Cerca

Questo documento è una traduzione dall'inglese. È possibile che dopo la traduzione e pubblicazione di questo documento siano stato eseguiti aggiornamenti alla versione inglese originale. Symantec non garantisce l'accuratezza in merito alla completezza della traduzione.


Situazione:

Soluzione:
Introduzione
Quando i computer in una rete privata si connettono a Internet, si connettono fisicamente la loro rete a numerose reti sconosciute. Mentre la maggior parte delle connessioni non pone alcuna minaccia al computer o alla rete, ci sono, individui non autorizzati, quali hacker e script kiddy, che tentano di infiltrarsi nella rete tramite computer non protetti. Un attacco riuscito può compromettere le informazioni classificate, interrompere la produttività e di conseguenza distruggere la reputazione e il valore del marchio.
I firewall installati sui computer endpoint proteggono contro tali attacchi generando una barriera fra i computer e le reti esterne, compresa Internet. Questo documento mette a fuoco il componente di protezione dalle minacce della rete (o firewall client) di Symantec™ Endpoint Protection; in particolar modo, lo scopo del firewall client, gli elementi di una politica firewall, le modalità di elaborazione delle regole del firewall e il migliore approccio per implementare una politica firewall sulla rete.

La configurazione del firewall client
I firewall sono validi a condizione di implementare valide politiche. Una politica male costruita può in effetti consentire l'ingresso degli aggressori, mentre impedisce alle fonti attendibili di accedere alle risorse necessarie. Prima di configurare il firewall client, è necessario capire come il firewall elabora le regole, come creare regole efficaci (proteggere e ottimizzare le prestazioni) e come il firewall interagisce con gli altri componenti di Symantec Endpoint Protection.

Che cos'è Symantec Endpoint Protection 11.0 e Protezione della rete dalle minacce?
Symantec Endpoint Protection 11.0 protegge le periferiche di elaborazione endpoint dai virus, dalle minacce e dai rischi e fornisce tre livelli di protezione alle periferiche di elaborazione endpoint. I livelli sono la protezione della rete dalle minacce, la protezione proattiva dalle minacce e la protezione antivirus e antispyware. La protezione della rete dalle minacce blocca le minacce che tentano l'accesso al computer usando le regole e le firme. La protezione proattiva contro le minacce identifica e controlla le minacce basate sul comportamento delle minacce. La protezione dalle minacce con antivirus e antispyware identifica e attenua le minacce che tentano di accedere o hanno acceduto ai computer utilizzando le firme di Symantec. Il firewall del client Symantec Endpoint Protection fornisce una barriera fra il computer e la rete esterna. Il firewall client impedisce agli utenti non autorizzati di accedere ai computer e alle reti che si connettono a Internet, rileva gli attacchi possibili degli hacker, protegge le informazioni personali ed elimina le fonti non desiderabili del traffico di rete. Il firewall inoltre protegge dalle minacce e dal malware che proliferano nella rete, ad esempio i bot. Tutte le informazioni che entrano o escono dal computer client devono passare attraverso il firewall client, il quale esamina i pacchetti di informazioni. Il firewall client blocca i pacchetti che non soddisfano i criteri di sicurezza specificati.

politiche firewall
Le politiche del firewall sono costituite da una o più regole, che funzionano insieme per consentire o bloccare l'accesso degli utenti alla rete. Le politiche del firewall comprendono i seguenti elementi:

• Regole del firewall
• Processo di stateful inspection
• Numero di priorità della regola
• Tipo di controllo
• Regole predefinite del firewall
• Filtri del traffico intelligenti
• NetBIOS e Token Ring
• Impostazioni stealth

