The Alexsandra Spaces

Premessa

Terminata l’installazione ci viene richiesto il riavvio del computer, e comparirà una nuova icona nella system tray, è un cerchio blu con un punto interrogativo, a questo punto il Firewall è installato, e Outpost è operativo nel nostro sistema.
E’ da tenere presente che Outpost è in grado di riconoscere le applicazioni, e suggerire come comportarsi all’avvio delle stesse, pertanto si consiglia di eseguirle e al loro avvio ci verrà mandato un messaggio di allarme

Fig.1

relativo all’applicazione che abbiamo lanciato. Se prendiamo in esame il messaggio della Figura 1 si noterà che già dal titolo sappiamo che applicazione è “Create rule for Firefox.exe“, poco più in basso compare l’icona dell’applicazione con una richiesta “Firefox requesting an outgoing connection with“, in pratica ci viene richiesta la creazione di una regola così specificata:
L’applicazione Firefox richiede di stabilire una connessione in uscita(outgoing) con www.google.com utilizzando il protocollo HTTP sulla porta 80, a questo punto ci viene suggerita l’operazione da eseguire, infatti potete notare che nel box inferiore è già attiva l’opzione “Create rules using preset“, dovete solo confermare ciccando sul pulsante “OK” e ogni volta che utilizzate Firefox.exe l’operazione viene concessa.

E’ un metodo un po’ spartano e semplicistico, ma per il momento è quello consigliato per evitare di creare blocchi alle varie applicazioni e permettervi di navigare, scaricare e inviare posta, e utilizzare le varie applicazioni, nel proseguo della guida verrà spiegata in maniera più approfondita la modalità di configurazione delle varie regole, per il momento utilizziamo questo sistema, con la raccomandazione di eseguire applicazioni conosciute e sicure.

Avvisi e modi di agire

E’ di fondamentale importanza leggere attentamente gli avvisi che rimanda il Firewall, la loro corretta interpretazione permette una perfetta configurazione e una ottimale protezione al sistema, può succedere che lanciando un’applicazione Outpost ci proponga la voce “Stop all activities for this application” (Fig. 1).

Questo può avvenire per vari motivi, può essere dovuto al fatto che l’applicazione mandata in esecuzione sia senza regole, oppure che cerchi di utilizzare una porta “strana”, in questo caso il Firewall ci suggerisce di “Bloccare ogni attività per questa applicazione”, ed è bene seguire il suo consiglio, a meno che non si conosca l’applicazione, ma in ogni caso, specialmente appena installato, di fronte ad avvisi del genere è meglio negare il permesso di comunicazione all’applicazione, concedere il permesso a qualche applicazione che non si conosce si otterrebbe di avere un Firewall mal configurato e di scarsa o inutile efficacia per la protezione del sistema.

Aspetto e configurazione di Outpost

Per poter accedere alla schermata generale del programma dobbiamo cliccare sull’icona che compare nella System Tray (vicino all’orologio) con il destro del mouse e nel menu a che appare scegliere la voce “Show Outpost Firewall”

Fig.2

Di seguito ci apparirà il pannello di setup del Firewall

Fig.3

che vediamo diviso in 2 parti, nel box di sinistra sono presenti 2 sezioni : My Internet e Plug-ins, e nella parte destra ci sono 3 sezioni : Firewall, Plug Ins e Misc, vediamo queste voci a cosa servono e come si agisce.

My Internet : Questa sezione è divisa in altre 3 sottosezioni: All Connections, Allowed e Blocked

→ All Connections: Contiene tutte le applicazioni installate che hanno bisogno di comunicare con l’esterno
→ Allowed: Contiene tutti i programmi autorizzati a comunicare con l’esterno
→ Blocked: Elenca tutti i programmi bloccati da Outpost

La seconda sezione, invece, mostra i Plug-ins installati, questi sono in grado di bloccare banner pubblicitari, finestre popup, cookies traccianti e ci avvisano, oppure ci impediscono di visitare pagine Web che contengano Applet Java, Controlli Active X e inoltre impediscono l’esecuzione di vari tipi di file ricevuti per posta elettronica che potrebbero essere dannosi per il nostro sistema

