Il firewall della sygate è un programma (3MB) installabile su win2000 ed agisce in background (posizionando un icona nel system tray) controllando le porte della macchina su cui è installato.
La figura mostra la consolle per il controllo del traffico:
Essa permette di monitorare le applicazioni, attualmente in esecuzione, che accedono alla rete. In particolare permette di bloccarne completamente il traffico in/out, autorizzarlo oppure autorizzarlo con conferma (tutte le volte che tentano di accedere alla rete, compare un pop-up di autorizzazione).
La consolle permette inoltre di stabilire delle regole di accesso alla rete; in particolare permette di autorizzare/bloccare il traffico in/out da qualsiasi porta, per i protocolli TCP, UDP, IP ,ICMP (oppure tutti i protocolli), da e per una specifica macchina.
E’ possibile visualizzare un log dettagliato per il traffico in/out (accessi autorizzati e bloccati, con l’indirizo IP delle macchine coinvolte).
Prezzi:
10 utenti: 359$
25 utenti: 779$
50 utenti: 1.259$
Per ciò che riguarda i virus, non fornisce supporto per antivirus, semplicemente cerca di determinare se nei pacchetti in/out è presente un Trojan Horse, memorizzando la tipologia di header, per ogni applicazione eseguita. Se un header differisce da quelli precedentemente memorizzati, viene bloccato e compare un pop-up di avvertimento.
Il firewall BlackICe è scaricabile dal sito www.networkingfiles.com/Firewalls/BlackIce.htm, nella versione Personal. La versione Server offre una maggiore attenzione agli attacchi tipicamente rivolti ai server win2000 e NT. La versione provata funziona, fondamentalmente, come il firewall della Sygate: un processo in background controlla le porte, mentre una consolle è richiamabile dal System Tray Icons.
La consolle permette di controllare il traffico di rete ed in particolare gli attacchi sospetti. La Network ICE, infatti, vanta un metodo di rilevamento attacchi, che non si basa sul classico controllo degli header dei pacchetti in cui si cercano i pattern virali conosciuti (metodo degli antivirus); viene infatti effettuato un controllo sui protocolli, in questo modo si rilevano anche attacchi non rilevabili dagli antivirus, come ad esempio la frammentazione dei pacchetti per rendere il pattern non rilevabile. Il controllo sui protocolli permette, a BlackICE, di bloccare completamente il traffico da un determinato protocollo sospetto di attacco.
BlackICE è in grado di tracciare gli hacker in modo da determinarne l’indirizzo IP; nel caso sospetto, produce dei file di log che contengono tutti i dati inviati e ricevuti dalla porta sospetta (evidence log), altrimenti è disponibile un log standard degli accessi (molto meno chiaro del log di Sygate).
Il firewall offre regole avanzate di protezione; è possibile bloccare/autorizzare il traffico da e per una porta per i soli protocolli TCP e UDP, per un certo indirizzo IP. A differenza del firewall della Sygate, permette di monitorare un determinato indirizzo IP, per un set predefinito di azioni d’attacco conosciuto.
Per quanto riguarda il prezzo, la versione server costa 300$ e non ha limiti di utenti.
Questo firewall non è molto famoso, ma è stato testato perché è parte integrante di Tiny WinRoute Professional, un server proxy che verrà analizzato in seguito. Il firewall è scaricabile separatamente dal sito new.tinysoftware.com, e costa a partire da 39$ (il prezzo scende per più licenze).
Il programma funziona, come gli altri firewall analizzati, come servizio in background (oppure applicazione eseguibile manualmente). Offe una consolle di controllo che permette di:
Autorizzare/bloccare il traffico con regole analoghe a quelle di Sygate: si può inoltre scegliere di loggare in un file quando una particolare regola viene applicata.
Abilitare/disabilitare l’algoritmo MD5 per il confronto degli header, con i pattern virali più conosciuti.
Impostare una password per poter accedere alla consolle stessa.
Definire un gruppo di indirizzi che si vuole loggare oppure abilitare/disabilitare completamente.
Abilitare l’amministrazione remota.
Per quanto riguarda la protezione contro gli attacchi, Tiny Firewall è un’applicazione che risiede immediatamente sotto i protocolli TCP/UDP e sopra il livello di rete; questo gli permette d’essere la prima linea di difesa. Eventuali attacchi vengono individuati in base alla seguente filosofia: le applicazioni comunicano con l’esterno inviando dei pacchetti ed attendendo pacchetti di risposta, Tiny Firewall registra l’header dei pacchetti inviati e rifiuta i pacchetti di risposta che non contengono l’header corrispondente. L’algoritmo MD5, inoltre, impedisce ai Trojan horse di falsificare i propri identificativi e spacciarsi per programmi ben conosciuti (come outlook per esempio), aprendo porte di comunicazione con l’esterno.
Il firewall della Symantec è tra i più famosi per quanto riguarda l’alto livello di protezione su numerose tipologie di attacco.
Il programma è costituito dal core di protezione che risiede sul server firewall, ed una o più consolle di controllo installabili su macchine diverse (è l’unico firewall che utilizza un’interfaccia MMC).
