bè, l'SPI ormai lo hanno quasi tutti.... il problema vero xò è il modo con cui le software-house lo abbiano implementato.....e questo determina di fatto differenze significative a livello di efficacia del filtraggio.

Guarda per es. questo post (fatto da uno dei max esperti di Outpost peraltro, e tutta la discussione collegata...) per capire le differenze dei vari SPI:
http://www.wilderssecurity.com/showp...1&postcount=27

Intera discussione : http://www.wilderssecurity.com/showthread.php?t=53646

in soldoni, cmq, dovresti (IMO) abilitare l'SPI per avere veramente un ° di protezione ben più elevato rispetto a quanto hai avuto fino ad oggi...a prezzo xò di rinunciare a qualcosa nella velocità di download del tuo "mulo" preferito.... :)

è un pò complesso da spiegare, cmq guardo di ritrovarti un bell'articolo che vidi tempo fà e te lo posto.

Beh l'argomento mi interessa i firewall all'università li ho trattati, ma molto superficialmente, inoltre nel thread che mi hai segnalato dove il tizio elenca i 3 modi di implememtare SPI non ho capito qual'è quello che ha L'n'S?

dovresti dare te allora spiegazioni a me :p

cmq LnS usa il 1° metodo [Packet-level/network-level]: quello che dice Paranoid può essere un pelo fuorviante [ ...This is what virtually every personal firewall offers by default except Look'n'Stop where it is an option that has to be enabled...].

Al contrario, Outpost v2 offers a very limited form of this level of SPI [ si riferisce al Connection-level or transport-level SPI] che controlla le connessioni aperte da ciascun applicazione...[looks at what connections each application has and only permits new ones if they fit within the application context..]

Sono in sostanza approcci diversi, ma da quello che ho letto, è molto + robusta la soluzione implementata in LnS ( equivalente a quella di 8Signs/CHX-i.... )

Cmq guardo di ribeccarti l'articolo che spiega in dettaglio l'SPI...

Ciao, vado a nanna :bimbo:
:ronf:

:D

Ciao grazie :coffee:

buondi', nothinghr :)

Allora, la descrizione di SPI cosi' come pensata da Check Point (l'azienda che per prima ne ha introdotto il concetto) la trovi in questo pdf: http://www.checkpoint.com/products/d...Inspection.pdf

Utile l'accesa discussione su Wilders nella quale diversi cranietti ( tra cui anche "un certo" Stefan_R, capo programmatore di CHX-i, Phant0m, Paranoid2000, Diver,Jazzie1...) si scannano sulle diverse implementazioni di questo meccanismo: http://www.wilderssecurity.com/showthread.php?t=65266

Questo invece è un'articolo spettacolare ( sebbene un pò tecnico) sull'SPI:http://www.spitzner.net/fwtable.html
E' sufficiente leggersi solo il paragrafo " Stateful Inspection" per avere un'idea dei benefici/svantaggi di questo sistema.

Paranoid2000 fa notare che il " full SPI ..... requires specific support for each network protocol (not just network/transport level TCP, UDP and ICMP ... mentioned in .. CHX-I manual, (lo stesso di LnS, sebbene limitato al solo protocollo TCP...) but higher level protocols like FTP, IRC and P2P ones like Gnutella, eDonkey and BitTorrent", difendendo di fatto l'approccio seguito dalla Agnitum con il transport level......

l'articolo in questione è molto chiaro, ti ringrazio; l'idea che mi sono fatto è che certamente l'SPI aggiunge un ulteriore livello di sicurezza ma secondo me con i P2P 256 connessioni sono veramente poche e devo dire che fossi in loro farei un ulteriore piccolo sforzo per portarle almeno a 1000, ad esempio sul forum di L'n'S c'è chi ha almeno 900 connessioni per via di un web server...
Spero che per ora l'enhanced ruleset sia sufficiente, grazie ancora per le avermi fatto conoscere un'opzione che ignoravo proprio

mi permetto di aggiungermi alla discussione dicendo che io ho fatto come ha detto il mitico NV ed emule va alla grande...nessuna diminuzione della velocità! io ho impostato 100...



p.s.
evvai che ora siamo in 3!!!!! :D

ciao nothinghr!

Fermo restando che quello che avevi detto resta vero (...fossi in loro farei un ulteriore piccolo sforzo per portarle almeno a ...), come ti conferma anche l'amico lorife, la velocità di download di eMule non ne risente quasi per niente pur seguendo l'accorgimento di cui si parlava.

Ecco le prove:



605mb scaricati in 2h51' :p ...notare anche il peso di LnS :) (ma questo lo sai, visto che lo usi ;) )
Non sò se sia una velocità degna di Carl Lewis, ma credo che ci si possa stare ugualmente....anzi, se c'è qualcosa che non ci stà, è la roba nell'HD che mi trabocca :ciapet:

solo 1 parola: grande, anzi, che dico: GRANDISSIMO LnS! :D

EDIT:

Ecco altri screen dopo 4h43' di connessione..

