Sygate Personal Firewall PRO

Su consiglio di un mio amico ho installato Sygate sul mio Windows 2000 Server dopo aver disinstallato Zone Alarm che mi ha DEVASTATO la macchina. Non che Zone Alarm non sia un buon firewall, per carità, sui client è ottimo e continuo a mantenerlo sul portatile con 2000 Professional... ma non fatevi MAI venire la "brillante" idea di installarlo su un 2000 Server, soprattutto se è un domain controller! I lettori più scafati si staranno chiedendo con che criterio non ho protetto in altri modi il Server, tipo con un firewall hardware, ma il fatto è che ho un dominio con 3 PC di prova in casa per motivi di studio (certificazioni Microsoft).

Consiglio a chi poco se ne intende di protocolli di rete e che crede che ICMP, TCP e UDP siano dei gruppi rap, di non proseguire oltre nella lettura, perchè il prodotto del quale sto parlando è orientato principalmente ad utenti esperti.

Sygate Personal Firewall PRO è tutto ciò che avete desiderato da Zone Alarm, ma non avete mai avuto :)

L'interfaccia si presenta con 2 grafici che segnano in tempo reale la mole di traffico in entrata e uscita e un grafico che presenta l'history degli attacchi subiti dall'apertura del programma.
Nella parte centrale dell'interfaccia sono visibili gli applicativi e i servizi tenuti sotto controllo dal firewall, fortunatamente si possono nascondere i servizi di Windows, se no la lista sarebbe immensa.
La bellezza di questa parte sta nella scelta di poter vedere che protocollo utilizzano questi applicativi, lo stato, l'IP o il range di IP al quale si collegano per scambiare informazioni, la porta remota e il percorso locale dove l'applicativo si trova.
Da questa parte dell'interfaccia possiamo anche bloccare l'applicativo se notiamo che si sta comportando in modo strano, possiamo anche settare se l'applicazione può accedere o meno alla rete o se necessita di un'autorizzazione ogni volta.

La parte inferiore dell'interfaccia visualizza il log degli eventi del programma e lascia all'utente la scelta se essere visualizzata o meno.

Nella parte superiore si trovano le icone per l'accesso veloce ai principali tools del firewall.
- Blocco immediato del traffico in ingresso e in uscita in caso di emergenza.

- Gestione delle applicazioni, una meraviglia che Zone Alarm si può ampiamente scordare :)
Si possono scegliere nuovi applicativi dei quali regolare il traffico in rete o gestire quelli esistenti già rilevati dal firewall. Selezionando un applicativo e accedendo alla sezione "Advanced" si possono scegliere gli IP o i range di IP "Trusted", quindi scelti come sicuri, si possono settare i protocolli e le porte che possono essere utilizzati da questi e si può scegliere se il programma può avere funzione di client e di server. Inoltre... udite, udite... si può anche schedulare il fatto che possa comunicare con gli IP stabiliti solo in determinate fasce orarie o per una durata di tempo stabilita!!! Fantastico...

- Visualizzazione dei log: Possiamo scegliere se visualizzare il log relativo a ciò che ci interessa, la scelta è fra sicurezza (segnala solo attacchi veri), traffico, pacchetti e sistema (log delle azioni del programma).
Personalmente quelli che utilizzo di più sono quelli relativi alla sicurezza e al traffico.

Nel log della sicurezza posso vedere chi mi attacca dopo aver ricevuto il messaggio di alert dal programma. Cosa che mi piace di più di Zone Alarm è che rompe meno le scatole... nel senso che non mi segnala come attacco pericoloso pericolosissimo ciò che è normale traffico non dannoso, lo blocca e lo scrive nel log relativo al traffico come bloccato senza farne un dramma.
Ho avuto pochi veri portscan e comunque quando il buon Sygate ne rileva uno blocca automaticamente per un'intervallo di tempo configurabile il traffico proveniente dall'IP incriminato.

