PM - HOME PAGE ITALIANA PM-TELEMATIC PUBLISHING PSYCHO-BOOKS

PM-TP
PSYCHOMEDIA
Psycho-Books


SICUREZZA INFORMATICA
PER PSICOLOGI E PSICHIATRI

Luca Pezzullo @ 2002 per Psychomedia Telematic Review

APPENDICE



Il MiniHOWTO di ZoneAlarm.
Ovvero, come configurare il Firewall e vivere felici


Quella che segue è un'eccellente e semplicissima guida alla configurazione del vostro nuovo Firewall ZoneAlarm (perchè voi avete intenzione di usarlo, vero ? Vero ?).
Viene riprodotta per gentile concessione dell'autore (Max Bandinelli), ed è reperibile, nella sua versione originale (assieme a molto altro materiale di interesse per la sicurezza informatica) sul sito: SecurFaq.
Visitatelo, ne vale davvero la pena !


Zone Alarm Mini-HOWTO (aggiornato al 18/03/2001)
Max "Firebeam" Baldinelli (M.Baldinelli@agora.it)

1. Cos'è Zone Alarm (versione free) e a cosa serve.

È un "personal firewall", cioè un programma di difesa per un computer client collegato a una rete e raggiungibile da Internet. "Personal" in quanto non è adatto a difendere una rete, ma solo alla macchina su cui è fisicamente installato. Questo documento tratta la versione gratuita, che è appunto un P.F. mentre la versione Pro, a pagamento, dispone di funzionalità più avanzate, tipiche di un vero firewall. Entrambe le versioni sono disponibili al sito ufficiale del produttore ZoneLabs (http://www.zonelabs.com), oltre che, per quanto riguarda la versione free, nei consueti archivi di software su Internet. Il programma, come detto, serve a proteggere il computer su cui è installato da certi tipi di attacchi, ma non da tutti.

Il primo motivo è che un protezione effettiva la può dare un firewall installato su una macchina fisicamente distinta da quella da proteggere, che gli fa in pratica da "scudo", mentre nel caso di un P.F. è possibile buttarlo giù con attacchi "su misura", dal momento che i pacchetti, prima di raggiungere il firewall ed essere da lui elaborati, devono prima passare per le librerie di rete che sono quindi indifese (nel caso di un vero firewall può andar giù lui, ma la macchina protetta resta fuori dall'attacco). Inoltre Zone Alarm free è un programma orientato alle applicazioni, mentre certi attacchi funzionano a un livello più basso agendo come detto sulle parti del sistema operativo che gestiscono le connessioni di rete. Infine, altri tipi di attacchi non sono evitabili, per esempio lo "smurf" che consiste nel saturare la banda disponibile, e quindi non si può fare nulla per impedirlo da parte del bersaglio.

2. Configurazione.

Il programma si installa senza problemi con il classico eseguibile autoestraente. Una volta completata l'installazione, Zone Alarm va configurato: lo si avvii facendo doppio click sull'icona nella tray bar (quella dell'orologio, in basso a destra dello schermo), si aprirà la finestra principale del programma, dai colori "estivi". Fate click sul pulsante "Configure", in alto a destra. Nella parte gialla appaiono alcuni controlli, che regolano il comportamento di base di ZA. Nella cornice "Configuration", si può scegliere se far restare ZA sempre in primo piano durante il collegamento Internet, se fargli mostrare una piccola e comoda barra di controllo da cui accedere alle funzioni principali, e di caricare ZA all'avvio oppure no. Quest'ultimo è consigliabile lasciarlo selezionato, mentre i primi due possono essere attivati oppure no (meglio farlo se avete un desktop grande, o ZA si potrebbe sovrapporre alla/e finestra/e del vostro browser).

