Un firewall è un software che fa da filtro tra il proprio computer e la rete Internet sorvegliando costantemente tutti i dati in entrata ed in uscita dal proprio personal computer.
In questo modo è possibile non solo difendersi da tentativi di attacco rivolti verso il nostro personal computer ma anche di identificare e rendere innocua l’azione di trojan virus, di software spyware o comunque di applicazioni maligne che tentino di comunicare informazioni personali attraverso la Rete.
Nel corso dei test comparativi che abbiamo condotto, il firewall che ci ha particolarmente colpito è Agnitum Outpost Firewall.
Outpost Firewall è un software sviluppato da Agnitum, azienda già conosciuta per aver sviluppato alcuni tool volti alla sicurezza del personal computer, e distribuito mediante la Rete in due differenti versioni: una freeware, completamente gratuita, ed una a pagamento (la licenza costa circa 40 Dollari).
Outpost Firewall ha brillato nei nostri test, principalmente, per due aspetti: in primo luogo, il software contiene in sé un ampio set di regole firewall già configurate. Gli sviluppatori di Outpost hanno infatti provveduto a dotare il programma di un’ampia raccolta di informazioni relative ai software più comunemente utilizzati. Ciò significa che quando un’applicazione installata tenta di accedere ad Internet, Outpost non solo è in grado di riconoscerla ma propone una regola preconfigurata che ne consente il corretto funzionamento. Si tratta, quindi, di una funzione particolarmente utile per gli utenti meno esperti che, nel caso in cui un programma conosciuto e ritenuto “fidato” venga rilevato da parte di Outpost, dovranno limitarsi a cliccare sul pulsante OK per acconsentire alla comunicazione.
La possibilità di far uso di regole preconfigurate è comune ai software commerciali ma non ai firewall gratuiti: ecco perché Outpost ha una marcia in più.
Outpost offre, poi, una serie di funzionalità a difesa della privacy e della riservatezza durante la “navigazione” in Internet: il firewall avvisa l’utente se le pagine web che si stanno visitando contengono ActiveX o applet Java (contenuti che possono essere potenzialmente dannosi) e richiede se questi debbano essere eseguiti o meno. Il firewall di Agnitum consente, inoltre, di negare la visualizzazione delle finestre a comparsa (pop-up) e dei banner pubblicitari che, talvolta, possono risultare piuttosto fastidiosi.
Come nel caso di qualsiasi altro “personal firewall”, anche in Outpost risulta di fondamentale importanza rispondere in modo adeguato agli avvisi che vengono proposti mentre si è connessi ad Internet. Tutti i firewall in commercio, infatti, mostrano, durante la connessione delle finestre d’avviso. Solitamente vengono visualizzate quando un programma, presente sul proprio sistema, tenta di guadagnare l’accesso ad Internet (cerca di inviare e/o ricevere informazioni). Prima di acconsentire alla comunicazione è sempre bene accertarsi se si tratta di un’applicazione fidata o comunque di un programma sicuro che abbiamo eseguito in precedenza. Chiedetevi sempre perché un’applicazione tenta di accedere ad Internet: siate sempre vigili cercando di capire perché un programma vuole comunicare dati attraverso la Rete e soprattutto se l’accesso ad Internet da parte di tale applicazione era stato da voi preventivamente richiesto. In questo modo, eviterete che programmi maligni, virus e software spyware, possano trasmettere, via Internet, dati memorizzati sul vostro computer o comunque informazioni personali, a vostra insaputa.
Da questo punto di vista, Outpost Firewall si pone in “pole position” rispetto ad altri firewall: nella modalità Ask Mode, impostata in automatico sin dalla prima installazione del prodotto, Outpost visualizza una finestra d’avviso ad ogni richiesta di connessione ad Internet da parte di un qualunque programma installato. La finestra Create rule che appare a video, consente di impostare una regola per la comunicazione con Internet di quella specifica applicazione.
La stessa finestra mostra l’icona ed il nome del programma che richiede l’accesso alla Rete, il protocollo utilizzato (HTTP, FTP,…), la porta e l’indirizzo remoto al quale l’applicazione si desidera collegare.
