Windows Firewall Control, il tool ideale per la configurazione del firewall di Windows

Un firewall (letteralmente "parete tagliafuoco") è un dispositivo hardware oppure un componente software (o una combinazione di entrambi) per la sicurezza ed il monitoraggio del traffico di rete. Esso è la prima linea di difesa delle reti private (che supponiamo sicure) e costiutisce una sorta di barriera per le reti esterne (come Internet) che possono essere inaffidabili. Per questo motivo, negli anni passati hanno goduto di grande popolarità prodotti come Comodo Firewall o Zone Alarm (anche in versione gratuita). I sistemi operativi della famiglia Windows, a partire dall'ormai obsoleto Windows XP, incorporano un firewall software chiamato Windows Firewall e, a partire da Windows 7, tale componente è diventata una piattaforma di filtraggio evoluta. La nota stonata è che, come da tradizione Microsoft, l'interfaccia di configurazione delle componenti avanzate è poco amichevole ed intuitiva. Fortunatamente ci viene in aiuto quella che, molto probabilmente, è la migliore utility da accoppiare al firewall di sistema: Windows Firewall Control (nel seguito WFC).

Funzionamento del firewall di Windows

Il firewall di Windows, per impostazione predefinita, blocca il traffico in entrata (ossia i tentativi di connessione provenienti da una rete esterna verso il nostro sistema), ma non quello in uscita (ossia le richieste di connessione che partono dal nostro computer): ciò implica che qualunque applicazione installata è autorizzata a collegarsi a server remoti attraverso Internet. Questo modalità di funzionamento permette alle applicazioni installate di offrire funzionalità come il download automatico degli aggiornamenti o il controllo del rilascio di nuove versioni, poiché si basa sull'ipotesi che qualsiasi programma residente sul nostro sistema sia fidato. È evidente come tale approccio soffra di un grave problema di sicurezza e possa avere conseguenze disastrose: se un malware (programma malevolo) si insinua nel sistema (basta un doppio click fatto alla leggera su un file eseguibile o l'apertura, più o meno accidentale, di un allegato "infetto" di posta elettronica) i danni possono essere molto gravi (furto di dati privati/sensibili o di credenziali di accesso a servizi on-line o di altra natura). Il firewall di Windows può essere usato per controllare anche il traffico in uscita, a patto di configurare opportunamente le regole di filtraggio.

Windows Firewall Control (WFC)

WFC (https://www.binisoft.org) è un tool che rende amichevole la macchinosa interfaccia standard di amministrazione del firewall di Windows, ne estende le funzionalità e facilita la creazione delle regole di filtraggio. Nel 2018 Malwarebytes ha acquisito la proprietà di WFC (la cui tecnologia verrà impiegata nei software di sicurezza avanzata della società) e ha reso WFC disponibile a tutti gratuitamente (in precedenza era a pagamento). Procedete al download di WFC ma, prima di installarlo, vi suggerisco di terminare la lettura di questo articolo, in quanto è bene che sappiate in anticipo alcuni dettagli riguardo all'installazione ed all'uso del tool.

Requisiti di installazione

Per la corretta installazione e funzionamento di WFC si richiede:

• Windows 7/8/8.1/10 oppure Windows Server 2012/2016;
• Microsoft .NET Framework versione 4.5 o superiore;
• il servizio Windows Firewall deve essere attivo (inoltre, se avete firewall software di terze parti, è consigliabile disinstallarli);
• il servizio DNS Client deve essere in avvio automatico per la corretta gestione delle notifiche. Personalmente l'ho testato anche con tale servizio disabilitato e non ho riscontrato malfunzionamenti, tuttavia, essendo una richiesta esplicita degli sviluppatori, meglio abilitarlo (non aspettatevi miglioramenti delle prestazioni velocistiche della connessione ad Internet).

Sistemi NON supportati

• Windows XP e Windows Server 2003 non possono essere supportati da WFC perché la piattaforma di sicurezza Windows Filtering Platoform (WFP), su cui si basa il funzionamento del firewall di Windows (e quindi di WFC) è stata introdotta con Windows Vista;
• Windows Vista e Windows Server 2008 non sono supportati (presumo per scelta degli sviluppatori);
• le versioni free di Hyper-V Server non sono supportate perché non hanno una GUI (interfaccia utente grafica).

