Rank: AiutAmico
Iscritto dal : 2/24/2010 Posts: 1,820
|
Ciao Alfonso cosa consigli di installare Comodo Internet security invece di lasciare quello di Windows 7? E' più efficiente e sicuro quello di Comodo dico bene? Io ho letto che consigli di lasciare quello di Windows 7 ma è meglio Comodo?... Per installare Comodo dovrei disattivare quello di Windows 7 o in automatico installando Comodo si disattiva? Con Comodo il Windows defender è da riattivare?!
|
Rank: Admin
Iscritto dal : 10/4/2000 Posts: 19,056
|
Io utilizzo quello di Windows 7, Comodo ti tartassa con centinaia di finestre di autorizzazione. Se installi Comodo il firewall di windows viene disattivato in automatico Defender viene disattivato dal programma antivirus, non usare l'antivirus di Comodo perché è una ciofeca. alfonso_aiutamici@hotmail.it
|
Rank: AiutAmico
Iscritto dal : 9/12/2009 Posts: 6,632
|
Nei servizi,non è necessario disattivarlo. L'importante è che non è attivo (dal pannello di controllo) Per i DNS,mi affiderei a quelli di Symantec o Open. Meglio i primi.
|
Rank: AiutAmico
Iscritto dal : 2/24/2010 Posts: 1,820
|
così per cambiare... ho notato che ora che ho messo comodo le pagine internet sono più veloci etc è normale che sia così? quella spunta su IPv6 mi consigli di metterla o no?... A quando ho installato Comodo avendo Fastweb non mi ha chiesto "rilevata nuova rete installata" è normale che sia così? Cliccando in alto su Firewall - regole sicurezza di rete - reti consentite. io mi trovo una regola con su scritto zona loopback è normale che vi sia solo una voce?
|
Rank: AiutAmico
Iscritto dal : 9/12/2009 Posts: 6,632
|
bingol ha scritto:QUESTE DUE OPZIONI SONO DA ATTIVARE?...
CREA REGOLE PER APPLICAZIONI SICURE se si è sicuri che il computer è 'pulito' potrebbe andare bene -è una modalità apprendimento (anche se personalmente non mi fido ) Abilita il filtraggio IPv6 conviene mettere la spunta Commenta: A quando ho installato Comodo avendo Fastweb non mi ha chiesto "rilevata nuova rete installata" è normale che sia così? dipende da come lo hai impostato nelle preferenze (alla sezione Altro) Commenta: Cliccando in alto su Firewall - regole sicurezza di rete - reti consentite. io mi trovo una regola con su scritto zona loopback è normale che vi sia solo una voce? Si è normale.
|
Rank: AiutAmico
Iscritto dal : 9/12/2009 Posts: 6,632
|
bingol ha scritto:ma a me non ha richiesto proprio una nuova rete... non mi è apparsa la videata che Roselli ha messo nella guida mi intendi?! non l'ho letta la guida in questione,e non so nemmeno perchè l'ha fatta visto che poi all'atto pratico ne sconsiglia l'uso e di conseguenza l'installazione.io direi di togliere la spunta a rileva nuove reti-specie poi con Fastweb (fai delle prove,non sono sicuro visto che non ho mai avuto Fastweb) Commenta:dunque abilita filtraggio ipv6 mi consigli di metterla? io l'ho spuntata ,visto che parlando con alcuni amici su altro forum si parlava di abilitarla. (non ho notato problemi,ne rallentamenti)
|
Rank: AiutAmico
Iscritto dal : 9/12/2009 Posts: 6,632
|
bingol ha scritto:
ma come faccio a far rilevare nuova rete dove tolgo la spunta e che fare?
richiama Comodo dalla tray-vai nella sezione Altro -Preferenze - e imposta così.Ciao
|
Rank: AiutAmico
Iscritto dal : 2/24/2010 Posts: 1,820
|
ma la voce proteggi ARP cache non converebbe attivarla dato che se non erro Fastweb è una grande rete LAN è quella tecnica di attacco viene fatta tramite LAN ergo presumo converrebbe attivarla ...
ARP poisoning
In ambito informatico, l'ARP poisoning (detto anche ARP SPOOFING) è una tecnica di hacking che consente ad un attacker, in una switched lan, di concretizzare un attacco di tipo MITM verso tutte le macchine che si trovano nello stesso segmento di rete. L'ARP poisoning è oggi la principale tecnica di attacco alle lan switchate. Consiste nell'inviare intenzionalmente e in modo forzato risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la tabella ARP (ARP entry cache) di un host conterrà dati alterati (da qui il termine poisoning, letteralmente, "avvelenamento" e spoofing, "raggiro"). Molto spesso lo scopo di questo tipo di attacco è quello di redirigere, in una rete switchata, i pacchetti destinati ad un host verso un altro al fine di leggere il contenuto di questi per catturare le password che in alcuni protocolli viaggiano in chiaro.
