Guida al prodotto Revisione 1.0 McAfee Desktop Firewall™ versione 8.0 COPYRIGHT © 2003 Networks Associates Technology, Inc. Tutti i diritti riservati. Nessuna parte della presente pubblicazione può essere riprodotta, trasmessa, trascritta, memorizzata in un sistema da cui possa essere caricata o tradotta in alcuna lingua, in nessuna forma e con nessun mezzo, senza previo consenso scritto di Networks Associates Technology, Inc. o dei suoi fornitori o ditte affiliate. Per richiedere il consenso, inviare istanza scritta all'ufficio legale di Network Associates al seguente indirizzo: 5000 Headquarters Drive, Plano, Texas 75024 oppure chiamare al +1-972-308-9960. MARCHI REGISTRATI Active Firewall, Active Security, Active Security (in Katakana), ActiveHelp, ActiveShield, AntiVirus Anyware e il design, AVERT, Bomb Shelter, Certified Network Expert, Clean-Up, CleanUp Wizard, CNX, CNX Certification Certified Network Expert e il design, Covert, Design (N stilizzato), Disk Minder, Distributed Sniffer System, Distributed Sniffer System (in Katakana), Dr Solomon's, etichetta Dr Solomon, Enterprise SecureCast, Enterprise SecureCast (in Katakana), ePolicy Orchestrator, Event Orchestrator (in Katakana), EZ SetUp, First Aid, ForceField, GMT, GroupShield, GroupShield (in Katakana), Guard Dog, HelpDesk, HomeGuard, Hunter, LANGuru, LANGuru (in Katakana), M e il design, Magic Solutions, Magic Solutions (in Katakana), Magic University, MagicSpy, MagicTree, McAfee, McAfee (in Katakana), McAfee e il design, McAfee.com, MultiMedia Cloaking, Net Tools, Net Tools (in Katakana), NetCrypto, NetOctopus, NetScan, NetShield, NetStalker, Network Associates, Network Policy Orchestrator, NetXray, NotesGuard, nPO, Nuts & Bolts, Oil Change, PC Medic, PCNotary, PortalShield, Powered by SpamAssassin, PrimeSupport, Recoverkey, Recoverkey – International, Registry Wizard, Remote Desktop, ReportMagic, RingFence, Router PM, Safe & Sound, SalesMagic, SecureCast, Service Level Manager, ServiceMagic, SmartDesk, Sniffer, Sniffer (in Hangul), SpamKiller, SpamAssassin, Stalker, SupportMagic, ThreatScan, TIS, TMEG, Total Network Security, Total Network Visibility, Total Network Visibility (in Katakana), Total Service Desk, Total Virus Defense, Trusted Mail, UnInstaller, Virex, Virus Forum, ViruScan, VirusScan, WebScan, WebShield, WebShield (in Katakana), WebSniffer, WebStalker, WebWall, Who's Watching Your Network, WinGauge, Your E-Business Defender, ZAC 2000, Zip Manager sono marchi o marchi registrati di Network Associates, Inc. e/o di società affiliate negli Stati Uniti e/o in altri Paesi. I prodotti a marchio Sniffer® sono creati solo da Network Associates Inc. Tutti gli altri marchi registrati e non registrati citati nel presente documento sono marchi dei rispettivi proprietari. Questo prodotto include o può includere software sviluppato da OpenSSL Project per essere utilizzato nel Toolkit OpenSSL (http://www.openssl.org/). Questo prodotto include o può includere software di codifica scritto da Eric Young ([email protected]). Questo prodotto include o può includere alcuni programmi software forniti in licenza (o in sublicenza) all'utente in base al GNU General Public License (GPL) o ad altre licenze software gratuite che, tra gli altri diritti, consentono la copia, la mofica e la ridistribuzione di alcuni programmi o parti di essi e concedono l'accesso al codice sorgente. Secondo il GPL, per qualsiasi software coperto dal GPL distribuito ad altri in un formato binario eseguibile, è necessario rendere disponibile anche il codice sorgente. Il codice sorgente di tali programmi software coperti da GPL è disponibile su questo CD. Nel caso in cui qualsiasi licenza di software gratuita necessiti la concessione di Network Associates dei diritti all'uso, copia o modifica di un programma più ampi di quelli sanciti in questo accordo, tali diritti avranno la precedenza sui diritti e le restrizioni sanciti in questo documento. CONTRATTO DI LICENZA COMUNICAZIONE A TUTTI GLI UTENTI: LEGGERE ATTENTAMENTE IL CONTRATTO DI LICENZA APPROPRIATO CORRISPONDENTE ALLA LICENZA ACQUISTATA, CHE RIPORTA I TERMINI E LE CONDIZIONI GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. SE NON È NOTO IL TIPO DI LICENZA ACQUISTATA, CONTATTARE L'UFFICIO VENDITE E ALTRE CONCESSIONI DI LICENZA CORRELATE O CONSULTARE DOCUMENTI ALLEGATI ALLA CONFEZIONE DEL SOFTWARE O CHE SONO STATI RICEVUTI SEPARATAMENTE COME PARTE DELL'ACQUISTO, QUALI OPUSCOLI, FILE SUL CD DEL PRODOTTO O FILE DISPONIBILI NEL SITO WEB DA CUI È STATO SCARICATO IL PACCHETTO SOFTWARE. QUALORA L’UTENTE NON ACCETTI I TERMINI DEL PRESENTE CONTRATTO, NON DOVRÀ INSTALLARE IL SOFTWARE. L'UTENTE POTRÀ EVENTUALMENTE RESTITUIRE IL PRODOTTO A NETWORK ASSOCIATES O AL RIVENDITORE E OTTENERE IL RIMBORSO DEL PREZZO. Pubblicato Giugno 2003/Software McAfee Desktop FirewallTM versione 8.0 DOCUMENT BUILD # DBN 007-IT Sommario Prefazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Destinatari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Convenzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Come ottenere informazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Come contattare McAfee Security e Network Associates . . . . . . . . . . . . . . . . . . . . . . . . . 14 1 Introduzione Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Cosa è Desktop Firewall? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Informazioni sul firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Informazioni sul sistema di monitoraggio delle applicazioni . . . . . . . . . . . . . . . . . . . 17 Informazioni sul sistema di rilevamento delle intrusioni (IDS) . . . . . . . . . . . . . . . . . . 18 Quali sono le due versioni di Desktop Firewall? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Novità di questa versione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Funzioni comuni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Modalità di apprendimento bidirezionale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Monitoraggio delle applicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Supporto per le regole basate sui protocolli non IP . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Supporto per le regole basate sul traffico senza fili . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Supporto per le regole basate su dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Supporto per le regole a tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Firme IDS aggiornabili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Archivi dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Funzioni di ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Filtraggio e report ottimizzati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Modalità quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Modalità di apprendimento controllo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Monitoraggio remoto del gruppo di regole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Regole note visualizzabili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Guida al prodotto iii Sommario Sezione 1 Utilizzo della versione autonoma di Desktop Firewall 2 Guida introduttiva a Desktop Firewall . . . . . . . . . . . . . . . . . . . . . 37 Rapida panoramica dell'interfaccia di Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Barra delle applicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Icona nella barra delle applicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Menu di scelta rapida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Console principale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 I menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Menu Operazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Menu Modifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Menu Visualizza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Menu Guida in linea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Scheda Criteri Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Finestra di dialogo Reti attendibili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Finestra di dialogo Regola Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Avvisi nella Modalità di apprendimento del firewall . . . . . . . . . . . . . . . . . . 47 Scheda Criteri applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Finestra di dialogo Regola applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Avvisi nella Modalità di apprendimento per il monitoraggio delle applicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Scheda Criteri intruso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Finestra di dialogo Host bloccato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Finestra di dialogo Avviso rilevamento intrusione . . . . . . . . . . . . . . . . . . . 54 Finestra di dialogo Avviso spoof IP rilevato . . . . . . . . . . . . . . . . . . . . . . . 55 Scheda Registro delle attività . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Attivazione e disattivazione Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Scelta delle funzioni da eseguire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Attivazione e disattivazione di tutte le funzioni del prodotto . . . . . . . . . . . . . . . . . . . 59 Attivazione e disattivazione delle funzioni del firewall . . . . . . . . . . . . . . . . . . . . . . . . 60 Attivazione e disattivazione della funzione di monitoraggio delle applicazioni . . . . . . 60 Per attivare e disattivare il monitoraggio di creazione applicazioni . . . . . . . . . . 60 Per attivare e disattivare il monitoraggio dell'hook delle applicazioni . . . . . . . . 61 Attivazione e disattivazione della funzione IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Attivazione e disattivazione della funzione di registrazione . . . . . . . . . . . . . . . . . . . . 61 Per attivare e disattivare la registrazione del firewall . . . . . . . . . . . . . . . . . . . . 62 iv Software McAfee Desktop FirewallTM versione 8.0 Sommario 3 Configurazione del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Informazioni sulla funzione firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Precedenza e regole del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Ordinamento dell'elenco delle regole del firewall . . . . . . . . . . . . . . . . . . . . . . . 64 Livelli di protezione e archivi dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Livelli di protezione predefiniti del software . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Livello di protezione Starter apprendimento . . . . . . . . . . . . . . . . . . . . . . . 66 Livello di protezione Minimi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Livello di protezione Client medio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Livello di protezione Client elevato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Livello di protezione Server medio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Livello di protezione Server elevato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Avvisi nella Modalità di apprendimento del firewall . . . . . . . . . . . . . . . . . . . . . . . . . 68 Reti attendibili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Configurazione della funzione firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Attivazione e disattivazione delle funzioni del firewall . . . . . . . . . . . . . . . . . . . . . . . . 69 Attivazione e disattivazione delle funzioni del firewall . . . . . . . . . . . . . . . . . . . . . . . . 69 Per abilitare e disabilitare la Modalità di apprendimento per il traffico in entrata 70 Per abilitare e disabilitare la Modalità di apprendimento per il traffico in uscita 70 Utilizzo dei livelli di protezione e degli archivi dei criteri . . . . . . . . . . . . . . . . . . . . . . 70 Utilizzo di un livello di protezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Utilizzo di un archivio dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Creazione di un archivio dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Creazione di un archivio dei criteri con la funzione Criteri di esportazione 71 Creazione di un archivio dei criteri con la finestra di dialogo Modifica archivio dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Modifica di un archivio di criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Eliminazione di un archivio dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Configurazione delle reti attendibili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Impostazione delle opzioni per le reti attendibili . . . . . . . . . . . . . . . . . . . . . . . . 74 Aggiunta di una voce all'elenco Reti attendibili . . . . . . . . . . . . . . . . . . . . . . . . . 74 Rimozione di una voce dall'elenco Reti attendibili . . . . . . . . . . . . . . . . . . . . . . . 75 Risposta agli avvisi nella Modalità di apprendimento del firewall . . . . . . . . . . . . . . . . . . . . 75 Per rispondere a un avviso della Modalità di apprendimento del firewall . . . . . . . . . 76 Gestione delle regole del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Creazione di una nuova regola del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Copia di una regola del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Modifica di una regola del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Guida al prodotto v Sommario Eliminazione di una regola del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Attivazione e disattivazione di una regola del firewall . . . . . . . . . . . . . . . . . . . . . . . . 81 Creazione di un nuovo gruppo di regole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Esportazione di un file dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Importazione di un file dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 4 Configurazione del sistema di rilevamento delle intrusion . . . . 85 Informazioni sulla funzione IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Avvisi d'intrusione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configurazione della funzione IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Attivazione e disattivazione della funzione IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Attivazione e disattivazione degli avvisi di intrusione . . . . . . . . . . . . . . . . . . . . . . . . 87 Configurazione della risposta predefinita del software alle intrusioni . . . . . . . . . . . . 88 Per bloccare i potenziali intrusi automaticamente . . . . . . . . . . . . . . . . . . . . . . . 88 Per autorizzare automaticamente i potenziali intrusi . . . . . . . . . . . . . . . . . . . . . 89 Configurazione delle opzioni di notifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Selezione degli attacchi da rilevare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Risposta agli avvisi rilevamento intrusione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Gestione degli indirizzi bloccati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Aggiunta di un utente all'elenco degli indirizzi bloccati . . . . . . . . . . . . . . . . . . . . . . . 92 Rimozione di una voce dall'elenco degli indirizzi bloccati . . . . . . . . . . . . . . . . . . . . . 93 Individuazione di un indirizzo IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Aggiornamento delle firme IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Aggiornamento immediato delle firme IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Pianificazione degli aggiornamenti regolari delle firme . . . . . . . . . . . . . . . . . . . . . . . 95 Attivazione dell'aggiornamento automatico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Configurazione di un programma di aggiornamento automatico . . . . . . . . . . . . 96 Esecuzione giornaliera dell'aggiornamento automatico . . . . . . . . . . . . . . 96 Esecuzione settimanale dell'aggiornamento automatico . . . . . . . . . . . . . 98 Esecuzione mensile dell'aggiornamento automatico . . . . . . . . . . . . . . . . 99 Esecuzione dell'aggiornamento automatico una sola volta . . . . . . . . . . . 100 Esecuzione dell'aggiornamento automatico all'avvio del computer . . . . . 101 Esecuzione dell'aggiornamento automatico all'accesso . . . . . . . . . . . . . 102 Esecuzione dell'aggiornamento automatico quando il computer è inattivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Esecuzione immediata dell'aggiornamento automatico . . . . . . . . . . . . . 103 Esecuzione aggiornamento automatico alla connessione accesso remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Applicazione opzioni pianificazione avanzate . . . . . . . . . . . . . . . . . . . . . 104 vi Software McAfee Desktop FirewallTM versione 8.0 Sommario 5 Impostazione del monitoraggio delle applicazioni . . . . . . . . . . 105 Informazioni sulla funzione di monitoraggio delle applicazioni . . . . . . . . . . . . . . . . . . . . . 105 Avvisi della Modalità apprendimento delle applicazioni . . . . . . . . . . . . . . . . . . . . . . 106 Impostazione della funzione di monitoraggio delle applicazioni . . . . . . . . . . . . . . . . . . . . 106 Attivazione e disattivazione della funzione di monitoraggio delle applicazioni . . . . . 107 Per attivare o disattivare il monitoraggio della creazione delle applicazioni . . 107 Per attivare o disattivare il monitoraggio dell'hook delle applicazioni . . . . . . . 107 Attivazione e disattivazione della modalità di apprendimento delle applicazioni . . . 107 Per attivare o disattivare la modalità apprendimento creazione delle applicazioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Per attivare o disattivare la modalità apprendimento hook delle applicazioni . 108 Risposta agli avvisi della modalità di apprendimento delle applicazioni . . . . . . . . . . . . . . 108 Gestione delle regole di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Creazione di una nuova regola di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Modifica di una regola di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Eliminazione di una regola di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Disattivazione di una regola di applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 6 Impostazione della registrazione . . . . . . . . . . . . . . . . . . . . . . . . 113 Informazioni sulla registrazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Eventi IDS nel registro delle attività . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Individuazione ed esportazione dei dati degli eventi IDS . . . . . . . . . . . . . . . . 114 Eventi di sistema nel registro delle attività . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Impostazione della funzione registrazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Attivazione e disattivazione della registrazione del firewall . . . . . . . . . . . . . . . . . . . 115 Filtraggio degli eventi del registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Ordinamento degli eventi del registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Salvataggio del registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Cancellazione del registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Sezione 2 Utilizzo di Desktop Firewall con ePolicy Orchestrator 7 Introduzione a Desktop Firewall ed ePO . . . . . . . . . . . . . . . . . . 121 Informazioni su ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Sistema di ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Funzionamento di Desktop Firewall con ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . 122 Guida al prodotto vii Sommario Rapida panoramica dell'interfaccia di ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . 123 Struttura della console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Riquadro dei dettagli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Accesso a Desktop Firewall mediante ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . 124 Vista Policies (Criteri) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Scheda Firewall Configuration (Configurazione Firewall) . . . . . . . . . . . . 127 Scheda Application Configuration (Configurazione delle applicazioni) . . 128 Scheda Intrusion Configuration (Configurazione per le intrusioni) . . . . . 130 Scheda Administrative Configuration (Configurazione amministrativa) . . 131 Vista Properties (Proprietà) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Vista Tasks (Operazioni) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 8 Impostazione del software per la distribuzione . . . . . . . . . . . . 137 Informazioni sull'ereditarietà dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Scelta delle funzioni da eseguire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Attivazione e disattivazione delle funzioni del firewall . . . . . . . . . . . . . . . . . . . . . . . 139 Attivazione e disattivazione della funzione di monitoraggio delle applicazioni . . . . . 140 Per attivare e disattivare il monitoraggio di creazione applicazioni . . . . . . . . . 140 Per attivare e disattivare il monitoraggio dell'hook delle applicazioni . . . . . . . 141 Attivazione e disattivazione della funzione IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Controllo dell'attività dell'utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Come visualizzare o nascondere Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 143 Blocco e sblocco di parti dell'interfaccia di Desktop Firewall . . . . . . . . . . . . . . . . . . 143 Attivazione e disattivazione dell'opzione Criteri di esportazione . . . . . . . . . . . . . . . 144 Configurazione del software mediante l'importazione di un file di criteri . . . . . . . . . . . . . 145 Importazione di un file dei criteri in ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . 145 Configurazione della funzione di report di ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Attivazione e disattivazione dell'opzione di report di ePO . . . . . . . . . . . . . . . . 146 Controllo dell’applicazione dei criteri di Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . 147 Applicazione dei criteri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 9 Configurazione del Firewall mediante ePO . . . . . . . . . . . . . . . . 149 Utilizzo delle regole del firewall in ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Revisione delle regole di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Per copiare le regole di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Per conservare o sovrascrivere le regole utente . . . . . . . . . . . . . . . . . . . . . . . 151 Utilizzo delle regole note . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Aggiunta delle regole note all’elenco delle regole del firewall . . . . . . . . . . . . . 152 viii Software McAfee Desktop FirewallTM versione 8.0 Sommario Utilizzo della modalità di apprendimento controllo per la creazione delle regole . . . 153 Attivazione e disattivazione della modalità di apprendimento controllo firewall 153 Impostazione della quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Funzionamento della modalità quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Impostazione della modalità quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) . . 156 Attivazione e disattivazione della modalità quarantena . . . . . . . . . . . . . . . . . . 157 Definizione delle reti in quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Configurazione dell’opzione Quarantine Mode (Modalità quarantena) . . . . . . 158 Impostazione di un messaggio di notifica della quarantena . . . . . . . . . . . . . . 159 Visualizzazione e modifica dell’elenco di regole della modalità quarantena . . 160 10 Configurazione sistema di rilevamento intrusioni (IDS) con ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Informazioni sulla funzione IDS ed ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Configurazione delle funzioni IDS in ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Selezione degli attacchi di cui eseguire la scansione in ePO . . . . . . . . . . . . . . . . . 162 Cancellazione automatica dell'elenco di indirizzi bloccati . . . . . . . . . . . . . . . . . . . . 163 11 Impostazione del monitoraggio delle applicazioni mediante ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Gestione delle regole di applicazione in ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Revisione delle regole di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Per copiare le regole di un utente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Per conservare o sovrascrivere le regole utente . . . . . . . . . . . . . . . . . . . . . . . 167 Utilizzo della modalità di apprendimento controllo per la creazione delle regole . . . 168 Attivazione e disattivazione delle modalità di apprendimento controllo . . . . . . 168 12 Creazione di report mediante ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Informazioni sui report di Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Dati sugli eventi ed ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Esecuzione della chiamata di attivazione di un agente . . . . . . . . . . . . . . . . . . 172 I report di Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Creazione dei report di Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Accesso alla funzione di report di ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Selezione dei gruppi su cui creare un report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Generazione di un report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Guida al prodotto ix Sommario Sezione 3 Appendici, Glossario e Indice A Riferimento degli errori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Utilizzo dell'utilità di riferimento degli errori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Per eseguire l'utilità di riferimento degli errori con Desktop Firewall (versione autonoma) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Per eseguire l'utilità di riferimento degli errori con Desktop Firewall (versione per ePolicy Orchestrator) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Per ut ilizzare l'utilità di riferimento degli errori . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Glossario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Indice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 x Software McAfee Desktop FirewallTM versione 8.0 Prefazione In questa guida è presentato il Software McAfee Desktop FirewallTM versione 8.0 e sono fornite le informazioni seguenti: Panoramica del prodotto. Descrizione delle funzioni del prodotto. Procedure per l'esecuzione delle operazioni. Glossario dei termini. Destinatari Queste informazioni sono destinate principalmente a due tipi di utenti: Gli amministratori di rete, responsabili dei programmi antivirus e di protezione per l'azienda. Utenti con la responsabilità di configurare e utilizzare il prodotto sulle proprie workstation. Guida al prodotto 11 Prefazione Convenzioni In questa guida sono utilizzate le convenzioni seguenti: Grassetto Tutti i termini dell'interfaccia utente, incluse le opzioni, i menu, i pulsanti e i nomi delle finestre di dialogo. Esempio Inserire il Nome utente e la Password dell'account desiderato. Courier Testo da essere inserito esattamente come appare, ad esempio un comando sul prompt di sistema. Esempio Per attivare l'agente, eseguire questa riga di comando sul computer client: FRMINST.EXE/INSTALL=AGENT/SITEINFO=C:\TEMP\SITELIST.XML Corsivo Nomi di manuali e argomenti (intestazioni) all'interno dei manuali; enfasi (corsivo); introduzione di un nuovo termine. Esempio Per ulteriori informazioni, consultare il Manuale del prodotto di Desktop Firewall. <TERMINE> Le parentesi angolari racchiudono un termine generico. Esempio Nella struttura della console, sotto ePolicy Orchestrator, fare clic con il pulsante destro del mouse su <SERVER>. 12 NOTA Informazioni supplementari; ad esempio, un metodo alternativo per eseguire lo stesso commando. AVVERTENZA Un'avvertenza importante per proteggere un utente, un sistema, un'azienda, un'installazione software o dei dati. Software McAfee Desktop FirewallTM versione 8.0 Come ottenere informazioni Come ottenere informazioni Guida all'installazione *† Requisiti di sistema e istruzioni per installare e avviare il prodotto. Guida al prodotto * (Questa guida). Desktop Firewall 8.0 Guida all'installazione Presentazione del prodotto e delle sue funzioni, istruzioni dettagliate sulla configurazione del software, informazioni su utilizzo, attività ricorrenti e procedure operative. Guida al prodotto Desktop Firewall 8.0 Guida in linea § Informazioni avanzate e dettagliate sulla configurazione e l'utilizzo del software. Guida rapida a livello dei campi. Note di rilascio ‡ ReadMe. Informazioni sul prodotto, problemi risolti, eventuali problemi noti e aggiunte o modifiche dell'ultimo minuto al prodotto o alla relativa documentazione. Contatti ‡ Informazioni per contattare i servizi e le risorse McAfee Security e Network Associates: assistenza tecnica, servizio clienti, AVERT (Anti-Virus Emergency Response Team), programmi beta e corsi di formazione. In questo file sono inclusi anche numeri di telefono, indirizzi, indirizzi Web e numeri di fax degli uffici di Network Associates negli Stati Uniti e nel mondo. * † ‡ § Un file in formato Adobe Acrobat .PDF sul CD del prodotto o sul sito di download di McAfee Security. Un manuale in dotazione con il CD del prodotto. File di testo inclusi con l'applicazione software e sul CD del prodotto. Guida in linea accessibile dall'applicazione software: Menu e/o pulsante? per una guida a livello di pagina; opzione di fare clic con il pulsante destro del mouse per visualizzare la Guida rapida. Guida al prodotto 13 Prefazione Come contattare McAfee Security e Network Associates Assistenza tecnica Home Page http://www.nai.com/naicommon/services/technical-support/intro.asp Ricerca KnowledgeBase https://knowledgemap.nai.com/phpclient/Homepage.aspx Portale servizi PrimeSupport * http://mysupport.nai.com Sito Beta di McAfee http://www.mcafeeb2b.com/beta/ AVERT (Anti-Virus Emergency Response Team) Home Page http://www.mcafeeb2b.com/naicommon/avert/default.asp Biblioteca di informazioni sui virus http://vil.nai.com Invia un esempio https://www.webimmune.net/default.asp Sito di download Home Page http://www.mcafeeb2b.com/naicommon/download/ Aggiornamenti di file DAT e motori http://www.mcafeeb2b.com/naicommon/download/dats/find.asp ftp://ftp.nai.com/pub/antivirus/datfiles/4.x Upgrade dei prodotti * http://www.mcafeeb2b.com/naicommon/download/upgrade/login.asp Corsi di formazione Corsi di formazione in sede http://www.mcafeeb2b.com/services/mcafee-training/default.asp McAfee Security University http://www.mcafeeb2b.com/services/mcafeesecurityu.asp Servizio clienti Network Associates Posta elettronica [email protected] Web http://www.nai.com http://www.mcafeeb2b.com Numero verde per Stati Uniti, Canada e America Latina: Tel. +1-888-VIRUS NO oppure +1-888-847-8766 Dal lunedì al venerdì, dalle 8:00 alle 20:00 (ora degli Stati Uniti centrali) McAfee è costantemente impegnata a fornire soluzioni ai problemi degli utenti, i cui suggerimenti sono pertanto utili e graditi. È possibile inviare commenti sugli aspetti linguistici dei prodotti McAfee inviando un messaggio e-mail all'indirizzo: [email protected] Per ulteriori informazioni su come contattare Network Associates e McAfee Security, compresi i numeri verdi delle altre aree geografiche, consultare la documentazione fornita insieme alla versione del prodotto. * Credenziali richieste per l'accesso. 14 Software McAfee Desktop FirewallTM versione 8.0 1 Introduzione Desktop Firewall La presente sezione introduce Desktop Firewall 8.0 e le sue funzioni: Cosa è Desktop Firewall? Quali sono le due versioni di Desktop Firewall? Novità di questa versione. Cosa è Desktop Firewall? Software Desktop Firewall provvede alla sicurezza dei singoli computer. Protegge i computer dalle minacce esterne (come gli hacker) e dalle minacce interne (ad esempio alcuni virus), utilizzando svariate funzioni tra cui le seguenti: Un firewall che analizza il traffico di rete in entrata e in uscita, bloccandolo o consentendolo in base a regole impostate dall'utente. Un sistema di monitoraggio delle applicazioni che tiene sotto controllo le applicazioni in uso e impedisce l'avvio di quelle indicate dall'utente oppure impedisce che si associno ad altri programmi. Un IDS (intrusion detection system, sistema di rilevamento delle intrusioni) che analizza il traffico destinato al proprio computer e individua eventuali potenziali attacchi al sistema. Un registro delle attività che registra le informazioni sulle azioni svolte da Desktop Firewall. Il registro può essere utilizzato per individuare i problemi oppure rivedere le vecchie attività. È possibile utilizzare tutte le funzioni insieme oppure soltanto quelle che rispondono alle proprie esigenze. Informazioni sul firewall Desktop Firewall include una funzione firewall software. Questo firewall è un programma che agisce da filtro tra il computer e la rete oppure tra il computer e Internet. Il firewall può analizzare tutto il traffico in ingresso nel computer (traffico in entrata) e tutto il traffico inviato dal computer (traffico in uscita). Analizza il traffico al livello di pacchetto. A mano a mano che esamina i pacchetti in arrivo o in partenza, il firewall li confronta con il suo elenco di regole interne. Una regola è un gruppo di criteri cui è associata un'azione. Se un pacchetto soddisfa tutti i criteri di una regola, il firewall esegue l'azione specificata dalla regola, ovvero o consente al pacchetto di superare il firewall oppure lo blocca. Guida al prodotto 15 Introduzione Desktop Firewall Una regola potrebbe, ad esempio, consentire le ricerche DNS. Per ottenere questo risultato, la regola dovrebbe specificare che è valida solo per i pacchetti che usano il protocollo UDP e il servizio DNS (sulla porta 53). L'azione associata sarebbe "Abilita". A questo punto, a ogni intercettazione di un pacchetto di ricerca DNS, il firewall controllerebbe l'elenco delle regole interne, verificherebbe che il pacchetto soddisfi questa regola particolare e lo autorizzerebbe a superare il firewall. Le regole possono essere semplici o complesse in base alle necessità. Desktop Firewall supporta le regole basate su: Protocolli IP e non IP. La direzione del traffico di rete (in entrata, in uscita o entrambi). L'applicazione che ha generato il traffico. Il servizio o la porta usati dal computer (in qualità di destinatario o mittente). Il servizio o la porta usati dal computer remoto (in qualità di destinatario o mittente). Gli indirizzi IP usati dal pacchetto. L'ora del giorno o della settimana in cui è stato inviato il pacchetto. Per semplificare la configurazione della funzione di firewall, Desktop Firewall include: Livelli di protezione Modalità di apprendimento Un livello di protezione è una raccolta di impostazioni e regole predefinite del firewall. Desktop Firewall integra molteplici livelli di protezione predefiniti per situazioni diverse. Per attivare un livello di protezione, è sufficiente selezionarne il nome dall'elenco Livello di protezione nella scheda Criteri Firewall. È possibile anche creare delle raccolte di regole e impostazioni personalizzate che si applichino a tutte le funzioni di Desktop Firewall (non solo al firewall). Queste raccolte sono chiamate archivi dei criteri e sono visualizzate nell'elenco Livello di protezione. Se non si è certi delle regole necessarie, è possibile anche attivare la Modalità di apprendimento. In questa modalità, ogni volta che Desktop Firewall intercetta un pacchetto per cui non ha istruzioni (ovvero per cui non sono definite regole), lo segnala all'utente. Il software richiede di selezionare un'azione (autorizzare o bloccare) e poi crea automaticamente una nuova regola da applicare ai pacchetti di questo tipo in futuro. È possibile creare le regole e configurare la funzione di firewall utilizzando la scheda Criteri Firewall nella finestra principale di Desktop Firewall. 