Olimpo Informatico

[salvofat]

intanto grazie x la risposta pp!!



Someone on address 151.5.80.42 wants to send ICMP packet to your machine

tcpip kernel driver



Application: 'Tcpip Kernel Driver'; protocol: [2]; Remote address 151.5.80.42: Unknown event



Application from your computer wants to send ICMP packet to cns-a.libero.it [193.70.192.25]



allora a me prende il panico quando leggo ste cose...



che fare?!?!



autorizzo o no??? e poi in base a cosa?



trovo affascinante questa possibilità di controllare ciò che esce ed entra ma se nn si sa cosa si fa capisci che è un pò frustrante...



grazie per la pazienza!!!



vi aspetto numerosiiiiiiii

[pincopallino]

Dunque, la prima regola è: "nel dubbio, deny".

In secondo luogo, distingui fra "incoming connection" e "outgoing connection". Nel primo caso qualcuno sta cercando di entrare nel tuo PC. Se stai facendo una chat vocale, un aggiornamento Windows / Antivirus ecc., allora ovviamente puoi dare il permesso. Altrimenti, molto probabilmente si tratta di qualcuno che sta "sventagliando" pacchetti a destra e manca alla ricerca di porte scoperte. Ancora una volta, "nel dubbio, deny".

Se invece è una "outgoing connection", dovrebbe (notare il condizionale) trattarsi di un programma che tu stai utilizzando e che vuole o connettersi per fare ciò che gli hai chiesto, o cercare un aggiornamento al sito della casa madre. Questo sempre se non hai degli "spyware". Leggi il nome dell'applicazione prima di permettere. Sei in dubbio? Allora scegli "deny". Se poi qualcosa che volevi fare (es. una chat) non va in porto, l'alert si ripresenta (fino a quando non crei una regola apposita) ed a quel punto capisci che la connessione in uscita non è illecita e quindi puoi dare il permesso.

Di sicuro non ho esaurito la casistitca, ma spero di esserti comunque stato utile

[egosumquisum]

sugli "incoming" non mi pronuncio (io nego l'ingresso a quasi tutti, anche a mia madre), sugli "outgoing" uso questo metodo (forse troppo empirico):

prendo nota del DNS che vuole raggiungere il programma, vado su qualche sito tipo ripe (o uso samspade) e mi faccio un bel whois, se è un sito "istituzionale" (tin nel mio caso o similari) do l'accesso senza memorizzarlo nel firewall, e lo memorizzo solo alla terza quarta volta che lo stesso programma cerca di contattare lo stesso indirizzo.

mi rendo conto che è un metodo un pò farraginoso, ma è l'unico che finora mi è venuto in mente.

sono più che disponibile ad accetare consigli

spero che ti possa essere d'aiuto

[salvofat]

perfetto, ok! in linea di max è chiaro come fate...



benissimo...



prendete gli esempi che avevo postato in precedenza e che per comodità riporto qui di seguito, proprio a beneficio di tutti...vediamo come comportarsi...nel frattempo vi dico i miei dubbi



*** Someone on address 151.5.80.42 wants to send ICMP packet to your machine



*** Application: 'Tcpip Kernel Driver'; protocol: [2]; Remote address 151.5.80.42: Unknown event



nei dettagli mi trovo: tcpip kernel driver



vado spesso anche io su ripe (che per chi nn lo sapesse è una specie di registro universale di internet e degli indirizzi lo trovate su www.ripe.net/perl/whois )



e imposto l'IP di cui sopra: 151.5.80.42 bene, (ptpp spesso capita) che ripe mi trova che "The country is really worldwide.

This address space is assigned at various other places in

the world and might therefore not be in the RIPE database."



che è come dire, "non ti posso aiutare!"



e allora?!



a sentire il firewall c'è qualcuno (sconosciuto) che dall'IP famoso 151.5.80.42 sta cercando di mandare pacchetti ICMP alla mia macchina...



1) cosa sono sti pacchetti ICMP???

2) e il tcpip kernel driver dei dettagli? mi posso fidare?

3) e poi come si permette?!?!?



capite benissimo che impostare una "regola" di permesso, ad uno spyware nn è x niente salutare per i ns sogni tranquilli...





*** Application from your computer wants to send ICMP packet to cns-a.libero.it [193.70.192.25]



in questo secondo caso, una certa applicazione (ma perchè cavolo nn mi dici qual'è mio caro firewall !!!!) vuole spedire pacchetti ICMP a libero di infostrada e magari capisco che è il mio provider (ehehe sito istituzionale di cui alla risposta di egosumquisum) e magari anche io in questi casi imposto un bel "lasciapassare" per nn farmi rompere ogni due sec dal firewall....



il prblm mi resta quando voglio fare un bel controllo su tutto ciò che ho "autorizzato"....il dubbio che magari ho inavvertitamente autorizzato un "intruso" mi resta...



cmq da un confronto con voi nn può che accrescere la mia attenzione a queste problematiche...



grazie a tutti...resto in attesa di altri interventi...

[pincopallino]

Rispondo solo a questo, del resto si occuperanno i "tecnici" che ne sanno più di me.

Quote:

---

This address space is assigned at various other places in

the world and might therefore not be in the RIPE database.

---

Questo capita perché il RIPE è il registro degli indirizzi europei. Se l'IP che tu stai cercando non è europeo, RIPE ovviamente non te lo trova.

Cerca su:



ARIN per gli indirizzi dell'area americana (in senso lato). Se non c'è ti dice pure dove guardare

APNIC per gli indirizzi dell'area del Pacifico

RIPE per gli indirizzi dell'area europea (come detto)

Geektools per una ricerca globale.



Buona caccia!

[egosumquisum]

per ICMP puoi dare un occhio qui:

ICMP

comunque sono d'accordo con pincopallino, questo è un caso in cui "nel dubbio nega"

in effetti l'indirizzo che hai segnalato non sembra portare da nessuna parte

avevo trovato qlcs con super scan poi lo str@*ç si è bloccato (VFC)

per pulire la macchina dagli spyware potresti provare AdAware della Lavasotf, è gratuito

ciao

[TelecomItaliaMobile]

Hai provato Blackice? Sono 2 anni che lo uso e mi trovo benissimo.

[Angelo]

E' vero :

<hr>

>per pulire la macchina dagli spyware potresti provare >AdAware della Lavasotf, è gratuito.

<hr>

L'ho installato, l'ho settato, e mi ha trovato un sacco di spyware, compresi quelli di Netscape.



Ho fatto pulizia di tutto, ho cancellato cookie vecchi(ho resettato i permessi[negando l'accesso ai cookie provenienti dal sito : www.doubleclick.com], ho alzato il livello di sicurezza dei cookie), ho resettato Zone Alarm, su criteri di sicurezza più alti, ed ora ho praticamente blindato tutto..... ma so che hanno bucato i computer della CIA e dell' FBI, quindi non dormo sonni tranquilli ugualmente ^_=



A parte tutto : leggendo questi forum, discussioni accese a parte, s'imparano un sacco di cose, che poi si possono trasmettere ad altre persone, nella speranza di dare risposte a tante domande, di cui non si saprebbe nemmeno dove trovare la risposta.



Buone vacanze a chi è in vacanza....

Buon lavoro a chi rimane