Spygate

Tässä esimerkiksi:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=1500000000000007&posting=22000000004036609
Muistaakseni on jossain url:kin sygaten ohjeista suomeksi.

Tuossa Jarmo Salosen tekemät hyvät ohjeet (Kiitos hänelle):

Kirjoittajalla on käytössä Windows XP Home käyttöjärjestelmä. Muille
windows-käyttöjärjestelmille kannattaa tätä käyttää sovellettuna ohjeistona.



Asennus


1. Laita XP:n oma palomuuri tai joku muu päälle ennen internettiin
kytkeytymistä..

2. Hae Internetistä asennustiedosto. Virallinen sivu jonka kautta voit hakea
on http://smb.sygate.com/products/spf_standard.htm . Tallenna kovalevylle.

3. Katkaise internet yhteys ja poista kaikkien aikaisempien
palomuuriohjelmien asennukset.

4. Asenna SPF suorittamalla asennustiedosto ja vastaamalla kyllä kaikkiin
kysymyksiin.

Sinun täytyy olla kirjoittautuneena Järjestelmänvalvoja-oikeudet omaavana
käyttäjänä.



Konfigurointi


Sygaten palomuuri vaatii hieman säätöä ennen kuin se suojaa konettasi
kunnolla!



Työpöydän oikeasta alakulmasta löytyy SPF:n liikennöinti-ikoni. Kellon
lähistöltä. Sieltä saa aina palomuurin kaikkien toimintojen 'SPF-pikavalikon
' auki viemällä hiiren sen kohdalle ja painamalla sen oikeanpuoleista
näppäintä.



1.. Valitse SPF:n pikavalikosta 'Applications.'.
2.. Valitse sovellusten listasta 'Generic Host Process . svchost.exe'.
3.. Naputa vasemmanpuoleista laatikkoa kunnes sillä on 'Allow' Access
asetus.
4.. Vasemmasta alakulmasta painike 'Advanced' ja seuraavasta ikkunasta
poista palvelinoikeus 'Act as Server', siis ruksi tästä kohdasta pois.


Nyt voit kytkeytyä jälleen nettiin.



Kun esimerkiksi käynnistät uuden ohjelman mikä ottaa yhteyttä nettiin, niin
SPF kysyy sallitaanko vai estetäänkö sen pääsy. Vastaa tässä vaiheessä 'Yes'
, mutta ota ohjelman nimi ylös myöhempää konfigurointia varten.

Niiltä kannattaa jälkikäteen poistaa palvelinoikeus vastaavasti kuten yllä
meneteltiin 'Generic Host ... svchost.exe' sovelluksen kanssa. Vain
pikaviestimille yms. ohjelmille palvelinoikeus täytyy jättää.



Palomuurin testaus


SPF:n pääikkunasta, 'Sygate Personal Firewall' löytyy painike Security Test.
Se avaa sivuston josta löytyvät testit 'Quick Scan' ja 'Stealth Scan'.
Mikäli todellakin testataan käyttäjän omaa IP-osoitetta kuten yleensä, niin
testien tuloksena pitäisi olla kaikkien porttien kohdalla 'BLOCKED'-status.
Jotkut portit kuten portti 5000 voivat olla auki, niistä myöhemmin.



Varoituksia:

Sivuilla suositellaan ajamaan testit myös ilman palomuuria, jotta näkyisi
avoimia portteja.

Nykyisin päivittämätön XP-kone saastuu hyvin nopeasti, joten tuo ohje
kannattaa jättää omaan arvoonsa.

Myös sivuston Trojan Scan antaa harhaanjohtavia tuloksia mikäli portteja on
auki, joten jätä se nyt tässä vaiheessa tekemättä.



Gibsonin 'Shields Up!' testi on hyvin suosittu ja mielestäni mukavampi kuin
Sygaten oma.

Se löytyy esim Googlella, mutta tuossa on suora linkki:

https://grc.com/x/ne.dll?bh0bkyd2



Tarkista että sivulla näkyy yhteytesi IP-osoite. Jos olet esim. jonkin
välityspalvelimen tai NATin takana, niin silloin testien tuloksiin ei voi
luottaa, ne eivät silloin testaa palomuuriasi.

'Proceed' painike ja 'Common Ports' painike seuraavasta ikkunasta.



Kaikilla porteilla tulisi oikein konfiguroidulla SPF palomuurilla olla
vihreä 'Stealth'-status.

Tarkista että käyttämällesi selaimelle ei ole annettu 'Act as Server'
oikeutta.



Portti 5000 voi olla auki. Sen voit avata/sulkea seuraavalla 'UnPlug n' Pray
' -ohjelmalla:

http://grc.com/unpnp/unpnp.htm . 'Download Now' -painike ja suorita sitten
se ohjelma.





Palomuurin yleiset asetukset


SPF-pikavalikosta 'Options.'.



'General' välilehti, ruksi kohdassa 'Automatically load Sygate Personal
Firewall service at startup'.

Ruksi myös kohdassa 'Hide Notification messages'.



'Network Neighborhood' välilehti.

Valitse yhteytesi 'Network Interface'

Mikäli koneesi on normaali kotikäyttäjän tietokone, eikä sinulla ole muita
koneita kotiverkossasi, niin poista ruksit kohdista 'Allow to browse Network
Neighborhood files and printers(s)' sekä 'Allow others to share my files and
printer(s)'.



'Security' välilehti.

Tarkista että siellä on ruksit kohdissa 'Enable driver level protection', '
NetBIOS Protection' ja 'Anti-Application Hijacking'.



Lisäsäätöä


Jos olet sallinut koneesi tarkistaa ja ladata XP:lle kriittiset päivitykset
automaattisesti, niin se vaatii tosiaankin että Generic Host Process ..
svchost.exe:n annetaan ottaa yhteyttä verkkoon 'Act as Client'
asiakas-asetuksella, mikä on oletuksena. Palvelinasetus lienee
tietoturvariski, koska se jättää portteja avoimiksi. Se estettiin
konfigurointi kohdassa tätä ohjetta.



Jos haluat päivittää kellosi työpöydän oikeasta alakulmasta
aikapalvelimelta, tarvitset myös pienen reiän palvelinasetukseen.

SPF-pikavalikko, 'Advanced Rules.'.

Voit lisätä tämän säännön:

Rule Summary:

This rule will allow incoming traffic from IP address(es) 207.46.130.100 on
UDP remote port(s) 123 to UDP local port(s) 123. This rule will be applied
to all network interface cards. The following applications will be affected
in this rule: Generic Host Process for Win32 Services.



Vain tuo aikapalvelimen IP-osoite, UDP protokollalla ja vain koskien Generic
Hostia!!!



Tarkastele palomuurin liikennelokia. SPF-pikavalikko, 'Logs -> Traffic Log .
'.

Siellä on näkyvissä kaikki internetissä tapahtuneet yhteydenotot, sekä
sallitut ja estetyt.

Seuraavat kaksi sovellusta, Applications, aiheuttavat sinne turhaa
liikennettä, ja sen liikenteen voi poistaa melkein kaikista
tietokonekokoonpanoista, ndisuio.sys ja ntoskrnl.exe. Toimenpide nopeuttaa
myös hieman konetta.



Jos sinulla ei ole kokoonpanossasi langattomia laitteita, niin voit poistaa
ndisuio.sys liikenteen ottamalla pois päältä seuraavan windows-palvelun:
Wireless Zero Configuration. Ohjeet tähän löydät vaikkapa Googlella.



Ntoskrnl.exe liikenne liittyy NETBIOS liikenteeseen, ja sen voi estää.

Seuraavasti, muistaakseni, tai sitten poistin koko protokollan käytöstä:

Käynnistä -> Ohjauspaneeli -> Verkkoyhteydet. Valitse internet yhteytesi
kuvake ja hiiren oikealla näppäimellä 'Ominaisuudet', 'Yleiset' välilehti.

Poista ruksit kohdista 'Microsoft-verkkojen asiakas' ja 'Tiedostojen ja
tulostimien jakaminen Microsoft verkoissa'.

(Ja mahdollisesti myös jos tuo ei riitä niin valitse 'Internet protokolla
(TCP/IP)' ja painike 'Ominaisuudet' ja sieltä painike 'Lisäasetukset' ja
edelleen WINS-välilehti.)



Lisäohjeita


Valitse SPF-pikavalikosta 'Sygate Personal Firewall'.

View/Connection Details.

Running Applications: listasta voit katsoa kaikki sovellukset ja portit
joiden kautta ne kuuntelevat sisäänpäin tulevaa liikennettä, Local Port.
Näiltä estät sitten palvelinoikeudet, 'Act as Server', mikäli yllä mainitut
palomuuritestit vielä näyttävät avoimia portteja.



Jarmo Salonen


--------------------------------------------------------------------------------