Da qualche anno a questa parte il problema della
sicurezza informatica non tocca più solamente gli addetti del
settore, ma inizia a farsi sentire anche nell'ambito dell'utenza domestica.
È risaputo che i "pirati informatici", gli hackers,
non hanno alcun interesse verso i nostri computer di casa, che fra l'altro
per loro rappresentano una sfida fin troppo semplice. E allora perchè
dovremmo spendere soldi per proteggere un pc che magari usiamo solo
per giocare e navigare ogni tanto?
La risposta è semplice: prima di tutto, anche se agli hackers
non interessano, i nostri computer possono essere usati come basi per
sferrare efferati attacchi verso altri sistemi informatici, oppure potrebbero
essere danneggiati da qualcuno ansioso di dimostrare le proprie capacità
piratesche.
Inoltre non è detto che sia necessario l'esborso: proprio per
venire incontro agli utenti "home" molti produttori di software
per la sicurezza - firewall e antivirus - mettono a disposizione prodotti
gratuiti per l'uso personale.
Il firewall, letteralmente "parete tagliafuoco",
è un programma che ci permette di dormire sonni più tranquilli:
tutte le connessioni in entrata e in uscita dal nostro computer vengono
costantemente monitorate, in cerca di richieste anomale, e noi possiamo
decidere a seconda del caso di permettere o bloccare una determinata
connessione, oppure di bloccare le trasmissioni di un programma specifico.
Il Sygate Personal Firewall è uno di questi guardiani dei punti
di accesso al nostro computer, probabilmente uno dei migliori in circolazione
oggi. Anche in questo caso, esiste una versione free per uso domestico
e una versione a pagamento che si riconosce dalla denominazione "Pro".
Le due versioni si distinguono per quantità di opzioni e strumenti
a disposizione. In questo tutorial tratteremo le principali caratteristiche
del programma, comuni a entrambe le versioni, oltre alle peculiarità
della versione Pro.
Installazione e avvio
Prima di tutto scegliamo la versione da installare:
la versione Free
per uso personale oppure la versione
Pro se pensiamo di valutare il software e acquistare successivamente
una o più licenze (il periodo di prova è di 30 giorni).
In entrambi i casi sono richiesti 32 Mb di memoria RAM, 10 Mb di spazio
libero su disco e un processore ad almeno 133 Mhz. Visti gli standard
attuali, con questi requisiti minimi nessuno dovrebbe avere problemi
ad eseguire il programma sul proprio pc di casa. I sistemi operativi
supportati comprendono tutte le versioni di Windows: 95/98/ME/NT/2000/XP.
Dopo aver scaricato e avviato il programma di installazione, dovremo
accettare le condizioni della licenza e selezionare la cartella dove
installare il firewall. Clicchiamo su Next per iniziare la copia dei
files. Al termine del setup verrà chiesto di riavviare il computer.
Una volta riavviato il computer potremo notare l'icona del firewall
in basso a destra, a fianco dell'orologio di Windows. Il programma infatti
viene avviato automaticamente come servizio. Clicchiamo sull'icona con
il tasto destro e selezioniamo Sygate Personal Firewall
per avviare l'interfaccia grafica del programma. La stessa cosa si può
fare dal menu di Start > Programmi.
Ci verranno richiesti i dati necessari per la registrazione del programma
(le licenze si possono acquistare direttamente dal sito del produttore).
Possiamo anche selezionare Try now per dare inizio
al periodo di valutazione di 30 giorni.
Quando avremo preso un po' di confidenza con il firewall, probabilmente
ci domanderemo il significato dei colori che vediamo alternarsi sulle
frecce dell'icona del programma. La freccia rivolta verso il basso indica
il traffico in entrata, quella rivolta verso l'alto il traffico in uscita.
Se il colore è blu il traffico è stato
permesso dal firewall, se è rosso il firewall
ha deciso di bloccare il traffico. Il colore grigio viene usato quando
non è stato generato traffico.
L'icona sormontata da una x bianca indica che il programma
è in fase di allerta. In questo caso il firewall ha rilevato
un comportamento sospetto (un attacco, un port scan, etc) che potremo
visualizzare con un doppio click sull'icona, entrando direttamente nei
Security Logs. Per comprendere meglio tutta la simbologia
ricorrente nel programma possiamo consultare i file di Help.
