Sygate henkilökohtainen palomuuri

 
Tämä ohje on tarkoitettu sekä aivan uusille ohjelmallisen palomuurin käyttäjille, että myös aikaisemmin muita palomuureja käyttäneille helppoon ja nopeaan käyttöönottoon.

SPFMainWin.jpg

Asennus:

  1. Laita XP:n oma palomuuri päälle ennen nettiin kytkeytymistä
  2. Lataa asennustiedosto netistä. Symantec poisti palvelimen jolta eri SPF:n versiota oli ladattavissa, joten tiedoston löytäminen voi olla vaikeaa. Suosittelen 5.5 versiota XP:n tietoturvakeskuksen tunnistaman 5.6 asemasta. Tätä kirjoitettaessa eräs toimiva linkki on red-jackin vastauksessa: SPF 5.5.2710.  
  3. Tallenna kovalevylle.
  4. Katkaise Internet-yhteys ja poista kaikkien aikaisempien palomuuriohjelmien asennukset. Ei riitä että aikaisempi palomuuri on vain pois päältä. Joskus myös poisto edellyttää lisätoimenpiteitä.
  5. Tarkista myös että XP SP2 palomuuri ei ole päällä !  Asenna SPF suorittamalla asennustiedosto ja vastaa kaikkiin kysymyksiin Yes. Sinun täytyy olla kirjautuneena Järjestelmänvalvoja-oikeudet omaavana käyttäjänä. 
  6. Mikäli asensit SPF 5.5.2710 version niin XP SP2 Tietoturvakeskukselle kannattaa nyt ilmoittaa että  hallitset itse palomuuriasi, jolloin se ei varoittele turhaan "puuttuvasta" palomuurista.

Konfigurointi:

Sygaten palomuuri vaatii hieman säätöä ennen kuin se suojaa konettasi kunnolla.

Työpöydän oikeasta alakulmasta kellon vierestä löytyy SPF:n liikennöinti-ikoni. Sieltä saa aina palomuurin kaikkien toimintojen SPF-pikavalikon auki näpäyttämällä sitä hiiren oikealla näppäimellä.

  1. Valitse SPF:n pikavalikosta Applications...
  2. Valitse sovellusten listasta Generic Host Process...svchost.exe
  3. Napauta vasemmanpuoleista laatikkoa, kunnes sillä on Allow Access asetus.
  4. Vasemmasta alakulmasta painike Advanced ja poista seuraavasta ikkunasta palvelinoikeus Act as Server. Siis ruksi pois tästä kohdasta.
  5. Applications listasta voit poistaa vielä Remove painikkeella kaikki muut siellä näkyvät ohjelmat.

SPFServer.jpg

Nyt voit jälleen kytkeytyä nettiin.

Kun esim. käynnistät uuden ohjelman joka ottaa yhteyttä nettiin, SPF kysyy sallitaanko vai estetäänkö sen pääsy. Vastaa tässä vaiheessa Yes, mutta ota ohjelman nimi ylös myöhempää konfigurointia varten.

Em. ohjelmilta kannattaa jälkikäteen poistaa palvelinoikeudet vastavaalla tavalla kuin yllä tehtiin Generic Host Process-ohjelmalle.Vain pikaviestimille yms. ohjelmille täytyy palvelinoikeus jättää jotta ne toimisivat oikein. Kokemukseni mukaan mikään Windows prosessi ei tarvitse palvelimena toimimista, ainoana poikkeuksena tietokoneen kellon päivitys josta myöhemmin tässä ohjeessa.

Palomuurin testaus:

SPF:n pääikkunasta Sygate Personal Firewall löytyy painike Security Test. Se avaa sivuston josta löydät testit Quick Scan ja Stealth Scan. Mikäli todellakin testataan käyttäjän omaa IP-osoitetta kuten yleensä, niin testien tuloksena pitäisi kaikkien porttien kohdalla olla BLOCKED -status. Jotkin portit kuten portti 5000 voivat olla auki, mutta niistä myöhemmin.

