8 de maio de 2010

Sygate Personal Firewall Pro

Mesmo pouco conhecido, esse firewall é um dos melhores do mercado pois possui inúmeras diferenças de seus concorrentes e um nível de segurança muito bom: ele foi eleito em 2002 pelas revistas norte-americanas PC WORLD e PC MAGAZINE como o melhor firewall do ano (sem falar dos prêmios recebidos anteriormente) ...

O Sygate tem como principal diferencial o uso de proteção por camadas do Protocolo, seja ele TCP/IP (Transfer Control Protocol/Internet Protocol) ou qualquer outro

- o que é totalmente inusitado nesse mercado. Ele possui um sistema que, além de filtar os dados, monitora os pacotes que entram e saem do sistema, confirmando assim sua autenticidade; previne também a execução de códigos maliciosos, além de bloquear o recebimento de worms (vermes), Zumbis e ataques DOS (Denial of service).

Como se não bastasse, ainda possui proteção Anti-IP & Anti-MAC SPOOFING, impedindo assim que crackers mal intencionados utilizem seu número de IP para realizar atitutes mal intencionadas na rede :) ...

Após essa breve apresentação, vamos configurar e aprender a utilizar corretamente o Sygate Personal Firewall Pro.

Configurando o Firewall Primeiramente quando abrirmos o firewall, observamos que um menu com as opções abaixo:



Vá primeiramente à opção Security e selecione Normal, pois o Sygate possui apenas três opções de segurança:

1. Opção Block All - Bloqueia todo o tráfego de rede sendo impossível qualquer atividade na web. Essa opção só deve ser acionada quando suspeita-se que um cracker malicioso tenha invadido a rede, além de bloquear as portas também mantém em stealth mode (modo de IP invisível).

2. Opção Normal - Bloqueia todas as conexões até que o usuário conceda acesso a determinado aplicativo mantendo todas as portas e o protocolo TCP/IP monitorados constantemente pelo firewall; também mantendo em stealth mode o seu computador na rede. Essa é a opção padrão.

3. Opção Allow All - Permite todo o tráfego de rede sem monitoramento do firewall. Essa opção só deve ser utilizada nos casos em que não se consiga acessar determinados arquivos de um servidor, impossibilitando, assim, o download dos mesmos.

Agora vá até o menu Tools e marque o item Automatically Start Service a fim de que o sistema seja iniciado automaticamente quando o Windows inicializar. Feito isso, você notará que existem várias outras opções que não foram modificadas, então agora explicaremos cada uma delas:


Ainda dentro do menu Tools, a opção Applications demonstra todos os aplicativos que tiveram acesso à Internet e qual a opção escolhida para cada um deles. Os aplicativos marcados com uma interrogação são aplicativos que apresentarão um questionamento a fim de identificar se o mesmo foi executado pelo usuário da máquina e não remotamente, e se você deseja que esse aplicativo tenha acesso à Internet.

Já os programas marcados com um sinal de pass possuem acesso à Internet e embora estejam sendo monitorados pelo firewall, eles podem ser executados remotamente sem que o usuário da máquina tenha permitido essa conexão - portanto procure evitar ao máximo em permitir esse tipo configuração (você verá onde isso se aplica com mais profundidade no item "Utilizando o firewall" ).

A última opção é a marcada com um bloqueio onde determinado aplicativo está bloqueado completamente para acesso à Internet: desta maneira o seu funcionamento se restringe apenas à zona local.


Na guia logs você observará os tipos de logs (eventos transcorridos): estes eventos são divididos em Security (segurança), Traffic (tráfego de rede), Packet (informações sobre os pacotes TCP/IP) e System (informações do sistema). Atente-se que os logs são muito importantes em caso de invasão pois a partir da análise das informações ali contidas é que podemos tentar chegar ao invasor.

Na opção Options é onde se encontram os aspectos necessários para uma boa configuração:

Na guia General, em Sygate Personal Firewall Pro Service, temos Hide Sygate Personal Firewall Pro System Tray Icon ("Esconder o ícone localizado no tray do Sygate Personal Firewall"): essa escolha não é muito interessante pois quando temos alguma tentativa de invasão o ícone localizado no tray se torna vermelho e a partir disso é que detectamos tal tentativa. (Você terá maiores informações sobre isso no tópico "Utilizando o firewall").

Marque a opção Automatically load Sygate Personal Firewall Pro service at startup ("Automaticamente carregar o Sygate Personal Firewall ao iniciar o sistema").

Na opção Screensaver Mode há a opção Block Network Neighborhood traffic in scrensaver mode (Bloquear o tráfego de rede quando o modo screensaver for ativado): essa opção não é muito interessante para pessoas que costumam fazer downloads muito extensos pois fatalmente o computador iria entrar nesse modo e bloquear todo o tráfego de rede, bloqueando também o download que está sendo feito.

Na opção Notification, marque a caixa Hide notification messages (Esconder notificações de mensagens); caso contrário, a cada tentativa de invasão ou tráfego suspeito na rede uma notificação aparecerá na tela.

Em Password Protection temos Enable password protection can protect your security settings being changed others eithers mistakenly or maliciously ("Habilite proteção de contra-senha para proteger suas informações de segurança impedindo que elas sejam modificadas maliciosamente ou erroneamente"): esta opção impede que sejam modificadas as configurações de segurança do firewall impedindo que alguma pessoa com pouco conhecimento ou até mesmo um craker modifique as configurações de segurança: o único inconveniente de se ter essa configuração selecionada é que cada vez que quiser acessar o firewall você deverá digitar a sua senha.

Na guia Network Neighborhood você observará a opção Network Interface, que deve apontar para a sua interface de rede ou seu adaptador de rede.

Na opção Network Neighborhood Settings você deverá marcar o item Allow to browse Network Neighborhood files and printer(s) ("Permitir acesso a outros arquivos e impressoras"): dessa forma você pode acessar arquivos e impressoras compartilhados de outros sistemas, mas não permite que outros computadores acessem recursos desse sistema.

O item Allow others to share my files and printer(s) ("Permitir que outros sistemas acessem meus arquivos e impressoras") não deve ser marcada - a menos que você possua uma intranet e envie arquivos de um terminal para outro. Do contrário, mantenha-a desmarcada.

Na guia Security marque todos os itens encontrados na opção Security Enhancement:

- Enable Intrusion Detection System ("Ativar sistema de detecção de intrusos") já vem marcado como uma configuração original: o firewall passa a detectar as tentativas de invasão via ataques DoS (Denial of Service) e Trojan Horses e de mudanças de arquivos *.exe feitas remotamente.

- Enable portscan detection ("Ativar a detecção de portscan") consiste no esquadrinhamento das portas abertas no sistema (o famoso PortScan), muito usado por crackers como técnica de Footprinting (Escolha e detecção de possíveis alvos para o ataque).

- Enable driver level protection ("Ativar a proteção a nível de driver"), impede que crakers acessem a rede sem permissão do usuário - o que significa que usuários remotos não poderão iniciar determinado software remotamente.

- Enable stealth mode browsing ("Ativa o modo escondido do navegador"): dessa forma o navegador da Internet mantém o IP da máquina escondido quando os serviços de rede não estão sendo utilizados.

- Block all traffic while the service is not loaded ("Bloquear todo o tráfego de rede enquanto os serviços são carregados") faz com que todo o tráfego de rede seja bloqueado enquanto o Windows é carregado.

- Enable anti-MAC spoofing ("Habilitar anti-MAC spoofing") este é um dos diferenciais desse firewall em relação aos seus concorrentes, ao qual muitos dos administradores de redes dão atenção: o spoofing de MAC (que não tem nada a ver com computadores Macintosh da Apple) é muito comum entre os crakers que consiste em capturar uma sessão de rede e assumir o endereço MAC da placa de rede que tenha contato com o servidor. Desta forma os firewalls não iriam detectar o invasor e o cracker poderia isolar a outra máquina fazendo com que o fluxo de dados entre elas fosse finalizado.

- Enable anti-IP spoofing ("Habilitar anti-IP spoofing") é um outro diferencial também muito interessante, que consiste basicamente em capturar uma sessão de rede e assumir o endereço IP de uma máquina dentro de uma intranet, enviando pacotes de dados inúteis ao servidor a fim de derrubá-lo ou interromper o fluxo de dados. Na prática ele utiliza os mesmos princípios de ataques de recusa de serviços DoS.

- Enable OS fingerprint masquerading ("Mascaramento da Impressão Digital"). Como sabemos, todos os sistemas operacionais têm uma impressão digital que possibilita o reconhecimento do sistema operacional rodando em determinado computador ou servidor: esta opção impede a detecção do sistema operacional rodando em determinada máquina. Um exemplo bem prático disso é que se você utilizar o Sygate e tentar fazer o update do Windows, os servidores da Microsoft não reconhecerão o seu sistema operacional e você vai receber uma mensagem bem interessante. :-)

- Enable NetBIOS protection ("Ativar proteção Netbios"): com esse item marcado toda a comunicação de rede dentro de uma subnet (intranet) será interrompida, impedindo assim o acesso aos dados do computador com o firewall.

- Automatically block attackers IP adress for ("Automaticamente bloquear IP de ..."): com esse item haverá um bloqueio temporário do IP do atacante, ou seja, o IP do atacante será automaticamente bloqueado quando entrar em contato com esse computador durante um determinado período de tempo (definido pelo usuário).

- Enable DLL authentication ("Ativar autenticação de DLL"): permite que o usuário escolha dar a permissão ou não para a execução de uma determinada DLL. Desta maneira o usuário poderá identificar uma DLL maliciosa tentando ser executada sem permissão do usuário.

Na opção Smart Traffic Handling marque todas as caixas.

O item Enable smart DNS (Domain name system) significa na prática que, se um computador envia um pedido de resposta a um outro e esse outro não responde em cinco segundos, todo o tráfego de rede com esse DNS será interrompido.

O item Enable smart DHCP (Dinamic Host Configuration Protocol) só permite que servidores DHCP sejam iniciados em cartões de rede que rodem serviços DHCP.


Na guia E-mail Notification marque apenas a opção Do Not Notify (não notificar). A opção Notify Immediately não deve ser marcada, pois faz com que um e-mail seja enviado para determinado endereço de correio eletrônico a cada sucessão de ataques - o que pode tornar-se um incômodo para o usuário.

Na guia Log, na opção Security Logs File, System Log File, Traffic Log File e Capture Full Packet você poderá configurar o tamanho máximo dos logs e o tempo em que os mesmos ficarão arquivados no arquivo de logs, assim como executar sua limpeza.


Na guia Updates marque a caixa Automatically check for new versions e Automatically check for signature updates and download: com isso o firewall faz a checagem junto ao fabricante de novas versões e novas assinaturas disponíveis para download.

Continuando no menu Tools, no tópico Advanced Rules (Regras avançadas) você poderá personalizar as regras do firewall para desta maneira permitir o acesso do conteúdo da máquina que possui o firewall instalado para as demais máquinas em uma mesma rede.

O tópico Updated Signatures fará a checagem manual da assinatura no momento em que é selecionada e no tópico Hide System tray Icon você poderá esconder o ícone localizado no tray.

Na opção Test Your Firewall você poderá testar a segurança do seu PC diretamente com a Sygate (fabricante do software). Esse teste é muito interessante - além de ser um dos mais completos existentes - pois possui varredura TCP, UDP, ICMP, verificação de segurança no stealth mode e muito mais - além de demonstrar os resultados detalhados de sua conexão e de falhas na segurança de seu PC.

No menu View você só deve marcar as opções Large Icons e Hide Broadcast Traffic pois nesse menu você só alterará a forma em que os programas são exibidos pelo firewall.

Utilizando o Firewall
O Sygate, assim como o Zonealarm, inicia o sistema com todas as suas portas fechadas e assim que os programas que possuem acesso à Internet vão sendo utilizados ele vai solicitando ao usuário a permissão de execução (as conhecidas "regras de execução do firewall" como mostrado abaixo):


Repare que nessa janela foi marcada a opção de sempre relembrar a resposta: dessa forma você não precisará responder toda vez que executar o programa. Só escolha essa função se você tiver plena certeza de que deseja permitir que o aplicativo escolhido seja iniciado sem o questionamento. Só coloque em "Remember" aplicativos que sejam utilizados periodicamente.

Caso você clique no botão Detail, uma lista aparecerá com dados sobre o endereço remoto que está sendo conectado e informações sobre o número MAC do servidor remoto: essas informações são de muita valia quando queremos confirmar a veracidade de um site.


Atente-se também para o ícone no tray do firewall, pois ele muda de cor quando um ataque ocorre e é bloqueado; para tanto você deverá observar o grau de gravidade do ataque - que pode variar do crítico ao informativo e anotar o IP do atacante utilizando a ferramente BackTrace (clicando com o botão direto do mouse sobre as informações registradas do ataque) no item Backtrace que está disponível juntamente com o firewall.

BackTrace - Com esse programa você poderá traçar a rota em que os dados do atacante chegaram até você, descobrindo mais informações sobre ele usando o comando Whois, dentro do Backtrace:

Depois de ter feito o Whois os dados do nº MAC e IP do servidor aparecerão:

Observe no gráfico abaixo como um ataque se procede.

Repare que a guia Incoming Traffic History está muito diferente da guia Outgoing Traffic History (que nem sequer teve alteração), o que basicamente caracterizaria uma tentativa de ataque com pacotes nocivos fazendo oscilar a linha de gráfico para 668 bytes,- que para um tráfego normal é muito elevado. Caso você esteja interessado em baixar esse programa entre no site http://cnetdl01.spfpro.com/pub/bws/bws_49/pspf1.exe :) ...

0 comentários: