Guida a cura di Jeff Buck

Questa guida non vuole essere esaustiva dell'argomento, ma vuole mettere in grado chi si avvicinasse per la prima volta a questo firewall di renderlo in breve operativo. In tal senso descriveremo le funzioni base (e magari qualcosa di più avanzato, come l'ICS, ma relativamente comune) rimandando al file di Help per ulteriori approfondimenti.

Installazione

N.B. : Di base supponiamo di effettuare l'installazione su un Singolo Pc collegato ad internet che non sia in LAN o in ICS.
Effettuiamo il download dal sito ufficiale di Jetico della versione più recente del firewall; essa è comprensiva anche dell'help, che può comunque essere scaricato e visualizzato come file a sé stante, senza installare il programma.
Faremo riferimento a tale file, in lingua inglese, laddove non ci interessasse in questa sede spiegare in dettaglio talune funzioni non indispensabili all'utilizzo del firewall stesso.Clicchiamo 2 volte col tasto sinistro del mouse sul file e partirà l'installazione:



che vi dà il benvenuto al wizard, Clicchiamo su avanti. Vi apparirà ora una schermata che riguarderà la configurazione della Trusted Zone (o zona sicura). JPF è in grado di auto-rilevare gli eventuali dispositivi di rete, per cui, fatta la premessa iniziale sul PC in cui andremo ad effettuare l'installazione, lasciate tutto come vi compare di default, che dovrebbe essere grosso modo così:



Identica cosa per la schermata successiva, relativa alla Blocked Zone (zona 'bloccata' = a cui non è concessa la comunicazione con il nostro PC):



Il wizard è ora completato, e vi apparirà l'immagine di uscita da esso:



Per le voci che compaiono in Trusted Zone e Blocked Zone potete fare riferimento al paragrafo dell'help dal titolo:'Configuration Wizard - setting Trusted and Blocked zones'.
Noi ora non ne abbiamo fatto uso, ma ne daremo un esempio quando spigheremo come predisporre JPF per l'ICS (Internet Connection Sharing = Condivisione della connessione internet).

Panoramica delle varie voci e schede

La prima scheda che vi si presenterà di fronte è quella del 'Traffic Monitor':



Essa è divisa orizzontalmente in 3 porzioni:
nella prima potete visualizzare graficamente il vostro traffico in entrata, nella seconda quello in uscita, nella terza trovate il resoconto numerico.
La seconda scheda riguarda le 'Applicazioni monitorate' da Jetico in tempo reale. Questa scheda consta di diverse colonne, selezionabili fino ad un massimo di 11. In questo esempio, anche per completezza, abbiamo scelto di visualizzarle tutte (in 2 tempi x chiarirne anche l'utilità), anche se non sempre ciò risulta comodo.

Per selezionare/deselezionare una colonna basta cliccare sopra un qualsiasi titoletto di essa col destro del mouse e da lì uscirà il menù a tendina apposito.
Come vedete, nel nostro caso, quasi tutte le applicazioni che giacciono al di sotto del firewall stesso sono applicazioni del sistema operativo (windows xp pro), che necessitano di comunicare con la rete.





Non tutte le applicazioni (di sistema) hanno connessioni attive, alcune necessitano di POTER scambiare informazioni con le schede di rete anche se queste non sono installate, altre necessitano di poter comunicare con l'indirizzo di loopback o cose simili, quindi è bene lasciarle fare.
E' anche vero però, che non sempre tutte le applicazioni che trovate qui servono, nel qual caso terminandole da task manager noterete la loro sparizione senza danno. (un es. pratico nel mio caso, spoolsv.exe, che non risulta più visibile passando dalla prima alla seconda immagine, in quanto da me terminato, dato che non ho stampanti). Per le voci del menù contestuale del monitor delle applicazioni ed ulteriori approfondimenti vi rimando al paragrafo dell'help dal titolo Applications monitor.

