Guida introduttiva ai Firewall
Provate ad immaginare un grattacielo di 100 piani e pensate che su ogni piano ci sono 20 appartamenti, ognuno con una porta di entrata principale e con finestre e balconi: il calcolo si fa grande, come grande è lo sforzo per impedire ai ladri di entrare attraverso una delle tante porte finestre o balconi del nostro palazzo immaginario. Il vostro computer è come il grattacielo che avete immaginato, con ben 65.536 canali di comunicazione possibili, chiamati "Porte". Tali porte si attivano quando siete collegati ad internet.
Ad esempio, per fare delle azioni quotidiane come scaricare la posta aprimo la porta 110, per inviarla utilizziamo la porta 25, per visitare il nostro sito preferito la 80 e via di seguito. Puoi verificare lo stato delle porte aperte sul tuo pc digitando il comando "netstat -a" dal Prompt di DOS.
Segnaliamo in questa tabella alcune programmi di uso comune e la porte che utilizzano.
Porta |
Descrizione |
Suggerimento |
21 |
Ftp Server |
Aprire per ricevere dati mediante Ftp |
22 |
Ssh Server |
Serve per offire un Secure Shell |
25 |
Smtp |
Aprire solo per gestire un mail server |
80 |
Http |
Aprire per gestire un server Web |
110 |
Pop3 |
Aprire solo per gestire un mail server |
135,137,138,139,445 |
Servizi Windows Remote |
Da tenere sempre chiusi.Se non si è in rete locale |
1214 |
KaZaA Lite |
Aprire solo se si utilizza KaZaA |
1755 |
Microsoft Media Play |
Meglio tenerla chiusa perchè alcuni streaming server la usano |
1863 |
Microsoft MSN Messenger |
Il messenger funziona anche con la porta chiusa |
4661,4662,4665,4672 |
eMule |
Aprire solo se si usa eMule |
5050 |
Yahoo Messenger |
Il messenger funziona anche con la porta chiusa |
5190 |
ICQ,AIM |
I messenger funzionano anche con la porta chiusa |
5881 - 6889 |
BitTorrent |
Aprire solo se si usa BitTorrent |
Allo scopo proprio di proteggere questi punti di accessto dei computer sono stati creati appositi software di protezione chiamati Firewall. Nati inizialmente per difendere i dati contenuti in server o in reti di grosse dimensioni, oggi i Firewall sono disponibili anche per l'utenza privata,grazie al fatto che alcuni produttori di software danno la possibilità di utilizzare prodotti in prova o ad uso gratuito.
Possiamo dividere i Firewall in due categorie:
1) Packet Filtering Gateways
QUesto tipo di firewall è paragonabile a dei cancelli che filtrano e controllano il transito dei pacchetti e che consentono il passaggio solo del pacchetto autorizzato. In effetti la scelta dei pacchetti autorizzati per il passaggio viene regolata da dei filtri. Questi Firewall offrono comunque scarsa sicurezza perché in effetti il sistema analizza gli indirizzi IP, infatti un Host può facilmente superare questo sistema mascherando il proprio IP e sostituindolo con uno autorizzato ad accedere liberamente alla rete protetta.
2) Application Proxies
Differentemente dall'altro, questo sistema intercetta e analizza il traffico a livello di protocollo TCP/IP. Quindi un utente accede al server Proxy che analizza il protocollo TCP/IP ed una volta autenticato ha libero accesso al server remoto situato su internet. Allo stesso modo tutte le comunicazioni che provengono da internet verso il singolo computer, vengono ricevute dal Proxy analizzate e poi autorizzate ad entrare nel sistema. Comunque sia per i costi sia per la necessità di utilizzare un proxy la loro diffusione è limitata alle grosse aziende.
Con l'aumentare del diffondersi di Internet nelle nostre case sono anche aumentate le possibilità per Hacker e malintenzionati che passano il loro tempo cercando di aggirare le protezioni dei nostri computer e violare la nostra Privacy. Spesso solo per la voglia di tentare o dimostrare a se stessi che riescono a farlo.
Questo succede quando siamo collegati alla rete e soprattutto quando usiamo programmi di libero scambio oggi molto diffusi che permettono la condivisione tra più utenti delle risorse del proprio computer.
Ci sembrerebbe logico pensare di staccare il cavo che collega il computer al modem (sarebbe la cosa più sicura) così da uscire totalmente dalla rete.Ma così facendo si perderebbero anche tutti i piaceri che la rete Internet può dare.
Quindi per non rinunciare alle chiacchiere on_line (chat) o alla navigazione di un bel sito o scaricare la canzone preferita proteggiamo le nostre macchine con un Firewall.
