| Viaggio tra i software "personal firewall" | ||||
|
||||
| Iniziamo questa settimana un breve viaggio tra i software firewall. Il termine “firewall” può essere tradotto in italiano all’incirca come “muro tagliafuoco”. Questo oggetto, infatti, che può essere implementato in hardware oppure via software, fa da filtro tra la rete di computer locale e la rete Internet: la principale funzione del firewall consiste nel monitorare il traffico veicolato tra una rete di computer considerata sicura (ad esempio una LAN aziendale o “casalinga”) ed il mondo esterno. Il firewall agisce sui pacchetti in transito da e verso un singolo personal computer o sui sistemi connessi ad una rete locale. Questa continua ispezione permette di impostare delle regole specifiche che permettano di consentire o di bloccare certi tipi di comunicazioni. Un firewall può essere realizzato utilizzando un personal computer da destinare unicamente a questo scopo (installando, ad esempio, mini-distribuzioni Linux esclusivamente vocate a funzionalità firewall), adottando un apparato hardware specializzato o un router che includa anche questa possibilità oppure installando un “personal firewall”, un programma residente sul calcolatore, che si occupa di verificare costantemente tutti i dati che entrano ed escono dal sistema. Un qualsiasi software “personal firewall”, se installato, va utilizzato con cognizione di causa, solo dopo averne ben compreso il funzionamento. Va infatti tenuto a mente che un firewall non è paragonabile ai moderni antivirus che, una volta installati sul sistema possono essere passati “nel dimenticatoio” (l’unica operazione da compiere periodicamente consiste nell’aggiornamento delle firme virali anche se ormai tutti gli antivirus sono in grado di provvedere autonomamente): un personal firewall necessita talvolta dell’intervento dell’utente e comunque richiede un periodo iniziale di addestramento. Ogni firewall che si rispetti, infatti, non blocca automaticamente gli attacchi provenienti dalla Rete ma rileva tutti i tentativi di connessione verso l’esterno da parte delle applicazioni installate sul sistema. Dopo l’installazione del firewall, l’utente potrebbe vedersi proporre numerose finestre di allerta mediante le quali viene richiesto se un’applicazione debba potere o meno accedere ad Internet. E’ di importanza cruciale comprendere pienamente il significato di tali segnalazioni; in caso contrario, rispondendo affermativamente ed in modo frettoloso si potrebbe paradossalmente facilitare la vita ad eventuali aggressori remoti. Con il lancio del Service Pack 2 per Windows XP, nel mese di Agosto 2004, Microsoft ha cominciato a puntare ancor più seriamente sull’obiettivo-sicurezza. Sebbene XP già integrasse in precedenza un firewall “ridotto all’osso”, con il secondo pacchetto di aggiornamento, l’azienda di Redmond ha voluto far uscire questo strumento dall’anonimato integrandolo all’interno del Centro Sicurezza PC, una finestra che vuol essere unico punto di riferimento per i tre aspetti direttamente collegati con la sicurezza del sistema: installazione ed aggiornamento dell’antivirus, applicazione periodica delle patch, installazione di un software firewall. Sebbene il Windows Firewall offra un buon livello di sicurezza relativamente agli attacchi provenienti dall’esterno, lo strumento si rivela inadeguato nella fase di monitoraggio delle comunicazioni in uscita. Windows Firewall, infatti, consente – in modo predefinito – tutte le comunicazioni dirette all’esterno della propria rete e non informa l’utente su quali applicazioni stanno tentando di scambiare dati; il prodotto, inoltre, non offre (anche se in Rete esistono dei software di terze parti in grado di farlo) di analizzare i file di log e limita il blocco dei siti Internet agli URL specificati manualmente (non consente un blocco basato sulle parole contenute nelle pagine web). Il Centro