# [Sicurezza] Firewall su desktopbox: indispensabile?

## wildancer

Ragazzi ho un dubbio; Dato che gentoo offre la possibilità di scegliere i servizi che vengono avviati al boot, il firewall su un sistema desktop, che quindi non ha server in ascolto di nessun tipo, è davvero utile? voglio dire... Se non ho capito male un firewall non fà altro che chiudere le connessioni a porte indesiderate, o limitarle a specifici indirizzi, giusto? se io non ho demoni all'ascolto di nessuna porta, anche se qualcuno prova a connettersi non dovrebbe avere nessuna posibilità di violare il sistema, non è così?

----------

## IlGab

Bhe direi di yes, se non hai porte da chiudere cosa ti serve a fare   :Laughing: 

----------

## hellraiser

un firewall secondo me è da installare su qualsiasi macchina con una connessione a internet...

----------

## lavish

 *hellraiser wrote:*   

> un firewall secondo me è da installare su qualsiasi macchina con una connessione a internet...

 

motivo?   :Rolling Eyes: 

----------

## xchris

una macchina per quanto aggiornata e' sicura fino a quando non viene scoperta una vulnerabilita'.

Ad es anche un semplice e innocuo pacchetto ICMP puo' essere pericoloso....

meglio tutelarsi sempre...

E poi... e' giusto sapere se c'e' qc che scassa l'anima cercando di penetrare.E un buon firewall lo rileva...

Di sicuro la situazione nostra e' migliore degli utenti che usano quella m...a di Windows... ma non e' un buon motivo per trascurare l'argomento.

E poi sinceramente dubito tu non abbia nessun servizio aperto...

Gia' far girare un prg di p2p apre delle porte sul tuo sistema.... ed e' bene prevenire/rilevare vari flood. (ad es)

Ciao

----------

## wildancer

 *xchris wrote:*   

> una macchina per quanto aggiornata e' sicura fino a quando non viene scoperta una vulnerabilita'.
> 
> Ad es anche un semplice e innocuo pacchetto ICMP puo' essere pericoloso....
> 
> meglio tutelarsi sempre...
> ...

 

cio vuol dire che un firewall può proteggermi anche da flood DoS e roba simile?

Ma che fà a questo punto questo benedetto programma? non si limita a chiudere porte?

----------

## nightblade

Aggiungo che:

- Un firewall rende difficili azioni di OS fingerprinting (cioe' l'identificazione del sistema operativo dell'host da parte di utenti remoti)

- Una macchina desktop non e' detto non abbia daemons in ascolto (un esempio su tutti: server X in ascolto sulla 6000)

- Un firewall consente una gestione efficiente e centralizzata di tutto quello che puo' e non puo' entrare e uscire da una macchina. Affidarsi al fatto che "nessun demone e' in ascolto" vuol dire doversi sincerare che nessuna delle centinaia di applicazioni installate voglia aprire una porta per qualche motivo.

Senza contare che mettere in piedi un buon firewall, oltre a garantire i benefici accennati finora nel thread, non comporta certo un gran sbattimento.

----------

## nightblade

 *wildancer wrote:*   

> 
> 
> Ma che fà a questo punto questo benedetto programma? non si limita a chiudere porte?

 

No. Una porta e' chiusa se non c'e' un processo che e' in ascolto su tale porta, indipendentemente dal fatto che ci sia o meno un firewall.

Un firewall fa molto di piu' che "chiudere" porte: un firewall ti consente di decidere con la massima precisione quale traffico e' autorizzato ad entrare/uscire dal tuo computer, e come comportarsi in caso rilevi del traffico non autorizzato.

----------

## wildancer

mh, capisco... Ma programma per programma non dovrebbe essere possibile disattivare l'auditing? e poi il server x apre una porta??? a che serve?!? non è un server utilizzabile solo in locale o tramite ssh?

----------

## nightblade

 *wildancer wrote:*   

> il server x apre una porta??? a che serve?!? non è un server utilizzabile solo in locale o tramite ssh?

 

Dipende da come lo configuri. X e' stato sviluppato anche per consentirne l'utilizzo da parte di utenti/applicazioni remote. Ovviamente ha una sua access control list:

```

man xhost

```

ma in una configurazione di default X lascia comunque la porta 6000 aperta, come potrai probabilmente rilevare con il comando:

```

netstat -ant

```

----------

## wildancer

beh non mi sembra...

```

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN

tcp        0      0 127.0.0.1:826           0.0.0.0:*               LISTEN

tcp        0      0 :::25                   :::*                    LISTEN

```

Comunque comincio a convincermi! infatti non credevo di avere la 25 aperta, credevo di aver settato accessibile solo dall'interno l'smtp...

