PDA

Visualizza versione completa : Porte aperte. Chi mi spiega?


revivo
09-11-2008, 17.11.39
Ciao a tutti
mi scuso in antiipo se sarò un po' lungo.
Alcuni portscanner on line riportano che ho la porta 443 aperta. Ho letto che è normale avere la porta 443 aperta, usando un "gateway" e non un normale router (ho cercato di approfondire con delle ricerche in Rete).
D'altra parte chi mi ha installato il gateway mi aveva detto che il NAT mi avrebbe tenuto al riparo dai problemi di attacchi esterni.
Francamente di networking ci capisco poco (anzi nulla!).
Sui vari siti leggo che le porte devono essere chiuse...la 443, poi, normalmente è utilizzata per i servizi SSL (quindi credo sia abbastanza critica).
Tutto ciò che ho fatto è installare Kaspersky Internet Security (in prova per 30 gg) e Comodo Firewall (dopo aver lurkato su questo ng).
Su Comodo ho creato (spero :-D) una regola che blocca gli accessi alla porta 443. Ovviamente risulta ancora aperta, però.
Chi mi spiega, per favore:
1) che rischi corro?
2) è vero che il NAT mi protegge lo stesso?
3) le misure che ho preso, sono sufficienti?

Grazie in anticipo!

LoryOne
09-11-2008, 18.31.01
Ciao.
Una porta vale l'altra amico mio.
Non è tanto il valore della porta a dover essere tenuto sotto controllo, quanto il traffico che la attraversa.
Esistono convenzioni secondo le quali alla porta 443 è assegnato SSL, alla 80 HTTP, alla 25 SMTP, alla 110 POP3 e via di seguito.
Nessuno può impedirti di utilizzare SSL su 80 invece che su 443. Ovviamente, chi vuole connettersi via SSL deve sapere che la porta non è quella convenzionale; Questo è valido se sei tu a fornire un servizio e decidi tu in che modo il tuo server resti in ascolto di richieste da elaborare, mettendo al corrente il fruitore delle scelte da te adottate e fornendo indicazioni su come sfruttare il servizio offerto.
Se sul tuo client non è installato alcun servizio in ascolto su quella porta, puoi anche evitare di bloccarla sul firewall.
Il discorso NAT (Network Address Translation) è valido quando:
- Da una rete pubblica si vuole raggiungere un client all'interno di una rete privata.
- Dall'interno di una rete privata si vuole raggiungere una rete pubblica.
Infatti, reti pubbliche e private non possono dialogare tra loro se non attraverso un dispositivo che crei un ponte tra le due tipologie di reti e che effettui la "traduzione" sia per il traffico in ingresso sia per quello in uscita. Esistono alcuni indirizzi IP che non sono instradabili su reti pubbliche e sono tipici di quelle reti dette private.
All' interno di una rete privata, esistono più clients con diversi servizi in ascolto e spesso solo uno dei client deve essere raggiungibile dalla rete pubblica.
Per tale motivo, al ponte viene indicato a quale client deve essere inoltrata la richiesta giunta dall'esterno sulla porta pubblica (forwarding).
E' probabile, quindi, che il port scanning abbia rilevato la porta 443 aperta pubblicamente, ma se non esiste forwarding verso la rete interna, tutti i pacchetti inoltrati verso quella porta non potranno raggiungere alcun client al di qua del ponte.
Se l' indirizzo IP assegnato al client appartiene ad una rete pubblica, significa che il PC fa parte di un nodo pubblico non appartenente a nessuna rete privata, quindi tra Internet ed il client non esiste alcun ponte.
Per ragioni non strettamente legate alla raggiungibilità di un servizio, è sempre consigliabile bloccare tutte le porte inutilizzate sia in ingresso sia in uscita.

revivo
09-11-2008, 18.52.46
Ciao. Cut

ciao LoryOne.
No non ho nessun servizio in ascolto su quella porta (almeno credo!). Presumo tu intenda un'applicazione server (scusa i termini eventualmente non ortodossi) che accetta connessioni SSL (come creo possa essere un'azienda che accetta carte di credito). Non è il mio caso.
Tra l'altro facendo fare un nuovo scanning dal sito di Comodo (HackerGuardian), nelle raccomandazioni si legge:

Filter incoming traffic to port/service "sip (5060/udp)" if the service is not used.
[/I]

SIP dovrebbe esere il servizio che permette di avere 2 numeri VOIP in uscita dal Gateway...
Della porta 443 ne parla, ma non dà raccomandazioni.

Siccome la mia confusione aumenta...ti chiedo gentilmente:

1) se chiudo delle porte con COMODO (si chiudono usando il comando "block", no?) ciò ha effetto solo sul pc o anche sui servizi del gateway (tipo il SIP; appunto)?

2)..tu che faresti al mio posto?? :inn:

Grazie

LoryOne
09-11-2008, 20.55.03
Io procederei in questo modo:
1 - Farei mente locale ed identificherei tutti i servizi di cui avrei bisogno
2 - Controllerei su Internet le porte ed i protocolli utilizzati da ogni servizio ritenuto da me essenziale. Essendo fruitore di un servizio, sarei certo che le porte ed i protocolli associati ad ogni servizio sarebbero quelle convenzionali.
3 - Disabiliterei tutti i servizi in locale sul mio client di cui potrei fare a meno
4 - Verificherei che sul mio firewall le porte ed i protocolli in uso dai servizi essenziali fossero aperte
5 - Utilizzerei TCPView per verificare le porte e lo stato delle connessioni in locale, utilizzando un servizio per volta e vericando la corretta associazione porta+protocollo=servizio in uso.
6 - Bloccherei porte e protocolli inutili sia in ingresso sia in uscita. Effettuerei la stessa operazione sia sull'eventuale firewall del router sia su quello del client.

LoryOne
09-11-2008, 20.59.51
ciao LoryOne.
No non ho nessun servizio in ascolto su quella porta (almeno credo!). Presumo tu intenda un'applicazione server (scusa i termini eventualmente non ortodossi) che accetta connessioni SSL (come creo possa essere un'azienda che accetta carte di credito).

A dire il vero io intendo qualunque applicazione che in ogni momento possa fungere da client o da server.
Un client solitamente interroga un server per ottenere risposta, ma diventa server lui stesso se risponde ad una chiamata da parte di un altro client