Firewall: WinRoute Pro 4.2

Il Firewall WinRoute Pro 4.2 e' molto leggero, anche se ostico da configurare, e garantisce una grandissima flessibilita'.

WinRoute Pro e' secondo me il miglior Firewall per Windows.
Lo uso ormai da anni e mi ci trovo decisamente bene, configurazione fin troppo flessibile, permette di raggiungere la configurabilita' di IpChains o IpTables per Linux.
Questo lo rende anche piuttosto difficoltoso da impostare, ma una volta impostato stara' buono e silenzioso, bloccando tutti i tentativi di accesso non autorizzati al vostro computer ;-)

[Download e Installazione] [Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Conclusioni]
Download e Installazione La versione di WinRoute Pro a cui mi riferisco in questa guida purtroppo e' ormai considerata vecchiotta, per cui sul sito del produttore Kerio non e' piu' disponibile.

Una volta scaricato il programma di installazione, e' sufficiente avviarlo per installare il programma, che su computer basati su Tecnologia NT installera' un Servizio avviato allo start-up della macchina.
L'installazione e' questione di pochi secondi, altra cosa che mi fa elogiare questo prodotto, un installer piccolo, agile e veloce per un programma con cosi' tante funzioni!

Al termine della breve procedura di installazione, sarete costretti al riavvio del computer, per permettere al servizio di avviarsi in modo automatico.
ATTENZIONE!
Al primo riavvio dopo l'installazione di WinRoute Pro non sarete in grado di connettervi ad internet.
Dovete infatti impostare il vostro Firewall in maniera corretta.
Purtroppo, date le varie differenti realta' e necessita' non posso dirvi io come configurare il programma, pero' cerchero' di spiegare le varie schermate a cosa servono e in che caso vadano impostate e come.
Per avviare il programma di controllo, e' sufficiente fare doppio click sull'icona nella System Tray, all'avvio la password di Admin e' nulla.

[Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Conclusioni] [Top]
Interface Table La primissima schermata da andare a vedere la trovate nel menu Settings -> Interface Table, e contiene una lista delle vostre interfacce di rete, che siano modem o vere e proprie schede di rete.
Per ogni scheda potete visionare le proprieta', e verificare se sia abilitato il NAT sull'interfaccia.
Il NAT va abilitato solo in caso desideriate utilizzare il vostro computer come router, ovvero permettere ad altre macchine della stessa LAN di navigare in rete utilizzando la sua connessione.
Solitamente e' anche bene escludere il computer dal NAT.

[Download e Installazione] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Conclusioni] [Top]
Amministrazione Adesso che probabilmente vi siete riattivati la navigazione, e' il caso di settare una password per l'utente di amministrazione, ovvero Admin.
Potete eseguire questa operazione dal menu Settings -> Accounts, dove potete anche creare nuovi account, e dare ai diversi utenti accessi diversificati [sola lettura o amministrazione].
Potete anche creare piu' utenti e suddividerli in Gruppi, oppure utilizzare account gia' presenti sulla vostra rete, clickando nella pagina Advanced e selezionando l'autenticazione Windows, oppure importando gli utenti da un server di dominio.
E' importantissimo che l'utente Admin abbia una password, il piu' possibile complessa, in modo che la configurazione del vostro Firewall non rischi di cadere in mano di sconosciuti.

Per migliorare ulteriormente la sicurezza del programma, e' anche consigliabile disabilitare l'Amministrazione Remota dell'applicazione, questo si puo' fare dal menu Settings -> Advanced -> Remote Administration, dove potete configurare moltissime opzioni:

1. Enable Remote Administration Over Network
   Abilita l'amministrazione remota, da usare con molta parsimonia, e in caso utilizzando lo stesso WinRoute per tenere ben sigillata la porta 44333, che e' quella su cui sta in ascolto il programma di amministrazione.
2. Allow Access only from...
   Quando avrete configurato dei Gruppi di indirizzi, potete decidere di abilitare l'amministrazione remota solo ad utenti che si colleghino da quegli indirizzi.
3. Web-Admin Interface
   Abilita l'interfaccia di amministrazione web, secondo me esponendo il computer a inutili rischi.
   E' possibile richiedere l'autenticazione dell'utente e anche qui filtrare gli accessi in base a Gruppi di Indirizzi.

Queste operazioni sono molto importanti per far si' che il vostro firewall sia configurabile solo da chi decidete voi, e non da chiunque, quindi, vedete di perdere questi cinque minuti subito ;-)

[Download e Installazione] [Interface Table] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Conclusioni] [Top]
Gruppi di Indirizzi Come ho gia' accennato parlando dell'Amministrazione, e' possibile specificare Gruppi di indirizzi, per semplificare molte parti della gestione [invece che un solo indirizzo ad avere un diritto o un divieto, impostate un gruppo con tutti gli indirizzi con pari diritti e vi semplificate non poco la vita].
La configurazione dei Gruppi si fa dal menu Settings -> Advanced -> Address Groups.
E' importante impostare dei gruppi per quando si trattera' di definire i Filtri sui pacchetti, in modo da non dover impostare una regola piu' volte per diversi indirizzi...
Insomma, la gestione dei gruppi e' solo una cosa che semplifica la vita, ma fa anche risparmiare parecchio tempo e quindi secondo me va proprio fatta!

[Download e Installazione] [Interface Table] [Amministrazione] [Packet Filter] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Conclusioni] [Top]
Packet Filter La parte piu' importante, ovvero il Packet Filtering!
Adesso ci sono tutte le basi per rendere davvero funzionante il nostro nuovo Firewall!
Quindi e' il caso di farlo ;-P
L'interfaccia del Packet Filter e' la meno intuitiva e la piu' ricca di opzioni di tutto il programma, quindi e' bene esaminarne le opzioni con il maggiore dettaglio possibile ;-)
La configurazione di questa parte e' accessibile dal menu Settings -> Advanced -> Packet Filter, e quando si apre vi mostra la pagina relativa ai filtri in Ingresso, che sono gli unici che io configuro.
La configurazione avviene nello stesso modo sia per i filtri in ingresso che per quelli in uscita, quindi esaminero' la schermata di definizione del filtro solo una volta.

Selezionando un'interfaccia dall'elenco prima di premere Add, la regola creata si applica all'interfaccia selezionata.
ATTENZIONE!
Non e' possibile spostare una regola da un'interfaccia ad un'altra, quindi fate attenzione a dove mettete le regole!
Io personalmente le metto tutte sotto Any Interface.

[Download e Installazione] [Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Conclusioni] [Top]
Definizione di una regola Siamo finalmente alla schermata di definizione delle regole di filtro:

La schermata di definizione di una regola e' piuttosto complessa, ve ne indico le funzionalita' principali:

