Introduzione a Sygate Firewall Pro

Da qualche anno a questa parte il problema della sicurezza informatica non tocca più solamente gli addetti del settore, ma inizia a farsi sentire anche nell'ambito dell'utenza domestica.
E' risaputo che i "pirati informatici", gli hackers, non hanno alcun interesse verso i nostri computer di casa, che fra l'altro per loro rappresentano una sfida fin troppo semplice. E allora perchè dovremmo spendere soldi per proteggere un pc che magari usiamo solo per giocare e navigare ogni tanto?

La risposta è semplice: prima di tutto, anche se agli hackers non interessano, i nostri computer possono essere usati come basi per sferrare efferati attacchi verso altri sistemi informatici, oppure potrebbero essere danneggiati da qualcuno ansioso di dimostrare le proprie capacità piratesche.
Inoltre non è detto che sia necessario l'esborso: proprio per venire incontro agli utenti "home" molti produttori di software per la sicurezza - firewall e antivirus - mettono a disposizione prodotti gratuiti per l'uso personale.

Il firewall, letteralmente "parete tagliafuoco", è un programma che ci permette di dormire sonni più tranquilli: tutte le connessioni in entrata e in uscita dal nostro computer vengono costantemente monitorate, in cerca di richieste anomale, e noi possiamo decidere a seconda del caso di permettere o bloccare una determinata connessione, oppure di bloccare le trasmissioni di un programma specifico.

Il Sygate Personal Firewall è uno di questi guardiani dei punti di accesso al nostro computer, probabilmente uno dei migliori in circolazione oggi. Anche in questo caso, esiste una versione free per uso domestico e una versione a pagamento che si riconosce dalla denominazione "Pro". Le due versioni si distinguono per quantità di opzioni e strumenti a disposizione. In questo tutorial tratteremo le principali caratteristiche del programma, comuni a entrambe le versioni, oltre alle peculiarità della versione Pro.

Installazione e avvio

Prima di tutto scegliamo la versione da installare: la versione Free per uso personale oppure la versione Pro se pensiamo di valutare il software e acquistare successivamente una o più licenze (il periodo di prova è di 30 giorni).

In entrambi i casi sono richiesti 32 Mb di memoria RAM, 10 Mb di spazio libero su disco e un processore ad almeno 133 Mhz. Visti gli standard attuali, con questi requisiti minimi nessuno dovrebbe avere problemi ad eseguire il programma sul proprio pc di casa. I sistemi operativi supportati comprendono tutte le versioni di Windows: 95/98/ME/NT/2000/XP.

Dopo aver scaricato e avviato il programma di installazione, dovremo accettare le condizioni della licenza e selezionare la cartella dove installare il firewall. Clicchiamo su Next per iniziare la copia dei files. Al termine del setup verrà chiesto di riavviare il computer.

Una volta riavviato il computer potremo notare l'icona del firewall in basso a destra, a fianco dell'orologio di Windows. Il programma infatti viene avviato automaticamente come servizio. Clicchiamo sull'icona con il tasto destro e selezioniamo Sygate Personal Firewall per avviare l'interfaccia grafica del programma. La stessa cosa si può fare dal menu di Start > Programmi.


Ci verranno richiesti i dati necessari per la registrazione del programma (le licenze si possono acquistare direttamente dal sito del produttore). Possiamo anche selezionare Try now per dare inizio al periodo di valutazione di 30 giorni.

Quando avremo preso un po' di confidenza con il firewall, probabilmente ci domanderemo il significato dei colori che vediamo alternarsi sulle frecce dell'icona del programma. La freccia rivolta verso il basso indica il traffico in entrata, quella rivolta verso l'alto il traffico in uscita. Se il colore è blu il traffico è stato permesso dal firewall, se è rosso il firewall ha deciso di bloccare il traffico. Il colore grigio viene usato quando non è stato generato traffico.

L'icona sormontata da una x bianca indica che il programma è in fase di allerta. In questo caso il firewall ha rilevato un comportamento sospetto (un attacco, un port scan, etc) che potremo visualizzare con un doppio click sull'icona, entrando direttamente nei Security Logs. Per comprendere meglio tutta la simbologia ricorrente nel programma possiamo consultare i file di Help.

