Due parole sui Firewall
In rete se cercate sui motori di ricerca troverete senz'altro molto su questo argomento.
Non ho la pretesa di essere un esperto in materia, scopo della pagina è scrivere qualcosa alla portata dell'utente medio
che non vuole leggere troppi dettagli tecnici.
Se pensate scrivo imprecisioni o boiate fatemelo sapere i consigli e/o suggerimenti sono sempre bene accetti.
Allora vediamo di scrivere qualcosa su questo Firewall (tradotto: muro tagliafuoco)
Il Firewall (domestico) è un software che "filtra" e notifica quello che entra e esce dal vostro pc quando siete connessi.
Filtra con che criterio ?
Con un pacchetto di regole già create nel caso di alcuni Firewall o con quelle create da voi.
Quindi ricapitolando abbiamo un software che controlla e notifica quali programmi vanno verso la rete Internet. controlla e
notifica anche le connessioni TCP o UDP che cercano di entrare.
Tanti pensano di non avere bisogno un simile programma, altri lo provano ma dopo essere impazziti con i continui
"avvisi" del Firewall lo disabilitano perché non riescono a usare il pc come prima.
Altri impostano delle regole troppo permissive o dicono ok alla comparsa di ogni avviso vanificando così in parte la
protezione offerta dal programma.
Il Firewall è vivamente consigliato a chi usa le chat ad esempio mIRC , ICQ e tutti i programmi di messaggistica
simili....durante l'uso di questi programmi il pc è particolarmente vulnerabile.
Il computer è dotato di 65000 porte, se vi riesce difficile pensare al termine porte provate a pensare alla porta come a
un canale o frequenza.
Ogni porta ha uno scopo ben preciso o viene usata per uno servizio definito.
Qualche esempio, il browser (Internet Explorer o Netscape) usa principalmente la porta 80, Outlook usa la porta 25 per
inviare la posta, la 110 per riceverla, la porta 119 per leggere le news.
Windows per default lascia aperte alcune porte anche se quel determinato
programma non le sta usando.
Il bello del Firewall è che se anche se siete infetti da un server/trojan
questi non sono "rilevabili/pilotabili" dall'esterno.
Il Firewall blocca le porte usate dai
Trojan sia in entrata che in uscita.
Il Firewall blocca le porte non in uso del pc, se un programma lecito (o da
voi autorizzato) ha bisogno di una porta lui la
apre per il tempo strettamente necessario, poi la richiude automaticamente.
Il Firewall vi rende Stealth (invisibile) se qualcuno riesce a avere il vostro IP (che
compare nel retro delle email o in molte
chat) e prova a "bussare" su quell' IP con un portscan o con un client di un Trojan non ottiene risposta-eco dal PING quindi
non capisce nemmeno se siete ancora connessi o meno (e non sa nemmeno se sul vostro pc c'è un
Server/Trojan)
Il Firewall è indispensabile come la serratura sulla porta di casa, ma solo da un annetto a questa parte sta avendo una
certa diffusione tra gli utenti "domestici"
Una volta era una cosa in più, oggi è una cosa essenziale, per avere
tranquillità non basta nemmeno l'antivirus aggiornato
perché ogni giorno vengono studiati nuovi troiani, sempre più piccoli (siamo arrivati a 7 kb) sempre più efficienti....a volte
passano mesi prima che un AntiVirus li identifichi grazie a un
nuovo aggionamento.
Il "brutto" è che va configurato e molti non sono capaci, in tal caso consiglio sempre il Norton
Personal Firewall che fa
quasi tutto da solo perché è già fornito con un pacchetto di regole, ma
NON è
un programma gratuito.
Creare regole è meno difficile di quello che si pensa, per esempio se voi aprite ICQ, il Firewall lo blocca e
vi chiede: "il
programma ICQ sta cercando di entrare in Internet, che faccio, lo lascio passare? "
voi potete rispondere NO,
NO sempre, potete rispondere SI ma solo per questa volta , oppure dire SI sempre !
In questo modo non vedrete ogni volta che aprite quel programma comparire l'avviso.
Questo si chiama dare le "regole" (rules) si perde qualche minuto all'inizio a dare questi "permessi " o regole o come le
vogliamo chiamare e poi non ci si pensa più.
