PDA

Visualizza versione completa : kaspersky Internet Security & LAN


ERASER X
28-02-2007, 13.37.39
Salve, ho notato che se attivo il Firewall di kaspersky la LAN non mi funziona più perchè mi vene bloccata.
Se lo disattivo invece tutto torna a funzionare...

Attualmente ho la centralina Fastweb e una LAN con 3 PC connessi.


Sapreste indicarmi che tipo di regole devo creare su kaspersky anti hacker perchè mi consenta di utilizzare la LAN ?


Grazie

retalv
28-02-2007, 14.04.43
Apri le porte 445, 137, 138, 139... ma c'e' modo di aprirle solo per la scheda di LAN?

Ciao!

ERASER X
28-02-2007, 17.09.04
Allora le possibilità in CREA NUOVA REGOLA sono:

PROPRIERTIS: Remote IP adress / Remote Port / Local IP adress / Local Port / Time range

E posso scegliere una o piu di queste mettendici la spunta

...poi sotto mi da ALLOW INBOUND & OUTBOUND e si puo sceglire UDP / TCP / IP / GGP e molti altri...


Dici che è fattibile ??

GRAZIE

retalv
01-03-2007, 18.03.10
Allora le possibilità in CREA NUOVA REGOLA sono:

PROPRIERTIS: Remote IP adress / Remote Port / Local IP adress / Local Port / Time range

E posso scegliere una o piu di queste mettendici la spunta

...poi sotto mi da ALLOW INBOUND & OUTBOUND e si puo sceglire UDP / TCP / IP / GGP e molti altri...


Dici che è fattibile ??

GRAZIE

Direi proprio di si... non lavorerai sulla scheda (molto piu' semplice e soprattutto con traffico di LAN piu veloce) ma sugli indirizzi IP.

Devi definire il range di IP della tua LAN comprensivo delle porte che vuoi far lavorare sia in INBOUND & OUTBOUND su TCP e UDP.

Probabilmente potrai poter definire oltre agli indirizzi IP, anche le porte come gruppo (normalmente con una bella (,) tra i numeri... es: 137,138,139,445 o cosi' ... 445,137:139).

Di solito vengono esemplificate a video le possibilita' che hai...

Controlla anche di poter far pingare le macchine tra loro.

Se poi ti interessano risultati come se il fw non ci fosse, apri tutte la porte in entrata ed uscita relativamente agli indirizzi della tua LAN su tutti i protocolli.
(Qui si solleveranno orde di sicurofili a lapidarmi, ma in fin dei conti da quanto ho capito la rete la usi solo tu no...?)

Ciao!

ERASER X
02-03-2007, 00.36.16
Azz...
...concettualmente l'ho capito il discoso....solo che ho provato a ravanare nelle regole di kasp e ho paura di aprire porte a cani e porci...

....avete qualche link esemplificativo ??

Grazie

retalv
02-03-2007, 17.41.37
Azz...
...no! ... altrimenti il divertimento dove sarebbe ..? ;)

Dai, prova, vedrai che dei grossi buchi non ne puoi fare, l'importante e' che ti assicuri che per ogni regola che scrivi sia/no specificato l'indirizzo/i della rete locale...

Ciao!

ERASER X
06-03-2007, 16.13.07
Attualmente le due regole che ho creato sono:-

Allow Inbound & Outbound UDP Packets, where Local IP adress is IP prima macchina, IP seconda macchina (assegnati da FastWeb).

e la seconda...


Allow Inbound & Outbound TCP Packets, where Local IP adress is IP prima macchina, IP seconda macchina (assegnati da FastWeb).


Ovviamente il tutto NON funziona.....troppo semplice sennò.... :-D


...suggerimenti ?

retalv
06-03-2007, 18.16.51
Attualmente le due regole che ho creato sono:-

Allow Inbound & Outbound UDP Packets, where Local IP adress is IP prima macchina, IP seconda macchina (assegnati da FastWeb).

e la seconda...


Allow Inbound & Outbound TCP Packets, where Local IP adress is IP prima macchina, IP seconda macchina (assegnati da FastWeb).


Ovviamente il tutto NON funziona.....troppo semplice sennò.... :-D


...suggerimenti ?