Come vedete JPF non mostra alcun problema con i software di p2p, e non impatta in maniera pesante sulle risorse del sistema (come fanno altri firewall). Le ultime 2 triplette di tutti gli indirizzi remoti sono state volutamente cancellate per questioni 'etiche', ma ovviamente il firewall vi mostra gli ip completi. La terza scheda è semplicemente il file di 'Log'.
Le voci delle varie colonne dovrebbero essere chiare, anche qui basta cliccare col destro sull'intestazione di una colonna per attivare/disattivare la visualizzazione (per chi volesse saperne di più su tali voci, può consultare il file di help al capitolo Log monitor).
Nella scheda il log viene mostrato in tempo reale.Esso, comunque, è anche disponibile come file txt, il cui percorso e grandezza sono impostabili da Options -> Log.



<

Passiamo all'ultima, e ben più interessante scheda, la quarta scheda, quella delle 'Configurazioni'.
Una descrizione troppo approfondita di tale scheda esula da questa guida, perché presupporrebbe la conoscenza di nozioni base di reti informatiche, ciononostante si spera di mettere in grado il lettore di usare questo firewall in tranquillità e di gettare le basi per ulteriori conoscenze.
Notiamo subito che è possibile caricare tre diverse Policy (una policy è l'insieme delle norme di comportamento da rispettare come utenti di una determinata rete): Optimal Protection, Allow All e Block All.

Le ultime due, rispettivamente, permettono tutto il traffico o bloccano tutto il traffico (ed infatti, nell'una troviamo come unica azione l'accept di tutti i pacchetti, nell'altra i reject di tutti i pacchetti).A noi, interessa ovviamente la policy predefinita Optimal Protection (clicchiamo sulla crocetta per espanderla).Vediamo subito che questa prevede come azione di default il reject.

Vediamo anche che sono preimpostate 4 regole, riguardanti: le applicazioni, gli ip, i protocolli e gli attacchi.Il firewall ci segnala quali di queste regole sono in attività in tempo reale, e di esse, il log, di default è disabilitato.(in realtà non va inteso in senso assoluto, il log dell'attività di monitoraggio di routine è disabilitato, ma se viene rilevato qualcosa fuori della norma sarete sempre e comunque avvisati, e tale avviso verrà loggato vedremo di capire meglio col seguente esempio).



Noi, al momento, preferiamo non editare alcuna di queste regole, ma, a titolo di prova (e per impratichirci col nostro nuovo firewall), mostriamo come sia possibile farlo, decidendo ad esempio, di fare in modo che, se il firewall reputa che un processo stia eseguendo un azione sospetta, oltre ad avvisarci per decidere se permetterla o negarla, tenga traccia di tale avviso.
Ci posizioniamo allora su Process Attack Table, e facciamo click col destro e scegliamo EDIT (prima di editare la regola, continuate a leggere l'esempio che segue per 'apprezzare' i cambiamenti).A questo punto dovrebbe comparire una finestra simile a questa:



Ci posizioniamo su Log Level e dal menù a tendina scegliamo 'alert'.
Andando nella scheda Log possiamo anche notare come, ogni volta che aggiorniamo qualche regola, la policy 'Optimal Protection' venga istantaneamente ricaricata, ovvero aggiornata.
D'ora in poi, quando il nostro sistema subirà un attacco da uno dei processi in esecuzione, oltre all'avviso di notifica ne rimarrà una traccia molto evidente (evidenziata in rosso) nel file di LOG. Ancora a titolo di esempio (e per imparare qualcos'altro), proviamo ad usare da connessi Windows Media Player per aprire un filmato (es. un mpg) prima di aver editato la regola sopra.Vi comparirà 1 avviso (nel log) di questo tipo:

Suspicious process activity
attacker installs system-wide windows hook C:\Programmi\Windows Media Player\wmplayer.exe)



Concedete l'allow (notiamo, per inciso, che questa NON è una regola classica su una data applicazione, ed infatti 'Handle as' e 'Remember my answer' sono disabilitati, ma il comportamento da tenere in quello che JPF reputa essere un attacco dall'interno) poi andate a guardare nella scheda del log.
Ora torniamo nella scheda configuration, ed editiamo su Optimal Protection la Process Attack Table come specificato sopra.
Prima di rifare la prova, però, dobbiamo andare ad eliminare la regola di accettazione per WMP, in modo che il firewall ci avvisi nuovamente della sua attività sospetta.
Per farlo, espandiamo la Optimal Protection ed andiamo in Process Attack Table, di qui eliminiamo l'ultima regola creata per WMP (vedi figura):



