Zone Alarm Mini-HOWTO 18/03/2001 - Max "Firebeam" Baldinelli M.Baldinelli@agora.it 1. Cos'e' Zone Alarm (versione free) e a cosa serve E' un "personal firewall", cioe' un programma di difesa per un computer client collegato a una rete e raggiungibile da Internet. "Personal" in quanto non e' adatto a difendere una rete, ma solo alla macchina su cui e' fisicamente installato. Questo documento tratta la versione gratuita, che e' appunto un P.F. mentre la versione Pro, a pagamento, dispone di funzionalita' piu' avanzate, tipiche di un vero firewall. Entrambe le versioni sono disponibili al sito ufficiale del produttore ZoneLabs (http://www.zonelabs.com), oltre che, per quanto riguarda la versione free, nei consueti archivi di software su Internet. Il programma, come detto, serve a proteggere il computer su cui e' installato da certi tipi di attacchi, ma non da tutti. Il primo motivo e' che un protezione effettiva la puo' dare un firewall installato su una macchina fisicamente distinta da quella da proteggere, che gli fa in pratica da "scudo", mentre nel caso di un P.F. e' possibile buttarlo giu' con attacchi "su misura", dal momento che i pacchetti, prima di raggiungere il firewall ed essere da lui elaborati, devono prima passare per le librerie di rete che sono quindi indifese (nel caso di un vero firewall puo' andar giu' lui, ma la macchina protetta resta fuori dall'attacco). Inoltre Zone Alarm free e' un programma orientato alle applicazioni, mentre certi attacchi funzionano a un livello piu' basso agendo come detto sulle parti del sistema operativo che gestiscono le connessioni di rete. Infine, altri tipi di attacchi non sono evitabili, per esempio lo "smurf" che consiste nel saturare la banda disponibile, e quindi non si puo' fare nulla per impedirlo da parte del bersaglio. 2. Configurazione Il programma si installa senza problemi con il classico eseguibile autoestraente. Una volta completata l'installazione, Zone Alarm va configurato: lo si avvii facendo doppio click sull'icona nella tray bar (quella dell'orologio, in basso a destra dello schermo), si aprira' la finestra principale del programma, dai colori "estivi". Fate click sul pulsante "Configure", in alto a destra. Nella parte gialla appaiono alcuni controlli, che regolano il comportamento di base di ZA. Nella cornice "Configuration", si puo' scegliere se far restare ZA sempre in primo piano durante il collegamento Internet, se fargli mostrare una piccola e comoda barra di controllo da cui accedere alle funzioni principali, e di caricare ZA all'avvio oppure no. Quest'ultimo e' consigliabile lasciarlo selezionato, mentre i primi due possono essere attivati oppure no (meglio farlo se avete un desktop grande, o ZA si potrebbe sovrapporre alla/e finestra/e del vostro browser). Subito sotto abbiamo un'altra cornice dal titolo "Updates": selezionando la casellina, il programma controllera' la disponibilita' di eventuali aggiornamenti, segnalandola in caso affermativo, mentre con i due bottoni sottostanti e' possibile effettuare il controllo manualmente e scaricare l'aggiornamento. Infine, le informazioni sulla registrazione (niente paura, per la versione free e' gratuita), con un bottone per poterle eventualmente cambiare. Passiamo ora alla scheda "Programs" (il secondo bottone da destra, in alto). Cliccando su di esso accediamo a una lista di programmi, che sono installati sul nostro sistema e per ognuno dei quali si puo' impostare l'attivita' di rete che vogliamo consentirgli o negargli. Ogni riga e' cosi' composta, da sinistra a destra: - Nome e icona del programma, ed eventuale numero e data di versione. - Due righe, etichettate "Local" e "Internet", nelle quali specifichiamo il livello di accesso rispettivamente alla rete locale (se presente) e a Internet. Per entrambe, le possibili scelte sono: permettere l'accesso, negarlo o chiedere ogni volta all'utente, nell'ordine da sinistra a destra. La selezione di una delle opzioni e' evidenziata rispettivamente da un segno di spunta, una X rossa e un punto di domanda. E' possibile impostare separatamente l'accesso locale o a Internet, ma negare l'accesso a una delle due aree imposta automaticamente accesso negato anche all'altra. - La colonna "Allow server", selezione separata per area locale e Internet. Spuntando la casellina consentiamo al programma di accettare connessioni dall'esterno che provengano rispettivamente dall'interfaccia di rete locale e/o da Internet. Questo di norma non e' bene, tuttavia per alcuni programmi potrebbe essere necessario (es. Napster, mIRC, ICQ). - La colonna "Pass Lock". Spuntando la casellina relativa, il programma puo' continuare a connettersi o ad accettare connessioni anche durante un blocco dell'attivita' di rete. E' consigliabile spuntare questa casella SOLO per programmi fidati e SOLO in casi di emergenza. Da notare che soffermandosi per qualche istante con il mouse su una delle righe, appare una finestra pop-up con le informazioni sul programma (nome e percorso dell'eseguibile, dimensioni, ecc.). 