[security] Re: Ancora Terminologia su Firewall

Giancarlo giancarlo156 a supereva.it
Gio 15 Apr 2004 15:04:07 CEST


Poichè la questione ha assunto toni divertenti, provo anch'io a dire la mia.

Marco Scandaletti ha scritto:
>Per me permettere il traffico in ingresso sulla porta 80 >significa permettere ai client di stabilire delle connessioni >sulla porta 80, viene da se che poi il firewall deve >permettere al servizio http di rispondere alla richiesta di >connessione da parte del client, non serve abilitare l'output >sul traffico in uscita!! o mi sbaglio?? so che di solito si >parla di abilitare una porta al traffico in ingresso e in >uscita, esattamente cosa si intende ?? si intendono le >connessioni in ingresso ed uscita o di traffico in ingresso e >in uscita??? 


La porta 80 essendo una "well-known port" è stata destinata dallo IANA al servizio HTTP (protocollo dello strato di applicazione).

Normalmente l'HTTP usa il protocollo TCP come strato di trasporto, il quale per la sua natura di protocollo "connection-oriented", prima di trasportare i dati, instaura una connessione tra client e server attraverso un meccanismo di handshaking a 3 vie.
Quindi in questo caso "aprire la porta 80" significa permettere una connessione TCP e traffico HTTP.

Nulla vieta però, anche se probabilmente nessuno lo fa, di usare il protocollo UDP per trasportare traffico HTTP. In questo caso, essendo UDP "connectionless", non si ha una connessione tra client e server (nel senso di trasporto orientato alla connessione) e pertanto parlare di connessione e traffico potrebbe essere cosa diversa.

Se poi invece il tuo firewall abilita in ingresso la porta 80 (HTTP su TCP), ma non abilita l'HTTP in uscita, potresti avere sulla porta 80 delle connessioni (TCP), ma non traffico in uscita (HTTP). 

Come vedi non è facile rispondere alla tua domanda.

Ciao, Giancarlo Gualato.


-----------------------------------------------------------
Spazio ILLIMITATO per la tua Email, Scanner Antivirus,
Antispam, Backup e POP3. Prova la nuova Email di superEva:
http://webmail.supereva.it/
-----------------------------------------------------------




Maggiori informazioni sulla lista security