Per quel che riguarda le normali procedure d?installazione e d?utilizzo, potete far riferimento a quest?ottima guida in italiano, all?Help on-line, oppure a quest?altro sito.
Per ciò che concerne la prassi di configurazione del firewall in una rete domestica, si veda questo topic (dopo aver ovviamente seguito i consigli qua riportati).
La maggior parte dei problemi che si possono riscontrare nell?uso quotidiano del programma, è stata, ed è tuttora discussa sul Forum ufficiale; qualora fosse necessario procedere alla rimozione del firewall, è opportuno sapere che sarebbe preferibile eliminare tutti i residui rimasti sul proprio PC, prima di installarlo nuovamente, come indicato qui, e qui.
Onde evitare spiacevoli inconvenienti è consigliabile installare la penultima versione reperibile dal link segnalato qui.
Qualsiasi programma di sicurezza in grado di garantire una protezione in tempo reale (firewall, anti-virus, anti-trojan, anti-spyware, IDS, sandbox) sarebbe meglio installarlo in una cartella differente da quella di default. Questo perché alcuni programmi malevoli potrebbero essere in grado di metterlo fuori uso; così facendo si complica loro la vita costringendoli a cercarlo, sempre se ne abbiano la capacità.
Terminati i preamboli, veniamo al sodo?
1) Pannello Options (Tools -> Options)
1.1) General
1.1.a) In Sygate Personal Firewall Service mettete la spunta su Automatically load Sygate Personal Firewall service at startup.
1.1.b) Se in Notification mettete la spunta su Hide notification messages bloccherete quei noiosi pop-ups azzurri che spesso compaiono nella system tray.
1.1.c) In Password Protection, impostate una password cliccando su Set Password, indi mettete la spunta su Ask password while exiting; in questo modo, oltre al fatto che qualsiasi modifica apportata alla configurazione del programma esiga l?inserimento della password, nel caso in cui un’altra applicazione tentasse di terminare lo stesso, sareste avvisati con la richiesta della password (vedasi questo thread). Tenete presente che se dimenticate la password, sarete costretti a disinstallare e reinstallare il firewall.
1.2) Network Neighborhood
1.2.a) In Network Interface selezionate dal menu a cascata il modem/router, poi levate la spunta sia da Allow to browse Network Neighborhood files and printer(s), sia da Allow others to share my files and printer(s).
1.3) Security
1.3.a) In Security Enhancement, mettete la spunta su Enable driver level protection, su NetBIOS Protection, e su Anti-Application Hijacking.
1.3.b) L?Enable DLL authentication, se abilitata con Automatic allow known DLLs, fa sì che ogni qual volta che un?applicazione carica una nuova DLL, veniate avvisati: questo perché alcuni trojans possono usare una o più di esse per raggiungere i loro scopi. Attivare quest?opzione genera un?infinità di pop-ups, cui dare conferma, oppure negarla? se non si sa con che cosa si ha a che fare, è del tutto inutile, poiché si correrebbe comunque il rischio di far eseguire del codice malevolo. Tanto vale munirsi di un anti-trojan, e lasciare ad esso il compito di valutare caso per caso.
A questo punto date l?OK per confermare le modifiche apportate.
2) Pannello Applications (Tools -> Applications)
2.1) Advanced Application Configuration
2.1.a) Selezionate ciascuna applicazione, cliccate in basso su Advanced, e levate da tutte (escluse le eccezioni indicate nel punto successivo) le spunte sia da Act as Server, sia da Allow ICMP traffic; per i drivers (.sys) si veda qui.
2.1.b) Su Applicazione Servizi e Controller (C:WINDOWSSystem32services.exe) togliete solo la spunta da Act as Server (lasciando quella su Allow ICMP traffic, e naturalmente quella su Act as Client). Gli instant messengers, i programmi p2p e diversi proxies necessitano di funzionare come Server, perciò su questi occorre lasciare la spunta su Act as Server; inoltre se con alcuni client p2p non si riesce a pingare, su questi bisogna anche lasciare la spunta su Allow ICMP traffic, sebbene poi sia meglio levarla una volta eseguita l?operazione. Sappiate che la porta o le porte usate da un programma operante in modalità server sono aperte e visibili dall?esterno (se ne parla qui).