Ora, ripetete il giochino di aprire un filmato con WMP ed andate a ricontrollare cosa appare nel LOG.
Come abbiamo appreso dall'esempio sopra, Jetico, come ormai tutti i maggiori firewall, ha una funzione di 'learning mode' guidata tramite wizard, grazie alla quale la creazione di regole avviene in modo pressoché automatico, per cui non c'è bisogno di impostare tutto da soli, semmai ci basta andare ad editare poi la regola creata se, in qualcosa, non ci soddisfa appieno.
A differenza di altri firewall, però, JPF è un po' più 'fiscale' sulla creazione della regola, non dando il semplice 'accetta' 'non accetta' + 'ricorda questa risposta', ma concedendo una più vasta casistica.

Un esempio calzante per capire meglio quanto affermato sopra, ci viene offerto dai software di scambio di file (in particolare quelli in cui si è allo stesso tempo client e server, accettando tanto connessioni in entrata quanto in uscita).
Noi useremo Bit Torrent per l'esempio (per la precisione il client Bit Comet), ma la questione è assolutamente la stessa per emule, winmx, e tutti gli altri.
Poniamo che BitComet si affacci per la prima volta al web, ecco che JPF ci chiede cosa fare:



Come si può notare, noi abbiamo scelto 'Handle as' -> TRUSTED ZONE e REMEMBER THIS ANSWER.Cosa significa ciò, e quali altre scelte avremmo avuto? Analizziamo la situazione.
La prima opzione era quella di scegliere

- Allow this activity

Con tale scelta avremmo permesso a BitComet di poter mettersi in ascolto sul web tramite la sua porta di default, con tale scelta non avremmo ancora concesso a connessioni in entrata o in uscita il permesso! Per cui, per ogni connessione che il programma vuole stabilire ci verrà proposto un pop-up.

Un'altra opzione era

- Block This activity

con tale scelta non avremmo permesso a BitComet di mettersi in ascolto sul web, ma solo di girare sul nostro PC (alcuni potrebbero chiedersi a quale scopo beh, ad es. per creare un torrent, visto che BC possiede un 'generatore' interno).
La terza opzione era

- Handle As

questa opzione ci dice che possiamo maneggiare il processo come in pratica rimanda le regole a cui un processo può sottostare, a quelle create in un'apposita tabella.Alcune tabelle ce le troviamo già fatte, altre possiamo crearne noi. A seconda del numero di tabelle che abbiamo varieranno le possibilità di questa opzione.

Chiaramente, se fosse stato Firefox (o internet explorer) a chiederci l'accesso, anziché maneggiarlo come TRUSTED ZONE avremmo scelto WEB BROWSER, essendoci una tabella per i browser già bella e pronta.

Poiché qui siamo in presenza di un altro programma, che ci è noto, lo mandiamo in TRUSTED ZONE. Un programma nella trusted zone ha tutti i permessi CONCESSI. In pratica, ha un 'eccesso di libertà'.
Nulla ci vieta di creare noi una tabella ad hoc per Bit Torrent (anzi, tale tabella sembra essere già in cantiere affinché esca pre-compilata in una nuova versione del programma), al momento però questo esula dagli scopi basilari che la guida si prefigge.
In una tabella esiste già un set di regole già pronto, che nulla ci vieta di editare (ma fatelo solo se avete le idee ben chiare), per chi invece volesse creare una nuova tabella, diciamo solo che deva andare sulla Policy scelta, quindi click col destro del mouse e scegliere 'Insert Table'.
A questo punto ci si ritroverà con una New Table in cui si potranno dettare le regole.