Introduzione
L'esigenza di praticare questo attacco è dovuta al fatto che ormai nelle recenti reti ethernet gli hub sono stati sostituiti dagli switch, i quali a differenza dei primi, grazie alla CAM table, riescono ad inoltrare il traffico soltanto all'host di destinazione rendendo così inefficace qualsiasi tentativo di sniffing.
Funzionamento
Questo attacco si basa su una debolezza intrinseca nel protocollo ARP: la mancanza di un meccanismo di autenticazione.
Lo standard Ethernet, il più diffuso standard per le reti locali, identifica gli host in base ad un indirizzo a 48 bit chiamato MAC a differenza di Internet dove ciascun host viene mappato grazie ai 32 bit del protocollo IP.
Il protocollo ARP si occupa di gestire l'associazione tra indirizzi IP e indirizzi MAC. Quest'associazione, in ethernet, viene fatta prima di ogni tipo di comunicazione. Sono previsti due tipi di messaggi dal protocollo ARP:ARP request (effettuata in broadcast) e ARP reply (effettuata in unicast). Un ipotetico host 192.168.1.1 che vuole comunicare con l'host 192.168.1.2 manderà una ARP request in broadcast con il proprio MAC il proprio indirizzo IP e l'indirizzo IP di destinazione; quando 192.168.1.2 riceverà l'ARP request risponderà con un'ARP reply destinato al MAC sorgente e contenente il proprio MAC . Per ottimizzare le prestazioni e limitare il traffico queste informazioni vengono memorizzate nella tabella ARP (ARP cache) di ciascun host, così che non sia necessario effettuare continue richieste. Per migliorare ancora più le prestazioni quando si ricevono delle ARP replay (alcuni anche con ARP request), anche se non sollecitate, gli host aggiornano le informazioni della propria ARP cache.
Solaris implementa una gestione personalizzata delle ARP request/reply, infatti aggiorna i record della propria tabella ARP solo se sono già presenti. Questo è un problema in più, per l'attacker, anche se è di facile risoluzione: basta inviare un pacchetto ICMP echo request all'host Solaris per costringerlo a rispondere ed invitabilmente usare l'ARP aggiungendo così un record alla propria tabella ARP:
Ora si analizzi il seguente scenario:
-Attacker: IP= 192.168.1.2,mac=00:00:00:zz:zz:zz
-John:ip=192.168.1.13,mac=00:00:00:jj:jj:jj
-Linus:ip=192:168:1:88,mac=00:00:00:LL:LL:LL
Le ARP cache di ciascun host prima dell'attacco saranno:
-Per l'attacker:
192.168.1.2,mac=00:00:00:zz:zz:zz
192.168.1.13,mac=00:00:00:jj:jj:jj
192.168.1.88,mac=00:00:00:LL:LL:LL
Per John
192.168.1.2,mac=00:00:00:zz:zz:zz
192.168.1.13,mac=00:00:00:jj:jj:jj
192.168.1.88,mac=00:00:00:LL:LL:LL
Per Linus
192.168.1.2 ,mac=00:00:00:zz:zz:zz
192.168.1.13,mac=00:00:00:JJ:JJ:JJ
192.168.1.88,MAC=00:00:00:LL:LL:LL
Per realizzare l'ARP poisoning l'attacker invierà delle ARP reply appositamente fatte: a John invierà una reply che ha come ip quello di Linus (192.168.1.88) ma come MAC il proprio (00:00:00:zz:zz:zz), a Linus invierà una reply con ip quello di John (192.168.1.13) e con MAC, anche questa volta, il proprio (00:00:00:zz:zz:zz). Per protrarre l'attacco è necessario inviare delle ARP reply ogni 10 secondi poichè spesso i sistemi operativi cancellano sistematicamente le voci dell'ARP cache.