Subito sotto abbiamo un'altra cornice dal titolo "Updates": selezionando la casellina, il programma controllerà la disponibilità di eventuali aggiornamenti, segnalandola in caso affermativo, mentre con i due bottoni sottostanti è possibile effettuare il controllo manualmente e scaricare l'aggiornamento. Infine, le informazioni sulla registrazione (niente paura, per la versione free è gratuita), con un bottone per poterle eventualmente cambiare. Passiamo ora alla scheda "Programs" (il secondo bottone da destra, in alto). Cliccando su di esso accediamo a una lista di programmi, che sono installati sul nostro sistema e per ognuno dei quali si può impostare l'attività di rete che vogliamo consentirgli o negargli.

Ogni riga è così composta, da sinistra a destra: - Nome e icona del programma, ed eventuale numero e data di versione. - Due righe, etichettate "Local" e "Internet", nelle quali specifichiamo il livello di accesso rispettivamente alla rete locale (se presente) e a Internet. Per entrambe, le possibili scelte sono: permettere l'accesso, negarlo o chiedere ogni volta all'utente, nell'ordine da sinistra a destra. La selezione di una delle opzioni è evidenziata rispettivamente da un segno di spunta, una X rossa e un punto di domanda. È possibile impostare separatamente l'accesso locale o a Internet, ma negare l'accesso a una delle due aree imposta automaticamente accesso negato anche all'altra. - La colonna "Allow server", selezione separata per area locale e Internet. Spuntando la casellina consentiamo al programma di accettare connessioni dall'esterno che provengano rispettivamente dall'interfaccia di rete locale e/o da Internet. Questo di norma non è bene, tuttavia per alcuni programmi potrebbe essere necessario (es. Napster, mIRC, ICQ). - La colonna "Pass Lock". Spuntando la casellina relativa, il programma può continuare a connettersi o ad accettare connessioni anche durante un blocco dell'attività di rete. È consigliabile spuntare questa casella SOLO per programmi fidati e SOLO in casi di emergenza. Da notare che soffermandosi per qualche istante con il mouse su una delle righe, appare una finestra pop-up con le informazioni sul programma (nome e percorso dell'eseguibile, dimensioni, ecc.).

3. Proteggiamo il sistema.

Una volta compiuta la configurazione di base, possiamo definire quella che in gergo si chiama una "policy" (politica) di sicurezza. Facendo click sul bottone "Security" possiamo configurare il controllo dell'attività di rete, attraverso un pannello suddiviso in due parti: Area locale e Internet (contraddistinte, come nel pannello "Programs", rispettivamente dai colori verde e azzurro). Su entrambe troviamo uno slider che, spostato, permette di specificare un livello di protezione basso, medio e alto; di solito medio per Local e Alto per Internet vanno più che bene. È anche possibile bloccare i server in ascolto su indirizzi locali o pubblici, tramite le due caselle poste sotto i rispettivi riquadri.

Molto importante è la casella in basso, nel riquadro dedicato "MailSafe e-mail protection": se spuntata, fa sì che ZA intercetti la ricezione di messaggi di posta con allegati VBS (Visual Basic script), che possono contenere virus (come il famoso I Love You, o Loveletter). Il bottone Advanced, in alto a destra, apre un dialogo in cui possiamo vedere la configurazione di rete nota a ZA, in un riquadro di cui la prima parte mostra le interfacce di rete e la seconda gli altri computer della rete locale.

Nella prima parte è di sicuro presente la voce PPP Adapter corrispondente ad Accesso Remoto, in pratica la connessione telefonica a Internet che Windows considera una scheda di rete fittizia, inoltre sono elencate le schede di rete eventualmente presenti; in ogni caso è mostrato l'indirizzo di rete e la subnet mask. Nella parte bassa sono elencati gli altri computer della rete locale e i gruppi di lavoro, le informazioni mostrate sono i nomi e gli indirizzi, che si possono aggiungere tramite il pulsante "Add " in alto a destra del dialogo: in questo modo possiamo inserire nell'Area locale singole macchine (per nome o indirizzo IP), o intervalli di indirizzi o intere sottoreti. Selezionando una riga e facendo click sul pulsante "Properties" accediamo alle informazioni relative a quella voce, mentre con il pulsante "Remove" possiamo cancellare la riga stessa.