Regole del firewall
Le regole del firewall controllano come il client protegge il computer da traffico fraudolento in entrata e le applicazioni, oltre al traffico malizioso in uscita. Le regole del firewall possono rendere il computer invisibile ad altri su Internet, proteggere gli utenti remoti dagli attacchi degli hacker e impedire agli hacker di accedere alla rete aziendale tramite questi computer.
Filtri di traffico intelligenti consentono tipi di traffico specifici richiesti nella maggior parte delle reti, ad esempio il traffico DHCP, DNS e WINS. Gli esempi delle impostazioni di stealth e del traffico che attivano funzioni aggiuntive del traffico, sono la protezione a livello di driver, la protezione del NetBIOS, il traffico su token ring, la ricerca DNS inversa e le impostazioni della modalità stealth. In generale le regole firewall descrivono le condizioni in cui una connessione di rete può essere consentita o negata.
Utilizzare i seguenti componenti del firewall per definire i criteri per una regola del firewall:

• Trigger – I trigger includono le applicazioni, gli host, il protocollo e le schede di rete. Le definizioni del trigger possono essere combinate per formare le regole più complesse, come identificare un particolare protocollo in relazione a uno specifico indirizzo di destinazione. Quando vengono valutate le regole, tutti i trigger devono essere veri affinché si verifichi una corrispondenza valida. Se un qualsiasi trigger non è valido rispetto all'attuale pacchetto, la regola non può essere applicata.

Utilizzare i seguenti componenti del firewall per definire i criteri per una regola del firewall:

• Parametri condizionali - I parametri condizionali non descrivono un aspetto di una connessione di rete. Al contrario, i parametri condizionali definiscono i criteri utilizzati per determinare lo stato attivo di una regola. I parametri condizionali sono facoltativi e non è importante se non sono definiti. Quando vengono definiti questi parametri, viene interessato direttamente lo stato percepito della regola. È possibile impostare una pianificazione o identificare uno stato dello screen saver in base a cui una regola è considerata attiva o disattiva. Il firewall non valuta le regole disattive al momento della ricezione dei pacchetti.
• Parametri di azione - I parametri di azione specificano quali azioni sono state eseguite su una corrispondenza valida della regola. Se la regola viene selezionata in risposta a un pacchetto ricevuto, vengono eseguite tutte le azioni. Il pacchetto è permesso o negato e la registrazione può avvenire come configurato.

Processo di stateful inspection
Il firewall utilizza il processo di stateful inspection. Il processo di stateful inspection è un processo che tiene traccia delle connessioni al momento consentite. Una combinazione univoca di indirizzi IP, porte e applicazioni della destinazione identifica una connessione.
Il client prende le decisioni sul flusso del traffico utilizzando le informazioni della connessione. Quando un pacchetto ricevuto recentemente corrisponde a una connessione permessa esistente, il pacchetto non passa dal processo di controllo con la regola. Il pacchetto viene automaticamente autorizzato. Più importante, il processo stateful inspection attiva la semplificazione della base della regola. Per il traffico che viene iniziato soltanto in una direzione, non è necessario creare regole permettano il traffico in entrambe le direzioni. Ad esempio il traffico Telnet (porta 23), HTTP (porta 80), HTTPS (porta 443) e FTP (porta 21). Per questi protocolli, è sufficiente creare la regola in uscita, la risposta è consentita automaticamente dal client SEP.

Come sono definite le priorità delle regole del firewall
Un numero di priorità viene assegnato automaticamente a ogni regola nella tabella del firewall. Il numero di regola determina l'ordine di elaborazione per le regole. Il firewall del client Symantec Endpoint Protection elabora l'insieme di regole del firewall in un ordine sequenziale, iniziando dalla regola numero uno.

La severità della regola (da zero a quindici) determina il livello di criticità della regola quando attivata:

• Critico
• Grave
• Non grave
• Informazioni

Le regole non vengono combinate logicamente in alcun modo e il firewall non implementa un algoritmo best-fit. Tale scenario semplifica la progettazione e il debugging dell'insieme di regole perché non è necessario considerare la logica di selezione della regola oltre alla semplice corrispondenza del traffico.
L'insieme di regole del firewall contengono anche una linea di divisione blu:
Gli amministratori di sistema con il controllo di accesso completo possono modificare le più alte regole di priorità che siano posizionate sopra la riga blu.
I client in controllo misto a volte possono modificare le regole di priorità inferiore che si trovano sotto la riga blu.