PS: mi girano un pò le °° perchè è aumentato il consumo di risorse [2700kb] :muro: :D :D...forse di questo passo tra 1 anno arrivo a 10 mb di occupazione! :muro: :muro: :D

Allora tanto di cappello all'SPI :D Mi fa piacere che comunque non rallenti evidentemente emule ha qualche controllo sulle connessioni che deve stabilire e le fa solo con client dai quali ha speranze di ricevere qualcosa... per bittorrent non c'è problema perchè di solito non ne fa piu' di 80. Un'ultima cosa, la tua schermata è riferita al download di piu' file insieme immagino?

c'è mica la finanza in giro??? :mbe:
te lo dico cosi', allora: sui 40 file in download... :D

Vabbè tutta roba legale ovviamente...

rispondo io x lui...
.
.
.
.
ovviamente.. :sofico:

Sapete per caso come si toglie un dispotivo di rete che tanto ormai non uso piu' dall'elenco sotto network interfaces nelle opzioni? La scheda non c'è piu' ma contiunua ad essere elncata, e anche se non dovrebbe creare problemi vorrei toglierla...

sto provando ad usare questo ottimo firewall

una cosa che non riesco a capire è che nel log mi vengono segnalati continuamente dei tentativi di attacco di tipo UDP la cui porta Destination è la 4196 e la porta source è la 4672 (questo ieri sera)

oggi pomeriggio invece si attiva sempre la regola standard UDP Any other UDP packet in cui la port destination è la 3069 il source è la 1679
è qualche sw particolare che ha bisogno di qualche regola ad hoc ?

Grazie

Evidentemente hai emule aperto :sofico: la 4672 viene usate per la rete kad in genere
Comunque se vai sul sito di look 'n' stop trovi delle regole già scritte da altri utenti e prendi quelle che ti servono...

grazie per la risposta ma non uso emule ma il protocollo torrent (come client uso utorrent che usa la porta 32459)

è la stessa cosa?

a proposito nv ho scaricato e sto usando le tue regole

mi vorrei iscrivere anche io a questo CLUB FAN. posso?

mi ricordi il

TOZZI-FAN! prima che si gettasse con il suo Zero sulle navi da guerra americane... :asd:
Certo che puoi, mica abbiamo l'esclusiva :)

Benvenuto :p

il fatto è che questo firewall mi entusiasma molto :D

non ne ho proprio idea....non credo cmq che interferisca in nessun modo con la sicurezza del tuo pc...magari potresti aprire un nuovo thread per dare visibilità a questa tua richiesta specifica dato che questa discussione è vista solo dai pochi utilizzatori di LnS...
non sono tentativi di attacco ma tentativi di connessione sulle porte da te specificate.

Se usi utorrent ? :mbe: che si appoggia alla porta 32459, devi configurare le porte corrette nel mio set di regole: io, infatti, uso BitTornado e la regola in LnS l'ho impostata ( se non erro..) per aprire il range [6881/6889]...te ovviamente devi modificare questi dati impostando quelli corretti per il TUO client BT.

evvai!!!!!!!!!!!!! siamo in 4!!!!!!!!!!

Ho trovato il modo, bastava disinstallare il driver dalle proprietà della connessione, dove ci sono anche le impostazioni del TCP/IP.

Ciao a tutti. ho un dubbio su look'n'stop (fra altri).
Ho istallato le regole pubblicate da nV 25...tutto ok. ora su opzioni in interfaccia di rete ho "scheda fast ethernet compact" e "wan miniport". il primo ha ip:192.1681.28, l'altro una cosa del tipo c4:53:20:52:41:53. Ho l'ADSL, e quando mi collego lo faccio ragionevolmente col wan miniport. Quale dei due devo spuntare? se spunto il primo non ricevo/invio più niente. Mi spiegate un po cosa significa e come funziona.
Grazie

spunta la casella "automatic selection" in network interfaces...sarà poi il Fw che in automatico va a selezionare l'interfaccia su cui effettuare il filtraggio che, nel tuo caso, non può che essere quella che dicevi: wan miniport.

NO...non capisco...va così... se gli lascio impostare a lui va sulla Ethernet (vedi il post precedente)...e soprattutto da quel momento non riesco più ad usare internet...cioè sono collegato...ma non risco a navigare...allora devo impostare manualmente su wan miniport...così come sto facendo per inserire questo post. in più: quando setto su automatico (quindi sulla ethernet) mi da di continuo nel log uno stesso messaggio che riguarda (credo) la porta 8864 (nella parte aggiuntivo esce di continuo 8864). mentre quando sto sul wan miniport il log si riempie di messaggi sempre nella parte "aggiuntivo" che alternandosi danno Type: 8 code 0, type 11 code 0. la cpu macina molto. Sto usando emule...e credo che la quantità di messaggi nel log sia causato proprio da emule, visto che se lo disattivo allora il numero i messaggi cala drasticamente. Help

il fatto che il Fw non riesca a interpretare automaticamente il network adapter corretto [nel tuo caso la wan miniport] non è ovviamente normale.