Se Outpost conosce l’applicazione che tenta di accedere alla Rete, l’opzione predefinita sarà Create rules using preset (Crea regola utilizzando le informazioni preconfigurate). Ad esempio, nel caso di Internet Explorer, l’opzione da scegliere è proprio Create rules using preset “Internet Explorer”. Così facendo, d’ora in avanti Outpost consentirà l’accesso ad Internet Explorer senza visualizzare ulteriori avvisi nel caso in cui il browser faccia uso delle porte 80, 81 (http, visualizzazione delle pagine web); 20, 21 (servizi FTP); 3128, 8080, 8088 (Proxy). Qualora il browser utilizzasse una coppia protocollo-porta non preconfigurata, Outpost mostrerà nuovamente una finestra d’avviso. Questo comportamento viene tenuto per qualunque applicazione richieda l’accesso ad Internet.
L’opzione Allow all activities for this application permette di creare una regola che attribuisce una totale libertà di azione all’applicazione; Stop all activities for this application, nega qualunque tipo di comunicazione per il programma mostrato in finestra; Allow once e Block once acconsentono alla comunicazione solo per questa volta: successivamente verrà mostrato un altro messaggio d’avviso.
Molti firewall visualizzano spesso finestre d’avviso anche nel caso di tentativi di accesso dall’esterno. Spesso si tratta di semplici port scanning: Outpost non “terrorizza” l’utente visualizzazione in continuazione inutili finestre d’allerta ma difende in modo silente ed efficace il personal computer da qualunque attacco riportando quindi il tentativo di accesso nella finestra Attack Detection.
Creare regole di accesso per i programmi in uso
Una volta installato, Outpost mostra un’icona a forma di punto interrogativo blu nella traybar (l’area posta accanto all’orologio, in basso a destra, nella barra delle applicazioni di Windows): significa che il firewall si è posto nel cosiddetto Ask mode (in questa modalità Outpost richiede all’utente come comportarsi ogni volta che un programma tenta di accedere alla Rete).
Non appena un programma, presente all’interno del nostro sistema, tenta di comunicare con Internet, Outpost visualizza la finestra Create rule che consente di impostare una regola personalizzata per l’accesso alla Rete da parte di quella specifica applicazione. Creando una regola personalizzata, Outpost concederà o negherà in futuro, in modo automatico, l’accesso a Internet senza visualizzare ulteriori messaggi.
Uno degli errori più frequenti che si commettono durante la configurazione di un firewall consiste proprio nel permettere l’accesso alla Rete ad applicazioni che non si conoscono. In questo modo si può aprire la porta ad attacchi dall’esterno od acconsentire, senza saperlo, alla trasmissione di informazioni personali. Se Outpost segnala il tentativo di connessione ad Internet da parte di un programma che considerate “fidato”, le alternative che si prospettano sono essenzialmente due: qualora Outpost riconosca il programma, il consiglio è quello di utilizzare l’opzione Create rules using preset (Crea una regola utilizzando le informazioni disponibili), altrimenti è meglio provvedere manualmente alla creazione di una regola personalizzata (scegliendo Create rules using preset quindi Other dal menù a tendina).
Il primo avviso che Outpost di solito mostra, riguarda il software AUPDRUN.EXE: niente paura, si tratta del modulo di aggiornamento del firewall. Cliccate semplicemente su OK: Outpost sa infatti come comportarsi in questo caso (deve essere lasciata attiva l’opzione Create rules using preset). Qualora un nuovo aggiornamento fosse disponibile, Outpost vi richiederà se scaricarlo.
Provate ora ad avviare il browser ed a collegarvi con un sito qualsiasi: Outpost intercetterà il tentativo di comunicazione, visualizzerà il protocollo di connessione e la porta utilizzati (solitamente http e 80 per il browser) chiedendo quale azione deve essere intrapresa.
Al solito, prima di creare una regola firewall (che comunque può essere modificata in seguito) qualora abbiate dubbi sulla natura di una connessione segnalata dal firewall, negate la comunicazione cliccando su Block once: avrete il tempo per comprendere l’accaduto.
Se siete utenti esperti, Outpost mette a disposizione buone possibilità di personalizzazione delle regole firewall: selezionando la voce Other (altro), posta accanto all’opzione Create rules using preset, vi sarà possibile creare delle regole di comunicazione ancor più severe per ciascun programma.
Nel caso del browser è possibile utilizzare una regola reimpostata (Create rules using preset): Outpost è infatti in grado di riconoscere tutti i principali browser (Internet Explorer, Netscape, Mozilla, Opera,…) e di consentire tutte le comunicazioni sicure.