Tipo di controllo
Le regole sono categorizzate come le regole server o le regole client: Le regole server sono generate sul server di gestione e sono scaricate sul client. Le regole client sono regole che un utente crea su un client.
Di seguito viene mostrato il rapporto fra il livello di controllo dell'utente client e l'interazione dell'utente per quanto riguarda le regole del firewall:

• In controllo server il client riceve le regole server, ma l'utente non può visualizzarle. L'utente non può creare le regole client.
• In controllo misto, il client riceve le regole server e l'utente può visualizzare tali nella finestra di dialogo Regole del firewall. L'utente può anche creare regole che vengono unite con le regole attuali. Tuttavia, le regole client vanno sotto la riga blu e hanno una minore priorità.
• In controllo client, il client ha il controllo completo. Una procedura consigliata consiste nel prestare attenzione quando si concede agli utenti un controllo misto o client.

Per i client in controllo misto, il firewall elabora le regole server e le regole client in un determinato ordine. Le regole server con i livelli di priorità più elevati vengono elaborate per prime. Le regole client vengono elaborate per seconde e le regole server con una priorità più bassa vengono elaborate per ultime.
Prestare attenzione quando si imposta un client con un controllo misto, perché l'utente può creare una regola client che consente tutto il traffico e questa regola può annullare tutte le regole server sotto la riga blu.

Regole predefinite del firewall
Il firewall viene installato con regole predefinite che sono classificate come Consenti, Nega, Blocca e Registrazione o Solo registrazione.
Le regole Consenti includono i pacchetti frammentati e Wireless Extensible Authentication Protocol Over LANS (Wireless EAPOL). Wireless EAPOL è definito attualmente per LAN tipo Ethernet compreso 802.1x wireless, come pure LAN token ring (FDDI compreso). Sono consentiti anche MS Remote Access e Routing ARP Driver, tutte le applicazioni commerciali, tutti i ping in uscita, pong, tracert e VPN.
Le regole Nega comprendono il blocco di IPv6, IPv6 su IPv4, le condivisioni di file locali e l'amministrazione remota
Le regole di Registrazione includono: Non registrare il traffico broadcast e multicast, bloccare il traffico IP e bloccare tutto il traffico restante.

Filtri del traffico intelligenti
La filtrazione intelligente del traffico consente l'uso dei servizi di rete fondamentali senza regole definite per consentire esplicitamente tali servizi.
I filtri intelligenti sono attivati per impostazione predefinita e sono definiti per i seguenti servizi:

• DHCP
• DNS
• WINS

I filtri intelligenti sono valutati prima dell'esame dell'insieme di regole, ciò significa che qualsiasi pacchetto che corrisponde a una occorrenza attiva di un filtro intelligente è consentito. Tutti gli altri sono negati. La richiesta DHCP, DNS o WINS deve provenire dal computer client e la risposta deve avvenire durante un periodo predefinito di cinque secondi. Il server invia la risposta, e il tipo di risposta viene verificato come valido rispetto alla richiesta originale del client.

Smart DHCP permette la normale gestione dei messaggi broadcast di DHCP senza avere definito una regola. I messaggi del client DHCP devono essere configurati per ottenere automaticamente un indirizzo IP.

Gestione dei messaggi DHCP con il meccanismo dei filtri intelligenti:

• Il client in primo luogo genera un messaggio broadcast di rilevamento DHCP. L'invio di questo messaggio provoca la creazione di un nuovo filtro intelligente.
• Il server deve rispondere con un'OFFERTA, entro cinque secondi. Ricordare che ogni connessione con filtro intelligente scade entro cinque secondi.
• Il client quindi genera un messaggio broadcast di richiesta DHCP, che crea un altro filtro intelligente e il server deve rispondere con un RICONOSCIMENTO, entro cinque secondi.

L'interfaccia attraverso cui vengono trasmesse le richieste DNS deve essere configurata nelle impostazioni di TCP/IP con un server DNS primario e facoltativamente un server DNS secondario. Le assegnazioni del server primario e secondario possono essere configurate manualmente o essere ricevute utilizzando l'indirizzamento DHCP. Sono consentite soltanto le richieste iniziate dal client e indirizzate ai server DNS primario o secondario. Qualsiasi altra richiesta DNS viene negata automaticamente.

