Creazione di regole firewall personalizzate

Regole firewall personalizzate

Ognuna delle cinque impostazioni firewall descritte nel capitolo 4, Protezione del Mac dagli attacchi al network, è in realtà una raccolta di regole, ciascuna delle quali viene definita indicando origini, destinazioni, servizi e interfacce consentite o proibite.

La modalità semplice non consente di modificare le regole o parte di esse. A tal fine, è necessario accedere alla modalità avanzata della schermata Firewall. Per far ciò, fare clic sul pulsante Firewall nella parte superiore della schermata principale.

Fare quindi clic sulla linguetta Regole firewall, se non è attiva, e verrà così visualizzato il pulsante Modalità avanzata nell'angolo superiore destro.

ATTENZIONE: modificare queste impostazioni potrebbe influire notevolmente sulla capacità del computer di accedere a network locali e a Internet. È necessario utilizzare la modalità avanzata solo se se ne comprende perfettamente il funzionamento e gli effetti.

In modalità semplice, se si fa clic su una qualsiasi delle cinque impostazioni predefinite di firewall viene visualizzata un'animazione; in modalità avanzata, vengono visualizzati i dettagli delle regole di ogni impostazione.

Inoltre, posizionare il cursore su una delle impostazioni predefinite per alcuni secondi ne visualizza una breve descrizione.

In questo esempio, l'impostazione "Client e server locale" ha quattro regole. La prima consente al network locale di accedere al Mac mediante tutti i Servizi connessi, ovvero le connessioni TCP che richiedono una comunicazione di andata e ritorno, quali i file di servizio del Mac. La seconda regola, tuttavia, vieta queste connessioni da Internet in generale, impedendo al Mac di fungere da server per un computer sconosciuto fuori dal network locale. La terza regola consente tutte le altre comunicazioni da Internet al Mac, mentre la quarta consente tutte le comunicazioni dal Mac a Internet.

Le cinque impostazioni di firewall predefinite sono "bloccate" per motivi di comodità e stabilità: non è possibile modificare le regole oppure l'ordine in cui sono visualizzate. Tuttavia, VirusBarrier X6 offre due modi per creare ulteriori impostazioni personalizzate: mediante l'Assistente Firewall e manualmente.

In entrambi i casi, il primo passo consiste nel fare clic sul pulsante + sotto l'elenco delle impostazioni. Verrà visualizzata una nuova impostazione con il nome "impostazioni senza titolo". Fare clic su di essa e inserire il nome che si preferisce, quindi premere Invio o A capo per rendere permanente la modifica.

Si tenga presente che l'impostazione è stata solo creata ma non ancora attivata. È una buona idea non attivare le impostazioni firewall prima di finire di aggiungere regole. Per rendere attiva l'impostazione, fare clic sul pulsante alla sua sinistra.

Creazione di regole con l'Assistente

VirusBarrier X6 possiede un assistente che aiuta a creare regole firewall personalizzate. Grazie a questo assistente è possibile creare le proprie regole in pochi clic. Anche se non sono disponibili tutte le funzioni di VirusBarrier X6 quando si crea una regola con l'assistente, questo rappresenta comunque una risposta adeguata a tutte le esigenze più comuni relative alle regole firewall. Se si desidera un maggior grado di personalizzazione, è possibile creare le regole utilizzando l'assistente e modificandole poi manualmente.

L'assistente di VirusBarrier X6 offre all'utente i passaggi necessari a creare una regola:

Per creare una regola con l'assistente, fare clic sul pulsante Assistente.

Viene visualizzata la prima schermata dell'assistente.

Fare clic sul pulsante Successivo per iniziare a creare una nuova regola. È possibile fare clic sul pulsante Precedente in qualsiasi momento per tornare alle schermate precedenti, oppure fare clic su Chiudi per chiudere l'assistente.

Nome e comportamento

Immettere un nome per la regola nel campo corrispondente e selezionare poi il comportamento: Consenti dati o Non consentire dati. Se si seleziona Consenti dati, la regola consentirà il passaggio di dati che coincidano con la direzione ed il servizio specificati. Se si seleziona Non consentire dati, la regola bloccherà il passaggio di tali dati.

Fare clic sul pulsante Successivo per passare alla finestra seguente.

Direzione della comunicazione

Questa schermata consente di definire la direzione di comunicazione e l'host che la inizia.

