Il firewall di OfficeScan consente di proteggere i client dagli attacchi degli hacker e dai virus di rete attraverso la creazione di una barriera tra il client e la rete.
Filtraggio del trafficoIl firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri:
Direzione (in entrata/in uscita)
Protocollo (TCP/UDP/ICMP/ICMPv6)
Porte di destinazione
Computer di origine e destinazione
Applicazioni
Scansione dei virus di reteIl firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete.
Profili e criteri personalizzabili Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o consentano tipi di traffico di rete specificati.
Stateful InspectionIl firewall di OfficeScan è di tipo "stateful inspection": monitora cioè tutte le connessioni al computer client e archivia tutti gli stati di connessione. È in grado di identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno e individuare le interruzioni in una connessione normale. Le decisioni sulle modalità di filtro si basano quindi non soltanto su profili e criteri, ma anche sul contesto stabilito analizzando le connessioni e filtrando i pacchetti che passano attraverso il firewall.
Sistema di prevenzione intrusioniIl firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS). Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco al client. Il firewall di OfficeScan consente di prevenire le seguenti intrusioni note:
Frammento troppo grande: attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto TCP/UDP di dimensioni eccessive su un computer di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sui computer, causandone il blocco o il riavvio.
Ping of Death: attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto ICMP/ICMPv6 di dimensioni eccessive su un computer di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sui computer, causandone il blocco o il riavvio.
Conflitto ARP: tipo di attacco in cui un hacker invia una richiesta ARP (Address Resolution Protocol) a un computer utilizzando lo stesso indirizzo IP come origine e come destinazione. Il computer oggetto dell'attacco, quindi, comincia a inviare continuamente una risposta ARP (il suo indirizzo MAC) a se stesso, con conseguente blocco del sistema.
Flooding SYN: attacco DoS (Denial of Service) in cui un programma invia a un computer dei pacchetti di sincronizzazione (SYN) TCP multipli, causando un invio continuo di risposte di riconoscimento (SYN/ACK) da parte del computer. Questi invii possono provocare l'esaurimento della memoria del computer con conseguente blocco del sistema.
Frammenti sovrapposti: questo attacco DoS (Denial of Service) simile al teardrop, invia a un computer dei frammenti TCP sovrapposti . Questo causa la sovrascrittura delle informazioni di intestazione del primo frammento TCP che potrebbe così oltrepassare un firewall. Il firewall, a questo punto, potrebbe consentire l'accesso ai successivi frammenti contenenti il codice maligno permettendo loro di raggiungere il computer di destinazione.
Teardrop: questo attacco DoS (Denial of Service) simile all'attacco a frammenti sovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno del secondo frammento IP, o di quelli successivi, può causare il blocco del sistema operativo del computer ricevente nel momento in cui tenta di riassemblare i frammenti.
Attacco con frammenti di dimensioni minime: tipo di attacco in cui un frammento TCP di dimensioni minime forza le informazioni di intestazione del primo pacchetto TCP all'interno del frammento successivo. I router che filtrano il traffico ignorano pertanto il frammento successivo, che potrebbe invece contenere dati maligni.
IGMP frammentato: attacco DoS (Denial of Service) che invia pacchetti IGMP frammentati a un computer di destinazione che non riesce a elaborarli correttamente, con conseguente rallentamento o blocco del computer.
Attacco LAND: tipo di attacco che invia a un computer dei pacchetti di sincronizzazione (SYN) IP contenenti lo stesso indirizzo come origine e come destinazione; il computer invia pertanto la risposta di riconoscimento (SYN/ACK) a se stesso, con conseguente rallentamento o blocco del computer.
Monitoraggio delle infezioni di violazione del firewallQuando le violazioni del firewall superano determinate soglie che potrebbero far pensare a un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato a specifici destinatari.
Autorizzazioni firewall per il clientL'amministratore può concedere all'utente le autorizzazioni necessarie per visualizzare le impostazioni del firewall sulla console del client OfficeScan, nnché quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il messaggio di notifica della violazione del firewall.