Limitazioni ed incompatibilità

WFC non è compatibile (poiché non lo è il Windows Firewall) con software proxy, driver NDIS, moduli di filtraggio o altri software di sicurezza che ridirigono il traffico di rete verso il proprio modulo di filtraggio (è il motivo per cui suggerisco di disinstallare eventuali firewall di terze parti qualora li aveste a bordo). Infine, il sistema di notifiche di WFC può essere incompatibile con alcune vecchie versioni di software per la cifratura, come BoxCryptor e TrueCrypt (se usate questi programmi è compito vostro verificare se l'incompatibilità riguarda o meno la vostra configurazione). Altri problemi di incompatibilità potrebbero dipendere esclusivamente dalla vostra personale configurazione hardware/software.

Installazione e configurazione di WFC

Avviate il programma di installazione e selezionate le opzioni per creare i collegamenti nel menu START, l'avvio automatico con Windows e la creazione delle regole predefinite.

Terminate l'installazione ed avviate WFC, la cui icona comparirà nella traybar di Windows (la piccola barra che contiene l'orologio). Sebbene siano state create alcune regole predefinite, le comunicazioni verso l'esterno sono ancora permesse, come evidente dalla Dashboard (cruscotto) dove le "Outbound connections" sono evidenziate in giallo. La prima cosa che faremo sarà impedire le tutte connessioni in uscita, in seguito autorizzeremo solo quelle che desideriamo.

Scheda PROFILES (profili)

Selezionare l'opzione "Medium filtering": questa impostazione blocca le connessioni in uscita per cui non esiste una regola specifica nel firewall ed è la scelta ottimale che coniuga sicurezza e praticità d'uso. Dopo aver impostato il filtraggio medio, probabilmente non riuscirete a navigare in Internet: NIENTE PANICO, è tutto normale, basterà autorizzare il browser al prossimo tentativo di connessione (vedi paragrafo Scheda NOTIFICATIONS).

Selezionando il filtraggio medio, la Dashboard apparirà come in figura:

Le altre opzioni non sono molto utili nell'uso quotidiano:

• High filtering (filtro alto) corrisponde al blocco completo delle connessioni in entrata ed uscita, rendendo impossibile l'uso del computer in rete (Internet compresa).
• Low filtering (filtro basso) è l'impostazione iniziale di WFC e corrisponde ad avere il firewall di Windows in modalità standard (quindi permette tutte le connessioni in uscita a meno che voi non abbiate definito nel firewall una regola di blocco prima di installare WFC).
• No filtering (nessun filtro) equivale alla disattivazione del firewall di Windows, un'opzione da evitare a meno che non vi affidiate ad un firewall di terze parti.

Scheda NOTIFICATIONS (notifiche)

Questa sezione è il cuore di WFC e permette di sfruttare al massimo il firewall di sistema di Windows: per ogni applicazione che tenta una connessione verso l'esterno, WFC presenta una finestra interattiva in cui l'utente può decidere se autorizzare o meno la connessione. Selezionate "Display notifications", in modo che WFC mostri una notifica per qualsiasi connessione bloccata (eccetto eventuali programmi configurati da voi come eccezioni).

Le altre opzioni sono:

• Learning mode (modalità apprendimento): crea automaticamente regole in uscita per le applicazioni firmate digitalmente, mostra notifiche solo per quelle non firmate. Se non gradite le notifiche per tutte le applicazioni è l'opzione da scegliere come alternativa a quella che vi ho suggerito.
• Disabled (notifiche disattivate): sconsigliato, blocca tutto e non visualizza nessuna notifica, vanificando l'utilità di WFC.
• Sono presenti due caselle selezionabili: quando selezionate si può configurare l'intervallo di tempo (predefinito in 30 secondi) in cui la finestra di notifica rimane aperta (prima di essere automaticamente chiusa) e l'intervallo di tempo (predefinito in 30 minuti) dopo cui si rinnova una richiesta per una regola temporanea.

Le notifiche ci informano dei tentativi di connessione verso l'esterno da parte delle applicazioni residenti nel nostro sistema. Una finestra pop-up mostra alcune informazioni (applicazione, protocollo IP, porta ecc.) in base a cui possiamo decidere (con un click con il tasto sinistro del mouse) se consentire o no la connessione:

• Allow this program: connessione permessa al programma;
• Block this program: connessione negata al programma;
• Block for now and ask me later: connessione negata temporaneamente al programma (la richiesta verrà rinnovata in base all'intervallo di tempo configurato nell'apposita opzione vista in precedenza);
• è presente anche un link "Customize this rule before creating it" che vi consente di personalizzare la regola prima di crearla (in genere non è necessario fare nulla).

