fammi un fischio

[zello]

kad, con una googlata veloce non ho trovato nulla, se non le basi per scriverne uno (nel senso: qualche esempio di come fare dei filtri sui pacchetti in entrata/uscita dalle varie interfaccie di rete).
Premettendo che:
- è sicuramente un casino, anche perché mi sa che si è a ring 0;
- non ho la conoscenza sufficiente del protocollo TCP/IP al momento
- ho almeno altri due progetti in corso
la cosa mi sembra interessante. Se ti tieni libero per un po' di consulenza (leggi: se mi dai una mano), la cosa non mi sembra impossibile a farsi.

Ciao,

[piercing]

Che bella cosa l'ignoranza!!

Avessi capito una mazza beata!! eheheh...

[kadosh]

Compatibilmente con quello che ho da fare ben volentieri, per quel che posso. Se vuoi ho del codice VB per un prog cavolata in grado di aprire e chiudere le porte ( pure quelle di casa volendo ), se lo ritrovo ti mando tutto.

[zello]

kad, temo che avrò bisogno di informazioni sul formato dei pacchetti ip (e vari header tcp, semmai), e sul protocollo icmp. Nel senso che - se le cose stanno come ho letto nella documentazione velocemente - il programma filtrerà direttamente i pacchetti in uscita e in entrata, con possibilità di drop o reject. Ma se voglio filtrare a seconda dei vari flags (che so, SYN piuttosto che SYN ACK), dovrò farmi un'istruzione che non possiedo. Potrà risultare utile una "sintesi" dei vari handshaking, oppure su determinati flag "nebulosi"...
Ma con calma!!!

[kadosh]

Dovrei avere un file trovato in rete che ti calzerebbe a pennello, non so chi l'abbia scritto ma mi è molto piaciuto!

[Nicola]

Se riuscite a fare/se conoscete un firewall basato su IP e porte invece dei soliti ZA e simili mi fate un fischio.. sono interessato!!

Grazie...


Nicola

[Nemok]

A suo tempo provai Tiny per una recensione per pc-facile e non mi sembrò male....mi sembra che avesse anche la possibilità di lavorare su ip,porte e range di tali.E' ancora nella sezione download....

[Namberone]

WINROUTE Pro della Kerio non e' male.

[Nicola]

WINROUTE Pro della Kerio non e' male.

ma non è software di sharing della connessione Internet (un gateway e un proxy) più un proxy e-mail ???

Ciao

[shellylost]

Se riuscite a fare/se conoscete un firewall basato su IP e porte invece dei soliti ZA e simili mi fate un fischio.. sono interessato!!

Grazie...


Nicola

..ho come l'impressione che non vi fidiate dello ZA...non capisco come mai...personalmente lo considero uno dei migliori ... apparte un problema di syn flood segnalato per quel che ne so io bucarlo l'e' veramente dura..
c'abbiamo provato in 5..che non sia riuscito a me di bucarlo non sorprende...ma per quel che ne so di quelli che conosco io nessuno c'e' riuscito...
siccome ce l'ho sul win 2000 mi interesserebbe sapere se c'e' qualche problema di cui non sono al corrente (cosa che non sorprende visto che sono mesi che 40Rm0...)

[zello]

..ho come l'impressione che non vi fidiate dello ZA...non capisco come mai...personalmente lo considero uno dei migliori ...

Allora, premetto - ho una versione di ZA che uso per testare alcune cosine che è vecchia di un annetto, e qualche problema (anche se non vedo come) potrebbe essere stato risolto.
ZA autorizza/nega a seconda del processo che tenta di accedere alla rete (am I right? Ripeto, conosco poco e vecchie versioni). Morale: se Internet Explorer accede alla rete, voi lo autorizzate serenamente - lo avete aperto voi proprio per questo. Ditto per Outlook Express.
Ora, se un programma fa il seguente:
- scorpora una apposita dll dalle risorse
- installa un hook globale di tipo CBT, con callback nella dll. Per i non tecnici, questo porta alla conseguenza che qualsiasi processo diventi attivo la dll ci viene mappata dentro, cioé entra nel suo spazio di indirizzamento e la funzione DllMain viene chiamata
- nella DllMain controllo se sono in Explorer, e se c'è una connessione attiva
- se è così, utilizzo la connessione per scaricare il tubo che mi pare.
Il processo che si connette a internet risulta essere Internet Explorer, il ché al tuo Zone Alarm va benissimo, perché lo hai autorizzato a pensare che qualunque connessione in uscita da IE vada benissimo. Ora, io posso pure connettermi ad una porta diversa dalla 80 (http), questo - che io sappia - ZA non lo controlla.
Analogamente, posso "hookare" un processo che so che si comporta da server (per dirne una, un qualsiasi kazaa o un messager) e mettermi in ascolto sulla 31337 per qualsiasi connessione (tanto, quando ZA ti dice "kazaa sta cercando di comportarsi da server", tu in buona fede lo autorizzi). Potrei anche sfruttare lo stesso processo di ZA, oppure rimpiazzare il link che fa avviare ZA con un programma che all'avvio fa ciò che vuole, e poi avvia ZA (almeno teoricamente: non ho provato).
iptables su linux, impostato con i giusti privilegi (solo root!), è praticamente inattaccabile, anche perché le autorizzazioni non sono per programma, ma per IP di origine/destinazione e per porta di origine/destinazione.

Just my 2 eurocents.

[shellylost]

mi pare che invece la versione dell za che ho io faccia proprio un controllo a livello di dll per evitare appunto quello che hai detto..ma la mia e' una versione professional..forse in quella gratis non c' e'...non lo so...
azz...vedro' di informarmi...

[dado]

La mia è una versione gratis (ZA 3), però a volte mi ha già bloccato delle dll.

[zello]

Vabbene, prometto di aggiornarmi.
Però (così, a naso, non ho provato) un programma può controllare se in giro c'è un'istanza di IE, e se c'è una connessione. Se la trova, può avviarne un'altra istanza (nascosta, o anche in un altro desktop/Workstation sotto Winnt/2000/XP, ma fare debug diventa un casino) e scaricare tramite quella. Una cosa tipo

Codice: Seleziona tutto

if(IEIsExecuting() && IsConnectionUp())
{
      CreateProcess("c:\programmi\InternetExplorer\IExplore.exe","www.google.com\index.html"...)
}


Se qualcuno ha pazienza si può provare.

E poi, se il controllo è nello spazio di indirizzi di ZA, chissenefrega. Noi mica sfondiamo il suo di spazio (o meglio, non solo il suo) - sfondiamo quello di IE. Per essere più fini, possiamo "scrivere" l'eseguibile con WriteProcessMemory e mandarlo in esecuzione con CreateRemoteThread, e non deve neppure essere una dll (in effetti può essere anche una manciata di bytes scritta in assembly rilocabile...).
Se qualcuno ha voglia di farlo (utili i sorgenti di Back Orifice, che usa anche quest'ultima tecnica) sono curioso dei risultati.

Ciao,

--
zello