WINS intelligente attiva l'uso del servizio WINS. Le richieste WINS devono essere configurate per utilizzare la risoluzione WINS nelle impostazioni avanzate di TCP/IP. A differenza di DNS, che è limitata alle specifiche di un server primario e secondario, è possibile definire qualsiasi numero di server WINS. Sono consentite soltanto le richieste avviate dal client e indirizzate a un server WINS predefinito. Qualsiasi altra richiesta WINS è negata automaticamente. La richiesta di risoluzione del client causa l'aggiunta di nuovo filtro intelligente all'elenco, che definisce una finestra di risposta in cinque secondi rispetto alla richiesta particolare. Il server sollecitato deve rispondere e la risposta deve essere ricevuta entro il periodo di tempo specificato. Il contenuto della risposta viene convalidato rispetto alla richiesta originale. Le risposte non valide vengono ignorate.

NetBIOS e Token Ring
È possibile attivare impostazioni del traffico sul client per rilevare e bloccare il traffico che comunica tramite i driver, NetBIOS e token ring. È inoltre possibile configurare impostazioni per rilevare il traffico che utilizza metodi di attacco meno visibili.

Le impostazioni sul traffico comprendono le seguenti:

• Attiva la protezione a livello di driver è per impostazione predefinita attivata. Quando questa opzione è attivata, qualsiasi driver di protocollo che accede a una rete viene visto come applicazione di rete. I driver di protocollo possono essere bloccati o permessi dinamicamente. Si noti che la protezione Attiva NetBIOS non è attivata per impostazione predefinita. Quando questa opzione è attivata, la politica del firewall impedisce a un client di ricevere i pacchetti NetBIOS su UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 e TCP 1026 che provengono dai computer che si trovano su una subnet differente.
• Consenti il traffico token ring è attivato per impostazione predefinita. Quando i client comunicano tramite una scheda token ring, questa opzione deve essere attivata in una politica del firewall in modo tale che il client possa accedere alla rete.
• Attiva la ricerca DNS inversa è per impostazione predefinita attivata. Quando il client intercetta un pacchetto IP che ha un indirizzo IP sconosciuto, questa opzione permette l'invio di una richiesta inversa DNS per risolvere il nome dominio.
• Attiva la protezione contro la contraffazione dell'indirizzo MAC è per impostazione predefinita disattivata. Quando questa opzione è attivata, la protezione contro la contraffazione dell'indirizzo MAC protegge un computer dal consentire che un altro computer ripristini una tabella degli indirizzi MAC.

Impostazioni stealth
Nel configurare le impostazioni di stealth, i problemi di compatibilità dipendono da quali impostazioni sono attivate. Alcune impostazioni possono visualizzare i siti Web in modo errato. Altre impostazioni possono provocare il blocco di tutto il traffico quando è installata una scheda di rete non compatibile. A differenza delle impostazioni sul traffico, tutte le impostazioni stealth sono disattivate.

È possibile configurare le seguenti impostazioni stealth:

• Attiva modalità stealth di esplorazione Web: Questa impostazione rileva tutto il traffico HTTP della porta 80 da un browser Web e rimuove le informazioni quali il nome e la versione del browser, il sistema operativo e la pagina Web di riferimento. Questa impostazione impedisce che i siti Web possano venire a conoscenza del sistema operativo e browser utilizzati dal client.
• Attiva nuova sequenza TCP: Questa impostazione impedisce a un intruso di sfruttare la capacità di falsificare (o spoof) l'indirizzo IP del computer inserendo sequenza casuali di numeri TCP.
• Attiva mascheramento dell'impronta del sistema operativo: Questa impostazione impedisce che i programmi rilevino il sistema operativo del computer che esegue il software client SEP. Questa impostazione funziona al meglio quando è attivata la nuova sequenza TCP . Il client cambia il Time-To-Live (TTL) ed il valore di identificazione dei pacchetti TCP/IP per impedire ad altri programmi di identificare un sistema operativo usando le firme del pacchetto.

Ordine di elaborazione delle regole
Di seguito è mostrato l'ordine in cui elaborati tutti gli elementi di Protezione della rete dalle minacce. Questi elementi comprendono le impostazioni stealth di traffico e modalità stealth:

• Le firme personalizzate per la prevenzione delle intrusioni vengono elaborate per prime.
• Successivamente vengono elaborate le impostazioni di prevenzione intrusioni, le impostazioni sul traffico e le impostazioni stealth.
• Quindi, vengono elaborati i filtri di traffico intelligenti e le regole del firewall.
• Infine, vengono elaborati il controllo della scansione delle porte e le firme di IPS scaricate con LiveUpdate.

Prevenzione intrusioni
Il sistema di prevenzione delle intrusioni (IPS) rappresenta il secondo livello di difesa del client dopo il firewall. Il sistema di prevenzione delle intrusioni è un sistema basato sulla rete che funziona in ogni computer in cui il client è installato e il sistema di IPS è attivato. Se viene rilevato un attacco noto, una o più tecnologie di prevenzione delle intrusioni possono bloccarlo automaticamente.
Il client contiene le firme di attacco intelligenti che meno probabilmente consentono un attacco di intrusione. Il client contiene anche un motore stateful che tiene traccia di tutto il traffico in ingresso e in uscita. Il client comprende per impostazione predefinita il motore di prevenzione delle intrusioni e un corrispondente insieme di firme di attacco.

È possibile bloccare determinati tipi di attacchi di prevenzione delle intrusioni sul client, in funzione delle impostazioni di prevenzione delle intrusioni selezionate. Ad esempio, è necessario attivare Attiva Prevenzione dalle intrusioni per attivare il motore delle firme IPS di Symantec e il motore delle firme IPS personalizzato.

È possibile configurare le seguenti impostazioni di Prevenzione intrusioni:

• Attiva Prevenzione delle intrusioni - Rileva e blocca automaticamente gli attacchi di rete. Se non si attiva questa impostazione, il client ignora le firme di attacco possibili.
• Attivare rilevamento minacce Denial of service - Rilevamento che identifica gli attacchi noti basati su pacchetti multipli.
• Attiva rilevamento scansione porte - Monitora tutti i pacchetti in entrata bloccati da regole di sicurezza.
• Blocca automaticamente l'indirizzo IP dell'autore attacco - Blocca il traffico di rete dall'aggressore per una durata configurabile (per impostazione predefinita, 10 minuti)

Si noti che se si imposta il client con un controllo misto, è necessario attivare anche queste impostazioni nella finestra di dialogo Impostazioni di controllo client/server.

Procedura consigliata - Applicare le politiche del firewall alla rete
Prima di applicare una politica del firewall all'intera rete, è necessario applicare la politica a un piccolo sottoinsieme di client rappresentativo della rete. Se possibile, è consigliabile applicare inizialmente la politica in un ambiente di prova. Symantec Endpoint Protection fornisce la politica del firewall predefinita come base. Nella maggior parte dei casi, è necessario apportare modifiche alla politica del firewall predefinita per adattarla all'architettura della rete e alla politica di sicurezza dell'azienda.

L'uso del firewall di processo di stateful inspection facilita la creazione e la manutenzione delle regole e permette che i computer client effettuino le connessioni necessarie pur essendo protetti. I computer sono protetti inoltre da componenti della politica del firewall che non sono basati sulle regole del firewall. Questi componenti includono la prevenzione delle intrusioni e i filtri di traffico intelligenti.

Quando si è pronti per applicare una politica del firewall alla rete, è necessario procedere nel modo seguente:

• Utilizzare la protezione Prevenzione intrusioni
• Applicare la politica del firewall a un piccolo sottoinsieme di computer
• Controllare il traffico di rete tramite i registri
• Ottimizzare le politiche basate sulle informazioni della rete presenti nei registri
• Applicare la politica del firewall modificata alla rete

Attivazione e configurazione di Prevenzione intrusioni
Indipendentemente dalla configurazione di altre funzioni di protezione della rete dalle minacce, è possibile proteggere i client e i server da molti attacchi di rete semplicemente attivando Prevenzione intrusioni. Prevenzione intrusioni è un efficace metodo per bloccare gli attacchi noti. Mentre le firme sono generate per i nuovi attacchi, è possibile proteggere i computer aggiornando le firme IPS con LiveUpdate. In aggiunta, è possibile creare firme personalizzate per la prevenzione delle intrusioni, che vengono elaborate per prime dal firewall.

