[ml] personal firewall e questioni varie [was: configurazione firewall]

1) e'  prassi comune, soprattutto  per i programmi di  derivazione unix,
utilizzare comunicazioni  via rete tra varie  componenti (client/server,
piu'   raramente,   thread   o  task)   su   localhost   (un'interfaccia
simil-ethernet   virtuale   che   utilizza,   normalmente,   l'indirizzo
127.0.0.1). Non ho idea del perche' firefox e/o thunderbird lo facciano,
cmq anche  su un client  linux ci sono vari  pezzi di firefox  che usano
comunicazioni  via  stream. Cosi'  _a  nasissimo_  potrebbe esserci  una
componente che risolve i nomi dns  comune che viene interrogata dai vari
task..

Se vuoi vedere piu' nel dettaglio  cosa combinano, utilizza uno dei tool
di sysinternals  o foundstone lungamente  citati sulla lista  per vedere
nel dettaglio chi/cosa/come/dove/perche'.

L'indirizzo 0.0.0.0 corrisponde, nel tuo  caso, a qualsiasi indirizzo su
una qualsiasi  delle schede  di rete della  tua macchina  oppure, quando
indicato come destinazione, a internette (o meglio, il default gateway).

Direi che puoi permettere le comunicazioni da e per 127.0.0.1, e' prassi
abbastanza  comune. In  teoria, salvo  giri, forwarding  e _cose  varie_
(scusate i tecnicismi  :P) i pacchetti da e per  loopback non dovrebbero
essere propagati da altre parti. Da 0.0.0.0 a 127.0.0.1 invece in teoria
non e'  una buona idea  (calcoa che spesso  in una configurazione  di fw
0.0.0.0 = qualsiasi indirizzo). Non ho  idea in kerio, consulta la guida
del prodotto.

2) Uhm,  direi il messenger (non  l'omonimo servizio di MSN),  ovvero la
possibilita'  di  inviare via  rete  messaggi  pop-up a  qualcuno.  Sono
abbastanza diffusi gli  spam attraverso questo sistema.  Cosi', sempre a
nasissimo, direi che  non ti sei preso niente di  particolare, ma non ci
metterei  una  mano  sul  fuoco  (iirc,  ci  sono  state  vulnerabilita'
sfruttabili  da remoto  in  quel  servizio.. anche  se  fosse dubito  ti
avrebbero fatto comparire un messaggio :)

3) si e'  normale che la porta  "client", ovvero quella da  cui parte la
tua connessione, sia  random e (generalmente, sotto unix,  >= 1024). Una
regola becera  becera potrebbe  essere permettere  tutto il  traffico da
firefox verso  80 e 443 (https).  Calcola che esistono _molti_  siti che
utilizzano anche  altre porte. Se  vuoi un consiglio schietto,  prima di
impazzire, abilita  tutto il traffico  da firefox  verso il mondo  e bon
ale'.

Se qualcuno ha link/risorse/spunti tecnici  & co da suggerire, libero di
farlo.

Siccome sono il moderatore ed ho i miei privilegi, mi permettero' invece
un commento da bar security :P

I  personal  firewall  possono  essere uno  strumento  molto  utile,  ma
rischiano  seriamente di  diventare annoying  se configurati  in maniera
paranoica e di dare un falso senso di sicurezza.

my 2¢:
- importante che non vi siano servizi esposti all'esterno:
  da internet a computer 0 porte aperte
- meglio se queste porte, oltre a essere filtrate, sono direttamente
  disabilitate (es: servizio messenger e altri 97 initili by default)
- se volete mettere il settaggio del personal firewall che vi segnala
  tutti i tentativi di accesso all'esterno ok, ma ve ne stancherete
  presto :)
- molto piu' utile utilizzare un utente _non privilegiato_ (aka user,
  no, non administrator, system, power user :)) per le attivita' normali
  di utilizzo della stazione (navigazione, posta, etc.).
  
----- Forwarded message from xxx -----
From: xxx
Subject: configurazione firewall
Date: Mon, 04 Oct 2004 17:52:09 +0200

Ciao,
ho letto diverse guide e poi ho installato Kerio Personal firewall. Le 
guide generalmente parlano delle caratteristiche del programma, ma non 
aiutano molto su quello che poi accade quando si accede a internet per
la prima volta.
Vorrei quindi farvi qualche domanda:

1) quando avvio firefox e thunderbird, questi programmi mi chiedono 
l'accesso ad una porta ogni volta diversa, il messaggio è del tipo:

Direzione: in uscita
Punto locale: 0.0.0.0, port kpop [1109]
Dispositivo: N/D
Punto remoto: localhost [127.0.0.1], port 1108
Protocollo: TCP

Mi hanno detto che ha a che fare con il loopback. Sapete dirmi cos'è e 
cosa si intende per punto locale e punto remoto? A cosa corrisponde 
l'indirizzo 0.0.0.0? Posso permettere ogni connessione per ogni porta 
tra 0.0.0.0 e 127.0.0.1?

2) Mi è arrivato un tentativo di connessione ad una porta che non 
ricordo da parte di "applicazioni servizi e controller" (services.exe), 
pensando che fosse normale ho accettato e mi è comparso un messaggio 
strano di pubblicità di un sito, sembrava quasi un messaggio. Accettando 
tale connessione posso aver preso trojan o cose del genere? Devo fare 
qualcosa?
Ora ho azzerato la regola per questa applicazione e non so più come 
impostarla bene, sapete aiutarmi? Se qualcuno usa Kerio, può dirmi come 
ha configurato questa applicazione nella sezione Rete - Applicazioni 
(dove bisogna configurare pemit, ask o deny per le connessioni entranti 
e uscenti nelle aree trusted e internet)?

3)ho visto che per esempio firefox in locale utilizza molte porte 
diverse, mentre in remoto la 80 oppure quella di https che adesso mi 
sfugge. In locale posso fargli utilizzare tutte le porte che vuole? Io 
pensavo che fosse in locale che doveva utilizzare la 80,

Grazie anticipatamente per le risposte!

----- End forwarded message -----