2.1.c) In Remote Server Ports e Local Ports si può limitare il range delle porte usate da ciascuna applicazione. Se ne indicate anche solo una, tutte le altre saranno escluse. Se non ne indicate nessuna, qualunque porta potrà essere utilizzata da quell?applicazione. Qui trovate l?elenco delle porte usate dai programmi più comuni. A puro titolo d?esempio riporto i valori da inserire in Internet Explorer?
In Remote Server Ports su TCP: 80-83,443,1080,3128,8080,8088,70,1375,20,21 mentre su UDP: 1040-1050 (per lo streaming si veda qui). Questo comporta che il traffico in entrata ed uscita per quel dato programma possa avvenire solo su quelle porte. Volendo si possono invece creare delle regole avanzate per specificare se su di una determinata porta il traffico possa esser soltanto in uscita, piuttosto che in entrata? purtroppo sulla versione free del firewall non possono esser impostate più di venti regole. Attenzione ai clients p2p: oltre alla porta di default ne possono utilizzare anche delle altre necessarie a stabilire ogni singola connessione? se inserite solo quella, potrebbe bloccarsi tutto! (Si legga qui).
2.2) Application Access Status
2.2.a) Tutte le applicazioni di sistema sono impostate di default nello status di Ask; bisogna mettere nello status di Block le seguenti, poiché potrebbero essere sfruttate da programmi malevoli per ingannare il firewall (selezionatele ad una, ad una, e cliccate col destro):
C:WINDOWSSystem32inetsrvinetinfo.exe
C:WINDOWSSystem32mqsvc.exe
LSA Shell (C:WINDOWSSystem32LSASS.EXE); su Win2K si chiama DLL eseguibile e server LSA
MS DTC console program (C:WINDOWSSystem32msdtc.exe)
NDIS User mode I/O Driver (C:WINDOWSSystem32driversndisuio.sys); se questa voce non è presente, il motivo è spiegato qui.
TCP/IP Services Application (C:WINDOWSSystem32tcpsvcs.exe)
2.2.b) Sui seguenti due processi vi sono pareri contrastanti (c?è chi dice di metterli definitivamente su Block, e chi invece dice che dovrebbero stare sempre su Allow):
Generic Host Process for Win32 Services (C:WINDOWSSystem32svchost.exe)
Sistema e kernel NT (C:WINDOWSSystem32NTOSKRNL.EXE)
Riguardo alle interazioni di questi ultimi due col servizio Windows Update, si legga questa discussione.
2.2.c) Tutti gli applicativi di sistema non contemplati nei punti 2.2.a e 2.2.b possono esser lasciati nello status di Ask (per l?IP Network Address Translator si veda il topic sulla rete domestica poiché va impostato su Allow). L?unico che di tanto in tanto si farà vivo è l?Application Layer Gateway Service (C:WINDOWSSystem32alg.exe), che interviene ogni qual volta si accede ad un server FTP; in quel caso gli si può dare il via libera.
2.2.d) Su XP le seguenti applicazioni possono avere accesso ad Internet:
Applicazione WordPad MFC (C:ProgrammiWindows NTaccessoriwordpad.exe)
Blocco note (C:WINDOWSsystem32notepad.exe)
Esplora risorse (C:WINDOWSexplorer.exe)
Anche queste vanno messe su Block, poiché pure loro corrono il rischio di esser agganciate dai trojans.
2.2.e) Qualora non siano utilizzati, anche i seguenti programmi andrebbero messi su Block: Internet Explorer, Messenger, e Outlook Express. Spendo una parola di più sui clients e-mail: la cosa migliore da fare per gestire la posta elettronica, è quella di consultarla on-line, evitando di scaricarla sul proprio pc; se ciò non fosse proprio possibile, siate consci del fatto che quale che sia il client usato, un anti-virus in grado di scansionare le e-mails, si pone in ascolto sulle porte TCP 25 (SMTP) e 110 (POP3) tenendole costantemente aperte, seppur dietro al firewall. Nel caso in cui decidete di non utilizzare alcun client, disabilitate anche la relativa funzione sull?anti-virus.