3. Proteggiamo il sistema Una volta compiuta la configurazione di base, possiamo definire quella che in gergo si chiama una "policy" (politica) di sicurezza. Facendo click sul bottone "Security" possiamo configurare il controllo dell'attivita' di rete, attraverso un pannello suddiviso in due parti: Area locale e Internet (contraddistinte, come nel pannello "Programs", rispettivamente dai colori verde e azzurro). Su entrambe troviamo uno slider che, spostato, permette di specificare un livello di protezione basso, medio e alto; di solito medio per Local e Alto per Internet vanno piu' che bene. E' anche possibile bloccare i server in ascolto su indirizzi locali o pubblici, tramite le due caselle poste sotto i rispettivi riquadri. Molto importante e' la casella in basso, nel riquadro dedicato "MailSafe e-mail protection": se spuntata, fa si' che ZA intercetti la ricezione di messaggi di posta con allegati VBS (Visual Basic script), che possono contenere virus (come il famoso I Love You, o Loveletter). Il bottone Advanced, in alto a destra, apre un dialogo in cui possiamo vedere la configurazione di rete nota a ZA, in un riquadro di cui la prima parte mostra le interfacce di rete e la seconda gli altri computer della rete locale. Nella prima parte e' di sicuro presente la voce PPP Adapter corrispondente ad Accesso Remoto, in pratica la connessione telefonica a Internet che Windows considera una scheda di rete fittizia, inoltre sono elencate le schede di rete eventualmente presenti; in ogni caso e' mostrato l'indirizzo di rete e la subnet mask. Nella parte bassa sono elencati gli altri computer della rete locale e i gruppi di lavoro, le informazioni mostrate sono i nomi e gli indirizzi, che si possono aggiungere tramite il pulsante "Add >>" in alto a destra del dialogo: in questo modo possiamo inserire nell'Area locale singole macchine (per nome o indirizzo IP), o intervalli di indirizzi o intere sottoreti. Selezionando una riga e facendo click sul pulsante "Properties" accediamo alle informazioni relative a quella voce, mentre con il pulsante "Remove" possiamo cancellare la riga stessa. Il pulsante "Help" invece non funziona nella mia installazione, nel senso che cliccandolo non succede niente... boh. Passiamo ora alla scheda "Lock", cliccando sull'omonimo pulsante in alto (il secondo della fila). In questo pannello possiamo configurare il blocco delle attivita' di rete, impostando un tempo limite di inattivita' oltre il quale far scattare il blocco, oppure quando si attiva lo screen saver (segno che l'operatore non e' alla macchina). Inoltre, con i due radio button in basso, si puo' permettere ai programmi abilitati (colonna "Pass Lock" della scheda "Programs") di funzionare anche in regime di blocco, oppure bloccare incondizionatamente anche questi. 4. Informazioni sull'attivita' di rete Il primo bottone in alto, "Alerts", permette di esaminare l'attivita' di rete "in diretta", o quasi. In alto mostra un riepilogo del volume di dati scambiati (byte trasmessi e ricevuti), mentre il riquadro centrale mostra le informazioni sugli allarmi della sessione corrente, permettendo anche di navigarli, esaminarli in dettaglio e cancellarli con i controlli a destra, abbastanza intuitivi. In basso possiamo scegliere di loggare gli allarmi in un file (credo non sia configurabile ne' come nome ne' come percorso, almeno non sono riuscito a scoprire come si fa): e' fortemente raccomandato di tenere attiva questa voce, eventualmente il pulsante a destra permette di cancellare i contenuti del file di log nel caso in cui dovesse diventare troppo grande. Infine, la casellina piu' in basso fa si' che ogni evento notevole, cioe' ogni tentativo di accesso alla rete in ingresso o uscita non autorizzato, provochi l'apparizione di una finestra pop-up contenente un'informativa sull'evento stesso (a forma di fumetto, sulla tray-bar in basso a destra). Questa caratteristica puo' essere abbastanza seccante, visto il numero di ragazzini/lamer/rompiballe vari che hanno l'abitudine di sondare le reti dei principali provider nazionali alla ricerca di backdoor, provocando l'apparizione del suddetto avvertimento "a raffica", che ha anche l'effetto collaterale di rendere paranoico l'utente inesperto di reti, che spesso non sa il significato dei messaggi contenuti nella finestra e dei dati che essi riportano. E' consigliabile quindi disabilitare questa caratteristica, ZA fara' lo stesso il suo lavoro in silenzio (chi non ci crede ricevera' il mio log di ZA sotto forma di documento Word non compresso, anzi uuencodato ); e' comunque possibile riabilitarla in ogni momento. Nella parte alta della finestra si trovano alcuni controlli per pilotare "in diretta" ZA: cliccando sul lucchetto