Sicurezza PC, allorquando si installi un nuovo personal firewall, dovrebbe riconoscerlo automaticamente. Qualora ciò non dovesse accadere, suggeriamo di disattivare manualmente il Windows Firewall. - Facciamo chiarezza sui termini utilizzati Indirizzo IP. Nelle reti di calcolatori, le informazioni che debbono essere trasmesse vengono spezzate in più porzioni detti “pacchetti”. Ciascun pacchetto ha una dimensione prefissata e, nel caso in cui il quantitativo di dati da inviare sia maggiore, si usano più pacchetti (processo di segmentazione). L’Internet Protocol (IP) è un protocollo di rete a pacchetto. Ad ogni macchina collegata ad Internet viene assegnato uno speciale indirizzo IP. Lo standard IPv4 (la sua definizione risale al 1981) implica l’assegnazione di un indirizzo univoco, di 32 bit. Esaminando un indirizzo IP è possibile stabilire la rete (e quindi anche il provider) cui è connessa una macchina (“host”). Esistono in Rete diversi servizi (Whois) che, inserendo un IP, permettono di risalire immediatamente alla rete di appartenenza. Tale possibilità si rivela particolarmente utile per comprendere, ad esempio, da quali host è stato originato del traffico indesiderato o potenzialmente ostile verso i propri sistemi. Protocollo. Un protocollo fissa le modalità con le quali una o più macchine possono scambiare dati tra loro. Ciascun protocollo regola di solito solamente una parte degli aspetti di una comunicazione. Una comunicazione di rete si basa sull’uso di più livelli: quello più elevato interagisce con l’utente, quello più basso col mezzo fisico impiegato per lo scambio dei dati. TCP e UDP sono due protocolli di livello 4 (trasporto) basati su IP. TCP è il protocollo su cui poggiano gran parte delle applicazioni Internet: esso garantisce che i dati inviati giungano a destinazione e senza perdita di informazione; offre, inoltre, funzionalità di controllo di flusso e della congestione della rete. UDP è un protocollo molto efficiente ma poco affidabile rispetto al TCP: queste sue peculiarità lo rendono la scelta ottimale per operazioni di streaming audio/video via Internet o nei videogiochi multiplayer. SMTP (invio della posta elettronica), POP (ricezione delle e-mail), IMAP (ricezione della posta), NNTP (consultazione dei newsgoup), FTP (trasferimento di file), HTTP (“navigazione” sul web), IRC (chat), sono solo alcuni esempi di protocolli del livello applicazione. Un buon firewall riporta sempre l’indicazione del protocollo e della porta attraverso i quali un’applicazione sta intentando una comunicazione. Porta. Una connessione di rete è effettuabile utilizzando una delle 65.535 porte disponibili sul sistema: alle prime 1.024 porte (well known ports) sono associati specifici servizi previsti dallo IANA (Internet Assigned Numbers Authority). Per convenzione, quindi, le porte 20 e 21 sono usate dal protocollo FTP per il trasferimento di file; la 25 dal protocollo SMTP; la 80 da HTTP; la 110 da POP3; la 119 da NNTP e così via. Gran parte dei "personal firewall" oggi in circolazione, proteggono il sistema dai principali attacchi sferrati dall’esterno ma ben diverso è il comportamento tenuto non appena un’applicazione installata tenti di effettuare una comunicazione via Internet. Un buon firewall dovrebbe, secondo noi, offrire la possibilità di creare regole molto strette: non ha senso, infatti, dare piena libertà ad un’applicazione di scambiare dati in Rete quando questa, ad esempio, dovrebbe poter comunicare solo mediante talune porte e protocolli. Se abbiamo installato un client di posta elettronica questo dovrebbe connettersi solo alle porte 25 (SMTP, per l’invio dei messaggi) e 110 (POP3, per la ricezione delle e-mail): altre comunicazioni sono evidentemente inutili o comunque non necessarie. Un firewall permette, quindi, di scoprire cose molte interessanti sulle applicazioni che abbiamo installato sul personal computer: grazie