Firewall esta bloqueiando ou não

Iniciado por novoKubuntu7.10, 26 de Maio de 2008, 10:28

tópico anterior - próximo tópico

novoKubuntu7.10

Estou usando Firewall com ambiente Gráfico Firestart, ai pecebi que na aba Eventos sempre aparece  ip. Isto que dizer que ele bloqueou um tipo de envasão no sistema ou só informou que alguém acessou o meu sistema pela web. O que aparece e isto geralmente.


Time:May 26 09:52:35 Direction: Desconhecido In:ppp0 Out: Port:445 Source:200.97.75.127 Destination:200.97.164.11 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds
Time:May 26 09:52:40 Direction: Desconhecido In:ppp0 Out: Port:135 Source:200.97.75.127 Destination:200.97.164.11 Length:48 TOS:0x00 Protocol:TCP Service:DCOM-scm
Time:May 26 09:53:10 Direction: Desconhecido In:ppp0 Out: Port:445 Source:host113.190-138-33.telecom.net.ar Destination:200.97.164.11 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds
Time:May 26 10:00:41 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:60.222.231.186 Destination:200.97.164.11 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:May 26 10:01:28 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:60.222.231.185 Destination:200.97.164.11 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:May 26 10:06:28 Direction: Desconhecido In:ppp0 Out: Port:135 Source:18949234214.user.veloxzone.com.br Destination:200.97.164.11 Length:48 TOS:0x00 Protocol:TCP Service:DCOM-scm
Time:May 26 10:10:46 Direction: Desconhecido In:ppp0 Out: Port:1433 Source:218.6.13.180 Destination:200.97.164.11 Length:40 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:May 26 10:16:26 Direction: Desconhecido In:ppp0 Out: Port:1080 Source:193.138.232.90 Destination:200.97.164.11 Length:48 TOS:0x00 Protocol:TCP Service:Socks
Time:May 26 10:20:51 Direction: Desconhecido In:ppp0 Out: Port:135 Source:218.6.13.180 Destination:200.97.164.11 Length:40 TOS:0x00 Protocol:TCP Service:DCOM-scm
Time:May 26 10:25:27 Direction: Desconhecido In:ppp0 Out: Port:445 Source:211.3.196.253 Destination:200.97.164.11 Length:52 TOS:0x00 Protocol:TCP Service:Microsoft-ds




alguém poderia me da uma luz o que segnifica realmente.

VB5

Isso depende muito de como você configurou o Firestarter, se tem uma rede local, etc. Aqui tenho duas máquinas em rede, e na Politica de Acesso apenas estas estão liberadas para acesso; nunca tenho listagens como a sua.

VB5
Ubuntu 10.04 - Semprom 2600+/Asus K8N/1.5 GB RAM DDR 400/GeForce 6200/HDs: 80MB + 320 GB

raidicar

Isso é só os logs mostrados que aparece por causa da configuração que vc fez ou deixou de fazer no seu firewall.
Isso não significa exatamente uma invasão, é comum, dependendo do que a gente faz, que determinados sites acessem sua maquina e o firewall esta lhe mostrando, cabe a vc nesse log ver se o acesso é realmente conhecido ou não, ex: Ao instalar um plugin on line de multimidia, vc entrou no site e ele pede que instale algo, vc quer instalar um programa via apt-get, nesse caso, um servidor de fora envia o programa pra vc, o seu firewall pode bloquear ou não, dependendo da configuração, mas ele deve registrar tudo, permitido ou negado, as vezes vc acessa sites pornos e eles contem spyware que tentam se instalar em seu pc, o firewall bloqueia, então, as vezes é um acesso nocivo, outras vezes é um acesso normal, resta vc saber o que vc estava fazendo na hora em que ocorreu a msg, se na hora estava atualizando um programa, por exemplo, ou se na hora vc estava no banheiro e o sistema não fez nada que pudesse necessitar que algo fosse enviado e nenhum dos seus softwares tentou se atualizar automaticamente, ai sim, se trata de uma tentativa de invasão.

Citação de: novoKubuntu7.10 online 26 de Maio de 2008, 10:28
Isto que dizer que ele bloqueou um tipo de envasão no sistema ou só informou que alguém acessou o meu sistema pela web.
Eu acho que nesse caso, as duas opções significam uma tentativa de invasão. e sim, se trata de algo que foi bloqueado, mas como disse, não quer dizer que foi uma tentativa de invasão, pode ser uma tentativa de atualização de um de seus programas, do ubuntu, alguma informação ou dado não nocivo que um site em que estava navegando tentou lhe enviar, como um plugin, ou algo nocivo enviado por um site porno, por exemplo, isso só vc pode saber pois só vc sabe o que estava fazendo nesse momento, o que o seu sistema estava fazendo nesse momento...

Abraço.
Quem ama extremamente, deixa de viver em si e vive no que ama. Na vida três coisas são certas, o amor, a morte e o Linux !
Se Platão disse, então realmente sofremos de uma perigosa doença mental.

alexandre

difícil avaliar se é uma tentativa de invasão ou um acesso legitimo ao sistema. Os pacotes listados foram bloqueados pelo firewall e vc tem que avaliar isso.

as portas abaixo de 1024 são reservadas e segundo este site http://www.portalchapeco.com.br/~jackson/portas.htm podem ser utilizadas por cavalos de tróia (portas 135 e 445). As portas acima de 1024 muitas vezes são conexões realizadas pela outra ponta em resposta a uma solicitação sua na web (porta 80).
:?)