connessioni in uscita

kuruka · December 1, 2010, 5:31pm

Ciao a tutti
all’apertura del pc è normale avere 96 connessioni in uscita?
naturalmente poi via via si riducono
devo settare qualcosa che impedisca tutte queste porte aperte?

che significa TCP 1441-1443 in ascolto?

fuco · December 1, 2010, 6:58pm

Ciao Kuruka,

capita anche a me di avere parecchie connessioni in uscita all’avvio del pc.

E’ normale e probabilmente è dovuto al fatto che comodo effettua anche la scansione in cloud, cioè controlla che le applicazioni che sono avviate sul pc non facciano parte di una blacklist, blacklist che risiede sui server della Comodo stessa.

Il fatto che ci siano connessioni in uscita non significa che le porte siano aperte.

In generale considera quanto segue:

porta stealth = porta occultata. Il firewall evita che la porta sia visibile in internet agli altri server/computer. Una porta invisibile non può essere usata da nessuno, tantomeno da un hacker, per violarti il pc (e un hacker per violarti il pc deve stabilire una connessione in entrata, non in uscita)
porta chiusa = la porta è visibile in internet agli altri computer / server. Se un altro computer prova a stabilire una connessione in entrata, il firewall lo blocca.
porta aperta = la porta è visibile in internet e non è controllata dal firewall. Se un altro computer prova a stabilire una connessione in entrata questa non viene bloccata.

Nel tuo caso le 96 connessioni sono tutte in uscita e non in entrata.
Queste connessioni inoltre ti sono segnalate dal firewall, il che vuol dire che avvengono tutte su porte non aperte.

Comodo di default controlla tutte le porte e quindi non ci sono porte aperte.

A che applicazione fanno riferimento? (comunque tranquillo che anche queste sono controllate).

Saluti

fuco

kuruka · December 1, 2010, 8:21pm

Ciao Fuco, grazie della risposta,

A che applicazione fanno riferimento? (comunque tranquillo che anche queste sono controllate). non c’è scritto, non saprei, forse firefox? comunque ora ci sono altri numeri ???

per riconoscere una porta aperta o chiusa, aperta sta nella colonna “origine” e chiusa “destinazione” suppongo, è così?

volevo chiederti un’altra cosa: in invisibilità porte quale scelta tra “definisce una rete sicura…” o “avvisa connessioni in ingresso…”
se scelgo la prima non capisco la differenza tra rete comodo e loopkback mi sai dire cosa dovrei scegliere e perchè?
scusa se approfitto un pò troppo della tua disponibilità.
grazie

fuco · December 2, 2010, 8:24pm

Ciao kuruka,

No.
provo a spiegartelo con un esempio…

Immagina il tuo pc come un castello medievale con molti ponti levatoi, castello medievale di cui tu sei il nobile.

Immagina che ogni ponte levatoio, cioè ogni “porta” del castello, sia numerata.

Ora immagina le applicazioni all’interno del pc, siano i mercanti che ogni giorno entrano ed escono dal castello (il pc), usando i ponti levatoi, per dirigersi verso altri castelli (connessioni in uscita verso internet) o giungere da altri castelli (connessioni in entrata da internet).

Immagina ora che tu abbia delle guardie ad ogni ponte levatoio (le guardie sono il firewall), le quali controllano ogni mercante che entri ed ogni mercante che esce (cioè ogni connessione in entrata e in uscita su tutte le porte).

Immagina poi che ci sia una guardia il cui unico lavoro sia quello di riferirti che mercante su quale ponte levatoio è entrato o uscito ed è stato bloccato dalle guardie (questa guardia sarebbe il log del firewall).

quindi, riprendendo il mio post precedente, considera quanto segue:

porta stealth = il ponte levatoio è nascosto ai mercanti che si avvicinano al castello e, anche se riuscissero a vederlo, una volta arrivati sul ponte levatoio sarebbero bloccati dalle guardie. Il log del firewall, cioè la guardia il cui unico lavoro sarebbe quello di riferirti cosa succede ti direbbe che il mercante/applicazione x è stata bloccata sulla porta/ponte levatoio y mentre stava tentando di entrare.

porta chiusa= il ponte levatoio è visibile al mercante che si avvicina, ma appena questo prova ad utilizzarlo per entrare nel castello viene bloccato dalle guardie (il firewall). Il log del firewall, cioè la guardia il cui unico lavoro sarebbe quello di riferirti cosa succede ti direbbe che il mercante/applicazione x è stata bloccata sulla porta/ponte levatoio y mentre stava tentando di entrare.

porta aperta = il mercante che si avvicina al castello vede il ponte levatoio e riesce ad entrare in quanto non ci sono guardie (quindi entra senza essere controllato). Il log del firewall, cioè la guardia il cui unico lavoro sarebbe quello di riferirti cosa succedenon ti riferirebbe nulla in quanto le altre guardie non si sono accorte, perchè non controllavano quel ponte, che qualcuno è passato.

Ora, uscendo dall’esempio, le connessioni attive del firewall, vanno lette in questo modo:

protocollo = può essere TCP o UDP. IN o OUT indica la direzione della connessione (IN o OUT indicano quindi, rispettivamente, se il mercante sta entrando nel castello o uscendo)

origine = se la connessione è verso l’esterno (OUT) cioè il mercante sta uscendo, qui è riportato l’indirizzo IP del tuo pc o modem (numero che identifica in modo univoco il tuo castello) e poi il numero di porta (cioè il numero di ponte levatoio) che l’applicazione (il mercante) sta usando per uscire dal tuo castello.

destinazione = è l’indirizzo IP (numero che identifica in modo univoco il castello di destinazione verso cui è diretto il mercante) del server a cui è connessa l’applicazione.

Byte ricevuti = ammontare di dati ricevuti dal server a cui è connessa l’applicazione (castello di destinazione).

Byte inviati = ammontare di dati inviati al server a cui è connessa l’applicazione (castello di destinazione).

Dato che queste connessioni le vedi attive proprio grazie al firewall, vuol dire che le “guardie” hanno già controllato questi “mercanti” e li hanno lasciati passare, quindi, vuol dire che la porta non è aperta (il “ponte levatoio” è sorvegliato dalle guardie).

Se è firefox non ci sono problemi…penso servino per il corretto funzionamento dell’applicazione.

Permettimi di tornare ancora all’esempio…
Una applicazione in ascolto è come un mercante che sta sul ponte levatoio insieme alle guardie. Anche questo mercante sarebbe comunque sotto la stretta sorveglianza delle guardie…

le tre opzioni:

Definisce una nuova rete sicura e rende le porte invisibili a chiunque altro = questa opzione è utile per le aziende. ipotizza che tu abbia la tua azienda, nella quale hai pc. Ognuno di questi pc deve vedere gli altri in quanto vi sono delle cartelle condivise. Nel momento in cui tu ti connetti da uno di questi pc vorresti, immagino, rimanere invisibile (porte stealth) a quelli che arrivano da internet, ma contemporaneamente, essere visibile e accessibile ai pc della tua rete aziendale. Tramite questa opzione è possibile impostare una “nuova rete” diversa dalla rete internet in cui i pc aziendali siano visibili tra di loro e contemporaneamente impostare il firewall (quindi ordinare alle guardie) di rendere invisibili le porte (i ponti levatoi) a tutti gli altri (compresi quelli che arrivano da internet). Se qualcuno da fuori dovesse anche riuscire a vedere il “ponte levatoio” sarebbe bloccato dal firewall. Tutto ciò sarebbe fatto automaticamente senza che appaiano messaggi a schermo. I blocchi sarebbero riportati nel log del firewall.

Avvisa connessioni in ingresso e rende invisibili le porte caso per caso = questa opzione, che è anche quella di default, chiude tutte le porte (quindi tutte le porte sono controllate dalle guardie) e, ogniqualvolta una applicazione, da internet, provi ad entrare, il firewall chiederà all’utente cosa fare tramite un messaggio a schermo.

Blocca tutte le connessioni in ingresso e rendi le porte invisibili a tutti= tutte le porte sono rese invisibili a chiunque. Se anche, qualcuno da fuori vedesse tali porte, appena proverebbe ad entrare sarebbe immediatamente bloccato dal firewall. Non appare alcun messaggio a schermo. Il blocco viene inserito nel log del firewall.

la zona loopback non è altro che il tuo pc (il tuo castello) identificato da Comodo come una rete “a sè”.

l’altra rete invece è la rete internet. Come ogni rete, viene vista come un range di indirizzi IP. Il primo degli indirizzi IP è l’indirizzo del tuo modem e dovrebbe terminare con il numero 100, mentre l’ultimo è l’ultimo IP disponibile all’interno della rete.
Questo perchè ad ogni modem wireless possono essere connessi teoricamente, via cavo o appunto via wireless fino a 254 computer.
Detto questo qualche esempio numerico:

192.168.0.100 = indirizzo del modem
192.168.0.101 = indirizzo del tuo pc
192.168.0.xxx = altri pc connessi alla tua stessa rete.

La prima opzione, cioè Definisce una nuova rete sicura e rende le porte invisibili a chiunque altro vuol dire che tu crei una nuova rete, diverse da queste già presenti.

La seconda opzione, cioè Avvisa connessioni in ingresso e rende invisibili le porte caso per caso vuol dire che su internet, quindi, sulla rete internet, se qualcuno prova ad entrare, il firewall ti chiede cosa fare.
Verrà registrato un messaggio nel log.

La terza opzione, cioè Blocca tutte le connessioni in ingresso e rendi le porte invisibili a tutti vuol dire che su internet, quindi, sulla rete internet, se qualcuno prova ad entrare, il firewall lo blocca automaticamente senza chiederti niente. Verrà registrato un messaggio nel log.

Se il tuo pc non ha cartelle condivise con altri pc di casa tua, ti consiglio la terza opzione.

Scusa per la lunga risposta…spero solo di esserti stato d’aiuto

Saluti

fuco

sirio · December 2, 2010, 8:40pm

Ciao fuco,

carina la tua metafora, mi è piaciuta. :-TU

Ricordo che in CIS possono essere loggate anche le connessioni accettate.

kuruka · December 3, 2010, 1:05pm

Ciao fuco, niente scuse, figurati, è stato piacevolmente interessante,

Per quanto riguarda >>>>>La terza opzione, cioè Blocca tutte le connessioni in ingresso e rendi le porte invisibili a tutti vuol dire che su internet, quindi, sulla rete internet, se qualcuno prova ad entrare, il firewall lo blocca automaticamente senza chiederti niente.
Questo significa che nessuno può scaricare niente sul mio pc? Se è così allora non posso scaricare i dati che mi servono? oppure…

Verrà registrato un messaggio nel log. ?? mi chiede se permettere di scaricare? .

kuruka · December 3, 2010, 1:17pm

Ciao Sirio,
possono essere loggate anche le connessioni accettate
mi spieghi meglio questa cosa?
Grazie ciao

mirk1989 · December 3, 2010, 1:29pm

ciao kuruka,

scusa se mi intrometto.
Basta che quando modifichi oppure crei una regola del firewall tu metta la spunta all’opzione "Registra l’evento nel log". La memorizzazione di un determinato evento nel log non dipende dal tipo di regola, cioè consentita o bloccata, ma unicamente a tale opzione.

Altra cosa, hai dei Server DNS impostasti nelle proprietà della tua connessione? Te lo chiedo per capire meglio il discorso delle 96 connessioni in uscita all’avvio. Inoltre se puoi allega sempre un’immagine così gli utenti che vogliono aiutarti hanno qualche info in più

[attachment deleted by admin]

fuco · December 3, 2010, 6:51pm

Ciao Kuruka,

No, vuol dire che nessuno, da internet, può scaricare qualcosa direttamente dal tuo pc.

Tu continui tranquillamente a scaricare da internet quello che vuoi in quanto per farlo ti basta che l’applicazione che usi per scaricare si possa connettere in internet (quindi connessione in uscita).

No, il messaggio del log, che tu puoi visualizzare aprendo Comodo e selezionando “Firewall” → “Eventi firewall”, ti indicherà che l’applicazione x che ha tentato di connettersi in internet o di ricevere una connessione da internet sulla porta y è stata bloccata.

Se attivi l’opzione indicata da Mirk, qui saranno indicati non solo i tentativi di connessione bloccati, ma anche i tentativi di connessione autorizzati dal firewall e quindi andati a buon fine.

Spero di essere stato d’aiuto.

Saluti

fuco

fuco · December 3, 2010, 7:18pm

Ciao Sirio

Grazie per il complimento

Saluti

fuco

mirk1989 · December 3, 2010, 11:01pm

si si esatto proprio i DNS primario e secondario… all’avvio del PC (ovviamente solo se connesso ad Internet) partono molte connessioni in uscita di svchost.exe che si connette ai server DNS impostati… Quindi controlla qual è l’IP che trovi nelle tue “96 connessioni all’avvio”, se sono gli stessi dei DNS stai ancor più tranquillo perchè sono innocue…

Buon week-end anche a te!!!

alessandra.bolchi · December 4, 2010, 8:17am

Complimenti anche da parte mia per la metafora, il tempo che ci hai perso è stato ben speso: è tutto chiarissimo! :-TU
Alessandra.

fuco · December 4, 2010, 9:43am

Ciao a tutti

Grazie

Buon weekend anche a te.

Saluti

fuco

alessandra.bolchi · December 6, 2010, 7:21pm

Qual è il nesso tra l’oggetto del topic e la PSP? ???

mirk1989 · December 6, 2010, 9:22pm

ciao pontillioum,

giusta l’osservazione di alessandra…
Sei andato “leggermente” OFF TOPIC. Cosa c’entra ciò che hai scritto con il topic e più in generale con Comodo?
Stai attento la prossima volta

Grazie e saluti

sirio · December 6, 2010, 9:54pm

Grazie
ho spostato il post creando un nuovo topic, forse avevamo bisogno di un thread dove poter discurere di altro. Cosa ne pensate?

Ciao

mirk1989 · December 6, 2010, 10:10pm

Ottimo!!! :-TU :-TU

Grazie!