Sygate 5.5 Freeware : Guida all`uso

Sygate 5.5 Freeware : Guida all'uso
Per l'utente medio esistono molte scelte in tema di firewall e Sygate 5.5 free è un programma da prendere in seria
considerazione perché è semplice da utilizzare e una volta configurato l'utente non ha più nessun problema. Anche i messaggi
di intrusione segnalati dei firewall, che sviano gli utenti poco esperti, qui sono "discreti" e non mettono ansia come spesso
avviene con altri prodotti facendo credere che il pc è sotto un attacco informatico su larga scala. Come succede per tutti i
firewall quando si avvia la prima connessione a internet è necessario creare le vari regole di accesso per i programmi che si
usano. Questo discorso sarà affrontato verso la fine, ora si fa una panoramica sulle funzioni del programma
L'interfaccia principale del programma è divisa in tre zone :
Fig. 1 : Menù in Sygate
Come è facile notare dalla figura precedente ci sono bottoni per un accesso veloce e voci del menù per accedere a varie
impostazioni. Nel caso in cui si manifesta un traffico anomalo o si è sotto attacco che, in molti casi, può paralizzare il pc è
possibile bloccare tutto il traffico con Block All. La voce Applications permette di richiamare una nuova finestra con tutte le
applicazioni che potenzialmente possono accedere a internet e hanno o meno una regola di accesso impostata :
Fig.2 : Sygate Freware e le Applicazioni
Per ogni applicazione esistono tre possibilità; Allow permette l'accesso a internet, Block non permette l'accesso a internet e
Ask chiede conferma per l'accesso ogni volta che il programma vuole uscire. In questa sezione l'utente può modificare le
regole cliccando sul quadratino di sinistra. Le voci Remove e Remove All permette di rimuovere una regola o tutte le regole
mentre Advanced permette di impostare scelte personalizzate per ogni applicazione:
Fig. 3 : Come personalizzare una regola con Sygate
Poichè ogni applicazione non usa tutte le porte e tutti protocolli per comunicare è possibile raffinare specificando come avviene
la comunicazione; ovviamente l'utente deve sapere come intervenire. Nella sezione Advanced sono presenti le voci seguenti :
Name Of Application permette di scegliere l'applicazione per cui si vuole raffinare la regola di accesso
Application Restrictions permette di inserire gli IP o intervalli di IP con cui l’applicazione potrà comunicare liberamente (Es:
Pc in una lan); ovviamente gli IP non presenti saranno bloccati
Remote Server Ports permette di definire per i protocolli TCP e UDP le porte remote o un intervallo di porte con cui
l’applicazione potrà comunicare.
Local Ports : il discorso fatto in precedenza vale per il pc dell'utente (Local)
Allow ICPM traffic permette di abilitare o negare l'uso del ping per l’applicazione
Per un uso normale non è necessario intervenire in questa sezione, è interessante far presente le funzionalità del programma
ma per un utente poco esperto non è necessario utilizzarle perché le regole create dal programma vanno benissimo per
garantire una buona sicurezza.
Il bottone Logs, presente in figura, 1 permette di analizzare tutte le informazioni raccolte dal programma come gli attacchi
subiti o le connessioni stabilite. Anche in questo caso, per un utente poco esperto sono informazioni che possono anche non
interessare ma è bene sapere che il programma permette di sapere tutto ciò che accade. Infine il bottone Security Test avvia
una connessione con il sito della Sygate per testare il firewall e verificare che le impostazioni scelte rendono il pc stealth su
internet ovvero tutte le porte risultano nascoste.
Voci del menù in dettaglio
Fig. 4
Close permette di chiudere l'interfaccia grafica del programma e Exit Firewall permette
di arrestare il programma rendendo il pc vulnerabile
Fig. 5
Questa voce del menù permette di stabilire come si deve comportare il firewall con le
applicazioni che vogliono accedere a internet. Normal permette all'utente di avere le
richieste di accesso e regolarsi di conseguenza, Block All blocca tutto il traffico in
ingresso e in uscita mentre Allow All permette un accesso totale di ogni applicazione
senza richiesta di permesso. Consigliata Normal
Fig. 6
La voce Applications richiama la sezione descritta in precedenza; logs mostra tutte le
informazioni del traffico di internet e i tentativi di intrusione. La sezione Options richiama
una serie di finestre disposte a schede in cui è possibile modificare le impostazioni del
programma in base alle proprie esigenze. Advanced Rules permette di creare regole
mirate basate su porte e protocolli e hanno un privilegio maggiore rispetto alle regole
basate su applicazioni.
Fig. 7
Option --> General
La sezione General permette di caricare all’avvio di windows il firewall (Automatically load…..) oppure se si usa uno Screen
Saver è possibile bloccare tutto il traffico (Block Network…..). Se non vi vuole far disattivare il firewall nel caso in cui il pc è
usato da più persone è possibile impostare una password di protezione con la sezione Password Protection
Fig.8 Opzioni in Sygate Freeware
La sezione Network Neightborhood permette di gestire le condivisioni di files e stampanti che nel caso di pc NON connesso
in una Lan devono essere disabilitate:
Fig.9 : Impostazioni di rete in Sygate
Togliere il segno di spunta significa non condividere nulla (molte intrusioni partono proprio da questo, questo è un motivo per
cui le reti di pc in un certo senso sono più vulnerabili se il firewall non è configurato bene).
