Comodo Firewall 5: protezione completa grazie a firewall, HIPS e sandboxing

Un “personal firewall” è un software che, installato sul personal computer, si occupa di controllare i tentativi di connessione dalla rete Internet verso il computer locale impedendo tutti quelli che possono risultare pericolosi. Non solo. I “personal firewall” più recenti analizzano anche il traffico in uscita dal personal computer verso la rete Internet bloccando tutti i tentativi di connessione sospetti (riconducibili all’attività di malware) oppure le comunicazioni che non sono consentite sulla base di una policy (regola firewall) preconfigurata. Un “personal firewall” è in grado di proteggere un singolo sistema (quello ove è stato installato) dagli attacchi provenienti dalla Rete ed eventualmente anche i computer che accedano ad Internet utilizzando la funzionalità per la condivisione della connessione offerta da Windows. Oltre a negare connessioni non autorizzate, un buon firewall dovrebbe rendere il personal computer collegato ad Internet del tutto invisibile dall’esterno, inesistente dal punto di vista di un hacker: le richieste di connessione indesiderate dovrebbero cadere nel vuoto (il sistema non deve inviare alcuna risposta).

Comodo Firewall 5 si occupa di proteggere il personal computer in uso non solo dai tentativi di attacco provenienti dall’esterno ma provvede a tenere sotto controllo tutti i tentativi di connessione da parte di applicazioni installate e componenti di sistema verso la rete Internet.

Come nel caso delle precedenti versioni, oltre alla funzionalità firewall vera e propria, Comodo Firewall 5 integra anche un modulo HIPS (battezzato Defense+) che si occupa di sorvegliare le attività dei software presenti sul sistema. Un HIPS (acronimo di “Host Based Intrusion Prevention System“) si occupa infatti di monitorare costantemente il comportamento dei programmi eseguiti offrendo un valido aiuto all’utente nell’individuazione di componenti maligni. Una volta distribuiti come applicazioni a sé stanti, gli HIPS stanno divenendo parte oggi, sempre più di frequente, di programmi antivirus e firewall.

Al momento dell’installazione, dopo aver fatto doppio clic sul file eseguibile, Comodo Firewall richiede quali componenti si desiderano installare. Oltre al firewall vero e proprio, viene proposta l’installazione opzionale di GeekBuddy, un software per il supporto a distanza che permette di ottenere aiuto da un dipendente di Comodo. Se si preferisse evitare di installare il software, è sufficiente togliere il segno di spunta dalla casella Comodo GeekBuddy.

Nella stessa finestra (casella Scarica in), viene indicata la cartella temporanea ove saranno scaricati i file necessari per portare a termine l’installazione del prodotto.

Successivamente, la procedura d’installazione richiede all’utente in quale modalità desideri utilizzare Comodo Firewall. Le possibili scelte sono tre: solo firewall, firewall con Proactive Defense+ ottimizzata e firewall con Proactive Defense+ completa.

Nel primo caso, viene attivato solo il firewall escludendo il modulo HIPS. La seconda e la terza opzione, invece, consentono di abilitare il modulo Defense+ con due differenti profili di configurazione. L’ultima scelta consente di fidare sul massimo livello di protezione possibile.

Nel prosieguo dell’installazione, Comodo Firewall propone anche l’utilizzo dei server DNS dell’azienda sviluppatrice del programma in luogo di quelli impostati sul personal computer o comunque impostati a livello router.

L’utente è libero di scegliere autonomamente tenendo però presente che, nel caso in cui si decidesse di utilizzare i DNS di Comodo, tutte le richieste di risoluzione di qualunque nome a dominio transiterebbero sui server dell’azienda produttrice del firewall. Comodo sottolinea comunque l’elevato livello di sicurezza garantito dall’uso dei suoi DNS: i nomi a dominio verrebbero risolti più rapidamente, grazie ad una rete di server ridondanti e l’utente sarebbe protetto da attacchi di DNS poisoning (abbiamo parlato di questa specifica tipologia di minaccia in questi articoli).