Per prima cosa, nella sezione Questa regola avrà effetto su connessioni con: selezionare un host remoto. Sono disponibili quattro opzioni per l'host remoto:

Scegliere poi il computer che inizia la connessione:

Al termine, fare clic sul pulsante Successivo per passare alla finestra seguente.

Servizio

Questa schermata consente di scegliere il servizio a cui applicare la regola.

È possibile scegliere tra tre tipi di servizi:

Al termine, fare clic sul pulsante Successivo per passare alla finestra seguente.

Opzioni

Questa schermata consente di scegliere altre opzioni per la regola.

Sono disponibili due opzioni:

Al termine, fare clic sul pulsante Successivo per passare alla finestra seguente.

Conclusione

Questa schermata crea la regola in base alle impostazioni scelte nell'assistente.

Offre inoltre un'opzione finale: se si seleziona Crea una regola in direzione contraria, l'assistente creerà un'altra regola parallela con origine e destinazione inverse.

Fare clic su Configura per creare la regola ed uscire dall'assistente.

Al termine, la regola (o le regole, se è stata selezionata l'opzione Crea una regola in direzione contraria) verrà visualizzata nell'elenco di regole firewall di VirusBarrier X6.

Se si vuole una maggiore personalizzazione della regola, o se si desidera modificarla, vedere Modifica di regole più avanti.

Creazione rapida di regole specifiche per un servizio

Esistono due modi per creare rapidamente regole per controllare le informazioni in entrata e in uscita da e verso servizi e programmi comuni. Il primo consiste nel fare clic sul pulsante + nella parte inferiore dell'elenco Regole e mantenere premuto il pulsante del mouse per un secondo. Sarà possibile scegliere da un elenco a comparsa dei servizi più comuni. Nell'elenco Regole viene visualizzata una regola che si applica alla propria selezione.

Il secondo modo per creare rapidamente Regole specifiche per un servizio è con la Libreria servizi. Per visualizzare la Libreria servizi, fare clic su Finestra > Libreria servizi oppure premere Opzione-Comando-6.

La finestra della Libreria servizi si apre, mostrando un elenco dei servizi più comuni.

Per creare una nuova regola, selezionare il servizio desiderato e trascinarlo nell'elenco delle regole. Di default, le regole aggiunte in questo modo consentono tutto il traffico dal Mac a Internet, su tutte le interfacce. In altre parole, la regola non proibisce nessuna attività finché non se ne modificano le impostazioni, come descritto di seguito.

Creazione manuale di regole

È anche possibile creare regole utilizzando l'editore di regole. Fare clic sul pulsante + in fondo all'elenco di regole e verrà visualizzato l'editore di regole.

L'editore di regole di VirusBarrier X6 consente agli amministratori network di definire e applicare una politica di sicurezza completa in modo facile e rapido. Si tratta di un elemento estremamente flessibile che consente di definire tutte le regole che si desidera in pochi secondi. A tal fine, è necessario specificare dettagli in sei aree:

Nome, resoconto, valutazione e programmazione della regola

Nel campo in alto dell'editore di regole è possibile inserire il nome da assegnare alla regola. Subito sotto si trova la casella Resoconto. Se si seleziona l'opzione Resoconto, viene aggiunta una voce al resoconto di VirusBarrier X6 ogni volta che questa regola agisce; un piccolo punto rosso a destra del nome della regola nell'elenco delle regole indica che la regola è provvista di resoconto. Se la casella non è selezionata, l'attività della regola non viene registrata.

Se l'opzione Resoconto è selezionata, l'opzione "Interrompi valutazione regole" sarà attiva e selezionata come impostazione di default. Queste due impostazioni, assieme, rappresentano uno strumento potente per eliminare problemi da un network senza ostacolare il traffico.

ATTENZIONE: se non si capisce perché alcune regole non hanno effetto, verificare che la casella "Interrompi valutazione regole" sia deselezionata per ognuna di esse.

Per modificare la programmazione, fare clic sul pulsante Modifica.... Viene visualizzata la finestra Programmazione:

Lo stato di default delle regole è Attivo, ovvero la regola è abilitata. Se lo si imposta su Disattivato, VirusBarrier X6 non utilizzerà questa regola. È possibile desiderare che alcune regole siano attive in una configurazione ma non in un'altra. Per ulteriori informazioni sull'utilizzo delle configurazioni, consultare il capitolo 6, Preferenze e configurazioni.