16 Software McAfee Desktop FirewallTM versione 8.0 Cosa è Desktop Firewall? Informazioni sul sistema di monitoraggio delle applicazioni Desktop Firewall include una funzione di monitoraggio delle applicazioni. Questo significa che il software può essere configurato per monitorare le applicazioni in uso e consentirne l'esecuzione oppure bloccarle. Desktop Firewall offre due tipi di monitoraggio delle applicazioni. Esso consente di controllare: la creazione delle applicazioni l'hook delle applicazioni Quando Software Desktop Firewall esegue il monitoraggio della creazione delle applicazioni, cerca i programmi che effettuano un tentativo di esecuzione. È possibile impedire l'avvio di alcune applicazioni, ad esempio dei virus che tentano di eseguire dei programmi che danneggerebbero il computer. Per evitare che ciò accada, si possono creare delle regole per le applicazioni (simili alle regole del firewall) che consentano solo l'esecuzione dei programmi specificati. Quando Software Desktop Firewall esegue il monitoraggio dell'hook delle applicazioni, cerca i programmi che tentano di collegarsi (o eseguire l'"hook") ad altre applicazioni. In taluni casi le applicazioni devono associarsi ad altri programmi, ma in altri si tratta di un comportamento sospetto che può indicare un virus o un altro attacco al sistema. Desktop Firewall può essere configurato per monitorare solo la creazione delle applicazioni, solo l'hook delle applicazioni oppure entrambi. La funzione di monitoraggio delle applicazioni di Desktop Firewall opera in modo analogo alla funzione di firewall. L'utente crea un elenco di regole per le applicazioni, ovvero una regola per ogni applicazione che desidera autorizzare o bloccare. Ogni volta che Desktop Firewall individua un'applicazione che tenta di avviarsi o di eseguire l'hook a un'altra applicazione, controlla l'elenco interno delle regole relative alle applicazioni per verificare se il programma è autorizzato a questa azione. Poi, in base all'azione che l'utente ha specificato nella regola, consentirà o bloccherà l'applicazione. Per semplificare la creazione delle regole per le applicazioni, Desktop Firewall include una Modalità di apprendimento per entrambi i tipi di monitoraggio delle applicazioni. In questa modalità, ogni volta che Desktop Firewall rileva un'applicazione per cui non è disponibile una regola, lo segnala all'utente. Il software richiede di selezionare un'azione (autorizzare o bloccare) e poi crea automaticamente una nuova regola da applicare a questa applicazione in futuro. È possibile creare le regole delle applicazioni e configurare la funzione di monitoraggio delle applicazioni utilizzando la scheda Criteri applicazione nella finestra principale di Desktop Firewall. Guida al prodotto 17 Introduzione Desktop Firewall Informazioni sul sistema di rilevamento delle intrusioni (IDS) Desktop Firewall include un sistema di rilevamento delle intrusioni (IDS). Al pari della funzione di firewall, l'IDS tenta di bloccare gli attacchi contro il sistema. La funzione di firewall tenta di impedire gli attacchi, filtrando il traffico di rete. L'IDS monitora il traffico ammesso dal firewall, ricercando degli schemi che indichino un possibile attacco in corso. Gli attacchi sono detti anche intrusioni. Alcune intrusioni riescono perché usano una combinazione di metodi diversi. I firewall controllano i tentativi fatti dalle singole comunicazioni e non sono in grado di rilevare lo schema caratteristico degli attacchi più sofisticati. I sistemi di rilevamento intrusioni sono specializzati nel rilevare questo tipo di aggressioni. Per riconoscere lo schema degli attacchi comuni, l'IDS di Desktop Firewall usa una libreria di firme. Una firma è una raccolta di informazioni relative a uno specifico attacco che consente a Desktop Firewall di riconoscerlo come tale. Il Software Desktop Firewall dispone di un gruppo predefinito di firme IDS. L'elenco di firme del software può essere aggiornato utilizzando le opzioni di Aggiornamento automatico e Aggiorna ora. Se si attiva l'IDS, il software Desktop Firewall monitora continuamente il traffico in entrata e se rileva un potenziale attacco, richiede all'utente se bloccare o meno l'indirizzo IP dell'intruso. È anche possibile tentare di rintracciare l'indirizzo IP dell'intruso, per identificarlo. Ogni volta che si sceglie di bloccare un intruso Desktop Firewall aggiunge l'indirizzo IP all'elenco degli indirizzi bloccati. È possibile aggiungere anche manualmente degli indirizzi all'elenco (non è necessario attendere che avvenga un'intrusione). L'elenco degli indirizzi IP bloccati è visibile utilizzando la scheda Criteri intruso nella finestra principale di Desktop Firewall. La funzione IDS di Desktop Firewall può essere configurata utilizzando la finestra di dialogo Opzioni di McAfee Desktop Firewall. La finestra di dialogo contiene due schede: la scheda Opzioni che consente di definire il modo in cui Desktop Firewall deve notificare un attacco e la scheda Firme che consente di selezionare le aggressioni note che Desktop Firewall deve monitorare. 18 Software McAfee Desktop FirewallTM versione 8.0 Quali sono le due versioni di Desktop Firewall? Quali sono le due versioni di Desktop Firewall? Desktop Firewall è disponibile in due versioni: la versione autonoma e la versione per ePO (ePolicy Orchestrator). La versione autonoma di Desktop Firewall può essere eseguita su un solo computer. Il software viene configurato direttamente dall'utente. È l'ideale per utenti singoli o per piccole reti aziendali. La versione di Desktop Firewall per ePolicy Orchestrator funziona diversamente. McAfee ePolicy Orchestrator è un prodotto di gestione software separato. ePolicy Orchestrator può essere utilizzato per distribuire Desktop Firewall a diversi computer, partendo da un'unica origine (la console ePO). Sempre dalla console, è possibile gestire i firewall distribuiti, inviare gli aggiornamenti dei criteri e delle firme e raccogliere informazioni per creare dei report. Questa versione di Desktop Firewall è l'ideale per le aziende. Novità di questa versione In questa versione del Software Desktop Firewall sono presenti alcune nuove funzioni sia per il programma autonomo che per la versione per ePolicy Orchestrator. Funzioni comuni Le nuove funzioni valide per entrambe le versioni includono: Modalità di apprendimento bidirezionale a pagina 20. Monitoraggio delle applicazioni a pagina 21. Supporto per le regole basate sui protocolli non IP a pagina 22. Supporto per le regole basate sul traffico senza fili a pagina 23. Supporto per le regole basate su dominio a pagina 24. Supporto per le regole a tempo a pagina 25. Firme IDS aggiornabili a pagina 26. Archivi dei criteri a pagina 27. Guida al prodotto 19 Introduzione Desktop Firewall Modalità di apprendimento bidirezionale Versioni precedenti Nelle versioni precedenti di Desktop Firewall, la funzione Modalità di apprendimento del firewall si applicava automaticamente al traffico di rete sia in uscita che in entrata. Versione corrente Nella presente versione, è possibile specificare se si desidera o meno applicare la Modalità di apprendimento del firewall alle comunicazioni in entrata, alle comunicazioni in uscita o a entrambe. Vantaggi In molti casi è necessario soltanto monitorare le comunicazioni provenienti da origini sconosciute (cioè il traffico in entrata sul computer e proveniente da un'altra origine). Questa nuova funzione consente di ignorare il traffico in uscita, riducendo così la quantità di avvisi da gestire in Modalità di apprendimento. Percorso Per configurare la Modalità di apprendimento del firewall, aprire la finestra principale di Desktop Firewall e fare clic sulla scheda Criteri Firewall. Nell'area superiore della scheda vengono visualizzate le caselle di controllo della Modalità di apprendimento. Per ulteriori informazioni Per ulteriori informazioni, consultare Attivazione e disattivazione delle funzioni del firewall a pagina 69. 20 Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Monitoraggio delle applicazioni Versioni precedenti Nelle precedenti versioni di Desktop Firewall, era possibile monitorare solo i singoli pacchetti creati dalle applicazioni (utilizzando la funzione di firewall). Versione corrente Nella presente versione, la nuova funzione di monitoraggio dell'applicazione di Desktop Firewall consente o blocca delle applicazioni specifiche. È possibile monitorare il tentativo di esecuzione delle applicazioni (creazione applicazioni) oppure il tentativo da parte di applicazioni di collegarsi ad altri programmi (hook applicazioni). Vantaggi Questa funzione consente di bloccare l'esecuzione dei programmi indesiderati e di identificare e impedire che dei programmi sospetti (incluso alcuni virus) si colleghino alle applicazioni normali. Percorso È possibile accedere a questa funzione tramite la scheda Criteri applicazione nella finestra principale di Desktop Firewall. Per ulteriori informazioni Per ulteriori informazioni su questa funzione, consultare Informazioni sul sistema di monitoraggio delle applicazioni a pagina 17. Per ulteriori informazioni, consultare Impostazione del monitoraggio delle applicazioni a pagina 105. Guida al prodotto 21 Introduzione Desktop Firewall Supporto per le regole basate sui protocolli non IP Versioni precedenti Nelle versioni precedenti di Desktop Firewall, si potevano creare solo le regole di firewall da applicare al traffico basato su IP. Versione corrente In questa versione è possibile creare delle regole del firewall applicabili anche ai protocolli non IP, come IPX e Appletalk. Vantaggi Grazie a questa funzione il firewall può filtrare una maggiore quantità di traffico di rete, rendendo più sicuro il computer. Percorso Per creare una regola del firewall basata sui protocolli non IP, aprire la finestra principale di Desktop Firewall e fare clic sulla scheda Criteri Firewall. Scegliere Aggiungi e selezionare Nuova regola. Nella finestra di dialogo Regola Firewall, selezionare l'opzione Non IP nell'area Protocollo. Selezionare il protocollo desiderato dall'elenco Non IP. Specificare le informazioni per gli altri criteri della nuova regola e poi fare clic su OK. Per ulteriori informazioni Per ulteriori informazioni, consultare Creazione di una nuova regola del firewall a pagina 77. 22 Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Supporto per le regole basate sul traffico senza fili Versioni precedenti Nelle versioni precedenti di Desktop Firewall, non si potevano creare delle regole di firewall basate sul traffico di rete senza fili. Versione corrente In questa versione è possibile creare regole per il blocco del traffico basate sui protocolli senza fili 802.11a, 802.11b e 802.11g. Vantaggi Questa funzione consente di limitare o impedire il collegamento in rete senza fili nell'ambito dell'azienda. Percorso Per creare una regola del firewall basata sui protocolli senza fili, aprire la finestra principale di Desktop Firewall e fare clic sulla scheda Criteri Firewall. Scegliere Aggiungi e selezionare Nuova regola. Nella finestra di dialogo Regola Firewall, selezionare l'elenco IP, quindi selezionare 802.11 IP dall'elenco. Specificare le informazioni per gli altri criteri della nuova regola e poi fare clic su OK. Per ulteriori informazioni Per ulteriori informazioni, consultare Creazione di una nuova regola del firewall a pagina 77. Guida al prodotto 23 Introduzione Desktop Firewall Supporto per le regole basate su dominio Versioni precedenti Nelle versioni precedenti di Desktop Firewall, non si potevano creare delle regole di firewall basate sui domini Internet. Versione corrente Nella presente versione è possibile creare delle regole del firewall applicabili al traffico di rete inviato a/da domini specifici, (ad esempio www.test.com). Vantaggi Questa funzione agevola la gestione del firewall. In passato, per bloccare un intero dominio era necessario identificarne gli indirizzi IP associati e poi creare delle regole basate su tali indirizzi IP. Gli indirizzi possono, però, cambiare in qualsiasi momento. La creazione di regole basate sui domini significa che la regola ha una maggiore copertura e richiede meno manutenzione. Percorso Per creare una regola del firewall basata su un dominio, aprire la finestra principale di Desktop Firewall e fare clic sulla scheda Criteri Firewall. Scegliere Aggiungi e selezionare Nuova regola. Nella finestra di dialogo Regola Firewall, selezionare Nome/i dominio oppure Dominio pienamente qualificato dall'elenco Indirizzo. Per definire il dominio, fare clic sul pulsante visualizzato. Specificare le informazioni per gli altri criteri della nuova regola e poi fare clic su OK. Per ulteriori informazioni Per ulteriori informazioni, consultare Creazione di una nuova regola del firewall a pagina 77. 24 Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Supporto per le regole a tempo Versioni precedenti Nelle versioni precedenti di Desktop Firewall, non si potevano applicare limiti di tempo alle regole di firewall. Versione corrente Nella presente versione è possibile applicare dei limiti di tempo alle regole del firewall. Ad esempio, è possibile consentire a Desktop Firewall di applicare la regola solo nei giorni feriali oppure durante le ore di ufficio. È inoltre possibile specificare n che modo si desidera che Desktop Firewall gestisca la regola negli altri periodi di tempo. Quando la regola non è valida per il momento attuale, il software può: Disattivare la regola. Invertire la regola. Ad esempio, se si crea una regola che consente il traffico HTTP durante le ore di ufficio, è possibile specificare che Desktop Firewall ignori la regola per i periodi di tempo restanti (la regola è disattivata) oppure inverta la regola e quindi blocchi il traffico HTTP per il tempo restante. Vantaggi Grazie a questa funzione i criteri del firewall acquisiscono maggiore flessibilità e consentono la creazione di regole che si applicano solo in giorni oppure orari specifici. Percorso Per applicare a una regola dei limiti di tempo, aprire la finestra principale di Desktop Firewall. Fare doppio clic sulla regola che si desidera modificare. Nella finestra di dialogo Regola Firewall, selezionare la casella di controllo Regola di restrizione per l'intervallo di tempo correntemente definito e fare clic su Ora. Utilizzare la finestra di dialogo Modifica intervallo di tempo per impostare gli orari e i giorni in cui attivare la regola. Inoltre specificare se si desidera disattivare la regola per gli altri periodi di tempo (utilizzando l'opzione Disattiva la regola quando l'ora è scaduta) o invertirla (utilizzando l'opzione Autorizza il cambio della regola alla scadenza). Per ulteriori informazioni Per ulteriori informazioni, consultare Creazione di una nuova regola del firewall a pagina 77. Guida al prodotto 25 Introduzione Desktop Firewall Firme IDS aggiornabili Versioni precedenti Nelle versioni precedenti di Desktop Firewall, la funzione IDS includeva un elenco predefinito di aggressioni individuabili da Desktop Firewall. L'elenco non poteva essere configurato né era possibile aggiungervi nuove aggressioni. Versione corrente La presente versione consente di configurare gli attacchi che l'IDS deve monitorare. È possibile anche aggiornare l'elenco delle firme IDS del software. Le firme sono descrizioni di attacchi noti che Desktop Firewall utilizza per riconoscerli. È possibile programmare degli Aggiornamenti automatici regolari oppure eseguire gli aggiornamenti manualmente. Vantaggi L'utilizzo di questa funzione garantisce che Desktop Firewall sia aggiornato e rilevi tutti gli attacchi più recenti. Percorso Per programmare gli aggiornamenti automatici, fare clic con il pulsante destro del mouse sull'icona Desktop Firewall della barra delle applicazioni e selezionare Proprietà di aggiornamento automatico. Per eseguire un aggiornamento automatico, fare clic con il pulsante destro del mouse sull'icona Desktop Firewall della barra delle applicazioni e selezionare Aggiorna ora. Per selezionare gli attacchi che Desktop Firewall deve monitorare, aprire la finestra principale di Desktop Firewall e fare clic sul menu Modifica. Selezionare Opzioni per aprire la finestra di dialogo Opzioni di McAfee Desktop Firewall. Fare clic sulla scheda Firme per visualizzare e gestire l'elenco delle firme IDS disponibili. Per ulteriori informazioni 26 Per ulteriori informazioni, consultare Aggiornamento delle firme IDS a pagina 94. Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Archivi dei criteri Versioni precedenti Nelle versioni precedenti di Desktop Firewall, era possibile esportare gli elenchi delle regole del firewall, ma le impostazioni di Desktop Firewall non potevano essere memorizzate in un file. Versione corrente La presente versione consente di creare dei livelli di protezione personalizzati per Desktop Firewall. Questi sono detti archivi dei criteri. Gli archivi dei criteri hanno effetto sul firewall, sul monitoraggio delle applicazioni, sull'IDS e sulle impostazioni del registro. Per applicare le impostazioni è sufficiente selezionare il nome di un archivio dei criteri dall'elenco Livello di protezione del firewall. Vantaggi Questa funzione consente di attivare gruppi di regole e impostazioni istantaneamente. Percorso Per creare un nuovo archivio di criteri, configurare prima il firewall, il monitoraggio delle applicazioni, l'IDS e le impostazioni del registro da utilizzare. Completate queste operazioni, fare clic sul menu Operazione e selezionare Criteri di esportazione. Digitare il nome del file dell'archivio dei criteri, quindi selezionare OK. Fare clic su Sì quando Desktop Firewall chiede se l'archivio deve essere un archivio di criteri. Inserire un nome per l'archivio dei criteri; il nome sarà visualizzato nell'elenco Livello di protezione di Desktop Firewall. Fare clic su OK per terminare la creazione dell'archivio dei criteri. Per cambiare il nome di un archivio dei criteri esistente, selezionare Modifica archivio dei criteri dall'elenco Livello di protezione. Utilizzare la finestra di dialogo Modifica archivio dei criteri per selezionare e modificare il nome dell'archivio. Per ulteriori informazioni Per ulteriori informazioni, consultare Livelli di protezione e archivi dei criteri a pagina 65. Guida al prodotto 27 Introduzione Desktop Firewall Funzioni di ePolicy Orchestrator Le nuove funzioni valide solo per la versione di Desktop Firewall per ePolicy Orchestrator includono: Filtraggio e report ottimizzati a pagina 28. Modalità quarantena a pagina 29. Modalità di apprendimento controllo a pagina 30. Monitoraggio remoto del gruppo di regole a pagina 32. Regole note visualizzabili a pagina 33. Filtraggio e report ottimizzati Versioni precedenti Nelle versioni precedenti di Desktop Firewall era possibile creare dei report, ma non era possibile bloccare le informazioni alle quali non si era interessati. Versione corrente Nella presente versione, Desktop Firewall e ePolicy Orchestrator supportano il filtraggio. Nella maggior parte dei report di Desktop Firewall è possibile specificare i criteri per almeno una delle colonne. Quando Desktop Firewall crea un report completo, usa solo i dati compatibili con tutti i criteri di filtro. Vantaggi Il filtraggio consente di limitare le dimensioni dei report e renderli più facilmente gestibili, nonché di visualizzare solo le informazioni importanti. Percorso Per visualizzare la finestra di dialogo Report Data Filter (Filtro dati report) generare un report in ePolicy Orchestrator. Per ulteriori informazioni Per ulteriori informazioni, consultare Creazione di report mediante ePO a pagina 171. 28 Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Modalità quarantena Versioni precedenti Nelle versioni precedenti di Desktop Firewall non era possibile impedire ai computer di comunicare con gli utenti di altre reti se questi non disponevano di tutti i più recenti criteri, aggiornamenti software, file DAT ecc. Versione corrente La presente versione consente di specificare delle subnet e degli indirizzi protetti. Se un computer Desktop Firewall riceve uno di questi indirizzi, il software lo mette automaticamente in quarantena, finché ePolicy Orchestrator non riesce a verificare se ha o meno tutti i criteri e i file necessari. È possibile configurare speciali criteri del firewall che si applichino solo agli utenti in quarantena. Vantaggi Questa funzione migliora la sicurezza generale della rete, perché verifica se tutti gli utenti di rete dispongono dei file e dei criteri più recenti. Percorso Per visualizzare la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena), aprire la scheda Administrative Configuration (Configurazione amministrativa) in ePolicy Orchestrator e poi fare clic su Configure Quarantine Mode (Configura modalità quarantena). Per ulteriori informazioni Consultare Impostazione della quarantena a pagina 154. Guida al prodotto 29 Introduzione Desktop Firewall Modalità di apprendimento controllo Versioni precedenti Nelle versioni precedenti di Desktop Firewall, era possibile attivare la Modalità di apprendimento per la funzione firewall. In questa modalità, Desktop Firewall richiede un'azione (consentire o bloccare) all'utente ogni volta che rileva del traffico di rete sconosciuto. Il software crea quindi una nuova regola in base all'azione selezionata. La normale funzione Modalità di apprendimento richiede agli utenti di rispondere agli avvisi della Modalità di apprendimento e non è possibile controllare se gli utenti consentono o bloccano il traffico. Versione corrente In questa versione è possibile scegliere tra la Modalità di apprendimento e la nuova Audit Learn Mode (Modalità di apprendimento controllo). È possibile applicare la Audit Learn Mode (Modalità di apprendimento controllo) alla funzione firewall o al monitoraggio delle applicazioni. Quando la Audit Learn Mode (Modalità di apprendimento controllo) è attivata, non si deve mai rispondere agli avvisi della Modalità di apprendimento. Il software Desktop Firewall crea automaticamente nuove regole di 'abilitazione' quando intercetta applicazioni o traffico firewall sconosciuto. Vantaggi 30 La Audit Learn Mode (Modalità di apprendimento controllo) offre le stesse funzioni della Modalità di apprendimento, ma non richiede alcun intervento all'utente. Questa funzione si combina perfettamente con il monitoraggio remoto del gruppo di regole (consultare Monitoraggio remoto del gruppo di regole a pagina 32), che consente di riesaminare le regole create dalla Audit Learn Mode (Modalità di apprendimento controllo) in remoto e di copiare le regole desiderate nel gruppo di regole principali da distribuire. Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Percorso Per attivare o disattivare la Audit Learn Mode (Modalità di apprendimento controllo), individuare la scheda Administrative Configuration (Configurazione amministrativa) in ePolicy Orchestrator e selezionare o deselezionare la casella di controllo Enable <feature> Audit Learn Mode (Attiva modalità di apprendimento controllo). Per ulteriori informazioni Consultare uno dei seguenti argomenti: Scheda Administrative Configuration (Configurazione amministrativa) a pagina 131. Attivazione e disattivazione della modalità di apprendimento controllo firewall a pagina 153. Attivazione e disattivazione delle modalità di apprendimento controllo a pagina 168. Guida al prodotto 31 Introduzione Desktop Firewall Monitoraggio remoto del gruppo di regole Versioni precedenti Nelle versioni precedenti di Desktop Firewall, non era possibile monitorare le regole che i singoli utenti aggiungevano al proprio elenco di regole del firewall quando disponevano dell'autorizzazione a creare regole o utilizzavano la Modalità di apprendimento. Versione corrente Nella presente versione, è possibile visualizzare in remoto l'elenco delle regole di un utente tramite la console ePO. Inoltre è possibile copiare le regole selezionate e aggiungerle all'elenco di regole principali per distribuirle agli altri utenti di Desktop Firewall. Vantaggi Questa funzione risulta utile in particolar modo quando è attivata la Modalità di apprendimento o la Audit Learn Mode (Modalità di apprendimento controllo) per gli utenti di Desktop Firewall. Quando queste modalità sono attivate, Desktop Firewall crea automaticamente nuove regole quando intercetta applicazioni o traffico firewall sconosciuto. È possibile utilizzare il monitoraggio remoto del gruppo di regole per esaminare le regole apprese ad intervalli regolari. Percorso Per vedere l'elenco di regole di un utente remoto, selezionare l'utente in ePolicy Orchestrator, poi aprire la scheda Firewall Configuration (Configurazione Firewall) o Application Configuration (Configurazione delle applicazioni). Le regole create dall'utente sono visualizzate nell'elenco Client Rules (Regole client). NOTA Prima di utilizzare il monitoraggio remoto del gruppo di regole, selezionare la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Se tale casella non viene selezionata, Desktop Firewall sovrascrive tutte le regole create dagli utenti ogni volta che si apportano modifiche al gruppo di regole amministrative distribuite e non sarà possibile esaminare le regole degli utenti nell’elenco Client Rules (Regole client). Per ulteriori informazioni Per ulteriori informazioni sull'esame delle regole del firewall degli utenti, consultare Revisione delle regole di un utente a pagina 150. Per ulteriori informazioni sull'esame delle regole di applicazione degli utenti, consultare Revisione delle regole di un utente a pagina 166. 32 Software McAfee Desktop FirewallTM versione 8.0 Novità di questa versione Regole note visualizzabili Versioni precedenti Nelle versioni precedenti di Desktop Firewall, la funzione firewall includeva un gruppo di regole note predefinite. Gli amministratori non avevano alcuna possibilità di visualizzare o modificare tali regole. Versione corrente Nella presente versione, gli amministratori di ePolicy Orchestrator hanno la possibilità di vedere l'elenco completo delle regole predefinite e possono anche aggiungerle al loro elenco di regole del firewall. Vantaggi Le regole note facilitano la configurazione di Desktop Firewall in quanto, in molti casi, gli amministratori possono utilizzare le regole esistenti invece di crearne di nuove. Percorso Per visualizzare l'elenco delle regole disponibili in Desktop Firewall, aprire la scheda Firewall Configuration (Configurazione Firewall) in ePolicy Orchestrator e poi fare clic su Add (Aggiungi). Selezionare Predefined Rules (Regole predefinite). Desktop Firewall visualizza un elenco completo delle regole predefinite per il firewall. Per ulteriori informazioni Per ulteriori informazioni, consultare Utilizzo delle regole note a pagina 152. Guida al prodotto 33 Introduzione Desktop Firewall 34 Software McAfee Desktop FirewallTM versione 8.0 SEZIONE 1 Utilizzo della versione autonoma di Desktop Firewall Guida introduttiva a Desktop Firewall Configurazione del firewall Configurazione del sistema di rilevamento delle intrusion Impostazione del monitoraggio delle applicazioni Impostazione della registrazione 2 Guida introduttiva a Desktop Firewall La presente sezione include un'introduzione particolareggiata all'interfaccia Desktop Firewall e alle principali funzioni del software (versione autonoma). Tratta, inoltre, delle procedure di avvio e disattivazione del prodotto e dei suoi singoli componenti. Sono inclusi i seguenti argomenti: Rapida panoramica dell'interfaccia di Desktop Firewall. Attivazione e disattivazione di Desktop Firewall. Scelta delle funzioni da utilizzare. Rapida panoramica dell'interfaccia di Desktop Firewall La presente sezione introduce i componenti principali dell'interfaccia utente di Desktop Firewall. Se, mentre si utilizza il prodotto, sono necessarie informazioni su opzioni, elenchi e campi specifici, maggiori dettagli sono disponibili nel sistema della Desktop Firewall Guida rapida. NOTA Questa guida è disponibile da tutte le finestre di dialogo di Desktop Firewall, tranne che dalla console principale. Per accedere a questo tipo di informazioni, è necessario prima aprire la finestra di dialogo sulla quale si desiderano le informazioni, quindi fare clic sull'icona con il punto interrogativo, nell'angolo in alto a destra. Il cursore assume la forma di un punto interrogativo. Fare clic sull'area dell'interfaccia su cui si desiderano informazioni. Desktop Firewall visualizza in una finestra a comparsa una breve spiegazione della Guida rapida. Figura 2-1. Icona della Guida rapida Guida al prodotto 37 Guida introduttiva a Desktop Firewall Barra delle applicazioni Quando s'installa Desktop Firewall, il software aggiunge un'icona alla barra delle applicazioni di Windows. Questa icona può essere utilizzata per controllare lo stato del prodotto. Desktop Firewall può anche essere configurato in modo da nascondere questa icona. Se si fa clic con il pulsante destro del mouse sull'icona nella barra delle applicazioni, Desktop Firewall visualizza un menu che consente di eseguire le azioni di base. Icona nella barra delle applicazioni L'icona di Desktop Firewall nella barra delle applicazioni cambia per indicare lo stato del prodotto. Indica se il prodotto funziona correttamente, se è disattivato e se ha rilevato un attacco al sistema. La tabella seguente mostra i vari aspetti che l'icona nella barra delle applicazioni assume in base allo stato del software. Icona Stato di Desktop Firewall Desktop Firewall sta funzionando correttamente. Desktop Firewall ha rilevato un potenziale attacco al computer. Desktop Firewall è disattivato. Lo stato del software può essere controllato anche visualizzando una Descrizione comando, tenendo per alcuni secondi il puntatore del mouse fermo sull'icona nella barra delle applicazioni. 38 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Menu di scelta rapida Se si fa clic con il pulsante destro del mouse sull'icona di Desktop Firewall nella barra delle applicazioni, il software visualizza un menu che consente di eseguire le azioni di base. Voce di menu Funzione Disabilita/Abilita Firewall Se Desktop Firewall è disattivato, questa opzione lo riavvia. Se Desktop Firewall è attivato, questa opzione lo disattiva. Guida in linea Avvia i sistemi di guida prescelti nel browser Web predefinito: Argomenti della guida avvia il sistema di guida in linea principale di Desktop Firewall. Informazioni sul virus apre la pagina Informazioni sui virus di McAfee Security in cui è possibile ricercare i virus noti. Invia un esempio apre la pagina WebImmune di McAfee Security in cui è possibile sottoporre ad analisi dei file potenzialmente infetti. Assistenza tecnica apre la pagina di assistenza per Desktop Firewall di McAfee Security. Opzioni... Apre la finestra di dialogo Opzioni di McAfee Desktop Firewall in cui è possibile configurare la funzione IDS e specificare se Desktop Firewall deve visualizzare o nascondere l'icona nella barra delle applicazioni. Visualizza Apre la console principale di Desktop Firewall, alla scheda specificata: Proprietà di aggiornamento automatico... Criteri Firewall visualizza la scheda Criteri Firewall in cui è possibile gestire le regole del firewall e configurare le reti affidabili. Criteri applicazione visualizza la scheda Criteri applicazione in cui è possibile gestire le regole delle applicazioni e configurare il monitoraggio delle applicazioni. Criteri intruso visualizza la scheda Criteri intruso in cui è possibile visualizzare un elenco degli indirizzi IP bloccati e aggiungerne di nuovi. Registro delle attività visualizza la scheda Registro delle attività in cui è possibile visualizzare le informazioni sul traffico consentito o bloccato e configurare la funzione di registrazione. Apre la finestra di dialogo Proprietà di aggiornamento automatico Desktop Firewall utilizzabile per pianificare gli aggiornamenti automatici delle firme IDS. Guida al prodotto 39 Guida introduttiva a Desktop Firewall Voce di menu Funzione Aggiorna ora… Indica a Desktop Firewall a effettuare immediatamente il download delle nuove firme per la funzione IDS. Informazioni su... Apre la finestra di dialogo Informazioni su Desktop Firewall che visualizza il numero di versione e altre informazioni sul prodotto. Console principale La console principale di Desktop Firewall è accessibile facendo doppio clic sull'icona nella barra delle applicazioni oppure facendo clic con il pulsante destro del mouse sull'icona e selezionando una delle opzioni Visualizza dal menu visualizzato. La console principale di Desktop Firewall dà accesso a tutte le funzioni e opzioni di configurazione. La console si compone di svariati menu e schede. I menu consentono di eseguire tutte le azioni disponibili anche dal menu di scelta rapida dell'icona nella barra delle applicazioni, più alcune altre. Le schede consentono di configurare le funzioni del software e di visualizzare informazioni in proposito. Ogni scheda corrisponde a una specifica funzione di Desktop Firewall: Nome scheda Corrisponde a Criteri Firewall La funzione del firewall che autorizza o blocca le comunicazioni di rete, in base alle regole definite dall'utente. Criteri applicazione La funzione di monitoraggio delle applicazioni che autorizza o blocca l'esecuzione dei programmi (creazione di applicazioni) o ne impedisce il collegamento ad altre applicazioni (hook delle applicazioni). Criteri intruso La funzione IDS che ricerca gli attacchi complessi in atto contro il computer e blocca gli intrusi noti. Registro delle attività La funzione di registrazione che tiene traccia delle informazioni sulle attività di Desktop Firewall per consentire di esaminarle ed esportarle in qualsiasi momento. I menu I menu della console principale di Desktop Firewall consentono di passare da una scheda all'altra e di configurare le funzioni di Desktop Firewall. Alcune voci di menu cambiano in base alla scheda che viene utilizzata nella console principale di Desktop Firewall. Ad esempio, l'opzione Cancella (nel menu Modifica) è disponibile solo dalla scheda Registro delle attività. 40 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Menu Operazione Il menu Operazione consente di eseguire delle azioni che non sono disponibili da alcuna scheda di Desktop Firewall. Voce del menu Operazione Funzione Criteri di esportazione Esporta in un file dei criteri le seguenti informazioni: L'elenco corrente di regole del firewall. L'elenco corrente di regole delle applicazioni. L'elenco corrente di indirizzi bloccati dall'IDS. Le impostazioni della Modalità di apprendimento. Le reti affidabili. Un elenco delle esclusioni delle firme IDS. Le impostazioni del Registro delle attività. Le impostazioni della barra delle applicazioni (visibile o nascosta). Criteri di importazione Carica tutte le informazioni da un file di criteri esportato e le utilizza al posto delle impostazioni esistenti del software. Attiva McAfee Desktop Firewall Attiva tutte le funzioni di Desktop Firewall, tranne quelle deliberatamente disattivate dall'utente. Le funzioni includono il firewall, l'IDS (sistema di rilevamento delle intrusioni) e il monitoraggio delle applicazioni e la registrazione. Disattiva McAfee Desktop Firewall Chiude Desktop Firewall. Disabilita tutte le funzioni del prodotto. Desktop Firewall non monitora e non blocca nessuna comunicazione di rete. Proprietà di aggiornamento automatico Apre la finestra di dialogo Proprietà di Aggiornamento automatico Desktop Firewall utilizzabile per pianificare gli aggiornamenti automatici delle firme IDS. Aggiorna ora Indica a Desktop Firewall di effettuare immediatamente il download delle nuove firme per la funzione IDS. Esci Chiude la console principale di Desktop Firewall. Guida al prodotto 41 Guida introduttiva a Desktop Firewall Menu Modifica Il menu Modifica consente di manipolare le voci negli elenchi delle regole e degli indirizzi bloccati e consente di configurare le opzioni del programma. Non tutte le voci di menu sono disponibili in ogni scheda. Ad esempio, Sposta in alto e Sposta giù non sono presenti nelle schede Criteri intrusione e Registro delle attività. Voce del menu Modifica Funzione Sposta in alto Sposta di una posizione verso l'alto la voce di elenco selezionata. Sposta giù Sposta una posizione verso il basso la voce di elenco selezionata. Rimuovi Elimina la regola selezionata. Cancella Elimina tutte le voci dalla finestra di registrazione. Proprietà Apre una finestra di dialogo che visualizza le proprietà della voce selezionata. Opzioni Apre la finestra di dialogo Opzioni di McAfee Desktop Firewall in cui è possibile configurare la funzione IDS e indicare a Desktop Firewall di visualizzare o nascondere l'icona nella barra delle applicazioni. Menu Visualizza Il menu Visualizza consente di passare da una scheda a un'altra. 42 Voce del menu Visualizza Funzione Criteri Firewall Visualizza la scheda Criteri Firewall in cui è possibile gestire le regole del firewall e configurare le reti affidabili. Criteri applicazione Visualizza la scheda Criteri applicazione in cui è possibile gestire le regole delle applicazioni e configurare il monitoraggio delle applicazioni. Criteri intruso Visualizza la scheda Criteri intruso in cui è possibile visualizzare un elenco degli indirizzi IP bloccati e aggiungerne di nuovi. Registro delle attività Visualizza la scheda Registro delle attività in cui è possibile visualizzare le informazioni sul traffico consentito o bloccato e configurare la funzione di registrazione. Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Menu Guida in linea Il menu Guida in linea consente di accedere a una serie di informazioni relative a Desktop Firewall e alla protezione della rete. Desktop Firewall visualizza le informazioni selezionate nel browser Web predefinito. Voce del menu Guida in linea Funzione Argomenti della guida Avvia il sistema della guida in linea principale di Desktop Firewall che contiene le procedure e le informazioni generali sul prodotto. Informazioni sul virus Apre la pagina Informazioni sui virus di McAfee Security in cui è possibile ricercare i virus noti. Invia un esempio Apre la pagina WebImmune di McAfee Security in cui è possibile sottoporre ad analisi dei file potenzialmente infetti. Assistenza tecnica Apre la pagina Web dell'assistenza per Desktop Firewall di McAfee Security. Informazioni su Apre la finestra di dialogo Informazioni su Desktop Firewall che visualizza il numero di versione e altre informazioni sul prodotto. Scheda Criteri Firewall La scheda Criteri Firewall consente di configurare la funzione del firewall. Mediante questa scheda è possibile: Attivare o disattivare il firewall utilizzando la casella di controllo Abilita Firewall. Attivare o disattivare la Modalità di apprendimento, utilizzando le caselle di controllo Modalità di apprendimento. Selezionare un gruppo predefinito di regole del firewall dall'elenco Livello di protezione. Identificare gli indirizzi IP e le subnet ritenuti sicuri, aggiungendoli all'elenco Reti attendibili (fare clic sul pulsante Attendibile). Esaminare le regole correntemente applicate dal firewall mediante l'elenco delle regole. Creare nuovi gruppi e regole del firewall utilizzando il pulsante Aggiungi. Modificare o visualizzare le regole selezionate del firewall, utilizzando il pulsante Proprietà. Guida al prodotto 43 Guida introduttiva a Desktop Firewall Cancellare le regole del firewall, utilizzando il pulsante Rimuovi. Figura 2-2. Scheda Criteri Firewall L'elenco delle regole mostra tutte le regole del firewall correntemente disponibili per Desktop Firewall. Ogni riga rappresenta una singola regola o un gruppo di regole. Le informazioni contenute in ogni colonna consentono di conoscere la funzione di ogni regola. 