Outpost Firewall Pro: guida completa al suo utilizzo

Un firewall è un dispositivo software o hardware preposto al controllo ed al filtraggio del traffico di rete proveniente dall’esterno (rete locale o Internet) nonché di quello eventualmente generato dall’interno.

Spieghiamo questa definizione con parole più semplici. Ogni computer collegato ad Internet è e rimane un ‘nodò della rete mondiale per tutta la durata della connessione. Esso è in grado di comunicare con gli altri computer sfruttando un protocollo di comunicazione ed utilizzando dei pacchetti (o datagrammi) transitanti attraverso determinate porte (usate per identificare il tipo di comunicazione). In questa immensa rete di sistemi il firewall può essere paragonato ad una dogana: il suo compito è quello di analizzare i pacchetti in entrata o in uscita su una porta, permettendone o bloccandone il transito dopo averli confrontati con un insieme di regole predefinite e/o definite dall’utente. E’ quindi facilmente comprensibile come un firewall impedisca l’intrusione nel nostro pc da parte di utenti non autorizzati e ci tenga costantemente informati sui tentativi di accesso ad Internet da parte delle applicazioni installate nel nostro computer.

L’utilità di un firewall non sta però solo in questa funzione: generalmente permette anche di conservare la propria privacy agendo su elementi ampiamente utilizzati in Rete.

Urge una breve precisazione. I firewall non sono autonomi: per funzionare nel pieno delle loro potenzialità (e quindi per fornire la massima protezione) devono essere configurati ed istruiti correttamente da parte di chi li utilizza. E’ bene evitare di servirsi di questi software se non si è in grado di configurarli in maniera ottimale: in questi casi infatti la loro efficacia risulterebbe nulla o quasi, generando nell’utente un falso senso di sicurezza.

Quelle che seguono sono alcune considerazioni generali sull’uso di Outpost Firewall Pro, sulla configurazione delle regole e sull’uso di alcune funzionalità chiave di questo prodotto. Per scaricare la guida completa (documento di - Dove il protocollo specificato è
- Dove la direzione specificata è
- Dove l'host remoto specificato è
- Dove la porta remota specificata è
- Dove la porta locale specificata è
- Dove l'intervallo di tempo specificato è
- Dove la porta locale è uguale alla porta remota

2) Seleziona azione per la tua regola: si seleziona quale tipo di permesso è concesso in relazione a ciò che abbiamo impostato su Selezione evento per la tua regola. Queste sono le possibili scelte:
– Permettilo: permette all’applicazione di comunicare tramite Internet, rispettando sempre le impostazioni date in Selezione evento per la tua regola.
– Negalo: nega all’applicazione di comunicare tramite Internet, rispettando sempre le impostazioni date in Selezione evento per la tua regola; inoltre, non notifica alla fonte che il pacchetto è arrivato a destinazione.
– Riportalo: verrà riportato tramite una finestra pop-up (vicino alla tray bar) e sul Rapporto Eventi della sezione Riportato l’utilizzo di questa regola da parte dell’applicazione.
– Avvia applicazione: sarà possibile eseguire una determinata applicazione quando questa regola viene applicata da Outpost. Un esempio potrebbe essere quello di dover lanciare un software per la traduzione di testi dall’inglese all’italiano una volta che accediamo ad una determinata pagina web.
– Stato di ispezione: se spuntata, sarà attivata una speciale tecnologia del firewall che tiene traccia delle sessione attive TCP ed UDP, consentendo il passaggio del traffico di Rete attraverso percorsi più piccoli e quindi più facilmente controllabili. E’ una funzione che garantisce maggior sicurezza rispetto al classico filtraggio dei pacchetti, ma richiede più tempo per il controllo ed un maggior impegno del firewall.
– Ignora Controllo Componenti: se mettiamo il flag su questa opzione verrà ignorata la funzione Controllo Componenti nel caso in cui l’applicazione che sfrutta questa regola dovesse usufruire di componenti quali spesso sono le librerie .DLL per il suo corretto funzionamento.
3) Descrizione regola: in questo riquadro viene riassunta la regola creata. Se poi si clicca nelle impostazioni evidenziate in blu (collegamenti) si accederà direttamente alla loro modifica.
4) Nome della regola: si immette il nome della regola creata che può essere ben differente dal nome che le viene affibbiato di default da Outpost.

Creazione delle regole durante la navigazione

Fino adesso sono state illustrate le opzioni offerte per poter configurare dei ruoli ad hoc per un’applicazione. L’utente però si trova spesso a dover impostare in modo dinamico le regole per un’applicazione, ad esempio mentre naviga su Internet.
Vediamo ora quali sono le finestre che possono comparire all’utente quando “naviga” in Rete. Un primo esempio può essere il seguente:

Con l’avviso Mozilla: applicazioni richiesta una connessione in uscita con…, Outpost segnala all’utente che un programma che si chiama Mozilla sta tentando di effettuare una comunicazione in uscita. Sarà banale, però è bene puntualizzare che esistono due tipi di comunicazione: in uscita ed in entrata. Generalmente si ha a che fare con comuni-cazioni in uscita. Comunicazioni in entrata possono ad esempio apparire quando si usa un programma Peer-to-Peer (come WinMX e Kazaa Lite): infatti, in queste situazioni, si deve dare il permesso anche agli altri utenti di poter scaricare dal proprio hard disk. Questo tipo di programmi offrono infatti funzionalità server, sfruttabili da remoto.

Continuando con le informazioni che Outpost fornisce all’utente, noteremo che viene data indicazione della porta che Mozilla vuole utilizzare (Servizio remoto: HTTP (TCP:80)) e del relativo protocollo (TCP).
Viene anche segnalato verso quale indirizzo l’applicazione Mozilla intenderebbe comunicare (Indirizzo remoto: www.ilsoftware.it).

Una volta raccolte queste informazioni e fatti un’idea di cosa sta succedendo (l’applicazione è pulita oppure si tratta di uno spyware ad esempio), dovremo decidere come comportarci nei confronti di questa richiesta.

Outpost come al solito ci viene incontro. Outpost Firewall Pro dovrebbe comportarsi in uno dei modi seguenti:
– Permettere tutte le attività per questa applicazione: in questo caso Outpost collocherà l’applicazione in questione tra quelle totalmente permesse. Quindi, d’ora in poi, questo programma avrà accesso su tutte le porte. Facciamo notare che questa è in generale una cattiva soluzione in quanto consente all’applicazione di fare quello che vuole.
– Fermare tutte le attività per questa applicazione: Outpost collocherà Mozilla definitivamente tra le applicazioni bloccate. Mozilla, quindi, non potrà comunicare in Rete in nessun modo. L’unica soluzione, se volessimo utilizzare l’applicazione, sarà quella di rimuovere l’applicazione da quelle totalmente bloccate. State attenti quindi quando configurate l’accesso per un’applicazione (ovviamente fidata) a non mettere il flag su questa opzione altrimenti non riuscirete a farla funzionare su Internet.
– Crea regole usando predefiniti: significa che Outpost ha una serie di regole predefinite per le applicazioni più conosciute. In questo caso il firewall ha riconosciuto l’applicazione e segnala all’utente che esistono già delle regole preconfigurate per Mozilla. Se abilitiamo questa opzione, l’applicazione verrà collocata nella categoria parzialmente permesse e l’accesso alla Rete configurato automaticamente con un pacchetto di regole predefinito.
Questa soluzione può essere utile per un utente con poca esperienza sulla configurazione di un firewall, in quanto vengono di default abilitate svariate possibili comunicazioni. Il vantaggio è che abbiamo già finito, lo svantaggio è che spesso è permesso più di quanto serva realmente a questa applicazione. Consiglio: se proprio si desiderano utilizzare le regole predefinite, è bene andare a verificare quali regole sono state create per poi eventualmente modificarle in un secondo momento.
– Permetti una volta e Blocca una volta sono comandi importanti ed utilissimi: consentono infatti di permettere o bloccare, ogni volta che un’applicazione ne faccia richiesta, una comunicazione. Spiegheremo più avanti l’importanza cruciale rivestita da questi due all’apparenza inutili pulsanti.

