Registrazione dei pacchetti

Il registro contenente le informazioni su ogni singolo pacchetto raccoglie dati estremamente dettagliati sul traffico di rete ed è, pertanto, sempre disattivato. Fare clic su Avvia registrazione per attivare il registro pacchetti qualora si sospetti la presenza di attività di rete potenzialmente dannose. La registrazione si interrompe automaticamente alla scadenza del lasso di tempo specificato o quando il file registro raggiunge la dimensione massima impostata. Fare clic su Interrompi registrazione per sospendere la procedura manualmente.

I registri pacchetti sono raccolti in 10 file diversi, quindi è possibile visualizzare i registri precedenti durante la creazione di quello nuovo. Il formato dei file registro è binario e compatibile con il formato tcpdump; può essere letto con l'apposito visualizzatore fornito da F-Secure o con una qualunque applicazione di registrazione pacchetti.

L'utilità di registrazione pacchetti registrerà tutte le tipologie di traffico di rete, inclusi i protocolli necessari al funzionamento della LAN. Tra i dati registrati si annoverano, ad esempio, le informazioni di instradamento, la risoluzione degli indirizzi hardware e così via. Di solito, questo tipo di traffico non è molto utile nei file registro e non figura mai nel visualizzatore integrato. Per mostrarlo, deselezionare la casella di controllo Filtra traffico non IP.

Registro azioni

Il registro azioni raccoglie costantemente dati sulle operazioni eseguite da Protezione Internet. In genere, si tratta di un semplice file di testo non superiore ai 10 MB, che può essere aperto in qualunque editor di testo in grado di visualizzare file di grandi dimensioni. Il registro azioni può essere cancellato e rimosso in qualsiasi momento. Pertanto, se le sue dimensioni diventassero eccessive, sarà estremamente semplice registrare le azioni in un nuovo file. Il percorso del file registro è indicato nella finestra Registrazione.

Seguono alcuni esempi pratici inerenti la lettura del registro azioni.

Modifica dei criteri di protezione del firewall, ad esempio del livello di protezione

11/16/02 15.48.01, success, general, daemon, Policy file has been reloaded (16/11/02 15.48.01, operazione completata, generale, daemon, il file dei criteri di protezione è stato ricaricato).

Apertura di una connessione locale, in ingresso o in uscita
1
2
3
4
5
6
7
8
9
10
11/15/02
16:54:41
info
appl control
C:\WINNT\system32\services.exe
allow
send
17
10.128.128.14
137

Di seguito vengono elencati i campi disponibili.

1. Data
2. Data e ora
3. Tipo
4. Causa interna
5. Nome dell'applicazione
6. Operazione di Controllo applicazioni
7. Operazione di rete
8. Protocollo
9. IP remoto
10. Porta remota

Connessione in ricezione

Se l'applicazione ha stabilito una connessione di tipo LISTEN, essa funge da server e i computer remoti sono in grado di collegarsi alla porta per la quale è stata aperta la connessione. Nel registro azioni figurano anche queste connessioni.

1
2
3
4
5
6
7
8
9
10
11/15/02
16:48:00
info
appl control
unknown
allow
receive
17
10.128.129.146
138

Di seguito vengono elencati i campi disponibili.

1. Data
2. Data e ora
3. Tipo
4. Causa interna
5. Nome dell'applicazione
6. Operazione di Controllo applicazioni
7. Operazione di rete
8. Protocollo
9. IP remoto
10. Porta remota

Inserimento di regole dinamiche

Se un'applicazione tenta di aprire una connessione di tipo LISTEN autorizzata dall'utente, le regole firewall statiche potrebbero impedirla. Per consentire tale connessione in uscita, viene pertanto utilizzata una regola dinamica valevole per la sola durata della connessione stessa ed esclusivamente per l'applicazione specificata.

1
2
3
4
5
6
7
8
9
10
11
12
11/15/02
16:47:59
info
dynamic rule
added
0.0.0.0
255.255.255.0
0
65535
371
371
allow
11/15/02
16:48:23
info
dynamic rule
removed
0.0.0.0
255.255.255.0
0
65535
371
371
allow

Di seguito vengono elencati i campi disponibili.

1. Data
2. Data e ora
3. Tipo avviso
4. Tipo regola
5. Azione eseguita
6. Intervallo indirizzi IP a partire da
7. Intervallo indirizzi IP fino a
8. Intervallo porte remote a partire da
9. Intervallo porte remote fino a
10. Intervallo porte locali a partire da
11. Intervallo porte locali fino a
12. Azione regola (consenti/rifiuta)


F-Secure Corporation
www.F-Secure.com
Product Support