44 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Colonna Contenuto Descrizione Una breve frase che descrive lo scopo della regola o del gruppo di regole. (Per le regole) Un'icona che indica se la regola è attualmente in uso: indica che la regola è attiva. indica che la regola è disattivata. (Per i gruppi di regole) Un'icona che indica se le regole di un gruppo sono attive o meno: indica che tutte le regole di questo gruppo sono attive. indica che alcune regole di questo gruppo sono disattivate. indica che tutte le regole di questo gruppo sono disattivate. Protocollo Se una regola consente il traffico oppure lo blocca: indica che la regola consente il traffico indica che la regola blocca il traffico. Se la regola si applica al traffico in entrata, in uscita o a entrambi: indica che la regola si applica al traffico in entrata. indica che la regola si applica al traffico in uscita. indica che la regola si applica al traffico in entrambe le direzioni. Intrusione I protocolli cui si applica la regola (TCP, UDP, ICMP ecc.). Se Desktop Firewall tratta il traffico compreso in questa regola come un'intrusione (un'aggressione) nel sistema: indica che la regola provoca un avviso di intrusione. Programma Se questa regola si applica solo a orari specifici: indica che la regola ha dei limiti orari. Servizio (L) Il nome dei servizi cui si applica questa regola, sul computer. Laddove possibile, colonna mostra anche il numero della porta associata, laddove è possibile. Si ha la possibilità di definire un servizio singolo, una serie di servizi, un elenco di servizi specifici oppure di specificarli tutti (Tutti) o nessuno (N/D). Guida al prodotto 45 Guida introduttiva a Desktop Firewall Colonna Contenuto Servizio (R) Il nome dei servizi cui si applica questa regola, sul computer in cui arriva o da cui parte il traffico. Laddove possibile, questa colonna mostra anche il numero della porta associata. Si ha la possibilità di definire un servizio singolo, una serie di servizi, un elenco di servizi specifici oppure di specificarli tutti (Tutti) o nessuno (N/D). Indirizzo L'indirizzo IP, la subnet, il dominio o altri identificativi specifici cui si applica questa regola. Applicazione L'applicazione cui fa riferimento questa regola, incluso il nome del programma e il nome del file eseguibile. Finestra di dialogo Reti attendibili La finestra di dialogo Reti attendibili è accessibile dalla scheda Criteri Firewall (fare clic sul pulsante Attendibile). Questa finestra di dialogo consente di visualizzare l'elenco degli indirizzi IP e delle subnet definiti come affidabili. È anche possibile aggiungere nuove voci all'elenco e impostare alcune opzioni di base. Una subnet o un indirizzo sono attendibili quando è possibile comunicare con essi senza pericolo. Se il computer fa parte di una rete aziendale, oppure se le risorse del computer vengono condivise spesso con altri utenti, significa che tali utenti sono attendibili. Desktop Firewall consente di trattare i computer affidabili come gruppo, aggiungendoli all'elenco Reti attendibili. In questo modo è più semplice creare delle regole di firewall specifiche per questi utenti. È possibile aggiungere al gruppo attendibile dei singoli indirizzi IP, una serie di indirizzi IP oppure intere subnet. È possibile anche scegliere di aggiungere automaticamente la propria subnet locale (la subnet alla quale appartiene il computer utilizzato) all'elenco Reti attendibili. A tal fine, selezionare una l'opzione Includere la subnet locale automaticamente. 46 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Finestra di dialogo Regola Firewall La finestra di dialogo Regola Firewall è accessibile dalla scheda Criteri Firewall, sia modificando una regola esistente sia aggiungendone una nuova. Questa finestra di dialogo consente di creare e configurare le regole del firewall. Una regola è un gruppo di criteri. Quando filtra il traffico di rete in ingresso e uscita, Desktop Firewall confronta ogni pacchetto intercettato con i criteri stabiliti nelle regole. Se un pacchetto soddisfa tutti i criteri di una specifica regola, Desktop Firewall esegue l'istruzione associata con la regola, ovvero consente al pacchetto di superare il firewall oppure lo blocca. Le regole possono essere generiche o specifiche, in base alle necessità. Il numero di criteri definiti per una regola è inversamente proporzionale al numero di tentativi di comunicazione che soddisferanno la regola. Per una descrizione delle singole caselle di testo e degli elenchi della finestra di dialogo Regola Firewall, consultare Creazione di una nuova regola del firewall a pagina 77. Avvisi nella Modalità di apprendimento del firewall Se si abilita la Modalità di apprendimento del firewall, questo avviso viene visualizzato automaticamente ogni volta che Desktop Firewall intercetta del traffico di rete che potrebbe non corrispondere ad alcuna delle regole esistenti. La finestra di dialogo di avviso della Modalità di apprendimento visualizza informazioni relative al traffico intercettato, in due schede: Informazioni applicazione e Informazioni connessione. Guida al prodotto 47 Guida introduttiva a Desktop Firewall La scheda Informazioni applicazione contiene i dettagli sull'applicazione che ha generato il traffico ed elenca la data e l'ora in cui Desktop Firewall l'ha intercettata. La scheda Informazioni connessione contiene le informazioni di rete sul traffico, incluso il protocollo e la porta utilizzati, l'indirizzo IP che lo ha inviato, l'indirizzo di destinazione e altri dati. Figura 2-3. Finestra di dialogo per gli avvisi in Modalità di apprendimento del firewall Desktop Firewall utilizza questa finestra di dialogo per richiedere l'intervento dell'utente. È possibile utilizzare il pulsante Abilita per consentire al traffico intercettato di superare il firewall oppure Nega per bloccarlo. Desktop Firewall crea una nuova regola in base alla decisione dell'utente e la aggiunge nell'elenco di regole del firewall. Se necessario, è possibile modificare il tipo di regola creata da Desktop Firewall, utilizzando le opzioni della scheda Informazioni connessione. Per ulteriori informazioni, consultare Per rispondere a un avviso della Modalità di apprendimento del firewall a pagina 76. Scheda Criteri applicazione La scheda Criteri applicazione consente di configurare la funzione di monitoraggio delle applicazioni. Questa funzione consente di controllare le applicazioni utilizzate. È possibile specificare se un'applicazione può essere eseguita (funzione nota come creazione applicazione) e se può collegarsi ad altri programmi (funzione nota come hook applicazioni). Mediante questa scheda è possibile: 48 Attivare o disattivare il monitoraggio delle applicazioni, utilizzando le due caselle di controllo per l'attivazione in alto. Abilitare o disabilitare la Modalità di apprendimento, utilizzando le caselle di controllo Modalità di apprendimento. Esaminare le regole di applicazione attualmente applicate da Desktop Firewall, utilizzando l'elenco delle regole. Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Creare nuove regole di applicazione, utilizzando il pulsante Aggiungi. Modificare o visualizzare le regole di applicazione selezionate, utilizzando il pulsante Proprietà. Cancellare le regole di applicazione, utilizzando il pulsante Rimuovi. Figura 2-4. Scheda Criteri applicazione L'elenco delle regole mostra tutte le regole di applicazione attualmente utilizzate da Desktop Firewall. Ogni riga rappresenta una singola regola. Le informazioni contenute in ogni colonna consentono di conoscere la funzione di ogni regola. Colonna Contenuto Descrizione Una breve frase che descrive lo scopo della regola o del gruppo di regole. Un'icona che indica se la regola è attualmente in uso: indica che la regola è attiva. indica che la regola è disattivata. Creazione Un'icona che indica se Desktop Firewall consente l'esecuzione dell'applicazione associata a questa regola: indica che l'applicazione può essere eseguita. indica che l'applicazione non può essere eseguita. Guida al prodotto 49 Guida introduttiva a Desktop Firewall Colonna Contenuto Hook Un'icona che indica se Desktop Firewall consente all'applicazione che risponde a questa regola di associarsi ad altri programmi: indica che l'applicazione può associarsi ad altri programmi. indica che l'applicazione non può associarsi ad altri programmi. Applicazione Il percorso e il nome file dell'applicazione cui si applica questa regola. Finestra di dialogo Regola applicazione La finestra di dialogo Regola applicazione è accessibile dalla scheda Criteri applicazione, sia aggiungendo una regola nuova sia modificandone una esistente. Questa finestra di dialogo consente di creare e configurare le regole di monitoraggio delle applicazioni. Ogni regola è formata da un gruppo di istruzioni associate a una particolare applicazione. Per creare una regola, specificare un'applicazione e poi selezionare o deselezionare le caselle di controllo per indicare se: L'applicazione può essere eseguita. L'applicazione può associarsi ad altri programmi. È anche possibile attivare o disattivare la regola. Una volta che la configurazione della regola è completa, Desktop Firewall aggiunge una nuova voce all'elenco delle regole per le applicazioni. Se si abilita il monitoraggio delle applicazioni, questo elenco viene controllato ogni volta che un'applicazione tenta di avviarsi oppure di associarsi a un'altra applicazione. Poi, in base alle regole create dall'utente, il tentativo fatto dall'applicazione viene accettato o respinto. Avvisi nella Modalità di apprendimento per il monitoraggio delle applicazioni Se si abilita la Modalità di apprendimento per il monitoraggio delle applicazioni, ogni volta che Desktop Firewall rileva un'applicazione per cui non è disponibile una regola, lo segnala all'utente. Per visualizzare gli avvisi quando i programmi tentano di avviarsi, è necessario selezionare Attiva modalità di apprendimento creazione applicazione nella scheda Criteri applicazione. Per vedere gli avvisi quando i programmi tentano di associarsi ad altre applicazioni, è necessario selezionare Attiva modalità apprendimento hook delle applicazioni. In ogni caso, l'avviso della Modalità di apprendimento visualizza le informazioni sull'applicazione rilevata da Desktop Firewall e mostra la data e l'ora in cui è stato intercettato il programma. 50 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Figura 2-5. Finestre di dialogo Avviso creazione applicazione e Avviso hook applicazione Desktop Firewall utilizza questi avvisi per richiedere l'intervento dell'utente. È possibile utilizzare il pulsante Abilita per consentire l'esecuzione o l'associazione dell'applicazione oppure Nega per bloccarla. Desktop Firewall crea una nuova regola in base alla decisione dell'utente e la aggiunge nell'elenco di regole del firewall. Scheda Criteri intruso La scheda Criteri intruso consente di monitorare e gestire l'elenco degli host (indirizzi IP) bloccati. Questa scheda è correlata alla funzione IDS di Desktop Firewall. Quando si abilita questa funzione, Desktop Firewall esegue un controllo costante per rilevare eventuali aggressioni contro il sistema. Se rileva un attacco, richiede se l'intruso deve essere aggiunto all'elenco degli indirizzi bloccati. Se necessario, è possibile disattivare queste richieste. A riguardo consultare Attivazione e disattivazione della funzione IDS a pagina 87. È anche possibile aggiungere delle singole voci all'elenco degli indirizzi bloccati manualmente. Diversamente dalle altre schede di Desktop Firewall, non è possibile utilizzare la scheda Criteri intruso per attivare e disattivare la funzione IDS oppure per configurarla. Per configurare la funzione IDS è necessario utilizzare la finestra di dialogo Opzioni di McAfee Desktop Firewall. Selezionare il menu Modifica e poi Opzioni. Guida al prodotto 51 Guida introduttiva a Desktop Firewall Mediante la scheda Criteri intruso è possibile: Rivedere l'elenco degli indirizzi bloccati. Bloccare i nuovi host, aggiungendo le relative informazioni all'elenco mediante il pulsante Aggiungi. Porre fine al blocco degli host, eliminando le relative voci mediante il pulsante Rimuovi. Modificare o visualizzare i dettagli su un host selezionato, mediante il pulsante Proprietà. Figura 2-6. Scheda Criteri intruso L'elenco degli indirizzi bloccati mostra tutti gli host attualmente bloccati da Desktop Firewall. Ogni riga rappresenta un singolo host. Le informazioni contenute in ogni colonna forniscono maggiori dettagli sui singoli host. 52 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Colonna Contenuto Origine L'indirizzo IP che Desktop Firewall sta bloccando. Motivo del blocco Una spiegazione del motivo per cui Desktop Firewall sta bloccando questo indirizzo. Se Desktop Firewall ha aggiunto questo indirizzo all'elenco a causa di una tentata aggressione al sistema, questa colonna descrive il tipo di attacco. Se Desktop Firewall ha aggiunto questo indirizzo perché una delle regole del firewall ha utilizzato l'opzione tratta corrispondenza regola come intrusione, in questa colonna è riportato il nome della relativa regola del firewall. Se questo indirizzo è stato aggiunto manualmente, la colonna riporta solo l'indirizzo IP bloccato. Ora L'ora e la data in cui l'indirizzo è stato aggiunto all'elenco degli indirizzi bloccati. Tempo rimanente Per quanto tempo Desktop Firewall continuerà a bloccare questo indirizzo. Se quando l'indirizzo è stato bloccato si è specificato un tempo di scadenza, in questa colonna è mostrato il numero di minuti residui prima che Desktop Firewall rimuova l'indirizzo dall'elenco. Se si è specificato che questo indirizzo deve essere bloccato finché non verrà rimosso manualmente dall'elenco, nella colonna è riportato Fino alla rimozione. Finestra di dialogo Host bloccato La finestra di dialogo Host bloccato è accessibile dalla scheda Criteri intruso, sia aggiungendo un nuovo indirizzo IP bloccato sia modificando un host bloccato esistente. In questa finestra di dialogo è possibile: Configurare un indirizzo IP che si desidera bloccare. Ricercare il nome di un dominio per trovare l'indirizzo IP corrispondente. Definire per quanto tempo Desktop Firewall continuerà a bloccare l'indirizzo IP. Rintracciare l'indirizzo IP per ottenere informazioni quali il suo indirizzo MAC (un identificativo hardware univoco) e i dettagli sul banner del server. Guida al prodotto 53 Guida introduttiva a Desktop Firewall Una volta che la configurazione dell'indirizzo bloccato è completa, Desktop Firewall aggiunge una nuova voce all'elenco nella scheda Criteri intruso. Blocca qualsiasi tentativo di comunicazione da quell'indirizzo IP finché quest'ultimo non viene rimosso dall'elenco degli indirizzi bloccati o finché non scade il periodo di tempo impostato (ovvero il tempo che è stato specificato nella finestra di dialogo Host bloccato). Finestra di dialogo Avviso rilevamento intrusione Se si abilita la funzione IDS con l’opzione Visualizza messaggio di notifica quando si riceve un attacco, questo avviso viene visualizzato automaticamente quando Desktop Firewall rileva una potenziale aggressione contro il computer. NOTA Degli attacchi complessi possono sconfiggere i firewall, aggredendo i computer in più modi diversi contemporaneamente. Solo dei sistemi di rilevamento delle intrusioni come l'IDS di Desktop Firewall sono in grado di riconoscere e fermare questi attacchi. Per ottenere il massimo della sicurezza, attivare sia il firewall che le funzioni IDS. La finestra di dialogo Avviso rilevamento intrusione visualizza informazioni relative all'attacco intercettato, in due schede: Informazioni intrusione e Informazioni pacchetto. La scheda Informazioni intrusione contiene i dettagli sull'attacco che ha generato l'avviso, inclusi una descrizione dell'aggressione, l'indirizzo IP dal quale ha avuto origine l'attacco e la data e l'ora in cui Desktop Firewall l'ha intercettato. La scheda Informazioni pacchetto visualizza i dati intercettati da Desktop Firewall, assieme alle informazioni sull'indirizzo (ad esempio, le intestazioni Ethernet, IP, TCP o UDP). Figura 2-7. Finestra di dialogo Avviso rilevamento intrusione 54 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Desktop Firewall utilizza questa finestra di dialogo per richiedere l'intervento dell'utente. Se il traffico intercettato non è un attacco, è possibile consentirlo utilizzando il pulsante Non bloccare. Se l'attacco costituisce una minaccia effettiva, è possibile bloccarlo con il pulsante Blocca. NOTA L'impostazione delle opzioni IDS è molto importante per proteggere il computer da intrusioni di questo tipo. Se è stato selezionata l'impostazione Blocca gli intrusi automaticamente nella finestra di dialogo Opzioni di McAfee Desktop Firewall, Desktop Firewall blocca gli attacchi sospetti non appena li rileva. Se questa opzione non viene selezionata, Desktop Firewall continua a permettere il traffico di rete finché l'utente non seleziona Blocca o Non bloccare nella finestra di dialogo Avviso rilevamento intrusione. Se si fa clic su Blocca, Desktop Firewall aggiunge l'indirizzo IP dal quale ha avuto origine l'aggressione all'elenco degli indirizzi bloccati, nella scheda Criteri intruso. Le opzioni nella finestra di dialogo Avviso rilevamento intrusione consentono all'utente di specificare per quanto tempo l'indirizzo deve rimanere nell'elenco. Oltre a consentire o bloccare l'attacco sospetto, è possibile fare clic su Traccia origine per ottenere informazioni sull'aggressore. Se la ricerca ha esito positivo, è possibile ottenere l'indirizzo MAC (un identificativo hardware unico), il banner del server telenet, la versione del server HTTP, il banner del server FTP e il banner del server SMTP dell'aggressore. Finestra di dialogo Avviso spoof IP rilevato Se si abilita la funzione IDS, questo avviso viene visualizzato automaticamente quando Desktop Firewall individua che un'applicazione sul computer sta inviando del traffico di rete con spoof in uscita. Questo significa che l'applicazione sta tentando di fare apparire il traffico in uscita dal computer come se si trattasse di traffico inviato da un computer diverso. Per ottenere questo risultato, l'applicazione modifica l'indirizzo IP nei pacchetti in uscita. NOTA Lo spoof è sempre un'attività sospetta. Se viene visualizzata questa finestra di dialogo, individuare immediatamente l'applicazione che ha inviato il traffico spoof. La finestra di dialogo Avviso spoof IP rilevato è molto simile all'avviso della Modalità di apprendimento della funzione del firewall. Visualizza informazioni relative al traffico intercettato, in due schede: Informazioni applicazione e Informazioni connessione. Guida al prodotto 55 Guida introduttiva a Desktop Firewall La scheda Informazioni applicazione visualizza: Il falso indirizzo IP da cui proverrebbe il traffico. Le informazioni sul programma che ha generato il traffico con spoof. La data e l'ora in cui Desktop Firewall ha intercettato il traffico. La scheda Informazioni connessione contiene ulteriori informazioni sulla rete. In particolare, Indirizzo locale visualizza l'indirizzo IP che l'applicazione finge di avere, mentre Indirizzo remoto mostra l'indirizzo IP effettivo. Figura 2-8. Finestra di dialogo Avviso spoof IP rilevato della funzione IDS Quando Desktop Firewall individua del traffico di rete con spoof, tenta di bloccarlo insieme con l'applicazione che lo ha generato. A questo scopo, aggiunge una nuova regola alla fine dell'elenco delle regole del firewall. Questa regola Blocca intruso spoofing blocca specificamente tutto il traffico creato dall'applicazione sospetta, a meno che un’altra regola nell’elenco non avrà la precedenza. 56 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di Desktop Firewall Scheda Registro delle attività La scheda Registro delle attività consente di configurare la funzione di registrazione e tiene traccia delle azioni di Desktop Firewall. Mediante questa scheda è possibile: Attivare o disattivare la registrazione del firewall, utilizzando le caselle di controllo Registrazione traffico. Visualizzare i dati del registro in corso, utilizzando l'area di visualizzazione del registro. Esportare i dati di pacchetto (indicati da un’icona Dati intrusione) associati a uno specifico evento IDS, facendo clic con il pulsante destro del mouse sulla voce di registro. Applicare i filtri ai dati registrati, per visualizzare solo le informazioni desiderate (mediante le caselle di controllo Opzioni filtro). Esportare in un file i dati della registrazione, utilizzando il pulsante Salva. Eliminare tutte le voci della registrazione, utilizzando il pulsante Cancella. NOTA È possibile attivare e disattivare la registrazione per la funzione firewall ma non per le funzioni IDS o di monitoraggio delle applicazioni. Desktop Firewall registra sempre le informazioni relative a queste funzioni, tuttavia è possibile nascondere tali eventi mediante l’applicazione di filtri. Figura 2-9. Scheda Registro delle attività Guida al prodotto 57 Guida introduttiva a Desktop Firewall L'area di visualizzazione del registro mostra le voci registrate che si è deciso di rendere visibili. È possibile che non siano visualizzate tutte le voci della registrazione se ai dati sono stati applicati dei filtri (utilizzando le caselle di controllo data Opzioni filtro). Ogni voce della registrazione rappresenta una singola azione di Desktop Firewall. Le informazioni riportate in ogni colonna forniscono maggiori dettagli sulle singole azioni. Colonna Contenuto Ora La data e l'ora dell'azione di Desktop Firewall. Evento La funzione che ha eseguito l'azione. Traffico indica un'azione del firewall. Applicazione indica l'azione di monitoraggio di un'applicazione. Intrusione indica un'azione IDS. Indirizzo L'indirizzo remoto al quale o dal quale è stata inviata la comunicazione. Dati intrusione Un'icona che indica che Desktop Firewall ha salvato i dati del pacchetto associati a questo attacco. Questa icona viene visualizzata solo per le voci della registrazione IDS. mostra che i dati del pacchetto associati a questa voce di registrazione possono essere esportati. Per salvare i dati in un file Sniffer, fare clic sulla voce di registro con il pulsante destro del mouse. Applicazione Il programma che ha causato l'azione. Messaggio Una descrizione dell'azione, con quanti più dettagli è possibile. Attivazione e disattivazione Desktop Firewall Desktop Firewall può essere attivato e disattivato utilizzando il menu Operazione nella console principale di Desktop Firewall oppure mediante il menu di scelta rapida dell'icona nella barra delle applicazioni. In entrambi i casi, selezionare Attiva McAfee Desktop Firewall per avviare il software o Disattiva McAfee Desktop Firewall per chiuderlo. 58 Software McAfee Desktop FirewallTM versione 8.0 Scelta delle funzioni da eseguire Quando è attivato, Desktop Firewall è sempre abilitato in background. Le sue funzioni possono essere attivate e disattivate singolarmente. Ad esempio, è possibile disattivare la funzione IDS, ma lasciare attiva la funzione firewall. Se, però, Desktop Firewall viene disattivato, sono disattivate anche tutte le sue funzioni, incluso il firewall, il monitoraggio delle applicazioni, il rilevamento delle intrusioni e la registrazione. Quando è disattivato, Desktop Firewall non protegge le comunicazioni di rete. NOTA Quando si riavvia il computer, Desktop Firewall riassume lo stato precedente: questo significa che se prima del riavvio era stato disattivato, Desktop Firewall sarà ancora disattivo anche dopo il riavvio. Scelta delle funzioni da eseguire Le singole funzioni di Desktop Firewall possono essere attivate e disattivate, in base alle necessità, anche con Desktop Firewall in esecuzione. Tra le scelte disponibili sono incluse le seguenti: Il firewall, che ispeziona il traffico di rete in ingresso e in uscita e lo blocca o lo autorizza, in base alle regole configurate dall'utente. Il sistema di monitoraggio delle applicazioni che tiene sotto controllo le applicazioni in uso e impedisce l'avvio di quelle indicate dall'utente oppure impedisce che si associno ad altri programmi. Il sistema di rilevamento intrusioni (IDS) che analizza il traffico in ingresso nel computer e identifica gli eventuali attacchi al sistema. La registrazione che consente di conservare la cronologia delle azioni di Desktop Firewall per rivederle in seguito. Attivazione e disattivazione di tutte le funzioni del prodotto Per attivare o disattivare simultaneamente tutte le funzioni di Desktop Firewall è necessario attivare o disattivare il software, utilizzando il menu Operazione nella console principale di Desktop Firewall oppure mediante il menu di scelta rapida dell'icona nella barra delle applicazioni. In entrambi i casi, selezionare Attiva McAfee Desktop Firewall per avviare il software o Disattiva McAfee Desktop Firewall per chiuderlo. Guida al prodotto 59 Guida introduttiva a Desktop Firewall Attivazione e disattivazione delle funzioni del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare il firewall, selezionare la casella di controllo Abilita Firewall. Per disattivare il firewall, deselezionare la casella di controllo. NOTA L'attivazione o disattivazione del firewall non attiva o disattiva il rilevamento delle intrusioni, il monitoraggio delle applicazioni né le funzioni di registrazione. Attivazione e disattivazione della funzione di monitoraggio delle applicazioni Desktop Firewall supporta due tipi di monitoraggio delle applicazioni. È possibile monitorare il tentativo di esecuzione delle applicazioni (creazione applicazioni) o il tentativo da parte di applicazioni di collegarsi ad altri programmi (hook applicazioni). NOTA L'attivazione o disattivazione del monitoraggio delle applicazioni non attiva o disattiva il firewall, il rilevamento delle intrusioni né le funzioni di registrazione. Per attivare e disattivare il monitoraggio di creazione applicazioni 1 In Desktop Firewall, fare clic sulla scheda Criteri applicazione per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare il monitoraggio delle applicazioni, selezionare la casella di controllo Attiva il monitoraggio della creazione delle applicazioni. Per disattivare il monitoraggio delle applicazioni, deselezionare la casella di controllo Attiva il monitoraggio della creazione delle applicazioni. 60 Software McAfee Desktop FirewallTM versione 8.0 Scelta delle funzioni da eseguire Per attivare e disattivare il monitoraggio dell'hook delle applicazioni 1 In Desktop Firewall, fare clic sulla scheda Criteri applicazione per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare il monitoraggio dell'hook delle applicazioni, selezionare la casella di controllo Attiva il monitoraggio dell'hook delle applicazioni. Per disattivare il monitoraggio dell'hook delle applicazioni, deselezionare la casella di controllo Attiva il monitoraggio dell'hook delle applicazioni. Attivazione e disattivazione della funzione IDS 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall L'area Opzioni di rilevamento intrusioni controlla la funzione IDS. 3 Utilizzare uno di metodi riportati di seguito: Per attivare il rilevamento intrusioni, selezionare la casella di controllo Attiva rilevamento intrusioni. Per disattivare il rilevamento intrusioni, deselezionare la casella di controllo Attiva rilevamento intrusioni. NOTA L'attivazione o disattivazione della funzione IDS non attiva o disattiva il firewall, il monitoraggio delle applicazioni né le funzioni di registrazione. Attivazione e disattivazione della funzione di registrazione Desktop Firewall consente di registrare informazioni su quanto segue: Azioni che il software ha consentito. Azioni che il software ha bloccato. È possibile attivare e disattivare la registrazione per la funzione firewall ma non per le funzioni IDS o di monitoraggio delle applicazioni. Desktop Firewall registra sempre le informazioni relative a tali funzioni, i cui eventi, tuttavia, possono essere nascosti mediante l’applicazione di filtri. Per la funzione firewall, è possibile scegliere di registrare solo gli eventi abilitati, solo quelli bloccati, entrambi o nessuno. Guida al prodotto 61 Guida introduttiva a Desktop Firewall Per attivare e disattivare la registrazione del firewall 1 In Desktop Firewall, fare clic sulla scheda Registro delle attività per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per registrare le informazioni su tutte le azioni firewall consentite, selezionare la casella di controllo Registra tutti gli elementi consentiti. Per disabilitare la registrazione delle azioni firewall consentite, deselezionare la casella di controllo. 3 Utilizzare uno di metodi riportati di seguito: Per registrare le informazioni su tutte le azioni firewall bloccate, selezionare la casella di controllo Registra tutti gli elementi bloccati. Per disabilitare la registrazione delle azioni firewall bloccate, deselezionare la casella di controllo. 62 Software McAfee Desktop FirewallTM versione 8.0 3 Configurazione del firewall La presente sezione introduce la funzione firewall di Desktop Firewall, descrivendo il modo in cui viene filtrato il traffico di rete in base alla regole impostate dall'utente. Sono inclusi i seguenti argomenti: Informazioni sulla funzione firewall. Configurazione della funzione firewall. Risposta agli avvisi nella Modalità di apprendimento del firewall. Gestione delle regole del firewall. Informazioni sulla funzione firewall Desktop Firewall include una funzione firewall che protegge il computer, filtrando tutto il traffico di rete in ingresso e in uscita. È possibile consentire il passaggio del traffico autorizzato attraverso il firewall e bloccare tutto il resto. Il firewall viene configurato impostando le regole nella scheda Criteri Firewall. Per ulteriori informazioni, consultare Precedenza e regole del firewall a pagina 64. Il software integra diversi gruppi predefiniti di regole del firewall. Questi gruppi di regole sono chiamati livelli di protezione. I livelli di protezione variano in base alle esigenze di sicurezza. Per ulteriori informazioni, consultare Livelli di protezione e archivi dei criteri a pagina 65. È possibile utilizzare la Modalità di apprendimento per creare dei nuovi gruppi di regole del firewall personalizzati. In Modalità di apprendimento, Desktop Firewall richiede l'intervento dell'utente ogni volta che rileva del traffico di rete sconosciuto. Una volta che l'utente ha selezionato un'azione, il software crea automaticamente una nuova regola del firewall per coprire quel tipo di traffico. Per ulteriori informazioni, consultare Avvisi nella Modalità di apprendimento del firewall a pagina 68. La gestione delle regole è agevolata anche dal gruppo Reti attendibili. Tale gruppo contiene un elenco delle subnet e degli indirizzi attendibili, con cui si ritiene che le comunicazioni siano sicure. Se tali utenti vengono trattati come un gruppo, è possibile creare delle regole valide specificamente per esse. Per ulteriori informazioni, consultare Finestra di dialogo Reti attendibili a pagina 46 e Reti attendibili a pagina 68. Guida al prodotto 63 Configurazione del firewall Precedenza e regole del firewall La funzione firewall utilizza le regole per determinare come agire ogni volta che viene intercettato del traffico. Una regola rappresenta un gruppo di condizioni che il traffico deve soddisfare. Ad ogni regola è, inoltre, associata un'azione che abilita il traffico o lo blocca. Quando Desktop Firewall rileva del traffico che soddisfa le condizioni di una regola, esegue l'azione specificata. Le regole possono essere create e gestite utilizzando la scheda Criteri Firewall nella console principale di Desktop Firewall. Questa scheda contiene l'elenco regole firewall che visualizza tutte le regole correntemente disponibili per Desktop Firewall. Quando applica le regole di questo elenco, il software utilizza la precedenza. La precedenza controlla quali sono le regole che vengono applicate prima. Quando Desktop Firewall intercetta del traffico di rete, applica sempre per prima la regola in cima all'elenco delle regole. Se il traffico soddisfa le condizioni di questa regola, Desktop Firewall lo autorizza o lo blocca, senza tentare di applicare alcuna altra regola dell'elenco. Se, però, il traffico non soddisfa le condizioni della prima regola Desktop Firewall passa alla successiva regola in elenco. Controlla in questo modo tutte le regole dell'elenco regole firewall fino a trovarne una compatibile con il traffico. Se il traffico non soddisfa nessuna regola, il firewall lo blocca automaticamente, a meno che non sia attiva la Modalità di apprendimento (e in questo caso richiede l'intervento dell'utente). A volte il traffico intercettato soddisfa più di una regola dell'elenco regole firewall. In questo caso la precedenza significa che Desktop Firewall applica solo la prima regola che trova (quella che nell'elenco ha maggiore priorità). Poiché, a quel punto, interrompe l'elaborazione dell'elenco, il firewall non vede la seconda regola applicabile. Ordinamento dell'elenco delle regole del firewall Quando si crea o si personalizza l'elenco regole firewall, le regole più specifiche vanno collocate all'inizio dell'elenco e quelle più generiche alla fine. In questo modo ci si assicura che Desktop Firewall filtri il traffico nel modo desiderato, senza ignorare delle regole in base alle eccezioni contenute in regole di tipo più generico. Ad esempio, per bloccare tutte le richieste HTTP tranne quelle provenienti dall'indirizzo 10.10.10.1, sarebbe necessario creare due regole: Regola "Abilita": autorizza il traffico HTTP dall'indirizzo IP 10.10.10.1, (si tratta della regola più specifica). Regola "Blocca": blocca tutto il traffico che usa il servizio HTTP, (questa regola è più generica). 64 Software McAfee Desktop FirewallTM versione 8.0 Informazioni sulla funzione firewall La Regola "Abilita", più specifica, deve essere collocata più in alto nell'elenco regole firewall rispetto alla Regola "Blocca", più generica. In questo modo ci si garantisce che, quando il firewall intercetta una richiesta HTTP dall'indirizzo 10.10.10.1, la prima regola corrispondente che trova sia quella che consente il traffico oltre il firewall. Se la Regola "Blocca", più generica precede la Regola "Abilita", più specifica, Desktop Firewall associerebbe la richiesta HTTP da 10.10.10.1 con la Regola "Blocca" prima di trovare l'eccezione. In questo modo bloccherebbe il traffico anche se l'utente in realtà desiderava autorizzare le richieste HTTP da quell'indirizzo. NOTA Desktop Firewall gestisce diversamente la precedenza nel caso delle regole basate su dominio. Se l'elenco regole firewall contiene delle regole di dominio, il software le applica per prime. Livelli di protezione e archivi dei criteri Il Software Desktop Firewall integra diversi gruppi predefiniti di regole del firewall. Questi gruppi di regole sono chiamati livelli di protezione. I livelli di protezione offrono una copertura più o meno estesa che varia in base alle esigenze di sicurezza. Un livello di protezione può essere utilizzato così com'è oppure come base per creare un elenco di regole personalizzato. Desktop Firewall consente anche di creare degli archivi dei criteri. Un archivio dei criteri è una raccolta personalizzata di impostazioni per la registrazione, l'IDS, il monitoraggio delle applicazioni e il firewall. NOTA Gli archivi dei criteri possono essere configurati e gestiti mediante la scheda Criteri Firewall, ma costituiscono sono una funzione esclusiva del firewall. Gli archivi dei criteri includono le impostazioni per tutte le funzioni di Desktop Firewall, non solo per il firewall. Per selezionare i livelli di protezione e gli archivi dei criteri, utilizzare l'elenco Livello di protezione nella scheda Criteri Firewall. Guida al prodotto 65 Configurazione del firewall Livelli di protezione predefiniti del software In Desktop Firewall sono disponibili diversi livelli di protezione: Minimi Starter apprendimento Client medio Client elevato Server medio Server elevato I livelli di protezione da utilizzare possono essere selezionati dall'elenco Livello di protezione nella scheda Criteri Firewall. Se poi si aggiungono, modificano o cancellano delle regole, Desktop Firewall modifica il nome visualizzato in Personalizzato per indicare che il livello di protezione è stato modificato. Livello di protezione Starter apprendimento Utilizzare il livello di protezione Starter apprendimento se s'intende utilizzare la Modalità di apprendimento di Desktop Firewall per creare un elenco di regole personalizzate per il proprio ambiente. Questo livello di protezione: Blocca tutto il traffico ICMP in entrata che un aggressore potrebbe utilizzare per raccogliere informazioni sul computer dell'utente. Desktop Firewall consente tutto il restante traffico ICMP. Autorizza l'ingresso e l'uscita del traffico UDP correlato a DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System), NTP (Network Time Protocol) e ai servizi di autenticazione. Livello di protezione Minimi Utilizzare il livello di protezione Minimi per fornire una protezione di base contro gli attacchi comuni. Questo livello di protezione: 66 Blocca tutto il traffico ICMP in entrata che un aggressore potrebbe utilizzare per raccogliere informazioni sul computer dell'utente. Desktop Firewall consente tutto il restante traffico ICMP. Autorizza le richieste di condivisione file di Windows provenienti da un computer che appartiene alla stessa subnet dell'utente, ma blocca quelle provenienti da altre sorgenti. Consente di navigare nei computer, gruppi di lavoro o i domini di Windows. Autorizza tutto il traffico UDP elevato in ingresso e in uscita. Autorizza il traffico che utilizza le porte UDP Net Time, DNS e BOOTP. Software McAfee Desktop FirewallTM versione 8.0 Informazioni sulla funzione firewall Livello di protezione Client medio Utilizzare il livello di protezione Client medio per fornire una maggiore protezione rispetto a quella offerta dal livello Minimi. Questo livello di protezione: Autorizza solo il traffico ICMP necessario per la rete IP (incluso ping in uscita, traceroute e messaggi ICMP in entrata). Desktop Firewall blocca tutto il restante traffico ICMP. Autorizza il traffico UDP necessario per accedere alle informazioni IP (ad esempio il proprio indirizzo IP oppure il tempo di rete). Con questo livello di protezione Desktop Firewall consente anche il traffico sulle porte UDP elevate (1024 o superiori). Autorizza la condivisione dei file Windows, ma solo per la subnet locale. Non è possibile navigare all'esterno della subnet locale e Desktop Firewall impedisce a qualsiasi utente esterno l'accesso ai file presenti sul computer. Livello di protezione Client elevato Utilizzare il livello di protezione Client elevato se è in corso un'aggressione o c'è un forte rischio che avvenga. Questo livello di protezione autorizza l'entrata e l'uscita di un traffico minimo sul sistema. In particolare, questo livello: Autorizza solo il traffico ICMP necessario per il funzionamento corretto della rete. Desktop Firewall blocca i ping in entrata e in uscita. Autorizza solo il traffico UDP necessario per accedere alle informazioni IP (ad esempio il proprio indirizzo IP o l'orario di rete). Blocca la condivisione dei file Windows. Livello di protezione Server medio Utilizzare il livello di protezione Server medio se si utilizza un server di rete. Questo livello di protezione: Autorizza il traffico ICMP che agevola le comunicazioni tra il server e i suoi client. Desktop Firewall blocca tutto l'altro traffico ICMP. Autorizza solo il traffico UDP necessario per accedere alle informazioni IP. Desktop Firewall consente anche il traffico sulle porte UDP elevate (1024 o superiori). Guida al prodotto 67 Configurazione del firewall Livello di protezione Server elevato Utilizzare il livello di protezione Server elevato se si utilizza un server collegato direttamente a Internet, ovvero se il rischio di un'aggressione è molto alto. McAfee Security suggerisce di utilizzare questo livello di protezione come base per creare un gruppo di regole personalizzate. In questo modo è possibile personalizzare la sicurezza offerta dal firewall e soddisfare i requisiti del server in uso. Il firewall può essere configurato in modo da autorizzare solo i servizi supportati dal server e ridurre così il numero di porte aperte. Come impostazione predefinita, questo livello di protezione: Autorizza il traffico ICMP specifico, cioè quello che agevola le comunicazioni tra il server e i suoi client. Desktop Firewall blocca il restante traffico ICMP. Autorizza solo il traffico UDP necessario per accedere alle informazioni IP. Desktop Firewall blocca tutto il restante traffico UDP. Avvisi nella Modalità di apprendimento del firewall Quando si abilita la funzione firewall, Desktop Firewall controlla costantemente il traffico di rete inviato e ricevuto dal computer. Autorizza o blocca il traffico in base alle regole configurate nella scheda Criteri Firewall. Se intercetta del traffico che non corrisponde a nessuna regola esistente, il software lo blocca automaticamente, a meno che non sia abilitata la Modalità di apprendimento del firewall. La Modalità di apprendimento può essere abilitata solo per le comunicazioni in entrata, solo per le comunicazioni in uscita o per entrambe. In Modalità di apprendimento, Desktop Firewall visualizza un avviso Modalità di apprendimento quando intercetta del traffico di rete sconosciuto. Questa finestra di dialogo di avviso richiede un'azione: è possibile autorizzare o bloccare il traffico. Il firewall crea una nuova regola in base all'azione selezionata. Per ulteriori informazioni, consultare Risposta agli avvisi nella Modalità di apprendimento del firewall a pagina 75. Reti attendibili Se il computer fa parte di una rete aziendale, oppure se le risorse del computer vengono solitamente condivise con altri utenti, questi ultimi possono essere riuniti in uno stesso gruppo. In questo modo diventa possibile creare delle regole del firewall specifiche per il gruppo. Desktop Firewall consente di creare un gruppo di reti attendibili. Le reti attendibili possono includere delle subnet, dei singoli indirizzi IP o delle serie di indirizzi. Il gruppo di reti attendibili può essere impostato e configurato utilizzando la finestra di dialogo Reti attendibili. Fare clic sul pulsante Attendibile nella scheda Criteri Firewall per aprire questa finestra di dialogo. 