Se lo stato di default di una regola è abilitato, è possibile impostare orari specifici per disabilitare la regola. Se lo stato di default di una regola è disabilitato, è possibile impostare orari specifici per abilitare la regola.

Quando si crea una regola per la prima volta, questa sarà sempre attiva. Se si desidera abilitare o disabilitare la regola a determinati orari, fare clic sul menu a comparsa per abilitare o disabilitare la regola, a seconda dello stato di default della regola, e selezionare uno degli intervalli di tempo dall'elenco.

Oltre a Mai sono disponibili altre tre opzioni.

È possibile programmare orari supplementari per abilitare o disabilitare le regole utilizzando il pulsante +. Ad esempio, se si desidera che la regola venga disabilitata solo il lunedì e il martedì, è possibile impostare questi due giorni nella finestra Programmazione. Per rimuovere un orario programmato dall'elenco, fare clic sul pulsante - accanto all'elemento.

Le regole programmate sono visualizzate come un calendario nell'elenco delle regole. Anche per questa regola specifica il resoconto è attivato, come indicato dal puntino rosso accanto al suo nome.

Origini e destinazioni delle regole

Quando si definiscono le regole, l'origine è l'entità che invia i dati, mentre la destinazione è dove i dati vengono inviati. È possibile scegliere da un elenco di quattro origini e destinazioni diverse per ogni regola. Tuttavia, VirusBarrier X6 non consente di scegliere la stessa entità come origine e destinazione per una data regola. Se si prova, VirusBarrier X6 correggerà l'errore.

Di default, sono disponibili quattro origini e quattro destinazioni:

Creazione di nuove origini e destinazioni

È possibile creare nuove origini e destinazioni da utilizzare nelle regole. Ciò consente di specificare con esattezza i computer con cui si desidera comunichi il proprio Mac.

Per creare una nuova origine, fare clic sul pulsante + a destra del menu a comparsa Origine o Destinazione. Nell'esempio fornito, verrà creata una nuova origine; tuttavia, una volta creata, verrà visualizzata anche nell'elenco delle destinazioni possibili.

Viene visualizzata la finestra Nuovo Network.

Immettere un nome che aiuti a ricordare il network. Se, ad esempio, si stanno bloccando gli indirizzi IP il cui ultimo ottetto è compreso nell'intervallo 100-155, si potrebbe chiamare l'origine/destinazione "IP 100-155".

Questo menu a comparsa offre una selezione di sette tipi di network.



Nome

Definizione

Tipo di indirizzo

Ovunque

Qualsiasi network.

Nessuno, in quanto questa origine copre tutti i network.

Il mio Mac

Il computer in uso.

Gli indirizzi IP del Mac vengono visualizzati nel campo Indirizzo e non possono essere modificati.

Il mio network locale

Il network locale a cui è collegato il computer.

Gli indirizzi IP del Mac e la maschera di sottorete del network locale vengono visualizzati nel campo Indirizzo e non possono essere modificati.

Computer

Un indirizzo IP specifico.

Qualsiasi indirizzo IP. Se si immette un nome di dominio, VirusBarrier X6 lo risolve in un unico indirizzo IP.

Network

Un network specifico.

Qualsiasi indirizzo IP di sottorete e maschera di sottorete. Come sopra, VirusBarrier X6 risolverà i nomi di dominio in un unico indirizzo IP.

Intervallo indirizzi

Un gruppo di indirizzi IP.

Inizio e fine degli indirizzi. VirusBarrier X6 risolverà i nomi di dominio in un unico indirizzo IP.

ID Ethernet

Un singolo dispositivo collegato al network via Ethernet.

Un ID Ethernet, con sei numeri esadecimali a due cifre.

Servizi delle regole

Il termine "Servizio" fa riferimento a una combinazione di tipo di protocollo, porta (o porte) utilizzate e criteri specifici del protocollo. Normalmente, l'insieme di questi elementi descrive un programma o una classe di programmi che invia e riceve informazioni. Ad esempio, le informazioni inviate dal protocollo TCP dalla porta 80 utilizzando HTTP sarà un servizio Web.

VirusBarrier X6 è dotato di più di 50 servizi comuni preprogrammati per bloccare (o consentire) facilmente il traffico che sembra appartenere a un tipo specifico.

