Linux: firewall, antivirus e router.. E' sufficiente?

Dappertutto si legge che linux è sicuro..

Come faccio però a sapere se il mio sistema è configurato bene per un buon livello di sicurezza?

Sto connesso con un router, ho aperte con NAT solo le due porte per amule.. Questo mi basta per poter dire che sto al sicuro e non ho bisogno di un firewall?..

Non ho installato nessun antivirus qui su ubuntu.. Dovrei? Voi ce l'avete?

Che presidi usate per la vostra sicurezza qui su linux?..

[phpone]

una domanda:
dalle 2 porte aperte per emule puo' entrare chiunque, giusto?

gia' da questo punto non credo che abbia un buon livello di sicurezza!

Ma tu? Personalmente che misure adotti?.. Non dico che vorrei essere corazzato ma vorrei cercare di allinearmi alla sicurezza degli altri che ne capiscono più di me che ho linux da una settimana!

Bè un firewall hardware con magari protezione contro port-scan e attacchi ddos è già una buona protezione. Il mio router netgear mi garantisce tutto questo e per questo mi sento abbastanza sicuro. Certo la sicurezza assoluta non si potrà mai avere...Sei sicuro solo quando sei isolato...

Quindi tu non hai installato nessun firewall (in senso "software") ma gestisci la tua protezione attraverso il pannello di controllo del router?..

In seguito al tuo post ho guardato nel pannello del mio router ed ho trovato queste voci, i cui valori erano tutti "DIsable", e li ho abilitati:

Blacklist Status: Enable
Attack protection: Enable
DOS Protection: Enable

Penso sia un buon router.. Peccatto che ha un manuale così striminzito..

[madbad]

Linux ha di suo un firewall che collabora direttamente col kernel... si chiama IPTABLES... anche se non ha una interfaccia grafica il suo sporco lavoro lo fa lo stesso, solo che lo fa senza farsi notare.

"man iptables" per maggiori info

Esattamente. Non ha senso usare un software quando ci pensa un hardware a svolgere il lavoro..

bah... diciamo che il software forse lo puoi personalizzare meglio secondo le tue esigenze

una domanda:
dalle 2 porte aperte per emule puo' entrare chiunque, giusto?

gia' da questo punto non credo che abbia un buon livello di sicurezza!

Se aldilà di quelle due porte c'è solo amule ad ascoltare il problema non si pone. Avere la porta aperta ed amule spento è esattamente come averla chiusa. L'importante è che amule non presenti bachi di sicurezza.
Il firewall in sè, hardware o software che sia, è, nella mia opinione, già eccessiva come misura di sicurezza per un uso desktop. Tanto per tutti i programmi che si vuole che siano accessibili dall'esterno poi si impostano delle regole per consentirlo. Non siamo mica nel mondo closed source qui, i programmi, in quanto open, danno la garanzia di fare esattamente quello che dichiarano. Quindi basta che siano scritti per bene, si fa senza un firewall.
Certo per un uso server o per determinate esigenze ( es. la condivisione dell'adsl tra 2 pc ) si rende necessario l'uso di iptables.

In sintesi, avendo tu già un firewall hw puoi dormire tra due guanciali, senza sprecare risorse di sistema per antivirus o firewall.

Byez

p.s. Gli antivirus sono assolutamente inutili in linux, perchè
a) non esistono praticamente virus (l'ultimo di cui si ha notizia è di qualche anno fa)
b) servono più che altro per analizzare dati destinati a pc windows (ad es. in un server di posta vengono scansionate le mail). Linux, al massimo, può essere un portatore sano di virus per windows, se mi passate il termine.

Avere la porta aperta ed amule spento è esattamente come averla chiusa.

Vero?.. Io pensavo il contrario.. Cioè che se una porta la tengo aperta e non la impegno con nessuna applicazione, questa è libera di fare entrare chiunque...

Inoltre non ho capito una cosa... Che compito ha esattamente il firewall? Quello che non capisco è: se il suo ruolo è vigilare sulle porte e riconoscere se qualcosa ci passa attraverso, gli aggiornamenti ai firewall a cosa servono?

P.S.:so bene di essere ignorante ma vorrei imparare

[Ospite]

il firewall controlla il passaggio di dati confrontandolo con attacchi conosciuti e bloccandolo se questo corrisponde e non bloccano solo il traffico in entrata ma anche quello indesiderato in uscita

Il firewall ti permette di impostare delle regole a livello di kernel a proposito di quello che il sistema deve fare con i pacchetti tcp\ip. Queste regole sono arbitrarie quindi riesci a fare molto di più del semplice bloccare il programma X o fare accedere a internet il programma Y, per questo ti ho detto che in particolari occasioni serve.