È attraverso un pop-up come quello della figura precedente che autorizzerete, ad esempio, un browser come Firefox ad accedere ad Internet. In ogni momento si può decidere di cambiare il permesso di connessione ad un programma: per esempio, se per errore non avete consentito al browser di accedere ad Intenet, probabilmente vorrete cambiare la vostra scelta (vedi paragrafo Lista delle regole ed altri elementi di interfaccia).

Scheda OPTIONS (opzioni)

Selezionate le caselle "Shell Integration" e "Start automatically at user logon" (avvia automaticamente WFC all'avvio di Windows oppure quando un nuovo utente esegue l'accesso al sistema).

"Shell Integration" aggiunge una coppia di voci al menu contestuale (quello che compare con un click con il tasto destro del mouse su un file eseguibile), molto utili per stabilire velocemente le regole da applicare ai programmi portable (ma non solo):

• "Allow through Windows Firewall": crea al volo una regola nel firewall che consente ad un file eseguibile il permesso di stabilire una connessione verso l'esterno;
• "Block through Windows Firewall": crea al volo una regola nel firewall che impedisce ad un file eseguibile di stabilire connessioni verso l'esterno.

È presente inoltre un menu a tendina per cambiare la lingua dell'interfaccia utente (c'è anche l'Italiano) e tre link che permettono rispettivamente di:

• importare le impostazioni di WFC da un file salvato in precedenza;
• esportare le impostazioni di WFC su un file (quello da usare nell'opzione precedente);
• ripristinare il valore predefinito di tutte le opzioni di WFC.

Scheda RULES (regole)

In questa scheda si seleziona la direzione delle regole di filtraggio create: in uscita (è quella predefinita e che vi consiglio: selezionate "Outbound"), in entrata o in entrambe le direzioni (quest'ultima è da evitare perché potrebbe creare conflitti ed incompatibilità con le applicazioni). Ci sono inoltre tre caselle che permettono di applicare le regole di filtraggio alle diverse categorie di rete supportate dal firewall di Windows ossia Domain (dominio), Private (reti private), Public (reti pubbliche): selezionatele tutte. Gli ultimi quattro link della pagina servono a importare ed esportare le regole da/su un file, ripristinare l'insieme predefinito di regole di WFC oppure la configurazione di base con le regole raccomandate.

Scheda SECURITY (sicurezza)

Questa scheda contiene impostazioni di sicurezza aggiuntive da usare con cautela: selezionate solo l'opzione Secure Profile (profilo sicuro), che impedisce la manomissione di WFC da parte di applicazioni esterne, inoltre l'importazione e la modifica delle regole di filtraggio del firewall potranno essere effettuate solo usando WFC.

Le altre opzioni sono:

• Secure Boot (avvio protetto): NON selezionatelo (NOTA: non ha nulla a che vedere con il famigerato Secure Boot dei sistemi UEFI). Quando questa voce è abilitata Windows si avvia con tutte le connessioni di rete bloccate, una cosa inutile a meno che non siate paranoici!
• Secure Rules (regole sicure): NON selezionatele. Quando questa voce è abilitata, aggiungere o eliminare le regole del firewall è possibile solo usando WFC (nel senso che WFC chiederà l'autorizzazione dell'utente per cancellare o disabilitare regole create da ambienti esterni). Sebbene proteggere le regole del firewall da manomissioni esterne possa sembrare una buona idea, usare le regole sicure può portare problemi di incompatibilità o di malfunzionamento dei programmi installati.

Scheda TOOLS (criteri)

Non c'è nulla da configurare. Permette di accedere velocemente alle sezioni di Windows relative al firewall, al visualizzatore eventi e al monitoraggio delle risorse hardware. Contiene alcuni URL di utilità on-line (per esempio quello di VirusTotal.com) con cui fare alcuni controlli avanzati (vedi paragrafo Lista delle regole ed altri elementi di interfaccia).

Scheda ABOUT (informazioni)

Contiene le informazioni sulla versione del programma ed eventualmente la casella (selezionabile, se lo desiderate) per il controllo automatico degli aggiornamenti.

