La versione originale di Windows XP conteneva già un firewall, ma quasi nessuno ne ha tenuto conto. I motivi erano la mancanza di comfort e una gamma moderata di funzioni. Con il Service Pack 2, Microsoft ha aggiornato il firewall e aggiunto nuove funzioni. Tuttavia, l’impostazione del firewall non è così banale come potrebbe sembrare a prima vista. Nel seguente articolo forniamo assistenza e consigli per l’impostazione e la regolazione del firewall.

Protezione da cosa?

Chi già utilizza un firewall “estraneo” come ZoneAlarm o Sygate si chiederà sicuramente se ora debba affidarsi all’aggiunta di Microsoft. Un consiglio in anticipo: non è necessario cambiare. I prodotti di terze parti offrono comunque maggiore comodità e anche protezione.

Il firewall di Windows chiude tutte le porte e i tentativi di connessione (ad esempio anche il ping) dall’esterno. I dati in entrata che non sono stati richiesti vengono scartati dal firewall. Inoltre, Microsoft ha fatto in modo che i sistemi siano già protetti dal firewall quando viene attivato lo stack di rete. Senza eccezioni corrispondenti, il computer è quindi ben protetto dagli attacchi provenienti dall’esterno.

Le connessioni in uscita, invece, non vengono bloccate in modo costante, a differenza dei firewall applicativi tradizionali. Se con ZoneAlarm e Co. è necessario concedere esplicitamente i diritti di uscita a ogni applicazione, il firewall di Windows lo richiede solo quando un’applicazione apre una porta come server, ovvero attende la ricezione di dati. Le comunicazioni in uscita, come la navigazione o la posta elettronica, invece, non vengono bloccate.

Dove si trova cosa?

Il centro di controllo del firewall è l’icona corrispondente nel pannello di controllo.

La prima scheda mostra 3 modalità operative del firewall.

Oltre ad Attivo e Inattivo, esiste anche la modalità operativa “Non consentire eccezioni”. In questa modalità operativa, tutte le eccezioni definite successivamente dall’utente vengono ignorate. Questa modalità è adatta, ad esempio, se il notebook è collegato a un hotspot pubblico.

Fig. 1: Il firewall ha 3 modalità operative

Nella scheda “Eccezioni”, il firewall elenca tutte le regole di filtro che si applicano a tutte le connessioni di rete protette dal firewall.

Fig. 2: I programmi e i servizi elencati in Eccezioni si applicano a tutti gli adattatori protetti.

La terza scheda “Avanzate” offre ulteriori opzioni. Inoltre, qui è possibile definire quali connessioni di rete sono coperte dal firewall. Prima del Service Pack 2, ciò doveva essere definito nelle proprietà delle rispettive connessioni di rete. Se si disattiva una connessione, questa viene completamente ignorata dal firewall.

Fig. 3: In Avanzate è possibile definire anche quali connessioni sono protette dal firewall.

Se una connessione è protetta dal firewall, ciò è indicato, come in precedenza, dal simbolo del lucchetto.

Figura 4: Tutte le connessioni sono protette dal firewall

Impostare le eccezioni

Se un’applicazione, ad esempio un server FTP, desidera stabilire una connessione, il firewall lo segnala con un messaggio di dialogo:

Fig. 5: Dialogo di avviso del firewall

Sono disponibili 3 opzioni. Se si fa clic su Continua a bloccare o Non blocca più, il firewall lo annota tra le eccezioni. La figura 2 si presenta quindi come segue per “Non bloccare più”.

Figura 6: Aggiunta di una nuova voce.

Il trucco, tuttavia, sta nei dettagli. Come si può vedere nell’immagine, il programma di prova “The Personal FTP Server” è stato aggiunto all’elenco delle eccezioni e attivato (riconoscibile dal segno di spunta). Ciò significa che il programma ha sempre accesso.

Tuttavia, non viene tenuto un elenco separato di quali programmi non possono sempre accedere a Internet (=continuare a bloccare). Se alla domanda di dialogo della Fig. 5 si fosse risposto con “Continua a bloccare”, il risultato sarebbe stato il seguente:

Fig. 7: Questa volta il programma è stato bloccato, solo che il segno di spunta non è presente.

È quindi necessario prestare molta attenzione alla voce Eccezioni quando si modifica qualcosa, poiché le autorizzazioni e i divieti sono conservati in un elenco comune. Se sono state autorizzate o vietate molte applicazioni, l’intera faccenda diventa rapidamente confusa.

A questo punto vorrei darvi due consigli per la sicurezza:
1. Il Windows Firewall non crea una somma di controllo per i programmi consentiti, al fine di identificarli in modo univoco. Pertanto, con il firewall di Windows sarebbe possibile che l’utente “permetta” un’applicazione, ma che questa venga poi sostituita da un trojan, ecc. Windows pone restrizioni solo sul nome e sul percorso del file.