Per il discorso delle porte immaginale un po' come finestre e scuri. Se apri lo scuro e anche la finestra (cioè il programma ascolta) allora l'aria (cioè la comunicazione) passa. Se lasci lo scuro aperto, ma non la finestra (cioè non c'è nessuno che "si affaccia" a quella porta) la comunicazione non può avvenire. Quasi chiaro? ;)

ma io non ho capito una cosa:
ma se in linux non ci sono rischi di virus è perchè non ce ne sono per linux o perchè la sua struttura è composta in maniera tale da non poterne creare per linux?

Oltre nel configurare un firewall bloccando tutti gli accessi anonimi in entrata dovresti stare attendo ai tool esposti in rete e soprattutto al kernel,confrontando per ogni driver le possibili vulnerabilita',soprattutto sul settore di rete ....

http://secunia.com/product/12470/?task=statistics_2006

Non ho letto con molta attenzione il link che hai postato.. Ma sembrerebbe che ubuntu edgy 6.10 sia piena di buchi o sbaglio?...

Non ho letto con molta attenzione il link che hai postato.. Ma sembrerebbe che ubuntu edgy 6.10 sia piena di buchi o sbaglio?...

E' in assoluto uno dei sistemi linux piu' vulnerabili,per non parlare degli aggiornamenti da CVS che voi tanto vantate .


http://secunia.com/search/?search=ubuntu+update

E' in assoluto uno dei sistemi linux piu' vulnerabili,per non parlare degli aggiornamenti da CVS che voi tanto vantate .


http://secunia.com/search/?search=ubuntu+update

abbiamo capito da che parti stai, abbiamo capito che linux non ti piace... comunque il CVS non c'entra niente con il sistema che "noi" (cioè gli utenti di sistemi Debian-based) vantiamo: il gestore dei pacchetti deb è un'altra cosa.

Anche Google usa linux (http://toolbar.netcraft.com/site_rep...ww.google.com), forse non sono tanto sprovveduti.

abbiamo capito da che parti stai, abbiamo capito che linux non ti piace... comunque il CVS non c'entra niente con il sistema che "noi" (cioè gli utenti di sistemi Debian-based) vantiamo: il gestore dei pacchetti deb è un'altra cosa.

Anche Google usa linux (http://toolbar.netcraft.com/site_rep...ww.google.com), forse non sono tanto sprovveduti.

No no,hai capito male,io nn concepisco debian e derivate come sistemi di sicurezza e poi bello mio,i sistemi di aggiormaneti di ubuntu e debian sono sistemi testing CVS,vedi i test di aggiornamenti di secunia,c'e' sempre una parte di vulnerabilita' per ogni pacchetto,quindi ....

No no,hai capito male,io nn concepisco debian e derivate come sistemi di sicurezza e poi bello mio,i sistemi di aggiormaneti di ubuntu e debian sono sistemi testing CVS,vedi i test di aggiornamenti di secunia,c'e' sempre una parte di vulnerabilita' per ogni pacchetto,quindi ....

quindi non c'entra niente il CVS con il rilascio di pacchetti... scusa eh, ma se tu non usi Linux sei sicuro di saperne abbastanza da poter intraprendere una discussione? E poi limitiamoci a discutere le "idee", non le persone

[Greenant]

Vero?.. Io pensavo il contrario.. Cioè che se una porta la tengo aperta e non la impegno con nessuna applicazione, questa è libera di fare entrare chiunque...

Inoltre non ho capito una cosa... Che compito ha esattamente il firewall? Quello che non capisco è: se il suo ruolo è vigilare sulle porte e riconoscere se qualcosa ci passa attraverso, gli aggiornamenti ai firewall a cosa servono?

P.S.:so bene di essere ignorante ma vorrei imparare

Un programma che apre una porta sul pc, rimane in ascolto su una porta per eventuali connessioni dall'esterno. Fino a che la comunicazione in ingresso rispetta il protocollo stabilito, allora funziona tutto perfettamente. Quando il client inizia ad inviare deliberatamente pacchetti malformati al server, allora il server dovrebbe accorgersi dell'errore e avvertire il client dell'errore, oppure ignorare il tutto. Il problema è che alcuni programmi non fanno tutti i dovuti controlli sul traffico in ingresso, e quindi rischiano di accettare dei pacchetti malformati credendoli corretti. Tutto questo porta ad un malfunzionamento del programma che può permettere ad un attaccante di bloccare il processo, bloccare tutto il sistema operativo, oppure di eseguire codice malevolo sulla macchina, magari ottenendo anche l'accesso ad essa.

Ovviamente perchè avvenga tutto ciò ci deve essere un programma in ascolto (un server) ed un attaccante che tenta di collegarsi al pc.

Il primo consiglio è quello di spegnere tutti i servizi inutilizzati. Quindi se non ti serve il server FTP, disabilitalo, invece di lasciarlo attivato ed inutilizzato. In questo modo risparmi risorse di sistema ed eviti che un eventuale attaccante sfrutti qualche vulnerabilità a te ignota del tuo server ftp.