Ad installazione terminata, effettuato il riavvio del sistema, Comodo Firewall esporrà una finestra simile alla seguente:

Nella parte alta viene indicato l’indirizzo IP assegnato all’interfaccia di rete locale e più sotto il software chiede se autorizzare o meno la possibilità, per altri computer collegati in LAN, di accedere a file, cartelle e stampanti condivise. La casella va quindi spuntata nel caso in cui il sistema sul quale si sta configurando Comodo Firewall si trovi all’interno di una rete locale composta, tipicamente, da un router e da una serie di sistemi (siano essi workstation, portatili o dispositivi mobili dotati di connettività Wi-Fi) e si abbia la necessità di condividere risorse messe a disposizione sulla macchina in uso.
L’impostazione è comunque modificabile anche successivamente cliccando sulla scheda Firewall, su Policy sicurezza network, sulla scheda Zone network quindi rimuovendo la rete locale aggiunta (è sufficiente selezionarla quindi fare clic sul pulsante Rimuovi).
In tutti gli altri casi, è necessario lasciare disattivata la casella Voglio essere pienamente accessibile dagli altri PC di questa rete.

La casella Non rilevare automaticamente le nuove reti è bene sia lasciata disattivata. In questo modo Comodo Firewall segnalerà l’aggiunta di nuove eventuali interfacce di rete (si pensi alle situazioni in cui, soprattutto in ambito business, si ha la necessità di creare una rete VPN; ved. questi articoli).

Verificate quindi dal Pannello di controllo di Windows che il firewall integrato in Windows sia stato disattivato (Windows rileva automaticamente l’installazione di Comodo Firewall). Per verificare lo stato del firewall di Windows è necessario accedere al Pannello di controllo del sistema operativo quindi fare doppio clic sull’icona Windows Firewall.

La finestra principale di Comodo Firewall riassume lo stato delle attività poste in essere dal programma con l’indicazione del numero di connessioni in uscita, in ingresso e del traffico generato da ogni singola applicazione installata sul sistema.

Analogamente, la sezione Defense+ offre una panoramica sul numero di possibili minacce rilevate e sulle applicazioni in esecuzione all’interno della sandbox.

La finestra principale di Comodo Firewall può essere richiamata facendo doppio clic sull’icona visualizzata nella traybar di Windows. La stessa icona, tuttavia, mette a disposizione alcune regolazioni assai importanti che potrebbero passare inosservate a chi installa Comodo Firewall per la prima volta: cliccando con il tasto destro del mouse sull’icona di Comodo quindi scegliendo la voce Configurazione, si potrà verificare il tipo di monitioraggio effettuanto in tempo reale dal software.

Il livello di protezione più elevato è la “Proactive Security” mentre il più basso è “Firewall Security“. In quest’ultimo caso, ad essere abilitato è solamente il modulo firewall mentre Comodo non utilizzerà alcuna funzionalità propria del sistema HIPS Defense+. Attivando “Internet Security“, il modulo HIPS controllerà solamente alcune aree del sistema non offrendo una protezione a 360 gradi come la “Proactive Security“.

Configurazione del firewall

Il firewall di Comodo è impostato, di default, sull’impostazione Sicuro: ciò significa che per ridurre il numero di finestre pop-up mostrate all’utente, cerca di prendere autonomamente delle decisioni acconsentendo ad esempio taluni scambi di dati. Se l’applicazione è nota e fidata, infatti, Comodo Firewall le consente di collegarsi alla Rete e di scambiare informazioni con server remoti. Per verificare l’impostazione del modulo firewall, è sufficiente cliccare con il tasto destro sull’icona di Comodo, nella traybar, quindi cliccare su Livello sicurezza firewall.
La configurazione “Sicuro” è certamente quella più adatta per l’utente meno esperto che desidera fidare sul massimo livello di protezione possibile senza doversi cimentare con la comparsa di frequenti finestre pop-up. Comodo Firewall, infatti, richiederà di impostare una regola di comunicazione solo per le applicazioni sconosciute, non presenti nel ricco database del programma.