e' possibile bloccare o sbloccare istantaneamente l'accesso a Internet (CTRL-L permette di ottenere lo stesso effetto), mentre cliccando sul bottone rosso con la dicitura "Stop" (o con i tasti CTRL-S) si blocca o ripristina l'intera attivita' di rete. Queste possibilita' sono utili in situazioni di emergenza, se cioe' si pensa di essere sotto attacco (non fatelo tanto per fare, a me il clic su "Stop" ha provocato regolarmente il sistematico crash di Netscape Communicator). Immediatamente a destra di "Stop" un riquadro vuoto mostra le icone dei programmi che stanno eseguendo operazioni che coinvolgono la rete istante per istante; infine all'estrema destra il bottone "Zone Alarm Help" fa accedere all'help in linea, sotto forma di pagina Web locale. Zone Alarm mini-FAQ Q: Perche' sono continuamente attaccato? Allora ZA non funziona. A: Hai la finestra di allerta attivata, vero? Nessun problema, questo e' anzi il sintomo che ZA sta funzionando. In caso contrario quegli "attacchi" sarebbero passati senza farsi accorgere. Disattiva la finestra di pop-up, ZA funzionera' lo stesso senza problemi. Q: Ho preso l'IP dell'attaccante dalla finestra di allarme, lo denuncio? Gli scateno una controffensiva? A: La denuncia puo' avere senso solo se sono stati causati danni effettivi (cioe' economici) o sono stati commessi reati penali. Una scansione delle proprie porte puo' preludere ad attivita' illecite successive, ma in se' non ha nulla ne' di illecito ne' di dannoso. Per la controffensiva, non esiste proprio. Primo perche' e' illegale e si passerebbe dalla parte del torto, secondo perche' non si sa mai chi c'e' "dall'altra parte del filo". Se il nostro amico sconosciuto ne sa piu' di noi, potrebbe a sua volta reagire e stavolta far male, nel senso di buttarci giu' la macchina o di riuscire a infilarci qualcosa ("penetrare il PC", per la gioia dei regular di it.comp.sicurezza.varie AHR AHR). Ancora, la cosa migliore da fare e' disabilitare la finestra pop-up. Q: Ho autorizzato un programma ad accedere alla rete, perche' ZA dopo molto tempo torna a segnalarmelo? A: L'hai appena aggiornato? Allora e' normale, basta autorizzarlo di nuovo. ZA regola l'attivita' di rete in funzione dell'applicazione, ma non si basa solo sul nome e il percorso dell'eseguibile. Di sicuro tiene conto delle dimensioi e/o della data dell'eseguibile, non so se calcola anche ulteriori informazioni di sicurezza, come un checksum dell'eseguibile. In ogni caso, come detto, basta concedere di nuovo l'autorizzazione. Se invece questo capita senza che noi abbiamo eseguito aggiornamenti, NON AUTORIZZARE e anzi subito lanciare l'antivirus il piu' possibile aggiornato: se infatti c'e' stato un cambiamento dell'eseguibile che accede alla rete non provocato da noi, puo' non essere un buon segno. Q: Ho scoperto di avere installati degli spyware. Perche' ZA non mi avverte delle loro connessioni? A: Alcuni di questi pacchetti non sono applicativi separati, ma lavorano in simbiosi con i programmi che li includono. Aureate e' uno di questi, esso si registra come plug-in del browser (Netscape, IE o altro), e quindi per ZA ad accedere alla rete e' a tutti gli effetti il browser, che ovviamente abbiamo autorizzato (altrimenti non potremmo visitare nessun sito web). Q: Ho aperto il fiile di log, ma non ci capisco niente... A: Ogni riga di quel file e' un evento che ZA ha intercettato. Il significato di quelle righe e' nell'intestazione del file stesso, per chi sa l'inglese... Per gli altri invece ecco spiegato l'arcano. La prima stringa e' il tipo di accesso eseguito (FWIN = Ingresso, FWOUT = Uscita, PE = richiesta al DNS), seguono data e ora dell'evento, poi il nome dell'applicazione o dell'indirizzo locale o remoto che l'ha generato, quindi l'indirizzo destinazione. Tutti gli indirizzi IP sono indicati con la porta relativa all'evento. Infine, il protocollo (TCP, UDP, ICMP). Q: Alcuni messaggi di posta che ricevo hanno allegati con estensione .zl1, .zl2 e simili e l'icoan di Zone Alarm. Quegli allegati dovrebbero essere eseguibili o file di Office, ma Zone Alarm non me li lascia aprire. A: Zone Alarm, da qualche versione, si e' messo in testa di avere delle limitate funzionalita' antivirus, e cosi' rinomina in quel modo gli allegati ai messaggi di posta che lui giudica pericolosi. Se tu vuole aprire uno dei file rinominati, ZA blocca l'operazione e ti chiede se vuoi davvero farlo. Per disabilitarlo, avvia l'interfaccia grafica di ZA, clicca su "Security" e guarda nella parte bassa della finestra, nel riquadro "MailSafe e-mail protection": c'e' una casella il cui testo significa "Abilita la protezione MailSafe per mettere in quarantena gli allegati script delle email". Togli la spunta a quella casella e ZA non s'intromettera' piu' nella tua posta. Resta inteso che gli allegati ai messaggi vanno SEMPRE scansionati con un vero antivirus aggiornato.