----------

## nightblade

 *wildancer wrote:*   

> beh non mi sembra...
> 
> 

 

L'apertura della 6000 (e delle porte attigue) puo' essere disabilitata con l'opzione "-nolisten". Immagino che il tuo X server abbia questa opzione attivata.

----------

## gutter

Il server X installato di default (su gentoo) ha la porta 6000 chiusa.

----------

## nightblade

 *gutter wrote:*   

> Il server X installato di default (su gentoo) ha la porta 6000 chiusa.

 

 :Question: 

io ho x.org (6.8.0-r4) , non ho mai modificato i parametri con cui viene lanciato e la 6000 e' aperta (e protetta poi da iptables, giusto per non andare troppo OT)

----------

## wildancer

l'ho installato, domani faccio un giro sul sito e nel forum per dare un'occhiata... Se lo trovo troppo difficile al limite provo shorewall!

----------

## gutter

Precisazione:

 - Se usi XDM (o qualcosa di equivalente) la 6000 è aperta

 - Se usi startx per lanciare il server X allora no.

----------

## wildancer

smentisco, o comunque disincolpo gdm... lo uso!

----------

## gutter

Posta il risultato di:

```
netstat -nlt
```

dopo che ti sei loggato usando GDM.

----------

## nightblade

 *gutter wrote:*   

> Precisazione:
> 
>  - Se usi XDM (o qualcosa di equivalente) la 6000 è aperta
> 
>  - Se usi startx per lanciare il server X allora no.

 

Avevo generalizzato. Mea culpa.

----------

## xchris

altro esempio...

se metti cups.. apre un demone sulla 631.

(che puo' essere confogurato per ascoltare solo su 127.0.0.1...ma non si sa mai...se l'utente si ricorda   :Smile: )

Molte distro aprono di default ssh e ancor peggio portmap...

Cmq come ha detto nightblade il concetto e' che e' bene regolamentare il proprio traffico  :Smile: 

----------

## IlGab

Con tutto rispetto a me sembra una caccia alle streghe, non so cosa facciate su internet voi ma si tratta sempre e comunque di un desktop, nessuno ha utilità ad "attaccare" un desktop, non contiene informazioni utili e dubito che qualcuno perda del tempo nel riuscire a crakkare un pc.

----------

## xchris

 *IlGab wrote:*   

> Con tutto rispetto a me sembra una caccia alle streghe, non so cosa facciate su internet voi ma si tratta sempre e comunque di un desktop, nessuno ha utilità ad "attaccare" un desktop, non contiene informazioni utili e dubito che qualcuno perda del tempo nel riuscire a crakkare un pc.

 

e' probabile che nessuno ti abbia attaccato  :Smile: 

Ricordo ai tempi di win95 che ho perso l'hd del portatile.... e viaggiavo solo con una 56k al ritmo di un ora al giorno.

Da allora non trascuro + il problema.... anche se si tratta di linux  :Smile: 

----------

## [hammerfall]

 *wildancer wrote:*   

> mh, capisco... Ma programma per programma non dovrebbe essere possibile disattivare l'auditing? e poi il server x apre una porta??? a che serve?!? non è un server utilizzabile solo in locale o tramite ssh?

 

X storicamente e' nato come server grafico per terminali stupidi: a quei tempi siccome i pc intesi come Personal Computer non esistevano e l'elettronica costava parecchio si tendeva, soprattutto nelle universita' ad avere un elaboratore centrale potente e una serie di terminali (prima a caratteri come i famosi vt100 e in seguito anche grafici) stupidi: quelli che adesso chiamano thin client. Praticamente erano macchine diskless che riuscivano solo ad aprire una sessione x col server centrale, in questo modo si aveva la potenza di calcolo del server al servizio di tutti gli utenti.

ok, ok, ora scendo dalla cattedra   :Rolling Eyes: 

----------

## nightblade

 *IlGab wrote:*   

> nessuno ha utilità ad "attaccare" un desktop, non contiene informazioni utili e dubito che qualcuno perda del tempo nel riuscire a crakkare un pc.

 

Vallo a dire a quelli che attraverso il loro desktop accedono al loro conto bancario....  :Wink: 

Tra parentesi, gli "owned" desktop pc con connessioni a banda larga costituiscono una grossa fetta dell'esercito di "drones" usati per gli attacchi DDoS. C'e' chi ci fa business, a vendere intere reti di PC controllabili remotamente all'insaputa dei proprietari.

