Sygate Personal Firewall
*Se qualche immagine di questa pagina non fosse visibile provate a premere F5 (aggiorna /Refresh)*
Visto l'interesse destato dalla pagina dedicata a Tiny ho deciso di tornare sull'argomento Firewall provando brevemente uno
dei quattro prodotti che il mercato offre gratuitamente agli utenti domestici (gli altri sono Zone Alarm e Outpost )
Su questo sito oltre a Tiny Firewall si è parlato brevemente dell'argomento anche in questa pagina e chi è alle prime armi o
non sa cosa sia un Firewall può fare comodo leggere ambedue per capire dei concetti generali.
Sygate Firewall è stato recentemente rivisto e notevolmente migliorato rispetto alle versioni precedenti, in questo momento è
disponibile per il download la versione 5.0 built 1117
Le immagini che vedete in questa pagina sono però relative alla vecchia versione 4.2 quindi sappiate che alcune cose
potrebbero non corrispondere più...
La versione freeware è affiancata da una versione a pagamento (il trial 30 gg è disponibile) che si differenzia per avere il
supporto VPN, regole esportabili, dimensioni del log fino a 1 Gb e la possibilità di impostare un numero illimitato di regole
contro le 20 della versione freeware (numero comunque più che sufficiente)
Sygate Firewall gira su Windows 95/98/Millennium - 2000(tutte) NT4 (sia Workstation che Server purché con almeno SP 5)
e anche sul recentissimo XP
Altri requisiti di sistema sono processore 133 MhZ, 32 Mb di RAM 10 Mb di spazio libero su disco.
Se sapete l'inglese sono disponibili in formato PDF una molto sintetica (285 Kb) e una completa di 880 Kb
(link per la vecchia versione 4.2 Quick Guide - guida completa )
Potete trovarli entrambi nella pagina del supporto http://soho.sygate.com/support/documentation.htm
I manuali sono ben fatti e se sapete l'inglese vi saranno molto più utili della mia paginetta web.
Il download di questo Firewall è possibile eseguirlo da due indirizzi diversi (i contenuti son identici) www.sygate.com oppure
www.sybergen.com il link diretto dovrebbe essere questo http://soho.sygate.com/products/shield_ov.htm ma nel caso ci
fossero dei cambiamenti cercate la pagina giusta partendo da quella principale.
Le dimensioni del download sono di circa 4,7 MB per la nuova 5.0 e 3.8 MB per la versione 4.2 (ancora disponibile)
Dopo averlo scaricato l'installazione non crea difficoltà di nessun tipo, è richiesto il riavvio.
Dopo il riavvio troverete l'icona di Sygate in basso a destra vicino all'orologio
facendoci doppio clic appare questo modulo di registrazione, potete anche premere su : Register Later e farla
successivamente oppure mettere un nome e indirizzo email e procedere con la registrazione.
Se non la eseguite subito la finestra di registrazione vi verrà riproposta ad ogni avvio del computer.
Nel menù Start Programmi troverete la consueta cartella
Per default Sygate parte come servizio quindi non vi serve nessuna icona sul desktop in quanto viene caricato
automaticamente a ogni avvio, se volete lanciarlo manualmente dovete modificare le opzioni predefinite, potete farlo cliccando
con il tasto destro del mouse sull'icona vicino all'orologio
poi scegliete Options
Qui (se lo desiderate) potete deselezionare la casella Automatically load Sygate..... ma il rischio poi è quello di scordarsi
di caricare il firewall quando vi connettete a Internet.
Altra interessante possibilità offerta da Sygate è quella di vedere cosa gira sul sistema e di vedere quali programmi hanno
possibilità di accesso a Internet.
Se invece di fare clic come appena indicato con il tasto destro sull'icona di Sygate si fa doppio clic appare questa finestr
molte Opzioni possono essere settate anche da qui, è questione di preferenze.
Potete se volete cliccare su Connection Details e vedere cosa Sygate ha dentificato come programma con possibilità di
accesso ad Internet (in questo caso non c'era connessione)
Però con questo non voglio spaventare i più inesperti, come già detto in altre pagine molte persone non usano un Firewall per
paura di non essere capaci a gestirlo oppure lo installano e poi frustrati dall'incapacità di comprendere gli avvisi dicono OK a
tutti quelli che vedono apparire oppure lo disinstallano proprio.
Abbiamo visto come è facile installarlo, abbiamo visto che per impostazione predefinita viene caricato automaticamente
all'avvio del sistema, andiamo ora a vedere cosa succede quando una persona si connette a Internet e va a navigare, leggere
la posta o chattare.