Selezionando “Policy personalizzata“, Comodo Firewall allerta l’utente circa qualsiasi tentativo di connessione messo in atto da qualunque applicazione presente sul sistema. Appariranno, quindi, finestre di allerta ogniqualvolta si utilizzerà il browser web preferito, il client VoIP od un qualunque software di messaggistica istantanea. L’utente più esperto potrà così regolare il comportamento di Comodo Firewall in modo molto preciso sebbene quest’attività certosina richieda assai più tempo per essere condotta a termine ed una competenza tecnica certamente più elevata.

Nell’impostazione di default (“Sicuro“), come detto, Comodo Firewall mostrerà delle finestre di allerta solamente nel caso in cui dovesse rilevare tentativi di connessione da parte di applicazioni sconosciute.
Il software, inoltre, utilizza alcuni elementi visuali per venire incontro all’utente: le finestre a comparsa di colore arancione indicano azioni poste in essere da programmi tendenzialmente legittimi mentre i pop-up evidenziati in rosso segnalano attività molto sospette riconducibili, ad esempio, all’azione di programmi dannosi.
Si tenga presente che, ogniqualvolta dovesse apparire una finestra pop-up, nell’attesa che l’utente imposta una regola di comunicazione oppure blocchi completamente lo scambio di dati, Comodo Firewall non acconsente al transito delle informazioni (da o verso il personal computer in uso). Anzi, se l’utente non fornisce una risposta dopo un congruo periodo di tempo, il pop-up scompare e la comunicazione viene comunque bloccata di default.

Per capire quale file sta richiedendo uno scambio di dati in Rete, è sufficiente cliccare sul suo nome: apparirà la finestra delle proprietà di Windows. La finestra pop-up relativa al file plugin-container.exe non sarebbe comparsa se non avessimo attivato l’impostazione “Policy personalizzata” in luogo di “Sicuro“. Si tratta, infatti, in questo caso, di un’applicazione sicura che è parte del browser Mozilla Firefox (gestisce il caricamento ed il funzionamento del plugin Flash Player di Adobe: ved., in proposito, questi articoli).
Cliccando sul menù a tendina “Più opzioni“, è possibile scegliere anche una delle regole predefinite (Tratta come), a seconda della specifica applicazione con la quale si ha a che fare.
Peccato che Comodo Firewall non consente, immediatamente alla comparsa della finestra pop-up, di creare regole più “strette”. Sarebbe auspicabile infatti trovare nella finestra di allerta un pulsante che permetta di consentire le comunicazioni, da parte di un’applicazione, solamente su porte e protocolli specifici bloccando tutte le altre.
Nuovi profili preimpostati (oltre a Browser web, Client Email, Client Ftp, Applicazione sicura, Applicazione bloccata e Solo in uscita) possono essere aggiunti accedendo alla finestra principale di Comodo Firewall, cliccando sulla scheda Firewall, su Policy sicurezza network, sulla scheda Regole predefinite quindi sul pulsante Aggiungi.
Qui, è immediato notare come Applicazione sicura (fare riferimento al pulsante Modifica) permetta qualunque genere di comunicazione sia in ingresso che in uscita (scelta scongliata) mentre Applicazione bloccata neghi qualunque tentativo di comunicazione.

Viceversa, ad esempio, nel caso di Client Email, Comodo Firewall consente le comunicazioni attraverso i protocolli POP3 e SMTP, permette le richieste DNS in uscita e mostra una finestra pop-up per qualunque altra richiesta differente.

Se il sistema in uso è posto in rete locale “dietro” un router correttamente configurato (che non effettua cioè il forwarding di tutto il traffico in ingresso) non si dovranno effettuare particolari operazioni tese a proteggere ulteriormente la macchina.
Nel caso in cui ci si connetta ad Internet direttamente, utilizzando un modem anziché un vero e proprio router, potrebbe essere necessario seguire la “procedura di invisibilità porte” (sezione Firewall della finestra principale del programma).
Le porte del singolo personal computer, infatti, non dovrebbero mai essere visibili all’esterno: dovrebbero quindi apparire, per un sistema remoto, del tutto “invisibili”. Similmente cioè a quanto accade nel caso di un normale router che fa cadere nel vuoto richieste di connessione indirizzate sì verso il suo IP ma su porte “non gestite”.
Un esempio aiuterà a capire meglio lo scenario: un normale router, per impostazione predefinita, non effettua il forwarding del traffico in arrivo su una determinata porta perché, di default, si presume che nessuna workstation della rete locale debba fungere da server. Se in LAN è presente un sistema che dovrà fungere da server web, sul router si dovrà aprire la porta 80 ed effettuare il forwarding del traffico in arrivo su tale porta verso l’IP locale assegnato alla workstation.