Se ho ben capito, vorresti usare l'HAG FastWeb come una sorta di switch per la rete locale..?

Penso ti convenga scordartelo (almeno io non ci penserei minimamente)...

Nel tuo primo messaggio parlavi di centralina Fastweb e LAN, quindi ho dato per scontato che esistesse una lan a parte dell'HAG fastweb...

Il firewall interpreta gli indirizzi che ti da FW come rete esterna, quindi non Trust e le regole di default bloccano i pacchetti relativi alle risorse condivise proprio per sicurezza: le regole che crei tu probabilmente si trovano a VALLE delle regole preimpostate e quindi ininfluenti.

Per creare una LAN (il Local significa appunto questo...), sul PC collegato a FW (o su TUTTI quelli che sono collegati a FW) e' conveniente montare una SECONDA scheda di rete che sara'/nno configurata/e (per non avere casini vari) con IP statici con maschera 192.168.x.x e subnet 255.255.255.0 ...

Questi saranno gli indirizzi che dovrai definire nel firewall... gli indirizzi Fastweb devi dimenticarteli, altrimenti si che apri a tutto il mondo FastWeb!

Se hai solo 2 PC da mettere in rete, per la connessione sara' sufficiente un cavo crosslink, se invece ne hai 3 o più dovrai usare uno switch(poco costoso) o un hab(credo costi 3-5 volte uno switch e dubito tu intenda creare + di una LAN) per collegare tutte le macchine.

Altro sistema (ma in questo caso, non essendomene mai interessato, passo la palla) sarebbe quello di configurare una VPN (Virtual Private Network) che tramite la crittografazione permette di creare una lan virtuale su internet...

Se poi non ho ancora capito un piffero... sorry...

Ciao!

ERASER X
06-03-2007, 20.41.50
Probabilmente mi sono spiegato male io e ti chiedo scusa...
provo a fare delle precisazioni e vediamo se riusciamo a capirci qualche cosa di piu.

A casa mia ho 3 PC

1) In camera per uso personale/lavorativo
2) In salotto, un Mediacenter che uso per vedermi i film
3) In Soffitta controllato con UltraVNC Viewer che uso per Adunanza

Tutti e 3 i PC sono ovviamente su stanze ben lontane tra loro e quindi sono collegati all'HAG FW con dei cavi di rete che ho fatto passare attraverso i muri sulle canalette della corrente.

Ora, un tempo utilizzavo il mio bel Zyzel 650H per andare in internet con tutti e 3 i pc contemporaneamente e per passarmi i file da un pc all'altro...SENZA ALCUN PROBLEMA.
Avevo sempre installato Karpersky e non mi dava alcun problema.


Ora sono passato a FW e come ho detto mi hanno installato questo HAG (non so cosa ben sia ma a quanto pare è quello che mi fa andare sia il telefono che internet) e i collegamenti sullo stesso sono GLI STESSI che avevo sul router vecchio (l'HAG ha 3 uscite di "rete" e una per il telefono).

Internet FUNZIONA senza alcun problema su tutti i PC, il problema che ho è che SE ATTIVO KARPERSKY INTERNET SECURITY, non mi fa più accedere alle risorse di un pc o dell'altro per spostarmi i file....questo NON SUCCEDE se DISATTIVO Il Firewall di Karpersky.


Questa è la situazione attuale.


Ora vorrei capirci bene tutto perchè leggendo qua e la mi spaventa l'ipotesi che SENZA FIREWALL di KARPERSKY, altri utenti possano accedere alle mie risorse condivise in rete.Cosa che mi suona non tanto assurda visto che (alcuni dicono per dei test di FW) il mio Karpersky, almeno 2 o 3 volte al giorno mi segnala un tentativo di intrusione da parte di IP FW (li riconosco dal loro "formato") sulla porta 135.


Sono benvenute qualsiasi tipo di delucidazioni....


GRAZIE

retalv
07-03-2007, 22.25.56
Tutti e 3 i PC sono ovviamente su stanze ben lontane tra loro e quindi sono collegati all'HAG FW con dei cavi di rete che ho fatto passare attraverso i muri sulle canalette della corrente.