Nell'interfaccia grafica del Sygate Firewall individuiamo cinque componenti principali
- La barra dei menu in alto (File, Security, Tools, View, Help)
- La barra dei bottoni subito sotto la prima (Block all, Applications, Logs, Test, Help)
- I grafici nella parte centrale (Traffico in entrata, Traffico in uscita e Cronologia degli attacchi)
- La visualizzazione dei programmi monitorati (Running Applications)
- La console dei messaggi (Message Console)
Dal menu Security, possiamo decidere la modalità di funzionamento
del firewall (Block all per bloccare tutte le trasmissioni, Normal per
seguire le regole predefinite e quelle impostate dall'utente, Allow
all per permettere tutte le trasmissioni).
Il menu Tools permette di accedere a tutte le opzioni del programma,
al log viewer e alle regole avanzate che sono definibili come vedremo
in seguito. Importante è anche il menu View, che definisce le
visualizzazioni possibili per i programmi monitorati: possiamo avere informazioni sul
programma o sulle connessioni.
Configurazione del firewall
Il programma offre moltissime opzioni; iniziamo a
vedere quelle di base dal pannello Tools > Options. Attraverso la
prima schermata, General, possiamo decidere se vedere
o meno l'icona del firewall in basso a destra (System Tray) e se caricare
il servizio all'avvio di Windows. La terza opzione permette di bloccare
il traffico di rete mentre è attivo lo screensaver del sistema.
L'ultima selezione è per nascondere i messaggi di notifica nel
caso non siano necessari. È possibile impostare una protezione basata
su password per non permettere ad altri di cambiare - intenzionalmente
o per sbaglio - le impostazioni del firewall.
Nella seconda schermata, Network Neighborhood, impostiamo
i permessi per l'interfaccia di rete che dobbiamo utilizzare. Spesso
quando si è protetti da un personal firewall si incontrano difficoltà
nell'utilizzare le risorse delle reti locali. In questo caso basta decidere
se permettere al computer di accedere alle risorse condivise e se consentire
la condivisione di files e stampanti.
Il pannello Security è uno dei più importanti per quanto
riguarda la configurazione di base, ma bisogna essere molto cauti nel
cambiare le opzioni predefinite. Passando il mouse sulle varie opzioni
offerte per la sicurezza viene visualizzata una breve descrizione esplicativa.
Alcune sono fondamentali in situazioni particolari: "Enable
OS fingerprint masquerading", per esempio, fa in modo
che un eventuale aggressore non possa usare certe tecniche di fingerprint
per stabilire quale sistema operativo stiamo utilizzando. La "NetBIOS
protection" è molto utile nel caso in cui vogliamo
usare il NetBIOS per condividere informazioni nella rete LAN, ma allo
stesso tempo proteggere la condivisione da attacchi esterni. Utile anche
l'opzione "Enable portscan detection", che
permette di rilevare i "sintomi" di una scansione in piena
regola da parte di aggressori esterni.
Analizziamo anche le altre opzioni riguardanti la sicurezza, dato che
fanno parte del cuore su cui si basa il funzionamento del nostro guardiano:
- Enable Intrusion Detection System; si riferisce
a un particolare sistema, la cui sigla è IDS, che ispeziona
il traffico in entrata e in uscita per trovare indizi utili a rilevare
un attacco in corso. Non scansiona solamente gli headers, o intestazioni,
ma l'intero pacchetto di dati alla ricerca di pericoli conosciuti. - Enable driver level protection; attivando questa
opzione i drivers che accedono alla rete saranno trattati come normali
applicazioni, quindi avremo la possibilità di consentire
o negare loro l'accesso. - Enable stealth mode browsing; non permette ai
siti web di rilevare informazioni sulla nostra navigazione (browser,
sistema operativo). Alcuni siti potrebbero non funzionare correttamente. - Block all traffic while the service is not loaded;
quando il servizio del firewall non è attivo, tutto il traffico
risulta bloccato. - Automatically block attackers IP address for...seconds;
consente di decidere per quanti secondi dovrà essere bloccato
l'IP di un eventuale aggressore. - Enable DLL authentication; all'utente verrà
chiesto di riconfermare la fiducia a una certa applicazione che
sta eseguendo una nuova libreria DLL (ad esempio dopo un update). - Enable anti-MAC/IP spoofing; due opzioni che
proteggono da particolari tecniche utilizzate per sostituirsi in
una transazione fra sistemi di fiducia. Abilitando la seconda verranno
interrotte le connessioni attive al momento del riavvio del servizio.
Le ultime opzioni servono a consentire il traffico DNS e DHCP, in alcuni casi indispensabile per una rete, pur mantenendo alto il livello di protezione contro attacchi mirati.