Quindi dopo l'attacco le ARP cache di ciascun host saranno:
-Per l'attacker
192.168.1.2,mac=00:00:00:zz:zz:zz
192.168.1.13,mac=00:00:00:jj:jj:jj
192.168.1.88,mac=00:00:00:LL:LL:LL
-Per John:
192.168.1.2,mac=00:00:00:zz:zz:zz
192.168.1.13,mac=00:00:00:jj:jj:jj
192.168.1.88,mac=00:00:00:zz:zz:zz
-Per Linus
192.168.1.2,mac=00:00:00:zz:zz:zz
192.168.1.13,mac=00:00:00:zz:zz:zz
192.168.1.88,mac=00:00:00:LL:LL:LL
Le due vittime John e Linus crederanno di comunicare tra loro, ma in realtà comunicheranno con l'attacker il quale forwaderà il traffico proveniente da John verso Linus e viceversa il traffico proveniente da linus verso John, realizzando così un MITM.
Dopo aver concretizzato il MITM, l'attacker sarà in grado di modificare, leggere e creare nuovi pacchetti. Potrà quindi facilmente sniffare tutto il traffico in chiaro come password telnet, ftp, pop3, irc, ecc.
Esistono svariati tool per attacchi di questo tipo, ma probabilmente il più completo è Ettercap, disponibile per diversi sistemi operativi come Linux, *MacOS X. Questo evoluto e potente strumento offre molte possibilità di configurazione. È possibile usarlo sia via gui che via linea di comando. Esiste inoltre la possibilità di creare dei filtri personalizzati, per lo sniffing, usando un linguaggio derivato dal Berkeley Packet Filter. Con Ettercap per realizzare un ARP poisoning e il conseguente MITM, basta dare il seguente comando:
ettercap -t -q -m ARP /nomeHost1/ /nomeHost2/
Per arpoisonare l'intero segmento di rete, basterà questo comando:
ettercap -t -q -m // //
Tracce lasciate
Le tracce lasciate dall'attaccante sono costituite dal proprio MAC address contenuto nella ARP cache delle vittime.
Contro misure L'utilizza di IPc6, IPsec o di tabelle ARP statiche sono metodi che possono rivelarsi una difesa efficace contro attacchi di tipo ARP sppofing. Ovviamente è impensabile mantenere aggiornate le tabelle ARP di ogni host in una rete di grande dimensioni. Altra soluzione potrebbe essere: -usare un software come arpwatch che esamina le attività di rete e ne evidenzia le discordanze o come OpenAAPD, un demone anti ARP poisoning per OpenBSD o ancora un intrusion detection system (IDS) come Snort. -Usare il port security sugli switch ovvero fare in modo che per ciascuna porta del dispositivo possa esserci solo un MAC address. -SARP ovvero Secure ARP, un'estensione del protocollo ARP che si basa sulla crittografia asimmetrica, così da poter autenticare il mittente.
-implementare 802.1x nella propria rete
Avendone la possibilità (è necessario avere switch che supportano 802.1x e un server RADIUS), di sicuro la miglior soluzione è implementare 802.1x.
Utilizzo legittimo dell'ARP spoofing
L'ARP spoofing può essere utilizzato anche per fini legittimi. Un esempio può essere quello di tool di autenticazione di rete che effettuino la redirezione di host non registrati ad una pegina di login prima di permetterne il completo accesso alla rete.
Tecniche alternative
Esistono tecniche alternative all'ARP poisoning per effettuare lo sniffing su switched lan. il MAC flooding infatti, permette di sfruttare una debolezza nel funzionamento degli switch, basata sul fatto che la MAC table, la memoria con cui questi dispositivi tengono traccia del MAC address e della relativa porta associata, ha risorse finite. Quando questa viene inondata da MAC address, che ne esauriscono le risorse, lo switch entra in uno stato detto fail open e invia il traffico a tutte le porte, proprio come un qualsiasi hub, rendendo possibile lo sniffing. Talvolta alcuni switch non entrano in fail open ma in fail close bloccando così tutte le porte e quindi il traffico dell'intero segmento di rete.
Ho tolto la spunta sul rilevamento automatico di rete ho spento e riavviato ma non mi è uscita la videata di nuova rete trovata...
Sono andato su servizi andando su windows firewall su tipo di avviso ho messo disabilitato in precedenza ho messo su arresta ve bene?!
|
Rank: AiutAmico
Iscritto dal : 9/12/2009 Posts: 6,632
|
ARP poisoning . bingol,non ti buttare in cose più grandi di te. Smanetti troppo e in modo errato secondo me. Fai sempre un macello tra MSN ,disinstallatori ,deframmentatori Firewall ecc. Meglio se lo installavi e non toccavi niente ,arrivati a questo punto;o meglio ancora ,nel tuo caso veramente sarebbe meglio lasciare il firewall di Windows . Hai mai pensato di comprarti un computer da usare come cavia? (se no stai sempre o a formattare,o a chiedere aiuto)
|