Ora, un tempo utilizzavo il mio bel Zyzel 650H per andare in internet con tutti e 3 i pc contemporaneamente e per passarmi i file da un pc all'altro...SENZA ALCUN PROBLEMA.

Avevo sempre installato Karpersky e non mi dava alcun problema.

E tutti i conti tornano.... lo Zyzel 650 e' un router, quindi tutti i pc connessi ad esso vengono configurati manualmente od in automatico con indirizzi LAN 192.168.x.x per cui vale esattamente il discorso che ti ho fatto nel mail precedente... pari pari. Tu inconsapevolmente avevi una LAN creata automaticamente dal router Zixel e connettevi tutti i PC ad intennet (unsecure zone) senza problemi ed i pacchetti per le altre macchine venivano "ruotati" e lasciati passare da KARPERSKY in quanto riferiti ad un'area TRUST (sicura), appunto la LAN dei 3 pc... detto tra noi... KARPERSKY con quella configurazione era quasi come non averlo... il lavoro di scrematura lo faceva il router stesso.

Ora sono passato a FW e come ho detto mi hanno installato questo HAG (non so cosa ben sia ma a quanto pare è quello che mi fa andare sia il telefono che internet) e i collegamenti sullo stesso sono GLI STESSI che avevo sul router vecchio (l'HAG ha 3 uscite di "rete" e una per il telefono).

Cosa e' l'HAG e' una cosa un po' lunga da spiegare e rischierei di raccontari delle inesattezze... a grandi linee (ma proprio grandi) potrei dire che e' una sorta di HUB, che assieme agli altri HAG della tua "zona" e' collegato ad un router (credo CISCO) che a sua volta (assieme ad altri router di altre zone) e' collegato in cascata ad un altro router...
Per la parte fonia, l'HAG si prende l'onere di trasformare la tua voce in digitale e di trasmetterla al concentratore tramite pacchetti internet: arrivati al concentratore i pacchetti con il parlato in forma digitale vengono ricomposti ed inviati come normale fonia sulla linea che ti e' stata dinamicamente assegnata. Lo so e' contorto, ma non tanto poi...

Internet FUNZIONA senza alcun problema su tutti i PC, il problema che ho è che SE ATTIVO KARPERSKY INTERNET SECURITY, non mi fa più accedere alle risorse di un pc o dell'altro per spostarmi i file....questo NON SUCCEDE se DISATTIVO Il Firewall di Karpersky.

Ribadisco dil concetto di prima: fastweb definisce per ogni macchina un SUO indirizzo di rete ed il firewall interpreta questi indirizzi fasweb come NON sicuri (al contrario di quelli che avevi con lo Zixel), quindi blocca tutte le trasmissioni relative alle condivizioni di risorse.

Ora vorrei capirci bene tutto perchè leggendo qua e la mi spaventa l'ipotesi che SENZA FIREWALL di KARPERSKY, altri utenti possano accedere alle mie risorse condivise in rete.Cosa che mi suona non tanto assurda visto che (alcuni dicono per dei test di FW) il mio Karpersky, almeno 2 o 3 volte al giorno mi segnala un tentativo di intrusione da parte di IP FW (li riconosco dal loro "formato") sulla porta 135.

2 o 3 volte al giorno??? Praticamente nulla... quando usavo io FW erano a scadenze di minuti...

Sotto fastweb gli unici attacchi (seri) che puoi avere provengono da altri utenti fastweb. Comunque tranquillizzati, nel 99,9999999999999999999% dei casi quando vedi che un indirizzo fastweb tenta di accedere alla 135 o alla 445 e' semplicemente qualche untente fastweb che non ha disattivato il "Client per reti Microsoft" e la "Condivisione per file e stampanti per reti Microsoft" sulla scheda di rete connessa all'HAG. (o uno dei tuoi altri 2 PC che sta provando a vedere se qualcuno nella tua "LAN" risponde :) )

Sperando di averti chiarito le idee, ti rimando a quanto gia detto.

Ciao!

ERASER X
08-03-2007, 00.42.52
Grazie per la risposta più che completa....