68 Software McAfee Desktop FirewallTM versione 8.0 Configurazione della funzione firewall Se il computer fa parte di una rete aziendale e si desidera trattare gli altri membri della subnet come reti affidabili, non è necessario aggiungerli manualmente all'elenco delle reti attendibili. Si può, invece, selezionare l'opzione Includere la subnet locale automaticamente nella finestra di dialogo Reti attendibili. Configurazione della funzione firewall La scheda Criteri Firewall consente di configurare la funzione firewall. Mediante questa scheda è possibile: Attivare o disattivare il firewall. Attivare o disattivare la Modalità di apprendimento per il traffico in entrata e/o in uscita del firewall. Gestire i livelli di protezione e gli archivi dei criteri. Gestire il gruppo di reti attendibili. Attivazione e disattivazione delle funzioni del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare il firewall, selezionare la casella di controllo Abilita Firewall. Per disattivare il firewall, deselezionare la casella di controllo. Attivazione e disattivazione delle funzioni del firewall Desktop Firewall supporta due tipi di Modalità di apprendimento del firewall: La Modalità di apprendimento per gli elementi in entrata controlla solo che riceve il computer. La Modalità di apprendimento per gli elementi in uscita controlla solo il traffico inviato dal computer. Guida al prodotto 69 Configurazione del firewall Per abilitare e disabilitare la Modalità di apprendimento per il traffico in entrata 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Utilizzare uno di metodi riportati di seguito: Per attivare gli avvisi della Modalità di apprendimento per gli elementi in entrata, selezionare la casella di controllo Traffico in entrata abilitato. Per disattivare gli avvisi della Modalità di apprendimento per gli elementi in entrata, deselezionare la casella di controllo. Per abilitare e disabilitare la Modalità di apprendimento per il traffico in uscita 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Utilizzare uno di metodi riportati di seguito: Per attivare gli avvisi della Modalità di apprendimento per gli elementi in uscita, selezionare la casella di controllo Traffico in uscita abilitato. Per disattivare gli avvisi della Modalità di apprendimento per gli elementi in uscita, deselezionare la casella di controllo. Utilizzo dei livelli di protezione e degli archivi dei criteri Utilizzare l'elenco Livello di protezione della scheda Criteri Firewall per scegliere un livello di protezione o un archivio dei criteri: Un livello di protezione è un gruppo predefinito di regole del firewall. I livelli di protezione non possono essere creati né cancellati. Un archivio dei criteri è una raccolta di impostazioni per la registrazione, l'IDS, il monitoraggio delle applicazioni e il firewall. Gli archivi dei criteri possono essere creati, modificati e cancellati. Utilizzo di un livello di protezione 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Selezionare il livello di protezione desiderato nell'elenco Livello di protezione: Minimi Client medio Client elevato 70 Software McAfee Desktop FirewallTM versione 8.0 Configurazione della funzione firewall Server medio Server elevato Starter apprendimento Desktop Firewall sostituisce le impostazioni del firewall con quelle del livello di protezione. Per ulteriori informazioni vedere Livelli di protezione predefiniti del software a pagina 66. Utilizzo di un archivio dei criteri 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Selezionare l'archivio dei criteri desiderato nell'elenco Livello di protezione. Desktop Firewall richiede di confermare l'utilizzo dell'archivio dei criteri prescelto. 3 Fare clic su Sì. Desktop Firewall sostituisce tutte le impostazioni per la registrazione, l'IDS, il monitoraggio delle applicazioni e il firewall con quelle dell'archivio dei criteri. Creazione di un archivio dei criteri Gli archivi dei criteri possono essere creati in due modi: Configurare tutte le impostazioni di Desktop Firewall e poi esportarle come archivio dei criteri. Utilizzare la finestra di dialogo Modifica archivio dei criteri per importare come archivio dei criteri un file dei criteri esistente (.PFR). Creazione di un archivio dei criteri con la funzione Criteri di esportazione 1 Configurare le funzioni di registrazione, IDS, monitoraggio delle applicazioni e firewall in Desktop Firewall. L'archivio dei criteri includerà tutte queste impostazioni. 2 Selezionare il menu Operazione e poi Criteri di esportazione. 3 Andare alla cartella in cui memorizzare l'archivio dei criteri. 4 Specificare nel campo Nome file un nome per il file dei criteri. Saltare questo passaggio se si desidera utilizzare il nome file predefinito (MDFPOLICY.PFR). 5 Fare clic sul pulsante Salva. Desktop Firewall richiede se si desidera utilizzare questo file dei criteri come archivio dei criteri. Guida al prodotto 71 Configurazione del firewall 6 Fare clic su Sì. Desktop Firewall apre la finestra di dialogo Modifica proprietà archivio dei criteri. 7 Specificare nel campo Descrizione un nome per l'archivio dei criteri. Il nome viene visualizzato nell'elenco Livello di protezione della scheda Criteri Firewall. 8 Scegliere OK. Desktop Firewall crea l'archivio dei criteri e lo aggiunge all'elenco Livello di protezione. Creazione di un archivio dei criteri con la finestra di dialogo Modifica archivio dei criteri NOTA Per creare un archivio dei criteri con questa procedura, è necessario disporre di un file dei criteri (.PFR) di Desktop Firewall presistente. 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Dall'elenco Livello di protezione, selezionare Modifica archivio dei criteri. Desktop Firewall apre la finestra di dialogo Modifica archivio dei criteri. 3 Fare clic su Aggiungi. 4 Specificare nel campo Descrizione un nome per l'archivio dei criteri. Il nome viene visualizzato nell'elenco Livello di protezione della scheda Criteri Firewall. 5 Fare clic su Sfoglia e individuare il file dei criteri da utilizzare come archivio dei criteri. 6 Selezionare il nome file e poi fare clic su Apri. 7 Scegliere OK. Desktop Firewall aggiunge il nuovo archivio dei criteri all'elenco Archivi dei criteri nella finestra di dialogo Modifica archivio dei criteri. 8 Fare clic su OK per ritornare alla pagina Criteri Firewall. Ora è possibile accedere al nuovo archivio dei criteri dall'elenco Livello di protezione di questa scheda. 72 Software McAfee Desktop FirewallTM versione 8.0 Configurazione della funzione firewall Modifica di un archivio di criteri 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Dall'elenco Livello di protezione, selezionare Modifica archivio dei criteri. Desktop Firewall apre la finestra di dialogo Modifica archivio dei criteri. 3 Selezionare l'archivio dei criteri da modificare, poi fare clic su Proprietà. 4 Modificare la descrizione dell'archivio oppure fare clic su Sfoglia per selezionare un nuovo file di archivio dei criteri (.PFR). 5 Fare clic su OK per salvare le modifiche. 6 Fare clic su OK per chiudere la finestra di dialogo Modifica archivio dei criteri. Eliminazione di un archivio dei criteri 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Dall'elenco Livello di protezione, selezionare Modifica archivio dei criteri. Desktop Firewall apre la finestra di dialogo Modifica archivio dei criteri. 3 Selezionare l'archivio dei criteri da eliminare e poi fare clic su Rimuovi. 4 Fare clic su Sì per eliminare l'archivio. 5 Fare clic su OK per salvare le modifiche e chiudere la finestra di dialogo Modifica archivio dei criteri. Desktop Firewall rimuove l'archivio dei criteri dall'elenco Livello di protezione, ma non cancella il file dei criteri (.PFR) sorgente. Configurazione delle reti attendibili Desktop Firewall gestisce un elenco di indirizzi e subnet affidabili, trattando i relativi utenti come gruppo in modo da consentire la creazione di regole di firewall specifiche. L'elenco di subnet e indirizzi attendibili può essere gestito tramite la finestra di dialogo Reti attendibili. Per aprire questa finestra di dialogo, fare clic su Attendibile nella scheda Criteri Firewall. La finestra di dialogo Reti attendibili consente di: Configurare le opzioni per le reti attendibili (ovvero determinare se Desktop Firewall deve considerare come affidabili gli altri computer della subnet locale). Aggiungere indirizzi o subnet all'elenco degli utenti attendibili. Cancellare indirizzi o subnet che non sono più ritenuti affidabili. Guida al prodotto 73 Configurazione del firewall Impostazione delle opzioni per le reti attendibili 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Fare clic su Attendibile. Viene visualizzata la finestra di dialogo Reti attendibili. 3 4 Nell'area Opzioni, scegliere una delle seguenti opzioni: Opzione Funzione Non includere la subnet locale automaticamente Con questa opzione Desktop Firewall tratta gli utenti della subnet come inattendibili, a meno che non vengano aggiunti all'elenco Reti attendibili. Includere la subnet locale automaticamente Con questa opzione Desktop Firewall tratta gli utenti della subnet come attendibili, anche se non sono stati aggiunti all'elenco Reti attendibili. Scegliere OK. Aggiunta di una voce all'elenco Reti attendibili 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Fare clic su Attendibile. Viene visualizzata la finestra di dialogo Reti attendibili. 3 Fare clic su Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi rete attendibile. 4 Nell'area Tipo, selezionare Indirizzo IP, Intervallo indirizzo IP o Subnet per indicare quale di questi elementi si desidera aggiungere. 5 Completare i campi risultanti per definire l'indirizzo, l'intervallo o la subnet che Desktop Firewall deve considerare attendibili. 6 Scegliere OK. Desktop Firewall aggiunge una nuova voce all'elenco delle Reti attendibili. 7 74 Scegliere OK. Software McAfee Desktop FirewallTM versione 8.0 Risposta agli avvisi nella Modalità di apprendimento del firewall Rimozione di una voce dall'elenco Reti attendibili 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Fare clic su Attendibile. Viene visualizzata la finestra di dialogo Reti attendibili. 3 Nell'elenco Reti attendibili, selezionare l'indirizzo, l'intervallo o la subnet da eliminare. 4 Fare clic su Rimuovi. Desktop Firewall richiede di confermare l'eliminazione della voce dall'elenco. 5 Fare clic su Sì. La voce selezionata viene rimossa dall'elenco. 6 Fare clic su OK. Risposta agli avvisi nella Modalità di apprendimento del firewall Se è stata attivata la Modalità di apprendimento del firewall per il traffico in entrata o in uscita, Desktop Firewall visualizza un avviso di Modalità di apprendimento ogni volta che intercetta del traffico di rete sconosciuto. Questa finestra di dialogo di avviso può essere utilizzata per autorizzare o bloccare il traffico. Desktop Firewall crea una nuova regola del firewall in base alla scelta operata. Guida al prodotto 75 Configurazione del firewall Per rispondere a un avviso della Modalità di apprendimento del firewall 1 Se necessario, fare clic sulla scheda Informazioni connessione e configurare la nuova regola per il firewall: Opzione Funzione Crea una regola applicazione firewall per tutte le porte e i protocolli Selezionare questa opzione in modo che la nuova regola autorizzi o blocchi il traffico dell’applicazione che utilizza qualsiasi porta o servizio. Se non si seleziona questa opzione, la nuova regola del firewall autorizza o blocca porte specifiche. Rimuovi questa regola quando l'applicazione viene chiusa 2 Se il traffico intercettato utilizza una porta inferiore a 1024, la nuova regola autorizza o blocca solo quella porta specifica. Se il traffico utilizza la porta 1024 o una superiore, la nuova regola autorizza o blocca la serie di porte comprese tra 1024 e 65535. Selezionare questa opzione in modo che la nuova regola sia solo temporanea, ovvero Desktop Firewall la elimina quando si esce dall'applicazione che: Ha creato questo traffico di rete, nel caso delle comunicazioni in uscita. Gestisce questo traffico di rete, nel caso delle comunicazioni in entrata. Nella scheda Informazioni applicazione, eseguire una delle operazioni successive: Se Procedere così Si desidera bloccare questo traffico (e tutto il traffico analogo) Fare clic su Nega. Si desidera autorizzare questo traffico (e tutto il traffico analogo) a superare il firewall Fare clic su Abilita. Desktop Firewall crea una nuova regola del firewall in base alla scelta fatta dall'utente e la aggiunge all'elenco regole firewall nella scheda Criteri Firewall. In futuro il software autorizzerà o bloccherà automaticamente tutto il traffico dello stesso tipo. 76 Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole del firewall Gestione delle regole del firewall Le regole determinano il modo in cui la funzione firewall deve trattare il traffico di rete in entrata e in uscita. Le regole vengono create e gestite utilizzando l'elenco regole firewall della scheda Criteri Firewall. L'elenco criteri firewall e la scheda Criteri Firewall consentono di effettuare quanto segue: Creare nuove regole e nuovi gruppi di regole del firewall, utilizzando il pulsante Aggiungi. Modificare e disattivare le regole del firewall esistenti, utilizzando il pulsante Proprietà. Eliminare le regole del firewall, utilizzando il pulsante Rimuovi. Copiare le regole del firewall, utilizzando il pulsante Duplica. È anche possibile salvare le regole del firewall (assieme alle impostazioni di registrazione, IDS e monitoraggio applicazioni), esportandole in un file dei criteri. Altrimenti è possibile sostituire le impostazioni e le regole correnti di Desktop Firewall, importando un file dei criteri. Creazione di una nuova regola del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Fare clic su Aggiungi, quindi selezionare Nuova regola. Viene visualizzata la finestra di dialogo Regola Firewall. 3 Nel campo Descrizione, immettere una breve descrizione per riassumere lo scopo di questa regola. 4 Nell'elenco Azione, selezionare una delle opzioni successive: Autorizza, se si desidera che questa regola deve consentire il passaggio del traffico oltre il firewall. Blocca, se si desidera che questa regola deve impedire il passaggio del traffico oltre il firewall. 5 Utilizzando gli elenchi Protocollo, selezionare il protocollo di rete al quale si desidera applicare questa regola: Selezionare IP per applicare la regola ai protocolli IP. Selezionare un protocollo IP dall’elenco oppure selezionare Altri protocolli IP per il monitoraggio di tutti i protocolli. Selezionare Non IP per applicare la regola ad altri protocolli, ad esempio IPX. Guida al prodotto 77 Configurazione del firewall 6 Utilizzare l'elenco Direzione per specificare se, quando applica questa regola, Desktop Firewall deve controllare il traffico in entrata, il traffico in uscita o entrambi. 7 Se necessario, specificare altri criteri che il firewall deve considerare: Opzione Funzione Applicazione Applica la regola al traffico generato da un'applicazione specifica. Selezionare un'applicazione dell'elenco oppure fare clic su Sfoglia e selezionare il file del programma. Assistenza locale Applica la regola al traffico che usa una porta o un servizio specifici del computer in uso. In base alle impostazioni predefinite, le regole si applicano a tutte le porte e a tutti i servizi. Utilizzare l'elenco Assistenza locale per selezionare se si desidera specificare un elenco, una serie o un servizio singolo. Poi utilizzare i campi risultanti per selezionare i servizi o le porte. Selezionare i servizi dall'elenco oppure digitare i numeri di porta correlati. 78 Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole del firewall Opzione Funzione Assistenza in remoto Applica la regola al traffico che usa una determinata porta o servizio di un altro computer. In base alle impostazioni predefinite, le regole si applicano a tutte le porte e a tutti i servizi. Utilizzare l'elenco Assistenza in remoto per selezionare se si desidera specificare un elenco, una serie o un servizio indirizzo IP. Poi utilizzare i campi risultanti per selezionare i servizi o le porte. Selezionare i servizi dall'elenco oppure digitare i numeri di porta associati. Indirizzo Applica la regola al traffico destinato o proveniente a/da un dominio, una subnet, una serie o un indirizzo IP specifici. La regola può essere applicata anche al traffico di rete attendibile. Utilizzare l'elenco Indirizzo per selezionare quello al quale applicare la regola. Poi utilizzare i campi o i pulsanti risultanti per configurare gli indirizzi, le subnet o i domini che Desktop Firewall deve monitorare. Guida al prodotto 79 Configurazione del firewall 8 Nell'area Opzioni, specificare quando deve essere attiva la regola e in che modo il firewall deve rispondere quando rileva del traffico che la soddisfa. Selezionare una delle seguenti opzioni: Opzione Funzione Tratta corrispondenza regola come intrusione Se si seleziona questa opzione Desktop Firewall tratta il traffico che soddisfa questa regola come se si trattasse di un'aggressione contro il computer. Le impostazioni dell'IDS definiscono se il software blocca il traffico e se visualizza un messaggio di avviso intrusione. Regola di restrizione per l'intervallo di tempo correntemente definito Applica la regola nei periodi di tempo specificati dall'utente. L'utente può decidere se per il resto del tempo Desktop Firewall deve disattivare la regola o invertirla (ad esempio, autorizzando il traffico che normalmente blocca). Fare clic su Ora per configurare i limiti di tempo per questa regola. 9 Registro del traffico corrispondente Ordina a Desktop Firewall di registrare nel Registro delle attività le informazioni sul traffico che soddisfa le regole. Attivo Ordina a Desktop Firewall di utilizzare questa regola. Fare clic su OK per salvare la regola e chiudere la finestra di dialogo Regola Firewall. Copia di una regola del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Nell'elenco regole firewall, selezionare la regola da copiare. 3 Fare clic su Duplica. Desktop Firewall aggiunge una copia della regola alla fine dell'elenco delle regole. 80 Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole del firewall Modifica di una regola del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Nell'elenco regole firewall, selezionare la regola da modificare. 3 Fare clic su Proprietà. Viene visualizzata la finestra di dialogo Regola Firewall. 4 Modificare le impostazioni della regola, come necessario. Per le descrizioni dei campi, vedere Creazione di una nuova regola del firewall a pagina 77. 5 Fare clic su OK per salvare le modifiche. Eliminazione di una regola del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Nell'elenco regole firewall, selezionare la regola da eliminare. 3 Fare clic su Rimuovi. 4 Fare clic su Sì per eliminare la regola. Attivazione e disattivazione di una regola del firewall 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Nell'elenco regole firewall, selezionare la regola da attivare o disattivare. 3 Fare clic su Proprietà. Viene visualizzata la finestra di dialogo Regola Firewall. 4 Nell'area Opzioni, effettuare una delle seguenti operazioni: Per attivare la regola del firewall, selezionare Attiva. Per disattivare la regola del firewall, deselezionare Attiva. 5 Fare clic su OK. Creazione di un nuovo gruppo di regole 1 In Desktop Firewall, fare clic sulla scheda Criteri Firewall. 2 Fare clic su Aggiungi, quindi selezionare Nuovo gruppo. Viene visualizzato il Gruppo regole Firewall. Guida al prodotto 81 Configurazione del firewall 3 Nel campo Descrizione, immettere una breve descrizione per indicare lo scopo di questo gruppo. 4 Fare clic su OK per aggiungere il gruppo. Esportazione di un file dei criteri NOTA Quando si esporta un file dei criteri, si salvano tutte le impostazioni correnti del firewall per la registrazione, l'IDS e il monitoraggio delle applicazioni. 1 In Desktop Firewall, selezionare il menu Operazione. 2 Selezionare Criteri di esportazione. 3 Navigare fino alla cartella in cui si desidera memorizzare il file dei criteri esportato (.PFR). 4 Specificare nel campo Nome file un nome per il file dei criteri. 5 Fare clic su Salva. Desktop Firewall chiede se si desidera creare un archivio dei criteri a partire da questo file dei criteri. 6 Eseguire una delle azioni successive: Se non si desidera creare un archivio dei criteri, fare clic su No. Desktop Firewall salva in un file dei criteri tutte le impostazioni esistenti del firewall per la registrazione, l'IDS e il monitoraggio delle applicazioni. Se si desidera creare un archivio dei criteri a partire da questo file, fare clic su Sì. Desktop Firewall crea il file dei criteri e apre la finestra di dialogo Modifica proprietà archivio dei criteri. Continuare con il passo 7. 7 Nel campo Descrizione, digitare un nome per l'archivio dei criteri. Il nome viene visualizzato nell'elenco Livello di protezione nella scheda Criteri Firewall. 8 Fare clic su OK. Desktop Firewall crea l'archivio dei criteri e lo aggiunge all'elenco Livello di protezione. 82 Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole del firewall Importazione di un file dei criteri NOTA Quando si importa un file dei criteri, si sostituiscono tutte le impostazioni correnti del firewall per la registrazione, l'IDS e il monitoraggio delle applicazioni. 1 In Desktop Firewall, selezionare il menu Operazione. 2 Selezionare Criteri di importazione. 3 Individuare il file dei criteri (.PFR) che si desidera importare. 4 Selezionare il nome file e poi fare clic su Apri. 5 Fare clic su Sì per importare il file. Desktop Firewall sostituisce le impostazioni esistenti del firewall per la registrazione, l'IDS e il monitoraggio delle applicazioni con quelle del file dei criteri importato. Guida al prodotto 83 Configurazione del firewall 84 Software McAfee Desktop FirewallTM versione 8.0 Configurazione del sistema di rilevamento delle intrusion 4 La presente sezione introduce il sistema di rilevamento delle intrusioni (IDS) di Desktop Firewall e descrive come vengono analizzate e bloccate le aggressioni contro il computer. Sono inclusi i seguenti argomenti: Configurazione della funzione IDS. Risposta agli avvisi rilevamento intrusione. Gestione degli indirizzi bloccati. Aggiornamento delle firme IDS. Informazioni sulla funzione IDS Il software Desktop Firewall include una funzione IDS che protegge il computer dagli attacchi complessi. Gli attacchi sono detti anche intrusioni. La funzione firewall può autorizzare o bloccare il traffico di rete in entrata, in base alle regole configurate, ma non è in grado di rilevare se il traffico è parte o meno di un'aggressione. Per rilevare le aggressioni è necessario attivare la funzione IDS che cerca degli schemi nel traffico di rete in entrata. Alcuni schemi rappresentano degli attacchi. Per riconoscere gli schemi degli attacchi comuni, la funzione IDS utilizza una libreria di firme IDS. Una firma è una raccolta di informazioni che descrivono un attacco specifico per consentire a Desktop Firewall di riconoscerlo come tale. Il Software Desktop Firewall dispone di un gruppo predefinito di firme IDS. Per configurare gli attacchi che l'IDS deve analizzare è possibile selezionare le firme utilizzate dal software. L'elenco di firme di Desktop Firewall può essere aggiornato anche utilizzando le opzioni di Aggiornamento automatico e Aggiorna ora. Guida al prodotto 85 Configurazione del sistema di rilevamento delle intrusion Avvisi d'intrusione Se si attiva l'IDS, il software Desktop Firewall monitora continuamente il traffico in entrata per rilevare eventuali attacchi al sistema e autorizza o blocca le intrusioni sospette in base all'azione predefinita che l'utente specifica nella finestra di dialogo Opzioni di McAfee Desktop Firewall. Per ulteriori informazioni, consultare Configurazione della risposta predefinita del software alle intrusioni a pagina 88. È inoltre possibile attivare o disattivare gli Avvisi rilevamento intrusione, ovvero i messaggi di avviso che vengono visualizzati quando l'IDS rileva una potenziale aggressione. La finestra di dialogo Avviso rilevamento intrusione richiede di specificare un'azione, ovvero se bloccare o non bloccare l'intruso. Questa finestra di dialogo consente di sostituire la risposta predefinita del software alle intrusioni. Per attivare o disattivare gli avvisi di intrusione, consultare Attivazione e disattivazione degli avvisi di intrusione a pagina 87. Configurazione della funzione IDS Utilizzare la finestra di dialogo Opzioni di Desktop Firewall McAfee per configurare la funzione IDS. In questa finestra di dialogo è possibile: 86 Attivare e disattivare la funzione IDS. Attivare gli Avvisi rilevamento intrusione. Stabilire la risposta predefinita del software alle potenziali intrusioni, ovvero autorizzarle a superare il firewall o bloccarle. Configurare i modi in cui il software può notificare il rilevamento di un'intrusione. Definire quali sono gli attacchi che la funzione IDS deve identificare. Software McAfee Desktop FirewallTM versione 8.0 Configurazione della funzione IDS Figura 4-10. Finestra di dialogo Opzioni di McAfee Desktop Firewall Attivazione e disattivazione della funzione IDS 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall. L'area Opzioni di rilevamento intrusioni controlla la funzione IDS. 3 Utilizzare uno di metodi riportati di seguito: Per attivare la funzione IDS, selezionare la casella di controllo Attiva rilevamento intrusioni. Per disattivare la funzione IDS, deselezionare la casella di controllo. 4 Fare clic su OK per salvare le impostazioni IDS. Attivazione e disattivazione degli avvisi di intrusione 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall. Guida al prodotto 87 Configurazione del sistema di rilevamento delle intrusion 3 Individuare la casella di controllo Visualizza messaggio di notifica quando si riceve un attacco e poi eseguire una delle azioni successive: Per attivare il rilevamento intrusioni, selezionare la casella di controllo. Per disattivare gli avvisi di intrusione, deselezionare la casella di controllo. 4 Fare clic su OK per salvare le impostazioni IDS. Configurazione della risposta predefinita del software alle intrusioni Desktop Firewall deve disporre delle istruzioni su come reagire quando la funzione IDS rileva un potenziale attacco. Sono disponibili due opzioni. Desktop Firewall può bloccare la sospetta aggressione. Desktop Firewall può autorizzare il traffico di rete sospetto a superare il firewall. Per selezionare una di queste opzioni, utilizzare la finestra di dialogo Opzioni di McAfee Desktop Firewall. Se sono stati attivati gli avvisi di intrusione, la risposta predefinita del software può essere sostituita. Ogni volta che la funzione IDS rileva un attacco, visualizza un Avviso rilevamento intrusione. Questa finestra di dialogo consente di scegliere se autorizzare o bloccare il traffico intercettato, caso per caso. Per bloccare i potenziali intrusi automaticamente 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall. 3 Selezionare la casella di controllo Blocca gli intrusi automaticamente. A questo punto Desktop Firewall blocca tutti i sospetti intrusi e ne aggiunge l'indirizzo IP all'elenco degli indirizzi bloccati dell'IDS. La funzione IDS blocca gli attacchi non appena li rileva. Un'opzione di blocco consente di configurare per quanto tempo gli attacchi vengono bloccati dal software. 88 Software McAfee Desktop FirewallTM versione 8.0 Configurazione della funzione IDS 4 Selezionare una delle seguenti opzioni di blocco: Opzione Funzione fino alla rimozione Blocca gli attacchi finché l'utente: per <ORA> min. 5 Non fa clic su Non bloccare nella finestra di dialogo Avviso rilevamento intrusione. Non rimuove manualmente l'indirizzo dall'elenco degli indirizzi bloccati. Blocca gli attacchi finché: Non scade il periodo di tempo specificato. Non si fa clic su Non bloccare nella finestra di dialogo Avviso rilevamento intrusione. L'indirizzo non viene rimosso manualmente dall'elenco degli indirizzi bloccati. Fare clic su OK per salvare le impostazioni IDS. Per autorizzare automaticamente i potenziali intrusi 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall. 3 Deselezionare la casella di controllo Blocca gli intrusi automaticamente. Desktop Firewall ora autorizza i potenziali intrusi a superare il firewall. Se sono stati abilitati gli avvisi di intrusione, questa impostazione può essere sostituita facendo clic su Blocca nella finestra di dialogo Avviso rilevamento intrusione. Per ulteriori informazioni, consultare Avvisi d'intrusione a pagina 86. 4 Fare clic su OK per salvare le impostazioni IDS. Configurazione delle opzioni di notifica 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall. Guida al prodotto 89 Configurazione del sistema di rilevamento delle intrusion 3 Selezionare una delle seguenti opzioni per abilitarla: Opzione Funzione Invio avvisi di attacchi tramite posta elettronica Invia un messaggio di posta elettronica all'indirizzo specificato ogni volta che la funzione IDS individua un attacco. È possibile inserire un solo indirizzo di posta elettronica. Utilizzare il formato [email protected]. Inserire anche il nome di dominio o l'indirizzo IP di un server SMTP nel campo Server di posta SMTP in uscita. Per inviare gli avvisi per posta elettronica Desktop Firewall deve potere comunicare con questo server. Emette un segnale acustico in caso di attacco Produce un segnale acustico ogni volta che la funzione IDS rileva un potenziale intruso. Il segnale acustico può essere modificato utilizzando la finestra di dialogo Suoni e Proprietà multimediali (accessibile dal Pannello di controllo di Windows). Configurare la voce Avviso intruso Firewall per modificare il segnale acustico. L'icona della barra delle applicazioni McAfee Firewall lampeggia in caso di attacco 4 Con questa opzione, per segnalare un potenziale attacco contro il sistema l'icona di Desktop Firewall nella barra delle applicazioni passa alternativamente dall'aspetto normale all'icona di avviso intrusione. Fare clic su OK per salvare le impostazioni IDS. Selezione degli attacchi da rilevare 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall. 90 Software McAfee Desktop FirewallTM versione 8.0 Risposta agli avvisi rilevamento intrusione 3 Fare clic su Firme per visualizzare la scheda correlata. Questa scheda visualizza un elenco di tutte le firme disponibili per la funzione IDS. Ogni firma corrisponde a un attacco che Desktop Firewall deve individuare. 4 Modificare l'elenco delle firme. Per rilevare un tipo specifico di attacco, selezionare la casella di controllo accanto al nome. Per ignorare un tipo specifico di attacco, deselezionare la casella di controllo accanto al nome. 5 Fare clic su OK per salvare le impostazioni. Risposta agli avvisi rilevamento intrusione Se sono stati attivati gli avvisi di intrusione e la funzione IDS rileva un attacco contro il sistema, il software Desktop Firewall visualizza una finestra Avviso rilevamento intrusione. Utilizzare questa finestra di dialogo per selezionare un'azione, ovvero bloccare o non bloccare l'intruso oppure rintracciarlo: Fare clic su Blocca per fermare l'intruso. Desktop Firewall aggiunge l'indirizzo IP dell'aggressore nell'elenco indirizzi bloccati della scheda Criteri intruso. La funzione IDS blocca questo indirizzo finché rimane nell'elenco. Selezionare un'opzione Blocca per stabilire quanto tempo vi deve rimanere: Opzione Funzione fino alla rimozione Blocca l'indirizzo dell’intruso finché questi non viene rimosso manualmente dall'elenco degli indirizzi bloccati. per <ORA> min. Blocca l'indirizzo dell’intruso finché: Non scade il periodo di tempo specificato. Non viene rimosso manualmente dall'elenco degli indirizzi bloccati. Fare clic su Non bloccare per consentire alla comunicazione intercettata di proseguire. Questa opzione può essere utilizzata se, ad esempio, il potenziale intruso è in realtà una normale comunicazione di rete. Fare clic su Traccia per aprire la finestra di dialogo Host bloccato in cui è possibile rintracciare l'indirizzo IP per raccogliere maggiori informazioni in proposito. Per ulteriori informazioni, consultare Individuazione di un indirizzo IP a pagina 94. Guida al prodotto 91 Configurazione del sistema di rilevamento delle intrusion Gestione degli indirizzi bloccati Desktop Firewall conserva nella scheda Criteri intruso un elenco degli indirizzi da bloccare. Gli intrusi possono essere aggiunti a questo elenco manualmente oppure selezionando Blocca dalla finestra di dialogo Avviso rilevamento intrusione. L'elenco indirizzi bloccati e la scheda Criteri intruso consentono di: Definire i nuovi indirizzi IP da bloccare, utilizzando il pulsante Aggiungi. Eliminare gli indirizzi che non si desidera più bloccare, utilizzando il pulsante Rimuovi. Rintracciare un indirizzo IP, utilizzando la finestra di dialogo Host bloccato. Aggiunta di un utente all'elenco degli indirizzi bloccati 1 In Desktop Firewall, fare clic su Criteri intruso per visualizzare la relativa scheda. 2 Fare clic su Aggiungi. Viene visualizzata la finestra di dialogo Host bloccato. 3 Utilizzare uno di metodi riportati di seguito: Se Procedere così Si conosce l'indirizzo IP dell'utente che si desidera bloccare 1 Digitare l'indirizzo IP nel campo Indirizzo IP. Si conosce solo il nome del dominio che si desidera bloccare. 1 Fare clic su Ricerca DNS. 2 Inserire il nome del dominio nella finestra di dialogo Ricerca DNS. 3 Fare clic su Ricerca. Desktop Firewall tenta di identificare l'indirizzo IP che appartiene al nome di dominio. Se ci riesce, lo inserisce nell'area Indirizzo IP trovato. 4 Fare clic su Utilizza per trasferire nella finestra di dialogo Indirizzo bloccato le informazioni sull'indirizzo. 92 Software McAfee Desktop FirewallTM versione 8.0 Gestione degli indirizzi bloccati 4 Selezionare una delle opzioni Blocca per specificare per quanto tempo Desktop Firewall deve bloccare questo indirizzo: Opzione Funzione fino alla rimozione Blocca l'intruso finché non viene rimosso manualmente dall'elenco degli indirizzi bloccati. per <ORA> min. 5 Blocca l'intruso finché: Non scade il periodo di tempo specificato. Non viene rimosso manualmente dall'elenco degli indirizzi bloccati. Fare clic su OK. Desktop Firewall aggiunge questo indirizzo all'elenco degli indirizzi bloccati. Rimozione di una voce dall'elenco degli indirizzi bloccati 1 In Desktop Firewall, fare clic sul Criteri intruso per visualizzare la relativa scheda. 2 Nell'elenco indirizzi bloccati, selezionare l'indirizzo IP che non si desidera più bloccare. 3 Fare clic su Rimuovi. Desktop Firewall richiede di confermare che non si desidera più bloccare questo indirizzo. 4 Fare clic su Sì. Desktop Firewall rimuove l'indirizzo dall'elenco indirizzi bloccati. Guida al prodotto 93 Configurazione del sistema di rilevamento delle intrusion Individuazione di un indirizzo IP 1 In Desktop Firewall, fare clic su Criteri intruso per visualizzare la relativa scheda. 