al suo utilizzo ragionato, ad esempio, si può capire se un programma intenti altri tipi di comunicazione (e verso quali destinazioni) oltre a quelle per cui è stato creato. I firewall più flessibili, perciò, consentono di creare regole personalizzate, assai strette: per ogni applicazione si può, per esempio, consentire certi tipi di comunicazioni e negarne altri. "Filtrare" il web. Abbiamo già avuto modo di illustrare, più volte, in passato, quanto i contenuti attivi maligni pubblicati nelle pagine web possano essere pericolosi per la stabilità del sistema, per l’integrità dei dati memorizzati sul personal computer e per la privacy dell’utente. Per evitare qualunque rischio è bene provvedere a mantenere aggiornati sistema operativo ed applicazioni utilizzate (prime tra tutte il browser, il client di posta elettronica, il software di instant messaging) installando tempestivamente tutte le patch di sicurezza che vengono via a via rilasciate. Fate un cerchietto sul calendario in corrispondenza di ogni secondo martedì del mese: è questo infatti il giorno deputato al rilascio di nuove patch critiche da parte di Microsoft. Per ottenere l’elenco delle patch messe a disposizione, è sufficiente far riferimento al servizio Windows Update, utilizzare il software MBSA (solo per Windows 2000 o superiori: http://www.microsoft.com/technet/security/tools/mbsahome.mspx ) e consultare le pagine http://www.microsoft.com/italy/security/security_bulletins/archive.mspx e http://www.microsoft.com/italy/technet/security/bulletin/default.mspx (il secondo link, permette di ottenere dettagli approfonditi su tutti gli aggiornamenti di sicurezza Microsoft). Purtuttavia, un firewall in grado di riconoscere e bloccare i contenuti attivi presenti sul web può permettere di “navigare” in Rete con maggiore tranquillità. Come spiegheremo nelle prossime uscite della mailing list, agendo sulle apposite opzioni fornite dai vari software, l'utente può rato per impedire il download e l’esecuzione di componenti attivi, consentendo – ad esempio – solo la ricezione di contenuti realizzati con tecnologia Macromedia Flash (spesso impiegati in molti siti web per creare presentazioni, effetti grafici, barre di navigazione “alla moda”). Nel caso in cui si avesse la necessità di eseguire un’applet Java od un controllo ActiveX su un sito web “fidato”, si potrà impostare un’apposita regola di esclusione. R-Firewall è un “personal firewall” gratuito che, oltre ad integrare le funzionalità classiche integrate in un prodotto della sua categoria, consente di filtrare i contenuti web, similmente a quanto previsto in Outpost (presentato più volte nelle pagine de IlSoftware.it e rilasciato, di recente, nella sua ultima versione 3.0 dotata di un modulo antispyware integrato). Il software, prelevabile gratuitamente all’indirizzo http://www.r-firewall.com, non solo protegge dagli attacchi provenienti dalla rete Internet ma sorveglia le applicazioni che cercano di trasmettere e ricevere dati. A tal proposito, va sottolineato come al termine dell’installazione, R-Firewall rilevi automaticamente i programmi che necessitano della connessione ad Internet e richieda per quali di essi debba essere impostata una regola specifica. Il prodotto, sebbene ancora debba crescere in termini di stabilità, vanta una vasta gamma di regole firewall preconfigurate (preset): scorrendone l’elenco si trovano anche i software per la messaggistica istantanea (risultano spesso i più difficoltosi da configurare) ed addirittura applicazioni per il “file sharing”. Suggeriamo ai lettori più smaliziati di impostare subito R-Firewall nella modalità avanzata scegliendo la voce Advanced dal menù View: si avrà così la possibilità di interagire con tutte le funzionalità messe a disposizione. La prossima settimana inizieremo col presentare un software firewall free: Jetico Personal Firewall. |
||||
| «Ritorna | ^Top | |||