A quanto apre quindi mi sconsigli vivamente di disattivare il FW di Karpersky e mi dici che l'unica soluzione è quella di passarmi altri cavi attraverso i muri e costruirmi una SECONDA LAN tra i pc installando uan SECONDA scheda di rete e un HAG che controlli il tutto....
...un casino praticamente....visto che mi toccherebbe ri-passare fili da un piano all'altro...


Dici proprio che altre soluzioni non ci siano ???
In definitiva FW dice ceh si può utilizzare benissimo la rete tra i pc (e di fatto te lo consente....senza Karpersky appunto) ma da quel che ho capito il tutto non è sicuro...no??


Grazie mille per tutte le info...e la pazienza....

retalv
08-03-2007, 11.14.11
A quanto apre quindi mi sconsigli vivamente di disattivare il FW di Karpersky e mi dici che l'unica soluzione è quella di passarmi altri cavi attraverso i muri e costruirmi una SECONDA LAN tra i pc installando uan SECONDA scheda di rete e un HAG che controlli il tutto....
...un casino praticamente....visto che mi toccherebbe ri-passare fili da un piano all'altro...

Dici proprio che altre soluzioni non ci siano ???
In definitiva FW dice ceh si può utilizzare benissimo la rete tra i pc (e di fatto te lo consente....senza Karpersky appunto) ma da quel che ho capito il tutto non è sicuro...no??

Nell'ordine...

Si, un firewall non ti fa assolutamente male, qualunque esso sia... o studi come definire la configurazione di KIS o cambi firewall... dipende da te.

No, non sei affatto obbligato a tirare nuovi fili, c'e' l'opzione VPN (come gia detto e a costo zero) o ii Wi-Fi (shede di rete senza fili) o addirittura adattatori per usare il tuo impianto elettrico come circuito per LAN (cerca in rete o chiedi ad un negoziante che non sia un pataccaro dicendoti che non esistono).

Per il primo, l'implementazione non dovrebbero essere complicata (in rete trovi sicuramente guide et similia) anche se (credo...) hai la scocciatura di attivare manualmente la connessione, ma ripeto che non l'ho mai usato, il secondo e' comodo ma se vuoi avere un minimo di velocita' devi appoggiarti ad un HUB Wi-Fi (la connessione point-to-point e' penalizzante se devi trasferire file grossi o se hai fretta) e penso ti possa andare + che bene, la terza opzione e' poco costosa ma ti fornisce velocita' di trasferimento minore delle vecchie schede di rete a 10Mbit. Qui (http://punto-informatico.it/p.aspx?i=48192) puoi saperne di piu... a te la scelta ...

Certo, FW ti dice che puoi farlo ed effettivamente puoi... ma se pensiamo a tutto quello che si puo' fare al mondo e quante di queste cose e' sconveniente fare...
Sicurezza? Dipende cosa significa per te e dai tuoi bisogni... come disse un americano "...l'unico PC sicuro e' quello spento..." :)

Ciao!

ERASER X
08-03-2007, 23.16.25
A questo punto provo la via meno dolente...
...installare un nuovo FireWall che nel caso è SYGATE.

Ora però non saprei che IP utilizzare per le regole.

Vale sempre la solita storia che gli IP di FastWeb NON devo assolutamente MAI utilizzarli ????

ERASER X
08-03-2007, 23.39.29
Peggio che peggio...installato SYGATE manco riesco più ad andare in internet PUR selezionando EXPLORER su ALLOW.

Assurdo...se sapevo che con FW fosse cosi difficile condividere 2 cartelle (di film per altro) non facevo l'abbonamento.....

...in questo modo ho un Mediacenter in salotto che praticamente non posso usare....

ERASER X
12-03-2007, 19.27.21
Nada???


....uff....sarò testardo ma proprio non voglio mettermela via che con FW per condividere le risorse tra 3 miei pc a acsa devo fare tutto sto casino.... :-D

ERASER X
12-03-2007, 22.28.36
Per caso ho trovato questo....

Network Magic 4.1.7039

Home networking is hard, no doubt about it. But Network Magic makes it easy to do all the things you want to with the computers and devices in your home. Things like sharing printers and files across all your computers, monitoring Internet use, and repairing broken Internet connections. No more emailing files to yourself just to print them out, no more wondering about where your kids are surfing on the Internet, no more waiting around for “the repair guy” to fix your wireless Internet.