1. Protocol
   Identifica il protocollo internet a cui applicare la regola.
   I protocolli definiti sono IP, ICMP, TCP, UDP, PPTP e Other, che vi permette di specificare il protocollo a cui applicare il filtro in base al numero identificativo del protocollo.
   Le altre opzioni variano a seconda del protocollo selezionato in questa opzione.
2. Type
   [valido sia per sorgente che per destinazione]
   Identifica il tipo di sorgente o destinazione del pacchetto, le possibili scelte sono:
   • Any Address [si applica a tutti indistintamente]
   • Host [permette di inserire manualmente l'indirizzo a cui applicare la regola]
   • Network/Mask [permette di specificare una rete in base all'indirizzo di rete e alla Subnet Mask]
   • Network/Range [permette di specificare una sottorete dando il primo e l'ultimo indirizzo della sottorete a cui applicare la regola]
   • Address Group [vi permette di selezionare a chi applicare la regola tra i Gruppi di Indirizzi che avete creato -si spera- prima]
3. Port
   [valido sia per sorgente che per destinazione]
   Permette di selezionare la porta sorgente o destinazione del pacchetto, le possibili scelte sono:
   • Any [si applica indistintamente a tutte le porte]
   • Equal to [permette di inserire un unico numero di porta a cui applicare la regola]
   • Greater Than [permette di inserire la porta a partire dalla quale -esclusa- applicare
     la regola, la regola sara' applicata a tutte le porte maggiori di quella immessa]
   • Less Than [il contrario della precedente]
   • Not Equal To [si applichera' la regola a ogni porta diversa da quella immessa]
   • Between [permette di immettere due numeri di porta, la regola sara' applicata alle porte comprese tra queste due, compresi gli estremi]
   • Not Between [il contrario della precedente]
4. TCP Flags
   [presente solo in caso il protocollo selezionato sia TCP]
   Permette di decidere se applicare la regola a connessioni in fase di creazione o solo a quelle gia' esistenti, oppure a nessuna delle due opzioni, cioe' a tutti i pacchetti indistintamente.
5. Action
   Permette di scegliere come comportarsi in caso si riceva un pacchetto che attiva la regola che si sta definendo:
   • Permit [lascia transitare il pacchetto]
   • Drop [ignora il pacchetto, chi l'ha inviato riceve un messaggio di Timeout, dato che il nostro computer non risponde al pacchetto]
   • Deny [in un certo senso, sbatte la porta in faccia, il risultato dall'altro lato e' un Connection Refused]
6. Log Packet
   Permette di decidere se e come loggare il pacchetto, nel file di log oppure solo nella finestra Security dell'interfaccia di amministrazione.
7. Time Interval
   L'Intervallo di tempo a cui si applica la regola.

Premere Ok per creare la regola, e successivamente Apply per applicare il set di regole impostate.

[Download e Installazione] [Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Time Interval] [Altre Funzionalita'] [Conclusioni] [Top]
Time Interval E' possibile definire Intervalli di tempo a cui applicare le varie Regole definite in precedenza.
Per aprire le impostazioni degli intervalli di tempo, accedere al menu Settings -> Advanced -> Time Intervals:

Qui e' possibile definire un Nome per l'intervallo di tempo che si sta definendo, e quando e' valido questo intervallo.
Questa funzione e' utile soprattutto nel caso di reti aziendali, dove si vuole negare la navigazione durante determinati orari [o permetterla, a scelta].

[Download e Installazione] [Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Altre Funzionalita'] [Conclusioni] [Top]
Altre Funzionalita' di WinRoute Pro WinRoute Pro non e' comunque solo un Firewall, ha tante altre funzioni, abilitabili e configurabili dal menu Settings:

1. Proxy Server
   Permette di configurare una cache centralizzata per le pagine web, in modo da alleggerire il traffico di rete.
2. Mail Server
   Un semplice server di posta, scarica da account definibili dall'interfaccia di amministrazione e permette di essere utilizzato dai client per l'invio della posta elettronica.
3. DHCP Server
   Puo' anche fare da server DHCP.
4. DNS Forwarder
   Altra funzione molto utile in una LAN, permette di impostare il computer con WinRoute Pro come server DNS per i client della rete, riducendo il traffico all'esterno.
5. Anti-Spoofing
   Fa in modo da evitare che pacchetti falsificati raggiungano la nostra rete.
6. Port Mapping
   Permette di fare semplici redirect di porte, utile quando ci sono server distinti in una LAN per i differenti servizi, ma un unico indirizzo ip visibile all'esterno.
7. Security Options
   Permette di configurare alcune opzioni di base, tipo il trattamento dei pacchetti ICMP.

[Download e Installazione] [Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Time Interval] [Conclusioni] [Top]
Conclusioni Come avete visto, questo programma e' in effetti molto piu' di un Firewall e ha tantissime opzioni.
Per certi versi non e' proprio adatto all'utente comune, che non ne sfruttera' mai tutte le potenzialita', ma di certo e' molto leggero e decisamente poco invasivo.
Molto piu' invasivo e' il prezzo, la licenza minima costa la venerabile cifra di 150$!!!

[Download e Installazione] [Interface Table] [Amministrazione] [Gruppi di Indirizzi] [Packet Filter] [Definizione di una regola] [Time Interval] [Altre Funzionalita'] [Top]