Il firewall vanta diversi livelli di protezione:
Controllo a livello applicazione (sopra TCP/UDP): rispetto ai firewall che agiscono solamente a livelli più bassi, un controllo a livello applicazione permette di rendere invisibili all’esterno particolari indirizzi di macchine presenti nella rete interna, oppure permette di monitorare particolari connessioni sospette (tentativi di attacchi ai protocolli SMTP e GOPHER, che offrono numerosi bug sfruttabili come punti d’intrusione).
Filtraggio pacchetti tramite regole: il numero di protocolli controllabili è decisamente maggiore rispetto agli altri firewall (circa 100).
Il firewall nella versione Enterprise v6.5 fornisce anche il servizio di secure proxy per i protocolli più importanti (HTTP, FTP, Gopher, RealMedia, NNTP, DNS, SMTP, Telnet, SQL*Net). Il termine secure sta ad indicare che per ogni protocollo vengono disabilitati i servizi potenzialmente più insicuri ed applicate delle regole di protezione specifiche.
All’atto dell’installazione, infatti, il firewall disabilita tutti i servizi del sistema, che potrebbero renderlo attaccabile dall’esterno. Va ricordato comunque, che sul server firewall di una rete, non dovrebbe mai girare altro servizio all’infuori del proxy/firewall.
Funzionalità NAT:
Con NAT – Network Address Translator – è possibile connettere una rete a Internet tramite un unico indirizzo IP, e i computer della rete utilizzeranno Internet come se fossero connessi direttamente (con alcune limitazioni).
La connessione di un’intera rete con un solo indirizzo IP registrato è possibile perché NAT sostituisce l’indirizzo di origine dei pacchetti inviati dal computer della rete locale con l’indirizzo del computer su cui il firewall è in esecuzione.
NAT differisce significativamente da altri server proxy e gateway a livello di applicazione, perché è in grado di supportare un numero di protocolli molto maggiore.
NAT può essere utilizzato in due modalità:
Indirizzi fissi: si supponga di dover rendere disponibile un sito internet che risiede su una macchina locale (esempio 10.10.1.5), all’esterno con un indirizzo virtuale (abilitato ma non utilizzato, esempio 217.57.138.77); bisogna procedere come segue:
Definire un Network Entity di tipo Host con indirizzo locale (10.10.1.5) che rappresenta la macchina su cui risiede il sitoDefinire due Network Entities di tipo Subnet che rappresentano le due reti con cui effettuare la traduzione (sorgente: ip 10.10.1.5 mask 255.255.255.255; destinatario: ip 217.57.138.77 mask 255.255.255.255), costituite da due sole macchine
Definire un NAT Pool di tipo statico che traduca dalla Subnet 1 alla Subnet 2
Definire un Address Trasform con due traduzioni
Ingresso: da qualsiasi ip a 10.10.1.5 utilizzando il NAT Pool definito
Uscita: da 10.10.1.5 a qualsiasi ip utilizzando il NAT Pool definito
Definire due Rule di abilitazione per tutti i protocolli da e per 10.10.1.15
Indirizzi variabili: nel caso non si abbia una rete con macchine ad indirizzo fisso, si definisce un pool di indirizzi (indirizzo di start ed uno di end con end>start) tra cui dinamicamente, verranno prelevati gli indirizzi da utilizzare per le connessioni con macchine collegate al firewall.
Server di posta:
Per abilitare differenti server di posta è necessario eseguire le seguenti operazioni:Nella cartella DNS Records sotto Base Components, creare una nuova voce mail server. Modificare quindi le proprietà della nuova voce ed impostare l’indirizzo ip del mail server ed il suo dominio (ad esempio csystem.it)
Creare una nuova regola nella cartella Rules sotto Access Controls per abilitare il traffico con il protocollo SMTP, modificarne il settings aggiungendo i vari domini di posta che s’intende utilizzare
Prezzi:
| Descrizione | Listino € |
|
SEF + VPN,25 user,Windows,DES |
3329,00 |
|
SEF + VPN,100 user,Windows,DES |
8885,00 |
|
SEF + VPN,250 user,Windows,DES |
13332,00 |
|
SEF + VPN,Unlimited user,Windows,DES |
22223,00 |
È necessaria una licenza per ciascuna CPU ( central processing unit ) contenuta all’interno di ciascun server. Nel caso in cui il prodotto viene installato su più macchine il numero di licenze necessario è dato dal computo totale delle CPU contenute in ciascun server.
Esempio:
Installazione completa su macchina biprocessore = 2 licenze.
Installazione suddivisa fra 2 macchine biprocessore = 4 licenze.
Per l’acquisto di licenze CVPUP è necessario possedere uno dei seguenti prodotti:
Microsoft Proxy Server
Netscape Proxy Server
Novell BorderManager, firewall for Microsoft Windows NT®
Check Point FireWall-1, VPN-1
Axent Raptor
Cisco Cache Engine, PIX Firewall
Inktomi Traffic Server
CacheFlow
IBM SecureWay Firewall, WebSphere Cache
Cobalt Cache, Cobalt Qube
Network Appliance NetCache
E voi avete altre recensioni tecniche in merito al vostro firewall di fiducia ?Fateci sapere.
Alla prossima…