Mentre la maggior parte dei servizi preprogrammati rinviano chiaramente a un programma specifico, alcune selezioni di quest'elenco quali "Web" appartengono invece a una classe di comunicazioni. Di seguito sono indicati alcuni dei servizi non specifici:

Nome

Descrizione

Impostazioni

Tutti

Tutte le comunicazioni, indipendentemente dal protocollo o dalla porta.

Tutti i protocolli, su tutte le porte.

Apple Remote Desktop

Un programma che consente a un amministratore Mac di controllare un altro Mac mediante una connessione di network.

Porta 3283 su UDP.

Servizi connessi

Tutte le comunicazioni TCP. Una sessione TCP mantiene una connessione tra computer, in modo tale che sia sempre chiaro che è stata iniziata dal Mac e che può essere considerata attendibile. In confronto, una sessione UDP è una serie di comunicazioni senza una "memoria" di chi l'ha iniziata.

Tutte le comunicazioni TCP, su qualsiasi porta.

FTP

Protocollo per il trasferimento di documenti (File Transfer Protocol).

TCP, porta 20 o 21.

iChat AV

Un programma di messaggistica istantanea con video e audio.

Porta 5060 su UDP.

IRC

Protocollo di chat via Internet (Internet Relay Chat).

TCP sulla porta 194 per IRC e tutto il traffico TCP tra le porte 6665 e 6669, ambedue incluse.

Condivisione musica iTunes

Un modo per condividere la propria libreria musicale di iTunes mediante il proprio network locale.

Porta 3689 su TCP.

Posta

Comunicazioni via e-mail.

Porta TCP 25 per SMTP, porta 110 per POP3, porta 143 per IMAP4, porta 220 per IMAP3, porta 389 per LDAP e porta 587 per l'invio di messaggi.

NTP

Protocollo orario network (Network Time Protocol).

UDP sulla porta 123.

SSH

Shell sicura.

TCP sulla porta 22 mediante SSH.

Telnet

Login remoto.

TCP sulla porta 23 mediante telnet.

VNC

Virtual Network Computing, un sistema grafico di controllo remoto.

TCP sulle porte 5900-5999.

Web

Navigazione Web, ad esempio mediante un browser tipo Safari.

TCP sulle porte 80 e 8080 mediante HTTP e sulla porta 443 mediante HTTPS.

Well-Known Ports (porte conosciute)

Un buon numero di porte utilizzate tradizionalmente per le comunicazioni via network.

TCP e UDP su tutte le porte da 0 a 1023.

Gli altri servizi dell'elenco corrispondono a protocolli o programmi specifici.

Fare attenzione quando si creano regole per servizi specifici. Quando si sceglie un servizio per un determinato programma, è possibile che tale programma usi la stessa porta utilizzata da un altro programma o servizio. Una regola che blocca o autorizza un servizio specifico può entrare in conflitto con una regola che abbia un raggio d'azione più ampio. Ad esempio, se si desidera bloccare il traffico ICQ e si seleziona questo servizio nella regola, anche il servizio di messaggistica istantanea di AOL verrà bloccato, dato che entrambi i programmi utilizzano la stessa porta. Anche altri programmi possono condividere le stesse porte. Se non si riesce a collegarsi a un determinato servizio, oppure a inviare e ricevere dati, disattivare le regole, una ad una, per scoprire quale sta provocando un conflitto.

Creazione di nuovi servizi

Per creare un nuovo servizio, fare clic sul pulsante + accanto alla sezione Servizio.

Verrà visualizzata la finestra Nuovo Servizio.

Nel menu a comparsa Protocollo sono disponibili quattro protocolli diversi: TCP, UDP, ICMP e IGMP. È anche possibile scegliere Qualsiasi: tale opzione comprende infatti tutti i protocolli.

Quando si seleziona un protocollo, nella parte inferiore della finestra vengono visualizzate opzioni supplementari con un elenco di servizi tra cui scegliere. Le opzioni sono diverse per ogni protocollo.

Il protocollo TCP o UDP presenta le seguenti opzioni:

Il protocollo ICMP o IGMP presenta le seguenti opzioni:

Per ognuna di esse, è disponibile un'opzione "Consenti pacchetti Broadcast". Se questa opzione è selezionata, i pacchetti inviati a tutti i computer su un network locale verranno inclusi in questo servizio.

La porta di destinazione è un'opzione finale, disponibile solo per i servizi che utilizzano il protocollo UDP. Se questa opzione viene selezionata, i pacchetti vengono filtrati secondo la funzione della porta di destinazione. Se viene lasciata deselezionata, i pacchetti vengono filtrati in base alla funzione della porta di origine.

Interfacce delle regole

L'interfaccia è un adattatore network attraverso il quale passano i dati. Si può trattare di una scheda Ethernet, di una scheda wireless Airport o di qualsiasi altro tipo di interfaccia network.

È possibile scegliere da un elenco di interfacce preprogrammate esistenti sul computer, oppure creare le proprie facendo clic sul pulsante +.

Verrà visualizzata la finestra Nuova Interfaccia.

Il menu a comparsa Tipo ha due opzioni. La prima, Qualsiasi, utilizza tutte le interfacce di network disponibili. La seconda, Specifico, elenca le interfacce disponibili a seconda dell'hardware e del software del computer in uso, e offre opzioni aggiuntive.

Interfacce tipiche sono:

Il nome BSD e il numero di indice sono gli identificatori utilizzati dal layer Unix di Mac OS X. È possibile impostarli manualmente, se necessario (probabilmente non sarà necessario e non li si dovrebbe modificare se non si sa cosa sono). Se altre interfacce sono presenti sul Mac, sarà disponibile anche un'opzione Altro.

Azioni della regola

Le regole possono eseguire due tipi di azione: Consenti o Nega. Scegliere l'azione desiderata selezionando il pulsante corrispondente nella parte inferiore della finestra dell'Editore di regole.

Infine, fare clic su OK per aggiungere questa regola alle regole firewall di VirusBarrier X6.

Origini, destinazioni, servizi e interfacce con più parti

Le origini, le destinazioni, i servizi e le interfacce di una regola possono essere formate da varie parti. Ad esempio, è possibile bloccare il traffico da diversi indirizzi IP specifici, elencando ognuno di essi separatamente in una data origine.

Quando si crea o si modifica un'origine, una destinazione, un servizio o un'interfaccia, viene visualizzata una barra nella parte superiore della finestra che ha quest'aspetto:

Eliminazione di origini, destinazioni, servizi e interfacce

È possibile eliminare qualsiasi origine creata. A tal fine, selezionare l'origine e fare clic sul pulsante -.

Viene visualizzata una finestra che richiede di confermare l'azione selezionata. Fare clic su Rimuovi per rimuovere il network origine, o su Annulla per annullare l'operazione.

Uso delle regole

Ordine delle regole

Le regole aggiunte al firewall di VirusBarrier X6 vengono eseguite dalla prima all'ultima; è pertanto necessario assicurarsi che siano nell'ordine corretto per funzionare correttamente.

In questo esempio la prima regola blocca tutti i dati provenienti da Internet, compresi tutti i network, anche quelli locali. La regola 3 consente il traffico da un network locale, ma data la sua posizione nell'elenco, non viene applicata; la regola 1 prevale su di essa. Per poter applicare la terza regola, è necessario spostarla al primo posto dell'elenco. Per far ciò, selezionare la regola e trascinarla nella posizione adatta.

Modifica ed eliminazione delle regole

Per modificare una regola, selezionarla facendo clic su di essa, quindi fare clic sul pulsante con l'icona della matita nella parte inferiore dell'elenco. Si aprirà l'Editore di regole e sarà possibile effettuare tutte le modifiche desiderate. Una volta terminato, fare clic su OK per salvare le modifiche. Se si decide di non salvare più le modifiche, fare clic su Annulla.

Per eliminare una regola, fare clic su di essa nell'elenco delle regole, quindi fare clic sul pulsante - nella parte inferiore dell'elenco.

Uso del menu contestuale delle regole

VirusBarrier X6 consente di apportare rapidamente modifiche alle regole del firewall mediante un menu contestuale. È possibile utilizzare questo menu contestuale per aggiungere nuove regole, modificare quelle esistenti o cambiare qualche caratteristica rapidamente.

Per accedere al menu contestuale, tenere premuto il tasto Controllo e fare clic sulla regola. Se si utilizza un mouse a due pulsanti, è sufficiente fare clic con il pulsante destro.

Questo menu offre le seguenti opzioni: