Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Allarmi del Firewall
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 08 Giu 2008 18:31    Oggetto: Allarmi del Firewall Rispondi citando

Salve a tutti.

Da gennaio mi sta capitando una cosa strana, ricevo occasionalmente una serie di avvisi dal firewall e non riesco a capire di cosa si tratti.

La mia rete casalinga è composta da alcuni computer Mac (PPC) ed uno con WindowsXPPRO.

Tutti i computer sono protetti da firewall i quali non hanno segnalato nessuna anomalia nei log.

I computer sono collegati ad un firewall, il Digicom Firegate ed è questo che mi invia i messaggi di cui mi sto preoccupando.

Il firewall è collegato al router Trust ADSL2+ modem-router il quale ha il firewall attivato ed è connesso all?ADSL.

I messaggi che ho ricevuto sono i seguenti:

Logs Firewall Digicom FireGat

[2008-01-07 19:59:43] | From:[87.248.104.123] | Port:[1075] | [Blocked]
[2008-01-07 21:14:50] | From:[87.248.104.123] | Port:[1693] | [Blocked]
[2008-01-08 21:28:09] | From:[87.248.104.123] | Port:[1461] | [Blocked]
[2008-01-10 22:04:53] | From:[87.248.104.123] | Port:[1940] | [Blocked]
[2008-01-10 23:08:08] | From:[216.155.193.150] | Port:[1925] | [Blocked]
[2008-01-10 23:09:04] | From:[151.1.244.220] | Port:[2374] | [Blocked]
[2008-01-11 19:40:08] | From:[87.248.104.123] | Port:[2303] | [Blocked]
[2008-01-11 20:43:59] | From:[87.248.104.123] | Port:[2438] | [Blocked]

[2008-01-14 20:21:06] | From:[87.248.104.123] | Port:[1223] | [Blocked]
[2008-01-16 19:12:50] | From:[87.248.98.14] | Port:[1105] | [Blocked]
[2008-01-16 19:41:10] | From:[87.248.98.14] | Port:[1262] | [Blocked]
[2008-01-17 20:56:40] | From:[87.248.98.14] | Port:[1195] | [Blocked]
[2008-01-18 19:03:06] | From:[87.248.104.123] | Port:[1132] | [Blocked]

[2008-01-21 21:01:17] | From:[87.248.104.123] | Port:[1468] | [Blocked]
[2008-01-22 19:14:50] | From:[87.248.104.123] | Port:[1275] | [Blocked]

[2008-01-31 19:00:34] | From:[87.248.104.123] | Port:[1285] | [Blocked]
[2008-02-01 19:01:56] | From:[87.248.98.14] | Port:[1236] | [Blocked]
[2008-02-02 15:24:44] | From:[87.248.104.123] | Port:[1625] | [Blocked]
[2008-02-02 20:55:22] | From:[87.248.104.123] | Port:[1868] | [Blocked]

[2008-02-03 11:21:19] | From:[87.248.104.123] | Port:[2332] | [Blocked]
[2008-02-03 18:09:11] | From:[87.248.104.123] | Port:[3271] | [Blocked]
[2008-02-08 19:14:13] | From:[87.248.98.14] | Port:[2458] | [Blocked]
[2008-02-08 21:10:03] | From:[87.248.104.123] | Port:[1115] | [Blocked]
[2008-02-08 22:07:57] | From:[87.248.104.123] | Port:[1307] | [Blocked]
[2008-02-09 08:43:07] | From:[87.248.104.123] | Port:[1853] | [Blocked]

[2008-02-10 11:02:44] | From:[87.248.104.123] | Port:[2692] | [Blocked]
[2008-02-10 15:02:42] | From:[87.248.104.123] | Port:[2937] | [Blocked]

[2008-02-29 21:03:44] | From:[87.248.104.123] | Port:[1233] | [Blocked]
[2008-03-01 07:16:42] | From:[87.248.104.123] | Port:[1552] | [Blocked]
[2008-03-01 16:17:57] | From:[87.248.104.123] | Port:[49208] | [Blocked]

[2008-03-11 20:37:14] | From:[209.73.166.147] | Port:[1117] | [Blocked]

Fin qui mi sembra tutto relativamente tranquillo, anche se è la prima volta che mi capita, con questa frequenza, in questi anni.

I messaggi che però mi stanno facendo più preoccupare sono i seguenti:

SOHO *Security Alert* [A5:E0:0C]

2008-03-21 13:22:33 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.197.32,0,WAN

2008-04-11 19:56:05 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.232.182,0,WAN

2008-04-18 19:54:38 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.232.182,0,WAN

2008-05-03 11:23:03 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.232.182,0,WAN

2008-05-10 11:23:03 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.232.182,0,WAN

2008-05-17 11:22:55 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.232.182,0,WAN

2008-05-24 11:23:05 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.197.32,0,WAN

2008-05-25 04:18:46 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.197.32,0,WAN

2008-06-02 17:00:10 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.197.32,0,WAN

Due di questi fra l?altro sono partiti quando la rete era scollegata dalla linea elettrica.

Tutta la rete è comandata da un relé che attivo solo quando ho bisogno di accendere almeno un computer, quindi due di questi messaggi risulterebbero partiti quando tutta la rete era priva di tensione.

Inoltre l?indirizzo Source non è presente nella mia rete.

Il server DHCP è attivato sia sul Router che sul Firewall, ma il router ha indirizzo 10.0.0.1 ed è impostato per assegnare un solo indirizzo.

Mentre il firewall ha indirizzo 10.0.0.2 verso il router e 192.168.0.1 verso i computer ed e? impostato per assegnare al massimo lo stesso numero di indirizzi dei computer della rete.

Le impostazioni sia del router che del firewall non sono quelle di fabbrica; la prima cosa che ho fatto quando gli ho comprati, qualche anno fa, è stato quello di cambiare le password e di limitare i numero degli indirizzi IP assegnabili.

Ho provato alcuni indirizzi con WhoIs ma non mi sembra di aver notato qualcosa di strano.

Premetto che ho fatto scansioni sui vari siti online per verifica l?integrità della mia rete ed ha superato tutti i test.

Ho fatto anche scansioni con antivirus online e non sulla macchina con Windows, ma non hanno trovato niente, niente neanche con i vari antispyware.

Qualcuno può delucidarmi su cosa sta accadendo?

Ringrazio sin da ora per ogni indicazione proposta.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 16:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 17 Giu 2008 11:12    Oggetto: Rispondi citando

Lo spoofing non è altro che un tentativo di attacco;

qui riporto una descrizione, perchè mi sembra che sia quello che ti riguarda:
Citazione:
Spoofing dell'IP

È il tipo d'attacco più diffuso dal momento che è il più facile da eseguire. L'attacco è reso possibile dal fatto che la maggior parte dei router attivi all'interno delle reti aziendali, controllano, durante la richiesta di accesso ai servizi, solo l'indirizzo IP di destinazione e non quello di provenienza. Nell'intestazione di un pacchetto IP si trova uno specifico campo, il Source Address, il cui valore riporta l'indirizzo IP del mittente. Se chi attacca modifica questo campo può far credere, ad un sistema bersaglio, che un pacchetto IP sia stato trasmesso da una macchina differente ricevendo le risposte direttamente sul falso IP.

Questa tecnica può essere utilizzata per superare alcune tecniche difensive contro le intrusioni, specialmente quelle basate sull'autenticazione dell'indirizzo IP. Infatti, come detto in precedenza, nelle intranet aziendali l'autenticazione ad alcuni servizi avviene basandosi sull'indirizzo IP delle macchine, senza l'uso di altri sistemi. Questo tipo di attacco ha tanto più successo quanto più forti sono i rapporti di fiducia tra due o più macchine. Lo spoofing IP potrebbe essere limitato inserendo dei filtri sull'indirizzo IP sorgente a livello routers. Un firewall non vi protegge automaticamente dagli attacchi di spoofing, quindi non dormite sonni tranquilli dietro i firewall per quanto ottimi possano essere.
Tipi di attacchi IP Spoofing

Gli attacchi spoofing IP possono essere divisi in tre categorie:

* IP spoofing cieco. Quando l'attaccante cerca di farsi passare per un host di una qualsiasi sottorete.
* IP spoofing non cieco. È attuabile in una rete LAN; quando chi attacca cerca di farsi passare per un host che è nella sua stessa sottorete.
* Attacchi DOS. L'attaccante cerca di bloccare un host per impedire a quest'ultimo di svolgere la normale attività oppure per prenderne il controllo.