Come dicevamo un Firewall controlla tutto il traffico in entrata ed in uscita da un PC bloccando tutti quei programma che non sono consentiti dall'utente.
I primi giorni saranno un po' particolari spesso sarete interrotti dal vostro firewall che vi chiederà se consentire o meno ad una data applicazione di accedere ad internet , successivamente queste interruzioni diminuiranno, naturalmente bisogna sempre tenere aggiornato il proprio firewall e spesso fare una scansione delle porte per verificare il grado di sicurezza raggiunto. Vediamo assieme alcune delle principali applicazioni per le quali il vostro firewall vi chierderà cosa fare.
|
Iexplore.exe
Nome del programma: Microsoft Internet Explorer
Descrizione: il browser di Windows
Cosa fare: consigliabile consentire solo permessi provvisori, per il fatto che alcuni spyware possono avviare il browser in automatico ed inviare vostre informazioni personali a terzi.
|
|
Lsass.exe
Nome del programma: LSA shell
Descrizione: serve per convalidare le password d'accesso degli utenti
Cosa fare: se il file non è stato influenzato da virus accordate un permesso permanente.
|
|
Msimn.exe
Nome del programma: Microsoft Outlook Express
Descrizione: il client di posta di Windows
Cosa fare: se il firewall vi permette di definire quale applicazione associare alle porte specificare Outlook Express e nessun altro client.
|
|
Msmsgs.exe
Nome del programma: Messenger
Descrizione: sistema di messagistita immediata di MSN
Cosa fare: potete concedere un permesso permanente senza alcun problema. Anche per questo messenger non consentire l'accesso alla componente server per qualunque programma di messaggistica, potrebbe essere una via di accesso per gli hacker per prelevarvi file.
|
|
Navapw32.exe
Nome del programma: Norton AntiVirus Auto-Protect
Descrizione: ricerca gli aggiornamenti di Norton AntiVirus
Cosa fare: concedete pure un consenso permanente
|
|
Ndisuio.sys
Nome del programma: Ndis
Descrizione: driver interno di Windows ,gestisce le comunicazioni tra i processi interni di Windows
Cosa fare: concedete pure un consenso permanente
|
|
Ntoskrnl.exe
Nome del programma: Sistema e Kernel NT
Descrizione: è il kernel di Windows NT/2000/Xp
Cosa fare: potete concedere un consenso permanente anche se tuttavia questo file è spesso bersagliato dai Trojan e Worm.
|
|
Rundll32.exe
Nome del programma: Modulo di esecuzione DLL
Descrizione: esegue il codice di una libreria dinamica (per esempio un Applet) come se fosse un programma completo
Cosa fare: solo permesso provvisorio se sapete perchè questa Applet ha inizio, altrimenti negate il consenso
|
|
Services.exe
Nome del programma: Applicazione servizi e controller
Descrizione: gestisce i dispositivi Plug & Play, tiene traccia delle risorse, invia messaggi e alert...
Cosa fare: accordate un permesso permanente
|
|
Setup_wm.exe
Nome del programma: Microsoft Windows Media Configuration Utility
Descrizione: controlla gli aggiornamenti di Windows Media Player
Cosa fare: negate permanentemente l'accesso ad Internet.
|
|
Svchost.exe
Nome del programma: Generic Host Process
Descrizione: il programma esegue una o più librerie dinamiche per le macchine in rete
Cosa fare: permesso permanente
|
|
Userinit.exe
Nome del programma: Applicazione accesso Userinit
Descrizione: avvia l'ambiente di lavoro e le connessioni di rete del singolo utente
Cosa fare: permesso permanente
|
|
Winlogon.exe
Nome del programma: Applicazione accesso a Windows NT
Descrizione: gestisce password degli utenti
Cosa fare: permesso permanente
|
|
Wkufind.exe
Nome del programma: Aggiornamento di Microsoft Works
Descrizione: cerca aggiornamenti per Microsoft Works
Cosa fare: dare un permesso provvisorio solo quando effettivamente cercate degli aggiornamenti per Microsoft Works
|
|
Wuauclt.exe
Nome del programma: Aggiornamento automatico di Windows Update
Descrizione: controlla gli aggiornamenti di Windows Update
Cosa fare: permesso permanente
|
Da cosa non protegge un firewall?
Non protegge dai virus. Se ricevete un messaggio e-mail con allegato un file contaminato da un virus ed eseguite l'allegato stesso, nessun firewall sarà in grado di proteggervi dagli effetti del virus ricevuto.