With Network Magic you can...

Print from any computer in your home
Share files between all your home computers – even Macs & PCs
Monitor Internet use and Web sites visited for any computer in your home
Pinpoint & repair Internet connection problems
View a live map of your network
Protect your wireless network from intruders


....che mi possa servire a qualche cosa?? :mm:

retalv
13-03-2007, 12.42.29
Ho dato un'occhiata a KIS...

A preventivo.
Assicurati di essere collegato ad internet, apri una schell CMD, digita IPCONFIG e prendi nota del tuo indirizzo IP (FastWeb) e della Subnet-Mask relativa.

Clicca col tasto destro sull'icona K nella toolbar > Setting > Protection > Anti-Hacker > Setting > Zones > Add

Metti un nome alla zona (MIA_LAN), imposta l'indirizzo IP mettendo zero (0) nell'ultimo numero (es: per 32.134.12.1 imposta 32.134.12.0) ed il valore della subnet-mask letto da IPCONFIG, quindi seleziona la zona come Local Network. Conferma, esci e rilancia il sistema.

Ripeti l'operazione su tutte le macchine collegate all'HAG e vivi felice ;).

Ciao!

PS: dimenticavo una cosa, anche se e' difficile succeda...

Con questa configurazione, se esite (ma non credo) qualche utente FW con i gli stessi numeri di IP (i primi 3) uguali, puo' tentare di accedere alle tue condivisioni, quindi e' cosa buona e giusta che per ogni macchina (se non lo hai gia fatto) esista una utenza identica alle altre macchine in cui hai definito una password: le condivisioni andranno fatte su questa utenza generale e non genericamente su Everyone che e' l'impostazione di default.

ERASER X
13-03-2007, 19.49.27
NON SO COME RINGRAZIARTI.....FINALMENTE HO RISOLTO !!!!!!!
Vorrei però porti alcune (spero ultime) domande...cosi da capir bene cosa è stato fatto...

1) Perchè ho dovuto mettere lo 0 alla fine del mio IP nelle regole ???
2) Cosi non ho aperto a nessuno l'accesso al mio PC ???
3) Avendo un sistema mediacenter che accede alle mie risorse sul pc "archivio" (dal menù mediacenter accedo in remoto all'altro pc dove ci sono i file) non posso impostare alcuna password perchè difatto il mediacenter non me la chiederebbe e mi direbbe semplicemente che la risorsa non è disponibile.
Esiste quindi un modo per oltrepassare questo problema e sopratutto, come dovrei fare per creare un nuovo utente da mettere al posto di Everyone per "restringere" ulteriormente le possibilità di "attacco"?

Giuro...dopo queste...STOP.... :-D


GRAZIE

ERASER X
13-03-2007, 20.00.23
Ah dimenticavo i sistemi operativi sono

Win 2000 (archivio)
Win XP
Mediacenter

retalv
13-03-2007, 21.54.39
1) Perchè ho dovuto mettere lo 0 alla fine del mio IP nelle regole ???

E' un po' lunghetta la questione...

Spiegandolo terra-terra, l'indirizzo IP ha un'aspetto gerarchico da sinistra a destra, nel senso che il 1o numero a sinistra definisce la "famiglia" piu' importante della rete, il 1o numero a destra la meno importante ed ogni numero va da 1 a 254 (lo 0 a destra e' usato per definire tutti i numeri da 1 a 254, 255 per il broadcasting se ricordo bene)

Con quello 0 ordini al firewall di lasciare l'accesso a tutti i client della lan, che vanno da 1 a 254

2) Cosi non ho aperto a nessuno l'accesso al mio PC ???

Vale la nota che ti ho gia' fatto...

3) Avendo un sistema mediacenter che accede alle mie risorse sul pc "archivio" (dal menù mediacenter accedo in remoto all'altro pc dove ci sono i file) non posso impostare alcuna password perchè difatto il mediacenter non me la chiederebbe e mi direbbe semplicemente che la risorsa non è disponibile.
Esiste quindi un modo per oltrepassare questo problema e sopratutto, come dovrei fare per creare un nuovo utente da mettere al posto di Everyone per "restringere" ulteriormente le possibilità di "attacco"?

