Che tu te ne renda conto o meno, il tuo firewall è costantemente sotto attacco. Dai programmi automatici che scansionano le reti vulnerabili agli hacker esperti che cercano di penetrare nella tua rete e installare un Trojan o un rootkit, il tuo firewall blocca costantemente il traffico proveniente da fonti non autorizzate su Internet. Le informazioni sugli attacchi e sui pacchetti bloccati dal firewall sono disponibili nei file di registro del firewall. Esamina i registri per identificare gli attacchi per sapere da dove provengono e per determinare se gli attacchi hanno avuto successo nell’ottenere l’accesso alla tua rete.
Identifica la scansione delle porte
Alcuni hacker utilizzano i port scanner per scansionare le porte del firewall e determinare se qualche porta è aperta. Un utente malintenzionato potrebbe eseguire la scansione di tutte le porte o potrebbe scansionare selettivamente alcune porte in cui un exploit ha avuto successo in passato. Cerca le voci nel registro in cui il tuo firewall ha bloccato l’accesso dallo stesso indirizzo IP a più porte. Ad esempio, potresti vedere voci simili alle seguenti:
Richiesta di connessione TCP in entrata bloccata da 96.47.225.82:6000 a 64.233.160.105:9333 Richiesta di connessione TCP in entrata bloccata da 96.47.225.82:6000 a 64.233.160.105:9334 Richiesta di connessione TCP in entrata bloccata da 96.47.225.82:6000 a 64.233.160.105: 9335 Richiesta di connessione TCP in entrata bloccata da 96.47.225.82:6000 a 64.233.160.105:9336
Identificazione delle richieste di connessione a porta singola
Dovresti anche essere preoccupato per più richieste di connessione in momenti diversi e possibilmente da indirizzi IP diversi a un singolo numero di porta che non viene utilizzato. Un hacker verificherà spesso che la porta che desidera utilizzare con il suo Trojan o altro malware non sia già utilizzata da un altro servizio. Ad esempio, potresti vedere voci simili alle seguenti:
Richiesta di connessione TCP in entrata bloccata da 96.47.225.82:49343 a 64.233.160.105:31337 Messaggio precedente ripetuto 107 volte
Identificare i pacchetti in uscita non validi e gli accessi al firewall
Cerca i messaggi provenienti dall’interno della tua rete che il firewall blocca nel caso in cui tu abbia un Trojan che risiede all’interno del firewall. Ad esempio, cerca voci di registro come:
Pacchetto TCP in uscita bloccato da 192.168.1.100:51195 a 96.47.225.82:443 come FIN: ACK ricevuto ma non c’è connessione attiva Sopra il messaggio ripetuto 9 volte
Identifica eventuali tentativi di accesso al firewall stesso e modifica le impostazioni. Ad esempio, potresti vedere una voce di registro come:
Autenticazione della configurazione bloccata tramite indirizzo IP 96.47.225.82:6000 Messaggio precedente ripetuto 5 volte
Intrusion Detection
Per identificare gli attacchi che penetrano con successo nel firewall, è possibile installare un sistema di rilevamento delle intrusioni. Simile a una telecamera di sicurezza monitorata, il software di rilevamento delle intrusioni monitora e analizza i modelli di traffico attraverso la rete e ti avvisa di ciò che considera traffico sospetto. Tuttavia, il software non blocca il traffico di rete. SNORT è un popolare IDS open source basato su rete. OSSEC e Tripwire sono popolari IDS open source basati su host.