2 Utilizzare uno di metodi riportati di seguito: 3 Se Procedere così L'indirizzo da rintracciare esiste già nell'elenco host bloccati 1 Selezionare l'indirizzo e poi fare clic su Proprietà. L'indirizzo da rintracciare non è nell'elenco host bloccati 1 Fare clic su Aggiungi. Viene visualizzata la finestra di dialogo Host bloccato. 2 All'interno della finestra di dialogo Host bloccato, inserire l'indirizzo da rintracciare nel campo Indirizzo IP. Fare clic su Traccia origine. Desktop Firewall visualizza nell'area Traccia risultati tutte le informazioni che ottiene sull'indirizzo. 4 Fare clic su Annulla per ritornare alla scheda Criteri intruso. Aggiornamento delle firme IDS La funzione IDS individua gli attacchi riconoscendo degli schemi nel traffico di rete in entrata. Alcuni schemi di traffico rappresentano delle aggressioni. Desktop Firewall utilizza le firme per riconoscere degli schemi di attacco comuni. Una firma è una raccolta di informazioni che descrivono un attacco specifico per consentire a Desktop Firewall di riconoscerlo come tale. Il Software Desktop Firewall dispone di un gruppo predefinito di firme IDS. Integra, inoltre, due funzioni per l'aggiornamento dell'elenco di firme: L'Aggiornamento automatico e Aggiorna ora. Utilizzare queste opzioni per mantenere sempre aggiornata la funzione IDS di Desktop Firewall: 94 Utilizzare Aggiorna ora per eseguire immediatamente il download delle firme più recenti per Desktop Firewall. Utilizzare l'Aggiornamento automatico per programmare degli aggiornamenti regolari e automatici delle firme. Software McAfee Desktop FirewallTM versione 8.0 Aggiornamento delle firme IDS Aggiornamento immediato delle firme IDS 1 Fare clic con il pulsante destro del mouse sull'icona di Desktop Firewall nella barra delle applicazioni e selezionare Aggiorna ora. Desktop Firewall avvia l'aggiornamento automatico e inizia a eseguire il download delle nuove firme. Viene visualizzata la finestra di Aggiornamento in corso. L'area di stato registra ogni azione di aggiornamento automatico. 2 Quando l'aggiornamento termina, fare clic su Chiudi. Pianificazione degli aggiornamenti regolari delle firme Utilizzare la funzione di aggiornamento automatico per configurare gli aggiornamenti automatici delle firme. Gli aggiornamenti possono essere programmati per essere eseguiti in qualsiasi momento. Per configurare degli aggiornamenti regolari è necessario: Attivare l'aggiornamento automatico. Configurare una pianificazione di aggiornamento automatico. Attivazione dell'aggiornamento automatico 1 Fare clic con il pulsante destro del mouse sull'icona di Desktop Firewall nella barra delle applicazioni e selezionare Proprietà di aggiornamento automatico. Viene visualizzata la finestra di dialogo Proprietà di aggiornamento automatico Desktop Firewall. 2 Fare clic su Programma per aprire la finestra di dialogo Impostazioni di pianificazione. 3 Fare clic su Operazione per visualizzare la scheda correlata. 4 Nell'area Impostazioni di pianificazione, selezionare Attiva (l'operazione pianificata esegue a un'ora specifica). Con questa impostazione l'aggiornamento automatico viene eseguito agli orari e alle date specificati nella scheda Programma. 5 Se si desidera impedire che l'esecuzione dell'aggiornamento automatico si svolga per un periodo di tempo prolungato, selezionare Arresta l'operazione se viene eseguita per e poi definire un tempo di esecuzione massimo, espresso in ore e minuti. Guida al prodotto 95 Configurazione del sistema di rilevamento delle intrusion 6 Se necessario, specificare l'account utente che l'aggiornamento automatico deve utilizzare quando viene eseguito. Nell'area Opzioni, inserire le seguenti informazioni sull'account: Utente: inserire il nome utente per l'account. Dominio: inserire il nome del dominio per l'account. Password: inserire la password per l'account. Tenere presente che non è obbligatorio specificare un account utente per l'aggiornamento automatico. Se non si completano questi campi, l'aggiornamento automatico viene eseguito nell'account del sistema locale. Se si specifica un account utente, accertarsi che l'account abbia i privilegi di accesso per processi in batch. Altrimenti l'aggiornamento automatico non potrà accedere correttamente alle risorse di rete. 7 Fare clic su Applica per salvare le modifiche. Dopo avere così attivato l'aggiornamento automatico, è possibile configurare un programma di aggiornamento automatico. Configurazione di un programma di aggiornamento automatico L'utente può pianificare l'esecuzione dell'aggiornamento automatico per qualsiasi orario e data compatibile con le sue esigenze. La finestra di dialogo Impostazioni di pianificazione offre molteplici opzioni per l'esecuzione dell'aggiornamento automatico: Giornalmente Settimanalmente Mensilmente Una volta All'avvio del sistema All'accesso Quando è inattivo Esegui immediatamente Esegui alla connessione di accesso remoto Esecuzione giornaliera dell'aggiornamento automatico 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 96 Software McAfee Desktop FirewallTM versione 8.0 Aggiornamento delle firme IDS 2 Nell'area Programma, selezionare Giornalmente dall'elenco Pianifica operazione. 3 Nel campo Ora di inizio, immettere l'ora del giorno in cui deve essere avviato l'aggiornamento automatico. 4 Selezionare un'opzione per il fuso orario: Opzione Funzione UTC (Tempo Universale Coordinato) Esegue l'aggiornamento automatico simultaneamente in tutti i fusi orari. Ora locale 5 Esegue l'aggiornamento automatico indipendentemente in ogni fuso orario locale. Se necessario, selezionare Attiva esecuzione casuale. In questo modo l'aggiornamento automatico viene avviato in un momento qualsiasi, entro un intervallo di tempo specificato dall'utente. Inserire un intervallo di tempo massimo, espresso in ore e minuti, compreso tra un minuto e 24 ore. 6 Se necessario, selezionare Esegui operazione mancata. In questo modo, se non viene eseguito all'orario pianificato, l'aggiornamento automatico sarà eseguito automaticamente la volta successiva che si avvia il computer. Inserire un valore, espresso in minuti, nel campo Ritarda operazione mancata di. Si definisce così il ritardo dopo il quale sarà eseguito l'aggiornamento automatico se la sua esecuzione non avviene all'orario pianificato. 7 Se necessario, fare clic su Avanzate per configurare un programma più dettagliato. Per ulteriori informazioni, consultare Applicazione opzioni pianificazione avanzate a pagina 104. 8 Nel campo Ogni dell'area Pianifica operazione quotidianamente, inserire una frequenza espressa in giorni. Se, ad esempio, si specifica 2 in questo campo, l'aggiornamento automatico viene eseguito ogni due giorni. Se si desidera eseguire l'aggiornamento automatico in giorni specifici della settimana, è possibile configurare un programma Settimanalmente. 9 Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Guida al prodotto 97 Configurazione del sistema di rilevamento delle intrusion Esecuzione settimanale dell'aggiornamento automatico 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare Settimanalmente dall'elenco Pianifica operazione. 3 Nel campo Ora di inizio, immettere l'ora del giorno in cui deve essere avviato l'aggiornamento automatico. 4 Selezionare un'opzione per il fuso orario: Opzione Funzione UTC (Tempo Universale Coordinato) Esegue l'aggiornamento automatico simultaneamente in tutti i fusi orari. Ora locale 5 Esegue l'aggiornamento automatico indipendentemente in ogni fuso orario locale. Se necessario, selezionare Attiva esecuzione casuale. In questo modo l'aggiornamento automatico viene avviato in un momento qualsiasi, entro un intervallo di tempo specificato dall'utente. Inserire un intervallo di tempo massimo, espresso in ore e minuti, compreso tra un minuto e 24 ore. 6 Se necessario, selezionare Esegui operazione mancata. In questo modo se l'aggiornamento automatico non viene eseguito all'orario pianificato, viene eseguito automaticamente la volta successiva che si avvia il computer. Inserire un valore, espresso in minuti, nel campo Ritarda operazione mancata di. Si definisce così il ritardo dopo il quale sarà eseguito l'aggiornamento automatico se la sua esecuzione non avviene all'orario pianificato. 7 Se necessario, fare clic su Avanzate per configurare un programma più dettagliato. Per ulteriori informazioni, consultare Applicazione opzioni pianificazione avanzate a pagina 104. 98 Software McAfee Desktop FirewallTM versione 8.0 Aggiornamento delle firme IDS 8 9 Nell'area Pianifica operazione settimanalmente, impostare una frequenza e un giorno per l'aggiornamento automatico. Opzione Funzione Ogni... Immettere una frequenza, espressa in settimane. Se, ad esempio, si specifica 2 in questo campo, l'aggiornamento automatico viene eseguito ogni due settimane. il… Selezionare i giorni in cui deve essere eseguito l'aggiornamento automatico. Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Esecuzione mensile dell'aggiornamento automatico 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare Mensilmente dall'elenco Pianifica operazione. 3 Nel campo Ora di inizio, immettere l'ora del giorno in cui deve essere avviato l'aggiornamento automatico. 4 Selezionare un'opzione per il fuso orario: Opzione Funzione UTC (Tempo Universale Coordinato) Esegue l'aggiornamento automatico simultaneamente in tutti i fusi orari. Ora locale 5 Esegue l'aggiornamento automatico indipendentemente in ogni fuso orario locale. Se necessario, selezionare Attiva esecuzione casuale. In questo modo l'aggiornamento automatico viene avviato in un momento qualsiasi, entro un intervallo di tempo specificato dall'utente. Inserire un intervallo di tempo massimo, espresso in ore e minuti, compreso tra un minuto e 24 ore. Guida al prodotto 99 Configurazione del sistema di rilevamento delle intrusion 6 Se necessario, selezionare Esegui operazione mancata. In questo modo, se non viene eseguito all'orario pianificato, l'aggiornamento automatico sarà eseguito automaticamente la volta successiva che si avvia il computer. Inserire un valore, espresso in minuti, nel campo Ritarda operazione mancata di. Si definisce così il ritardo dopo il quale sarà eseguito l'aggiornamento automatico se la sua esecuzione non avviene all'orario pianificato. 7 Se necessario, fare clic su Avanzate per configurare un programma più dettagliato. Per ulteriori informazioni, consultare Applicazione opzioni pianificazione avanzate a pagina 104. 8 Nell'area Pianifica operazione mensilmente, selezionare una delle opzioni mensili. Opzione Funzione Giorno del mese Selezionare questa opzione per eseguire l'aggiornamento automatico in una data di calendario specifica (ad esempio il 14 o il 31 del mese). Ritarda l'operazione di Selezionare questa opzione per eseguire l'aggiornamento automatico in un giorno particolare del mese (ad esempio, il secondo lunedì o l'ultimo venerdì del mese). Per configurare questa opzione utilizzare i due elenchi. 9 Fare clic su Seleziona i mesi e configurare i mesi in cui si desidera eseguire l'aggiornamento automatico. 10 Fare clic su OK per tornare alla scheda Programma. 11 Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Esecuzione dell'aggiornamento automatico una sola volta 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 100 2 Nell'area Programma, selezionare Una volta dall'elenco Pianifica operazione. 3 Nel campo Ora di inizio, immettere l'ora del giorno in cui deve essere avviato l'aggiornamento automatico. Software McAfee Desktop FirewallTM versione 8.0 Aggiornamento delle firme IDS 4 Selezionare un'opzione per il fuso orario: Opzione Funzione UTC (Tempo Universale Coordinato) Esegue l'aggiornamento automatico simultaneamente in tutti i fusi orari. Ora locale 5 Esegue l'aggiornamento automatico indipendentemente in ogni fuso orario locale. Se necessario, selezionare Attiva esecuzione casuale. In questo modo l'aggiornamento automatico viene avviato in un momento qualsiasi, entro un intervallo di tempo specificato dall'utente. Inserire un intervallo di tempo massimo, espresso in ore e minuti, compreso tra un minuto e 24 ore. 6 Se necessario, selezionare Esegui operazione mancata. In questo modo, se non viene eseguito all'orario pianificato, l'aggiornamento automatico sarà eseguito automaticamente la volta successiva che si avvia il computer. Inserire un valore, espresso in minuti, nel campo Ritarda operazione mancata di. Si definisce così il ritardo dopo il quale sarà eseguito l'aggiornamento automatico se la sua esecuzione non avviene all'orario pianificato. 7 Se necessario, fare clic su Avanzate per configurare un programma più dettagliato. Per ulteriori informazioni, consultare Applicazione opzioni pianificazione avanzate a pagina 104. 8 Nell'area Pianifica operazione una sola volta, utilizzare l'elenco Esegui su per selezionare la data in cui si desidera eseguire l'aggiornamento automatico. 9 Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Esecuzione dell'aggiornamento automatico all'avvio del computer 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare All'avvio del sistema dall'elenco Pianifica operazione. Guida al prodotto 101 Configurazione del sistema di rilevamento delle intrusion 3 4 Nell'area Pianifica l'operazione all'avvio del sistema, configurare le opzioni di avvio. Opzione Funzione Esegui questa operazione solo una volta al giorno Selezionare questa opzione per eseguire l'aggiornamento automatico una sola volta al giorno. Se non si seleziona questa opzione, l'aggiornamento automatico viene eseguito ogni volta che si riavvia il computer. Ritarda l'operazione di Immettere un intervallo orario, espresso in minuti. Quando si riavvia il computer, l'aggiornamento automatico attende che trascorra questo intervallo di tempo prima di avviare la procedura. In questo modo possono essere completati gli script di avvio. Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Esecuzione dell'aggiornamento automatico all'accesso 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare All'accesso dall'elenco Pianifica operazione. 3 Nell'area Pianifica l'operazione all'accesso, configurare le opzioni di accesso. 4 102 Opzione Funzione Esegui questa operazione solo una volta al giorno Selezionare questa opzione per eseguire l'aggiornamento automatico una sola volta al giorno. Se non si seleziona questa opzione, l'aggiornamento viene eseguito ad ogni accesso. Ritarda l'operazione di Immettere un intervallo orario, espresso in minuti. Quando si accede al computer, l'aggiornamento automatico attende che trascorra questo intervallo di tempo prima di avviare la procedura. In questo modo possono essere completati gli script di accesso. Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Software McAfee Desktop FirewallTM versione 8.0 Aggiornamento delle firme IDS Esecuzione dell'aggiornamento automatico quando il computer è inattivo 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare Quando è inattivo dall'elenco Pianifica operazione. 3 Nell'area Pianifica l'operazione quando è inattivo, immettere il numero di minuti per i quali il computer deve restare inattivo prima che venga avviato l'aggiornamento automatico. 4 Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Esecuzione immediata dell'aggiornamento automatico 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare Esegui immediatamente dall'elenco Pianifica operazione. 3 Se necessario, selezionare Attiva esecuzione casuale. In questo modo l'aggiornamento automatico viene avviato in un momento qualsiasi, entro un intervallo di tempo specificato dall'utente. Inserire un intervallo di tempo massimo, espresso in ore e minuti, compreso tra un minuto e 24 ore. 4 Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Esecuzione aggiornamento automatico alla connessione accesso remoto 1 Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per aprire la scheda correlata. 2 Nell'area Programma, selezionare Esegui alla connessione di accesso remoto dall'elenco Pianifica operazione. 3 Se necessario, selezionare Attiva esecuzione casuale. In questo modo l'aggiornamento automatico viene avviato in un momento qualsiasi, entro un intervallo di tempo specificato dall'utente. Inserire un intervallo di tempo massimo, espresso in ore e minuti, compreso tra un minuto e 24 ore. Guida al prodotto 103 Configurazione del sistema di rilevamento delle intrusion 4 Nell'area Pianifica l'operazione da eseguire alla connessione di accesso remoto, selezionare o deselezionare la casella di controllo Esegui questa operazione solo una volta al giorno. In questo modo si specifica se per gli utenti remoti l'operazione deve essere eseguita solo una volta al giorno o più spesso. 5 Fare clic su OK per salvare le impostazioni e chiudere la finestra di dialogo Impostazioni di pianificazione. Applicazione opzioni pianificazione avanzate 1 Per aprire la finestra di dialogo Opzioni di pianificazione avanzate: a Nella finestra di dialogo Impostazioni di pianificazione, fare clic su Programma per attivare la scheda correlata. b Nell'area Programma, fare clic su Avanzate. Questo pulsante è disponibile solo se si seleziona Giornalmente, Settimanalmente, Mensilmente o Una volta dall’elenco Pianifica operazione. 2 Se necessario, configurare una Data di inizio e una Data di fine. Fare clic su ogni elenco per selezionare una data dal calendario. 3 Se necessario, selezionare Ripeti operazione e utilizzare le opzioni sotto questa casella di controllo per definire la frequenza con cui eseguire l'aggiornamento automatico: Opzione Funzione Ogni Immettere una frequenza e poi definire se si desidera che il numero rappresenti dei minuti o delle ore. Fino al Definire quando l'aggiornamento automatico non deve essere più ripetuto: Immettere l'ora di un giorno o un intervallo espresso in ore e minuti. Se, ad esempio, si imposta Ogni su 1 ora(e) e si imposta Fino al su una durata di 24 ore, l'aggiornamento automatico viene eseguito ogni ora, per un intero giorno. 4 104 Fare clic su OK per ritornare alla finestra di dialogo Impostazioni di pianificazione. Software McAfee Desktop FirewallTM versione 8.0 5 Impostazione del monitoraggio delle applicazioni In questa sezione è presentata la funzione di monitoraggio delle applicazioni di Desktop Firewall e viene descritto in che modo il programma controlla le applicazioni utilizzate. Sono illustrati i seguenti argomenti: Informazioni sulla funzione di monitoraggio delle applicazioni. Impostazione della funzione di monitoraggio delle applicazioni. Risposta agli avvisi della modalità di apprendimento delle applicazioni. Gestione delle regole di applicazione. Informazioni sulla funzione di monitoraggio delle applicazioni Il Software Desktop Firewallinclude una funzione di monitoraggio delle applicazioni. Tale funzione consente di controllare le applicazioni utilizzate. È possibile specificare se le applicazioni possono essere eseguite (funzione nota come creazione applicazione) e se possono collegarsi ad altri programmi (funzione note come hook applicazioni): Utilizzare il monitoraggio della creazione delle applicazioni quando si desidera impedire l'esecuzione di programmi specifici o sconosciuti. Ad esempio, alcuni attacchi di trojan possono eseguire alcune applicazioni dannose sul computer dell'utente senza che questi se ne accorga. Se si attiva il monitoraggio della creazione delle applicazioni, è possibile impedire simili attacchi, consentendo l'esecuzione solo di applicazioni specifiche e non dannose. È inoltre possibile attivare la Modalità di apprendimento creazione delle applicazioni, con cui Desktop Firewall richiede all'utente di eseguire un'azione nel caso in cui venga rilevato un tentativo di esecuzione di applicazioni sconosciute. Guida al prodotto 105 Impostazione del monitoraggio delle applicazioni Utilizzare il monitoraggio dell'hook delle applicazioni quando si desidera impedire alle applicazioni sconosciute di collegarsi ad altri programmi. Alcune applicazioni non dannose necessitano di collegarsi ad altri programmi, ma tale tentativo potrebbe indicare anche un attacco. Ad esempio, un'applicazione dannosa può tentare di inviare tramite posta elettronica copie di se stessa ad altri utenti, agganciandosi all'applicazione di posta elettronica. Se l'applicazione riesce a collegarsi al programma di posta elettronica, ottiene l'accesso anche alle sue funzioni. È possibile impedire attacchi di questo tipo attivando il monitoraggio dell'hook delle applicazioni. È possibile configurare questa funzione in modo da consentire il collegamento ad altri programmi solo ad alcune applicazioni specifiche. È inoltre possibile attivare la Modalità di apprendimento hook applicazioni, con cui Desktop Firewall richiede all'utente di eseguire un'azione nel caso in cui venga rilevato un tentativo di collegamento ad altri programmi da parte di applicazioni sconosciute. Entrambi i tipi di monitoraggio delle applicazioni vengono configurati impostando alcune regole di applicazione nella scheda Criteri applicazione. Ciascuna regola associa una serie di azioni ad una specifica applicazione. Per ulteriori informazioni, consultare Gestione delle regole di applicazione a pagina 109. Avvisi della Modalità apprendimento delle applicazioni Quando si attiva la Modalità apprendimento creazione delle applicazioni o la Modalità di apprendimento hook applicazioni, Desktop Firewall monitora continuamente le attività delle applicazioni sul computer. Consente o blocca tali applicazioni basandosi sulle regole impostate nella scheda Criteri applicazione. Se Desktop Firewall rileva un'applicazione che non riconosce, visualizza un Avviso creazione applicazione o un Avviso hook applicazione. Queste finestre di dialogo di avviso richiedono all'utente di eseguire un'azione, ossia di consentire o bloccare l'applicazione sconosciuta. Per ulteriori informazioni, consultare Risposta agli avvisi della modalità di apprendimento delle applicazioni a pagina 108. Impostazione della funzione di monitoraggio delle applicazioni Per configurare la funzione di monitoraggio delle applicazioni, utilizzare la scheda Criteri applicazione. Questa scheda consente di: 106 Attivare o disattivare il monitoraggio delle applicazioni. Attivare o disattivare la Modalità di apprendimento delle applicazioni. Software McAfee Desktop FirewallTM versione 8.0 Impostazione della funzione di monitoraggio delle applicazioni Attivazione e disattivazione della funzione di monitoraggio delle applicazioni Desktop Firewall supporta due tipi di monitoraggio delle applicazioni. È possibile monitorare il tentativo di esecuzione delle applicazioni (creazione applicazioni) o il tentativo da parte di applicazioni di collegarsi ad altri programmi (hook applicazioni). Per attivare o disattivare il monitoraggio della creazione delle applicazioni 1 In Desktop Firewall, selezionare la scheda Criteri applicazione per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare il monitoraggio della creazione, selezionare la casella di controllo Attiva il monitoraggio della creazione delle applicazioni. Per disattivare il monitoraggio della creazione, deselezionare la casella di controllo Attiva il monitoraggio della creazione delle applicazioni. Per attivare o disattivare il monitoraggio dell'hook delle applicazioni 1 In Desktop Firewall, selezionare la scheda Criteri applicazione per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare il monitoraggio dell'hook, selezionare la casella di controllo Attiva il monitoraggio dell'hook delle applicazioni. Per disattivare il monitoraggio dell'hook, deselezionare la casella di controllo Attiva il monitoraggio dell'hook delle applicazioni. Attivazione e disattivazione della modalità di apprendimento delle applicazioni Desktop Firewall supporta due tipi di Modalità di apprendimento delle applicazioni. La Modalità apprendimento creazione delle applicazioni avvisa quando viene rilevato un tentativo di esecuzione di applicazioni sconosciute. La Modalità apprendimento hook delle applicazioni avvisa quando delle applicazioni sconosciute tentano di collegarsi ad altri programmi. Guida al prodotto 107 Impostazione del monitoraggio delle applicazioni Per attivare o disattivare la modalità apprendimento creazione delle applicazioni 1 In Desktop Firewall, selezionare la scheda Criteri applicazione per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare gli avvisi della Modalità di apprendimento, selezionare la casella di controllo Attiva il monitoraggio della creazione delle applicazioni. Per disattivare gli avvisi della Modalità di apprendimento, deselezionare tale casella. Per attivare o disattivare la modalità apprendimento hook delle applicazioni 1 In Desktop Firewall, selezionare la scheda Criteri applicazione per attivarla. 2 Utilizzare uno di metodi riportati di seguito: Per attivare gli avvisi della Modalità di apprendimento, selezionare la casella di controllo Attiva modalità di apprendimento hook applicazioni. Per disattivare gli avvisi della Modalità di apprendimento, deselezionare tale casella. Risposta agli avvisi della modalità di apprendimento delle applicazioni Se è stata attivata la Modalità di apprendimento per il monitoraggio della creazione o dell'hook, Desktop Firewall visualizza un Avviso creazione applicazione o un Avviso hook applicazione nel caso rilevi un'applicazione sconosciuta. Utilizzare questa finestra di dialogo per selezionare un'azione: Fare clic su Abilita per consentire all'applicazione di completare l'azione: Quando viene visualizzato un Avviso creazione applicazione, facendo clic su Abilita si consente l'esecuzione dell'applicazione. Quando viene visualizzato un Avviso hook applicazione, facendo clic su Abilita si consente il collegamento dell'applicazione a un altro programma. Per bloccare l'applicazione, fare clic su Nega: Quando viene visualizzato un Avviso creazione applicazione, facendo clic su Nega si impedisce l'esecuzione dell'applicazione. Quando viene visualizzato un Avviso hook applicazione, facendo clic su Abilita si impedisce il collegamento dell'applicazione a un altro programma. 108 Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole di applicazione Quando si fa clic su Abilita o Nega, Desktop Firewall crea una nuova regola di applicazione basata su tale scelta. Questa regola viene aggiunta all'elenco delle regole per le applicazioni nella scheda Criteri applicazione. Il software in futuro autorizzerà o bloccherà questa applicazione. Gestione delle regole di applicazione Le regole determinano in che modo la funzione di monitoraggio delle applicazioni si comporta con le varie applicazioni. Tali regole vengono create e gestite mediante l'elenco delle regole per le applicazioni nella scheda Criteri applicazione. L'elenco delle regole per le applicazioni e la scheda Criteri applicazione consentono di: Creare nuove regole di applicazione, mediante il pulsante Aggiungi. Modificare e disattivare regole di applicazione esistenti, mediante il pulsante Proprietà. Eliminare regole di applicazione, mediante il pulsante Rimuovi. Creazione di una nuova regola di applicazione 1 In Desktop Firewall, selezionare la scheda Criteri applicazione. 2 Fare clic su Aggiungi. Viene visualizzata la finestra di dialogo Regola applicazione. 3 Nell' elenco Applicazione, selezionare l'applicazione a cui si desidera applicare la regola. Se l'applicazione non è presente nell'elenco, fare clic su Sfoglia e individuare il file eseguibile dell'applicazione. 4 Selezionare La regola dell'applicazione è attiva. 5 Utilizzare uno di metodi riportati di seguito: Se Operazione Si desidera che l'applicazione venga eseguita Selezionare Consentita la creazione dell'applicazione. Si desidera impedire l'esecuzione dell'applicazione Deselezionare questa casella di controllo. Guida al prodotto 109 Impostazione del monitoraggio delle applicazioni 6 7 Utilizzare uno di metodi riportati di seguito: Se Operazione Si desidera che l'applicazione si colleghi ad altri programmi Selezionare Consentito l'hook dell'applicazione per le altre applicazioni. Si desidera impedire il collegamento dell'applicazione ad altri programmi Deselezionare questa casella di controllo. Fare clic su OK per aggiungere la nuova regola all'elenco delle regole per le applicazioni. Modifica di una regola di applicazione 1 In Desktop Firewall, selezionare la scheda Criteri applicazione. 2 Nell'elenco delle regole per le applicazioni, selezionare la regola che si desidera modificare. 3 Fare clic su Proprietà. Viene visualizzata la finestra di dialogo Regola applicazione. 4 Modificare le impostazioni di regola desiderate: Impostazione Funzione Applicazione Determina a quale applicazione si applica la regola. Selezionare un'applicazione dall'elenco oppure fare clic su Sfoglia e individuare il file eseguibile dell'applicazione. 5 110 La regola dell'applicazione è attiva. Attiva o disattiva la regola. Consentita la creazione dell'applicazione Determina se Desktop Firewall deve consentire o impedire l'esecuzione dell'applicazione. Consentito l'hook dell'applicazione per le altre applicazioni. Determina se Desktop Firewall deve consentire o impedire il collegamento dell'applicazione ad altri programmi. Fare clic su OK per salvare le modifiche e tornare alla scheda finestra Criteri applicazione. Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole di applicazione Eliminazione di una regola di applicazione 1 In Desktop Firewall, selezionare la scheda Criteri applicazione. 2 Nell'elenco delle regole per le applicazioni, selezionare la regola che si desidera eliminare. 3 Fare clic su Rimuovi. Desktop Firewall richiede di confermare l'eliminazione della regola. 4 Fare clic su Sì. Desktop Firewall rimuove la regola dall'elenco delle regole per le applicazioni. Disattivazione di una regola di applicazione 1 In Desktop Firewall, selezionare la scheda Criteri applicazione. 2 Nell'elenco delle regole per le applicazioni, selezionare la regola che si desidera disattivare. 3 Fare clic su Proprietà. Viene visualizzata la finestra di dialogo Regola applicazione. 4 Deselezionare la casella di controllo La regola dell'applicazione è attiva. 5 Fare clic su OK per salvare le modifiche. Desktop Firewall non applica più questa regola, però non la rimuove dall'elenco delle regole per le applicazioni. Guida al prodotto 111 Impostazione del monitoraggio delle applicazioni 112 Software McAfee Desktop FirewallTM versione 8.0 6 Impostazione della registrazione In questa sezione è presentata la funzione di registrazione di Desktop Firewall e viene descritto in che modo il programma registra le informazioni sulle attività del software. Sono illustrati i seguenti argomenti: Informazioni sulla registrazione. Impostazione della funzione registrazione. Informazioni sulla registrazione La funzione di registrazione di Desktop Firewall consente di tenere traccia delle azioni del software. Le azioni registrate sono denominate eventi. La funzione di registrazione tiene traccia di due tipi di eventi: Eventi "abilitati". Viene tenuta traccia delle azioni consentite. Ad esempio, quando la funzione di monitoraggio delle applicazioni consente l'avvio di un programma, si tratta di un evento abilitato. Eventi "bloccati". Viene tenuta traccia delle azioni impedite. Ad esempio, quando la funzione IDS non consente il traffico proveniente da uno specifico indirizzo IP mediante il firewall, si tratta di un evento bloccato. La registrazione può essere attivata e disattivata per la funzione firewall, ma non per le funzioni IDS e di monitoraggio delle applicazioni. Desktop Firewall registra sempre le informazioni relative a queste funzioni, i cui eventi possono essere tuttavia nascosti mediante l’applicazione di filtri. Per la funzione firewall è possibile scegliere di registrare solo gli eventi abilitati, solo quelli bloccati, entrambi o nessuno. Per configurare la registrazione, utilizzare la scheda Desktop Firewall Registro delle attività. In questa scheda è visualizzato anche il registro eventi. Ciascuna riga rappresenta un singolo evento. Ciascuna colonna fornisce informazioni specifiche sull'evento. Per una descrizione delle colonne, consultare Scheda Registro delle attività a pagina 57. Gli eventi nel registro possono essere ordinati in modo da renderne più facile l'individuazione. È inoltre possibile filtrare gli eventi che Desktop Firewall visualizza, in modo che siano mostrati solo gli eventi relativi ad una funzione software specifica (firewall, monitoraggio delle applicazioni o IDS). Guida al prodotto 113 Impostazione della registrazione Se il registro diventa troppo grande, è possibile salvare i dati degli eventi in un file di testo delimitato da tabulazioni, da utilizzare con altre applicazioni. Una volta salvati i dati, il registro può essere cancellato. Eventi IDS nel registro delle attività Quando il sistema di rilevamento delle intrusioni (IDS) di Desktop Firewall rileva un possibile attacco al sistema, tenta di catturare informazioni dal traffico in entrata. Se l'operazione riesce, i dati del pacchetto catturati sono resi disponibili nel Registro delle attività. È possibile salvare questi dati in un file McAfee Sniffer .CAP per un'ulteriore analisi. Individuazione ed esportazione dei dati degli eventi IDS 1 Deselezionare tutte le Opzioni filtro tranne Intrusioni. Desktop Firewall filtra tutti gli eventi di monitoraggio del firewall e delle applicazioni e visualizza solo gli eventi IDS nel Registro delle attività. 2 Controllare la colonna Dati intrusione per ciascun evento IDS. Se in questa colonna è visualizzata un'icona ( ), vuol dire che Desktop Firewall ha catturato i dati del pacchetto per questo evento. 3 Per salvare tali dati, fare clic con il pulsante destro del mouse sulla voce di registro, quindi selezionare Salva dati evento. 4 Selezionare la cartella in cui si desidera memorizzare il file ed assegnare un nome al file. 5 Fare clic su Salva. Desktop Firewall esporta i dati catturati in un file McAfee Sniffer che è possibile rivedere mediante un qualsiasi software compatibile. Eventi di sistema nel registro delle attività Desktop Firewall occasionalmente registra eventi di sistema oltre che eventi relativi alle funzioni. Gli eventi di sistema tengono traccia dei problemi con il software, ad esempio l'avvio non riuscito di un servizio. Gli eventi di sistema sono sempre presenti nel Registro delle attività, non è possibile filtrarli né disattivarne la registrazione. La colonna Evento per gli eventi di sistema rimane in bianco (questa colonna in genere indica tipi di eventi quali Applicazione o Intrusione). 114 Software McAfee Desktop FirewallTM versione 8.0 Impostazione della funzione registrazione Impostazione della funzione registrazione È possibile configurare la funzione di registrazione di Desktop Firewall in modo che tenga traccia solo delle informazioni che interessano. È possibile: Attivare o disattivare la registrazione per gli eventi del firewall. Applicare dei filtri per limitare gli eventi visualizzati da Desktop Firewall. Ordinare gli eventi. Salvare il registro eventi. Cancellare il registro eventi. Attivazione e disattivazione della registrazione del firewall 1 In Desktop Firewall, fare clic su Registro delle attività per visualizzare la relativa scheda. 2 Utilizzare uno di metodi riportati di seguito: Per registrare le informazioni sugli eventi di firewall abilitati, selezionare la casella di controllo Registra tutti gli elementi consentiti. Per disattivare la registrazione degli eventi di firewall abilitati, deselezionare tale casella. 3 Utilizzare uno di metodi riportati di seguito: Per registrare le informazioni sugli eventi di firewall bloccati, selezionare la casella di controllo Registra tutti gli elementi bloccati. Per disattivare la registrazione degli eventi di firewall bloccati, deselezionare tale casella. Guida al prodotto 115 Impostazione della registrazione Filtraggio degli eventi del registro 1 In Desktop Firewall, fare clic su Registro delle attività per visualizzare la relativa scheda. 2 Nell'area Opzioni filtro, selezionare le caselle di controllo per mostrare tipi di evento specifici o deselezionarle per nasconderli: Casella di controllo Funzione Traffico Mostra o nasconde gli eventi di firewall Applicazioni Mostra o nasconde gli eventi di monitoraggio delle applicazioni Intrusioni Mostra o nasconde gli eventi IDS NOTA Non è possibile filtrare gli eventi di sistema; Desktop Firewall li visualizza sempre. Ordinamento degli eventi del registro 116 1 In Desktop Firewall, fare clic su Registro delle attività per visualizzare la relativa scheda. 2 Fare clic sul nome di una colonna per riordinare il registro in base al contenuto di tale colonna: Colonna Funzione Ora Ordina gli eventi in base al momento in cui si sono verificati. Evento Ordina gli eventi in base al tipo. Ad esempio, tutti gli eventi Applicazione appaiono in un blocco. Indirizzo Ordina gli eventi in base agli indirizzi IP remoti ad essi associati. (Si tratta dell'indirizzo a cui è stato inviato o da cui si è ricevuto il traffico del firewall). Dati intrusione Ordina gli eventi per isolare eventuali eventi IDS che hanno catturato dati di intrusione ad essi associati. Applicazione Ordina gli eventi in base all'applicazione che li ha causati. Messaggio Ordina gli eventi in base al messaggio ad essi associato (in ordine alfabetico crescente o decrescente). Software McAfee Desktop FirewallTM versione 8.0 Impostazione della funzione registrazione NOTA Mentre viene ordinato il registro eventi, disattivare la funzione di registrazione del firewall. Altrimenti, Desktop Firewall continua ad aggiungere eventi alla fine dell'elenco, senza ordinarli in base alla colonna selezionata. Salvataggio del registro 1 In Desktop Firewall, fare clic su Registro delle attività per visualizzare la relativa scheda. 2 Fare clic su Salva. 3 Individuare la cartella in cui si desidera salvare i dati di registro. 4 Nel campo Nome file, inserire un nome per il file di registro. 5 Fare clic su Salva. Cancellazione del registro 1 In Desktop Firewall, fare clic su Registro delle attività per visualizzare la relativa scheda. 2 Fare clic su Cancella. Desktop Firewall richiede di confermare l'eliminazione di tutte le voci del registro. 