Se invece vuoi avere un server FTP sulla tua LAN, ma vuoi che sia utilizzato solamente dagli utenti della tua rete, e non da internet, allora ti serve un firewall. Normalmente questo firewall è installato sul gateway tra la tua rete e internet. Il firewall quindi ascolta tutte le connessioni in ingresso e lascia passare solo quelle dirette verso che le porte che tu hai deciso di lasciare aperte verso l'esterno.

Inoltre il firewall può evitare che dall'interno partano connessioni verso l'esterno.

Il firewall va aggiornato ogni tanto poichè è un programma come un altro. Quindi ad ogni aggiornamento vengono risolti dei problemi di vulnerabilità (o ne vengono aggiunti di nuovi), vengono aggiunte nuove funzionalità, viene migliorato il codice e così via

quindi non c'entra niente il CVS con il rilascio di pacchetti... scusa eh, ma se tu non usi Linux sei sicuro di saperne abbastanza da poter intraprendere una discussione? E poi limitiamoci a discutere le "idee", non le persone

Continui a sparare falle .. Comunque ho usato Gentoo Linux per ben 6 anni,mentre dubito fortemente della tua esperienza..

Chiudiamo questo discorso,che sicuramente ti riesce troppo complicato o da capire o da voler accettare . .. Stop !

Un programma che apre una porta sul pc, rimane in ascolto su una porta per eventuali connessioni dall'esterno.

C'è un modo, un comando, una sorta di monitor, per sapere le porte che in questo momento sono usate dai software che sto usando?..

Continui a sparare falle .. Comunque ho usato Gentoo Linux per ben 6 anni,mentre dubito fortemente della tua esperienza..

Chiudiamo questo discorso,che sicuramente ti riesce troppo complicato o da capire o da voler accettare . .. Stop !

nel messaggio che poi hai modificato c'era scritto:
«chiudiamo questo discorso,non sono di certo un attacca brighe,ma odio l'ignoranza .. Stop »
chiudo anch'io... professore
il fatto che hai usato gentoo non significa che conosci debian
>2 G2: 2 7F?4F=@ D2A:6E@?6 56= 42KK@
ti ho già detto non giudicare chi non conosci bello

nel messaggio che poi hai modificato c'era scritto:
«chiudiamo questo discorso,non sono di certo un attacca brighe,ma odio l'ignoranza .. Stop »
chiudo anch'io... professore
il fatto che hai usato gentoo non significa che conosci debian
>2 G2: 2 7F?4F=@ D2A:6E@?6 56= 42KK@
ti ho già detto non giudicare chi non conosci bello

Ho modificato xke' nn mi sembrava il caso,perche' stavo esagerando,ma ti sbagli,io debian la conosco fin troppo bene,e non ti dico altro ...

Ti ricordo che faccio il sistemista per lavoro e non gico con linux,e di sistemi linux ne ho visti ed usati di tutti,in qualsuasi condizione ...

Comunque visto che nn so con chi sto parlando( Da questo deduco che tu sia un esperto sistemista,ma i sistemisti non usano debian,semplicemente perche' confermano cio' che dico io ) ti faccio notare la sicurezza del tu os .. Faresti meglio a valutare le tue capacita',perche' mi sembra che ti vanti molto,e ti consiglio d'imparare a fare le ricerche ..

http://secunia.com/product/5307/?task=statistics_2006

Ma adesso basta con l' OT,si parlava di firewall se nn sbaglio ..

[Greenant]

C'è un modo, un comando, una sorta di monitor, per sapere le porte che in questo momento sono usate dai software che sto usando?..

Sotto windows si usa netstat
Sotto linux non sono sicuro, ma credo che si chiami sempre netstat

Ho provato netstat in shell..

Si apre una lunga tabella in cui mi da protocollo e indirizzo..

Ma non mi dà la porta... (credo..)

Ad esempio: io ho apache e server ftp attaccati...

Sul pannello del router avevo impostato NAT, apache porta 80 e ftp in 20 e/o 21..

Mi sarei aspettato di vederli scritti da qualche parte... E quindi avrei fatto in modo di chiuderli...

Mi ero fatto un'idea sbagliata pensavo fosse piu semplice gestire queste cose..

[Greenant]

prova a fare un man nestat

ho fatto

netstat --numeric-ports

ma non c'è apache..

Intanto se faccio da anonymouse.org --> http://<mio-ip> mi entro nel server locale..

E non vedo scritto da nessuna parte la porta 80 da netstat..

EDIT:

Nella barra di gnome in alto ho visto che c'è un tool per le reti,
ho fatto "scansione porte" mettendogli il mio ip ed escono tre porte: 80 (www), 21 (ftp) e 23 (telnet)..
non mi resta che chiuderle.. Significa che queste sono le tre porte da cui posso ricevere attacchi giusto?... Sono gli unici accessi al mio sistema?..

[Greenant]

Sicuro di entrare sul tuo pc, e non sul router o su qualche altro pc della tua rete locale?

Vedi thread precedente, ho modificato