Vediamo ora come procedere alla configurazione del Firewall, possiamo raggiungere il pannello di configurazione Ciccando sulla voce Options sul menù e ci appare una finestra con le voci General, Application, System, Policy, Plug-Ins.
Possiamo raggiungere questa voce anche cliccando sull’icona con il martello o sulla voce Applications Settings nel pannello di destra, vediamo queste Opzioni cosa indicano

General (Fig. 4), in questa scheda troviamo le seguenti opzioni:

→ Log file setting: imposta le dimensioni del file di log e ogni quanti giorni viene sovrascritto
→ Run automatically at boot-up: imposta se avviare il Firewall all’avvio del sistema
→ Minimize to System Tray: riduci ad icona nella System Tray (vicino all’orologio)
→ Close button minimizes: riduci ad icona nella system Tray anche cliccando sulla x di chiusura

Fig.4

Application (Fig. 5): in questa scheda troviamo le applicazioni con relative regole.

→ Blocked: contiene le applicazioni che sono state bloccate parzialmente concesse
→ Partially allowed applications: elenca le applicazioni parzialmente concesse
→ Trusted applications: contiene invece le applicazioni sicure a cui abbiamo concesso piena libertà

Fig.5

Modificare una regola

In questa maschera è possibile modificare le regole già create o crearne di nuove, selezioniamo l’applicazione interessata e si attiverà il pulsante Edit, (Fig. 6) cliccandoci sopra, compare un menù in cui è possibile modificare le regole dell’applicazione, nel menù sono presenti varie voci

→ Always trust this app: concedi sempre l’uso di questa applicazione
→ Always block this app: blocca questa applicazione
→ Modify rules: modifica la regola attualmente impostata
→ Create rules using preset: usa le regole reimpostate da Outpost

Fig.6

Scegliamo la voce Modify rules e ci compare una maschera (Fig. 7) con tutte le regole applicate all’applicazione selezionata, e nel box inferiore troviamo un riepilogo delle regole assegnate.
Nell’esempio di Figura 7 vediamo che a Firefox è concessa la connessione HTTP, il protocollo di trasmissione è il TCP, la comunicazione è verso l’esterno (outbound) e le porte usate sono la 80 e la 83, la HTTPS(443), Socks(1080), Proxy alle porte 3128, 8080 e 8088, e AOL_4(11523)

Fig.7

Per eliminare una regola basta togliere la spunta a fianco, mentre per modificare basta fare doppio click sopra alla regola e ci appare una schermata (Fig. 8), divisa in 4 box, nel primo in alto vengono elencate le regole che sono state specificate, nel secondo viene elencato il permesso per la regola (Allow, Deny) e nel terzo viene elencato il riepilogo della regola stessa.

Fig.8

In questo riepilogo è possibile modificarne i parametri, se se clicchiamo su TCP ci appare un pannello in cui è possibile cambiare il protocollo di comunicazione in UDP, si può cambiare anche con lo stesso sistema la via di comunicazione da Outbound a Inbound, come è possibile modificare, aggiungere o togliere le porte di comunicazione cliccando sull’elenco delle stesse (Fig. 9)

Fig.9

Possiamo togliere la porta 83, la porta Socks e i proxy oltre alla porta AOL, in quanto non ci sono regole configurate per queste porte, basta cliccare sull’ultima stringa e compare il box con l’elenco delle porte separate dalla virgola, editare il contenuto e cliccare poi su Applica, a questo punto Outpost concede connessioni verso l’esterno solo sulla porta 80 e sulla 443 (Fig. 10), io attualmente navigo utilizzando queste due porte soltanto, se il browser cerca di usare altre porte si devono valutare di volta in volta, anche servendosi di Google e cercare il numero di porta o il servizio connesso all’avviso che rimanda Outpost

Fig.10

System :: (Fig. 11): in questa scheda possiamo configurare i seguenti parametri:

