Monitore l’attivita del nostro sistema

In questa breve Guida cercheremo di spiegare , nel modo più semplice possibile, come monitorare le attività del nostro PC quand’è collegato ad internet. Sono infatti molteplici i pericoli proveniente dal WEB , un buon metodo per prevenire gli attacchi è quello di controllare sistematicamente ogni connessione in corso. Verranno introdotti i concetti di porte, indirizzi IP e dei Port Monitors e verranno spiegato come interpretarli

Premessa: Per collegare tra di loro 2 computer a loro volta connessi ad Internet, vi sono 2 elementi essenziali: l’indirizzo IP e le porte. L’indirizzo IP è costituito da delle sequenze di valori di 1, 2 o 3 cifre ciascuna, e individua univocamente ogni singolo computer connesso ad una rete. Un indirizzo IP può dunque essere visto come l’indirizzo di casa. Se vogliamo andare a trovare un mio amico, devo necessariamente conoscere il suo indirizzo, che su Internet viene appunto chiamato “INDIRIZZO IP”. Se ad esempio prendiamo in considerazione un sito (per esempio, www.ABCServizi.net) che mette a disposizione vari servizi, tra cui Posta elettronica, FTP e Web, se ci colleghiamo all’indirizzo IP del sito , come fa il server a sapere se voglio usufruire del servizio FTP anzichè del servizio SMTP (Posta elettronica) o WEB? Per questo ci sono le porte. Ad ogni porta è associato un servizio che sarà in ascolto su di essa. Nel caso del WEB , ad esempio , la porta è la n. 80. Monitoring La premessa che abbiamo fatto era necessaria per giungere alla conclusione che se un cracker vuole entrare nel nostro PC, deve necessariamente stabilire una connessione con il nostro computer tramite una porta, e da li successivamente iniziare a crackare il sistema. Questa affermazione è molto importante poichè se abbiamo il controllo del traffico sulle nostre porte, possiamo essere in grado di prevenire e bloccare gli attacchi dei malintenzionati tramite trojan o falle nei software di sicurezza. Se ad esempio vediamo del traffico anomalo sulla porta 6667 (IRC) ma non abbiamo IRC attivato potrebbe essere comprensibile preoccuparsi . Per vedere quali porte sono aperte, in che stato sono, chi le utilizza, a quale processo corrispondono e tante altre cose interessanti ci vengono in aiuto i port monitor. Ti tratta di programmi che monitorano il traffico generato dal nostro PC. nativamente Windows possiede già un port monitor che si può attivare dal DOS con il comando netstat, tuttavia vi sono port monitors con un’interfaccia grafica, che sono più intuitivi e semplici. uno di questi c’è ACTIVE PORTS , è Opensource e potete scaricarlo dal sito http://www.ntutility.com. Una volta avviato vi troverete di fronte una schermata che magari all’inizio vi potrò sembrare un po’ ostica, ma non vi preoccupate, non è niente di particolarmente complicato. Innanzitutto analizziamo il programma, successivamente passeremo a vedere i vari stati delle connessioni e i loro relativi pericoli. Dopo aver avviato il programma avrete di fronte la schermata di Active Ports con le varie voci:

1. 1.PID – Identifica il processo
2. 2.PROCESS – Indica il processo attivo in quella connessione
3. 3.LOCAL IP – Indica l’IP locale in stato di connessione
4. 4.LOCAL PORT – Indica la porta locale in stato di connessione
5. 5.REMOTE IP – Indica l’IP remoto a cui siamo connessi
6. 6.REMOTE PORT – Indica la porta remota a cui siamo connessi
7. 7.STATE – Indica lo stato della connessione
8. 8.PROTOCOL – Indica il protocollo utilizzato per la connessione
9. 9.PATH – Il percorso, la directory del file che gestisce la connessione

Il rosso avvisa che una connessione sta per essere chiusa, viceversa il verde significa il contrario (la connessione si sta aprendo). Il software è abbastanza intuitivo, quindi non avrete problemi a capire cosa sta succedendo nel vostro sistema. Ricordiamo solamente 1 cosa: magari vi sembrerà strano vedere tanti processi attivi, tuttavia molti sono processi che appartengono a file di sistema, per esempio svchost.exe può essere presente anche BEN 4 VOLTE su Active Ports.Non necessariamente questo significa che abbiamo un trjoan, anche se bisogna comunque stare attenti in quanto svchost.exe è un file con una nota vulnerabilità sfruttata dagli ultimi worms. Passiamo ora ad esaminare i principali stati delle connessioni LISTEN – Il servizio è in attesa di comandi, ovvero è in ascolto.. Appena riceverà una richiesta, diverrà attivo. ESTABILISHED – La connessione è stata stabilita e si sta comunicando con l’altro computer. TIME_WAIT – La connessionte è stata appena conclusa.. Prima di chiuderla definitivamente, essa va in TIME_WAIT.. Dopo qualche secondo, la connessione “sparirà”. SYN_LISTEN – Il servizio è in attesa di connessione. Per capire meglio l’ultimo punto è necessario sapere qualche altra cosa sulle connessioni. Per connettersi ad un server succede questo: Il client invia un pacchetto SYN all’host (server) che, dopo averlo ricevuto, invia un SYN-ACK al client. Esso poi invierà un ACK finale all’host che segnerà l’inizio della connessione. Il syn_listen significa che il tuo PC è in attesa di un pacchetto SYN. Questo procedimento (SYN, SYN-ACK, ACK) è alla base degli attacchi DoS (Denial of Service) che sfruttano delle connessioni aperte a metà per inondare il server di richieste e farlo crashare (o peggio ancora).