Due parole sui Firewall

 

In rete se cercate sui motori di ricerca troverete senz'altro molto su questo argomento.

Non ho la pretesa di essere un esperto in materia, scopo della pagina è scrivere qualcosa  alla portata dell'utente medio 

che  non vuole leggere troppi dettagli tecnici.

Se pensate scrivo imprecisioni o boiate fatemelo sapere i consigli e/o suggerimenti sono sempre bene accetti.

Allora vediamo di scrivere qualcosa su questo Firewall (tradotto: muro tagliafuoco)

Il Firewall (domestico) è un software che "filtra"  e notifica quello che entra e esce dal vostro pc quando siete connessi.

Filtra con che criterio ?

Con un pacchetto di regole già create nel caso di alcuni Firewall   o con quelle create da voi.

Quindi ricapitolando abbiamo un software che controlla e notifica quali programmi vanno verso la rete Internet. controlla e 

notifica anche le connessioni TCP o UDP che cercano di entrare.

Tanti pensano di non avere bisogno un simile programma, altri  lo provano ma dopo essere impazziti con i continui  

"avvisi" del Firewall lo disabilitano perché non riescono a usare il pc come prima.

Altri impostano delle regole troppo permissive o dicono ok alla comparsa di ogni avviso vanificando così in parte la 

protezione offerta dal programma.

Il Firewall è vivamente consigliato a chi usa le chat ad esempio mIRC , ICQ e tutti i programmi di messaggistica 

simili....durante l'uso di questi programmi il pc è particolarmente vulnerabile.

Il computer è dotato di 65000 porte, se vi riesce difficile pensare al termine porte provate a pensare alla porta come a 

un canale o frequenza.

Ogni porta ha uno scopo ben preciso o viene usata per uno servizio definito.

Qualche esempio, il browser (Internet Explorer o Netscape) usa principalmente la porta 80, Outlook usa la porta 25 per 

inviare la posta, la 110 per riceverla, la porta 119 per leggere le news.

Windows per default lascia aperte alcune porte anche se quel determinato programma non le sta usando.

Il bello del Firewall è che se anche se siete infetti da un  server/trojan questi non sono "rilevabili/pilotabili" dall'esterno.

Il Firewall blocca le porte usate dai Trojan sia in entrata che in uscita.

Il Firewall blocca le porte non in uso del pc, se un programma lecito (o da voi  autorizzato) ha bisogno di una porta lui la 

apre per il tempo strettamente necessario, poi la richiude automaticamente.

Il Firewall vi rende Stealth (invisibile) se qualcuno riesce a avere il vostro IP (che  compare nel retro delle email o in molte 

chat) e prova a "bussare" su quell' IP  con un portscan o con un client di un Trojan non ottiene risposta-eco dal PING quindi 

non capisce nemmeno se siete ancora connessi o meno (e non sa nemmeno se sul vostro pc c'è un Server/Trojan)

Il Firewall è indispensabile come la serratura sulla porta di casa, ma solo da un annetto a questa parte sta avendo una 

certa diffusione tra gli utenti "domestici"

Una volta era una cosa in più, oggi è una cosa essenziale, per avere tranquillità  non basta nemmeno l'antivirus aggiornato 

perché ogni giorno vengono studiati nuovi troiani, sempre più piccoli (siamo arrivati a 7 kb) sempre più efficienti....a volte 

passano mesi prima che un AntiVirus  li identifichi grazie a un nuovo aggionamento.

Il "brutto" è che va configurato e molti non sono capaci, in tal caso  consiglio sempre il Norton Personal Firewall che fa 

quasi tutto da solo perché è già fornito con un pacchetto di regole, ma NON è un programma gratuito.

Creare regole è meno difficile di quello che si pensa, per esempio se voi aprite ICQ, il Firewall lo blocca e vi chiede: "il 

programma ICQ sta cercando di entrare in Internet, che faccio, lo lascio passare? " voi potete  rispondere NO, 

NO sempre, potete  rispondere SI ma solo per questa volta , oppure dire SI sempre !

In questo modo non vedrete ogni volta che aprite quel programma comparire l'avviso.

Questo si chiama dare le "regole" (rules) si perde qualche minuto all'inizio a dare questi "permessi " o regole o come le 

vogliamo chiamare e poi non ci si pensa più.