Inoltre, un programma può concedersi i diritti appropriati tramite un’API disponibile nel sistema, a condizione che l’account connesso sia autorizzato a farlo. Poiché molti utenti domestici lavorano sul sistema come amministratori, questo crea un ulteriore rischio per la sicurezza. Esistono già in circolazione dei worm che terminano semplicemente il firewall con un account di amministratore.

Utilizzando i pulsanti “Programma” o “Porta”, si possono anche definire le proprie eccezioni come rilascio o blocco. È quindi necessario attendere prima una richiesta da parte del sistema.

Quali programmi richiedono quali porte si possono trovare in pagine come

• http://www.iana.org
• http://ports.tantalo.net
• L’articolo 842242 della MS KB

Eccezioni per una sola connessione

L’elenco delle eccezioni nella seconda scheda si applica a tutte le connessioni coperte dal firewall (visibili nella terza scheda). Tuttavia, se si desidera consentire un’eccezione solo per una connessione specifica , è necessario scegliere un altro modo.

Selezionare prima la connessione in questione e poi selezionare Impostazioni sulla destra.

Fig. 8: Le impostazioni effettuate ora si applicano solo alla connessione “tunnel vpn”.

In Servizi è possibile selezionare i servizi esistenti o aggiungerne di nuovi tramite Modifica.

Fig. 9: Eccezioni che si applicano solo a una connessione

In Aggiungi sono disponibili le seguenti opzioni:

Fig. 10: Imposta un’eccezione propria

È possibile specificare solo la porta e il protocollo. Se per un caso sono necessarie più porte, è necessario aggiungere più eccezioni. Questa finestra di dialogo non sa come specificare le applicazioni, come nel caso delle eccezioni generali. Se non si ottiene sempre lo stesso IP da un server DHCP, si può anche inserire “localhost” come Nome. Inoltre, è possibile inserire qui la sottorete completa. Questa voce si applica alle reti dell’intervallo di indirizzi 192.168.1.1 – 192.168.1.x:

192.168.1.0/24 (24 è la forma abbreviata standardizzata della maschera di sottorete 255.255.255.0).

La scheda ICMP offre ulteriori opzioni:

Fig. 11: Impostazioni ICMP per i professionisti

Condivisione di file e stampanti in caso di problemi

Su molti sistemi, la condivisione di file e stampanti è impostata come eccezione generale, altrimenti una rete locale non funzionerà più.

Nota: se non avete bisogno della condivisione di file e stampanti per una rete locale, dovreste lasciarla disattivata in Eccezioni.

Figura 12 Disattivare la condivisione di file e stampanti se non necessaria

Tuttavia, poiché l’eccezione della seconda scheda si applica a tutte le connessioni monitorate (vedere la Fig. 3), la condivisione di file e stampanti sarebbe accessibile anche dall’esterno tramite Internet. Questo vale anche se per l’accesso a Internet si utilizza una connessione dial-up.

Per evitare ciò, Microsoft ha limitato l’accesso alla propria sottorete. È possibile verificarlo come segue: Selezionare la condivisione di file e stampanti nella seconda scheda, quindi fare clic su Modifica.

Figura 13: Modifica della condivisione di file e stampanti

Nella finestra di dialogo seguente vengono visualizzate le porte rilasciate della condivisione di file e stampanti.

Fig. 14: Porte di condivisione di file e stampanti

Ora è possibile utilizzare “Cambia area” per visualizzare le aree a cui si applica l’eccezione.

Figura 15: Modifica area

Purtroppo ci sono due problemi.

Come ha rilevato PC-Welt in un test, in alcune circostanze la protezione è inefficace e le condivisioni di file e stampanti sono aperte per le connessioni Web. Vedere anche Heise Security.

Inoltre, la protezione può essere aggirata se il provider trasmette una maschera di sottorete errata.

Aggiunta: 24.12.2004

La patch KB886185 risolve la falla di sicurezza. La patch è descritta in dettaglio anche qui.

Per aggirare la possibile falla di sicurezza senza la patch, esistono 3 soluzioni.

Soluzione 1 – Non proteggere la scheda di rete dal firewall.

Se non si utilizza la scheda di rete per la connessione remota (ad es. accesso a Internet tramite un modem DSL USB o un adattatore ISDN), è possibile escludere la connessione LAN dalla protezione del firewall.

Innanzitutto, disattivate la condivisione di file e stampanti in generale (Fig. 12).

Quindi rimuovere la connessione LAN dalla protezione del firewall. Ciò significa che tutte le regole del firewall non sono più applicabili. La connessione LAN può ora accedere nuovamente alla rete.

Figura 16: Non proteggere la connessione LAN

Questa procedura è tuttavia sconsigliata perché, sebbene i worm non possano più entrare nel sistema dall’esterno, possono diffondersi internamente.

Soluzione 2: specificare gli intervalli

Per ognuna delle 4 porte della Figura 15, inserite quanto segue nell’area dell’elenco definito dall’utente:
192.168.1.0/24
A seconda dell’intervallo di indirizzi della propria rete, è necessario adattare il primo intervallo IP. Nell’esempio, vengono utilizzati gli IP locali da 192.168.1.1 a 192.168.1.255. È possibile vedere quale intervallo IP utilizza il computer tramite Start-> Esegui-> CMD e qui con IPconfig. Il 24 è la forma abbreviata della maschera di sottorete 255.255.255.0.

Soluzione 3: condivisione di file e stampanti solo per l’adattatore di rete

La terza soluzione è, a mio avviso, la migliore. Disabilitare la condivisione di file e stampanti come eccezione generale.

Fig. 17: Disabilitare la condivisione di file e stampanti in generale

Passate quindi alla terza scheda del firewall e impostate 4 eccezioni proprie solo per la connessione LAN, che rappresentano la condivisione di file e stampanti.

Fig. 18: Impostazioni per la connessione LAN

Nella finestra di dialogo seguente, aggiungere le eccezioni per le porte UDP 137 e 138 e le porte TCP 139 e 445.

Fig. 19: Specificare la porta

L’impostazione finita dovrebbe apparire come segue:

Fig. 2o: Il risultato

Se necessario, è necessario attivare una o l’altra funzione (ad esempio, consentire l’eco) in ICMP, se le applicazioni di rete lo richiedono.

Il terzo metodo ha il vantaggio, rispetto al primo, che l’adattatore LAN rimane generalmente protetto anche da altri attacchi e dalle porte dei server.

Contabilità

Il firewall può anche registrare ciò che è stato bloccato o consentito. Le opzioni necessarie a tal fine si trovano in Avanzate -> Impostazioni di sicurezza.

Figura 21: Registrazione

Fornire le impostazioni con e senza criteri di gruppo

All’interno di Active Directory, il firewall dei client può essere controllato comodamente tramite i criteri di gruppo. Nell’articolo 600339 del database TechNet, Microsoft descrive la possibile configurazione tramite criteri di gruppo.

Chi non utilizza i criteri di gruppo troverà ciò che cerca nello stesso articolo. Con l’aiuto di un file di risposta, i parametri del firewall possono essere definiti già durante l’installazione.

L’articolo del database TechNet descrive in dettaglio come controllare il service pack all’interno di un dominio tramite i criteri di gruppo. Una sezione separata si occupa anche del controllo del firewall.

Problemi causati dal firewall

Un problema comune nelle reti è che il computer non è più visibile. In questo caso, è necessario attivare la voce“Consenti richiesta di eco in entrata” per la connessione LAN nelle impostazioni avanzate di ICMP (Fig. 11). Documentato anche nell’archivio dei suggerimenti di WinTotal.

Nella voce KB 875357 Microsoft descrive i possibili problemi causati dal firewall. Di solito si verificano quando i programmi richiedono determinate porte di rete, ma il firewall non le rilascia. Poiché il firewall di Windows non è trasparente come altri firewall, l’utente non nota le richieste di porte da parte delle applicazioni. L’articolo descrive come risolvere i problemi e come impostare manualmente le eccezioni.

L’articolo 842242 cita anche alcuni programmi che richiedono autorizzazioni speciali.

Un articolo completo sul firewall è disponibile anche nel Centro download di Microsoft.

Prodotto interno o di terze parti?

Se finora avete utilizzato un firewall, non è certo necessario passare alla soluzione di XP. La maggior parte dei prodotti, senza eccezioni, offre una protezione migliore di quella sviluppata da Microsoft. Considerando che soprattutto i non professionisti sono potenziali vittime di attacchi, il progetto “firewall semplice per tutti” è fallito. Consiglio all’utente maturo di verificare se non stia facendo qualcosa di più sicuro per se stesso con prodotti come l’accessibile ZoneAlarm, Sygate o un altro firewall software. Tuttavia, il firewall di Windows è meglio di nessuna protezione. L’esperienza con molti virus dimostra che la maggior parte dei PC non è adeguatamente protetta.

Se si può fare a meno del firewall di Windows XP con SP2, è sufficiente disattivare il servizio Windows firewall/uso condiviso della connessione Internet in Strumenti di amministrazione -> Servizi. Tuttavia, questo significa anche che qualsiasi utilizzo della connessione a Internet condivisa non funzionerà più. Se non potete fare a meno di questa funzione, dovete almeno impostare il firewall su “inattivo”. Di norma, il firewall di terze parti e il firewall di Windows inattivo non dovrebbero entrare in conflitto.

Infine, è possibile disattivare il monitoraggio del firewall nel Centro sicurezza se il prodotto di terze parti non supporta l’integrazione nel Centro sicurezza.