Nel log relativo al TRAFFICO possiamo vedere cosa fa traffico e dove è rivolto sia in ingresso che in uscita. Si vedono l'ora, se il traffico è permesso o meno, il protocollo usato, se è in ingresso o uscita, l'IP dell'host di destinazione e la sua porta, l'IP dell'host dal quale proviene e la relativa porta, il percorso sul proprio disco rigido dell'applicazione che genera o a cui è rivolto il traffico. Inorridirete a vedere quanto broadcast fanno diverse applicazioni di Windows :)

Una cosa molto interessante è la possibilità di fare back trace sugli IP sospetti, se il pollo che ti fa portscan non si è a sua volta protetto, capita di farsi due risate leggendo il nome NetBIOS della sua macchina (Internet è piena di lamer pivelli... eheheh!!)
Comunque preferisco sempre usare il caro vecchio TRACERT dal prompt del "finto DOS", infatti Sygate mostra solo gli IP dei router di passaggio senza risolvermi in che parte del mondo si trovano effettivamente.

- Test è il bottone che ci permette di collegarci al sito di Sygate, nell'area dove testare la sicurezza dei nostri settaggi. In quell'area infatti verremo bombardati da attacchi fittizi e avremo un resoconto del risultato degli attacchi.

Il cuore di Sygate Personal Firewall PRO però si trova nel menu "Tools".
Nelle "Options" possiamo configurare a piacimento tutto ciò che vogliamo che il nostro firewall blocchi o abiliti.

Nella sezione "Network Neighorhood" possiamo scegliere se permettere o meno di fare browsing o di sharare files e stampanti per ogni scheda di rete che abbiamo (modem compreso).
Nella sezione "Security" si possono abilitare o meno tutte quelle opzioni FONDAMENTALI per la sicurezza della nostra macchina, quali: abilitare la protezione del NetBIOS, evitare il MAC e l'IP spoofing, bloccare i portscan e tante altre piacevolezze.

Nella sezione "E-mail notification" possiamo definire addirittura di mandare un'e-mail di notifica in caso di attacco all'amministratore di rete.

Per chi ancora non si accontentasse (come me...), attraverso gli "Advanced Rules" del menu "Options" si può creare delle regole personalizzate (attenzione! hanno più importanza dei settaggi di base! Usatele solamente se siete pratici!) a seconda dell' IP, del MAC address, della subnet mask, dove selezionare i protocolli e le porte personalizzando il traffico permesso secondo le esigenze. Non creando ad esempio un'advanced rule personalizzato si corre il rischio che nemmeno le macchine della vostra LAN possano fare nulla...

Sygate Personal Firewall PRO è acquistabile dal sito www.sygate.com e non si trova nei negozi, è disponibile solo in inglese e costa l'accettabilissima cifra di $ 47,50.

Inzomma...
Se siete degli esperti di reti e avete voglia di sbizzarrirvi potendo finalmente personalizzare e monitorare come si deve cosa fanno di bello le vostre macchine in rete.
Per chi non è esperto e non ha particolari esigenze di personalizzazione consiglio di utilizzare Zone Alarm, che anche se è un po' allarmista è comunque un buon prodotto.

Consiglio Sygate Personal Firewall PRO principalmente a chi ha l'esigenza di montare un firewall software su un Server 2000, soprattutto in presenza di un'infrastruttura basata su Active Directory... per esperienza personale Zone Alarm su un domain controller blocca i principali servizi quali DNS, DHCP, WINS, IIS e lo snap-in di "Active Directory Users and Computers" in quanto risulta non più raggiungibile il domain controller (il server arriva a proteggersi da sè stesso!). Il problema si riesce anche a risolvere (io ci sono riuscita), ma rimane l'impossibilità di aprire le proprietà delle cartelle...comodo... no ;)... non chiedetemi perchè, ma è così!
Garantisco che con Sygate il mio dominio casalingo funziona perfettamente, senza conflitti :)

Amici smanettoni e amministratori di sistema e di rete... buon divertimento!