----------

## Dr.Dran

N.B. Una considerazione, ovviamente stiamo parlando di desktop con connessione diretta a internet tramite modem, allora l'impiego di un firewall statefull è necessaria, ma se uno possiede una piccola rete allora lo si può implementare solo su un pc che fa da router e sui client dopo non è più necessario!

P.S. Ovviamente il router così configurato deve essere sempre aggiornato e controllato per evitare il possibile attacco tramite DoS conosciuti, il chè comporta una buona competenza e un impegno costante   :Wink: 

----------

## mrfree

Visto che si parla di firewall e desktop... qualcuno ha provato Firestarter è un frontend grafico per iptables (usa librerie di gnome)?

Il sito riporta:

 *Quote:*   

> Firestarter is fully supported in the Gentoo distribution by the Portage system. Simply run "emerge firestarter" to install the program.

 

Quasi quasi lo provo  :Wink: 

----------

## ultimodruido

ciao io l'ho provato... emi ha gia fatto incazzare! mi ricorda il sistema di configurazione della redhat 8! distribuzione che non ho mai capito a fondo... e questo strumento è praticamente identico... non si capisce cosa fa e se lo fa...

l'ho provato perche non sono una cima di iptables... e per ora mi ero scritto le mie regole a mano scopiazzando qua e la su forum e documenti online.... credo sia ancora la strada piu sicura per sapere cosa stia facendo realmente iptables... e poi firestarter mi tra una serie di errori che non ho voglia di indagare... concludendo, visto il tempo che ho perso io a trovare quele poche regole, credo sia piu salutare fare a meno di questo programma!

ciao (ovviamente IMHO) nic

----------

## wildancer

 *gutter wrote:*   

> Posta il risultato di:
> 
> ```
> netstat -nlt
> ```
> ...

 

```

# netstat -nlt

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 127.0.0.1:673           0.0.0.0:*               LISTEN

tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN

tcp        0      0 :::25                   :::*                    LISTEN

```

----------

## wildancer

comunque se uno dovesse iniziare ad interessarsi solo ora, converrebbe usare qualche tool prima di immergersi nel mondo di iptables? magari per controllare come il programma piu semplice imposta le regole di iptables... consigliatemi dai, vorrei saperne di piu...

----------

## gutter

Io ti consiglio di usare:

```

*  net-firewall/shorewall

      Latest version available: 2.0.7

      Latest version installed: [ Not Installed ]

      Size of downloaded files: 2,450 kB

      Homepage:    http://www.shorewall.net/

      Description: Full state iptables firewall

      License:     GPL-2

```

----------

## wildancer

immaginavo... Poi magari do un'occhiata a come scrive i files di conf di iptables e cerco di capirci qualcosa!

----------

## gutter

Si l'idea mi pare buona.

----------

## mouser

E' assolutamente vero che, probabilmente,  nessuno ha interesse ad entrare in un desktop....... ma magari un DDoS si!!!!

E' sempre la solita storia...... nessuno si collegherà mai...... ma se qualcuno prova, è giusto che non si trovi, letteralmente, "la porta aperta"  :Very Happy: 

Tutto IMHO

Ciriciao

mouser  :Wink: 

----------

## Tiro

Io sono dietro un firewall-router quindi iptables o shorewall nn mi servono. Cmq sia mantengo aggiornato il sistema e tengo aperte solo le porte che mi servono (amule, ssh a volte) e uso il pacchetto portsentry che logga e blocca gli ip dai quali provengono portscan e cose varie. 

Nn so se portsentry sia eccessivo o meno ma una volta su una mia macchina windows della mia lan mi sono ritrovato nei log un bel portscan da parte di macromedia. Inoltre pare che il router si possa bypassare con un pacchetto broadcast (indirizzato a tutti gli host della rete) quindi portsentry lo uso + che altro per sapere se qlcn ha provato ad inviarmi qlcs.

Inoltre portsentry nn necessita di configurazione. Mi chiedevo se questo pacchetto può essere un sostitutivo di iptables/shorewall x l'utilizzo di un desktop.

----------

## Cazzantonio

 *Tiro wrote:*   

> Nn so se portsentry sia eccessivo o meno ma una volta su una mia macchina windows della mia lan mi sono ritrovato nei log un bel portscan da parte di macromedia. 

 

Tranquillo... io ricevo portscan da parte dei dns di tiscali  :Wink: 

----------