Lista delle regole ed altri elementi di interfaccia

Ci sono alcuni utili elementi della GUI (interfaccia utente grafica) di WFC che vale la pena evidenziare:

• il punto interrogativo sulla destra permette di scaricare il manuale in PDF (solo in Inglese) di WFC, dove reperire ulteriori informazioni;
• l'icona in basso a sinistra a forma di lucchetto consente di bloccare lo stato del programma, ossia di proteggere la configurazione corrente di WFC mediante l'utilizzo di una password;
• l'icona in basso a sinistra (estremamente utile) consente di visualizzare tutte le regole definite nel firewall di Windows in forma di lista, ottenibile anche con un click del tasto destro del mouse sull'icona di WFC nella tray-bar e selezionando "Rules Panel" (o "Pannello Regole").

Aprite la lista delle regole correnti nel firewall di Windows gestite da WFC, è una buona occasione per vedere se c'è qualcosa da bloccare (per esempio qualche voce relativa alla telemetria ficcanaso…). A seconda del colore di sfondo avremo diversi tipi di regole (controllare anche la colonna "Direction" per vedere la direzione della regola, ossia se in entrata o in uscita):

• sfondo verde: connessioni permesse;
• sfondo rosa-fuxia: connessioni bloccate;
• sfondo bianco: regole non abilitate.

Per modificare una regola è sufficiente fare click con il tasto destro del mouse sulla riga corrispondente e scegliere se bloccare o consentire la connessione, abilitare/disabilitare la regola oppure eliminarla. Si può perfino decidere di controllare sul noto servizio VirusTotal il file eseguibile relativo ad una regola in lista.

Infine, nella parte destra della lista, troviamo due utili sezioni:

• Actions (Azioni): permette di evidenziare eventuali regole non valide (perché per esempio un programma è stato disinstallato) o duplicate, in modo che si possano eliminare.
• Display (Visualizza): permette di visualizzare le regole in base alla direzione (tutte, solo in entrata, solo in uscita), in base al filtro usato (nessun filtro, filtro abilitato, filtro disabilitato, regole create dall'utente), oppure in base ad una combinazione di criteri direzione-filtro.

L'icona di WFC nella system-tray (tray-bar)

Il programma di installazione di WFC crea una icona nella system-tray (detta anche tray-bar) di Windows, posizionata in modo predefinito all'estremità destra della barra delle applicazioni (per intenderci: è dove vedete l'orologio di sistema e la data). La presenza dell'icona testimonia che WFC è attivo e si può accedere velocemente ad alcune sue funzioni:

• facendo click sull'icona con il tasto sinistro del mouse, si accede all'interfaccia utente completa di WFC;
• facendo click sull'icona con il tasto destro del mouse, appare una finestra pop-up (vedi figura) che permette di selezionare al volo un profilo di filtraggio (Profiles), accedere alla GUI completa (Main Panel), accedere alla lista completa delle regole (Rules Panel) e visualizzare il log (registro) delle connessioni bloccate (Connections Log). La voce Exit ovviamente termina il programma (evitate di usarla).

Eventuale disinstallazione di Windows Firewall Control

Essendo il firewall un elemento fondamentale della sicurezza in rete, utility come WFC sono indispensabili per facilitarne la gestione ed occorre pensarci due volte prima di disinstallarle. Se scegliete di disinstallarlo, WFC vi chiederà come gestire le regole di filtraggio: è possibile ripristinare le impostazioni predefinite del Windows Firewall eliminando tutte le regole create con WFC (ripristinando le regole precedenti all'installazione del tool) oppure conservare le impostazioni correnti. Personalmente non vi consiglio di rinunciare a WFC a meno che non sia strettamente indispensabile: il firewall di Windows è ottimo, gli mancano proprio le funzioni amichevoli offerte da questa utility.

Conclusioni

Windows Firewall Control è probabilmente la miglior utility progettata per agire in simbiosi con il firewall nativo di Windows, una componente di sicurezza spesso sottovalutata (a torto) da molti utenti, che pensano sia poco efficace per il solo fatto di essere integrata in Windows. Al contrario, il firewall di Windows è molto potente, gli manca solo un'interfaccia utente più amichevole, obiettivo pienamente raggiunto da WFC.

 

POTREBBE INTERESSARTI ANCHE…

• Proteggere la connessione ad Internet con il file HOSTS