[LinuxLudus] Firewall

[Valerio Pachera]

Il giorno 15 maggio 2017 10:59, Carlo Benini <carlo.benini1@gmail.com> ha
scritto:

> Ciao a tutti,
> per necessità di lavoro ho spesso bisogno di lavorare in Windows e volevo
> sottoporvi una questione in merito alla sicurezza nella navigazione in
> internet.
>

E' passato un po' di tempo ma ho fatto caso ora a questa mail a cui ti ha
già risposto Luca.
La prima cosa da fare, semplice e utile è disabilitare l'upnp.
In questo modo eviti che software malevoli siano in grado di inoltrare
porte in automatico sul tuo router.
Upnp torna utile per i client torrent e simili che si girano le porte senza
l'intervento dell'utente mesio che non avrebbe idea di come inoltrare una
porta sul proprio pc.
Per contro, la stessa cosa la possono fare anche altri software.

In ambito linux, quando voglio avere il controllo completo del traffico che
entra ed esce dal firewall, importo la policy DROP sulla catena di forward.
In questo modo non passa niente se non esplicitamente permesso da una
regola di firewall.
Bisgona ricordarsi anche di abilitare le richeste udp per il dns ad esempio
e le richieste tcp verso le porte 80 e 443 per poter navigare.
Generalmente bastano queste 3 cose.
Se hai un client di posta allora devi abilitare anche le porte usate per
smtp(s) imap(s) pop3(s).

Disabiltare l'upnp imepdisce ad esempio, ad un trojan di inotrare una porta
sul router e permettere ad un attaccante di collegarsi direttamente al tuo
pc (a tua insaputa).
Questo non impedisce però ad un software malevolo di inviare informazioni
verso l'esterno.
Normalmente le connessioni che escono non sono filtrate.
Filtrando anche le connessioni in uscita ti pari (almeno in parte) su
questo tipo di attacchi.
Mi viene da pensare però, che se io fossi l'attcante, farei inviare i dati
dal mio programmino spia veso un server che espone la porta 80 o 443.
Quelle non possono essere filtrate, altrimenti non navighi.
Ed è su questo fattore ch software quali teamviewer giocano la loro carta
vincente: funzionano anche in presenza di frirewall poiché sfruttano porte
stanrd, generalmente usate per il servizio http.

Qui entrerebbe in gioco la deep package inspection, ovvero controllare il
contenuto della richiesta: verificare se una richeista fatta verso una
porta 80 è effettivamente una richiesta http e non altro.

Però qua entrimo veramente nella paranoia e complessità.
Per un uso domestico non credo abbia senso.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/ll/attachments/20170801/80eef104/attachment.html>