La schermata E-mail Notification contiene le opzioni relative alla notifica
via email. Ogni volta che viene rilevato un tentativo di intrusione,
il Sygate Firewall ci avviserà con un messaggio di posta elettronica
all'indirizzo che abbiamo inserito. Inseriamo nel campo "To"
l'indirizzo a cui vogliamo sia recapitato il messaggio e nel campo "SMTP
Server Address" l'indirizzo del nostro server di mail
abituale. Se il server richiede l'autenticazione, possiamo attivare
l'ultima opzione e inserire username e password. Usiamo il bottone Test
E-mail Notification per ricevere una e-mail di prova.
Infine, troviamo le schermate per definire le dimensioni massime dei files di log e per controllare la presenza di update del programma. Per quanto riguarda i log, è sconsigliabile utilizzare l'opzione "Capture Full Packet" che descriveremo in seguito, se non per brevi periodi, perchè potrebbe rallentare il funzionamento del programma.
Nella finestra Updates è consigliabile selezionare Automatically
check for new versions, per essere avvisati nel caso sia disponibile
una versione aggiornata del firewall.
Basta un'occhiata ai grafici nella schermata principale
del firewall per avere una visione d'insieme della situazione. Possiamo
così renderci conto se stiamo generando una mole inconsueta di
traffico in entrata o in uscita e se sono in corso degli attacchi. Se
il grafico Attack History è piatto, allora non
c'è da preoccuparsi.
Il Sygate Personal Firewall offre un'ottima invisibilità. Se
qualcuno dall'esterno tenterà un ping verso il nostro sistema
(sintassi da DOS ping indirizzo_ip) non riceverà alcuna
risposta. Lo stesso vale per i comuni scanner di sicurezza utilizzati
per verificare la presenza di porte aperte e di bug sfruttabili nel
sistema bersaglio. Possiamo tentare una scansione TCP con nmap,
se disponiamo di questo scanner, usando il comando nmap -v -sT -P0
-O indirizzo_ip. Confrontando i risultati rispetto a quando il
firewall è disattivato, potremo renderci conto della protezione
offerta dal firewall: lo scanner non è più in grado di
rilevare una porta aperta e di stabilire quale sistema operativo stiamo
utilizzando.
Avvisi del firewall: le popup
Alla prima attivazione del firewall sarà comune vedere aprirsi finestre popup riguardanti varie applicazioni che possono comunicare tramite la Rete.
Il firewall ci avvisa, con questa popup, che una applicazione sta tentando
di trasmettere dati su Internet, e ci viene chiesto se consentire o
meno questa transazione. Si può anche ordinare al firewall di
ricordare la nostra risposta, selezionando Remember my answer,
e di riutilizzarla per tutte le connessioni future di quel programma.
Se vogliamo saperne di più, possiamo cliccare su Detail
e visualizzare le informazioni dettagliate per quel tentativo di connessione.
Se sono programmi ben conosciuti, come Internet Explorer, non dovrebbe
essere difficile scegliere. Se invece non conosciamo bene il programma,
o ci sembra sospetto, è sempre meglio informarsi prima di consentire
la trasmissione.
Un'altra popup potrebbe avvisarci che è stato rilevato e bloccato
un Trojan Horse. Questo significa che il cavallo di
troia non può nuocere fino a quando il firewall è attivo,
ma sarà bene dotarsi di un antivirus per neutralizzare il file
in questione. Può capitare infine di ricevere notifiche con
messaggi vicino all'orologio di Windows (System Tray Notification)
: questo avviene quando il firewall rileva un port scan oppure blocca
una applicazione.
Capita spesso di ricevere molte notifiche e avvisi dal firewall, ma
questo non deve allarmarci inutilmente: significa che il firewall è
vigile e blocca i comportamenti sospetti. Dato che su Internet questi
comportamenti sono frequenti, sarà normale ricevere molti avvisi.
Se siamo convinti di essere bersaglio di un massiccio attacco, possiamo
premere il pulsante Block All e bloccare così
tutte le comunicazioni.
Gestione delle applicazioni
Addentriamoci ora più in profondità nella gestione delle
applicazioni monitorate dal firewall. Nella schermata iniziale del programma,
sotto Running Application, è possibile decidere
la visualizzazione più utile per ottenere maggiori informazioni
riguardo alle applicazioni in uso e alle connessioni che si stanno sviluppando.
Clicchiamo con il tasto destro del mouse al centro della finestra Running
Application, e poi su Application Details e Connection
Details. Queste due modalità ci permettono, rispettivamente,
di visualizzare informazioni riguardo alle applicazioni in uso e alle
connessioni che vengono generate da queste ultime.