Varoituksia:

Sivuilla suositellaan ajamaan testit ilman palomuuria jotta avoimet portit näkyisivät. Nykyisin päivittämätön XP saastuu erittäin helposti, joten tuon suosituksen voi jättää omaan arvoonsa.

Myös sivuston TrojanScan antaa harhaanjohtavia tuloksia mikäili portteja on auki, joten jätä se nyt tässä vaiheessa tekemättä.

Tätä kirjoitettaessa sivusto johon tuo painike johtaisi ei toimi.  Voit käyttää jotakin muuta palomuurin porttiskannaus turvallisuusohjelmaa kuten shields up! alla.

Gibsonin Shields Up! -testi on hyvin suosittu ja sekä nopeampi, että mukavampi kuin Sygaten oma.
Tarkista että sivulla näkyy yhteytesi IP-osoite. Jos olet esim. jonkin välityspalvelimen tai NATin takana, niin silloin testin tuloksiin ei voi luottaa, sillä ne eivät silloin testaa palomuuriasi.

Proceed -painike ja Common Ports -painike seuraavasta ikkunasta.

Kaikilla porteilla tulisi oikein konfiguroidulla SPF-palomuurilla olla vihreä Stealth-status.Tarkista ettei käyttämällesi selaimelle ole annettu Act as Server -oikeutta.

Portti 5000 voi olla auki. Sen voit sulkea/avata seuraavalla UnPlug n’ Pray-ohjelmalla.
Paina Download Now ja suorita sitten ohjelma.

Palomuurin yleiset asetukset:

  1. SPF-pikavalikosta Options...
  2. General-välilehti. Ruksi kohdassa Automatically load Sygate Personal Firewall service at startup.
  3. Ruksi kohtaan Hide Notification messagesSPFHide.jpg
  4. Network Neighborhood-välilehti
  5. Valitse yhteytesi Network Interface. Mikäili koneesi on normaali kotikäyttäjän tietokone, eikä sinulla ole muita koneita kotiverkossa, niin poista ruksit kohdista Allow to browse Network Neighborhood files and printer(s) sekä Allow others to share my files and printer(s).
  6. Security-välilehti
  7. Tarkista että siellä on ruksit kohdissa Enable driver level protection - NetBios protection ja Anti-Application Hijacking.
SPFSharing.jpg

Lisäsäätöä:

Jos olet sallinut koneesi tarkistaa ja ladata XP:lle kriittiset päivitykset automaattisesti, niin se vaatii tosiaankin että Generic Host Process... svchost.exe:n annetaan ottaa yhteyttä verkkoon Act as Client -asiakasasetuksella, mikä on oletuksena. Palvelinasetus lienee tietoturvariski, koska se jättää portteja avoimiksi. Se estettiin tämän ohjeen konfigurointi-kohdassa.

Jos haluat päivittää työpöytäsi oikeassa alakulmassa olevan kellosi aikapalvelimelta, tarvitset myös pienen reiän palvelinasetukseen.

Voit lisätä seuraavan säännön näin:

  1. SPF-pikavalikko
  2. Advanced Rules...  Siellä on sääntöeditori jonka välilehdet käymällä läpi ja tarkkailemalla 'Rule Summary' -laatikkoa pitäisi säännöksi muodostua seuraavan kohdan mukainen.
  3. This rule will allow incoming traffic from IP address(es) 207.46.130.100 on UDP remote port(s) 123 to UDP local port(s) 123. This rule will be applied to all network interface cards. The following applications will be affected in this rule: Generic Host Process for Win32 Services.

Vain tuo aikapalvelimen IP-osoite, UDP protokolla ja portti ja vain koskien Generic Hostia!!!

Tarkastele palomuurin liikennelokia. SPF-pikavalikko -> Logs -> Traffic log... Siellä on näkyvissä kaikki netissä tapahtuneet yhteydenotot, niin sallitut kuin estetytkin.

Seuraavat kaksi sovellusta, Applications, aiheuttavat sinne turhaa liikennettä. Sen liikenteen voi poistaa melkein kaikista tietokonekokoonpanoista ja ne ovat ndisuio.sys ja ntoskrnl.exe. Toimenpide nopeuttaa myös hieman konetta.

Jos sinulla ei ole kokoonpanossasi langattomia laitteita niin voit poistaa ndisuio.sys -liikenteen ottamalla pois päältä seuraavan Windows-palvelun: Wireless Zero Configuration.  Tässä on kuvallinen sivusto miten sen saa pois päältä:
 http://www.ifelix.co.uk/tech/2000.html

Ntoskrnl.exe-liikenne liittyy NETBIOS-liikenteeseen ja sen voi poistaa seuraavasti, jos muistan oikein tai sitten poistin koko protokollan käytöstä:

Käynnistä -> Asetukset -> Ohjauspaneeli -> Verkkoyhteydet

Valitse Internet-yhteytesi kuvake ja hiiren oikeanpuoleisella näppäimellä Ominaisuudet -> Yleiset-välilehti.

Poista ruksit kohdista Microsoft-verkkojen asiakas sekä Tiedostojen ja tulostimien jakaminen Microsoft-verkoissa.

(Jos tuo ei riitä, niin valitse Internet protokolla (TCP/IP) ja painike Ominaisuudet ja sieltä painike Lisäasetukset ja edelleen WINS-välilehti).

Lisävinkkejä:

  1. SPF-pikavalikko -> Sygate Personal Firewall
  2. View/Connection Details
  3. Running Applications
SPFConWin.jpg

Listasta voit katsoa kaikki sovellukset ja portit joiden kautta ne kuuntelevat sisäänpäin tulevaa liikennettä - Local Port.

Näiltä estät sitten palvelinoikeudet Act as Server, mikäli yllä mainitut palomuuritestit vielä näyttävät avoimia portteja. Ja vaikka eivät näyttäisikään, niin jätä palvelinoikeudet vain pikaviestimille ja muille sellaisille ohjelmille jotka niitä vaativat.

SPFTraffic.jpg

Opettele tarkkailemaan palomuurisi liikennelokia. Sygatessa on erinomaiset lokiominaisuudet. Kuitenkin löytyy vieläkin parempi ohjelma. Se on nopeampi ja siinä on joitakin ominaisuuksia jotka puuttuvat palomuurin mukana tulevasta: 

http://www.geocities.jp/bruce_teller/sygate5/spflgvw_en.htm 

Mutta opettele nyt ensin palomuurin mukana tuleva lokien tarkastelutoiminto.

Jos ongelmia tulee eteen tai sinua muuten vain kiinnostaa tietää enemmän SPF palomuuriin liittyvistä asioista, niin voit käydä Sygaten keskustelufoorumilta lukemassa muiden käyttäjien viestejä tai jättää sinne oman kysymyksesi. 

Symantec päätti lopettaa Sygaten palomuurin. Se oli odotettavissa. Liian suosittu ja liian hyvä ilmaiseksi palomuuriksi.  Firewall Poll 2006.
Palomuurit eivät vanhene kuten antivirukset. Maailmalla on vielä paljon vanhan Kerio 2.1.5 palomuurin käyttäjiä. Oma arvioni on, että kun Windows Vista käyttöjärjestelmä ilmestyy, niin erinomainen SPF palomuuri siirtyy sitten hiljalleen historian lehdille. Microsoft on kehittelemässä tätä kirjoittaessa omaa kaiken kattavaa henkilökohtaista tietoturvaohjelmistoansa, joten yksittäisten pelkkien palomuurien päivät alkavat olla luetut.

20.6.2006
Jarmo Salonen

TURVALLISTA SURFFAILUA !