Un'ultima opzione era quella costituita da

- Custom (reject)

Scegliendo tale opzione si entra direttamente nell'editor delle regole. A seconda di come configurerete le opzioni, i cambiamenti potranno essere o meno applicati automaticamente, e alla chiusura del firewall potrà esservi chiesto (o meno) se salvare tali cambiamenti.
Notate bene (sempre ultima figura sopra) che, ogni applicazione è contraddistinta da un proprio codice identificativo (quello denotato come HASH), ed è a questo (tra le altre cose) che JPF si rifà nel controllo dei processi, per cui, quando ad es. aggiornate la versione di un programma, il suo hash cambierà, e pertanto dovrete ricreare una regola per esso (e cancellare quella vecchia, che altrimenti resterà in memoria e verrà ogni volta caricata inutilmente)

Condivisione della connessione con Jetico Personal Firewall

JPF può essere configurato per l'utilizzo della condivisione della connessione, ma nota che così facendo, parte della protezione contro gli 'inbound scanning' sarà diminuita in questo caso, ciò accade per la seguente ragione:
JPF ha 2 livelli di protezione: Network Level(livello di comunicazione) e Application Level (livello di applicazione).
Per ora non prendiamo in considerazione qui il terzo livello, il Process Attack Protecting Level (livello di protezione dagli attacchi), perché esso funziona in ogni caso.
Il livello di applicazione fornisce al livello di comunicazione informazioni sulle applicazioni che hanno una connessione attiva, e su tutte la applicazioni di windows relative al traffico di rete.

Ora, quando passi alla Condivisione della connessione internet tu ottieni un indirizzo di rete privato (chiamiamolo, ad es., quello dell'interfaccia B e sia 192.168.0.1) e continui allo stesso tempo anche ad avere un ip pubblico (chiamiamolo e ad es. quello dell'interfaccia A e sia 207.46.156.188). Tutti i pacchetti che provengono dall'interfaccia B all'interfaccia A e tutti i pacchetti che provengono da internet per l'interfaccia B, tutti questi pacchetti NON corrispondono a nessuna applicazione in Windows!
I pacchetti dovrebbero semplicemente andare da e verso le due interfacce, A e B.
Pertanto, applicando la configurazione di default, con la stateful inspection, le regole prevedranno il rifiuto di tutto il traffico tra le due interfacce A e B.Pertanto, per rendere l'ICS funzionante, dovremmo disattivare la stateful inspection in JPF. Ecco come procedere:

-1- Seleziona la scheda 'Configuration' in JPF;

-2- Nell'albero della configurazione della policy 'Optimal Protection' seleziona la seguente tabella: Root '> System IP Table '> System Internet Zone;

-3- Nella tabella System Internet Zone posizionati sulla regola 'Stateful TCP Inspection', click col destro e scegli EDIT;

-4- Espandi 'Protocol Specific' e togli il segno di spunta da 'Stateful Inspection';



-5- Ripetere i punti -3- e -4- per 'Stateful UDP Inspection';

Poi , l'indirizzo di rete dell'interfaccia B va aggiunto nella Trusted Zone di JPF, farlo è abbastanza semplice.
Dopo aver completato i punti sopra basta, infatti, lanciare il wizard di configurazione (l'abbiamo visto nella home page in fase di installazione, per rilanciarlo: Start -> programmi -> Jetico Personal Firewall -> Configuration Wizard).
Esso dovrebbe rilevare automaticamente in nuovo indirizzo privato di rete, aggiungendolo alla lista di quelli nella trusted zone.
Completate quindi nuovamente tale wizard.
Al termine di questa procedura, l'ICS dovrebbe ora essere completamente operativo sul vostro PC.

Come bloccare un ip indesiderato : (restrizioni applicabili anche ai siti web)

In questa sezione vediamo come sia possibile bloccare un IP indesiderato.
Ovviamente tale IP può essere di tipo dinamico (ad es. quello di host remoto che ci abbia sondato con un port-scanning), oppure statico (ad es. quello di un sito internet).
La procedura per fare in modo che il nostro PC non comunichi più con quell'IP è assolutamente la stessa, per cui ci rifaremo al secondo caso, essendo questo quello più utilizzato per la creazione di una regola di tipo permanente.
Per rendere l'esempio più realistico, poniamoci in una situazione pratica. Siamo toscani e amanti del bird watching, per questo, ci capita spesso di andare a visitare il sito della associazione ornitologica fiorentina
Utilizzando un browser serio, ci accorgiamo però, dalla barra degli indirizzi, che questo sito, come molti, si rifà ad un sito di terzi (vediamo scorrere a volte un s1.shinystat.it o altri come www.frestat.ws) per la creazione di statistiche sul visitatore (ottenendo informazioni quali il nostro IP, il browser utilizzato, il nostro sistema operativo, la risoluzione del monitor, ecc).