Fig.11

→ Netbios : abilita il Netbios, da attivare solo se il Pc è in una rete locale, e tramite il pulsante Setting impostiamo i parametri della rete locale (Figura 12), dobbiamo inserire in numero di IP o il range di IP che fanno parte della rete interna, non attivando questa opzione Outpost bloccherà le comunicazioni provenienti dagli altri Pc

Fig.12

→ ICMP : tramite il pulsante Settings comparirà un box (Fig. 13) dove possiamo modificare il settaggio dei pacchetti ICMP e il comportamento del Firewall nei loro confronti

Fig.13

→ Answer type : possiamo scegliere l’opzione Stealth o Normal, la modalità Stealth consente di rendere invisibili le porte del pc mentre si naviga in rete, questo si rileva estremamente utile per combattere il fenomeno dei portscan.
→ Normal : in questa modalità il pc chiamato comunica al chiamante quali siano le porte chiuse e aperte, rendendo di fatto il pc visibile.
→ Global Application and system rules: tramite il pulsante Settings accediamo ad un box (Fig. 14) dove è possibile impostare il DNS e bloccare eventuali protocolli sconosciuti, si consiglia di usare la configurazione di default

Fig.14

Policy :: (Fig. 15): in questa scheda possiamo configurare i parametri che agiscono in maniera complessiva e totale sul Firewall Outpost interpreta così

Fig.15

→ Allow most: permette tutte le comunicazioni che non siano specificatamente bloccate
→ Rules Wizard: Outpost ti guida nel processo di creazione regole e le applica nelle future comunicazioni; è l’opzione di default, consigliata a tutti.
→ Block most: blocca tutte le comunicazioni dei processi che non sono state specificatamente autorizzate
→ Stop all mode: blocca tutte le comunicazioni in ingresso ed uscita
→ Disable mode: il firewall viene disabilitato, lasciando libero accesso a tutte le comunicazioni.

Plug Ins :: (Fig. 16)

I Plug-ins sono dei moduli aggiuntivi che potenziano l’attività del firewall; nella Figura 16 viene riportato l’elenco dei plug-ins installati per default nel Firewall, viene mostrato lo stato degli stessi (abilitato-disabilitato), e tramite i pulsanti laterali è possibile caricare o rimuovere nuovi plug ins, inoltre è possibile avviare, fermare e settare i parametri di ogni plug-in installato.
I plug Ins installati per default sono i seguenti:

Fig.16

→ ADS : blocca la visualizzazione di immagini e pop up pubblicitari, inoltre impedisce la visualizzazione di immagini con dimensioni differenti da quelle specificate nel setup
→ Content : funziona come un file Host, è possibile creare una lista di siti a cui viene negato l’accesso
→ DNS cache : tiene traccia del dns di ogni indirizzo visitato; ciò ne velocizza l’accesso alla visita successiva;
→ Active content : modulo plug-in in cui è possibile abilitare o meno nelle pagine web e nelle e-mail controlli quali applet java, activeX, cookies, finestre pop-up ecc…
→ Attachments Filter : monitorizza gli allegati di posta elettronica con possibilità di effettuare determinate azioni a secondo del tipo di messaggio.
→ Attack Detection : imposta le azioni di difesa quando viene rilevato un attacco.

Vediamo ora in dettaglio queste voci come vanno configurate, si ricorda che per accedere alla configurazione delle stesse e necessario selezionare il Plug In interessato, fare click col destro del mouse e selezionare la voce “Properties“

Sezione ADS:: (Fig. 17)

Il plug-in ADS impedisce di visualizzare pop up pubblicitari e immagini in base alle impostazioni che abbiamo selezionato può eliminare i banner pubblicitari e aumentare anche la velocità di navigazione, in quanto i banner non sono contenuti nelle pagine che visitiamo, ma vengono caricati dai relativi server di origine, ne consegue un rallentamento della nostra connessione.
Nella linguetta HTML String (Fig. 17) possiamo impostare le stringhe a cui fanno riferimento i banner pubblicitari, oltre a quelle già preimpostate all’installazione e relative ai maggiori server pubblicitari, per attivare il filtro basta spuntare la voce “Enable HTML ad string blocking“ e tutte le immagini pubblicitarie riconosciute dal Firewall verranno sostituite con la dicitura [AD-IMG].