Non si dovrebbero riscontrare problemi configurando, nello stesso modo, il client di posta elettronica.
Personalizzazione delle regole e controllo del traffico
Nel caso di Antivir Internet Update (il programma per l’aggiornamento del software antivirus Antivir PE) possiamo selezionare Allow all activities for this application (Consenti tutte le attività) dato che trattasi di un programma “fidato”. E’ comunque sempre preferibile impostare delle regole “strette”: cliccando su Create rules using preset quindi scegliendo Other (altro, possiamo creare manualmente una regola.
Nella finestra per la creazione di una regola personalizzata vengono indicati il protocollo utilizzato, la direzione della comunicazione (inbound=in entrata; outbound=in uscita), l’indirizzo remoto e la porta. Il pulsante Allow it acconsente d’ora in poi alla comunicazione; Deny it la nega.
Il nostro consiglio è, ove possibile, quello di impostare numerose regole “strette” piuttosto che poche regole “larghe”. In sostanza, è del tutto sconsigliabile impostare regole che permettano alle varie applicazioni installate di usare liberamente un gran numero di protocolli, di connettersi a qualsiasi indirizzo remoto, di utilizzare qualsiasi porta.
Tenete presente che Outpost potrebbe spesso segnalarvi spesso tentativi di accesso ad Internet da parte del file SVCHOST.EXE: si tratta di un componente di sistema usato in ambiente Windows 2000/XP. Noi consigliamo di attivare solo il traffico UDP, disabilitando il resto.
Facendo doppio clic sull’icona mostrata nella traybar si accede alla finestra principale di Outpost.
Outpost visualizza le connessioni in corso nella finestra All connections (Tutte le connessioni). Per ciascuna di esse vengono visualizzate informazioni complete sul quantitativo di dati inviati e ricevuti, sul numero di porta aperta, sul protocollo usato, sul software che ha richiesto la connessione, sull’host remoto, sulla durata della comunicazione: si tratta di dati utilissimi che altri firewall (compresi quelli professionali) solitamente non forniscono.
Cliccando sulle voci Allowed e Blocked, Outpost mostra, rispettivamente, tutti i tentativi di connessione che sono stati consentiti e quelli negati: un aiuto in più per tenere costantemente sotto controllo la situazione e per rivedere le regole firewall impostate nel caso in cui si notino comunicazioni sospette.
Cliccando sul menù Options quindi su Application, è possibile visualizzare l’elenco delle applicazioni alle quali non è consentito accedere ad Internet (Blocked), quelle a cui è permesso un accesso parziale (Partially allowed) e quelle che hanno carta bianca (Trusted). Selezionando un’applicazione e cliccando sul pulsante Edit si può consultare le regole configurate ed eventualmente personalizzarle.
Per quanto riguarda gli attacchi provenienti dall’esterno, cliccando sulla voce Attack detection, Outpost visualizza l’elenco di tutti i tentativi di connessione al proprio personal computer, di eventuali attacchi veri e propri, di tutti i port scanning (i malintenzionati utilizzano spesso sistemi di scansione delle porte per scovare eventuali vulnerabilità).
Difesa della privacy e struttura modulare
Outpost Firewall è poi in grado di proteggere l’utente anche dai contenuti potenzialmente pericolosi che caratterizzano alcune pagine web. Così come permesso da software commerciali, Outpost consente di impostare delle politiche personalizzate per la gestione dei cookie, degli ActiveX e delle applet Java.
Dalla finestra principale di Outpost, cliccate con il tasto destro del mouse sulla voce Active Content quindi cliccate su Properties. Cliccando su Mail, News e su Web Pages, avrete la possibilità di impostare delle regole generali per la visualizzazione dei siti web.
Da qui, l’utente può, ad esempio, disattivare l’esecuzione automatica di applet Java o di contenuti ActiveX, la ricezione di cookie, la visualizzazione di finestre a comparsa (pop-up), la comunicazione degli url visitati in precedenza con il browser (Referers).
Selezionando Web Pages quindi premendo il pulsante Add, Outpost offre la possibilità, poi, di aggiungere una lista di siti web per ciascuno dei quali si possono creare delle regole personalizzate: si può ad esempio consentire l’esecuzione di applet Java, ActiveX e ricezione dei cookie durante la navigazione siti “fidati”, negarla su siti particolarmente “invasivi” ed irrispettosi della nostra privacy.