Interfaccia e configurazione di base

Nell'interfaccia grafica del Sygate Firewall individuiamo cinque componenti principali

  1. La barra dei menu in alto (File, Security, Tools, View, Help)
  2. La barra dei bottoni subito sotto la prima (Block all, Applications, Logs, Test, Help)
  3. I grafici nella parte centrale (Traffico in entrata, Traffico in uscita e Cronologia degli attacchi)
  4. La visualizzazione dei programmi monitorati (Running Applications)
  5. La console dei messaggi (Message Console)


Dal menu Security, possiamo decidere la modalità di funzionamento del firewall (Block all per bloccare tutte le trasmissioni, Normal per seguire le regole predefinite e quelle impostate dall'utente, Allow all per permettere tutte le trasmissioni).

Il menu Tools permette di accedere a tutte le opzioni del programma, al log viewer e alle regole avanzate che sono definibili come vedremo in seguito. Importante è anche il menu View, che definisce le visualizzazioni possibili per i programmi monitorati: possiamo avere informazioni sul programma o sulle connessioni.

Configurazione del firewall

Il programma offre moltissime opzioni; iniziamo a vedere quelle di base dal pannello Tools > Options. Attraverso la prima schermata, General, possiamo decidere se vedere o meno l'icona del firewall in basso a destra (System Tray) e se caricare il servizio all'avvio di Windows. La terza opzione permette di bloccare il traffico di rete mentre è attivo lo screensaver del sistema. L'ultima selezione è per nascondere i messaggi di notifica nel caso non siano necessari. E' possibile impostare una protezione basata su password per non permettere ad altri di cambiare - intenzionalmente o per sbaglio - le impostazioni del firewall.


Nella seconda schermata, Network Neighborhood, impostiamo i permessi per l'interfaccia di rete che dobbiamo utilizzare. Spesso quando si è protetti da un personal firewall si incontrano difficoltà nell'utilizzare le risorse delle reti locali. In questo caso basta decidere se permettere al computer di accedere alle risorse condivise e se consentire la condivisione di files e stampanti.

Il pannello Security è uno dei più importanti per quanto riguarda la configurazione di base, ma bisogna essere molto cauti nel cambiare le opzioni predefinite. Passando il mouse sulle varie opzioni offerte per la sicurezza viene visualizzata una breve descrizione esplicativa.

Alcune sono fondamentali in situazioni particolari: "Enable OS fingerprint masquerading", per esempio, fa in modo che un eventuale aggressore non possa usare certe tecniche di fingerprint per stabilire quale sistema operativo stiamo utilizzando. La "NetBIOS protection" è molto utile nel caso in cui vogliamo usare il NetBIOS per condividere informazioni nella rete LAN, ma allo stesso tempo proteggere la condivisione da attacchi esterni. Utile anche l'opzione "Enable portscan detection", che permette di rilevare i "sintomi" di una scansione in piena regola da parte di aggressori esterni.

Analizziamo anche le altre opzioni riguardanti la sicurezza, dato che fanno parte del cuore su cui si basa il funzionamento del nostro guardiano:
  • Enable Intrusion Detection System; si riferisce a un particolare sistema, la cui sigla è IDS, che ispeziona il traffico in entrata e in uscita per trovare indizi utili a rilevare un attacco in corso. Non scansiona solamente gli headers, o intestazioni, ma l'intero pacchetto di dati alla ricerca di pericoli conosciuti.
  • Enable driver level protection; attivando questa opzione i drivers che accedono alla rete saranno trattati come normali applicazioni, quindi avremo la possibilità di consentire o negare loro l'accesso.
  • Enable stealth mode browsing; non permette ai siti web di rilevare informazioni sulla nostra navigazione (browser, sistema operativo). Alcuni siti potrebbero non funzionare correttamente.
  • Block all traffic while the service is not loaded; quando il servizio del firewall non è attivo, tutto il traffico risulta bloccato.
  • Automatically block attackers IP address for...seconds; consente di decidere per quanti secondi dovrà essere bloccato l'IP di un eventuale aggressore.
  • Enable DLL authentication; all'utente verrà chiesto di riconfermare la fiducia a una certa applicazione che sta eseguendo una nuova libreria DLL (ad esempio dopo un update).
  • Enable anti-MAC/IP spoofing; due opzioni che proteggono da particolari tecniche utilizzate per sostituirsi in una transazione fra sistemi di fiducia. Abilitando la seconda verranno interrotte le connessioni attive al momento del riavvio del servizio.
Le ultime opzioni servono a consentire il traffico DNS e DHCP, in alcuni casi indispensabile per una rete, pur mantenendo alto il livello di protezione contro attacchi mirati.