La cosa importante è che prima di mettere un Firewall o perlomeno prima di dare delle
regole definitive è bene fare
quella famosa scansione del pc con l'antivirus aggiornato e di modello recente altrimenti si rischia di dare un
"permesso" di uscita a qualche Trojano che magari è stato anche rinominato da programma noto, o che è nascosto e
insediato dentro a qualche programma di uso comune.
Quindi prima di mettere qualunque Firewall sul proprio pc bisogna essere sicuri che non ci siano virus o
Trojani
Per saperlo l'unica è fare una scansione con un antivirus AGGIORNATO
(scusate se mi ripeto ma ci sono teste dure!)
Due parole sui Trojan
Cosa è un Trojan? Un cavallo di Troia (Trojan Horse in inglese) è un programma di controllo a distanza che
normalmente è "occultato" all'interno di un altro programma.
Esistono appositi programmi che permettono di "fondere" un programma
all'interno di un altro.
Questo per ingannare la persona che pensa di installare o usare un programma e invece installa il trojano!
Oppure potrebbe essere camuffato da gif o jpg, una persona ti manda una "foto" che probabilmente non si apre...in
realtà non era una foto ma un programma .
Guardate a questa
pagina come si evita di essere ingannati (estensioni dei file)
Il Trojan è composto da due parti, una si chiama Server e l'altra Client.
Il Server è la parte che è infetta il pc.
Il Client è la parte che viene usata dal pirata informatico per pilotare il server e fare quello che vuole col
vostro pc come
se fosse lui alla tastiera.
Quindi (a seconda della bontà del Trojan e dell'abilità della persona che lo "guida") può leggere quello che
scrivete, se
usate la cam vi può vedere , appropriarsi delle vostre password, leggervi la posta, usare la vostra posta per spedire
mail, togliere o aggiungere file sul vostro pc, aprire il cassettino del cd rom , riavviare il pc, formattarlo o installarci altri
trojan.
Può se vuole mettere una password sul server in modo che possa entrare solo lui altrimenti chiunque abbia quel
particolare Client o un buon Client può entrare e uscire.
Accorgersi che site infetti è un gioco per chiunque, basta mettere il vostro IP
in un PortScan e vedere quali porte
"rispondono" ogni Trojan usa specifiche porte e se una tal porta è aperta vuol dire che dietro c'è il tal Trojan che sta in
"ascolto" in attesa di ricevere ordini dal Client.
Esistono dei validi Firewall gratuiti, se volete metterne uno i più noti sono Zone Alarm
Tiny Sygate
e Outpost
Se non volete installare un Firewall potete almeno eseguire ogni tanto uno dei Security Test gratuiti che ci sono in rete,
saprete così quanto siete esposti realmete e se ci sono porte usate dai Trojan aperte (indice di infezione)
Riguardo a Tiny trovate qui una pagina dedicata alla sua installazione e configurazione
E' disponibile anche una pagina che parla in modo dettagliato di
Sygate Firewall e di Outpost
Facciamo un altro esempio così capite bene.
Avete appena installato un Firewall, aprite Outlook per leggere la posta,
premete "Invia e Ricevi"
Il Firewall vi manda un avviso e vi dice che Outlook (oppure potrebbe chiamarlo MSIMN.EXE ) sta cercando di
andare in Internet sulla porta 110 (posta in entrata) verso l'indirizzo xxxxxxxx (nome o indirizzo IP del vostro provider)
ad esempio pop.xxxxx.it - il firewall potrebbe dirti il nome (popxxx.it) o l'indirizzo numerico o ambedue...
A questo punto potete scegliere (immagine presa da Tiny Firewall vecchia
versione ma relativa a Napster )
Esaminiamo l'avviso, data e ora ( che poi rimangono sempre memorizzate nella sezione LOG)
Descrizione del programma che cerca di andare in Internet ( in questo caso Napster) verso
l' indirizzo 216.59.9.92
(probabilmente un server di Napster) la porta utilizzata (80)
A questo punto decidete se Permit it (permetti solo questa volta)
Se bloccare Deny it (blocca solo questa volta)
Permit & Create Rule permetti questa volta e crea una regola per le prossime volte
Deny & Create Rule blocca adesso e blocca in futuro
Sembra tutto molto facile vero?