Prova a dare un'occhiata qui! anche se onestamente credo che questa strada non ti porterà da nessuna parte...

Temo che l'unica soluzione sia quella di reinstallare il Fw sperando che il problema rientri.... :sperem:
In caso contrario, non so proprio come poterti essere d'aiuto.... :boh:

Bhe infondo non è troppo importante se comunque una volta che imposto manualmente la connessione fa cmq il suo lavoro! (a proposito, nella scheda benvenuto, l'indirizzo Ip che compare quando imposto manualmente sul wan miniport è: 82.60.39.139...è verosimile...va bene??). Inoltre volevo sapere se la versione trial che sto usando ha limitazioni funzionali rispetto alla versione che andrei ad acquistare o è perfettamente simile (al di là del limite temporale ovviamente). Grassie

Scusate..un aggiunta: quando faccio partire emule nel log iniziano ad uscire una sfilza (intendo davvero tanti) di messaggi che richiamano queste due regole: ICMP : Tracert (11,0) e: ICMP : Ping other (Req) Out. emule va...solo che il sistema mi si impalla un tantino...e normale??? premetto che ho impostato il numero max di connessioni a 100

se posso permettermi di darti un consiglio, prima di acquistarlo vorrei prima capire la causa del problema per quanto cmq tu riesca ad aggirarlo con una semplice selezione manuale dell'interfaccia corretta.
Se ti occorre far presente la cosa agli sviluppatori, il link al servizio di supporto è questo: http://www.looknstop.com/En/support.htm

La versione trial non ha nessuna limitazione rispetto alla versione commerciale fatto salvo che dopo 1 mese viene disabilitata la componente relativa al controllo delle applicazioni e ti rimane di fatto un prodotto "castrato".

Per quanto riguarda i msg nel Log del tipo da te citato, se non vuoi + visualizzarli, è sufficiente che tu tolga il simbolo del punto esclamativo alle regole in questione.

salve a tutti, riesumo questo vecchio topic per eivitare di aprirne uno nuovo... oggi ho provato a passare dal Sygate a Look'n'stop... tuttavia mi sembra fin troppo poco invasivo... ho scaricato le regole consigliate in questo topic e attivato la voce "enable internet protection"... ma posso utilizzare qualunque applciazioni di browsing, p2p, ftp etc... senza che mi venga chiesta alcuna conferma... è normale?? Ho provato a fare qualche test online per verificare la protezione e i risultati sono abbastanza positivi, ma forse quello dipende solo dal router... ho saltato qualche passaggio nella configurazione?

Se hai l'application filtering attivato quando un'applicazione accede ad interner per la prima volta devi dargli l'autorizzazione, forse la tua è la versione free che non ha application filtering...

look'n'stop 2.5... non è la free... mumble...

fammi capire 1 attimo: :mbe:

pur avendo abilitato il controllo delle applicazioni, il Fw non ti segnala nessun tentativo di comunicazione verso l'esterno? :mbe:
Se è cosi', la prima cosa che ti suggerisco è di reinstallare il software...nel frattempo cerco di rintracciare qualcosa sul forum ufficiale per vedere se altri avessero avuto un problema analogo al tuo...

già, proprio così... ora provo a reinstallarlo...

segnalo un altra anomalia: durante l'installazione appare un messaggio che mi dice che l'installazione non ha superato il controllo Windows Logo... che vuol dire?

bè, di fatto quello non vuol dire nulla: non prenderlo nemmeno in considerazione e dai sempre l'assenzo a proseguire...

ciao, CeccoBS.

Ti ho trovato questa patch: http://looknstop.soft4ever.com/Tools/LnSRegPatch.exe
Installala, fai il reboot e dimmi se risolve.

Nel frattempo continuo il mio search sul forum uff. ;)

EDIT: se con la patch non dovessi risolvere, ho paura che tu debba contattare il servizio di supporto per un'aiuto.
Guarda questo post: http://www.wilderssecurity.com/showp...67&postcount=4

wow, grazie mille del tempismo e del tempo che mi stai dedicando! Veramente molto gentile! :)

Scartabellando un pò su Wilders, ho trovato questo TEST per verificare se il Fw riesce a filtrare pacchetti ICMP Frammentati...
Se qualcuno fosse interessato a testare personalmente, il link è questo:http://www.spfld.com/ping.html

Ovvia la risposta per chi adopera LnS :D (lo verificate nel log...)

NB: il test consente di variare sia il n° dei pacchetti ICMP da inviare sia l'ampiezza del pacchetto stesso ( provare in particolare i pacchetti larghi ossia da 1024->2048 Bytes...)

Problema risolto!
 

Grazie mille nV 25 per il tuo aiuto! E' bastato reinstallare il fw e patcharlo e ora è tutto a posto! Tra l'altro prima non riuscivo neenache a importare correttamente il tuo set di regole, ora funziona tutto alla perfezione, con richiesta di bloccare o meno l'applicazione... grazie ancora!