Servizi vulnerabili allo spoofing IP

Lo spoofing IP danneggia in maniera pesante, per fortuna, poche macchine che eseguono alcuni servizi particolari. Le configurazioni ed i servizi noti per la loro predisposizione a questo tipo di attacco includono i seguenti componenti:

* servizi RPC (da Remote Procedure Call);
* servizi che usano l'autenticazione dell'indirizzo IP.

Anche qui limitare i danni è d'obbligo: utilizzate sempre NAT (Network Address Translation) per la vostra rete interna. Usando indirizzi privati per la vostra rete interna è difficile, ma non impossibile, effettuare lo spoofing di una connessione (tranne che dall'interno, è ovvio). Altro accorgimento è quello di consentire solo connessioni esterne da host fidati, abilitate le connessioni crittografate al router in maniera tale da non permettere, a chi attacca, di captare il traffico in transito nella rete.
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 22 Giu 2008 19:35    Oggetto: Rispondi citando

Sante62 ha scritto:
Lo spoofing non è altro che un tentativo di attacco;

qui riporto una descrizione, perchè mi sembra che sia quello che ti riguarda:
Citazione:
Spoofing dell'IP

È il tipo d'attacco più diffuso dal momento che è il più facile da eseguire. L'attacco è reso possibile dal fatto che la maggior parte dei router attivi all'interno delle reti aziendali, controllano, durante la richiesta di accesso ai servizi, solo l'indirizzo IP di destinazione e non quello di provenienza. Nell'intestazione di un pacchetto IP si trova uno specifico campo, il Source Address, il cui valore riporta l'indirizzo IP del mittente. Se chi attacca modifica questo campo può far credere, ad un sistema bersaglio, che un pacchetto IP sia stato trasmesso da una macchina differente ricevendo le risposte direttamente sul falso IP.

Citazione:
Questa tecnica può essere utilizzata per superare alcune tecniche difensive contro le intrusioni, specialmente quelle basate sull'autenticazione dell'indirizzo IP. Infatti, come detto in precedenza, nelle intranet aziendali l'autenticazione ad alcuni servizi avviene basandosi sull'indirizzo IP delle macchine, senza l'uso di altri sistemi. Questo tipo di attacco ha tanto più successo quanto più forti sono i rapporti di fiducia tra due o più macchine. Lo spoofing IP potrebbe essere limitato inserendo dei filtri sull'indirizzo IP sorgente a livello routers.


E' quello che avevo gia' fatto e l'indirizzo source non avrebbe dovuto avere accesso all'esterno, anche perche' non e' un indirizzo autorizzato nella mia rete interna.

Citazione:
Un firewall non vi protegge automaticamente dagli attacchi di spoofing, quindi non dormite sonni tranquilli dietro i firewall per quanto ottimi possano essere.
Tipi di attacchi IP Spoofing

Gli attacchi spoofing IP possono essere divisi in tre categorie:

* IP spoofing cieco. Quando l'attaccante cerca di farsi passare per un host di una qualsiasi sottorete.
* IP spoofing non cieco. È attuabile in una rete LAN; quando chi attacca cerca di farsi passare per un host che è nella sua stessa sottorete.
* Attacchi DOS. L'attaccante cerca di bloccare un host per impedire a quest'ultimo di svolgere la normale attività oppure per prenderne il controllo.


    L'IP non e' un host di una sottorete
    Idem
    Nessun blocco di attivita'

Citazione:
Servizi vulnerabili allo spoofing IP

Lo spoofing IP danneggia in maniera pesante, per fortuna, poche macchine che eseguono alcuni servizi particolari. Le configurazioni ed i servizi noti per la loro predisposizione a questo tipo di attacco includono i seguenti componenti:

* servizi RPC (da Remote Procedure Call);
* servizi che usano l'autenticazione dell'indirizzo IP.

Anche qui limitare i danni è d'obbligo: utilizzate sempre NAT (Network Address Translation) per la vostra rete interna. Usando indirizzi privati per la vostra rete interna è difficile, ma non impossibile, effettuare lo spoofing di una connessione (tranne che dall'interno, è ovvio). Altro accorgimento è quello di consentire solo connessioni esterne da host fidati, abilitate le connessioni crittografate al router in maniera tale da non permettere, a chi attacca, di captare il traffico in transito nella rete.


Sul router è attivato il NAT.
La rete interna utilizza indirizzi privati.
Sono consentite in uscita solo connessioni da host fidati appartenenti alla rete.
Le connessioni al router non sono crittografate; provvedero' a crittografarle se i miei hardware lo permettono.


Da quando ho postato ho resettato il router e il firewall ed ho riconfigurato il tutto come prima. Per ora non mi e' arrivato solo il seguente messaggio:

2008-06-16 20:23:42 - Ip Spoofing - Source:192.168.190.1
,0,LAN - Destination:207.46.232.182,0,WAN

arrivato quando la rete era priva di energia elettrica.

Se fossi io sotto attacco dovrei riceverlo a computer e router acceso; o no?

Grazie per ogni riscontro.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 16:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Giu 2008 08:31    Oggetto: Rispondi citando

mennon_israim ha scritto:

Se fossi io sotto attacco dovrei riceverlo a computer e router acceso; o no?

Questo sembra strano, ma l'eventuale attacco una volta attuato, potrebbe comparire anche quando è privo di energia......rimane memorizzato l'indirizzo IP.
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 26 Giu 2008 21:19    Oggetto: Rispondi citando

Sante62 ha scritto:
mennon_israim ha scritto:

Se fossi io sotto attacco dovrei riceverlo a computer e router acceso; o no?

Questo sembra strano, ma l'eventuale attacco una volta attuato, potrebbe comparire anche quando è privo di energia......rimane memorizzato l'indirizzo IP.


Però io non ho un indirizzo IP fisso (statico), ma dinamico (mi viene assegnato uno nuovo ogni volta che do tensione alla rete per accendere router firewall etc).
Grazie per ogni riscontro
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 16:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 26 Giu 2008 23:05    Oggetto: Rispondi citando

Credo che non abbia molta importanza che l'indirizzo IP sia statico o dinamico;

dobbiamo provare a fare qualche scansione antivirus tanto per essere certi che i PC non siano infetti;

se ritieni procedi con queste scansioni:
CCleaner;
Combofix;
Virit;
Hijackthis;
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 28 Giu 2008 17:36    Oggetto: Rispondi citando

Sante62 ha scritto:
Credo che non abbia molta importanza che l'indirizzo IP sia statico o dinamico;

dobbiamo provare a fare qualche scansione antivirus tanto per essere certi che i PC non siano infetti;

se ritieni procedi con queste scansioni:
CCleaner;
Combofix;
Virit;
Hijackthis;


Perché non dovrebbe avere importanza la differenza fra un indirizzo statico e uno dinamico?

Se è statico e avviene un attacco sono sempre io ad essere attaccato, ma se è dinamico e l?attacco perdura non sono sempre io ad essere sotto attacco ma chi in quel momento ha ricevuto come assegnazione quell?indirizzo.

Di antispyware uso abitualmente: Spybot search & destroy, Ad-Aware2007, Spywareblaster, Windows Defender, AVG Free 8.0 (che è anche l?antivirus attivo); e non mi hanno segnalato niente.

Ho effettuato scansioni online sui siti di BitDifender, Trend Micro, Panda, McAfee, Kaspery etc e nessuno ha trovato niente.

Ccleaner lo uso settimanalmente come anche JV16 Power Tools, EasyCleaner, RegCleaner.

Proverò anche questi e poi farò sapere i risultati.

Grazie per ogni riscontro.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Giu 2008 09:41    Oggetto: Rispondi citando

Solo una precisazione, l'indirizzo IP del tuo pc nella tua rete è diverso dall'indirizzo IP assegnato dal tuo provider alla tua connessione (in questo caso, al router).
A seconda del tuo contratto ADSL, hai un indirizzo IP statico o dinamico.
Generalmente viene fornito un indirizzo IP dinamico.

Per sapere se il tuo provider ti fornisce un indirizzo IP statico o dinamico, puoi utilizzare un servizio tipo MyIP (e verificare se cambia a ogni accensione del router).

L'attacco IP spoofing segnalato dal tuo router sembrerebbe provenire dalla tua rete con destinazione esterna. Think
mennon_israim ha scritto:
2008-06-16 20:23:42 - Ip Spoofing - Source:192.168.190.1,0,LAN - Destination:207.46.232.182,0,WAN


L'indirizzo di destinazione sembra essere della Microsoft:
Citazione:
Trying 207.46.197.32 at ARIN
Trying 207.46.197 at ARIN

OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US

NetRange: 207.46.0.0 - 207.46.255.255
CIDR: 207.46.0.0/16
NetName: MICROSOFT-GLOBAL-NET
NetHandle: NET-207-46-0-0-1
Parent: NET-207-0-0-0-0
NetType: Direct Assignment
NameServer: NS1.MSFT.NET
NameServer: NS5.MSFT.NET
NameServer: NS2.MSFT.NET
NameServer: NS3.MSFT.NET
NameServer: NS4.MSFT.NET
Comment:
RegDate: 1997-03-31
Updated: 2004-12-09

RTechHandle: ZM39-ARIN
RTechName: Microsoft
RTechPhone: +1-425-882-8080
RTechEmail: noc@microsoft.com

OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@hotmail.com

OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName: Hotmail Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@hotmail.com

OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName: MSN ABUSE
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@msn.com

OrgNOCHandle: ZM23-ARIN
OrgNOCName: Microsoft Corporation
OrgNOCPhone: +1-425-882-8080
OrgNOCEmail: noc@microsoft.com

OrgTechHandle: MSFTP-ARIN
OrgTechName: MSFT-POC
OrgTechPhone: +1-425-882-8080
OrgTechEmail: iprrms@microsoft.com

# ARIN WHOIS database, last updated 2008-06-28 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Tentando un Traceroute, ottengo il seguente risultato:
Citazione:
06/29/08 10:35:09 Fast traceroute 207.46.197.32
Trace 207.46.197.32 ...
.
.
.
10 213.248.86.70 231ms 231ms 232ms TTL: 0 (microsoft-110312-sjo-bb probable bogus rDNS: No DNS)
11 207.46.37.177 231ms 231ms 232ms TTL: 0 (ge-7-3-0-56.sjc-64cb-1a.ntwk.msn.net probable bogus rDNS: No DNS)
12 207.46.34.2 233ms 234ms 233ms TTL: 0 (ge-7-2-0-0.pao-64cb-1a.ntwk.msn.net probable bogus rDNS: No DNS)
13 207.46.35.149 243ms 244ms 243ms TTL: 0 (so-7-2-1-0.wst-64cb-1a.ntwk.msn.net probable bogus rDNS: No DNS)
14 207.46.35.6 241ms 242ms 241ms TTL: 0 (ge-0-1-0-0.cpk-64c-1a.ntwk.msn.net probable bogus rDNS: No DNS)
15 207.46.34.114 242ms 242ms 242ms TTL: 0 (ten2-4.cpk-76c-1b.ntwk.msn.net probable bogus rDNS: No DNS)

mennon_israim ha scritto:
Mentre il firewall ha indirizzo 10.0.0.2 verso il router e 192.168.0.1 verso i computer ed e? impostato per assegnare al massimo lo stesso numero di indirizzi dei computer della rete.

Utilizzi un router wireless?
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 29 Giu 2008 10:09    Oggetto: Rispondi citando

bdoriano ha scritto:
Solo una precisazione, l'indirizzo IP del tuo pc nella tua rete è diverso dall'indirizzo IP assegnato dal tuo provider alla tua connessione (in questo caso, al router).
A seconda del tuo contratto ADSL, hai un indirizzo IP statico o dinamico.
Generalmente viene fornito un indirizzo IP dinamico.

Per sapere se il tuo provider ti fornisce un indirizzo IP statico o dinamico, puoi utilizzare un servizio tipo MyIP (e verificare se cambia a ogni accensione del router).


L'indirizzi IP dei PC sono diversi dall'indirizzo IP assegnato al router sono su un'altra rete dietro un firewall hardware.

Ho un indirizzo dinamico, anche il router mi fa vedere l'indirizzo assegnato di volta in volta ed è sempre diverso, ho verificato anche con MyIP e mi ha confermato l'indirizzo che mi fa vedere il router verso l'esterno.
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 29 Giu 2008 10:15    Oggetto: Rispondi citando

bdoriano ha scritto:

Utilizzi un router wireless?


No.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Giu 2008 10:25    Oggetto: Rispondi citando

mennon_israim ha scritto:
L'indirizzi IP dei PC sono diversi dall'indirizzo IP assegnato al router sono su un'altra rete dietro un firewall hardware.

Infatti è per questo motivo che ti viene segnalato l'IP spoofing.
Resta da capire da dove proviene. Think
Magari è solo un programma MS (s)configurato. Wink
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 29 Giu 2008 10:34    Oggetto: Rispondi citando

bdoriano ha scritto:


L'attacco IP spoofing segnalato dal tuo router sembrerebbe provenire dalla tua rete con destinazione esterna. Think
mennon_israim ha scritto:
2008-06-16 20:23:42 - Ip Spoofing - Source:192.168.190.1,0,LAN - Destination:207.46.232.182,0,WAN


Però l'indirizzo 192.168.190.1 non è un indirizzo della mia rete interna.

Gli indirizzi della mia rete interna sono del tipo 192.168.0.x e quell'indirizzo non e' autorizzato nella mia rete, anche se dovesse collegarsi fisicamente non dovrebbe avere accesso ad internet.


bdoriano ha scritto:

L'indirizzo di destinazione sembra essere della Microsoft


Anch'io ho avuto i medesimi risultati.

Ringrazio sin da adesso per ogni riscontro
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 29 Giu 2008 10:59    Oggetto: Rispondi citando

bdoriano ha scritto:
mennon_israim ha scritto:
L'indirizzi IP dei PC sono diversi dall'indirizzo IP assegnato al router sono su un'altra rete dietro un firewall hardware.

Infatti è per questo motivo che ti viene segnalato l'IP spoofing.
Resta da capire da dove proviene. Think
Magari è solo un programma MS (s)configurato. Wink


Ma se il motivo fosse il fatto di essere dietro il firewall me lo avrebbe dovuto segnalare da quando ho la rete, fra l'altro è proprio il firewall a segnalarmi il problema.

La seconda ipotesi è molto più probabile però può un programma collegarsi a Internet risultando un indirizzo a se stante?

Quale potrebbe essere?
Windows difender?

E' praticamente da quando sono iniziati questi messaggi che non si aggiorna più autonomamente e devo andare a scaricare gli aggiornamenti sul sito.

Ringrazio sin da adesso per ogni riscontro.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Giu 2008 13:22    Oggetto: Rispondi citando

Prova a usare:
AdapterWatch: per raccogliere maggiori informazioni sulle periferiche di rete del tuo pc
CurrPorts: per raccogliere informazioni sui programmi che stanno utilizzando internet
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 29 Giu 2008 21:27    Oggetto: Rispondi citando

bdoriano ha scritto:
Prova a usare:
AdapterWatch: per raccogliere maggiori informazioni sulle periferiche di rete del tuo pc
CurrPorts: per raccogliere informazioni sui programmi che stanno utilizzando internet


Bingo.

Ho trovato due adattatori virtuali VMWare Virtual Ethernet Adapter for VMnet1 con indirizzo 192.168.190.1 e VMWare Virtual Ethernet Adapter for VMnet8 con indirizzo 192.168.71.1.

Il programma che usa questi adattatori è Svchost.exe ed usa la porta 123.

Provo a disinstallare VMWare Player e vedere se tutto torna alla normalità.

Ringrazio sin da adesso per ogni riscontro.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 30 Giu 2008 07:17    Oggetto: Rispondi citando

WMVare è un emulatore di s.o.
Immagino che lo usi per utilizzare/provare qualche altro s.o.
Probabilmente va solo configurato ad hoc per ri-assegnare correttamente il proprio indirizzo IP (via DHCP).

Personalmente, uso MS Virtual PC (per i s.o. Microsoft) e VirtualBox per tutti gli altri.
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 02 Lug 2008 19:42    Oggetto: Rispondi citando

bdoriano ha scritto:
WMVare è un emulatore di s.o.
Immagino che lo usi per utilizzare/provare qualche altro s.o.
Probabilmente va solo configurato ad hoc per ri-assegnare correttamente il proprio indirizzo IP (via DHCP).

Personalmente, uso MS Virtual PC (per i s.o. Microsoft) e VirtualBox per tutti gli altri.


Anch'io preferisco VirtualPC, anche perchè lavorando sia su windows che su macos almeno uso lo stesso programma su entrambi i sistemi operativi, però non è completo il supporto per tutti i sistemi operativi sulla macchina emulata.


Il problema è che lo stesso non doveva essere attivo nei momenti dell'allarme in quanto non utilizzato, l'ultima volta l'ho usato a dicembre.

Perdipiù presentava due indirizzi di rete che non avrebbero dovuto appartenere alla mia rete e che non erano pingabili, inoltre non avrebbero dovuto superare le barriere del firewall hardware in quanto indirizzi non autorizzati nella mia rete.

Non posso configurarlo in quanto ho la versione gratuita e permette di far girare solo macchine virtuali già create.

Di una cosa però sono certo, le macchine virtuali hanno tutte indirizzo IP appartenenti alla mia rete e rispondono al ping.

Per i sistemi operativi non windows proverò virtualbox però gradirei un consiglio.

Dato che il firewall hardware non ha ottemperato ad uno dei suoi compiti (bloccare indirizzi IP non autorizzati) mi consigliate di cambiarlo? Se si con quale modello?

Ringrazio sin da adesso per ogni eventuale riscontro.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 04 Lug 2008 07:08    Oggetto: Rispondi citando

Non so come funzioni VMWare, presumo che installi qualche driver di sistema. Probabilmente, la versione gratuita, setta degli indirizzi IP particolari a uso interno. (ma è solo una supposizione). Razz

Non direi che il firewall non ha fatto il suo lavoro: ti ha segnalato una cosa strana per lui (il tentativo di IP spoofing). Wink
Per quello che so, il firewall blocca (certi tipi di) accessi dall'esterno e segnala eventuali anomalie in uscita. (anche perché potrebbero essere volute dall'utente stesso) Smile
Top
Profilo Invia messaggio privato
mennon_israim
Mortale adepto
Mortale adepto


Registrato: 24/10/05 12:06
Messaggi: 37
Residenza: Varese

MessaggioInviato: 04 Lug 2008 20:24    Oggetto: Rispondi citando

bdoriano ha scritto:
Non so come funzioni VMWare, presumo che installi qualche driver di sistema. Probabilmente, la versione gratuita, setta degli indirizzi IP particolari a uso interno. (ma è solo una supposizione). Razz

Non direi che il firewall non ha fatto il suo lavoro: ti ha segnalato una cosa strana per lui (il tentativo di IP spoofing). Wink
Per quello che so, il firewall blocca (certi tipi di) accessi dall'esterno e segnala eventuali anomalie in uscita. (anche perché potrebbero essere volute dall'utente stesso) Smile


Però mi ha segnalato solo un tentativo di IP spoofing, mentre dai programmi che mi hai suggerito gli IP spoofing erano due.

Inoltre quei due indirizzi IP non rientravano nella limitata gamma che hanno l'autorizzazione ad accedere verso l'esterno

In ogni caso non userò più VMWare, non mi piace che un programma comunichi verso l'esterno senza la mia autorizzazione e perdipiù mentre non è utilizzato.

Grazie ancora per tutti i suggerimenti ricevuti.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Lug 2008 14:38    Oggetto: Rispondi

Prego!

PS: sono di Varese pure io. Razz
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi