Chat del 10 Dicembre 2019 dalle 18:00:18 alle 18:33:57
- Stefano Salvi
- Buona sera. Chi vuole, cominci...
- Antonio GALLO
- prof qual è la differenza tra firewall stateless e stateful
- Enrico MILANESE
- Buonasera prof, mi potrebbe chiarire come fa un FIREWALL STATELESS a capire quando far passare un pacchetto TCP?
- Pietro GOLA
- buonasera prof, potrebbe spiegare il funzionamento dei comandi scp e rsh?
- Stefano Salvi
- Gallo: Il firewall Stateless è in grado di analizzare solo i pacchetti di livello 3 e 4 uno alla volta; lo statefull è anche in grado di seguire la connessione e quindi di scartare pacchetti che non sono in sequenza giusta nella rispettiva connessione.
- Antonio GALLO
- ok grazie
- Stefano Salvi
- Milanese: Se voglio bloccare le connessioni TCP entranti e non quelle uscenti con un firewall stateless, potrei bloccare i poli pacchetti "syn" in entrata, dfato che il "SYN" è il primo pacchetto dell\'handshake TCP. Tutti gli altri pacchetti passeranno indisturbati. Naturalmente tutto questo funzoiona se gli stack IP controllano con precisione la connessione, altrimenti potrebbero venire "fregati".
- Enrico MILANESE
- Capito, grazie mille
- Stefano Salvi
- Gola: rsh è un comando "batch" (contrario di interattivo) che avvia una connessione SSH, si logga, invia un solo comando (che ha trovato sulla riga di comando), lo fa eseguire sul server, attende che l\'output del comando termini e chiude al connessione SSH; scp analogamente apre ujna connessione SFTP, si logga, trasferisce il file indicato sulla riga di comando (da sorgente a destinazione) e chiude la connessione SFTP.
- Pietro GOLA
- okay grazie
- Luca CARRERO
- come vengono gestiti i pachetti udp da un firewall statefull?
- Stefano Salvi
- Carrero: in un firewall statefull, dato che tiene conto dello stato, il primo pacchetto UDP che viene inviato "comincia la comunicazione" e quindi, bloccandolo la comunicazine viene vietata, Tutti gli altri pacchetti tra quel mittete (IP e porta) e destinatario (IP e porta) verranno considerati "correlati" e quindi subiranno la stessa sorte del primo paccheto.
- Michele GEMENTI
- "in relazione alla risposta di Carrero ": ma non è detto che voglia bloccare la comunicazione , magari quei pacchetti udp voglio farli passare, allora mi basterà controllare che i pacchetti uscenti abbiano porta e indirizzo "opposti" a quelli entranti giusto?
- a quello entrante*
- cioè al primo pacchetto (Che fa da pacchetto di connessione)
- Stefano Salvi
- Gementi: in realtà io decido la sorte del solo primo pacchetto UDP ed indico che i suoi "correlati" ne seguiranno al sorte. Se voglio sfruttare questo io dirò, ad esempio: tutti i pacchetti UDP entranti sono bloccati; questo bloccherebbe le risposte, ma io faccio passare i "correlati" ed allora le risposte ad un pacchetto leciito (uscente) passeranno malgrado la regola che blocca gli UDP entranti (ovviamente se le ho emsse nell\'oridine giusto).
- Antonio GALLO
- prof come funziona il port forwarding?
- Stefano Salvi
- Gallo: il port forwqrding consente ad ujn lato della connessione SSH di attendere su di una porta le connessioni e "rimbalzare" queste connessioni sull\'altro lato della connessione SSH. Ad esempio se facciio il port forwarding della porta 8080 locale sulla porta 80 remota, se io reicevo una richiesta di connessione sulla opra 8080 la accetterò e la "ripeterò" sul lato remoto.
- Michele GEMENTI
- Ma se io mando un pacchetto udp(uscente) e quelli entranti sono bloccati dal firewall com\'è possibile che posso riceverli ugualmente? Cioè il firewall considera che "il pacchetto di connessione"(il primo) l\'ho mandato io , e non avendolo ricevuto dall\'esterno, allora posso ricevere pacchetti correlati ad esso, giusto?
- Stefano Salvi
- Gallo: configuro l\'SSH per predisorre un "tubo" con un estremo, ad esempio, locale di ingresso ed uno remoto di muscita; se una conessione entra dall\'estremo locale, esce dalll\'estremo remoto utilizzando il tubo.
- Antonio GALLO
- ok ho capito grazie
- Michele GEMENTI
- con "esso" intendo pacchetti di risposta al primo che ho inviato io.
- Stefano Salvi
- Gementi: si, ma ti stai un po\' complicando la vita. Se uso lo stato in UDP, allora dico che tutti i pacchetti "correlati" ad un pacchetto lecito sono a loro volta leciti, quidni faccio passare i pacchetti iniziali che mi interessano, bloccando tutti gli altri (non devo esplicitamnte indicare che sono iniziali) e tutti i pacchetti a loro "correlati" passeranno anche se successivamente c\'è una regola che blocca tutti "gli altri" pacchetti UDP.
- Michele GEMENTI
- Ok,chiaro, grazie
- Stefano Salvi
- La mezz\'ora consueta è già piacevolmente trascorsa. Che ne dite di passare al punto successivo (la cena)?
- Enrico MILANESE
- Va bene, grazie prof e buona serata
- Michele GEMENTI
- grazie, buona cena
- Stefano Salvi
- Allora, buona sera a tutti, buona cena, buon riposo ed in bocca al lupo.
|