Una dei primi avvisi che potete veder comparire è questo
Senza entrare troppo in dettagli tecnici vi consiglio di spuntare la casella bianca "Remember...." e di premere Yes
Qui facciamo subito una premessa, quando compare un avviso voi potete premere Yes e concedere che il tal programma
comunichi con l'esterno, potete di No e negare tale comunicazione.
Se non spuntate la casella bianca ci saranno in futuro altri avvisi, la funzione di Remember è quella di evitare la comparsa
di tali avvisi quando si usano programmi di uso frequente.
Nel gergo tecnico impostare questi "permessi" significa creare - dare le regole (rules)
Se vi domandate se una volta creata una regola è possibile modificarla o eliminarla la risposta è sì.
Nel caso dell'avviso di cui sopra (Router Solicitation) spuntate la casella e dite Yes in modo che non lo vediate più.
Aprendo il browser (in questo caso Internet Explorer appare il messaggio che tale programma sta cercando di connettersi a d
Internet logico glielo abbiamo detto noi ...insospettitevi se qualcosa si connette senza il vostro permesso*
* Prima di gridare al trojan o al lamer verificate che non sia qualche cosa che voi avete programmato, da tenere conto che molti programmi
(Sygate compreso) hanno una funzione di autoaggiornamento, quindi leggete bene gli avvisi e verificate di che si tratta.*
Vediamo nell'immagine sopra che l'avviso comunica che il programma di nome Internet Explorer sta cercando di accedere ad
Internet usando la porta 80 verso l'indirizzo 216.239.37.100 (che tradotto è www.google.com)
La domanda è : "Do you want to allow this program to access the Network ? " noi spuntiamo Remember e diciamo sì.
La prossima volta che aprirete Internet Explorer non vedrete nessun fastidioso avviso.
Vediamo ora che succede se leggiamo la posta o inviamo email.
L'avviso dice che Outlook Express sta connettendosi verso pop.libero.it usando la porta 110 anche in questo caso
spuntiamo Remember e diciamo Yes.
Inviando la posta cambia la porta usata (110 per riceverla e 25 per inviarla) l'avviso sarà questo.
Anche in questo caso si spunta Remember e si cliccca su Yes per non dover vedere avvisi ogni volta che si manda posta.
Fino a qui avete visto che non c'è nulla che non sia alla portata di tutti, il Firewall è in parole povere un "notificatore"
di quello che cerca di entrare o uscire dal pc, lui notifica e domanda istruzioni, voi rispondete dando un permesso ogni volta
oppure spuntate Remember e così facendo create "una regola"
Se create una regola lui la prossima volta che avverrà quell'evento non vi chiederà nulla.
Alcuni programmi per poter funzionare necessitano di più porte e quindi di più regole, abbiamo appena visto che Outlook usa
una porta per ricevere la posta e un altra per inviarla, abbiamo quindi visto due avvisi diversi e abbiamo dato due regole di
comportamento diverse.
Vediamo per fare altri esempi cosa succede se aggiorniamo l'antivirus InoculateIT tramite il tasto Autodownload
Oppure se apriamo ICQ o Miranda ICQ
Da riportare che spesso appare l'avviso porta 53 DOMAIN anche con altre applicazioni, dite sì.
La porta 53 si occupa del DNS
Questo invece è l'avviso che comnpare leggendo le News (porta 119) anche qui spuntate Remember e consentite.
Questo avviso invece riguarda Live Update di Norton Antivirus
Vediamo ora come verificare quali regole abbiamo impostato, come modificarle e d eventualmente rimuoverle.
Cliccando con il tasto destro del mouse sull'icona di Sygate (vicino all'orologio) e poi premendo Applications
Appare questa finestra dove vediamo i programmi per cui ci sono delle regole e cosa fa Sygate quando vi si imbatte
Se osservate con attenzione il contenuto della finestra vedete per esempio "Componente di base" e Internet Explorer per cui
prima abbiamo dato una regola definitiva nella parte Access trovate scritto Allow
Questo significa che quelle applicazioni possono connettersi senza che Sygate si interponga a chiedere cosa fare.
Ask invece significa che per quei programmi ancora non è stata data una regola definitiva, ogni volta che verranno usati
comparirà un avviso Firewall che chiederà istruzioni, un altra possibilità è Block nel caso voi decidiate di interdire in modo
permanentel'accesso a Internet di un programma.
Per modificare "i permessi" basta cliccare su un applicazione e poi cliccare con il tasto destro per decidere se rimuovere
la regola o modificare il comportamento di Sygate nei confronti di quel programma.
Da segnalare che anche Sygate come il suo rivale Tiny permette l'inserimento di una password per impedire che le
impostazioni possano essere modificate senza il vostro permesso da eventuali persone che abbiano accesso al pc..