La schermata di Connection Details si presenta come una tabella che
fornisce informazioni dettagliate sulle connessioni in corso: protocollo
(TCP/UDP), stato (in ascolto o connesso), porta locale e porta remota,
indirizzo IP, numero identificativo del processo, percorso dell'applicazione.
Proviamo ora a spostarci nel pannello delle applicazioni in
Tools > Applications. Qui possiamo trovare tutte le regole
che abbiamo creato interagendo con le popup che abbiamo visto prima.
Possiamo notare che il programma ha salvato i dettagli relativi al nome
del programma, alla versione, oltre ovviamente alla nostra scelta di
permettere la trasmissione o meno e il percorso completo dell'eseguibile.
Quando il campo "Access" è impostato su Ask,
il firewall chiederà sempre istruzioni per quella trasmissione.
Negli altri due casi, Allow (permetti) e Block
(blocca), non comparirà la richiesta.
Proviamo ora a selezionare una applicazione e a cliccare su
Advanced. Si aprirà una nuova schermata per la configurazione
avanzata delle applicazioni. Se abbiamo particolari esigenze, queste
opzioni ci permettono di avere un controllo totale sulle impostazioni
che regolano le comunicazioni del programma.
Probabilmente questo tipo di configurazione approfondita non sarà
necessaria per le applicazioni comuni, ma rimane comunque un ottimo
strumento per incrementare la sicurezza del nostro sistema. Vediamo
in che modo:
- Trusted IPs for the Application; possiamo specificare
un IP oppure una gamma di IP considerati di fiducia per questa applicazione.
Tutti gli altri indirizzi saranno bloccati. - Remote Server Ports; porta o intervallo di porte
remote a cui è possibile connettersi. - Local Ports; porte locali che il programma può
utilizzare. Deselezionando "Act as server" il programma
non potrà essere utilizzato in quella modalità. - Allow ICMP traffic; consente il traffico ICMP
per questo programma. - Allow during Screensaver Mode; permette il traffico
del programma anche se è attivo lo screensaver del sistema. - Enable Scheduling; abilita la pianificazione,
cioè l'applicazione della regola solo in un determinato periodo
di tempo.
Eccoci giunti alla configurazione avanzata: vedremo come creare delle regole personalizzate per le trasmissioni TCP/IP.
Apriamo il pannello da Tools > Advances rules. Una
popup ci avviserà che le Regole Avanzate hanno una priorità
superiore a quella di tutte le altre applicazioni, quindi modificheranno
qualsiasi configurazione che sia in conflitto con esse. Ci troveremo
di fronte a una schermata ancora vuota, perchè non ci sono regole
predefinite. Clicchiamo sul pulsante ADD per iniziare.
Inseriamo un nome per la regola (Rule Description),
poi selezioniamo una delle due azioni da effettuare: bloccare le trasmissioni
che corrispondo alle impostazioni della regola, oppure permetterle.
Selezioniamo quindi l'interfaccia di rete su cui operare, ed eventualmente
le opzioni per lo screensaver e le opzioni di logging. Se impostiamo
il Packet Logging il firewall salverà tutti
i pacchetti di dati corrispondenti.
Spostiamoci nella scheda Hosts. Da qui decideremo quali
saranno gli host interessati dalla regola. Tutti gli indirizzi (All
Addresses) oppure solo quelli specificati in IP Address
o negli altri campi: è possibile anche specificare un MAC Address.
Per tutti gli indirizzi indicati in questa scheda la regola verrà
applicata. Per tutti gli altri, invece, sarà come se la regola
non esistesse. Decidiamo per esempio di bloccare tutte le comunicazioni
con l'indirizzo della rete locale 192.168.0.70. Prima di tutto specifichiamo
l'indirizzo.
La schermata Port and Protocols ci permette di configurare
i protocolli e le porte (locali e remote) che la regola dovrà
utilizzare. Nel nostro caso abbiamo deciso di bloccare ogni contatto,
quindi basterà selezionare ALL. Selezionando una opzione diversa,
sarà possibile specificare anche la direzione del traffico da
bloccare o permettere: Incoming (in entrata), Outgoing
(in uscita) o Both (entrambi).
Il pannello Scheduling permette di abilitare la pianificazione
della regola, come già visto per la gestione delle applicazioni.
Infine in Applications abbiamo la possibilità
di scegliere uno o più programmi a cui riferire la regola; in
questo caso non selezioniamo nulla e il firewall attiverà la
regola per tutte le applicazioni.