3 Fare clic su Sì. Desktop Firewall cancella il Registro delle attività. Guida al prodotto 117 Impostazione della registrazione 118 Software McAfee Desktop FirewallTM versione 8.0 SEZIONE 2 Utilizzo di Desktop Firewall con ePolicy Orchestrator Introduzione a Desktop Firewall ed ePO Impostazione del software per la distribuzione Configurazione del Firewall mediante ePO Configurazione sistema di rilevamento intrusioni (IDS) con ePO Impostazione del monitoraggio delle applicazioni mediante ePO Creazione di report mediante ePO 7 Introduzione a Desktop Firewall ed ePO In questa sezione sono presentate le modalità di gestione di Desktop Firewall 8.0 mediante McAfee ePolicy Orchestrator. Sono inclusi i seguenti argomenti: Informazioni su ePolicy Orchestrator. Funzionamento di Desktop Firewall con ePolicy Orchestrator. Rapida panoramica dell'interfaccia di ePolicy Orchestrator. Accesso a Desktop Firewall mediante ePolicy Orchestrator. Informazioni su ePolicy Orchestrator McAfee ePolicy Orchestrator (ePO) è un programma di gestione delle applicazioni centralizzato che consente di: Gestire le soluzioni di protezione dell'intera rete, da una singola console. Memorizzare una serie di applicazioni compatibili con ePO nel Repository del software ePolicy Orchestrator (incluso Desktop Firewall). Distribuire tali applicazioni ai computer gestiti da ePO. Inviare aggiornamenti di prodotti e di criteri con regolarità. Creare report grafici. Sistema di ePolicy Orchestrator Un sistema ePolicy Orchestrator include i seguenti componenti: Il server ePolicy Orchestrator, in cui sono memorizzate tutte le applicazioni distribuite tramite ePO, nonché tutti i dati raccolti dagli agenti ePO. La console ePolicy Orchestrator, che rappresenta l'interfaccia utente utilizzata per gestire e distribuire agenti e prodotti. L'agente ePolicy Orchestrator, che rappresenta un'applicazione distribuita ai computer gestiti tramite ePO. Gli agenti raccolgono le informazioni per ePolicy Orchestrator ed eseguono le operazioni impostate dall'utente mediante la console ePO. Guida al prodotto 121 Introduzione a Desktop Firewall ed ePO Funzionamento di Desktop Firewall con ePolicy Orchestrator Desktop Firewall si integra in ePolicy Orchestrator come tutte le altre applicazioni compatibili con ePO (incluse VirusScan e ThreatScan). Per integrare Desktop Firewall ed ePolicy Orchestrator, è necessario: 1 Preparare ePolicy Orchestrator a gestire Desktop Firewall, eseguendo l'applicazione di aggiornamento di Desktop Firewall sul server e la console ePO. 2 Aggiungere il software Desktop Firewall al Repository di ePolicy Orchestrator. Per ulteriori informazioni, consultare la Guida all'installazione di Desktop Firewall. Una volta che Desktop Firewall è stato integrato in ePolicy Orchestrator, è possibile utilizzare la console ePO per configurarlo e gestirlo. La console consente di creare anche le operazioni, ossia le istruzioni che ePolicy Orchestrator invia agli agenti ePO. L’operazione di Distribuzione di ePolicy Orchestrator viene utilizzata per distribuire Desktop Firewall. È possibile configurare questa operazione in modo che venga eseguita in un giorno e a un'ora specifici mediante l'impostazione di una pianificazione dell'operazione. Nel momento programmato, ePolicy Orchestrator distribuisce le operazioni agli agenti ePO sui computer di destinazione inviando anche gli eventuali file di software necessari. Gli agenti ePO eseguono le istruzioni descritte nelle operazioni. Ad esempio, quando si crea un'operazione per la distribuzione di un prodotto per Desktop Firewall, gli agenti ePO installano il software del client sui computer di destinazione. Gli agenti di ePolicy Orchestrator comunicano con il server ePO ad intervalli regolari. Ad ogni controllo, rilevano eventuali modifiche ai criteri per i prodotti distribuiti sui computer su cui si trovano gli agenti. Ciò vuol dire che se si apportano modifiche alla configurazione di Desktop Firewall, gli agenti ePolicy Orchestrator aggiornano automaticamente tutti i computer interessati durante il successivo aggiornamento. Non occorre impostare particolari operazioni per gli aggiornamenti dei criteri di Desktop Firewall. Per ulteriori informazioni sugli agenti, le operazioni e gli aggiornamenti di ePolicy Orchestrator, consultare la Guida al prodotto di ePolicy Orchestrator. 122 Software McAfee Desktop FirewallTM versione 8.0 Rapida panoramica dell'interfaccia di ePolicy Orchestrator Rapida panoramica dell'interfaccia di ePolicy Orchestrator L'interfaccia di ePolicy Orchestrator include due sezioni principali: 1 La struttura della console, che consente di selezionare gli oggetti di ePolicy Orchestrator da gestire (ad esempio, singoli computer oppure l'intero Repository del software ePO). 2 Il riquadro dei dettagli, che fornisce un'area per la gestione degli oggetti selezionati. 1 2 Figura 7-11. Console di ePolicy Orchestrator Guida al prodotto 123 Introduzione a Desktop Firewall ed ePO Struttura della console La struttura della console si trova sul lato sinistro della console di ePolicy Orchestrator. È costituita da una vista gerarchica di tutti gli elementi gestiti da ePolicy Orchestrator. Dopo essersi collegati al server ePO, nella struttura della console viene visualizzata anche un'icona del server insieme alle icone che rappresentano i relativi Directory e Repository. In Directory è contenuta una struttura gerarchica dei siti, dei gruppi e dei singoli computer. Essi rappresentano gli utenti gestiti mediante ePolicy Orchestrator. Per gestire tali utenti, espandere la cartella Directory per visualizzare l'elenco dei gruppi e dei siti in essa contenuti. In Repository è contenuto un elenco di tutte le applicazioni distribuite e gestite mediante ePolicy Orchestrator. Riquadro dei dettagli Il riquadro dei dettagli si trova sul lato destro della console di ePolicy Orchestrator. Tale riquadro a volte contiene una sola pagina, mentre altre volte è diviso in due parti che formano il riquadro dei dettagli superiore e quello inferiore. In ogni caso, tale riquadro fornisce una serie di azioni associate a quanto è selezionato nella struttura della console. Ad esempio, se si seleziona Repository dalla struttura della console, nel riquadro dei dettagli viene fornito un elenco delle azioni per l'aggiornamento del software nel Repository. Accesso a Desktop Firewall mediante ePolicy Orchestrator È possibile utilizzare la console di ePolicy Orchestrator per accedere a Desktop Firewall e per configurarlo. La maggior parte delle volte per operare con Desktop Firewall si utilizzano tre principali viste di ePO: 124 La vista Policies (Criteri), che consente di configurare Desktop Firewall per un computer o un gruppo specifico. La vista Properties (Proprietà), che consente di raccogliere informazioni sulla versione di Desktop Firewall per un computer specifico. La vista Tasks (Operazioni), che consente di pianificare Desktop Firewall per la distribuzione. Software McAfee Desktop FirewallTM versione 8.0 Accesso a Desktop Firewall mediante ePolicy Orchestrator Vista Policies (Criteri) Nella scheda Policies (Criteri) di ePolicy Orchestrator sono elencate tutte le applicazioni che è possibile distribuire a un computer o gruppo selezionato. In tale scheda è anche possibile configurare queste applicazioni prima di distribuirle. Per visualizzare la scheda Policies (Criteri): 1 Utilizzare la struttura della console ePolicy Orchestrator per selezionare un computer o un gruppo. Tale selezione causa la visualizzazione delle schede Policies (Criteri), Properties (Proprietà) e Tasks (Operazioni) nel riquadro dei dettagli di ePO. 2 Selezionare la scheda Policies (Criteri). Il riquadro dei dettagli viene diviso in due parti: il riquadro dei dettagli superiore e quello inferiore. Nella parte superiore sono elencate tutte le applicazioni che è possibile distribuire a questo computer o gruppo. Nel riquadro inferiore sono mostrate informazioni sull'applicazione selezionata nel riquadro superiore. Desktop Firewall dovrebbe figurare in questo elenco come McAfee Desktop Firewall 8.0. In caso contrario, controllare di aver installato il prodotto correttamente. Per informazioni più dettagliate, consultare la Guida all'installazione di Desktop Firewall. Per configurare Desktop Firewall per la distribuzione, è necessario aprire la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. A tale scopo: 1 Utilizzare la struttura della console ePolicy Orchestrator per selezionare un computer o un gruppo. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, fare doppio clic su McAfee Desktop Firewall 8.0. Administrative Options (Opzioni di amministrazione) è visualizzato nell'elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. Guida al prodotto 125 Introduzione a Desktop Firewall ed ePO Figura 7-12. Pagina Administrative Options (Opzioni di amministrazione) in ePO La pagina Administrative Options (Opzioni di amministrazione) utilizza un'interfaccia simile a quella della versione autonoma di Desktop Firewall. Contiene una serie di schede che consentono di configurare Desktop Firewall per la distribuzione. Tra queste schede sono incluse: La scheda Firewall Configuration (Configurazione Firewall), per impostare la funzione firewall. La scheda Application Configuration (Configurazione delle applicazioni), per impostare la funzione di monitoraggio delle applicazioni. La scheda Intrusion Configuration (Configurazione per le intrusioni) per impostare il sistema di rilevamento delle intrusioni. La scheda Administrative Configuration (Configurazione amministrativa) per impostare le funzioni specifiche per ePO in Desktop Firewall. Prima di configurare Desktop Firewall per un determinato gruppo o computer ePolicy Orchestrator, è necessario deselezionare la casella di controllo Inherit (Ereditarietà) nella parte superiore della pagina Administrative Options (Opzioni di amministrazione). In caso contrario, ePO assegna automaticamente a questo computer o gruppo la stessa configurazione di Desktop Firewall del sito o gruppo a cui appartiene. Questo sistema è definito ereditarietà dei criteri. Per ulteriori informazioni, consultare Informazioni sull'ereditarietà dei criteri a pagina 138. Una volta terminate le modifiche alla configurazione, fare sempre clic sul pulsante Apply (Applica) nella parte superiore della pagina Administrative Options (Opzioni di amministrazione) per salvare le modifiche. 126 Software McAfee Desktop FirewallTM versione 8.0 Accesso a Desktop Firewall mediante ePolicy Orchestrator Scheda Firewall Configuration (Configurazione Firewall) La scheda Firewall Configuration (Configurazione Firewall) consente di configurare la funzione firewall. Tale funzione consente di filtrare le comunicazioni di rete in entrata e in uscita. Mediante questa scheda è possibile: Attivare o disattivare la funzione firewall utilizzando la casella di controllo Enable Firewall (Abilita Firewall). Abilitare o disabilitare la Learn Mode, utilizzando le caselle di controllo Learn Mode (Modalità di apprendimento). Selezionare un gruppo predefinito di regole del firewall dall'elenco Policy Template (Modello criteri). Identificare gli indirizzi IP e le subnet ritenuti sicuri, aggiungendoli all'elenco Trusted Networks (Reti attendibili) (fare clic sul pulsante Trusted (Attendibile)). Utilizzare l'elenco Administrative Rules (Regole Amministrative) per esaminare le regole del firewall che ePO distribuisce. Utilizzare l'elenco Client Rules (Regole client) per esaminare le regole aggiunte dall'utente selezionato. Sostituire le regole utente, utilizzando la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Creare nuovi gruppi e regole del firewall utilizzando il pulsante Add (Aggiungi). Modificare o visualizzare le regole selezionate del firewall, utilizzando il pulsante Properties (Proprietà). Eliminare le regole del firewall, utilizzando il pulsante Remove (Rimuovi). Figura 7-13. Scheda Firewall Configuration (Configurazione Firewall) in ePO Guida al prodotto 127 Introduzione a Desktop Firewall ed ePO L'elenco delle regole e le altre opzioni di interfaccia contenute in questa scheda sono le stesse della scheda Firewall Policy (Criteri Firewall) della versione autonoma di Desktop Firewall. A differenza della versione autonoma, la funzione firewall di ePolicy Orchestrator include alcune funzioni aggiuntive: L'elenco delle regole contiene due sezioni. Nella parte superiore dell'elenco delle regole sono comprese le regole amministrative, ossia regole impostate e distribuite con ePolicy Orchestrator. Nella parte inferiore dell'elenco delle regole sono comprese le regole utente, ossia regole che l'utente selezionato ha aggiunto manualmente oppure mediante la Learn Mode (Modalità di apprendimento). Se si desidera aggiungere le regole utente alle regole da distribuire, è possibile trascinarle dall’elenco delle Client Rules a quello delle Administrative Rules. Le regole utente possono essere sovrascritte. Nell'elenco delle Client Rules list (regole client) sono mostrate le regole create dagli utenti. Desktop Firewall le sovrascrive ogni volta che si esegue una modifica di configurazione in ePolicy Orchestrator. Se non si desidera sostituire le regole utente, selezionare la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Se, però, si desidera che una nuova serie di regole sostituisca completamente i criteri di Desktop Firewall esistenti, deselezionare questa casella di controllo. È possibile esaminare le regole note. Quando si fa clic su Add (Aggiungi) la versione di Desktop Firewall per ePolicy Orchestrator, offre un'opzione aggiuntiva: Predefined Rules (Regole predefinite). Quando si seleziona questa opzione viene visualizzata la finestra di dialogo Select Predefined Rules (Seleziona le regole predefinite), in cui è contenuto un elenco di tutte le regole preimpostate in Desktop Firewall. È possibile aggiungere le regole desiderate di questo elenco all'elenco delle regole amministrative, selezionandole e facendo clic su OK. Scheda Application Configuration (Configurazione delle applicazioni) La scheda Application Configuration (Configurazione delle applicazioni) consente di configurare la funzione di monitoraggio delle applicazioni di Desktop Firewall. Tale funzione consente di controllare le applicazioni utilizzate dagli utenti. Con il monitoraggio delle applicazioni è possibile specificare se un'applicazione può essere eseguita (funzione nota come creazione applicazione) e se può collegarsi ad altri programmi (funzione nota come hook applicazioni). È inoltre possibile: 128 Attivare o disattivare il monitoraggio delle applicazioni, utilizzando le due caselle di controllo per l'Enable (Attivazione) in alto. Abilitare o disabilitare la Learn Mode, utilizzando le caselle di controllo Learn Mode (Modalità di apprendimento). Software McAfee Desktop FirewallTM versione 8.0 Accesso a Desktop Firewall mediante ePolicy Orchestrator Utilizzare l'elenco delle Administrative Rules (Regole Amministrative) per esaminare le regole delle applicazioni che ePO distribuisce. Utilizzare l'elenco delle Client Rules (Regole client) per esaminare le regole aggiunte dall'utente selezionato. Sostituire le regole utente, utilizzando la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Creare nuove regole di applicazione, utilizzando il pulsante Add (Aggiungi). Modificare o visualizzare le regole di applicazione selezionate, utilizzando il pulsante Properties (Proprietà). Eliminare le regole di applicazione, utilizzando il pulsante Remove (Rimuovi). Figura 7-14. Scheda Application Configuration (Configurazione delle applicazioni) in ePO L'elenco delle regole e le altre opzioni di interfaccia contenute in questa scheda sono le stesse della scheda Criteri applicazione della versione autonoma di Desktop Firewall. A differenza della versione autonoma, l'interfaccia della versione per ePolicy Orchestrator include due funzioni aggiuntive: L'elenco delle regole contiene due sezioni. Nella parte superiore dell'elenco delle regole sono comprese le regole amministrative, ossia regole impostate e distribuite con ePolicy Orchestrator. Nella parte inferiore dell'elenco delle regole sono comprese le regole utente, ossia regole che l'utente selezionato ha aggiunto manualmente oppure mediante la Learn Mode (Modalità di apprendimento). Se si desidera aggiungere le regole utente alle regole da distribuire, è possibile trascinarle dall’elenco delle Client Rules a quello delle Administrative Rules. Guida al prodotto 129 Introduzione a Desktop Firewall ed ePO Le regole utente possono essere sovrascritte. Nell'elenco delle Learn Mode sono mostrate le regole create dagli utenti. Desktop Firewall le sovrascrive ogni volta che si esegue una modifica di configurazione in ePolicy Orchestrator. Se non si desidera sostituire le regole utente, selezionare la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Se, però, si desidera che una nuova serie di regole sostituisca completamente i criteri di Desktop Firewall esistenti, deselezionare questa casella di controllo. Scheda Intrusion Configuration (Configurazione per le intrusioni) La scheda Intrusion Configuration (Configurazione per le intrusioni) consente di configurare le impostazioni per l'IDS (sistema di rilevamento delle intrusioni). Quando si attiva questa funzione, Desktop Firewall esegue un controllo costante per rilevare eventuali aggressioni contro il computer che sta proteggendo. È possibile utilizzare questa scheda per definire se si desidera che un Desktop Firewall distribuito debba: 130 Bloccare gli attacchi sospetti oppure consentire il passaggio del traffico di rete. Aggiungere gli indirizzi IP dei potenziali intrusi all’elenco degli indirizzi bloccati. Inviare messaggi di avviso tramite posta elettronica quando viene rilevato un attacco potenziale al sistema. Visualizzare un messaggio di avviso quando il computer viene attaccato. Emettere un avviso sonoro oppure far lampeggiare l'icona del programma sulla barra delle applicazioni per indicare un attacco potenziale. Eliminare le voci nell'elenco degli indirizzi bloccati ogni volta che riceve i criteri di aggiornamento da ePolicy Orchestrator. Utilizzare alcune o tutte le firme IDS disponibili. Software McAfee Desktop FirewallTM versione 8.0 Accesso a Desktop Firewall mediante ePolicy Orchestrator Figura 7-15. Scheda Intrusion Configuration (Configurazione per le intrusioni) in ePO La scheda Intrusion Configuration (Configurazione per le intrusioni) consente di controllare le stesse impostazioni di rilevamento delle intrusioni della finestra di dialogo Opzioni di McAfee Desktop Firewall nella versione autonoma del software. Tenere presente che se si consente agli utenti di Desktop Firewall di modificare le impostazioni dei propri programmi, le selezioni operate in questa scheda rappresenteranno semplici impostazioni predefinite da poter cambiare. Se, però, l'interfaccia di Desktop Firewall viene bloccata (mediante la scheda Administrative Configuration (Configurazione amministrativa), tali impostazioni diventeranno fisse finché non verranno modificate da un amministratore di ePO. Per ulteriori informazioni, consultare Blocco e sblocco di parti dell'interfaccia di Desktop Firewall a pagina 143. Scheda Administrative Configuration (Configurazione amministrativa) La scheda Administrative Configuration (Configurazione amministrativa) consente di controllare in che modo Desktop Firewall appare agli utenti e di configurare le relative funzioni specifiche per ePO. Mediante questa scheda è possibile: Nascondere Desktop Firewall agli utenti. Impedire agli utenti di accedere a specifiche funzioni di Desktop Firewall. Attivare e disattivare la Audit Learn Mode (Modalità di apprendimento controllo) per le funzioni firewall e di monitoraggio delle applicazioni. Configurare la Quarantine Mode (Modalità quarantena). Importare le impostazioni per firewall, monitoraggio delle applicazioni e IDS da un file dei criteri esistente. Guida al prodotto 131 Introduzione a Desktop Firewall ed ePO Configurare Desktop Firewall in modo che invii i dati sugli eventi a ePolicy Orchestrator, per poter utilizzare le informazioni per creare dei report. Figura 7-16. Scheda Administrative Configuration (Configurazione amministrativa) in ePO La scheda contiene due sezioni: la sezione Administrative Configuration Options (Opzioni di configurazione amministrativa) consente di impostare le funzioni specifiche per ePO. Opzione Funzione Enable Error Reporting (Attiva report errori) Consente al Desktop Fiewall di tenere traccia e creare un report delle informazioni sui problemi interni del software. Enable ePO Reporting (Attiva report ePO) Comunica a Desktop Firewall di inviare o meno i dati sugli eventi a ePolicy Orchestrator. I dati sugli eventi sono simili ai dati del Registro delle attività nella versione autonoma. ePolicy Orchestrator utilizza i dati sugli eventi per creare dei report. Se questa opzione viene deselezionata, il prodotto distribuito non invierà a ePolicy Orchestrator le informazioni sugli eventi e non sarà possibile generare i report di Desktop Firewall per questo computer o gruppo. 132 Enable Rulelist Exporting (Attiva esportazione elenco regole) Attiva o disattiva l'opzione Export Policy (Criteri di esportazione) nel menu Tasks (Operazione) dei Desktop Firewall distribuiti. Hide Tray Icon from Users (Nascondi agli utenti le icone della barra delle applicazioni) Mostra o nasconde l'icona di Desktop Firewall sulla barra delle applicazioni. Software McAfee Desktop FirewallTM versione 8.0 Accesso a Desktop Firewall mediante ePolicy Orchestrator Opzione Funzione Enable Firewall Audit Learn Mode (Attiva modalità di apprendimento controllo Firewall) Attiva o disattiva la Audit Learn Mode (Modalità di apprendimento controllo) per le funzioni firewall e di monitoraggio delle applicazioni. Enable Application Audit Learn Mode (Attiva modalità di apprendimento controllo applicazione) Enable Application Hooking Audit Learn Mode (Attiva modalità di apprendimento controllo hook dell'applicazione) Quando la Audit Learn Mode è attivata, Desktop Firewall esegue il monitoraggio di traffico e applicazioni per cui non dispone di regole. Quando individua del traffico o delle applicazioni sconosciute, Desktop Firewall crea automaticamente nuove regole per autorizzarli. Gli avvisi della Learn Mode non vengono visualizzati agli utenti come avviene per la Modalità di apprendimento disponibile sulle schede Firewall Policy (Criteri Firewall) e Application Policy (Criteri applicazione). La Audit Learn Mode offre un modo per generare regole del firewall e delle applicazioni da riesaminare in un secondo momento. Ciò risulta utile quando si distribuisce Desktop Firewall per i gruppi di prova, come descritto nella Guida all'installazione di Desktop Firewall. Configure Quarantine Mode (Configura modalità quarantena) Apre la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Import Policy From File (Importa criterio dal file) Consente di importare i criteri per firewall, monitoraggio delle applicazioni e IDS da un file dei criteri esistente. È possibile utilizzare questa finestra di dialogo per impostare le reti protette. È necessario che tutti gli utenti di Desktop Firewall su queste reti dispongano sempre di criteri aggiornati. Se ePolicy Orchestrator rileva che un utente dispone di criteri vecchi, lo pone in quarantena. Ciò vuol dire che l'utente può comunicare solo con ePO e con l'indirizzo IP specificato. Rimane in quarantena finché ePolicy Orchestrator non ne aggiorna il software. Questa opzione offre un modo rapido per configurare Desktop Firewall per la distribuzione. La sezione Allow Client Users to Configure... (Autorizza gli utenti client di configurare...) consente di definire le porzioni di Desktop Firewall da rendere accessibili agli utenti quando si distribuisce il software. È possibile impostare le funzioni firewall, IDS e monitoraggio delle applicazioni separatamente. Selezionare la funzione che si desidera configurare dall'elenco a sinistra. L'elenco di opzioni che è possibile controllare varia in base alla selezione. Per consentire agli utenti di gestire un elemento di interfaccia, selezionare l'opzione corrispondente. Per impedire agli utenti di modificare le impostazioni di un'opzione, deselezionare la casella di controllo corrispondente. Guida al prodotto 133 Introduzione a Desktop Firewall ed ePO Ad esempio, per consentire agli utenti di attivare e disattivare il firewall, selezionare l'opzione Allow Client to Enable/Disable Firewall (Autorizza il client di attivare/disattivare il Firewall). Per impedire agli utenti di aggiungere proprie regole del firewall, deselezionare la casella di controllo Allow Client to Create Additional Firewall Rules (Autorizza il client di creare ulteriori regole Firewall). Vista Properties (Proprietà) La scheda Properties (Proprietà) di ePolicy Orchestrator consente di visualizzare informazioni sulla versione del software distribuito a un determinato computer. Per Desktop Firewall, è possibile visionare informazioni quali: La versione del software distribuita a tale computer. La lingua distribuita. La cartella in cui è stato installato Desktop Firewall. Le regole aggiunte da un client al gruppo di regole distribuite. NOTA Molte di tali informazioni non presentano un formato leggibile. Non è possibile apportare modifiche in questa vista, ma solo verificare che Desktop Firewall sia stato distribuito correttamente. Per visualizzare la scheda Properties (Proprietà): 1 Utilizzare la struttura della console ePolicy Orchestrator per selezionare un computer in cui è stato installato Desktop Firewall. Nel riquadro dei dettagli di ePolicy Orchestrator vengono visualizzate le schede Policies (Criteri), Properties (Proprietà) e Tasks (Operazioni). 2 Selezionare la scheda Properties (Proprietà). 3 Individuare McAfee Desktop Firewall 8.0 nell'elenco Properties (Proprietà) ed espanderlo. In ePolicy Orchestrator sono elencate due categorie: General (Generale) e ClientPolicy (Criteri client): Se si desiderano informazioni sulla versione installata, espandere General (Generale). Se si desiderano informazioni sulle regole create dai client, espandere ClientPolicy (Criteri client). 134 Software McAfee Desktop FirewallTM versione 8.0 Accesso a Desktop Firewall mediante ePolicy Orchestrator Vista Tasks (Operazioni) Nella scheda Tasks (Operazioni) di ePolicy Orchestrator è contenuto un elenco delle operazioni create per un determinato gruppo o computer. Queste operazioni possono includere le operazioni di Desktop Firewall. Con questa scheda è anche possibile creare nuove operazioni. Per visualizzare la scheda Tasks (Operazioni): 1 Utilizzare la struttura della console ePolicy Orchestrator per selezionare un computer o un gruppo. Nel riquadro dei dettagli di ePolicy Orchestrator vengono visualizzate le schede Policies (Criteri), Properties (Proprietà) e Tasks (Operazioni). 2 Selezionare la scheda Tasks (Operazioni). ePolicy Orchestrator elenca tutte le operazioni note per tale gruppo o computer. Ciascuna riga dell'elenco delle operazioni rappresenta una singola operazione. Guida al prodotto 135 Introduzione a Desktop Firewall ed ePO 136 Software McAfee Desktop FirewallTM versione 8.0 Impostazione del software per la distribuzione 8 Prima di distribuire Desktop Firewall, è necessario configurare il software e impostare i criteri di base. In questa sezione sono illustrate le attività del livello amministrativo che è necessario eseguire, incluso: Utilizzo dell'ereditarietà dei criteri per semplificare la configurazione di Desktop Firewall (Informazioni sull'ereditarietà dei criteri a pagina 138). Scelta delle funzioni da eseguire (Scelta delle funzioni da eseguire a pagina 138). Come nascondere Desktop Firewall agli utenti (consultare Come visualizzare o nascondere Desktop Firewall a pagina 143). Controllo delle parti dell'interfaccia di Desktop Firewall modificabili dagli utenti (consultare Blocco e sblocco di parti dell'interfaccia di Desktop Firewall). Configurazione di Desktop Firewall mediante l'importazione di un file dei criteri esistente (consultare Configurazione del software mediante l'importazione di un file di criteri a pagina 145). Configurazione della funzione di report di ePO (consultare Configurazione della funzione di report di ePO a pagina 146). Controllo dell’applicazione dei criteri di Desktop Firewall (consultare Controllo dell’applicazione dei criteri di Desktop Firewall a pagina 147). Una volta completate queste attività, è possibile configurare le specifiche opzioni di firewall, IDS, monitoraggio delle applicazioni e registrazione. Per ulteriori informazioni, consultare i capitoli successivi. Terminata la configurazione di Desktop Firewall, utilizzare ePolicy Orchestrator per distribuirlo ai vari utenti. Consultare la Guida all'installazione di Desktop Firewall per istruzioni e consigli sulla distribuzione. Se si apportano modifiche a una configurazione di Desktop Firewall dopo averlo implementato, ePolicy Orchestrator ritrasmette automaticamente le nuove informazioni ai client Desktop Firewall distribuiti mediante gli agenti ePO. Non è necessario programmare alcuna attività di ePolicy Orchestrator per aggiornare i criteri su un client Desktop Firewall esistente. Guida al prodotto 137 Impostazione del software per la distribuzione Informazioni sull'ereditarietà dei criteri Prima di distribuire Desktop Firewall, è necessario configurare il software per tutti gli utenti di destinazione, in modo che ricevano le regole e le impostazioni necessarie. È possibile configurare il software per ciascun utente singolarmente, ma con ePolicy Orchestrator questa operazione non è necessaria. È sufficiente utilizzare l'ereditarietà per semplificare la configurazione e la gestione di Desktop Firewall. In questo caso, ereditarietà significa che raggruppando i singoli utenti di Desktop Firewall in ePolicy Orchestrator, è possibile configurare il software a livello di gruppo piuttosto che a livello individuale. Tutti i membri del gruppo acquisiranno automaticamente (ossia, erediteranno) la configurazione creata per il gruppo. Quando si passa alla vista Policies (Criteri) (consultare Vista Policies (Criteri) a pagina 125) per configurare Desktop Firewall, viene visualizzata l'opzione Inherit (Ereditarietà) nella parte superiore della pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli in basso. Per impostazione predefinita, in ePolicy Orchestrator l'opzione Inherit (Ereditarietà) è attivata. Disattivare questa opzione se si desidera fornire a un singolo computer una diversa configurazione di Desktop Firewall rispetto agli altri membri del gruppo. Pianificare e impostare i gruppi di Desktop Firewall in ePolicy Orchestrator prima di iniziare la configurazione del software. In tale modo si sfrutta perfettamente la funzione di ereditarietà di ePO e si semplifica la gestione di Desktop Firewall. Scelta delle funzioni da eseguire Prima di distribuire Desktop Firewall, è necessario stabilire quali funzioni sono necessarie agli utenti. È possibile attivare o disattivare singole funzioni di Desktop Firewall senza alcun impatto sulle altre. Le scelte disponibili includono: Il firewall, che analizza il traffico di rete in entrata e in uscita, bloccandolo o consentendolo, in base a regole impostate dall'utente; Il sistema di monitoraggio delle applicazioni, che controlla le applicazioni utilizzate dagli utenti impedendone l'avvio o l'associazione ad altri programmi, sempre seguendo le impostazioni dell'utente; 138 L'IDS (Intrusion Detection System, Sistema di rilevamento delle intrusioni), che analizza il traffico destinato ai computer degli utenti e individua eventuali potenziali attacchi ai sistemi. Software McAfee Desktop FirewallTM versione 8.0 Scelta delle funzioni da eseguire Attivazione e disattivazione delle funzioni del firewall 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Firewall Configuration (Configurazione Firewall) per visualizzare la relativa scheda. 6 Utilizzare uno di metodi riportati di seguito: Per attivare il firewall, selezionare la casella di controllo Enable Firewall (Abilita Firewall). Per disattivare il firewall, deselezionare la casella di controllo Enable Firewall (Abilita Firewall). NOTA L'attivazione o disattivazione del firewall non attiva o disattiva il rilevamento delle intrusioni, il monitoraggio delle applicazioni né le funzioni di registrazione. 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Firewall Configuration (Configurazione Firewall). Guida al prodotto 139 Impostazione del software per la distribuzione Attivazione e disattivazione della funzione di monitoraggio delle applicazioni Desktop Firewall supporta due tipi di monitoraggio delle applicazioni. È possibile monitorare il tentativo di esecuzione delle applicazioni (creazione applicazioni) o il tentativo da parte di applicazioni di collegarsi ad altri programmi (hook applicazioni). Prestare attenzione quando si abilita il monitoraggio delle applicazioni per gli utenti di Desktop Firewall; le regole di applicazione potrebbero impedire loro di eseguire applicazioni necessarie. La soluzione a questo problema prevede l'attivazione della modalità di apprendimento. La modalità di apprendimento richiede all'utente di stabilire se desidera consentire o bloccare le applicazioni non riconosciute da Desktop Firewall. Il software crea nuove regole di applicazione basate su tali decisioni, che è possibile rivedere utilizzando la console ePolicy Orchestrator. Un'altra possibile soluzione consiste nell'utilizzo di un progetto pilota per sviluppare un set completo di regole per applicazioni e firewall prima di distribuire Desktop Firewall agli utenti. Per informazioni, consultare la Guida all'installazione di Desktop Firewall. NOTA L'attivazione o disattivazione del monitoraggio delle applicazioni non attiva o disattiva il firewall, il rilevamento delle intrusioni né le funzioni di registrazione. Per attivare e disattivare il monitoraggio di creazione applicazioni 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 140 Qui fare clic su Application Configuration (Configurazione applicazione) per visualizzare la relativa scheda. Software McAfee Desktop FirewallTM versione 8.0 Scelta delle funzioni da eseguire 6 Utilizzare uno di metodi riportati di seguito: Per attivare il monitoraggio delle applicazioni, selezionare la casella di controllo Enable Application Creation Monitor (Attiva il monitoraggio della creazione delle applicazioni). Per disattivare il monitoraggio delle applicazioni, deselezionare la casella di controllo Enable Application Creation Monitor (Attiva il monitoraggio della creazione delle applicazioni). 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Application Configuration (Configurazione applicazione). Per attivare e disattivare il monitoraggio dell'hook delle applicazioni 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Application Configuration (Configurazione applicazione) per visualizzare la relativa scheda. 6 Utilizzare uno dei metodi riportati di seguito: Per attivare il monitoraggio dell'hook delle applicazioni, selezionare la casella di controllo Enable Application Hooking Monitor (Attiva il monitoraggio dell'hook delle applicazioni). Per disattivare il monitoraggio dell'hook delle applicazioni, deselezionare la casella di controllo Enable Application Hooking Monitor (Attiva il monitoraggio dell'hook delle applicazioni). 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Application Configuration (Configurazione applicazione). Guida al prodotto 141 Impostazione del software per la distribuzione Attivazione e disattivazione della funzione IDS 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Intrusion Configuration (Configurazione per le intrusioni) per visualizzare la relativa scheda. 6 Utilizzare uno di metodi riportati di seguito: Per attivare il rilevamento intrusioni, selezionare la casella di controllo Enable Intrusion Detection (Attiva rilevamento intrusioni). Per disattivare il rilevamento intrusioni, deselezionare la casella di controllo Enable Intrusion Detection (Attiva rilevamento intrusioni). 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Intrusion Configuration (Configurazione per le intrusioni). NOTA L'attivazione o disattivazione della funzione IDS non attiva o disattiva il firewall, il monitoraggio delle applicazioni né le funzioni di registrazione. Controllo dell'attività dell'utente Desktop Firewall consente di controllare gli elementi visibili all'utente quando si distribuisce il software. È possibile: 142 Nascondere completamente il software, in modo che gli utenti non siano neanche consapevoli della presenza. Bloccare parti dell'interfaccia, in modo che gli utenti non possano modificare le impostazioni. Attivare o disattivare l'opzione Export Policy (Criteri di esportazione) nel menu Task (Operazione). Software McAfee Desktop FirewallTM versione 8.0 Controllo dell'attività dell'utente Come visualizzare o nascondere Desktop Firewall 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Nell'area Administrative Configuration Options (Opzioni di configurazione amministrativa), effettuare una delle seguenti operazioni: Per nascondere Desktop Firewall agli utenti, selezionare la casella di controllo Hide Tray Icon from Users (Nascondi agli utenti le icone della barra delle applicazioni). Per rendere Desktop Firewall visibile agli utenti, deselezionare la casella di controllo Hide Tray Icon from Users (Nascondi agli utenti le icone della barra delle applicazioni). 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Administrative Configuration (Configurazione amministrativa). Blocco e sblocco di parti dell'interfaccia di Desktop Firewall 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. Guida al prodotto 143 Impostazione del software per la distribuzione 5 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Selezionare la casella di controllo Allow Client Users to Configure the Following Options (Autorizza gli utenti client di configurare le seguenti opzioni). 7 Nell'elenco sotto questa casella di controllo, selezionare la funzione di Desktop Firewall che si desidera configurare (Firewall Configuration (Configurazione Firewall), Application Configuration (Configurazione delle applicazioni) o Intrusion Configuration (Configurazione per le intrusioni)). L'area Opzioni cambia per visualizzare un elenco di elementi di interfaccia da poter bloccare o sbloccare. 