La schermata E-mail Notification contiene le opzioni relative alla notifica via email. Ogni volta che viene rilevato un tentativo di intrusione, il Sygate Firewall ci avviserà con un messaggio di posta elettronica all'indirizzo che abbiamo inserito. Inseriamo nel campo "To" l'indirizzo a cui vogliamo sia recapitato il messaggio e nel campo "SMTP Server Address" l'indirizzo del nostro server di mail abituale. Se il server richiede l'autenticazione, possiamo attivare l'ultima opzione e inserire username e password. Usiamo il bottone Test E-mail Notification per ricevere una e-mail di prova.

Infine, troviamo le schermate per definire le dimensioni massime dei files di log e per controllare la presenza di update del programma. Per quanto riguarda i log, è sconsigliabile utilizzare l'opzione "Capture Full Packet" che descriveremo in seguito, se non per brevi periodi, perchè potrebbe rallentare il funzionamento del programma.


Nella finestra Updates è consigliabile selezionare Automatically check for new versions, per essere avvisati nel caso sia disponibile una versione aggiornata del firewall.

 

Funzionamento e impostazioni

Basta un'occhiata ai grafici nella schermata principale del firewall per avere una visione d'insieme della situazione. Possiamo così renderci conto se stiamo generando una mole inconsueta di traffico in entrata o in uscita e se sono in corso degli attacchi. Se il grafico Attack History è piatto, allora non c'è da preoccuparsi.

Il Sygate Personal Firewall offre un'ottima invisibilità. Se qualcuno dall'esterno tenterà un ping verso il nostro sistema (sintassi da DOS ping indirizzo_ip) non riceverà alcuna risposta. Lo stesso vale per i comuni scanner di sicurezza utilizzati per verificare la presenza di porte aperte e di bug sfruttabili nel sistema bersaglio. Possiamo tentare una scansione TCP con nmap, se disponiamo di questo scanner, usando il comando nmap -v -sT -P0 -O indirizzo_ip. Confrontando i risultati rispetto a quando il firewall è disattivato, potremo renderci conto della protezione offerta dal firewall: lo scanner non è più in grado di rilevare una porta aperta e di stabilire quale sistema operativo stiamo utilizzando.

Avvisi del firewall: le popup

Alla prima attivazione del firewall sarà comune vedere aprirsi finestre popup riguardanti varie applicazioni che possono comunicare tramite la Rete.


Il firewall ci avvisa, con questa popup, che una applicazione sta tentando di trasmettere dati su Internet, e ci viene chiesto se consentire o meno questa transazione. Si può anche ordinare al firewall di ricordare la nostra risposta, selezionando Remember my answer, e di riutilizzarla per tutte le connessioni future di quel programma.

Se vogliamo saperne di più, possiamo cliccare su Detail e visualizzare le informazioni dettagliate per quel tentativo di connessione. Se sono programmi ben conosciuti, come Internet Explorer, non dovrebbe essere difficile scegliere. Se invece non conosciamo bene il programma, o ci sembra sospetto, è sempre meglio informarsi prima di consentire la trasmissione.

Un'altra popup potrebbe avvisarci che è stato rilevato e bloccato un Trojan Horse. Questo significa che il cavallo di troia non può nuocere fino a quando il firewall è attivo, ma sarà bene dotarsi di un antivirus per neutralizzare il file in questione.

Può capitare infine di ricevere notifiche con messaggi vicino all'orologio di Windows (System Tray Notification) : questo avviene quando il firewall rileva un port scan oppure blocca una applicazione.

Capita spesso di ricevere molte notifiche e avvisi dal firewall, ma questo non deve allarmarci inutilmente: significa che il firewall è vigile e blocca i comportamenti sospetti. Dato che su Internet questi comportamenti sono frequenti, sarà normale ricevere molti avvisi. Se siamo convinti di essere bersaglio di un massiccio attacco, possiamo premere il pulsante Block All e bloccare così tutte le comunicazioni.

Gestione delle applicazioni

Addentriamoci ora più in profondità nella gestione delle applicazioni monitorate dal firewall. Nella schermata iniziale del programma, sotto Running Application, è possibile decidere la visualizzazione più utile per ottenere maggiori informazioni riguardo alle applicazioni in uso e alle connessioni che si stanno sviluppando. Clicchiamo con il tasto destro del mouse al centro della finestra Running Application, e poi su Application Details e Connection Details. Queste due modalità ci permettono, rispettivamente, di visualizzare informazioni riguardo alle applicazioni in uso e alle connessioni che vengono generate da queste ultime.