Sorry, mai visto un mediacenter nemmeno da lontano, ma mi sembra strano non permetta la definizione di utenze...

Ciao!

ERASER X
14-03-2007, 21.19.05
Grazie delle risposte.
Provo ad andare più a fondo...

Da quel che hai cercato (peraltro benissimo) di spiegarmi, mi sa che non è poi cosi difficile esista qualcuno abbia tutte le prime "3 terne" di IP uguali al mio....e quindi l'accesso alle mie cartelle condivise....devo quindi assolutamente mettere in pratica la nota che mi hai fatto...


Per quanto riguarda il Mediacenter è un semplicissimo WinXP, ha solo in più la possibilità di gestiere con un TELECOMANDO un menu.
Senza che stia qui a spiegarti il perchè (se ne hai bisogno provo a spiegartelo) perchè il tutto funzioni COL TELECOMANDO, devo evitare di dover inserire password quando accedo a cartelle remote (...diciamo perchè quando seleziono la cartella con il telecomando non ho la possibilità di inserire la password)..


GRAZIE

ERASER X
14-03-2007, 22.44.45
Tra l'altro ho appreso che di punto in bianco, all'improvviso il mio IP potrebbe cambiare (pur essendo statico..potrebbero assegnarmene un altro) ciò dovrebbe alterare il grado di rischiosità del mio sistema no???

Dici che sia la l'ipotesi di prendere uno switch e di collegare gli altri 2 pc ad esso (cosi da crearmi una LAN interna) ritorni ad essere la soluzione migliore...e la più protetta??

retalv
15-03-2007, 09.13.06
Tra l'altro ho appreso che di punto in bianco, all'improvviso il mio IP potrebbe cambiare (pur essendo statico..potrebbero assegnarmene un altro) ciò dovrebbe alterare il grado di rischiosità del mio sistema no???

Si... e gli asini volano ... e anche camminiando sul marciapiede puoi morire cadendo...

E questa strxxxata chi te l'ha raccontata?

Il tuo IP FastWeb NON e' considerato statico perche', de facto, non e' un indirizzo raggiungibile dall'esterno, ma il tuo indirizzo FastWeb non cambiera' mai, o almeno fino al momento che qualche tecnico FW non sia forzato ad alzare il sedere per riconficurare il NAT FastWeb. Io ho avuto FW per 4 anni e i miei indirizzi non sono mai cambiati, un mio amico l'ha da 8 (su fibra) e le cose stanno allo stesso modo.

Comunque se proprio dovesse cambiare, te ne accorgi immediatamente dal semplice fatto che le macchine non saranno piu in rete.

Ciao!

retalv
15-03-2007, 09.22.15
Per quanto riguarda il Mediacenter è un semplicissimo WinXP, ha solo in più la possibilità di gestiere con un TELECOMANDO un menu.
Senza che stia qui a spiegarti il perchè (se ne hai bisogno provo a spiegartelo) perchè il tutto funzioni COL TELECOMANDO, devo evitare di dover inserire password quando accedo a cartelle remote (...diciamo perchè quando seleziono la cartella con il telecomando non ho la possibilità di inserire la password)..

Aaaaa... adesso ricordo, e' quella perla di luce... ;)

Facendo quello che ti ho detto non dovrai inserire nessuna password volta per volta, quindi funziona col telecomando... pensaci... vedrai che risolvi.

Ciao!

ERASER X
15-03-2007, 20.06.13
Grazie mille...
....e scusa la rotturissima di palle...ma fortunatamente ho trovato chi mi dava un po di ascolto e ne sapeva parecchio...

Cmq per la cronaca la storia dell'IP l'ho letta nel forum di Adunanza dove un utente diceva che appunto ha avuto per 2 anni un certo IP e che ora se l'è trovato cambiato...

Tutto qua...

Grazie ancora...

retalv
15-03-2007, 20.47.23
No, non ne so parecchio... e' solo che mi sono interessato sull'argomento. Scusami se sono stato un po' brusco, ma e' che ultimamente ne sento cosi' tante...

Se hai ancora bisogno siamo + o - sembre da queste parti... ;)

Ciao!