Applicazione della politica del firewall
La politica del firewall predefinita può potenzialmente bloccare il traffico che è necessario per le attività commerciali dell'azienda. Per evitare questa possibilità, è necessario modificare la politica predefinita rendendola più permissiva.
È possibile rendere la politica predefinita più permissiva realizzando una delle seguenti modifiche:

• Modificare alcune o tutte le regole di Blocco a Consenti e garantire che l'opzione Registrazione di queste regole sia impostata a Scrivi nel registro traffico, in modo che quando il traffico corrisponde a queste regole le informazioni vengano sempre registrate.
• Creare una nuova regola (Regola permissiva) e impostarla a Consenti e a Scrivi nel registro traffico. Spostare questa regola permissiva verso l'alto nel firewall in modo che venga elaborata per prima.

Monitoraggio del traffico di rete
Dopo avere applicato la politica del firewall modificata, è possibile monitorare e analizzare il traffico sui computer client dalla console di Symantec Endpoint Protection Manager. Dai registri del traffico, è possibile determinare quale traffico deve essere permesso o bloccato in base all'applicazione, all'ora o al servizio.

Ottimizzazione della politica del firewall
Dopo avere estratto le informazioni dai registri del traffico, è possibile utilizzare tali informazioni per modificare la politica del firewall. È anche inoltre possibile restringere o allentare la politica del firewall configurando le impostazioni del traffico e stealth, consentendo o impedendo alcuni tipi di traffico di rete.
In generale, è possibile restringere la politica del firewall limitando l'accesso delle applicazioni alla rete e/o all'esecuzione. È possibile fare ciò mediante la creazione di regole del firewall personalizzate per specifiche applicazioni. Esistono limitazioni, poiché le regole del firewall che impediscono ad alcune applicazioni di accedere alla rete consentono comunque di avviare l'applicazione. Questo risultato potrebbe non essere desiderato.
Un altro metodo che è possibile esaminare, che potrebbe essere più efficiente, consiste nell'utilizzo di una politica di controllo applicazioni. Con una politica di controllo applicazioni, è possibile bloccare l'esecuzione delle applicazioni.
È necessario restringere gradualmente la politica del firewall in più iterazioni. Ad esempio, è possibile bloccare una o due applicazione alla volta, quindi verificare di nuovo la politica. Se non si verificano problemi, è possibile continuare a rendere la politica più restrittiva in base alle proprie esigenze.

Distribuzione di una politica del firewall modificata all'intera rete
Dopo avere completato la modifica della politica del firewall, in base alle informazioni sulla rete dai registri del traffico e dall'ambiente di prova, è possibile distribuire la politica del firewall all'intera rete, essendo certi che il firewall proteggerà i computer client, ma permetterà il traffico necessario.

Risorse aggiuntive
Per maggiori informazioni sul firewall e sul controllo delle applicazioni del client Symantec Endpoint Protection consultare la Guida all'amministrazione di Symantec Endpoint Protection e la Guida del client per Symantec Endpoint Protection.

Riferimenti
Questo documento è disponibile nelle seguenti lingue:

• Brazilian-Portuguese: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/br_docid/20080818101143935
• French: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/fr_docid/20080818101217935
• German: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/de_docid/20080818101244935
• Polish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/pl_docid/20080818101329935
• Hungarian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/hu_docid/20080818101356935
• Russian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/ru_docid/20080818101422935
• Czech: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/cz_docid/20080818101448935
• Spanish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/es_docid/20080818101516935

Numero del documento: 20080818101305935
Ultimo aggiornamento: 10/29/2008
Creato il: 08/18/2008
Prodotto: Endpoint Protection 11

Indice del sito · Note legali · Informativa sulla privacy · Feedback sul sito · Contattaci · Siti globali