Però ci sono delle accortezze.
Quando si va a creare una regola vengono chieste delle cose.
Per esempio: decidete di autorizzare Outlook Express di andare verso Internet.
Siccome è un programma che usate spesso volete creare una regola per evitare di vedere questi seccanti
avvisi ogni volta che leggete la posta .
Il Firewall vi dirà : "ok permetterò sempre a questo programma di andare in Internet, ma
quanta libertà gli dò?
Gli consento di usare solo la porta 110 o tutte le porte ?"
"Gli consento di andare verso pop.xxxx.it o verso qualunque indirizzo ? "
Qui perdendo qualche minuto in più si sfrutta in pieno la protezione offerta dal Firewall
Potremmo usare qualche pulsante di configurazione automatica (qualche Firewall lo ha)
e consentire completa libertà a
Outlook (o altro programma) ma la cosa non è consigliabile.
Per ricevere la posta Outlook usa solo la 110, perché creare una regola "permissiva" che gli consenta di
usarle tutte ?
Altro esempio: perché farlo andare verso qualunque indirizzo quando hai solo Tiscali e Libero come account di posta ?
In tal caso bisognerà creare due distinte regole, quando si proverà a leggere la posta di Tiscali il Firewall dirà:
"Outlook sta cercando di andare verso pop.tiscalinet.it " (e creeremo una regola in tal senso)
Con Libero dirà: " sta cercando di andare verso pop.libero.it"
Se invece cercheremo di inviare posta il discorso sarà diverso Outlook usa per inviare la posta la porta 25
Creeremo quindi una regola per consentire a Outlook di usare la porta 25 verso mail.libero.it
E un altra per consentire l'uscita sempre con la 25 verso smtp.tiscalinet.it
Questo di Outlook voleva solo essere un esempio per far capire
come ci si dovrebbe comportare nella creazione di rules.
A Internet Explorer bisogna dare più libertà di azione, I.E. usa principalmente
la porta
80 ma bisogna autorizzarlo a
andare verso tutti gli indirizzi altrimenti ogni volta che visitiamo un sito
diverso scatta l'avviso :-)
ICQ è un caso particolare usa molte porte diverse e per alcuni servizi mai le stesse ,quindi più libertà di azione.....
Ricordo che C6 dopo aver dato 3 o 4 regole diverse funziona benissimo.
Importante è che quando compaiono gli avvisi prima di bloccare o permettere leggiamo bene quello che c'è
scritto e usiamo la testa.
Un programma cerca di andare in Internet......glielo abbiamo detto noi ???
E' un programma che va normalmente in Internet ?
Alcuni programmi hanno una funzione di autoupdate come Media Player 7 o anche Getright, periodicamente si
autoconnettono alla casa madre per vedere se ci sono aggiornamenti, qui
decidete voi se permettere o meno.
Se vedete che Notepad.exe (il blocco Notes di Windows) cerca di andare in Internet vuol dire che
c'è qualche cosa che
non va......e si tratterà senz'altro del QAZ Trojan per fare un esempio pratico.
Fino ad adesso abbiamo parlato di cose che escono, vediamo qualcosa che "bussa" cercando di entrare....
Aprite Internet Explorer e andate a questo indirizzo http://scan.sygatetech.com
(Security Test della casa produttrice di
Sygate) e vediamo che succede....fate questa prova senza Firewall e poi di nuovo con il Firewall.
Nella pagina Security Test trovate link per più di un sito che fa queste cose e altri dettagli sui Firewall e come è possibile
ingannarli (LeakTest)
Ecco uno screen di cosa appare facendo il test di Gibson muniti di Firewall.
Eseguitelo voi senza Firewall e confrontate i risultati.
Come leggete le porte risultano Stealth, riguardo alla porte 137 138 e 139 vi rimando a un altra pagina
D'obbligo leggere anche le esaurienti SecurFAQ dove troverete numerose altre informazioni.
Qui trovate una guida all'installazione e configurazione di Tiny Firewall
Qui trovate una guida all'installazione e uso di Sygate Firewall
Qui trovate una guida all'installazione e uso di Outpost Firewall
Qui trovate una guida all'installazione e uso di Trojan First Aid Kit