Il massimo della protezione contro gli attacchi di tutti i tipi, anche da parte di virus e cavalli di Troia, si ottiene comunque installando, oltre al firewall, un software Antivirus.
Alcuni dei firewall più utilizzati:
Zone Alarm
Senza dubbio tra i software più consigliati, il motivo di questa scelta è dato dal suo prezzo, Zone Alarm infatti è completamente gratuito sia per i privati che per le organizzazioni no-profit. Facile da configurare , infatti, in pochi passi potrete proteggere addirittura un'intera area locale.Non ha nulla da invidiare ai suoi colleghi a pagamento, infatti esso blocca il traffico in uscita, rileva e blocca le port scan, può bloccare all'istante il traffico Internet, blocca la sorgente di attacco rilevato ecc. Unico neo è dato dalla sua versione esclusivamente in Inglese. Potete scaricarlo presso il sito web www.zonelabs.com .
Norton Personal Firewall 2003
Offre una soluzione completa per la difesa del proprio personal computer da attacchi provenienti dall'esterno e da contenuti pericolosi.Con il nuovo strumento chiamato Security Monitor - che consente l'accesso rapido a tutti i componenti del firewall.
ed il bloccaggio istantaneo di tutte le comunicazioni somiglia molto al ZoneAlarm.
Inoltre per facilitare la comprensione dei problemi di sicurezza include un nuovo Assistente come suggeritore della varie problematiche.
Facile da istallare grazie all'auto composizione guidata che permette di configurare in sei semplici passaggi tutte le chiavi del firewall . Facile da configurare anche per una rete locale.
A garantire la massima sicurezza, è possibile impostare Norton Personal Firewall in modo che ogni volta l'utente desideri modificare le sue impostazioni, richieda l'inserimento di una password (sezione Protezione tramite password).Unico difetto !! Si paga.
Agnitum Outpost Firewall
Meno conosciuto rispetto ai ZoneAlarm, Norton Personal Firewall, Kerio, Sygate – ma potente, semplice da usare e, soprattutto, efficiente.
Questo firewall protegge non solo dai tentativi di accesso al proprio personal computer, da parte di "hacker" e malintenzionati, ma difende anche da altri pericoli della Rete Internet: cookies, banner pubblicitari troppo "invasivi", virus diffusi via e-mail, software spyware e così via...
Il programma offre un supporto aperto per l'aggiunta di nuovi plug-in: questa possibilità permette agli sviluppatori di tutto il mondo di aggiungere nuove funzionalità ad Outpost.Filtra anche gli allegati alla posta elettronica e rileva i tentativi di scansione delle porte del proprio personal computer.
La versione base di Outpost è completamente gratuita. Esiste anche una versione Pro più evoluta (a pagamento).
Kerio Personal Firewall
Fa da filtro tra il personal computer e la Rete Internet. Controllare sia il traffico in entrata che quello in uscita. Tutte le applicazioni che richiedono di comunicare con Internet vengono infatti immediatamente riconosciute: i tentativi di scambio dati (che nel caso di "trojan horses" o di altri software "maligni" non sono autorizzati...) vengono tempestivamente bloccati e segnalati all'utente il quale può impostare, se lo desidera, una regola di sicurezza personalizzata.
Questo software si basa sull'esperienza maturata da Tiny Personal Firewall (l'interfaccia utente e moltissime impostazioni solo le medesime) pur mantenendo la sua completa gratuità per uso personale.
Firestarter
Firestarter mostra, in tempo reale, tutti gli attacchi "sferrati" contro i vostri sistemi. Disponibile anche in italiano.
Sygate Personal Firewall
Molto personalizzabile, si possono impostare dei criteri in base alle proprie esigenze ed alle applicazioni che si utilizzano e anche specificare elenchi di IP fidati.
Ogni tentativo di intrusione viene immediatamente segnalato e registrato.Completamente gratuito per uso personale.
La nuova versione del firewall si integra perfettamente con Windows XP.
VisualZone
VisualZone Report Utility è un programma (gratuito) che in aggiunta di firewall ZoneAlarm, permette di ottenere informazioni dettagliate su tutti i tentativi di intrusione sul proprio personal computer per effettuare un backtrace verso chi ha lanciato l'attacco. Recuperare informazioni su chi ha lanciato l'attacco e di preparare in modo automatico e-mail da inviare ai rispettivi provider per comunicare i tentativi di accesso illegale sui propri sistemi.
Maurizio "{{{FULMINE}}}" Leandri fulmine_64@hotmail.com
Michele "M|[ck]3y" Bagnoli mickey@ircitaly.net
Ultima revisione: 15 Marzo 2004
|
Firewall