Tools --> Option --> Security
La scheda Security dispone di diverse impostazioni per la sicurezza vera e propria; l'immagine mostra chiaramente voci in
grigio che non possono essere selezionate in questa versione Freeware.
Fig.10
Le funzionalità che possono essere modificate sono :
Enable driver level protection che permette di considerare i “driver protocol” come normali applicazioni che accedono alla
rete; in questo modo è possibile intervenire sulle regole di accesso
NetBIOS Protection permette di gestire la propria LAN in modo sicuro bloccando il traffico NetBIOS proveniente dall’esterno
Anti-Application Hijacking permette di avvisare l’utente quando un’applicazione sconosciuta tenta di avviarne un’altra.
Enable dll autentication avvisa un utente quando un’applicazione tenta di caricare una dll per accedere a Internet; abilitare
questa funzionalità comporta che si devono accettare frequenti avvisi poiché il controllo sulle dll è totale.
Le schede successive non hanno un' importanza fondamentale per la configurazione del firewall e quindi possono essere
tralasciate.
Tools --> Advanced Rules
Alla prima schermata, per creare una regola, bisogna premere sul bottone Add e si aprirà la finestra in figura seguente:
Fig.11
Per chiarire il procedimento, della creazione di una regola, viene fatto un esempio in cui si vuole bloccare la porta 135 molto
pericolosa se lasciata visibile. E' bene sottolineare che non serve creare questa regola perché alla prima connessione
basta negare l'accesso al processo svchost.exe e il pc è protetto dal Worm Blaster.
In Rule Description viene dato il nome alla regola che si crea e può essere usato "Blocco della porta 135”. Action permette
di stabilire il tipo di azione, quindi se bloccare o meno il traffico per questa regola; in questo caso viene scelto Block This
Traffic. In Advanced Settings viene selezionata la connessione a cui applicare la regola. Record This Traffic in “Packet log”
permette di salvare nel Packet Log tutti i tentativi di connessione con questa porta.
Nella scheda Hosts si possono definire gli indirizzi IP interessati da questa regola; e' possibile selezionare tutti gli IP (All
Addresses) oppure è possibile definirne diversi inserendoli nell’apposita casella IP Address(es). Nel nostro esempio, poiché
le connessioni alla porta 135 possono avvenire da qualsiasi PC connesso a internet è necessario selezionare la voce All
Address.
Fig.12
In Ports and Protocol viene scelta la porta e i protocolli da bloccare; il protocollo da selezionare con il menù a tendina è il
TCP e nella sezione Remote e Local ports number verranno inserite le porte remote e locali. Nella casella Local verrà
inserito 135 e sarà lasciata vuota la casella Remote. In questa situazione, tutte le connessioni in entrata sulla porta 135
saranno bloccate indipendentemente dalle porte Remote che appartengono a PC connessi a internet.
Fig.13
La scheda Scheduling permette di impostare o meno un periodo di validità per questa regola, ovviamente parlando di
sicurezza è consigliato che la regola sia sempre attiva.
Per concludere, la scheda Applications permette di selezionare l'applicazioni da coinvolgere nella regola appena creata. Nel
caso della porta 135, che corrisponde ad un servizio di Windows, è sufficiente selezionare dall’elenco delle applicazioni il file
svchost.exe.
Primo utilizzo con Sygate
Appena si avvia la prima connessione, il firewall comincia a mostrare i primi messaggi per stabilire le regole dei programmi che
vogliono accedere ad internet.
Fig.13
La prima domanda riguarda il noto processo di Windows XP, se si usa questo sistema operativo, che vuole accedere ad
internet; è possibile bloccare l’accesso spuntando la voce Remember my answer….. e premendo No
Nel caso di Internet Explorer e di altri programmi noti bisogna spuntare la voce Remember my answer….. e premere Yes.
Fig.14 : Regola di accesso con Sygate
La figura di seguito mostra l’interfaccia principale del programma:
Fig. 15 : Sygate e la GUI principale
E' possibile notare un grafico animato del traffico in ingresso (Incoming Traffic) e in uscita (Outgoing Traffic), ed è
presente anche un grafico animato degli attacchi subiti.
Nella parte bassa della figura è presente la Sezione Running Applications, in cui sono mostrati i programmi aperti, in quel
momento, (Internet Explorer) e i processi di Windows che in un pc non connesso in una Lan possono essere bloccati . Se si
spunta la voce Hide Windows Service nella sezione Running Applications vengono mostrati solo i programmi aperti e non
i processi di Windows.
Capire quando si è sotto attacco:
Quanto il pc risulta sotto attacco l’icona del firewall vicino all’orologio cambia aspetto diventando bianca lampeggiante. A
questo punto per avere maggiori dettagli sull’attacco basta cliccare 2 volte sull’icona
.
Fig. 16 Log degli scanner con Sygate
Con il pulsante destro selezionare Backtrace per capire l’IP e il Provider dell’utente remoto.
Se il provider è italiano è possibile inoltrare una segnalazione all’abuse del provider dell'attaccante.
Windows :
Microsoft Windows 98
Microsoft Windows Millennium
Microsoft Windows 2000 - NT
Microsoft Windows XP Home Edition / MS Windows XP Professional
Size : 6.0Mbyte
Licenza : Freeware
Download : Sygate