2.2.f) Nello status di Allow andrebbero messi soltanto quei programmi che si usano frequentemente (anche se per scrupolo sarebbe meglio metterli su Ask): i browsers, i clients di posta elettronica, quelli FTP, quelli p2p, i download managers, i media players, etc. Tutti gli altri è consigliabile lasciarli su Ask e dare l?OK di volta in volta.
3) Pannello Advanced Rules (Tools -> Advanced Rules)
Per tagliare la testa al toro come spiegato in questo thread, oltre a disabilitare i servizi inutili di Windows, occorre creare delle regole avanzate in grado di bloccare tutto il traffico TCP e UDP che interessa le porte di sistema del proprio PC, nonché quello ICMP, e quello IP (escludendo ovviamente da quest?ultimo blocco il traffico TCP e UDP, che per effetto della combinazione di regole filtrerà solo quello di sistema) naturalmente il tutto in ambo le direzioni. Le porte usate da Windows vanno dalla 1 alla 1023, tuttavia può accadere che il sistema operativo ?per motivi suoi? utilizzi anche qualche porta dalla 1024 in su, tant?è che qui arrivano ad effettuare la scansione fino alla 1056. Un elenco di tutte le porte, lo trovate qui.
Bisogna procedere come segue:
3.1.a) Cliccate su Add ed apparirà il pannello Advanced Rule Settings.
3.1.b) In General su Rule Description inserite il titolo (es.: Blocco ICMP), poi in Action selezionate Block this traffic, e in Advanced Settings su Apply Rule to Network Interface selezionate il modem/router.
3.1.c) In Hosts -> Remote Host -> Apply this rule to -> selezionate All addresses.
3.1.d) In Ports and Protocols -> Apply this rule to -> Protocol -> selezionate ICMP poi cliccate su Select all, e in Traffic DirectionBoth poi date l?OK.
3.2.a) Idem come 3.1.a.
3.2.b) Idem come 3.1.b cambiando il titolo (es.: Blocco IP).
3.2.c) Idem come 3.1.c.
3.2.d) In Ports and Protocols -> Apply this rule to -> Protocol -> selezionate IP poi in IP Type inserite 0-5,7-16,18-255 e in Traffic Direction impostate Both poi date l?OK.
3.3.a) Idem come 3.1.a.
3.3.b) Idem come 3.1.b cambiando il titolo (es.: Blocco TCP Porte Locali).
3.3.c) Idem come 3.1.c.
3.3.d) In Ports and Protocols -> Apply this rule to -> Protocol -> selezionate TCP poi in Local inserite 1-1023 (oppure aumentate a vostra discrezione quest?ultimo parametro in base alle considerazioni espresse poco sopra, prestando attenzione a non interferire con altre applicazioni: ad es. ICQ utilizza qualunque porta dalla 1024 in poi? usate un programma che monitorizza le porte, tipo questo per farvi un?idea), quindi in Traffic Direction impostate Both e date l?OK.
3.4.a) Idem come 3.1.a.
3.4.b) Idem come 3.1.b cambiando il titolo (es.: Blocco UDP Porte Locali).
3.4.c) Idem come 3.1.c.
3.4.d) Idem come 3.3.d selezionando però UDP.
Quest?ultima regola vi porrà inoltre al riparo dall?unico exploit eseguibile da remoto che a tutt?oggi stando a Secunia non è stato ancora patchato sul Sygate.
Per confermare le regole inserite, date l?OK chiudendo così il pannello Advanced Rules.
Secondo particolari esigenze (ad es. per permettere la scansione della posta elettronica da parte dell?anti-virus, oppure se si ha la necessità di utilizzare qualche servizio di Windows che si ponga in ascolto sulla porta di propria competenza) le regole suddette possono essere modificate all?uopo, oppure disattivate semplicemente levando il segno di spunta che sta alla loro sinistra (N.B.: se applicate tali regole avanzate in una LAN, leggete questo topic: problemi con pc in rete) impostate .