La cosa importante è che prima di mettere un Firewall o perlomeno prima di dare delle regole definitive è bene fare 

quella famosa scansione del pc con l'antivirus aggiornato e di modello recente altrimenti si rischia di dare un 

"permesso" di uscita a qualche Trojano che magari è stato anche  rinominato da programma noto, o che è nascosto e 

insediato dentro a qualche programma di uso comune.

Quindi prima di mettere qualunque Firewall sul proprio pc bisogna essere sicuri che non ci siano virus o Trojani

Per saperlo l'unica è fare una scansione con un antivirus  AGGIORNATO (scusate se mi ripeto ma ci sono teste dure!)

 

Due parole sui Trojan 

 

Cosa è un Trojan? Un cavallo di Troia (Trojan Horse in inglese) è un programma di controllo a distanza  che 

normalmente è "occultato" all'interno di un altro programma.

Esistono appositi programmi che permettono di "fondere" un programma all'interno di un altro.

Questo per ingannare la persona che pensa di installare o usare un programma e invece installa il trojano!

Oppure potrebbe essere camuffato da gif o jpg, una persona ti manda una "foto" che probabilmente non si apre...in 

realtà non era una foto ma un programma .

Guardate a questa pagina come si evita di essere ingannati (estensioni dei file)

Il Trojan è composto da due parti, una si chiama Server e l'altra Client.

Il Server è la parte che è infetta il pc. 

Il Client è la parte che viene usata dal pirata informatico per pilotare il server e fare quello che vuole col vostro pc come 

se fosse lui alla tastiera.

Quindi (a seconda della bontà del Trojan e dell'abilità della persona che lo "guida") può leggere quello che scrivete, se 

usate la cam vi può  vedere , appropriarsi delle vostre password, leggervi la posta,  usare la vostra posta per spedire 

mail, togliere o aggiungere file sul vostro pc, aprire il cassettino del cd rom , riavviare il pc, formattarlo o installarci altri 

trojan.

Può se vuole mettere una password sul server in modo che possa entrare solo lui altrimenti chiunque abbia quel 

particolare Client o un buon Client può entrare e uscire.

Accorgersi che site infetti è un gioco per chiunque, basta mettere il vostro IP in un PortScan e vedere quali porte 

"rispondono" ogni Trojan usa specifiche porte e se una tal porta è aperta vuol dire che dietro c'è il tal Trojan che sta in 

"ascolto" in attesa di ricevere ordini dal Client.

Esistono dei validi Firewall gratuiti, se volete metterne uno i più noti sono Zone Alarm  Tiny  Sygate e Outpost

Se non volete installare un Firewall potete almeno eseguire ogni tanto uno dei Security Test  gratuiti che ci sono in rete, 

saprete così quanto siete esposti realmete e se ci sono porte usate dai Trojan aperte (indice di infezione)

Riguardo a Tiny trovate qui una pagina dedicata alla sua installazione e configurazione

E' disponibile anche una pagina che parla in modo dettagliato di Sygate Firewall e di Outpost

Facciamo un altro esempio così capite  bene.

Avete appena installato un Firewall, aprite  Outlook per leggere la posta, premete "Invia e Ricevi"

Il Firewall vi  manda un avviso e vi dice che Outlook (oppure potrebbe chiamarlo MSIMN.EXE ) sta cercando di 

andare in Internet sulla porta 110 (posta in entrata) verso l'indirizzo xxxxxxxx (nome o indirizzo IP del vostro provider) 

ad esempio pop.xxxxx.it - il firewall potrebbe dirti il nome (popxxx.it) o l'indirizzo numerico o ambedue...

A questo punto potete  scegliere (immagine presa da Tiny Firewall vecchia versione  ma relativa a Napster )

 

Esaminiamo l'avviso, data e ora ( che poi rimangono sempre memorizzate nella sezione LOG)

Descrizione del programma che cerca di andare in Internet ( in questo caso Napster) verso l' indirizzo 216.59.9.92 

(probabilmente un server di Napster) la porta utilizzata (80)

A questo punto decidete se Permit it (permetti solo questa volta)

Se bloccare Deny it (blocca solo questa volta)

Permit & Create Rule permetti questa volta e crea una regola per le prossime volte

Deny & Create Rule blocca adesso e blocca in futuro

Sembra tutto molto facile vero? 