Siamo arrivati ad un punto in cui Outpost ci ha dato delle informazioni e ci ha detto cosa egli può fare. A questo punto, agiamo scegliendo l’opzione Altro (dal menù a tendina).

Creazione delle regole: andiamo in profondità

Dopo aver selezionato l’opzione Altro dal menù a tendina Crea regole usando predefiniti, comparirà una nuova finestra grazie alla quale è possibile entrare più nel dettaglio del processo di creazione della nuova regola:

Ancora una volta Outpost ci viene incontro, indicando in Descrizione regola com’è strutturata la regola in corso di creazione: qual è il protocollo che viene utilizzato (TCP), la direzione della comunicazione (in uscita), l’indirizzo dell’host remoto al quale l’applicazione intende collegarsi, la porta remota (HTTP ossia la porta 80).

Come potete notare tutte queste informazioni erano già presenti nella finestra iniziale: Outpost ora le dispone semplicemente in un ordine attraverso il quale recepisce una regola per un’applicazione specifica.

Entriamo ora un po’ di più nel dettaglio. Il protocollo è il TCP (tutto ok), la porta remota è HTTP (è una porta standard) e l’host è un indirizzo specifico. Viste le premesse TCP e porta 80 e considerato poi che il 90% dei siti sono consultabili attraverso la porta 80, perché vincolare questa regola ad un sito specifico considerato poi il fatto che ci piace usare Mozilla? La soluzione a questo problema è semplice: basterà togliere dal riquadro Seleziona l’azione per la tua regola il segno di spunta all’opzione Dove l’host remoto specificato è… ed il gioco è fatto.

A questo punto la nostra regola sarà modificata in TCP – Outbound – HTTP. Se pensiamo che la regola sia, a questo punto, corretta ed idonea per il nostro modo di operare, allora dovremmo scegliere il tipo di azione che il firewall dovrà intraprendere tutte le volte in cui l’applicazione (Mozilla, in questo caso) richiederà di effettuare lo stesso tipo di comunicazione in Rete: nel riquadro Seleziona l’azione per la tua regola spuntiamo la casella Permettilo.

Per un attimo immaginiamo di essere degli utenti un po’ più smaliziati: sappiamo quindi che Mozilla non avrà bisogno solo della porta HTTP (80) per comunicare, ma sarebbe meglio abilitare fin dall’inizio la possibilità di navigare su un sito FTP (porta 21) e di poter fare degli acquisti su Internet HTTPS (porta 443). Come facciamo?
Sarà sufficiente cliccare sul link 80 (HTTP): apparirà quindi una nuova finestra. In calce ade essa è riportata la voce Inserire il numero della porta o intervallo, separato da una virgola. Nel nostro esempio, abbiamo inserito tre porte separate dalla virgola: HTTP, FTP, HTTPS (che sono rispettivamente la 80, 21, 443): sono le porte che ci interessavano.

Quando vogliamo inserire una serie di porte che non sono contigue dovremo usare la virgola come ho indicato nell’esempio precedente. Se invece volessimo abilitare delle porte che sono sequenziali, allora dovremo utilizzare il trattino: ad esempio, scrivendo 137-139, saranno abilitate le comunicazioni sulle porte 137, 138 e 139.

Per riprendere il filo logico del discorso, ricordiamoci che tutto questo è stato fatto per abilitare Mozilla a comunicare sulle porte 21, 80 e 443. Forse il numero delle porte vi sembrerà ristretto: è meglio abilitare poche porte per poi verificare durante le nostre navigazioni su Internet se abbiamo realmente bisogno di altre porte oltre a quelle già inserite.
La cosa migliore è partire con delle regole ristrette e molto rigide poi, a mano a mano che si naviga su Internet, si verifica se le regole create siano le più adatte per le nostre abitudini. Non ha senso all’inizio abilitare l’apertura di porte che non sappiamo neanche se utilizzeremo. Inoltre, se noi abilitassimo subito anche tante altre porte oltre a suggerite in precedenza, non sapremo mai con quale frequenza apriremo queste porte durante la navigazione (salvo consultazioni giornaliere dei log; “giornaliere” perché dopo un pò i dati vengono cancellati).