Nell’esempio in figura che rappresenta un particolare del pannello di amministrazione di un router ADSL, viene effettuato il forwarding di tutto il traffico in arrivo sulla porta 80 verso l’IP 192.168.1.10 (corrispondente alla macchina, collegata in LAN, ove è in ascolto il web server). Analoga operazione viene compiuta nel caso, ad esempio, di server FTP o dei più comuni software di file sharing (eMule, Torrent e così via).

Nel caso in cui si stia effettuando il forwarding, le porte corrispondenti ai software server in ascolto debbono essere visibili dalla rete Internet. Tutte le altre porte debbono risultare completamente invisibili.

Suggeriamo di effettuare un test con i seguenti servizi per verificare se e quali porte sono visibili dalla rete Internet:

Se ci si connette ad Internet utilizzando un semplice modem anziché un router “Procedura invisibilità porte” consente di rendere le porte del personal computer invisibili dall’esterno. Suggeriamo di optare per l’impostazione Avvisa connessioni in ingresso e rende invisibili le porte caso per caso qualora si utilizzassero applicazioni peer-to-peer (P2P) oppure software per la condivisione del desktop.

Il modulo HIPS di Comodo: Defense+

Seguendo il medesimo schema utilizzato per gli avvisi del modulo firewall, anche Defense+ mostra finestre pop-up di colore giallo nel caso in cui una modifica sulle parti “vitali” di Windows (ad esempio sulla configurazione del registro di sistema) venga posta in essere da un’applicazione tendenzialmente fidata. Con la colorazione rossa, invece, viene richiamata l’attenzione dell’utente sulle operazioni poste in essere da applicazioni potenzialmente davvero pericolose.
Come nel caso del firewall, la finestra a comparsa esposta dal modulo di protezione Defense+ riporta il nome del file eseguibile che sta cercando di applicare delle modifiche al sistema, una descrizione che suggerisce come trattare l’avviso e, nella parte sottostante, una serie di strumenti per consentire o bloccare la richiesta. E’ presente anche l’opzione Tratta come (accessibile cliccando su “Più opzioni“) che consente di scegliere fra alcuni profili di configurazione preimpostati. Con Installazione o aggiornamento si può fare in modo che Comodo non visualizzi finestre pop-up durante l’installazione o l’update di un prodotto software. E’ infatti proprio durante l’installazione di un programma che, spesso, vengono effettuate numerose modifiche alla configurazione del sistema operativo (è bene non attivare mai, in questo caso, la casella “Ricorda la mia risposta“). Applicazione di sistema permette di indicare a Comodo che si ha a che fare con un componente del sistema operativo in modo tale da evitare di dover rispondere a troppi avvisi; Applicazione isolata blocca tutte le operazioni condotte dall’applicazione mentre Applicazione limitata impedisce solamente alcuni interventi sulla configurazione di Windows (ad esempio la modifica delle voci del registro) mentre chiede all’utente come comportarsi in tutti gli altri casi. Infine, Applicazione sicura consente di dare “carta bianca” all’applicazione cui fa riferimento l’avviso visualizzato da Comodo: il programma sarà libero di effettuare qualunque tipo di intervento sul sistema in uso.
Ognuna delle regole appena citate è configurata nella scheda Defense+ di Comodo Firewall: basta selezionarla, cliccare su Policy di sicurezza del computer quindi sulla scheda Policy predefinite. Per verificare le impostazioni corrispondenti a ciascuna “policy” è sufficiente cliccare su di essa quindi sul pulsante Modifica ed infine su Personalizza. Quella che seguono, ad esempio, sono le scelte applicate nel caso della regola “Applicazione limitata“.

Come si vede, questa particolare “policy” blocca determinate operazioni mentre ne consente altre e richiede l’intervento dell’utente per altre tipologie di interventi.