La schermata di Connection Details si presenta come una tabella che fornisce informazioni dettagliate sulle connessioni in corso: protocollo (TCP/UDP), stato (in ascolto o connesso), porta locale e porta remota, indirizzo IP, numero identificativo del processo, percorso dell'applicazione.

Proviamo ora a spostarci nel pannello delle applicazioni in Tools > Applications. Qui possiamo trovare tutte le regole che abbiamo creato interagendo con le popup che abbiamo visto prima. Possiamo notare che il programma ha salvato i dettagli relativi al nome del programma, alla versione, oltre ovviamente alla nostra scelta di permettere la trasmissione o meno e il percorso completo dell'eseguibile. Quando il campo "Access" è impostato su Ask, il firewall chiederà sempre istruzioni per quella trasmissione. Negli altri due casi, Allow (permetti) e Block (blocca), non comparirà la richiesta.

Proviamo ora a selezionare una applicazione e a cliccare su Advanced. Si aprirà una nuova schermata per la configurazione avanzata delle applicazioni. Se abbiamo particolari esigenze, queste opzioni ci permettono di avere un controllo totale sulle impostazioni che regolano le comunicazioni del programma.

Probabilmente questo tipo di configurazione approfondita non sarà necessaria per le applicazioni comuni, ma rimane comunque un ottimo strumento per incrementare la sicurezza del nostro sistema. Vediamo in che modo:
  • Trusted IPs for the Application; possiamo specificare un IP oppure una gamma di IP considerati di fiducia per questa applicazione. Tutti gli altri indirizzi saranno bloccati.
  • Remote Server Ports; porta o intervallo di porte remote a cui è possibile connettersi.
  • Local Ports; porte locali che il programma può utilizzare. Deselezionando "Act as server" il programma non potrà essere utilizzato in quella modalità.
  • Allow ICMP traffic; consente il traffico ICMP per questo programma.
  • Allow during Screensaver Mode; permette il traffico del programma anche se è attivo lo screensaver del sistema.
  • Enable Scheduling; abilita la pianificazione, cioè l'applicazione della regola solo in un determinato periodo di tempo.
Gestione avanzata delle regole

Eccoci giunti alla configurazione avanzata: vedremo come creare delle regole personalizzate per le trasmissioni TCP/IP.

Apriamo il pannello da Tools > Advances rules. Una popup ci avviserà che le Regole Avanzate hanno una priorità superiore a quella di tutte le altre applicazioni, quindi modificheranno qualsiasi configurazione che sia in conflitto con esse. Ci troveremo di fronte a una schermata ancora vuota, perchè non ci sono regole predefinite. Clicchiamo sul pulsante ADD per iniziare.

Inseriamo un nome per la regola (Rule Description), poi selezioniamo una delle due azioni da effettuare: bloccare le trasmissioni che corrispondo alle impostazioni della regola, oppure permetterle. Selezioniamo quindi l'interfaccia di rete su cui operare, ed eventualmente le opzioni per lo screensaver e le opzioni di logging. Se impostiamo il Packet Logging il firewall salverà tutti i pacchetti di dati corrispondenti.



Spostiamoci nella scheda Hosts. Da qui decideremo quali saranno gli host interessati dalla regola. Tutti gli indirizzi (All Addresses) oppure solo quelli specificati in IP Address o negli altri campi: è possibile anche specificare un MAC Address. Per tutti gli indirizzi indicati in questa scheda la regola verrà applicata. Per tutti gli altri, invece, sarà come se la regola non esistesse. Decidiamo per esempio di bloccare tutte le comunicazioni con l'indirizzo della rete locale 192.168.0.70. Prima di tutto specifichiamo l'indirizzo.

La schermata Port and Protocols ci permette di configurare i protocolli e le porte (locali e remote) che la regola dovrà utilizzare. Nel nostro caso abbiamo deciso di bloccare ogni contatto, quindi basterà selezionare ALL. Selezionando una opzione diversa, sarà possibile specificare anche la direzione del traffico da bloccare o permettere: Incoming (in entrata), Outgoing (in uscita) o Both (entrambi).


Il pannello Scheduling permette di abilitare la pianificazione della regola, come già visto per la gestione delle applicazioni.

Infine in Applications abbiamo la possibilità di scegliere uno o più programmi a cui riferire la regola; in questo caso non selezioniamo nulla e il firewall attiverà la regola per tutte le applicazioni.