Altra considerazione. Abbiamo abilitato solo le porte 21, 80 e 443: supponiamo però di voler visualizzare una pagina che richiede una connessione sulla porta 8080, sulla porta 5000, oppure su un’altra ancora. Outpost ci segnala questo tentativo di comunicazione: cosa fare? Potremmo come al solito aspettare e vedere cosa succede (a volte si fanno delle scoperte interessanti), permettere una volta la comunicazione su questa porta (Permetti una volta) oppure creare una regola.
A questo punto è utile chiedersi se la regola che vogliamo creare dobbiamo crearla solo per quel sito specifico oppure per tutti i siti. La risposta è la prima: la creiamo solo per quello specifico sito. Solo il tempo ci dirà se abbiamo fatto bene oppure no: se durante le nostre navigazioni sul Web incontreremo poche o nessuna richiesta per quella porta generica allora avremo fatto benissimo. Se viceversa tutti i giorni dovessimo confrontarci con richieste di questo tipo (ad ogni richiesta deve corrispondere un sito diverso), beh allora forse è meglio cambiare la regola ed abilitarla per tutti i siti.

Nella guida completa in formato PDF, trovate l’analisi dettagliata di tutte le altre schede racchiuse all’interno del menù Opzioni di Outpost.

Due esempi di configurazione delle regole firewall

Una delle applicazioni più utilizzate a richiedere l’accesso ad Internet, è senza dubbio il client e-mail. Vediamo un esempio di come configurare correttamente le regole firewall per Outlook Express.
Nel momento in cui l’applicazione richiederà accesso alla Rete, qualora non esistesse alcuna regola, Outpost ci avviserà immediatamente, proponendoci di creare una regola preimpostata per l’applicazione:

Basta premere OK ed il gioco è fatto. C’è però una piccola considerazione da fare.
Se provate a controllare le regole che sono state create (Applicazione, Modifica, Modifica regole) noterete che esse sono numerose:

E’ bene allora capire bene come utilizzate l’applicazione: se vi serve solo per spedire e ricevere posta (senza bisogno di autenticazione da parte del server) potete lasciare la spunta solo su Send mail by Outlook Express e Receive mail by Outlook Express: l’applicazione potrà quindi comunicare solo attraverso la porta 110 (POP3; per la ricezione delle e-mail) e la porta 25 (SMTP; per l’invio delle e-mail). Le altre regole a cui toglierete la spunta saranno disattivate, ma potrete riattivarle nuovamente in caso di necessità: per il controllo della posta via HTTP (Outlook Express IMAP connection) e per la consultazione dei newsgroup (Outlook Express NNTP e LDAP connection).

Conoscendo a priori il tipo di comunicazione che richiede l’applicazione, saremmo in grado anche di creare la regola adatta manualmente e senza essere connessi alla Rete. Possiamo sfruttare l’esempio del browser descritto in precedenza, oppure semplicemente cliccare sul pulsante Aggiungi della scheda Applicazione, inserire Outlook Express (msimn.exe) ed impostare una regola predefinita per il client e-mail (Modifica, Crea regole usando predefiniti, E-Mail Client).

Diverso invece è il discorso per applicazioni le cui modalità di comunicazione in Rete ci sono sconosciute (esempio: porta ed host remoto). In questi casi è sempre bene lasciare che sia il firewall a guidarci per la creazione di una regola specifica.