Per farlo basta andare su Set Password e impostarla.
Un pò di particolari
Fino a adesso penso di non aver scritto nulla di troppo complicato per i neofiti che installando il Firewall si metteranno
finalmente (si spera) al sicuro da Trojan Horse e molestatori vari , vediamo cosa offre Sygate agli utenti smanettoni.
Una cosa interessante di Sygate è l'icona che cambia colore a seconda degli avvenimenti.
Qui traggo dal manuale PDF di Sygate (manuale ben fatto!) la legenda di tale icona "animata"
Come potete vedere cambiano i colori a seconda se i dati siano in entrata o in uscita.
Sempre tratto dal manuale di Sygate ecco un altra legenda delle icone
Andiamo ora a vedere cosa succede se qualcuno ci va a "tastare le porte" alla ricerca di un trojano, non c'è bisogno di
cercare qualcuno che ci bussi con un Subseven, esiste Sygate Scan che è un servizio che vi raccomando di aggiungere ai
vostri preferiti perché è veramente ottimo.
In che cosa consiste ? premendo Scan Now (e selezionando un opzione a sinistra) viene rilevato il nostro indirizzo IP e
eseguita una scansione delle porte aperte sul pc per verificare quindi la vulnerabilità a attacchi o intrusioni.
Questa è una cosa che può eseguire anche chi non ha il Firewall, anzi è raccomandabile a chi ne è sprovvisto !
Se ci fosse un trojan in uso sul vostro pc ci sarebbe la corrispondente porta aperta.
Vediamo un esempio, recatevi su http://scan.sygatetech.com
Facendo Quick Scan viene fatta una scansione veloce che può essere indicativa, se non avete un Firewall o se non avete un
Antivirus è vivamente consigliabile eseguire la Trojan Scan (può far comodo in tal caso anche questa altra pagina )
Il Firewall blocca anche le porte non in uso qui sotto vedete che risultano bloccati anche i servizi normalmente aperti.
Lo Stealth Scan serve a saggiare la bontà del Firewall
Queste immagini sono tanto per farvi vedere di che si tratta, vi consiglio di eseguire Sygate Scan personalmente per vedere
con i vostri occhi, questo Scan non è pericoloso e non ha nulla a che vedere con certi test che verificano se siete immuni a
crash, interessante è farlo con Firewall e poi senza per vedere la differenza.
Cosa che dovete notare mentre eseguite lo Scan è che il colore dell'icona di Sygate cambia in rosso (sui due sensi) e
lampeggia, questo significa che è in atto un Portscan ed è una cosa che potrebbe capitare anche durante una normale
navigazione, a questo punto è interessante vedere il log per vedere cosa ha riportato.
il modo più facile per farlo è fare un doppio clic sull'icona lampeggiante, il risultato sarà questo
Remote Host è l'indirizzo IP da cui proviene "l'attacco" Local IP è il vostro indirizzo IP del momento, potete poi vedere il
tipo di protocollo usato (TCP o UDP o quel che sia) la direzione in questo caso Incoming - Entrata)
Facendo clic con il tasto destro su un qualsiasi evento apparirà BackTrace
Il che è comodo per andare a vedere (se ci tenete...) la provenienza dell'attacco senza dover copiare l'indirizzo IP e andarlo a
vedere manualmente con qualche servizio offerto sul web.
Premendo Whois appaiono le informazioni sull'indirizzo IP, se volete degli indirizzi web dove inserire Ip e avere informazioni
riporto questi due: http://www.hazardous.org/fkr/whois-query.php e http://www.ripe.net/perl/whois
Vi consiglio comunque di non perdere tempo dietro ai log e agli avvisi Firewall, il PortScan sebbene in alcuni paesi sia proibito
non sempre corrisponde a un vero attacco contro di voi , il più delle volte è solo una scansione di migliaia di indirizzi IP alla
ricerca di persone che abbiano un Trojan a bordo
Se avete un Antivirus aggiornato (fate le scansioni però ;-) e un Firewall potete stare tranquilli e pensare a navigare.
Tutti i log (divisi perfino per categoria) sono comunque raggiungibili anche da qui.
Altra caratteristica di questo Firewall è la possibilità di ricevere log via email, se volete ricevere la notifica su un altro pc o sul
telefonino che qualche ragazzino ( o non ragazzino...) vi sta attaccando con SubSeven avete questa possibilità.
E' possibile sempre nelle opzioni stabilire grandezza in Kb del log e quanti giorni deve tracciare.
Altra possibilità che molti troveranno piacevole è vedere il vostro indirizzo IP visibile cliccando su Network
Nel riquadro Network Interface vedrete il vostro IP quando siete connessi.