Dopo aver definito la nostra regola personalizzata, facciamo click su
OK per vedere un riepilogo della regola. Quale potrebbe
essere un'altra applicazione pratica delle Regole Avanzate? Per esempio
se siamo venuti a conoscenza di un nuovo Trojan che aggira in qualche
modo il normale controllo del firewall, con pochi passaggi possiamo
creare una regola che neutralizza il Trojan. Non è poi così
complicato, e potrebbe proteggere il nostro pc fino al prossimo aggiornamento
del firewall.
Uno strumento molto importante per l'analisi del
traffico monitorato è il Log Viewer (Tools >
Logs). Ecco come si presenta la sezione Security Log
del Viewer dopo un port scan: il programma crea una tabella per informarci
del tipo di attacco o anomalia rilevati, l'indirizzo locale e quello
remoto, la gravità della situazione e il protocollo usato.
Possiamo sapere in tempo reale se il nostro PC è vittima di un
DoS, Denial of Service, oppure di un semplice port
scan (che potrebbe comunque non farci piacere).
Andiamo ora in un'altra sezione, il Traffic
Log, da View > Traffic log. Questa sezione raccoglie tutte
le informazioni sul traffico generato da e verso il nostro computer,
anche se non è stata rilevata nessuna anomalia. In questo modo
saremo in grado di vedere tutto ciò che ha fatto il nostro PC
su Internet. Le registrazioni alla porta 80 indicheranno i siti visitati,
sulla 110 le connessioni al server di mail e così via.
E se volessimo saperne di più? Proviamo
a cliccare su una di queste registrazioni con il tasto destro del mouse
e clicchiamo su Backtrace. Si aprirà una nuova
schermata, che ci mette a disposizione due strumenti: Traceroute e Whois.
Il primo serve per vedere il percorso di instradamento che compie un
nostro pacchetto per arrivare all'host remoto. Il secondo invece si
collega a un server apposito, che contiene i dati di tutti i domini
Internet registrati e i dati relativi all'assegnazione degli indirizzi
IP per le reti.
Nel System Log troviamo l'elenco di tutti gli eventi
di sistema che coinvolgono il Firewall: cambiamento delle opzioni, avvio
e sospensione del servizio, nuove regole applicate. L'ultima schermata è
il Packet log (View > Packet log). Per abilitarlo
andiamo in File > Options > Log (oppure Tools > Options) e
facciamo click su Capture full packet. Ora torniamo al Packet log, e
vedremo che tutti i pacchetti in transito vengono registrati in modo
da poterli analizzare.
Avremo due schermate, che mostrano la struttura e le informazioni TCP/IP
del pacchetto e i dati contenuti in formato esadecimale. Il servizio
non è abilitato per default, perchè richiede più
risorse. Se non abbiamo necessità di analizzare il traffico e
i singoli pacchetti, possiamo disabilitare questa opzione.
Il Sygate Personal Firewall Pro
si è dimostrato un ottimo strumento per proteggere il personal
computer da visite indesiderate. In confronto ad altri prodotti della
stessa categoria gli si potrebbe contestare una gestione più
macchinosa delle regole e la difficoltà di configurazione per
un utente inesperto. Queste pecche sono però largamente compensate
dalla quantità di opzioni a disposizione e dalla configurabilità.
Ottime le funzionalità di sicurezza, che includono addirittura
un Intrusion Detection System e la protezione contro
tecniche più avanzate, come lo spoofing.
Sotto il profilo dei bug e delle falle il Sygate non ha un grande cronologia
di eventi, fortunatamente. Rileviamo per la versione 5.0 un difetto
nella configurazione di default che permetterebbe di oltrepassare i
filtri del firewall in certe condizioni; ulteriori informazioni nell'advisory
di SecurityFocus.
Può essere risolto aggiornando il software all'ultima versione
disponibile.
Servizi supplementari
Gli utenti del Sygate Personal Firewall hanno a disposizione una vasta
gamma di servizi supplementari e risorse online.
- Forum online per chiarire
i dubbi e risolvere i problemi relativi all'installazione, alla configurazione,
alle regole avanzate etc. Contiene anche delle FAQ.
- Regcode support
per recuperare facilmente i registration code dimenticati.
- Security Scanner, un servizio
gratuito per la scansione online del sistema. Rileva le porte aperte e
i possibili bug.
- User
guide, un manuale utente che esamina tutti gli aspetti del firewall
(in inglese).
- Comparison
Chart, elenca le differenze fra la versione normale e la versione
Pro