Però ci sono delle accortezze.

Quando si va a creare una regola vengono chieste delle cose.

Per esempio: decidete  di autorizzare Outlook Express di andare verso Internet. 

Siccome è un programma che usate spesso volete creare una regola per evitare di vedere questi seccanti

 avvisi ogni volta che leggete  la posta . 

Il Firewall vi dirà : "ok permetterò  sempre a questo programma di andare in Internet, ma quanta libertà gli dò? 

Gli consento di usare solo la porta 110 o tutte le porte ?" 

"Gli consento di andare verso pop.xxxx.it o verso qualunque indirizzo ? "

Qui perdendo qualche minuto in più si sfrutta in pieno la protezione offerta dal Firewall 

Potremmo usare qualche pulsante di configurazione automatica (qualche Firewall lo ha) e consentire completa libertà a 

Outlook (o altro programma) ma la cosa non è consigliabile.

Per ricevere la posta Outlook usa solo la 110, perché creare una regola "permissiva" che gli consenta di 

usarle tutte ?

Altro esempio: perché farlo andare verso qualunque indirizzo quando hai solo Tiscali e Libero come account di posta ?

In tal caso bisognerà creare due distinte regole, quando si proverà a leggere la posta di Tiscali il Firewall dirà:

"Outlook sta cercando di andare verso pop.tiscalinet.it " (e creeremo una regola in tal senso)

Con Libero dirà: " sta cercando di andare verso pop.libero.it"

Se invece cercheremo di inviare posta il discorso sarà diverso Outlook usa per inviare la posta la porta 25

Creeremo quindi una regola per consentire a Outlook di usare la porta 25 verso mail.libero.it

E un altra per consentire l'uscita sempre con la 25 verso smtp.tiscalinet.it 

Questo di Outlook voleva solo essere un esempio per far capire come ci si dovrebbe comportare nella creazione di rules.

A Internet Explorer bisogna dare più libertà di azione, I.E. usa principalmente la porta 80 ma bisogna autorizzarlo a 

andare verso tutti gli indirizzi altrimenti ogni volta che visitiamo un sito diverso scatta l'avviso :-)

ICQ è un caso particolare usa molte porte diverse e per alcuni servizi mai le stesse ,quindi più libertà di azione.....

Ricordo che C6 dopo aver dato 3 o 4 regole diverse funziona benissimo.

Importante è che quando compaiono gli avvisi prima di bloccare o permettere leggiamo bene quello che c'è 

scritto e usiamo la testa.

Un programma cerca di andare in Internet......glielo abbiamo detto noi ???

E' un programma che va normalmente in Internet ?

Alcuni programmi hanno una funzione di autoupdate come Media Player 7 o anche Getright, periodicamente si 

autoconnettono alla casa madre per vedere se ci sono aggiornamenti, qui decidete voi se permettere o meno.

Se vedete che Notepad.exe (il blocco Notes di Windows) cerca di andare in Internet vuol dire che c'è qualche cosa che 

non va......e si tratterà senz'altro del QAZ Trojan per fare un esempio pratico.

Fino ad adesso abbiamo parlato di cose che escono, vediamo qualcosa che "bussa" cercando di entrare....

Aprite Internet Explorer e andate  a questo indirizzo http://scan.sygatetech.com  (Security Test della casa produttrice di 

Sygate) e vediamo che succede....fate questa prova senza Firewall e poi di nuovo con il Firewall.

Nella pagina Security Test trovate link per più di un sito che fa queste cose e altri dettagli sui Firewall e come è possibile 

ingannarli (LeakTest)

Ecco uno screen di cosa appare facendo il test di Gibson muniti di Firewall.

Eseguitelo voi senza Firewall e confrontate i risultati.

 



Come leggete le porte risultano Stealth, riguardo alla porte 137 138 139 vi rimando a un altra pagina

D'obbligo leggere anche le esaurienti SecurFAQ dove troverete numerose altre informazioni.

Qui trovate  una guida all'installazione e configurazione di Tiny Firewall

Qui trovate una guida all'installazione e uso di Sygate Firewall

Qui trovate una guida all'installazione e uso di Outpost Firewall

Qui trovate una guida all'installazione e uso di Trojan First Aid Kit

 

Home

Email

Copyright