Fig.17

La funzione “Show Ad Trashcan on your desktop“ attiva la finestra, (Fig. 1 e ci viene riportata sempre in primo piano, quando un banner non viene riconosciuto basta trascinarlo sul cestino e verrà aggiunto alla lista delle immagini da bloccare.
Nella linguetta “Image size“ è possibile attivare il blocco delle immagini aventi dimensioni preimpostate, in pratica possiamo decidere di bloccare anche le immagini con una certa dimensione e verranno sostituite dalla dicitura [AD-SIZE]

Fig.18

E’ inoltre possibile ampliare la lista dei Plug Ins tramite l’espansione “Agnis“. Si tratta di un file in formato zip che è possibile scaricare da questo indirizzo. Agnis viene aggiornato periodicamente dalla Agnitum e contiene una lista di siti pubblicitari, è possibile importarli nel Plug Ins Ads, vediamo ora come fare per implementare la lista.

Si raccomanda di accertarsi di scaricare Agnis for Outpost, in quanto sono presenti anche file per altri Firewall, una volta scaricato il file .zip, estraetelo in una cartella e poi aprite la cartella dove avete scaricato i file, a noi interessano i file .ctl , ne troverete due, il file “ag-lite.ctl” non comprende i siti per adulti, mentre la “Full” si.

Vediamo ora come procedere per importare in Outpost questi file, scegliamo il .ctl più completo
Apriamo il Firewall e nel pannello di sinistra portiamoci sopra alla voce Ads, facciamo click col destro del mouse e scegliamo Properties, si aprirà una finestra (Fig. 17), facciamo doppio click sull’icona incorniciata di rosso, si aprirà la finestra “Apri” (Fig. 19), selezionate il file .ctl e cliccate su apri, tutto il contenuto verrà aggiornato nella lista presente nel box immediatamente. Agnis viene aggiornato periodicamente, pertanto si consiglia di consultare la relativa pagina dove si trova il file e controllare se ci sono aggiornamenti.

Fig.19

Sezione Content:: (Fig. 20)

Questo Plug In e una sorta di fusione fra un filtro parentale ed un file host. E’ possibile inserire un blocco in funzione del dominio (Fig. 20) e/o bloccare l’accesso a determinati siti in funzione delle parole in essi contenuti, tramite la linguetta “Blocked words“. Possiamo inibire l’accesso a determinate categorie di siti (esempio se digitiamo le parole “sex, “war” o “drug“, verranno bloccati tutti i siti che al loro interno contengono quei vocaboli.
Come dicevamo, con la funzione “Blocked sites“ è invece possibile bloccare la visualizzazione di determinati domini.

Fig.20

Sezione DNS Cache:: (Fig. 21)

Anche questo è un altro Plug In interessante (Fig. 21) che permette di tenere traccia di tutti i siti visitati. DNS Cache ci consente inoltre di settare lo stesso in maniera da decidere quanti records si possono memorizzare (Limit DNS database to) e per quanti giorni questi siano conservati in memoria (DNS records expire in)”. E’ interessante notare come molti utenti pensino alla propria privacy ricolgendo la propria attenzione alla cronologia, al famoso file Index.dat, ma come molti pochi considerino come le tracce della nostra navigazione vengono mantenute anche dal Firewall.

Fig.21

Sezione Active Content:: (Fig. 22)

Questa sezione è un po’ particolare, come possiamo vedere (Fig. 22) abbiamo la possibilità di scegliere se abilitare o bloccare una serie di voci, sia per la navigazione web che per il nostro provider di posta. Le voci che ci vengono mostrate sono molto importanti, ci compare un elenco con ActiveX, Cookies, Referers, Java and VB script, Popup windows e Java applets, inoltre per ogni voce abbiamo la possibilità di scegliere se abilitarne o disabilitarne l’esecuzione.

Cosa significa questo? Semplicemente che noi possiamo decidere di bloccare le voci sopra citate per tutti i siti che visitiamo eliminando così tutte le fastidiose e a volte insidie che ci possono essere inviate tramite questi componenti, ma al tempo stesso possiamo decidere di permetterne l’esecuzione per certi siti fidati.
Nella Figura 22 noterete che sotto alla voce “Web Pages” compare “Pianetapc.it”. Questo sta ad indicare semplicemente che alcuni contenuti attivi sono permessi per questo sito, mantre sono bloccati per altri.

Fig.22

Potrà sembrare limitante e poco soddisfacente una navigazione con tutte queste restrizioni, ma sicuramente è più sicura, pertanto si lascia ai lettori la scelta di come operare in questo contesto, se si preferisce vedere le immagini dei banner pubblicitari e permettere l’esecuzione delle voci elencate in questa sezione con gli effetti anche gradevoli a livello grafico che apportano, senza però dimenticare che le sopraccitate voci sono gli elementi più sfruttati da siti che distribuiscono applicazioni malevoli.
E’ inoltre importante sottolineare come Outpost sia uno dei pochissimi firewall che permettono questo tipo di setup dei contenuti attivi. Altri prodotti privi di questo tipo di controllo, “costringono” l’utente a settare l’esecusione di contenuti attivi direttamente dal sistema operativo e dal browser portando sicuramente un lavoro maggiore da compiere.

Sezione Attachments Filter:: (Fig. 23)

Questa sezione ci protegge dagli allegati pericolosi della posta elettronica (Fig. 23) viene suggerita come azione di rinominare l’allegato stesso, la sua segnalazione con un avviso a video oppure entrambe le soluzioni.

Fig.23

Da sempre si raccomanda di non aprire allegati “strani” anche se provenienti da mittenti conosciuti. Questa sezione ci ritorna molto utile, e si consiglia di spuntare la voce “Rename”, evitando così di continuare a ricevere avvisi a video.

Questa funzione inoltre interviene solo per gli allegati di posta elettronica ed è possibile aggiungere altre estensioni di file oltre a quelle che già trovate nel box premendo il pulsante “New” e digitate l’estensione senza il punto davanti del file che volete aggiungere (Fig. 24), nel caso si ricevesse un file con l’estensione elencata nel nostro elenco Outpost aggiunge la desinenza “Safe” a quella già esistente.
Per esempio se riceviamo un allegato del tipo allegato.vbs (uno script in Visual Basic) il nostro Firewall lo trasformerebbe in allegato.vbs.safe impedendo l’esecuzione dell’allegato, anche se inavvertitamente dovessimo cliccarci sopra per aprirlo.

Fig.24

Sezione Attack Detection:: (Fig. 25)

Questa sezione cura i veri e propri attacchi che possiamo subire durante la navigazione, principalmente attacchi di tipo DOS (Denial of Service), e abbiamo la possibilità di settare il nostro Firewall su Normal, Maximun e Minimum spostando il cursore con il mouse o verso l’alto o verso il basso (Figura 25). Si consiglia di tenere il grado di protezione su “Normal” ed eventualmente agire nella sezione “Block Intruders”. In questa parte possiamo decidere di bloccare tutto il traffico per x minuti (x è un valore che dovete dare voi in caso di attacco), oppure di bloccare l’indirizzo IP da cui proviene l’attacco.

Per una efficace protezione è opportuno mettere la spunta alle voci “Block local port if DOS attack detected” e “Block intruder’s IP for” e nel box a fianco inserite per quanti minuti volete bloccare quel determinato IP (consigliati 60)

Fig.25

Una volta configurato il vostro firewall è possibile eseguire un test andando a questo link http://www.pcflank.com/about.htm dove verrà simulato un attacco al vostro sistema .
Verranno scansionate tutte le porte ed eseguiti attacchi simulati nel tentativo di scardinare le vostre difese. Al termine del test potrete vedere sia le porte attaccate, che i protocolli che sono stati usati, gli IP dell’attaccante ma soprattutto come ha reagito il vostro sistema.