Outpost Firewall consente, inoltre, di bloccare in modo automatico la visualizzazione di banner pubblicitari sui siti web (plug-in Ads), di inibire l’accesso ai siti che contengano materiale “offensivo” (la cernita viene effettuata in base alle parole-chiave inserite manualmente da parte dell’utente) grazie al plug-in Content, di impedire l’esecuzione degli allegati di posta elettronica potenzialmente pericolosi (Visual Basic Script, file batch, file eseguibili).
Un firewall con una struttura modulare. Outpost Firewall guarda al futuro: il programma supporta l’utilizzo dei plug-in, particolari “aggiunte” che permettono di migliorare ulteriormente le funzionalità del firewall. Gran parte dei plug-in per Outpost sono già inclusi nel pacchetto d’installazione (cliccate sul menù Options , Plug-ins setup per ottenere la lista dei plug-in attualmente presenti): di recente sono stati comunque rilasciati alcune aggiunte gratuite prelevabili da questa pagina.
La struttura modulare di Outpost permette, quindi, anche a terze parti di aggiungere nuove funzioni al firewall.
Test di sicurezza con PCFlank. Un buon firewall deve non solo rilevare tutti i tentativi di connessione ada Internet effettuati da parte dei programmi installati sul sistema ma deve difendere adeguatamente il personal computer dalle varie tipologie di attacchi esterni. Potete provare a mettere “sotto torchio” Outpost Firewall servendovi delle utilità di test messe a disposizione gratuitamente, sul web, da parte di alcune aziende specializzate in materia di sicurezza informatica. Il migliore servizio di test attualmente reperibile sul web è, secondo noi, quello raggiungibile all’indirizzo www.pcflank.com.
Dopo esservi collegati con il sito di PCFlank troverete, nel menù di sinistra (Test your system), una serie di voci. Consigliamo di eseguire, per primo, il Quick Test, un test rapido che consente di effettuare un controllo sulle porte aperte sul proprio pc alla ricerca di eventuali trojan, nonché un controllo sulla privacy (vengono verificate le informazioni trasmesse dal browser). Gli altri test sono controlli più dettagliati che consentono di mettere a nudo eventuali vulnerabilità. Exploit test è una possibilità interessantissima che permette a chiunque di testare la stabilità di router e firewall ed il loro comportamento qualora si ricevano pacchetti inviati per far danno (alcuni tendono a consumare pesantemente la banda della propria rete, altri sono in grado di consumare le risorse macchina sino a bloccarla, altri ancora di chiudere la connessione alla Rete,…). Si tratta di un test assai prezioso per chi vuole verificare l’effettivo grado di sicurezza dei propri sistemi. Usate l’Exploit test con cautela: potreste vedere riavviato automaticamente il vostro pc: ovviamente l’uso dei test di PCFlank non implica alcun “effetto collaterale”.
Cosa manca. Come qualsiasi altro prodotto software anche Outpost ha alcuni “contro”: in primis, la versione freeware del firewall di Agnitum, non offre il supporto della Condivisione della connessione Internet, funzionalità offerta da parte di Windows ed oggi ampiamente utilizzata, che consente ai personal computer collegati in rete locale di accedere ad Internet tramite un unico modem, collegato fisicamente ad un computer “gateway”. Outpost freeware, inoltre, non gestisce adeguatamente il traffico della rete locale e non consente di impostare delle regole specifiche per la LAN. Il supporto della Condivisione della connessione Internet e della LAN sono comunque inclusi in Outpost Firewall Pro, la versione a pagamento del prodotto.
Chi infatti fosse rimasto colpito dalle funzionalità incluse nella versione freeware di Outpost, sappia che Agnitum mette a disposizione anche una versione a pagamento (39,95 Dollari) chiamata Outpost Firewall Pro. Tra le caratteristiche aggiuntive ricordiamo la possibilità di creare diversi profili utente (ad esempio, uno per ciascun componente della famiglia o dell’ufficio…), di effettuare una copia di backup della configurazione del firewall (ripristinabile eventualmente in seguito), di considerare come sicure tutte le connessioni della rete locale, il supporto della condivisione della connessione Internet (funzionalità propria di Windows).
Al momento della stestura di questo articolo, Agnitum sta già lavorando sulla versione beta di Outpost Firewall 2.0, la seconda versione del prodotto.