Nell’esempio che segue, riportiamo il tentativo di accesso ad Internet da parte del modulo NOD32KRN.EXE: si tratta di un componente dell’antivirus NOD32 il cui compito è quello di aggiornare periodicamente il database delle definizioni dei virus:

E’ facile evincere che il tentativo di connessione avviene verso l’host u1a.eset.com, sulla porta HTTP (80). Considerata proprio la porta, Outpost propone, come regola predefinita, quella per i Browser e per i Download Manager: visto che l’applicazione in questione non è né l’una né tantomento l’altra, conviene fare clic su Altro (come in figura) per impostare una regola in modo manuale. Ci comparirà la finestra Regole che abbiamo già più volte incontrato.

Nel riquadro Descrizione regola possiamo controllare l’esatta costruzione della regola: basterà quindi solamente darle un nome appropriato (casella Nome della regola), mettere la spunta su Permettilo e premere OK: la nostra regola verrà così registrata e fatta propria da parte di Outpost Firewall.

Nel caso specifico di NOD32, dopo questa prima connessione (atta ad accertare la presenza o meno di aggiornamenti), il modulo potrebbe richiedere un’ulteriore connessione per procedere al download delle impronte virali aggiornate: basterà seguire lo stesso procedimento appena descritto e permettere la comunicazione.

Desideriamo sottolineare anche che l’host remoto per il controllo ed il download degli aggiornamenti viene in genere scelto automaticamente da NOD32 tra alcuni indirizzi: durante gli aggiornamenti successivi, quindi, potrebbero essere richieste connessioni verso host diversi. Sta a voi decidere se modificare le regole in modo che diventino ‘universalì per tutti gli host oppure se creare più regole specifiche (ovviamente la seconda soluzione sarebbe la più sicura, anche se la più dispendiosa in fatto di tempo e di pazienza).

Il filtro sui contenuti

Dalla finestra principale di Outpost (o dalla scheda Plug-in), è possibile accedere – tra le altre cose – alle possibilità di filtro dei contenuti presenti nelle pagine web visitate.

L’utilizzo del plug-in Filtro contenuti plugin consente di:
1. bloccare l’apertura di certe pagine web che contengono al loro interno determinate parole (una specie di “parental control”) che dovremo inserire noi (es. sex, drug) preferibilmente sia in inglese che in italiano.
2. bloccare determinati siti che non vogliamo visualizzare;
3. impostare il messaggio che verrà visualizzato sulla pagina web della quale verrà bloccato il contenuto;
4. stabilire una lista di siti affidabili dei quali Outpost non bloccherà il contenuto;
5. importare od esportare un file con all’interno la lista dei siti o delle parole bloccate.

Il filtro contenuti attivi è però quello decisamente più importante per la navigazione sicura su Internet. Esso consente, infatti, di bloccare tutta una serie di applicazioni che possono interagire con il browser durante l’apertura e visualizzazione di una pagina web. La configurazione di questo modulo è suddivisa in tre schede: Pagine Web, Posta e News ed Esclusioni.

Evidenziando un contenuto attivo possiamo, tramite le tre opzioni presenti a destra, decidere quali azioni Outpost deve applicare. Sono quindi disponibili tre possibili azioni per ogni tipo di contenuto attivo: con il flag su Abilitato sarà permessa l’esecuzione del contenuto attivo, con Chiedi sarà di volta in volta chiesto all’utente quale sia l’azione da intraprendere e con Disabilitato il contenuto attivo sarà sempre automaticamente bloccato da Outpost.

Se come opzione per un determinato contenuto attivo scegliamo Chiedi, durante la navigazione Outpost con la prima finestra pop-up ci chiederà di impostare le regole per il determinato host a cui stiamo accedendo.

La scheda Posta e news presenta analoghe opzioni della scheda Pagine Web con la differenza che queste verranno applicate sulla visualizzazione dei contenuti attivi presenti all’interno delle e-mail.

Per quanto riguarda la scheda Esclusioni, riteniamo che il suo nome non sia azzeccato: non si tratta di una lista di host esclusi dalle impostazioni applicate per questo plug-in, ma semplicemente dell’elenco di tutti quei siti che abbiamo visitato e per i quali abbiamo deciso di memorizzarne impostazioni specifiche (opzione Chiedi).

Per scaricare la guida completa di Outpost Firewall (documento di 33 pagine in formato PDF