8 Selezionare e deselezionare le opzioni disponibili per configurare gli elementi di interfaccia a cui gli utenti posso accedere: Per bloccare un elemento dell'interfaccia, deselezionare la casella di controllo accanto al nome. Per sbloccare un elemento dell'interfaccia, selezionare la casella di controllo accanto al nome. 9 Fare clic sul pulsante Apply (Applica) sopra la scheda Administrative Configuration (Configurazione amministrativa). Attivazione e disattivazione dell'opzione Criteri di esportazione Questa procedura consente di attivare o disattivare l'opzione Export Policy (Criteri di esportazione) nel menu Task (Operazione) di Desktop Firewall. 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 144 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. Software McAfee Desktop FirewallTM versione 8.0 Configurazione del software mediante l'importazione di un file di criteri 6 Utilizzare uno di metodi riportati di seguito: Per consentire agli utenti di esportare le impostazioni dei criteri di Desktop Firewall, selezionare la casella di controllo Enable Rulelist Exporting (Attiva esportazione elenco regole). Per impedire agli utenti di esportare le impostazioni dei criteri di Desktop Firewall, deselezionare la casella di controllo Enable Rulelist Exporting (Attiva esportazione elenco regole). 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Administrative Configuration (Configurazione amministrativa). Configurazione del software mediante l'importazione di un file di criteri La configurazione di Desktop Firewall richiede tempo. Tuttavia, se già si dispone di una versione configurata del software, è possibile risparmiare tempo importando le impostazioni dei criteri in ePolicy Orchestrator. Per importare i criteri, è necessario innanzitutto creare un file di criteri. A tal fine, esportare le impostazioni di Desktop Firewall che si desidera utilizzare da una versione configurata del software. Per ulteriori informazioni, consultare Esportazione di un file dei criteri a pagina 82. Importazione di un file dei criteri in ePolicy Orchestrator 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Fare clic sul pulsante Import Policy From File (Importa criteri dal file). Guida al prodotto 145 Impostazione del software per la distribuzione 7 Individuare la cartella in cui è stato archiviato il file dei criteri da utilizzare, quindi selezionare il nome del file. 8 Fare clic su Open (Apri). ePolicy Orchestrator importa le regole e le impostazioni di Desktop Firewall e le utilizza per sostituire le informazioni nelle schede Configurazione Firewall, Configurazione delle applicazioni e Configurazione per le intrusioni. 9 Fare clic sul pulsante Apply (Applica) sopra la scheda Administrative Configuration (Configurazione amministrativa). NOTA L’importazione di un file dei criteri comporta la deselezione automatica delle caselle di controllo selezionate nella sezione Allow Client Users to Configure the Following Options (Autorizza gli utenti client di configurare le seguenti opzioni) della scheda Administrative Configuration (Configurazione amministrativa). È possibile che sia necessario riconfigurare tali impostazioni prima di distribuire Desktop Firewall oppure prima di inviare un aggiornamento dei criteri. Configurazione della funzione di report di ePO Desktop Firewall può rinviare i dati sugli eventi a ePolicy Orchestrator a intervalli regolari. Nei dati sugli eventi sono contenute informazioni sulle attività di Desktop Firewall; tali dati sono simili a quelli del Registro delle attività nella versione autonoma del software. ePolicy Orchestrator utilizza i dati sugli eventi di Desktop Firewall per la creazione di report. L'opzione di report è attiva per impostazione predefinita. Se tuttavia, si desidera escludere un utente o un gruppo specifico dai report, è possibile disattivare l'opzione ePO Reporting (Report ePO). Attivazione e disattivazione dell'opzione di report di ePO 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo che si desidera configurare. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 146 Selezionare Administrative Options (Opzioni di amministrazione). Software McAfee Desktop FirewallTM versione 8.0 Controllo dell’applicazione dei criteri di Desktop Firewall ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Utilizzare uno di metodi riportati di seguito: Per far sì che Desktop Firewall invii i dati sugli eventi a ePO, selezionare la casella di controllo Enable ePO Reporting (Attiva report ePO). Per impedire che Desktop Firewall invii i dati sugli eventi a ePO, deselezionare la casella di controllo. 7 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Controllo dell’applicazione dei criteri di Desktop Firewall I criteri consistono in una serie di regole e impostazioni di configurazione da distribuire ai programmi Desktop Firewall implementati mediante ePolicy Orchestrator. I Desktop Firewall implementati solitamente ricevono automaticamente le regole e le impostazioni aggiornate mediante gli agenti ePO, i quali applicano distribuiscono gli aggiornamenti a intervalli regolari, che è possibile configurare. Desktop Firewall applica tali aggiornamenti appena li riceve da un agente. È possibile impedire a ePolicy Orchestrator e a Desktop Firewall l'applicazione dei nuovi criteri attenendosi alla seguente procedura. Applicazione dei criteri 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il sito, il gruppo o il computer che si desidera configurare. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, fare doppio clic su McAfee Desktop Firewall 8.0. ePolicy Orchestrator visualizza le opzioni di Desktop Firewall nel riquadro dettagli inferiore. 4 Deselezionare Inherit (Ereditarietà). Guida al prodotto 147 Impostazione del software per la distribuzione 5 148 Utilizzare uno dei metodi riportati di seguito: Se Procedere così Se non si desidera applicare alcun criterio di Desktop Firewall Deselezionare la casella di controllo Enforce policies for Desktop Firewall 8.0 (Forza criteri per Desktop Firewall 8.0). Se si desidera applicare i criteri Selezionare la casella di controllo Enforce policies for Desktop Firewall 8.0 (Forza criteri per Desktop Firewall 8.0). Software McAfee Desktop FirewallTM versione 8.0 9 Configurazione del Firewall mediante ePO In questa sezione sono presentate le funzioni firewall disponibili solo mediante ePolicy Orchestrator. Sono inclusi i seguenti argomenti: Utilizzo delle regole del firewall in ePO. Impostazione della quarantena. Per informazioni sul firewall che è comune alla versione autonoma e a quella per ePolicy Orchestrator del software, consultare Configurazione del firewall a pagina 63. In particolare, consultare le seguenti sezioni: Attivazione e disattivazione delle funzioni del firewall a pagina 69 Utilizzo dei livelli di protezione e degli archivi dei criteri a pagina 70 Configurazione delle reti attendibili a pagina 73 Gestione delle regole del firewall a pagina 77 Quando si utilizzano queste procedure, tenere presente che la scheda Firewall Policy (Criteri Firewall) è denominata Firewall Configuration (Configurazione Firewall) in ePolicy Orchestrator. Utilizzo delle regole del firewall in ePO Le regole di creazione e di modifica del firewall funzionano esattamente nello stesso modo sia nella versione autonoma che in quella per ePolicy Orchestrator di Desktop Firewall. La versione per ePO include tuttavia alcune funzioni aggiuntive: È possibile rivedere tutte le regole del firewall aggiunte da un utente ai Desktop Firewall distribuiti. È possibile aggiungere una qualsiasi delle regole firewall note di Desktop Firewall all’ elenco delle Administrative rules (regole amministrative). È possibile utilizzare la Firewall Audit Learn Mode (Modalità apprendimento controllo firewall) per la creazione automatica di nuove regole su un computer dell’utente. Guida al prodotto 149 Configurazione del Firewall mediante ePO Revisione delle regole di un utente In ePolicy Orchestrator, la scheda Firewall Configuration (Configurazione Firewall) contiene due sezioni: L’Administrative Rule list (elenco delle regole amministrative). (La parte superiore dell’elenco di regole). Questo elenco contiene regole administrative che si impostano e distribuiscono mediante ePolicy Orchestrator. Il Client Rules list (elenco delle regole client). (La parte inferiore delle elenco di regole). Questo elenco visualizza le regole personalizzate aggiunte da un utente selezionato. Per compilare l’elenco delle Client Rules (Regole client), ePolicy Orchestrator deve raccogliere le Full properties (Proprietà complete), quando comunica con un agente ePO dell’utente. Se nella scheda Firewall Configuration (Configurazione Firewall) non sono presenti le regole utente, controllare la configurazione dell’agente ePolicy Orchestrator dell’utente. Accertarsi che l’opzione Full properties (Proprietà complete) sia attivata. Per ulteriori informazioni, consultare la Guida al prodotto di ePolicy Orchestrator. Le regole personalizzate di un utente non possono essere modificate o eliminate, però è possibile copiarle. È inoltre possibile scegliere se si desidera conservare le regole personalizzate di un utente quando si inviano gli aggiornamenti dei criteri mediante ePolicy Orchestrator. (Gli aggiornamenti dei criteri includono le nuove regole o impostazioni di Desktop Firewall). Per copiare le regole di un utente 1 Nella struttura della console ePolicy Orchestrator, espandere l’icona Directory e individuare il computer che si desidera configurare. Non è possibile visualizzare le regole utente per i siti o i gruppi di ePolicy Orchestrator. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell’elenco delle applicazioni e fare doppio clic su questa voce. Administrative Options (Opzioni di amministrazione) è visualizzato nell’elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. 5 150 Qui fare clic su Firewall Configuration (Configurazione Firewall) per visualizzare la relativa scheda. Software McAfee Desktop FirewallTM versione 8.0 Utilizzo delle regole del firewall in ePO Le regole del firewall configurate verranno visualizzate nell’elenco delle Administrative Rules (Regole amministrative). Se l’utente ha creato regole del firewall aggiuntive, vengono visualizzate nell’elenco delle Client Rules (Regole client). 6 Nell’elenco delle Client Rules (Regole client), selezionare le regole da copiare. 7 Trascinare queste regole nell’elenco delle Administrative Rules (Regole amministrative). 8 Fare clic sul pulsante Apply (Applica) sopra la scheda Firewall Configuration (Configurazione Firewall). Per conservare o sovrascrivere le regole utente 1 Nella struttura della console ePolicy Orchestrator, espandere l’icona Directory e individuare il computer che si desidera configurare. Non è possibile visualizzare le regole utente per i siti o i gruppi di ePolicy Orchestrator. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell’elenco delle applicazioni e fare doppio clic su questa voce. Administrative Options (Opzioni di amministrazione) è visualizzato nell’elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. 5 Qui fare clic su Firewall Configuration (Configurazione Firewall) per visualizzare la relativa scheda. Le regole del firewall configurate verranno visualizzate nell’elenco delle Administrative Rules (Regole amministrative). Se l’utente ha creato regole del firewall aggiuntive, vengono visualizzate nell’elenco delle Client Rules (Regole client). 6 Utilizzare uno di metodi riportati di seguito: Per conservare le regole personalizzate dell’utente quando si inviano gli aggiornamenti dei criteri, selezionare la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Per sovrascrivere le regole personalizzate dell’utente quando si inviano gli aggiornamenti, deselezionare questa casella di controllo. 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Firewall Configuration (Configurazione Firewall). Guida al prodotto 151 Configurazione del Firewall mediante ePO Utilizzo delle regole note Nella scheda Firewall Configuration (Configurazione Firewall), creare un elenco di regole del firewall aggiungendo nuove regole del firewall e gruppi. È anche possibile aprire e utilizzare un elenco di regole note di Desktop Firewall. Le regole note sono regole del firewall predefinite per diverse applicazioni. È possibile aggiungere una qualsiasi delle regole note all’elenco delle Administrative Rules (Regole amministrative). Aggiunta delle regole note all’elenco delle regole del firewall 1 Nella struttura della console ePolicy Orchestrator, espandere l’icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell’elenco delle applicazioni e fare doppio clic su questa voce. Administrative Options (Opzioni di amministrazione) è visualizzato nell’elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. 5 Qui fare clic su Firewall Configuration (Configurazione Firewall) per visualizzare la relativa scheda. 6 Fare clic su Add (Aggiungi). 7 Selezionare Predefined Rules (Regole predefinite). Viene visualizzata la finestra di dialogo Select Predefined Rules (Seleziona le regole predefinite). 8 Selezionare le regole che si desidera aggiungere all’elenco delle regole del firewall. 9 Fare clic su OK. Desktop Firewall aggiunge la selezione all’elenco delle Administrative Rules (Regole amministrative) nella scheda Firewall Configuration (Configurazione Firewall). 10 Fare clic sul pulsante Apply (Applica) sopra la scheda Firewall Configuration (Configurazione Firewall). 152 Software McAfee Desktop FirewallTM versione 8.0 Utilizzo delle regole del firewall in ePO Utilizzo della modalità di apprendimento controllo per la creazione delle regole La Audit Learn Mode (Modalità di apprendimento controllo) è un’opzione disponibile sia per la funzione di monitoraggio delle applicazioni che per la funzione firewall. Quando si attiva la Firewall Audit Learn Mode (Modalità di apprendimento controllo firewall), Desktop Firewall monitora il traffico di rete generato dagli utenti. Quando viene individuato del traffico per cui non esiste alcuna regola, Desktop Firewall crea automaticamente una nuova regola che consente il traffico. La Firewall Audit Learn Mode (Modalità di apprendimento controllo firewall) è simile alla normale Modalità di apprendimento disponibile nelle versioni di Desktop Firewall autonome e distribuite. La principale differenza consiste nel fatto che con la normale Learn Mode, gli utenti devono rispondere a una richiesta ogni qualvolta Desktop Firewall rileva del traffico che non riconosce. Con la Firewall Audit Learn Mode, gli utenti sono obbligati a rispondere alle richieste, perché Desktop Firewall consente automaticamente tutto il traffico. La Firewall Audit Learn Mode (Modalità di apprendimento controllo firewall) fornisce un metodo per generare automaticamente le regole del firewall e rivederle successivamente. Questa opzione risulta utile quando si distribuisce Desktop Firewall a gruppi di prova per creare un gruppo di regole di base, come descritto nella Guida all’installazione di Desktop Firewall. Attivazione e disattivazione della modalità di apprendimento controllo firewall 1 Nella struttura della console ePolicy Orchestrator, espandere l’icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell’elenco delle applicazioni e fare doppio clic su questa voce. Administrative Options (Opzioni di amministrazione) è visualizzato nell’elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. 5 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. Guida al prodotto 153 Configurazione del Firewall mediante ePO 6 Utilizzare uno di metodi riportati di seguito: Per attivare la Audit Learn Mode (Modalità di apprendimento controllo), selezionare la casella di controllo Enable Firewall Audit Learn Mode (Attiva modalità di apprendimento controllo Firewall). Per disattivare la Audit Learn Mode, selezionare la casella di controllo. 7 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Impostazione della quarantena La Quarantine Mode (modalità quarantena) consente di limitare la possibilità di un utente di comunicare con la rete se ePolicy Orchestrator rileva che questi non dispone di tutti i criteri, gli aggiornamenti del software e i file DAT ecc. più recenti. NOTA Desktop Firewall applica la Quarantine Mode per tutte le applicazioni gestite da ePO. Ciò significa che se si utilizza ePolicy Orchestrator per installare VirusScan sul computer di un utente, Desktop Firewall porrà le applicazioni in quarantena se non dispongono della versione più recente dei file DAT di VirusScan. In Quarantine Mode, ePolicy Orchestrator e Desktop Firewall monitorano lo stato di tutte le applicazioni ePO. Questa funzione protegge la rete. I file e i criteri non aggiornati possono creare delle falle nella protezione e rendendo gli utenti vulnerabili agli attacchi. Ponendo in quarantena gli utenti finché ePolicy Orchestrator non li aggiorna, si evitano inutili rischi. La Quarantine Mode risulta utile, ad esempio, per gli utenti di computer portatili i cui criteri e file diventano facilmente obsoleti quando si rimane lontani dalla rete aziendale anche per pochi giorni. Quando si attiva la Quarantine Mode, sono coinvolti sia ePolicy Orchestrator che Desktop Firewall. ePolicy Orchestrator rileva se un utente dispone di tutte le informazioni aggiornate necessarie. Desktop Firewall applica la quarantena alle comunicazioni se l’utente non dispone di tutti i criteri e i file necessari. 154 Software McAfee Desktop FirewallTM versione 8.0 Impostazione della quarantena Quando Desktop Firewall pone un utente in quarantena, applica una serie particolare di regole del firewall sulla quarantena. Quando si crea questo gruppo di regole, viene specificato con chi l’utente può o non può comunicare mentre è in quarantena. NOTA Quando si crea un gruppo di regole sulla quarantena, consentire sempre agli utenti in quarantena di comunicare con il server ePO. In caso contrario, non saranno in grado di ricevere gli aggiornamenti dei criteri e potrebbero rimanere in quarantena all’infinito. Inoltre, se l’utente si collega alla rete mediante il software VPN, controllare che il gruppo di regole sulla quarantena consenta il traffico necessario per collegarsi e autenticarsi su VPN. Funzionamento della modalità quarantena Quando si configura la Quarantine Mode (modalità quarantena) per un utente o un gruppo, si specifica un elenco di indirizzi IP e subnet in quarantena. Se la rete assegna all’utente uno di questi indirizzi, Desktop Firewall li pone immediatamente in quarantena. Una volta posti in Quarantine Mode, Desktop Firewall utilizza l’agente ePO per scoprire se l’utente dispone dei criteri e dei file necessari più recenti. Se l’agente ePO rileva che l’utente è aggiornato, Desktop Firewall toglie immediatamente l’utente dalla quarantena. Se tuttavia l’agente ePO fornisce una risposta diversa, Desktop Firewall non annulla automaticamente la quarantena: Se ePolicy Orchestrator risponde che l’utente non è aggiornato o che sta eseguendo la procedura di aggiornamento dell’utente, Desktop Firewall continua ad applicare la Quarantine Mode fino a che lo stato non cambia. L’agente ePO controlla lo stato dell’utente ogni volta che quest’ultimo contatta ePolicy Orchestrator per ottenere gli aggiornamenti. Gli utenti possono restare in Quarantine Mode per pochi minuti, mentre l’agente ePO aggiorna i criteri e i file. Se l’agente ePO, per un qualsiasi motivo, non riesce a determinare se l’utente è aggiornato (ad esempio, se non può contattare il server ePolicy Orchestrator), Desktop Firewall può continuare la Quarantine Mode o annullarla. L’azione che Desktop Firewall deve effettuare quando si configura la Quarantine Mode viene stabilita dall’utente (consultare Configurazione dell’opzione Quarantine Mode (Modalità quarantena) a pagina 158). Se si configura Desktop Firewall per continuare ad applicare la quarantena, gli utenti possono restare in quarantena per un periodo di tempo prolungato. Guida al prodotto 155 Configurazione del Firewall mediante ePO Durante la Quarantine Mode (modalità quarantena), Desktop Firewall applica un preciso gruppo di regole del firewall (il Set di regole di quarantena). È possibile definire con quali utenti in quarantena comunicare aggiungendo le regole a questo gruppo di regole. Assicurarsi di consentire agli utenti in quarantena di comunicare con il server ePO. In caso contrario, non saranno in grado di ricevere gli aggiornamenti dei criteri e potrebbero rimanere in quarantena all’infinito. Inoltre, se l’utente si collega alla rete mediante il software VPN, controllare che il gruppo di regole sulla quarantena consenta il traffico necessario per collegarsi e autenticarsi su VPN. Impostazione della modalità quarantena Per impostare la Quarantine Mode (modalità quarantena): 1 Attivare la funzione per uno specifico computer o gruppo in ePolicy Orchestrator. Consultare Attivazione e disattivazione della modalità quarantena a pagina 157. 2 Definire le subnet e gli indirizzi IP che attivano la Quarantine Mode. Consultare Definizione delle reti in quarantena a pagina 158. 3 Configurare la modalità di reazione di Desktop Firewall quando non riceve una risposta da ePolicy Orchestrator durante l’applicazione della Quarantine Mode. Consultare Configurazione dell’opzione Quarantine Mode (Modalità quarantena) a pagina 158. 4 Impostare un messaggio di notifica per gli utenti in quarantena (se lo si desidera). Consultare Impostazione di un messaggio di notifica della quarantena a pagina 159. 5 Creare uno speciale elenco di regole del firewall per gli utenti in quarantena. Consultare Visualizzazione e modifica dell’elenco di regole della modalità quarantena a pagina 160. Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) 156 1 Nella struttura della console ePolicy Orchestrator, espandere l’icona Directory e individuare il computer o il gruppo per cui si desidera attivare la Quarantine Mode. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). Software McAfee Desktop FirewallTM versione 8.0 Impostazione della quarantena 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell’elenco delle applicazioni e fare doppio clic su questa voce. Administrative Options (Opzioni di amministrazione) è visualizzato nell’elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. 5 Fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Fare clic sul pulsante Configure Quarantine Mode (Configura modalità quarantena). Verrà visualizzata la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Attivazione e disattivazione della modalità quarantena 1 Aprire la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Consultare Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) a pagina 156. 2 Nella scheda General Quarantine Options (Opzioni generali di quarantena), effettuare una delle seguenti operazioni: Per attivare la Quarantine Mode, selezionare la casella di controllo Yes… (Sì…). Per disattivare la Quarantine Mode, deselezionare la casella di controllo. 3 Se la Quarantine Mode non è stata ancora configurata, attenersi alle seguenti procedure per configurare la funzione: Definizione delle reti in quarantena a pagina 158. Configurazione dell’opzione Quarantine Mode (Modalità quarantena) a pagina 158. Impostazione di un messaggio di notifica della quarantena a pagina 159. Visualizzazione e modifica dell’elenco di regole della modalità quarantena a pagina 160. 4 Fare clic su OK per chiudere la finestra di dialogo. 5 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Guida al prodotto 157 Configurazione del Firewall mediante ePO Definizione delle reti in quarantena 1 Aprire la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Consultare Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) a pagina 156. 2 Fare clic su ePO Quarantine Options (Opzioni di quarantena ePO) per visualizzare la relativa scheda. 3 Fare clic su Add (Aggiungi) nell’area Quarantined Networks (Reti in quarantena). Verrà visualizzata la finestra di dialogo Quarantined Network (Rete in quarantena). Utilizzare questa finestra di dialogo per specificare gli indirizzi IP e le subnet che si desidera che Desktop Firewall e ePolicy Orchestrator controllino. Se all’utente viene assegnato uno di questi indirizzi, Desktop Firewall lo porrà in Quarantine Mode. 4 Nell’area Type (Tipo), selezionare un metodo per definire la rete in quarantena, ossia IP address (Indirizzo IP), IP Address Range (Intervallo indirizzo IP) o Subnet. 5 Compilare i campi degli indirizzi corrispondenti, quindi fare clic su OK. 6 Fare clic su OK per chiudere la finestra di dialogo. 7 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Configurazione dell’opzione Quarantine Mode (Modalità quarantena) 1 Aprire la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Consultare Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) a pagina 156. 2 Fare clic su ePO Quarantine Options (Opzioni di quarantena ePO) per visualizzare la relativa scheda. 3 Nell’area Action Configuration (Configurazione azione), individuare la procedura a cui Desktop Firewall deve attenersi se non riesce a ottenere un aggiornamento dello stato dal server ePolicy Orchestrator: Se si desidera che il computer o il gruppo restino in Quarantine Mode, selezionare Continue Quarantine and use Quarantine rule set (Continua quarantena e utilizza set regole quarantena). 158 Software McAfee Desktop FirewallTM versione 8.0 Impostazione della quarantena Se si desidera che il computer o il gruppo escano dalla Quarantine Mode, selezionare Remove Quarantine and use normal firewall rule set (Rimuovi quarantena e utilizza set di regole firewall normale). 4 Fare clic su OK per chiudere la finestra di dialogo. 5 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Impostazione di un messaggio di notifica della quarantena Quando Desktop Firewall applica la Quarantine Mode, visualizza questo messaggio agli utenti, in modo che comprendano il motivo per cui il firewall sta limitando le comunicazioni di rete. 1 Aprire la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Consultare Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) a pagina 156. 2 Fare clic su ePO Quarantine Options (Opzioni di quarantena ePO) per visualizzare la relativa scheda. 3 Selezionare la casella di controllo Enable Client Notification Message (Attiva messaggio di notifica client). Il messaggio della Quarantine Mode diventa modificabile. 4 Se necessario, modificare il messaggio. 5 Fare clic su OK per chiudere la finestra di dialogo. 6 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Desktop Firewall visualizza questo messaggio agli utenti quando applica Quarantine Mode. Guida al prodotto 159 Configurazione del Firewall mediante ePO Visualizzazione e modifica dell’elenco di regole della modalità quarantena Il Quarantine Firewall Rule (Set di regole di quarantena) rappresenta un gruppo di speciali regole del firewall che Desktop Firewall applica durante la Quarantine Mode (modalità quarantena). Questo elenco di regole utilizza lo stesso formato del normale elenco di regole del firewall nella scheda Firewall Policy (Criteri Firewall). Per informazioni dettagliate, consultare Scheda Criteri Firewall a pagina 43. NOTA Se gli utenti si collegano alla rete mediante il software VPN, controllare che il gruppo di regole sulla quarantena consenta il traffico necessario per collegarsi e autenticarsi su VPN. È possibile utilizzare la funzione firewall normale per determinare le regole per VPN necessarie per la Quarantine Mode. Attivare la Learn Mode (Modalità di apprendimento) o la Audit Learn Mode (Modalità di apprendimento controllo) del firewall, quindi collegarsi e utilizzare il software VPN. Desktop Firewall genererà automaticamente le regole per VPN, che poi è possibile riprodurre nel gruppo di regole per la quarantena. 1 Aprire la finestra di dialogo Define Quarantined Networks (Definisci reti in quarantena). Consultare Apertura della finestra di dialogo Quarantine Mode (Modalità quarantena) a pagina 156. 2 Fare clic su Quarantine Firewall Rule Set (Set di regole di quarantena) per visualizzare la relativa scheda. Desktop Firewall visualizza la regole che applica durante la Quarantine Mode. 3 Per apportare modifiche a questo gruppo di regole, è possibile: Modificare le regole esistenti utilizzando il pulsante Properties (Proprietà). Aggiungere nuove regole utilizzando il pulsante Add (Aggiungi). Passare a uno dei gruppi di regole predefiniti del Desktop Firewall utilizzando l’elenco Policy Template (Modello criteri). La finestra di dialogo Quarantine Firewall Rule Set (Set di regole di quarantena) è simile alla scheda Criteri Firewall della versione autonoma. Per ulteriori informazioni, consultare Scheda Criteri Firewall a pagina 43. 160 4 Una volta terminate le modifiche all’elenco di regole della Quarantine Mode, fare clic su OK per chiudere la finestra di dialogo. 5 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Software McAfee Desktop FirewallTM versione 8.0 10 Configurazione sistema di rilevamento intrusioni (IDS) con ePO In questa sezione sono trattate le differenze di questa funzione nella versione autonoma e nella versione per ePolicy Orchestrator. Inoltre, sono presentate le funzioni IDS disponibili solo mediante ePolicy Orchestrator. Sono inclusi i seguenti argomenti: Informazioni sulla funzione IDS ed ePO. Configurazione delle funzioni IDS in ePO. Informazioni sulla funzione IDS ed ePO L'interfaccia di Desktop Firewall per ePolicy Orchestrator non è uguale all'interfaccia della versione autonoma per quanto riguarda la funzione IDS. Nella versione autonoma del software, la scheda Criteri intruso contiene l'elenco degli indirizzi bloccati, un elenco configurabile di indirizzi per cui Desktop Firewall blocca le comunicazioni in entrata e in uscita. Per configurare la funzione IDS, gli utenti aprono la finestra di dialogo Opzioni di McAfee Desktop Firewall dal menu Modifica. In ePolicy Orchestrator, la funzione IDS viene configurata mediante la scheda Intrusion Configuration (Configurazione per le intrusioni). Questa scheda riproduce le opzioni nella finestra di dialogo Opzioni di McAfee Desktop Firewall. Non è presente alcun elenco di indirizzi bloccati. Configurazione delle funzioni IDS in ePO Per configurare la funzione IDS in ePolicy Orchestrator, utilizzare le stesse procedure utilizzate per il prodotto autonomo, però nella scheda Intrusion Configuration (Configurazione per le intrusioni): Attivazione e disattivazione degli avvisi di intrusione a pagina 87. Configurazione della risposta predefinita del software alle intrusioni a pagina 88. Configurazione delle opzioni di notifica a pagina 89. Guida al prodotto 161 Configurazione sistema di rilevamento intrusioni (IDS) con ePO Una volta configurate queste opzioni, selezionare gli attacchi che si desidera che Desktop Firewall sottoponga a scansione. A causa delle differenze tra le interfacce, questa procedura è diversa in ePO rispetto alla versione autonoma. Consultare Selezione degli attacchi di cui eseguire la scansione in ePO. Infine, la versione del software per ePolicy Orchestrator offre la possibilità di impostare un'opzione specifica per ePO. Se necessario, è possibile configurare il software in modo da eliminare il contenuto dell'elenco degli indirizzi bloccati dell'utente a intervalli regolari. Questa operazione ha luogo ogni qual volta un Desktop Firewall distribuito riceve nuove regole o impostazioni da ePolicy Orchestrator. Consultare Cancellazione automatica dell'elenco di indirizzi bloccati. Selezione degli attacchi di cui eseguire la scansione in ePO 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer che si desidera configurare. Non è possibile visualizzare le regole utente per i siti o i gruppi di ePolicy Orchestrator. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Intrusion Configuration (Configurazione per le intrusioni) per visualizzare la relativa scheda. 6 Fare clic su Signature Exclusions (Esclusioni firma). Viene visualizzata la finestra di dialogo Intrusion Detection Signatures (Firme rilevamento intrusioni). In questa finestra di dialogo sono elencati gli attacchi di cui la funzione IDS può effettuare la scansione. 7 Modificare l'elenco: Per ricercare uno specifico tipo di attacco, selezionare la casella di controllo accanto al nome. Per ignorare uno specifico tipo di attacco, deselezionare la casella di controllo accanto al nome. 162 Software McAfee Desktop FirewallTM versione 8.0 Configurazione delle funzioni IDS in ePO 8 Fare clic su OK per salvare le impostazioni. 9 Fare clic sul pulsante Apply (Applica) sopra la scheda Intrusion Configuration (Configurazione per le intrusioni). Cancellazione automatica dell'elenco di indirizzi bloccati 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer che si desidera configurare. Non è possibile visualizzare le regole utente per i siti o i gruppi di ePolicy Orchestrator. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Intrusion Configuration (Configurazione per le intrusioni) per visualizzare la relativa scheda. 6 Selezionare la casella di controllo Clear Intruder List on ePO Policy Update (Cancella elenco intrusi sull'aggiornamento dei criteri ePO). 7 Fare clic su OK per salvare le impostazioni. 8 Fare clic sul pulsante Apply (Applica) sopra la scheda Intrusion Configuration (Configurazione per le intrusioni). Guida al prodotto 163 Configurazione sistema di rilevamento intrusioni (IDS) con ePO 164 Software McAfee Desktop FirewallTM versione 8.0 Impostazione del monitoraggio delle applicazioni mediante ePO 11 In questa sezione sono presentate le funzioni di monitoraggio delle applicazioni disponibili solo mediante ePolicy Orchestrator. Sono inclusi i seguenti argomenti: Gestione delle regole di applicazione in ePO. Per informazioni sul monitoraggio delle applicazioni che è comune alla versione autonoma e a quella per ePolicy Orchestrator, consultare Impostazione del monitoraggio delle applicazioni a pagina 105. In particolare, consultare le seguenti sezioni: Attivazione e disattivazione della modalità di apprendimento delle applicazioni a pagina 107 Gestione delle regole di applicazione a pagina 109 Quando si utilizzano queste procedure, tenere presente che la scheda Criteri applicazione è denominata Application Configuration (Configurazione delle applicazioni) in ePolicy Orchestrator. Gestione delle regole di applicazione in ePO Le regole di creazione e di modifica delle applicazioni funzionano esattamente nello stesso modo sia in ePolicy Orchestrator che nella versione autonoma di Desktop Firewall. La versione per ePO include tuttavia due funzioni aggiuntive: È possibile esaminare tutte le regole delle applicazioni aggiunte dagli utenti ai Desktop Firewall distribuiti. È possibile utilizzare la Application Audit Learn Mode (Modalità di apprendimento controllo applicazioni) e la Application Hooking Audit Learn Mode (Modalità di apprendimento controllo hook delle applicazioni) per la creazione automatica di nuove regole sul computer di un utente. Guida al prodotto 165 Impostazione del monitoraggio delle applicazioni mediante ePO Revisione delle regole di un utente In ePolicy Orchestrator, la scheda Application Configuration (Configurazione delle applicazioni) contiene due sezioni: L’Administrative Rules list (elenco delle Regole amministrative). (La parte superiore dell'elenco di regole). Questo elenco contiene regole che si impostano e distribuiscono mediante ePolicy Orchestrator. Il Client Rules list (elenco delle Regole client). (La parte inferiore dell’elenco di regole). Questo elenco visualizza le regole aggiunte da un utente selezionato. Per compilare l'elenco delle Client Rule (Regole client), ePolicy Orchestrator richiede la raccolta di Full properties (Proprietà complete), quando comunica con un agente ePO dell'utente. Se nella scheda Application Configuration (Configurazione applicazione) non sono presenti le regole utente, controllare la configurazione dell'agente ePolicy Orchestrator dell'utente. Accertarsi che l'opzione Full properties (Proprietà complete) sia attivata. Per ulteriori informazioni, consultare la Guida al prodotto di ePolicy Orchestrator. Non è possibile modificare o eliminare le regole personalizzate di un utente, è invece possibile copiarne le regole. È inoltre possibile scegliere se conservare o meno le regole personalizzate di un utente quando si inviano gli aggiornamenti dei criteri mediante ePolicy Orchestrator. (Gli aggiornamenti dei criteri includono le nuove regole o impostazioni di Desktop Firewall). Per copiare le regole di un utente 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer che si desidera configurare. Non è possibile visualizzare le regole utente per i siti o i gruppi di ePolicy Orchestrator. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 166 Qui fare clic su Application Configuration (Configurazione applicazione) per visualizzare la relativa scheda. Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole di applicazione in ePO Le regole di applicazione configurate verranno visualizzate nell'elenco delle Administrative Rules (regole amministrative). Se l'utente ha creato regole di applicazione aggiuntive, vengono visualizzate nell’elenco Client Rules (Regole client). 6 Nell'elenco delle Client Rules, selezionare le regole da copiare. 7 Trascinare queste regole in nell'elenco delle Administrative Rules. 8 Fare clic sul pulsante Apply (Applica) sopra la scheda Application Configuration (Configurazione applicazione). Per conservare o sovrascrivere le regole utente 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer che si desidera configurare. Non è possibile visualizzare le regole utente per i siti o i gruppi di ePolicy Orchestrator. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 5 Qui fare clic su Application Configuration (Configurazione applicazione) per visualizzare la relativa scheda. Le regole di applicazione configurate verranno visualizzate nell'elenco delle Administrative Rules. Se l'utente ha creato regole di applicazione aggiuntive, vengono visualizzate nell'elenco delle Client Rules. 6 Utilizzare uno dei metodi riportati di seguito: Per conservare le regole personalizzate dell'utente quando si inviano gli aggiornamenti dei criteri, selezionare la casella di controllo Merge these rules with users rules (Unisci queste due regole con le regole per gli utenti). Per sovrascrivere le regole personalizzate dell'utente quando si inviano gli aggiornamenti dei criteri, deselezionare questa casella di controllo. 