Sep 072011
 

Article di Dominique Cimafranca originale pubblicato sul suo blog a proposito di Ubuntu e Linux in generale

Una procedura semplice ma efficace per valutare la sicurezza del computer è quella di controllare verso quali siti è attiva una connessione, o quali siti si collegano a noi. I Malware più critici di oggi trasformano i computer in zombie per botnet – in genere i computer zombificati si collegano ad un server centrale tramite IRC. Oppure potrebbe essere che si ha inavvertitamente in esecuzione un programma che è in ascolto per richieste da tutta la rete Internet. In ogni caso, è bene controllare queste connessioni.




In TCP/IP, le connessioni avvengono per mezzo di porte. Una porta è un numero che identifica univocamente una connessione. Alcune porte sono ben note e solitamente identificate con un servizio, ad esempio, la porta 80 è utilizzata per le richieste HTTP.

Per vedere quali porte sono aperte, cioè, le connessioni aperte verso il proprio computer, utilizzare il comando netstat -a .

L’output sarà lungo, ma in questo momento siamo interessati solo alla sezione superiore. Un esempio dal mio computer:

Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:ipp           *:*                     LISTEN     
tcp        0      0 aspire.local:49132      tc-in-f19.google.co:www TIME_WAIT  
tcp        0      0 aspire.local:60227      tx-in-f103.google.c:www ESTABLISHED
udp        0      0 aspire.local:33954      58.69.254.67:domain     ESTABLISHED
udp        0      0 *:bootpc                *:*                                
udp        0      0 aspire.local:42088      58.69.254.68:domain     ESTABLISHED
udp        0      0 *:mdns                  *:*                                
udp        0      0 *:38142                 *:*

Cosa vuol dire questo output ? Che il mio computer è connesso ai server Web (le voci :www) e sta facendo richieste DNS (:domain). Queste sono le voci che sono più semplici da capire. Ma che dire delle altre?

:ipp è la porta utilizzata dal demone di stampa.
:mDNS è utilizzato per Multicast DNS locali.
:bootpc è per le richieste del client DHCP.

Queste sono porte su cui una installazione di default di Ubuntu è in ascolto. La :Ipp è aperta da cupsd, mentre :mDNS e :bootpc da avahi .

Ma che dire di quella porta aperta 38142? Come mai non è identificata? Puoi controllarla eseguendo un

sudo lsof -i :38142


Vedrai che anche questa è di proprietà del demone Avahi. Ma cosa è Avahi ?

Avahi è un sistema che facilita l’individuazione dei servizi su una rete locale. Questo significa che è possibile collegare il vostro portatile o un computer in una rete e istantaneamente essere in grado di vedere altre persone e chattare con loro, trovare le stampanti o trovare i file e directory condivise in rete. Questo tipo di tecnologia si può trovare in Apple MacOS X (Chiamata Rendezvous, Bonjour e talvolta Zeroconf) ed è molto conveniente. Avahi si basa principalmente sulla realizzazione di flexmdns mDNS fatta da Lennart Poettering per Linux che è stata interrotta a favore di Avahi.

Quindi, in una installazione di default di Ubuntu, si dovrebbero avere aperte le solo porte dal demone di stampa e Avahi. Altri collegamenti usuali sono per HTTP e DNS. Qualsiasi altra cosa di cui non si è certi è sospetta e bisognerebbe guardarci

Popular Posts:

Flattr this!

  5 Responses to “Sicurezza semplice valutando le porte aperte”

  1. Thank you for make it simple and clear

  2. >The output will be lengthy, but we’re really only interested in the top section.

    So, if you are not interested in Unix socket connections, why you are not using the option to hide them in the output?

    It is very simple:
    -t -> TCP
    -u -> UDP
    -w -> RAW
    -x -> Unix socket
    -a -> waiting connections are also shown

    So, in this case you can use simply
    netstat -tuwa

  3. We’ll you could filter the list with:
    netstat -at (only show tcp connections)
    netstat -au (only show udp connections

    You can also see the pid to which the socket belongs with
    netstat -atp (for tcp)
    netstat -aup (for udp)

    And you can disable translation (for ip addr and ports – so mdns should show up as udp/53)
    netstat -aunp (for udp)
    netstat -atnp (for tcp)

    Regards

  4. Thanks for that, had :17500 on mine? Turned out to be Dropbox.

  5. very simple and clear post

Leave a Reply to Baban Gaigole Cancel reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

*