Nella scheda Regole Defense+, Comodo Firewall elenca le regole già configurate per i programmi sinora incontrati. L’impostazione è chiara: a sinistra, nella colonna Nome applicazione, c’è un riferimento all’identità del programma mentre a destra (colonna Tratta come), Comodo indica la “policy” applicata. Come si vede, possono essere indicati sia uno dei profili preimpostati (se ne possono comunque configurare altri) presentanti in precedenza sia “policy personalizzata“.

Al solito, cliccando con il tasto destro del mouse sull’icona di Comodo Firewall nella traybar quindi cliccando su Livello sicurezza Defense+, è possibile impostare la modalità di funzionamento del modulo HIPS. Il consiglio è quello di scegliere “Sicuro“. In questo caso, Defense+ visualizza sì delle finestre pop-up che sono però un numero molto più limitato rispetto a quanto accadrebbe selezionando la modalità “Paranoico“.

Nella sezione File non riconosciuti (scheda Defense+), l’HIPS di Comodo memorizza l’elenco di quei file che non sono noti al controllo automatizzato sempre espletato dal programma. Il software conosce infatti la firma di migliaia di programmi legittimi e dannosi: nel caso in cui un eseguibile risultasse sconosciuto, Defense+ agisce con cautela (è infatti possibile, ad esempio, che un file legittimo sia stato modificato da un malware). Per impostazione predefinita (scheda Defense+, Impostazioni Defense+, Impostazioni controllo esecuzione, Scansiona automaticamente in Cloud i file non riconosciuti), Comodo Firewall effettua anche una scansione remota dei file non riconosciuti cercando di stabilire se possano o meno risultare nocivi.

Comodo Firewall ed il “sandboxing”

Nelle pagine de IlSoftware.it abbiamo spesso affrontato il concetto di sandbox presentandola come una misura particolarmente efficace della quale si dovrebbero dotare molti software (a partire, ad esempio, da tutti i browser web disponibili “sul mercato”). La “sandbox” può essere pensata come un’area, isolata dal resto del sistema, all’interno della quale è possibile eseguire programmi potenzialmente insicuri certi che eventuali modifiche non vadano ad impattare sulla configurazione di Windows e delle altre applicazioni.
Comodo Firewall mette a disposizione dell’utente un valido meccanismo di “sandboxing” che consente di “provare” il comportamento di un’applicazione accertandosi che il programma sia assolutamente benigno. Per fare in modo che l’applicazione non applichi modifiche pericolose, viene creata una copia di tutte le aree “critiche” del sistema operativo: il programma agirà su queste ultime senza far danni sul sistema “reale”.
Per maggiori informazioni sul tema “sandboxing“, vi invitiamo a fare riferimento ai nostri articoli in merito.

Comodo Firewall “isola” automaticamente un’applicazione all’interno della sandbox quando questa non è riconosciuta ovvero non è stata realizzata e firmata digitalmente da una delle software house note indicate nella finestra Policy di sicurezza del computer, nella scheda Autori software fidati.

In alternativa, può essere l’utente a richiedere l’avvio di un’applicazione dalla sandbox agendo sull’aposito pulsante della finestra di avviso di Defense+ oppure facendo uso della funzionalità Avvia un programma nella sandbox (scheda Defense+ nella finestra principale di Comodo Firewall).

Oltre ad essere inserito nella sandbox, il programma non riconosciuto da Comodo Firewall viene indicato nella finestra File non riconosciuti (scheda Defense+). Nel caso in cui, cliccando sul pulsante Controlla…, il file non dovesse risultare noto – attingendo agli aggiornamenti memorizzati sui server di Comodo – è possibile trasmettere l’eseguibile ai tecnici della società (pulsante Invia…) affinché possano compiere le indagini del caso.

Completa Comodo Firewall 5 la cosiddetta Modalità gioco: attivabile cliccando con il tasto destro sull’icona del programma nella traybar, consente di abbassare temporaneamente i vari livelli di protezione in modo tale che non venga esposto alcun messaggio (i.e. finestre pop-up) in grado di interferire negativamente col videogioco che si sta utilizzando.