Questo sito che offre gratuitamente il servizio di statistiche è http://www.shinystat.it/
Per fortuna, o purtroppo, di questo tipo di domini ne esistono molti, ad esempio: www.freestat.ws - www.statistiche.it - www.w3stat.net - www.statisticheweb.com, solo per citarne alcuni.
Noi, paranoici come pochi, non amiamo molto chi ci fa rientrare nelle statistiche, nemmeno per le migliori ragioni di questo mondo, e pertanto, andiamo col nostro bel firewall a bloccare la comunicazione a questo sito di terzi
(questo è solo uno dei metodi utilizzabili, un altro è, ad es. l'uso di PROXIMODO, di cui qui non trattiamo).

Per prima cosa ci occorre conoscere l'indirizzo ip di questo sito, in forma numerica, non il nome del dominio (che viene sempre convertito in IP attraverso i DNS). Ma noi conosciamo solo il nome del dominio, come conoscere il suo IP?
Esistono molti modi, ma quello molto probabilmente più semplice è il seguente: Apriamo il nostro prompt dei comandi e digitiamo
ping http://www.shinystat.it/
(naturalmente dovremo aver cura sia al prompt del dos, cmd.exe, che al comando ping.exe di dare i permessi di uscita, perché il nostro JPF è, giustamente, molto zelante).

Fatti dunque i debiti 'allow', ci troveremo visualizzato l'ip del sito sopra, che è 151.1.33.3
Verifichiamolo, digitando nel nostro browser: http://151.1.33.3/ : Ok, le cose tornano.
Passiamo alla fase che ci interessa più da vicino, ossia la creazione della regola nel firewall. Andiamo nella scheda Configuration -> Optimal Protection -> System Ip Table. Nella parte destra dello scheda, dove ci sono le regole, clicchiamo col destro del mouse in un punto qualunque al di sotto dell'ultima regola e scegliamo:

NEW -> System IP rule Espandiamo tutte le voci ed andiamo ad editare le seguenti:

Description: bloccare shinystat
Verdict: Reject
Log level: Alert
Destination: -> Address tipe -> Host
Destination: -> Address tipe -> IP address -> 151.1.33.3

Le altre voci lasciatele invariate (in special modo la casella con scritto match inverted deve restare de-selezionata!). Ora potete dare OK. Se volete, per maggiore sicurezza (scelta consigliata!), potete clonare la regola, ri-editare la clonata e segnare in Destination: any, ed in Source mettere Host e quindi l'indirizzo che intendete bloccare.
In tal modo, non solo non invierete pacchetti a quell'IP, ma nemmeno ne riceverete.



Ripetiamo l'operazione per gli due siti sopra citati (entrambi facenti capo all'ip: 67.15.56.69 ).
Non ci resta che verificare che le nuove regole funzionino. Per farlo clicchiamo sul sito dell'associazione ornitologica fiorentina dopo esserci assicurati che la regola sia stata caricata guardando nella scheda LOG del firewall (dovrebbe comparire la scritta - Policy - Optimal Protection - loaded- ).
Ora, sempre con un occhio alla scheda del LOG ecco che vediamo la regola in azione:



Dove 67.15.56.69 è proprio l'IP di uno dei siti 'spia'. Ora, alcuni di voi potrebbero chiedersi e se invece di un unico IP volessi bannare un intero range di IP? Purtroppo, la versione attuale di JPF non implementa ancora una tale opzione (a meno di non voler inserire tutti gli IP dell'intervallo, uno alla volta!), pertanto non è possibile creare un'unica regola per bloccare un range di IP.

Gli sviluppatori di tale software, però, hanno promesso di introdurre una tale funzione nella versione 2 del prodotto, che, speriamo resti ancora freeware (la data di uscita di tale versione dovrebbe essere nei prossimi mesi del 6). A questo punto siete grosso modo in grado di far fronte al normale utilizzo del firewall.

La redazione di Pianetapc.it ringrazia Jeff per la realizzazione e la concessione alla pubblicazione del suo tutorial.


Fonte : Pianeta Pc