Dopo aver definito la nostra regola personalizzata, facciamo click su OK per vedere un riepilogo della regola. Quale potrebbe essere un'altra applicazione pratica delle Regole Avanzate? Per esempio se siamo venuti a conoscenza di un nuovo Trojan che aggira in qualche modo il normale controllo del firewall, con pochi passaggi possiamo creare una regola che neutralizza il Trojan. Non è poi così complicato, e potrebbe proteggere il nostro pc fino al prossimo aggiornamento del firewall.

Log viewer: analisi degli eventi

Uno strumento molto importante per l'analisi del traffico monitorato è il Log Viewer (Tools > Logs). Ecco come si presenta la sezione Security Log del Viewer dopo un port scan: il programma crea una tabella per informarci del tipo di attacco o anomalia rilevati, l'indirizzo locale e quello remoto, la gravità della situazione e il protocollo usato.

Possiamo sapere in tempo reale se il nostro PC è vittima di un DoS, Denial of Service, oppure di un semplice port scan (che potrebbe comunque non farci piacere).


Andiamo ora in un'altra sezione, il Traffic Log, da View > Traffic log. Questa sezione raccoglie tutte le informazioni sul traffico generato da e verso il nostro computer, anche se non è stata rilevata nessuna anomalia. In questo modo saremo in grado di vedere tutto ciò che ha fatto il nostro PC su Internet. Le registrazioni alla porta 80 indicheranno i siti visitati, sulla 110 le connessioni al server di mail e così via.


E se volessimo saperne di più? Proviamo a cliccare su una di queste registrazioni con il tasto destro del mouse e clicchiamo su Backtrace. Si aprirà una nuova schermata, che ci mette a disposizione due strumenti: Traceroute e Whois. Il primo serve per vedere il percorso di instradamento che compie un nostro pacchetto per arrivare all'host remoto. Il secondo invece si collega a un server apposito, che contiene i dati di tutti i domini Internet registrati e i dati relativi all'assegnazione degli indirizzi IP per le reti.



Nel System Log troviamo l'elenco di tutti gli eventi di sistema che coinvolgono il Firewall: cambiamento delle opzioni, avvio e sospensione del servizio, nuove regole applicate. L'ultima schermata è il Packet log (View > Packet log). Per abilitarlo andiamo in File > Options > Log (oppure Tools > Options) e facciamo click su Capture full packet. Ora torniamo al Packet log, e vedremo che tutti i pacchetti in transito vengono registrati in modo da poterli analizzare.


Avremo due schermate, che mostrano la struttura e le informazioni TCP/IP del pacchetto e i dati contenuti in formato esadecimale. Il servizio non è abilitato per default, perchè richiede più risorse. Se non abbiamo necessità di analizzare il traffico e i singoli pacchetti, possiamo disabilitare questa opzione.

 

Conclusioni e servizi

Il Sygate Personal Firewall Pro si è dimostrato un ottimo strumento per proteggere il personal computer da visite indesiderate. In confronto ad altri prodotti della stessa categoria gli si potrebbe contestare una gestione più macchinosa delle regole e la difficoltà di configurazione per un utente inesperto. Queste pecche sono però largamente compensate dalla quantità di opzioni a disposizione e dalla configurabilità.

Ottime le funzionalità di sicurezza, che includono addirittura un Intrusion Detection System e la protezione contro tecniche più avanzate, come lo spoofing.

Sotto il profilo dei bug e delle falle il Sygate non ha un grande cronologia di eventi, fortunatamente. Rileviamo per la versione 5.0 un difetto nella configurazione di default che permetterebbe di oltrepassare i filtri del firewall in certe condizioni; ulteriori informazioni nell'advisory di SecurityFocus. Può essere risolto aggiornando il software all'ultima versione disponibile.

ICON

Servizi supplementari

Gli utenti del Sygate Personal Firewall hanno a disposizione una vasta gamma di servizi supplementari e risorse online.

- Forum online per chiarire i dubbi e risolvere i problemi relativi all'installazione, alla configurazione, alle regole avanzate etc. Contiene anche delle FAQ.

- Regcode support per recuperare facilmente i registration code dimenticati.

- Security Scanner, un servizio gratuito per la scansione online del sistema. Rileva le porte aperte e i possibili bug.

- User guide, un manuale utente che esamina tutti gli aspetti del firewall (in inglese).

- Comparison Chart, elenca le differenze fra la versione normale e la versione Pro

 

<- HOME

Copyright (c) 2000-3000 by. Ing. Eduardo Palena - Napolifirewall.com©