Passiamo ora alla scheda "Lock", cliccando sull'omonimo pulsante in alto (il secondo della fila). In questo pannello possiamo configurare il blocco delle attività di rete, impostando un tempo limite di inattività oltre il quale far scattare il blocco, oppure quando si attiva lo screen saver (segno che l'operatore non è alla macchina). Inoltre, con i due radio button in basso, si può permettere ai programmi abilitati (colonna "Pass Lock" della scheda "Programs") di funzionare anche in regime di blocco, oppure bloccare incondizionatamente anche questi.

4. Informazioni sull'attività di rete.

Il primo bottone in alto, "Alerts", permette di esaminare l'attività di rete "in diretta", o quasi. In alto mostra un riepilogo del volume di dati scambiati (byte trasmessi e ricevuti), mentre il riquadro centrale mostra le informazioni sugli allarmi della sessione corrente, permettendo anche di navigarli, esaminarli in dettaglio e cancellarli con i controlli a destra, abbastanza intuitivi. In basso possiamo scegliere di loggare gli allarmi in un file (credo non sia configurabile nè come nome nè come percorso, almeno non sono riuscito a scoprire come si fa): è fortemente raccomandato di tenere attiva questa voce, eventualmente il pulsante a destra permette di cancellare i contenuti del file di log nel caso in cui dovesse diventare troppo grande. Infine, la casellina più in basso fa sì che ogni evento notevole, cioè ogni tentativo di accesso alla rete in ingresso o uscita non autorizzato, provochi l'apparizione di una finestra pop-up contenente un'informativa sull'evento stesso (a forma di fumetto, sulla tray-bar in basso a destra).

Questa caratteristica può essere abbastanza seccante, visto il numero di ragazzini/lamer/rompiscatole vari che hanno l'abitudine di sondare le reti dei principali provider nazionali alla ricerca di backdoor, provocando l'apparizione del suddetto avvertimento "a raffica", che ha anche l'effetto collaterale di rendere paranoico l'utente inesperto di reti, che spesso non sa il significato dei messaggi contenuti nella finestra e dei dati che essi riportano. È consigliabile quindi disabilitare questa caratteristica, ZA farà lo stesso il suo lavoro in silenzio (chi non ci crede riceverà il mio log di ZA sotto forma di documento Word non compresso, anzi uuencodato ); è comunque possibile riabilitarla in ogni momento.

Nella parte alta della finestra si trovano alcuni controlli per pilotare "in diretta" ZA: cliccando sul lucchetto è possibile bloccare o sbloccare istantaneamente l'accesso a Internet (CTRL-L permette di ottenere lo stesso effetto), mentre cliccando sul bottone rosso con la dicitura "Stop" (o con i tasti CTRL-S) si blocca o ripristina l'intera attività di rete. Queste possibilità sono utili in situazioni di emergenza, se cioè si pensa di essere sotto attacco (non fatelo tanto per fare, a me il clic su "Stop" ha provocato regolarmente il sistematico crash di Netscape Communicator). Immediatamente a destra di "Stop" un riquadro vuoto mostra le icone dei programmi che stanno eseguendo operazioni che coinvolgono la rete istante per istante; infine all'estrema destra il bottone "Zone Alarm Help" fa accedere all'help in linea, sotto forma di pagina Web locale.

Zone Alarm Mini-FAQ (Questions and Answers):

Q: Perchè sono continuamente attaccato? Allora ZA non funziona.
A: Hai la finestra di allerta attivata, vero? Nessun problema, questo è anzi il sintomo che ZA sta funzionando. In caso contrario quegli "attacchi" sarebbero passati senza farsi accorgere. Disattiva la finestra di pop-up, ZA funzionerà lo stesso senza problemi.

Q: Ho preso l'IP dell'attaccante dalla finestra di allarme, lo denuncio? Gli scateno una controffensiva?
A: La denuncia può avere senso solo se sono stati causati danni effettivi (cioè economici) o sono stati commessi reati penali. Una scansione delle proprie porte può preludere ad attività illecite successive, ma in sè non ha nulla nè di illecito nè di dannoso. Per la controffensiva, non esiste proprio. Primo perchè è illegale e si passerebbe dalla parte del torto, secondo perchè non si sa mai chi c'è "dall'altra parte del filo". Se il nostro amico sconosciuto ne sa più di noi, potrebbe a sua volta reagire e stavolta far male, nel senso di buttarci giù la macchina o di riuscire a infilarci qualcosa ("penetrare il PC", per la gioia dei regular di it.comp.sicurezza.varie AHR AHR). Ancora, la cosa migliore da fare è disabilitare la finestra pop-up.

Q: Ho autorizzato un programma ad accedere alla rete, perchè ZA dopo molto tempo torna a segnalarmelo?
A: L'hai appena aggiornato? Allora è normale, basta autorizzarlo di nuovo. ZA regola l'attività di rete in funzione dell'applicazione, ma non si basa solo sul nome e il percorso dell'eseguibile. Di sicuro tiene conto delle dimensioi e/o della data dell'eseguibile, non so se calcola anche ulteriori informazioni di sicurezza, come un checksum dell'eseguibile. In ogni caso, come detto, basta concedere di nuovo l'autorizzazione. Se invece questo capita senza che noi abbiamo eseguito aggiornamenti, NON AUTORIZZARE e anzi subito lanciare l'antivirus il più possibile aggiornato: se infatti c'è stato un cambiamento dell'eseguibile che accede alla rete non provocato da noi, può non essere un buon segno.

Q: Ho scoperto di avere installati degli spyware. Perchè ZA non mi avverte delle loro connessioni?
A: Alcuni di questi pacchetti non sono applicativi separati, ma lavorano in simbiosi con i programmi che li includono. Aureate è uno di questi, esso si registra come plug-in del browser (Netscape, IE o altro), e quindi per ZA ad accedere alla rete è a tutti gli effetti il browser, che ovviamente abbiamo autorizzato (altrimenti non potremmo visitare nessun sito web).

Q: Ho aperto il file di log, ma non ci capisco niente...
A: Ogni riga di quel file è un evento che ZA ha intercettato. Il significato di quelle righe è nell'intestazione del file stesso, per chi sa l'inglese... Per gli altri invece ecco spiegato l'arcano. La prima stringa è il tipo di accesso eseguito (FWIN = Ingresso, FWOUT = Uscita, PE = richiesta al DNS), seguono data e ora dell'evento, poi il nome dell'applicazione o dell'indirizzo locale o remoto che l'ha generato, quindi l'indirizzo destinazione. Tutti gli indirizzi IP sono indicati con la porta relativa all'evento. Infine, il protocollo (TCP, UDP, ICMP).

Q: Alcuni messaggi di posta che ricevo hanno allegati con estensione .zl1, .zl2 e simili e l'icoan di Zone Alarm. Quegli allegati dovrebbero essere eseguibili o file di Office, ma Zone Alarm non me li lascia aprire.
A: Zone Alarm, da qualche versione, si è messo in testa di avere delle limitate funzionalità antivirus, e così rinomina in quel modo gli allegati ai messaggi di posta che lui giudica pericolosi. Se tu vuole aprire uno dei file rinominati, ZA blocca l'operazione e ti chiede se vuoi davvero farlo. Per disabilitarlo, avvia l'interfaccia grafica di ZA, clicca su "Security" e guarda nella parte bassa della finestra, nel riquadro "MailSafe e-mail protection": c'è una casella il cui testo significa "Abilita la protezione MailSafe per mettere in quarantena gli allegati script delle email". Togli la spunta a quella casella e ZA non s'intrometterà più nella tua posta. Resta inteso che gli allegati ai messaggi vanno SEMPRE scansionati con un vero antivirus aggiornato.


PM - HOME PAGE ITALIANA NOVITÁ RIVISTA TELEMATICA EDITORIA MAILING LISTS