Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "AlbertoVigano/Prove0"
Differenze tra le versioni 59 e 60
Versione 59 del 31/03/2008 14.42.51
Dimensione: 382
Commento:
Versione 60 del 31/03/2008 14.55.51
Dimensione: 3111
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 7: Linea 7:

vorrei riassumere un pò quello che è venuto fuori dalla discussione:

per linux desktop non serve un firewall perchè in teoria out of box è configurato in modo che:

* in in ingresso tutte le porte sono bloccate
* i pacchetti in ingresso sono consentiti nelle porte in cui ci sono servizi in ascolto (come per esempio un server di stampa)
* i pacchetti in ingresso sono permessi in risposta a pecchetti in uscita (per esempio sulla porta 80 per HTTP)

* in uscita tutto è permesso (ipotizzando che tutti i servizi che inviano pacchetti all'esterno sono stati installati consapevolmente dall'amministratore)

*potrebbe essere utile per aprire delle porte in ingresso (per esempio le porte per amule) in modo semplice

ora, dando queste cose per assodate, non mi quadra perchè questo è lo stato delle regole out of box

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

* il fatto che la policy in INPUT sia ACCEPT è concorde con questa visione delle cose?

* nel caso queste considerazioni fossero corrette, non è possibile fare a meno del firewall del router (almeno teoricamente)?

quindi in ingresso sono aperte...quindi il senso è che se non c'è un servizio in ascolto anche inviare pacchetti su una certa porta non serve a niente...nel momento in cui ci fosse la possibilità di servizi in ascolto di cui siamo ignari (cosa che abbiamo detto non dovrebbe succedere) allora in quel caso sarebbe buona norma chiudere quelle porte in ingresso.

Inoltre se ipoteticamente fosse possibile avere un trojan installato a quel punto sarebbe esso stesso un servizio e quindi potrebbe inviare e ricevere di conseguenza pacchetti dell'esterno.

quindi per essere tutelato dal rischio di avere problemi di sicurezza è necessario tenere aggiornato il sistema in modo che siano sistemate in tempo eventuali falle di sicurezza...per esempio per firefox...

la differenza con i sistemi Windows sta nel fatto che con un sistema di queto tipo è facile che ci siano falle di sicurezza per esempio in explorer (che cmq deve per forza comunicare con l'esterno => sia in ingresso che in uscita) quindi possono essere scfruttate da un trojan che si installa sanza grossi problemi su SO (cosa che non può avvenire su linux a per il discorso di diritti di amministratore etc) e quindi a quel punto è importante che si chiudano le porte tranne quelle strettamente necessarie oltre a dover abilitare i programmi stessi (cosa che non è implementata in linux perchè non necessaria)

BR

Introduzione

vorrei riassumere un pò quello che è venuto fuori dalla discussione:

per linux desktop non serve un firewall perchè in teoria out of box è configurato in modo che:

* in in ingresso tutte le porte sono bloccate * i pacchetti in ingresso sono consentiti nelle porte in cui ci sono servizi in ascolto (come per esempio un server di stampa) * i pacchetti in ingresso sono permessi in risposta a pecchetti in uscita (per esempio sulla porta 80 per HTTP)

* in uscita tutto è permesso (ipotizzando che tutti i servizi che inviano pacchetti all'esterno sono stati installati consapevolmente dall'amministratore)

*potrebbe essere utile per aprire delle porte in ingresso (per esempio le porte per amule) in modo semplice

ora, dando queste cose per assodate, non mi quadra perchè questo è lo stato delle regole out of box

Chain INPUT (policy ACCEPT) target prot opt source destination

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination

* il fatto che la policy in INPUT sia ACCEPT è concorde con questa visione delle cose?

* nel caso queste considerazioni fossero corrette, non è possibile fare a meno del firewall del router (almeno teoricamente)?

quindi in ingresso sono aperte...quindi il senso è che se non c'è un servizio in ascolto anche inviare pacchetti su una certa porta non serve a niente...nel momento in cui ci fosse la possibilità di servizi in ascolto di cui siamo ignari (cosa che abbiamo detto non dovrebbe succedere) allora in quel caso sarebbe buona norma chiudere quelle porte in ingresso.

Inoltre se ipoteticamente fosse possibile avere un trojan installato a quel punto sarebbe esso stesso un servizio e quindi potrebbe inviare e ricevere di conseguenza pacchetti dell'esterno.

quindi per essere tutelato dal rischio di avere problemi di sicurezza è necessario tenere aggiornato il sistema in modo che siano sistemate in tempo eventuali falle di sicurezza...per esempio per firefox...

la differenza con i sistemi Windows sta nel fatto che con un sistema di queto tipo è facile che ci siano falle di sicurezza per esempio in explorer (che cmq deve per forza comunicare con l'esterno => sia in ingresso che in uscita) quindi possono essere scfruttate da un trojan che si installa sanza grossi problemi su SO (cosa che non può avvenire su linux a per il discorso di diritti di amministratore etc) e quindi a quel punto è importante che si chiudano le porte tranne quelle strettamente necessarie oltre a dover abilitare i programmi stessi (cosa che non è implementata in linux perchè non necessaria)

Installazione

Rimozione

Ulteriori risorse


CategoryHomepage