7 Fare clic sul pulsante Apply (Applica) sopra la scheda Application Configuration (Configurazione applicazione). Guida al prodotto 167 Impostazione del monitoraggio delle applicazioni mediante ePO Utilizzo della modalità di apprendimento controllo per la creazione delle regole La Audit Learn Mode (Modalità di apprendimento controllo) è un'opzione disponibile sia per la funzione di monitoraggio delle applicazioni che per la funzione firewall. Desktop Firewall offre due tipi di Audit Learn Mode per il monitoraggio delle applicazioni, la Application Audit Learn Mode (Modalità di apprendimento controllo applicazione) e la Application Hooking Audit Learn Mode (Modalità di apprendimento controllo hook dell'applicazione): La Application Audit Learn Mode monitora la creazione delle applicazioni (programmi eseguiti dagli utenti). La Application Hooking Audit Learn Mode monitora l'hook delle applicazioni (programmi che tentano di collegarsi ad altre applicazioni). Quando si attiva una o entrambe queste Audit Learn Modes, Desktop Firewall monitora le applicazioni degli utenti. Quando viene individuata un'applicazione per cui non esiste alcuna regola, Desktop Firewall crea automaticamente una nuova regola che consente questa applicazione. Le Audit Learn Modes delle applicazioni sono simili alla normale funzione Modalità di apprendimento disponibile nelle versioni di Desktop Firewall autonoma e distribuita. La principale differenza consiste nel fatto che con la normale Modalità di apprendimento, gli utenti devono rispondere a una richiesta ogni qualvolta Desktop Firewall rileva un'applicazione che non riconosce. Con la Audit Learn Mode (Modalità di apprendimento controllo), gli utenti sono obbligati a rispondere alle richieste, perché Desktop Firewall consente automaticamente tutto il traffico. Le Audit Learn Modes forniscono un metodo per generare automaticamente le regole di applicazione e rivederle successivamente. Questa opzione risulta utile quando si distribuisce Desktop Firewall a gruppi di prova per creare un gruppo di regole di base, come descritto nella Guida all'installazione di Desktop Firewall. Attivazione e disattivazione delle modalità di apprendimento controllo 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo da configurare per Desktop Firewall. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Le Administrative Options (Opzioni di amministrazione) vengono visualizzate nell'elenco, sotto McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizzerà la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dettagli inferiore. 168 Software McAfee Desktop FirewallTM versione 8.0 Gestione delle regole di applicazione in ePO 5 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Per attivare o disattivare la Audit Learn Modes per la creazione di un'applicazione, attenersi alla seguente procedura: Per attivarla, selezionare la casella di controllo Enable Application Audit Learn Mode (Attiva modalità di apprendimento controllo applicazione). Per disattivarla, deselezionare la casella di controllo. 7 Per attivare o disattivare la Audit Learn Modes per l'hook di un'applicazione, attenersi alla seguente procedura: Per attivarla, selezionare la casella di controllo Enable Application Hooking Audit Learn Mode (Attiva modalità di apprendimento controllo hook dell'applicazione). Per disattivarla, deselezionare la casella di controllo. 8 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Guida al prodotto 169 Impostazione del monitoraggio delle applicazioni mediante ePO 170 Software McAfee Desktop FirewallTM versione 8.0 12 Creazione di report mediante ePO In questa sezione sono presentati i report di Desktop Firewall e come generarli mediante ePolicy Orchestrator. Sono inclusi i seguenti argomenti: Informazioni sui report di Desktop Firewall. Creazione dei report di Desktop Firewall. Informazioni sui report di Desktop Firewall I report sono una funzione di ePolicy Orchestrator utilizzata anche da Desktop Firewall. Questa funzione consente di generare una serie di report su firewall e IDS. È possibile creare report basati su tutti i Desktop Firewall distribuiti oppure è possibile restringere i risultati a un numero limitato di utenti di Desktop Firewall. Prima di creare report Desktop Firewall in ePO, è necessario: Distribuire il software a uno o più utenti. Attivare tutte le funzioni per cui si desidera creare un report. Per creare report sul Riepilogo intrusioni, ad esempio, è necessario attivare la funzione IDS per i Desktop Firewall distribuiti. Configurare il software distribuito per inviare i dati sugli eventi di Desktop Firewall a ePO. Una volta effettuata questa operazione, è possibile utilizzare ePolicy Orchestrator per raccogliere i dati sugli eventi di Desktop Firewall e creare dei report. Dopo aver generato un report, è anche possibile: Salvare il report in diversi formati, incluso HTML, RTF e XLS (Microsoft Excel). Stampare il report. Aggiornare il report. Eseguire una ricerca nel report. Per ulteriori informazioni su queste azioni, consultare la documentazione di ePolicy Orchestrator. Guida al prodotto 171 Creazione di report mediante ePO Dati sugli eventi ed ePolicy Orchestrator Non è possibile creare report di Desktop Firewall a meno che non si disponga di dati su cui basarli. Per ottenere tali dati, configurare il software distribuito per inviare i dati sugli eventi a ePolicy Orchestrator. I dati sugli eventi rappresentano le stesse informazioni che nelle versioni autonoma e distribuita di Desktop Firewall sono visualizzate nelle schede Registro delle attività. Per inviare i dati sugli eventi a ePolicy Orchestrator, Desktop Firewall utilizza gli agenti ePO che fungono da tramite per i due prodotti. Essi risiedono sullo stesso computer di Desktop Firewall e contattano regolarmente il server ePO per gli aggiornamenti del software e dei criteri. Se la funzione di report è impostata, gli agenti inviano anche i dati sugli eventi di Desktop Firewall a ePO durante questi aggiornamenti. Per ulteriori informazioni, consultare Attivazione e disattivazione dell'opzione di report di ePO a pagina 146. Siccome gli agenti ePO contattano il server ePolicy Orchestrator solo a intervalli di tempo specifici, si verifica un ritardo tra l’ora in cui avviene un evento di Desktop Firewall e il rilevamento da parte di ePO. Se è necessario raccogliere i dati sugli eventi di Desktop Firewall immediatamente, è possibile eseguire una chiamata di attivazione dell’agente. Per ulteriori informazioni, consultare Esecuzione della chiamata di attivazione di un agente a pagina 172. Esecuzione della chiamata di attivazione di un agente 1 Nella cartella Directory di ePolicy Orchestrator, fare clic con il pulsante destro del mouse sul sito, il gruppo o il computer da aggiornare. 2 Selezionare Agent Wakeup Call (Chiamata di attivazione dell'agente). Verrà visualizzata la finestra di dialogo Agent Wakeup Call (Chiamata di attivazione dell'agente). 3 In Type (Tipo), selezionare Send Agent wakeup call (Invio chiamata di attivazione agente). 4 Impostare l’Agent randomization interval (Intervallo casuale dell’agente) su 0. Tale operazione impone a ePolicy Orchestrator di aggiornare immediatamente gli agenti ePO. 172 5 Selezionare Get full product properties (Ottieni proprietà complete del prodotto). 6 Fare clic su OK per inviare la chiamata di attivazione dell’agente. Software McAfee Desktop FirewallTM versione 8.0 Informazioni sui report di Desktop Firewall I report di Desktop Firewall Quando si installa la versione di Desktop Firewall ePolicy Orchestrator, vengono installati anche diversi modelli di report. Per generare un report di Desktop Firewall in ePO, scegliere siti, gruppi o utenti su cui si desiderano informazioni, quindi selezionare uno di questi modelli di report. Questi report consentono di analizzare gli eventi di IDS, di monitoraggio delle applicazioni e di firewall. La maggior parte dei report consente inoltre di filtrare i dati a cui si è interessati: Nome report Tipo Descrizione Filtri All Blocked Applications (Tutte le applicazioni bloccate) Applicazione Questo report elenca tutte le applicazioni di cui Desktop Firewall evita l’esecuzione o l’associazione ad altri programmi. Host Name (Nome host) Application Description (Descrizione applicazione) Blocked Time (Ora di blocco) Blocked Application Summary (Riepilogo delle applicazioni bloccate) Applicazione Desktop Firewall Application Description (Descrizione applicazione) Failed Quarantine Updates (Aggiornamenti della quarantena non riusciti) Firewall Questo report elenca tutti gli utenti di Desktop Firewall entrati nella modalità quarantena e che successivamente non sono riusciti ad aggiornare i criteri di ePolicy Orchestrator (è possibile che questi utenti siano ancora in quarantena). Host Name (Nome host) Host IP Address (Indirizzo IP host) Event Time (Ora dell'evento) Version (Versione) Language (Lingua) Computer Name (Nome computer) OS Type (Tipo di sistema operativo) Deployment Details (Dettagli sullo sviluppo) Generale Questo report illustra quale versione e lingua di Desktop Firewall è installata su ciascun computer e fornisce le informazioni sul sistema operativo del computer. Guida al prodotto 173 Creazione di report mediante ePO Nome report Tipo Descrizione Filtri All Intrusions (Tutte le intrusioni) Intrusione Questo report elenca gli utenti di destinazione di un’intrusione, l’indirizzo IP utilizzato dall’intruso, il tipo di attacco utilizzato e l’ora dell’attacco. Indirizzo IP host (Indirizzo IP host) Attacker IP Address (Indirizzo IP dell’intruso) Event Time (Ora dell'evento) Attacker IP Address (Indirizzo IP dell’intruso) Host Last Attacked (Ultimo host attaccato) Favorite Attack Type (Tipo di attacco preferito) First Attack Time (Ora del primo attacco) Last Attack Time (Ora dell’ultimo attacco) Intruder Activity Details (Dettagli sull'attività dell'intruso) 174 Intrusione Questo report elenca i dettagli sulle attività di ciascun intruso che ha attaccato uno dei computer di Desktop Firewall. Mostra l’indirizzo IP di ciascun intruso, la data e l’ora del primo attacco e la data e l’ora dell’ultimo attacco. Contiene inoltre il numero totale di intrusioni effettuato da ciascun intruso rilevati da Desktop Firewall, il numero di computer attaccati, l’attacco più comune, l’obiettivo più frequente e l’ultimo indirizzo attaccato. Software McAfee Desktop FirewallTM versione 8.0 Informazioni sui report di Desktop Firewall Nome report Tipo Descrizione Filtri Intrusion Details (Dettagli sull'intrusione) Intrusione Questo report elenca gli obiettivi dell’attacco da parte degli intrusi, la data e l’ora del primo attacco, la data e l’ora dell’ultimo attacco, il numero degli attacchi rilevati da Desktop Firewall, il numero degli intrusi rilevati, il tipo di attacco più comune e gli indirizzi IP sia dell’ultimo intruso che dell’intruso più attivo. Indirizzo IP host (Indirizzo IP host) First Attack Time (Ora del primo attacco) Last Attack Time (Ora dell’ultimo attacco) Most Frequent Intrusion (Intrusione più frequente) Most Active Intruder (Intruso più attivo) Last Intruder (Ultimo intruso) Attacker IP Address (Indirizzo IP dell’intruso) Attack Type (Tipo di attacco) Intrusion Source Details (Dettagli sull'origine dell'intrusione) Intrusione Questo report fornisce i dettagli sugli intrusi, raggruppati in base al tipo di attacco. Mostra l’indirizzo IP dell’intruso, il numero degli attacchi rilevati da Desktop Firewall e il tipo di attacco. Intrusion Summary by Type (Riepilogo intrusioni per tipo) Intrusione Questo report illustra (con il grafico a torta) quale percentuale del numero totale di attacchi appartiene a uno specifico tipo di attacco. Attack Type (Tipo di attacco) Intrusion Summary Current Month (Riepilogo intrusioni per il mese corrente) Intrusione Questo report illustra (con grafico a barre) tutti i tipi di attacchi diversi rilevati da Desktop Firewall durante il mese corrente e il numero totale di ciascun tipo di attacco. Host Name (Nome host) Attack Type (Tipo di attacco) Intrusion Summary Current Week (Riepilogo intrusioni per la settimana corrente) Intrusione Questo report illustra (con grafico a barre) tutti i tipi di attacchi diversi rilevati da Desktop Firewall durante la settimana corrente e il numero totale di ciascun tipo di attacco. Host Name (Nome host) Attack Type (Tipo di attacco) Guida al prodotto 175 Creazione di report mediante ePO Nome report Tipo Descrizione Filtri Intrusion Summary Current Year (Riepilogo intrusione per l'anno corrente) Intrusione Questo report illustra (con grafico a barre) tutti i tipi di attacchi diversi rilevati da Desktop Firewall durante l’anno corrente e il numero totale di ciascun tipo di attacco. Attack Type (Tipo di attacco) Intrusion Target Details (Dettagli sull'obiettivo dell'intrusione) Intrusione Questo report fornisce i dettagli sui computer attaccati, raggruppati in base al tipo di attacco. Mostra l’indirizzo IP di destinazione, il numero degli attacchi rilevati e il tipo di attacco. Indirizzo IP host (Indirizzo IP host) Attack Type (Tipo di attacco) Top 10 Attack Targets (10 principali obiettivi di attacco) Intrusione Questo report illustra (con grafico a barre) gli indirizzi IP più attaccati e gli attacchi loro diretti. — Top 10 Intruders (10 principali intrusi) Intrusione Questo report illustra (con grafico a barre) gli indirizzi IP responsabili della maggior parte degli attacchi agli utenti di Desktop Firewall ed elenca gli attacchi utilizzati. — Creazione dei report di Desktop Firewall Per creare un report in ePolicy Orchestrator, è necessario: Accedere alla funzione Reports (Report) in ePO. Selezionare tutti i gruppi che si desidera includere nel report. Generare un report. Accesso alla funzione di report di ePO 1 Avviare ePolicy Orchestrator ed accedere al server. 2 Nella struttura della console, espandere Reporting (Report). 3 Espandere ePO Databases (Database ePO). Il nome del server ePO verrà visualizzato sotto questo elemento. 4 Selezionare il nome del server. Verrà visualizzata la finestra di dialogo ePO Database Login (Accesso ai database ePO). 176 Software McAfee Desktop FirewallTM versione 8.0 Creazione dei report di Desktop Firewall 5 Immettere le credenziali del server (nome utente e password), quindi fare clic su OK. Ora è possibile generare report di Desktop Firewall utilizzando i dati sugli eventi memorizzati in questo server ePO. Selezione dei gruppi su cui creare un report 1 Nella struttura della console ePolicy Orchestrator, espandere Reporting (Report), quindi ePO Databases (Database ePO). 2 Fare clic con il pulsante destro del mouse sul nome del server ePO. 3 Selezionare Set Directory Filter (Imposta filtro directory). Viene visualizzata la finestra di dialogo Directory Filtering (Filtro directory). 4 Selezionare tutti i gruppi che si desidera includere nei report di Desktop Firewall. 5 Fare clic su OK. Generazione di un report 1 Nella struttura della console ePolicy Orchestrator, espandere Reporting (Report), quindi ePO Databases (Database ePO). 2 Fare doppio clic sul nome del server ePO per espanderlo. Sotto al nome del server verranno visualizzati Reports (Report), Queries (Query) e Events (Eventi). 3 Espandere Reports (Report), quindi McAfee Desktop Firewall 8.0. ePolicy Orchestrator visualizzerà un elenco di tutti i report relativi a Desktop Firewall. 4 Selezionare il report che si desidera eseguire. Se è stato selezionato un report Top 10 (10 principali) ePO lo esegue e visualizza i risultati nel riquadro dei dettagli. Saltare il resto della procedura. Se è stato selezionato un tipo di report diverso, ePolicy Orchestrator richiede se si desidera applicare i filtri ai dati del report. Guida al prodotto 177 Creazione di report mediante ePO 5 Utilizzare uno dei metodi riportati di seguito: Se Procedere così Si desidera eseguire il report senza filtri Fare clic su No (No). ePolicy Orchestrator eseguirà il report e visualizzerà i risultati nel riquadro dei dettagli. Saltare il resto della procedura. Si desidera restringere i dati del report finale filtrando le informazioni non desiderate Fare clic su Yes (Sì). Verrà visualizzata la finestra di dialogo Report Data Filter (Filtro dati report). Questa finestra di dialogo contiene una o più schede, a seconda del report selezionato. Ciascuna scheda rappresenta una colonna del report a cui applicare un filtro. Se si impostano più filtri mediante queste schede, Desktop Firewall visualizzerà solo i dati che soddisfano tutti i criteri nel report finale. 6 Impostare i filtri del report, quindi fare clic su OK. Per ulteriori informazioni sull’impostazione dei filtri nella finestra di dialogo Report Data Filter (Filtro dati report), consultare la documentazione di ePolicy Orchestrator. ePO richiede di confermare il filtraggio dei dati di report. 7 Fare clic su Sì. ePolicy Orchestrator genererà il report e visualizzerà i risultati nel riquadro dei dettagli. 178 Software McAfee Desktop FirewallTM versione 8.0 SEZIONE 3 Appendici, Glossario e Indice Riferimento degli errori Glossario Indice A Riferimento degli errori Desktop Firewall comprende una utilità per il riferimento degli errori, progettata specificamente per tenere traccia e registrare i problemi che si verificano nei programmi software di Network Associates installati sul sistema. Le informazioni ottenute possono essere utilizzare come supporto per l'analisi dei problemi. Questo programma di riferimento degli errori monitora le applicazioni di Network Associates sul sistema e comunica all'utente gli eventuali problemi riscontrati. Raccoglie i dati dal computer su cui è installato, da cui si controllano anche le operazioni svolte. È possibile inoltrare i dati così raccolti all'assistenza tecnica di Network Associates in modo che fungano da punto di partenza. Se il computer su cui si verifica il problema è collegato a una rete su cui è installato Alert Manager, quest'ultimo informa l'amministratore di rete che è stato rilevato un guasto. I dati possono rivelarsi utili all'amministratore di rete per fornire all'utente le istruzioni sulle azioni da intraprendere. NOTA Per utilizzare il software di riferimento degli errori, è necessario disporre di un browser Web abilitato per Java Script. Ad esempio, Netscape 3.0 o versioni successive oppure Internet Explorer 4.0 o versioni successive. Utilizzo dell'utilità di riferimento degli errori Normalmente questa utilità offre un monitoraggio in background delle applicazioni di Network Associates su tutti i computer su cui è installata. Se si verifica un problema, esistono diversi modi in cui è possibile utilizzare il software di rilevamento degli errori, dipende dalle esigenze dell'azienda e da come è configurata la rete. L'utente viene avvisato ed ha la possibilità di inoltrare i dati al sito Web dell'assistenza tecnica di Network Associates, dove, se occorre, questi possono essere utilizzati per aprire un caso di assistenza. In alternativa, l'utente può scegliere di ignorare i file di registro e in questo caso i dati non vengono inoltrati al sito Web di Network Associates. I dati raccolti vengono compressi per essere inoltrati. Gli errori che si verificano quando il software di riferimento degli errori non è in esecuzione, ad esempio quando si è scollegati, vengono elaborati la volta successiva che ci si collega. Il tipo di errore che si verifica in questi casi può includere gli errori che si manifestano nei programmi eseguiti come servizi. Guida al prodotto 181 Riferimento degli errori Per eseguire l'utilità di riferimento degli errori con Desktop Firewall (versione autonoma) 1 In Desktop Firewall, selezionare il menu Modifica. 2 Selezionare Opzioni. Viene visualizzata la finestra di dialogo Opzioni di McAfee Desktop Firewall 3 Nell'area Opzioni generali, selezionare la casella di controllo Riferimento errori. 4 Fare clic su OK. Per eseguire l'utilità di riferimento degli errori con Desktop Firewall (versione per ePolicy Orchestrator) 1 Nella struttura della console ePolicy Orchestrator, espandere l'icona Directory e individuare il computer o il gruppo per cui si desidera attivare il riferimento degli errori. 2 Nel riquadro dei dettagli, selezionare la scheda Policies (Criteri). 3 Nel riquadro dei dettagli superiore, individuare McAfee Desktop Firewall 8.0 nell'elenco delle applicazioni e fare doppio clic su questa voce. Administrative Options (Opzioni di amministrazione) è visualizzato nell'elenco sotto a McAfee Desktop Firewall 8.0. 4 Selezionare Administrative Options (Opzioni di amministrazione). ePolicy Orchestrator visualizza la pagina Administrative Options (Opzioni di amministrazione) nel riquadro dei dettagli inferiore. 182 5 Qui fare clic su Administrative Configuration (Configurazione amministrativa) per visualizzare la relativa scheda. 6 Nell'area Administrative Configuration Options (Opzioni di configurazione amministrativa) selezionare la casella di controllo Enable Error Reporting (Attiva riferimento errori). 7 Fare clic sul pulsante Apply (Applica) sopra alla scheda Administrative Configuration (Configurazione amministrativa). Software McAfee Desktop FirewallTM versione 8.0 Utilizzo dell'utilità di riferimento degli errori Per ut ilizzare l'utilità di riferimento degli errori 1 Quando viene rilevato un problema al software di Network Associates sul computer, viene visualizzata una finestra di dialogo. Scegliere l'operazione desiderata: Invia dati consente di creare un collegamento con il sito Web dell'assistenza tecnica di Network Associates e di inoltrare i dati. Se si seleziona questa opzione, continuare con il passo 2 di questa procedura. Ignora errore il collegamento con il sito Web dell'assistenza tecnica di Network Associates non viene creato. Non è necessaria alcun'altra azione. 2 Il sito Web dell'assistenza tecnica di Network Associates viene aperto e potrebbe richiedere ulteriori informazioni. Seguire le eventuali istruzioni fornite. I dati comunicati possono essere utilizzati per aiutare l'utente ad aprire un caso di assistenza, se necessario. 3 Se il problema dipende da una causa nota, è possibile che venga offerta l'opzione di aprire una pagina Web in cui sono fornite le informazioni sul problema e le azioni da intraprendere. Guida al prodotto 183 Riferimento degli errori 184 Software McAfee Desktop FirewallTM versione 8.0 Glossario Attacco DoS (Denial of service) Un’intrusione, di solito pianificata, che interrompe la funzionalità del server di rispondere alle legittime richieste di connessione. Un attacco DoS sovraccarica il server con richieste di connessione fasulle. In tal modo, il server è impegnato a tal punto a rispondere all’attacco che ignora le richieste di connessione legittime. Back Orifice Un programma backdoor per Windows 95 e Windows 98, scritto da un gruppo che si definisce Cult of the Dead Cow. Questo backdoor, una volta installato, consente l’accesso remoto al computer, in tal modo il programma di installazione può eseguire i comandi, ottenere screenshot, modificare il registro ed eseguire altre operazioni. Dirottamento sessione TCP Un attacco in cui un pirata informatico si appropria della connessione TCP tra due computer. Siccome la maggior parte delle procedure di autenticazione avviene solo all’inizio di una sessione TCP, ciò consente al pirata di ottenere l’accesso a un computer. Firewall Un prodotto hardware o software che filtra il traffico di rete in entrata o in uscita per una specifica rete o computer. Filtrando del traffico specifico, i firewall sono in grado di proteggere contro alcuni attacchi e offrono un’elevata protezione. HTTP (HyperText Transfer Protocol) Un comune protocollo utilizzato per il trasferimento dei documenti tra i server o da un server a un client. IP con spoof L’azione di inserimento di un falso indirizzo IP del mittente in una trasmissione Internet per ottenere un accesso non autorizzato a un sistema. IPsec Uno schema di codifica a livelli TCP/IP che l’IETF sta considerando. Timestamp Registrazione dell’ora di un evento. Guida al prodotto 185 Glossario 186 Software McAfee Desktop FirewallTM versione 8.0 Indice A Abilitazione intrusioni, 89 Accesso ai report, 176 Administrative Configuration tab, ePO, 131 Agenti ePO, 137 chiamate di attivazione, 172 Agenti, ePO, 121 a 122 chiamate di attivazione, 172 Aggiorn. autom. pianificazione connessione accesso remoto, 103 Aggiorn. automatico pianificazione opzioni avanzate, 104 Aggiorn. automatico IDS, 103 a 104 Aggiornamenti automatici giornalieri, 96 Aggiornamenti automatici immediati, 103 Aggiornamenti automatici mensili, 99 Aggiornamenti automatici settimanali, 98 Aggiornamenti dei file DAT, sito Web, 14 Aggiornamento automatico attivazione, 95 informazioni, 95 pianificazione, 96 al riavvio, 101 all'accesso, 102 giornalmente, 96 immediata, 103 mensile, 99 quando è inattivo, 103 settimanalmente, 98 una sola volta, 100 Aggiornamento automatico IDS, 95 a 96, 98 a 103 Aggiornamento automatico una sola volta, 100 Aggiornamento delle firme IDS, 94 manuale, 95 Archivi dei criteri, 27 a confronto con livelli di protezione, 65 creazione, 71 modifica, 73 utilizzo, 71 Arresto funzione IDS, 61 Assistenza tecnica, 14 Attacco DoS (Denial of service) definizione, 185 Attivazione aggiornamento automatico, 95 Desktop Firewall, 58 a 59 funzione di monitoraggio applicazioni, 60 funzione di monitoraggio delle applicazioni, 107 funzione di monitoraggio delle applicazioni (ePO), 140 funzione di registrazione, 61, 115 funzione firewall, 60, 69 funzione firewall (ePO), 139 funzione IDS, 61, 87 funzione IDS (ePO), 142 modalità quarantena, 157 AVERT (Anti-Virus Emergency Research Team), come contattare, 14 Avvio funzione di monitoraggio delle applicazioni, 107 funzione di registrazione, 115 Avvisi applicazione, 50, 106 firewall, 47, 68 IDS, 54, 86 a 87, 91 Modalità di apprendimento, 76 modalità di apprendimento, 108 spoof IP rilevato, 55 Avvisi d'intrusione attivazione, 87 Guida al prodotto 187 Indice descrizione, 54 disabilitazione, 87 Avvisi Spoof IP rilevato, 55 B Back Orifice definizione, 185 Biblioteca di informazioni sui virus, 14 Blocco delle intrusioni, 88 Blocco di Desktop Firewall, 143 a 144 C Cancellazione del registro eventi, 117 Chiamata di attivazione, agente ePO, 172 Come contattare McAfee Security, 14 Come ottenere informazioni, 13 Connessione accesso remoto, aggiorn. automatico, 103 Console principale, Desktop Firewall, 40 Convenzioni utilizzate in questo manuale, 12 Corsi di formazione, come contattare, 14 Creazione dei report panoramica, 176 Creazione, applicazione, 17 Criteri applicazione, 147 esportazione, 144 importazione, 145 Criteri di aggiornamento, 137 Criteri di ereditarietà, ePO, 138 D Dati sugli eventi nei report, 172 Dati sugli eventi nel registro delle attività, 114 Definizione dei termini, 185 Desktop Firewall attivazione, 59 avvio, 58 blocco, 143 a 144 console principale, 40 disattivazione, 58 a 59 funzionalità, 15 icona della barra delle applicazioni, 38 188 Software McAfee Desktop FirewallTM versione 8.0 impostazioni, esportazione, 71, 82 impostazioni, importazione, 83 impostazioni, modifica, 73 impostazioni, utilizzo, 71 menu, 40 occultamento, 143 report, 171 a 173, 176 a 177 sblocco, 143 a 144 scelta rapida, menu, 39 stato, 38 versione autonoma, 19 versione per ePO, 19, 122 visualizzazione, 143 Destinatari di questo manuale, 11 Dirottamento sessione TCP definizione, 185 Disabilitazione Desktop Firewall, 58 a 59 funzione di monitoraggio applicazioni, 60 funzione di registrazione, 61 funzione firewall, 60 modalità quarantena, 157 Disattivazione Desktop Firewall, 58 a 59 funzione di monitoraggio applicazioni, 60 funzione di monitoraggio delle applicazioni (ePO), 140 funzione di registrazione, 61 funzione firewall, 60, 69 funzione firewall (ePO), 139 funzione IDS, 61, 87 funzione IDS (ePO), 142 Documentazione del prodotto, 13 Documentazione per il prodotto, 13, 37 Domini supportati, 24 E ePO Administrative Configuration tab, 131 blocco e sblocco del Desktop Firewall, 144 blocco e sblocco di Desktop Firewall, 143 criteri, applicazione, 147 descrizione, 121 Indice e Desktop Firewall, 122 ereditarietà, 138 interfaccia, 123 a 125, 127 a 128, 130 a 131, 134 a 135 interface, 131 modalità quarantena, 29 monitoraggio remoto del gruppo di regole, 32 Opzioni di amministrazione, 125 report, 28, 171 a 173, 176 a 177 riquadro dei dettagli, 124 scheda Administrative Configuration (Configurazione amministrativa, 131 scheda Application Configuration, 128 scheda Firewall Configuration, 127 scheda IDS Configuration, 130 scheda Policies,, 125 scheda Properties, 134 scheda Tasks, 135 sistema, 121 struttura della console, 124 ePO, agenti, 137 Ereditarietà, criteri, 138 Esecuzione dei report, 177 panoramica, 176 Esportazione impostazioni di Desktop Firewall, 82 Eventi, 113 cancellazione, 117 filtraggio, 116 IDS, 114 ordinamento, 116 salvataggio, 117 sistema, 114 Eventi di sistema, 114 F File dei criteri, 82 a 83 File, criteri, 82 a 83 Filtraggio degli eventi del registro, 116 Filtro dei report, 177 Finestra di dialogo Host bloccato, 53 Finestra di dialogo Regola applicazione, 50 Finestra di dialogo Regola Firewall, 47 Firewall, definizione, 185 Firme, 18, 26 aggiorn. automatico, 103 a 104 aggiornamento, 94 aggiornamento automatico, 95 a 96, 98 a 103 aggiornamento manuale, 95 selezione, 90 Funzione di firewall scheda, 43 Funzione firewall attivazione, 60, 69 attivazione in ePO, 139 descrizione, 15 disattivazione, 60, 69 disattivazione in ePO, 139 funzioni specifiche di ePO, 149 informazioni su., 63 interfaccia ePO, 127 livelli di protezione, utilizzo, 70 Modalità di apprendimento, 68 a 69 modalità di apprendimento, 47 precedenza, 64 regole, 64 regole note, 152 regole, creazione, 47 reti attendibili, 73 a 75 revisione delle regole utente, 150 a 151 Funzione IDS arresto, 61 attacchi sottoposti a scansione, 162 attivazione, 61, 87 attivazione in ePO, 142 avvisi, 54, 86 a 87 cancellazione elenco degli indirizzi bloccati, 163 configurazione in ePO, 161 descrizione, 18 disattivazione, 87 disattivazione in ePO, 142 Firme, 26 firme, 90, 94 aggiorn. automatico, 103 a 104 aggiornamento automatico, 95 a 96, 98 a 103 aggiornamento manuale, 95 Guida al prodotto 189 Indice Individuazione indirizzi, 94 Interruzione funzione di monitoraggio delle applicazioni, 107 funzione di registrazione, 115 Intrusioni, 18 abilitazione, 89 blocco, 88 configurazione degli attacchi da rilevare, configurazione notifica, 89 configurazione risposta, 88 risposta agli avvisi, 91 Invio di un esempio di virus, 14 IP con spoof avvisi, 55 definizione, 185 IPsec definizione, 185 indirizzi bloccati aggiunta, 92 eliminazione, 93 informazioni, 92 informazioni, 85 interfaccia ePO, 130, 161 opzioni, configurazione, 88 a 90 registro eventi, 114 scheda, 51 Funzioni, nuove, 19 G Generazione dei report, 177 Glossario, 185 Gruppi di regole del firewall, creazione, Gruppi di regole, firewall, 81 Gruppi, firewall, 81 Guida in linea, accesso, 37 81 H L Hook, applicazione, 17 HTTP (HyperText Transfer Protocol) definizione, 185 Limitazione dei report, 177 Limiti di tempo regole del firewall, 25 Livelli di protezione firewall predefiniti panoramica, 65 Livelli di protezione, firewall, 65 Client elevato, 67 Client medio, 67 Minimi, 66 Server medio, 67 Starter apprendimento, 66 utilizzo, 70 valore predefinito, 66 Livello di protezione Client elevato, 67 Livello di protezione Client medio, 67 Livello di protezione Minimi, 66 Livello di protezione Server medio, 67 Livello di protezione Starter apprendimento, I Icona della barra delle applicazioni, 38 come visualizzare e nascondere, 143 IDS (sistema rilevamento intrusioni) descrizione, 18 firme, 26 scheda, 51 Importazione impostazioni di Desktop Firewall, Indirizzi blocco, 92 individuazione, 94 quarantena, 158 sblocco, 93 Indirizzi bloccati aggiunta, 92 cancellazione automatica elenco, 163 eliminazione, 93 individuazione, 94 informazioni, 92 190 83 Software McAfee Desktop FirewallTM versione 8.0 90 66 M Manuali, 13 McAfee Security University, come contattare, Menu di scelta rapida, Desktop Firewall, 39 14 Indice Menu Guida in linea, 43 Menu Modifica, 42 Menu Operazione, 41 Menu Visualizza, 42 Menu, Desktop Firewall, 40 Guida in linea, 43 Modifica, 42 Operazione, 41 Visualizza, 42 Modalità apprendimento, applicazione, 50, 106 Modalità apprendimento, firewall, 47, 68 attivazione, 69 disattivazione, 69 Modalità di apprendimento controllo, applicazione attivazione, 168 descrizione, 168 disattivazione, 168 Modalità di apprendimento controllo, firewall Attivazione, 153 descrizione, 153 disabilitazione, 153 Modalità di apprendimento, applicazione avvio, 107 interruzione, 107 modalità di apprendimento controllo, 168 risposta agli avvisi, 108 Modalità di apprendimento, firewall, 20 modalità di apprendimento controllo, 153 risposta agli avvisi, 76 Modalità quarantena, 29 accesso, 156 attivazione, 157 definizione delle reti, 158 descrizione, 154 disabilitazione, 157 elenco delle regole del firewall, 160 impostazione, 156 notifica agli utenti, 159 opzione di errore, 158 processo, 155 Monitoraggio applicazioni attivazione, 60 disattivazione, 60 Monitoraggio delle applicazioni attivazione in ePO, 140 avvio, 107 descrizione, 17, 21 disattivazione in ePO, 140 funzioni specifiche di ePO, 165 informazioni su, 105 interfaccia ePO, 128 interruzione, 107 modalità apprendimento, 106 modalità di apprendimento, 50, 107 regole, creazione, 50 revisione delle regole utente, 166 a 167 scheda, 48 N Nuove funzioni, 19 O Occultamento dell'icona sulla barra delle applicazioni, 143 Operazioni, ePO, 122 Opzioni di aggiornamento automatico avanzate, 104 Opzioni di amministrazione, ePO, 125 Ordinamento degli eventi del registro, 116 P Pianificazione aggiorn. autom. connessione accesso remoto, aggiorn. automatico opzioni avanzate, 104 aggiornamento automatico al riavvio, 101 all'accesso, 102 giornalmente, 96 immediatamente., 103 mensilmente, 99 quando è inattivo, 103 settimanalmente, 98 una sola volta, 100 pianificazione aggiornamento automatico, 96 103 Guida al prodotto 191 Indice Portale servizi, PrimeSupport, 14 Precedenza, regola, 64 Presentazione generale del prodotto, 15, 122 PrimeSupport, 14 Problemi, riferimento, 181 a 183 Programma Beta, come contattare, 14 Protocolli supportati, 22 R Registro attivazione, 61 avvio, 115 cancellazione, 117 disattivazione, 61 eventi di sistema, 114 filtraggio, 116 informazioni su, 113 interruzione, 115 ordinamento, 116 salvataggio, 117 scheda, 57 Registro delle attività attivazione, 61 cancellazione, 117 disattivazione, 61 eventi di sistema, 114 eventi IDS, 114 filtraggio, 116 informazioni su, 113 ordinamento, 116 salvataggio, 117 scheda, 57 Regole del firewall archivi dei criteri, 65 copia, 80 creazione, 47, 77 creazione di gruppi, 81 disattivazione, 81 eliminazione, 81 info, 77 192 Software McAfee Desktop FirewallTM versione 8.0 livelli di protezione, 65 a 66 Client elevato, 67 Client medio, 67 Minimi, 66 Server medio, 67 Starter apprendimento, 66 modalità quarantena, 160 modifica, 81 monitoraggio da ePO, 150 a 151 note, 33, 152 precedenza, 64 Regole di applicazione creazione, 109 disattivazione, 111 eliminazione, 111 informazioni su, 109 modifica, 110 monitoraggio da ePO, 166 a 167 Regole note, 33, 152 Regole personalizzate del firewall, 65 Regole utente copia, 150, 166 revisione, 150, 166 sovrascrittura, 151, 167 unione, 151, 167 Regole, applicazione, 17 creazione, 50, 109 disattivazione, 111 eliminazione, 111 informazioni su, 109 modifica, 110 monitoraggio in remoto, 166 a 167 Regole, firewall, 15 copia, 80 creazione, 47, 77 disattivazione, 81 eliminazione, 81 info, 77 limiti di tempo, 25 modalità quarantena, 160 modifica, 81 monitoraggio in remoto, 150 a 151 Regole, monitoraggio in remoto, 32 Indice Report degli aggiornamenti della quarantena non riusciti, 173 Report dei 10 principali intrusi, 173 obiettivi di attacco, 173 Report dei dettagli sull'attività, 173 Report dei dettagli sull'intrusione, 173 Report dei dettagli sull'origine dell’intrusione, 173 Report dei dettagli sull’obiettivo dell’intrusione, 173 Report dei dettagli sulla distribuzione, 173 Report di riepilogo delle applicazioni bloccate, 173 Report di riepilogo intrusioni correnti per anno, 173 per mese, 173 per settimana, 173 per tipo, 173 Report di tutte le applicazioni bloccate, 173 Report di tutte le intrusioni, 173 Report, ePO, 28 accesso a ePO, 176 attivazione dei report, 146 creazione, 176 descrizioni, 173 disattivazione dei report, 146 esecuzione, 177 filtraggio, 177 funzionalitá, 171 invio dati eventi, 146 raccolta di dati sugli eventi, 172 requisiti, 171 restrizione agli utenti selezionati, 177 Restrizione dei report, 177 Reti attendibili, 73 definizione, 74 descrizione, 68 modifica, 75 opzioni, 74 Reti in quarantena, 158 Ricerca KnowledgeBase, 14 Riferimento degli errori, 181 esecuzione, 182 panoramica, 181 risposta agli avvisi, 183 Riferimento dei problemi, 181 a 183 Riquadro dei dettagli, ePO, 124 Risoluzione dei problemi, 181 a 183 S Salvataggio del registro eventi, 117 Sblocco di Desktop Firewall, 143 a 144 Scheda Administrative Configuration (Configurazione amministrativa, ePO, 131 Scheda Application Configuration, ePO, 128 Scheda Criteri applicazione, 48 Scheda Criteri Firewall, 43 Scheda Criteri intruso, 51 Scheda Firewall Configuration, ePO, 127 Scheda IDS Configuration, ePO, 130 Scheda Policies, ePO, 125 Scheda Properties, ePO, 134 Scheda Tasks, ePO, 135 Schede, Desktop Firewall, 40 Criteri applicazione, 48 Criteri Firewall, 43 Criteri intruso, 51 Registro delle attività, 57 Schede, ePO Administrative Configuration (Configurazione amministrativa), 131 Application Configuration, 128 Firewall Configuration, 127 Intrusion Configuration, 130 Policies, 125 Properties, 134 Tasks, 135 Servizio clienti, come contattare, 14 Sito Web dei corsi di formazione, 14 Sito Web di download, 14 Sito Web di upgrade, 14 Stato, Desktop Firewall, 38 Struttura della console, ePO, 124 Supporto a 802.11, 23 Supporto al traffico senza fili, 23 T tabs, ePO Administrative Configuration, 131 Guida al prodotto 193 Indice Timestamp definizione, 185 V Virus, invio di un esempio, 14 Visualizzazione dell'icona sulla barra delle applicazioni, 143 194 Software McAfee Desktop FirewallTM versione 8.0