PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Firewall] Jetico - eine kleine Anleitung



Franz
12.08.06, 11:27
Da es offenbar bisher noch keine dt. Anleitung zur Konfiguration der Firewall Jetico gibt,
und das Programm selber, zumindest in der Beta - Phase, noch kein Multilanguage besitzt,
kann ein kleines Tutorial über die Einstellungsmöglichkeiten und Regelwerk der FW in dt. Sprache
den Jetico - Nutzern hoffentlich hilfreich sein.

Übrigens gibt es das Tutorial auch als PDF - Datei (ca. 1 MB) (http://www.tuts.supernature-forum.de/jetico/jetico_firewall_konfiguration.pdf).

Zuerst widme ich mich ich der Übersetzung der Begriffe, Anzeigen und Funktionen der Firewall.
Dann arbeiten wir uns durch die Regel - Konfiguration manuell und mittels Wizard durch,
denn so, denke ich, lernen wir am besten den Aufbau und Wirkung der Optimal Protection.

Bevor ich anfange, möchte ich kurz auf die Installationsroutine von Jetico eingehen:

Nachdem man den Willkommensbildschirm, die AGB und den Installationspfad bestätigt hat, wird gefragt, ob - noch vor dem Neustart des PC - der Konfigurationsmanager von Jetico gestartet werden soll.
Wir bestätigen das mit dem Haken und schon kann's losgehen.
Für das Willkommensschildchen bedanken wir uns mit dem "Weiter" - Button.

Zu Beginn sollten die beiden Hauptzonen für die Firewall bekannt gegeben werden, in der sich der PC aufhält.
Die Trusted zone und Blocked zone stehen hier für die generelle Zugriffmöglichkeit auf und von (entfernten) Computer, Domain, Netzwerk und Router.

Zunächst können wir die Trusted zone - den vertrauenswürdigen Bereich - festlegen, in dem der PC
erst einmal uneingeschränkt mit evtl. anderen vorhandenen PCs/Router kommunizieren darf. Jetico bietet hier eine Defaulteinstellung an.
In der Hilfe von Jetico wird auf die verschiedenen Möglichkeiten der Schreibweise von IP Adressen eingegangen
(unter Using Jetico Firewall -> Configuration Wizard - setting Trusted and Blocked zones).


http://www.tuts.supernature-forum.de/jetico/ip_adresse.jpg

Je nach PC- Standort (z.B., in einer Domäne) (Computer Name), in einem Netzwerk oder hinter einem Router (Network address) oder nur zu einem PC (z.B. FTP) (Single IP address) tragen wir die jeweiligen bekannten IP Adressen ein, zu denen der PC ein Vertrauensverhältnis hat.
Jetico gibt, falls vorhanden, die IP Adressen (z.B. die interne IP des Routers) an, die er "gefunden" hat.
Mit Add (hinzufügen), Remove (entfernen) und Edit (bearbeiten) können hier die IPs angeglichen werden.

Nachdem wir auf "weiter" geklickt haben, das Ganze nochmal für die Blocked zone.


http://tuts.supernature-forum.de/jetico/geblockt.jpg

Nur werden hier die IP Adressen gesetzt (z.B. von entfernen Servern), mit denen der PC nicht kommunizieren soll.

Natürlich können später im Programm jederzeit die Zonen bearbeitet werden:
Start -> Programme -> Jetico Personal Firewall -> Configuration Wizard

Nach dem Neustart des PCs kommt jetzt das Feintuning.
Und hier meldet sich schon die erste Abfrage der FW, da sie im Default Modus, besser im Lernmodus, ist.

Bevor wir zu den detaillierten Einstellungen und Regeln kommen, vorweg der optische Aufbau von Jetico:

Mit einem Doppelclick auf das Icon im Systray öffnen wir das Programmfenster.

Inhalt des Hauptmenüs:

1. Die Menüleiste und Toolbar:


http://www.tuts.supernature-forum.de/jetico/menueleiste.jpg
File

Open – öffnet abgespeicherte Sicherheitsrichtlinien
Save – speichert geänderte Richtlinien
Save as – speichert ein neues Sicherheitsprofil ab
Revert to factory settings – setzt alle Einstellungen zurück (auf Default)
Reload – aktualisiert die Konfiguration
Exit – schließt das Programmfenster ohne abspeichern
Shutdown firewall – deaktiviert die Firewall

View

Refresh – aktualisiert das aktuelle Tab
Best fit – scaliert im aktuellen Tab den Inhalt auf die Fenstergröße
Auto Best fit – automatische Scalierung
Toolbar – Toolbar anzeigen ja/nein
Status bar - Stausanzeige anzeige ja/nein

Options

General – zeigt die Allgemeinen Einstellungen an
Module – zeigt die geladenen Module/Filter an
Log – zeigt die Größe des Logfiles an

Help
Contents - Hilfe
About - Info über Jetico
In der Toolbar werden über Icons die häufig benutzten Werkzeuge aufgerufen.

Policy
Optimal Protection - bestmöglicher Schutz (Lernmodus)
Allow all - Alles erlauben
Block all - Alles blockieren
Der Modus, in dem die Firewall betrieben wird. Default ist Optimal Protection

Die Reiter/Anzeigen:



Traffic Monitor

http://www.tuts.supernature-forum.de/jetico/monitor.jpg

Hier wird der gesamte (Incoming / Outgoing) Netzwerkverkehr in Echtzeit aufgenommen.
Das obere Fenster zeigt den eingehenden, das untere den abgehenden Verkehr an.
Grün sind erlaubte Prozesse und rot die geblockten.
Ganz unten kann der genaue, aktuelle Verkehr (in Bytes und Paketen) abgelesen werden.



Applications

http://www.tuts.supernature-forum.de/jetico/applications.jpg

gibt eine Übersicht über die Programme, die mit anderen PCs kommunizieren (und Zugriff auf das Internet haben) dürfen.
Alle Programme und Prozesse (z.B. Dienste) werden hier detailliert gelistet und verwaltet.
Über Rechtsklick auf ein gewähltes Programm können folgende Befehle ausgeführt werden:

Properties - ruft das Eigenschaftenfenster des Programms auf.
Copy text (Collapse)[/i] - Unterprozesse der Anwendungen ja/nein (+ -)
Terminate process - beendet einen gewählten Prozesß

Bei den Applications werden folgende Informationen aufgelistet:

Application - Programme
Process ID - interne Prozeßnummer
Description - Beschreibung des Programms oder Dienstes
Version - Versionsnummer des Programms
Vendor - Hersteller
Connections - aktive Verbindungen
Sent - gesendete Pakete
Received - empfangene Pakete
Local address - lokale Adresse
Local port - lokaler Port
Remote address - Zieladresse
Remote port - Ziel Port



Log

http://www.tuts.supernature-forum.de/jetico/log.jpg

Der dritte Reiter listet das Log über sämtliche Aktivitäten (rein und raus), die Zugriff auf das Netzwerk haben, namentlich auf.
Zu den einzelnen Fenstern kommen wir aber später.

Anzeigen im Log:

Time - Zeitstempel des Zugriffes
Action - Verhalten der Firewall zu diesem Ereignis
Description - Beschreibung des Zugriffes
Size - Größe der gesendeten/empfangenen Daten
Protocol - Art des Internet Protokolls
Event - Art des Ereignisses
Attacker - Anzeige der Adresse (IP) eines Angreifers oder den Namen des Prozeßes, der potentiell gefährlich ist (Spyware, Trojaner z.B.)
Source address - Herkunftsadresse des Netzpakets
Destination address - Zieladresse des Netzpakets
Source port - Ausgangs Port des Pakets (TCP und UDP)
Destination port - Ziel Port des Pakets (TCP und UDP)
Application - Aktive Anwendungen
Local address - Lokale Netzwerkadresse
Remote address - Remote Adresse
Local port - Lokaler Port
Remote port - Remote Port
Misc - alles was in die anderen Punkten nicht hineingehört.


Im Kontextmenü finden wir:

Copy text - kopiert den markierten Text in die Zwischenablage
Autoscroll (checkable) - wenn Autoscroll aktiviert wird, springt der Cursor nach einer Aktualisierung zum aktuellen/letzten Logeintrag.
Deaktiviert, bleibt die Log - Anzeige nach einer Aktualisierung wo sie ist.
Clear log window - löscht alle aktuellen (nicht gespeicherten) Logeinträge
Default log (checkable) - Aktiviert: der Inhalt des aktiven Logs wird angezeigt
Select log file - Auswahl und Anzeige einer abgespeicherten Logdatei. Wird der aktuelle Log abgespeichert, wird die ausgewählte Datei an diesen angehängt.



Configuration

http://www.tuts.supernature-forum.de/jetico/configuration.jpg

Wenn wir jetzt auf den Reiter "Configuration" klicken, sehen wir zunächst auf der linken Browserseite die 3 Hauptrichtlinien: "Optimal Protection", "Allow all" und "Block all".

In der "Optimal Protection" (optimaler Schutz) haben wir den "Root" (das ist die erste, allgemeine Regel und der Anfangspunkt des Regelprozesses) mit den verschiedenen "Tables" (Regeltabellen). Hier werden die Regeln für alle laufenden Prozesse abgelegt, die wir bereits entsprechend erstellt hatten.
Bei "Allow all" und "Block all" haben wir entweder uneingeschränkten oder gar keinen Zugang zum Netzwerk. Hier können IPs, Programme oder Dienste als Ausnahme stehen.

Wenn wir im linken Fenster einen R-Click auf eine der Hauptrichtlinien ("Optimal Protection", "Allow all" und "Block all") machen, haben wir im Kontextmenü folgende Bearbeitungsmöglichkeiten:

Insert table Ins - erstellt eine neue Regeltabelle
Rename - gibt der Tabelle/Regel einen anderen Namen
Delete - löscht die Tabelle
Flat View - zeigt nur die Haupttabelle
Expand - zeigt die Einzeltabellen

Im rechten Browserfenster sind die einzelnen Regeln und die daraus resultierende Aktion der Firewall aufgelistet.
Hier können wir via Kontextmenü alle Regeln bearbeiten:

Properties - Eigenschaften des Programms/Ereignisses
Copy text - kopiert den Text in die Zwischenablage
Edit - hier kann die Regel bearbeitet werden
Clone - kopiert eine Regel
New > - ruft das Untermenü zum Festlegen, welche Art von neuen Regeln erstellt werden soll, auf.
Delete - löscht die komplette Regel
Jump to ... - springt zur jeweiligen Untertabelle, der die Regel zugeordnet wurde.

Die Anzeige im rechten Browserfenster:

Activity - Zustand des Ereignisses (aktiv/inaktiv)
Action - Verhalten der Firewall
Description - Regelbeschreibung
Log level - Regel Log Stufe
Size - Dateigröße des Pakets
Protocol - welches Internet Protokoll benutzt wird
Event - Ereigniseigenschaft, welche Art von Zugriff
Attacker - Adresse eines Angreifers
Source address - Ursprungsadresse (oder Pfad) des Pakets
Destination address - Zielort/Adresse des Pakets
Source port - benutzter Port des Pakets (nur bei TCP/UDP)
Destination port - Ziel Port des Pakets (nur bei TCP/UDP)
Application - Programm oder Dienst, das die Netzwerkaktivität ausgelöst hat
Local address - Lokale Adresse
Remote address - Remote Adresse
Local port - lokaler Port
Remote port - Ziel Port
Misc - alles, was die anderen Listen nicht abdecken (Hash - Anzeige)


Wie nun genau die "Optimal Protection" erreicht wird, erfahren wir im 2.Teil.

Franz
12.08.06, 11:35
Die Filterregeln

Zuvor möchte ich darauf hinweisen, daß die Programmentwickler von Jetico die neue Version multilingual anbieten möchten. Wie die verschiedenen engl. Begriffe letztlich übersetzt werden, weiß ich nicht. Deswegen kann es (in der neuen Vers.) zu Unterschieden in der Bezeichnung kommen.

Jetico bietet uns geneigten Surfern die beste Möglichkeit, einen Einblick in die Arbeitsweise einer FW zu bekommen, allerdings mit einem Unterschied zu allen anderen FWs:
Jetico sortiert die erstellten Regeln in Listen/Gruppen (Tables) und weist diese einer bestimmten Eigenschaft eines Prozeßes zu.

Wie ihr sicher schon alle bemerkt habt, führt Jetico nach der Installation ein Popup aus, wenn ein Programm, Prozeß oder Dienst Zugriff auf das Netz haben möchte:


http://www.tuts.supernature-forum.de/jetico/popup.jpg

Der Grund liegt vor allem in der Optimal Protection, die erreicht werden soll.
Oben erfuhren wir, daß dies unsere Hauptschaltzentrale und gleichzeitig unser Ziel (bester Schutz) ist.
Um die Arbeitsweise der FWs besser zu verstehen, möchte ich euch ein kleines Bsp. geben:

Stellt euch vor, es klingelt an der Haustüre.
Unser Butler schaut durch den Türspion und sieht Alice von nebenan. Sie will auf eine Tasse Kaffee bei uns vorbeischauen und bringt neben lecker Süßem, einen Vierbeiner mit, den wir nicht mögen. Aber Alice mit lecker Süßem soll natürlich unbedingt herein.
Der Butler weiß nicht, was er tun soll, also fragt er uns danach. Und damit er auch behalten kann, wer rein darf und wer nicht, schreiben wir kurzerhand eine Regel auf. Die soll er dann immer verwenden, wenn’s klingelt.
Jetzt könnte natürlich in der Regel stehen:
Aufmachen, wenn Alice vor der Türe steht und sie hineinlassen, ebenso Süßes, aber Vierbeiner bleiben draußen.
Kurze Ansage, paßt.

Leider nicht ganz, denn Alice kann jede Nachbarin heißen, Süßes kann Kuchen sein oder nicht und Vierbeiner können auch Katzen sein.
Also braucht der Butler mehr Details. Und die bekommt er in Form von Eigenschaften mitgeteilt. Und so könnte dann die 1. Regel lauten:

Reinlassen (Inbound):

Wenn es klingelt, dann
- fragen
- Alice, wenn sie von nebenan ist, akzeptieren,
- Süßes, wenn es Kuchen ist, akzeptieren
- den Vierbeiner, wenn es ein Hund ist, blockieren

Das wäre nun die Regelentscheidung (Verdict (Urteil)) für 4 Ereignisse, die der Butler immer befolgen soll. Anhand der verschiedenen Eigenschaften kann er eindeutig entsprechend der regelentscheidung handeln..

Der Nachmittag ist vorbei, mit Alice haben wir nett geplauscht und die letzten Urlaubsbilder durchstöbert. Jetzt will Alice gehen. Aber:
der lecker Kuchen soll unbedingt da bleiben!
Der Butler weiß davon nichts, also müssen wir ihm das mitteilen:

Rauslassen (Outbound):

Wenn Alice gehen will, dann

- fragen, dann
- Alice akzeptieren und rauslassen
- aber den lecker Kuchen blockieren

Das sind nochmals 3 Regeln, weil es in die andere Richtung geht.
Mit den Inbound - Regeln von oben sind das 7 Regeln für 7 Ereignisse.

Ereignis -> beim 1. Mal: nachfragen -> Eigenschaften (Parameter) vergleichen -> bei Übereinstimmung -> Regel ausführen

Zusammenfassend steht dann auf dem Zettel für den Butler:

Wenn es klingelt und Alice von nebenan steht vor der Tür, dann darf Alice rein und raus, der lecker Kuchen darf zwar rein aber nicht mehr raus und der Vierbeiner darf überhaupt nicht rein, weil er ein Hund ist.

Wie ihr seht, haben wir die Regel (oder das Urteil) für den Butler über die Eigenschaften von Alice, dem Kuchen und dem Hund festgelegt:
Alice darf alles, weil sie nebenan wohnt, das Süße muß dableiben, weil es Kuchen ist und der Vierbeiner bleibt draußen, weil es Hund ist.

Der Butler vergleicht unsere Bedingungen für Alice, Süßem und Vierbeiner mit den Eigenschaften der Personen/Objekte, die draußen vor der Türe stehen. Und wenn die Bedingungen für die Eigenschaften zutreffen, handelt der Butler entsprechend unseren Wünschen, nämlich die Person oder das Objekt durchlassen oder nicht.

So, zumindest grundsätzlich, funktioniert eine FW.

Regeln bestehen immer aus 2 Teilen: die Bedingung und die Handlung
Wenn A zutrifft ist, muß B ausgeführt werden.

Bedingung (Condition) sind die Eigenschaften, die ein Ereignis identifizieren und die Handlung (Action) ist die Folge, die aus dieser Bedingung resultiert.

Die Befehle für die Handlung sind in Jetico:

- ask - nachfragen
- accept - durchlassen
- reject - blockieren/ablehnen
- go to table - eine andere, schon vorhandene Regel aufrufen und nach dieser handeln
- continue - das Ereignis wird zur nächsten, folgenden Regel weitergeleitet

Wir klicken jetzt auf den Reiter Configuration (übrigens, wir sind wieder bei der Firewall, nicht bei Alice), dann sehen wir zunächst oben in der Menüleiste und auf der linken Browserseite die 3 Hauptrichtlinien: Optimal Protection, Allow all und Block all.
Das sind die verschieden Modi, in die die Firewall generell versetzt werden kann. Ändern wir den Modus, muß die Änderung gesondert bestätigt werden (Apply Button).
In Jetico wird der aktive Modus als Active Security Policy angezeigt.
Default bei Jetico ist der Lernmodus, die Optimal Protection und alle Ports sind geschlossen, d.h., alle Ereignisse, die Netzwerkzugriff haben möchten, müssen “nachfragen“. Alle?
Nicht ganz, einige Systemkomponenten haben immer Zugang zum Netzwerk, denn ohne diese wäre eine Kommunikation nicht möglich und jede FW überflüssig. Jetico erlaubt diesen Prozessen und Diensten den Zugang, außer wir sind im Block All - Modus.
Welche Prozesse das im Einzelnen sind, ist hier erstmal sekundär und würde sicher den Rahmen des Tuts sprengen.

Wir wollen uns aber hauptsächlich mit dem bestmöglichen Schutz beschäftigen, also Doppel – Klick auf Optimal Protection:

- Application Table - Liste der Programme
- Process Attack Table - Liste der verdächtigen Prozesse
- Protocols Table - Liste der benutzten Internetprotokolle
- System IP Table - Liste der systembedingten Prozesse

(Zu Process Attack Table, Protocols Table und System IP Table und den unteren Listen, FTP- und Mail - Client/Server, komme ich im 3. Teil)

Die Inhalte der Tables (Gruppen oder Listen), sind die Regeln der Zugriffe (von Programmen, Protokollen, Diensten, etc.) und können individuell abgerufen und bearbeitet werden. In den Tables werden die Regeln für alle netzwerkzugreifende Prozeße abgelegt und verwaltet, die wir manuell und für jeden Prozeß individuell und eindeutig erstellt haben.

Über den Regelprozess (Ruleprocess) wird eindeutig die richtige Regel für das richtige Ereignis ermittelt.

Wie funktioniert der Regelprozeß eigentlich?
Jeder Netzwerkzugriff, egal von welchem Programm, Dienst oder Prozess, ob ankommend oder abgehend, kann als (Netzwerk-) Ereignis beschrieben werden.

Die von uns gesetzten Regel im Popupfenster bezieht sich auf die Eigenschaften des Prozesses, der dieses Ereignis auslöst und auf die Eigenschaften des Ereignisses selbst. Die Eigenschaften wiederum werden beim Regelprozeß mit den Eigenschaften des aktuellen Netzwerkpakets so lange verglichen, bis diese Eigenschaften übereinstimmen..

Der Regelprozess, die Regelsuche, beginnt bei Root, das haben wir bereits gelernt.
Hier stehen die generellen Regeln des jeweiligen Modus, die dann für alle Zugriffe gelten (Any). Die Suche verläuft von oben nach unten.
Erst in den nächstfolgenden Tables werden die Zugriffe gefiltert. Die Eigenschaften des Ereignisses werden mit den Bedingungen der Regeln verglichen.
Hat ein Eintrag diese Parameter, hat die Regelsuche einen Treffer und ist beendet. Die mit der Bedingung verknüpfte Aktion wird durchgeführt.
Treffen die Bedingungen nicht zu, setzt Jetico seine Suche nun in der nächstfolgenden Gruppe fort, bis er eindeutig das Ereignis gefunden hat, daß alle Kriterien erfüllt.

Welche Parameter welchen Ereignissen zugeordnet werden, sind hier einmal aufgelistet:

Application Table (Programmliste) :



http://www.tuts.supernature-forum.de/jetico/programs.jpg


- access to network - Zugriff auf das Netzwerk
- inbound connection (TCP) - ankommende Verbindung (TCP)
- outbound connection (TCP) - abgehende Verbindung (TCP)
- listening port (TCP) - Listen Port
- receive datagrams (UDP) - ankommende Daten
- send datagrams (UDP) - gesendete Daten
- listening datagrams (UDP) - Listen nach neuen Daten


Process Attack Table (Liste der verdächtigen Prozesse) :



http://www.tuts.supernature-forum.de/jetico/attacker2.jpg


- attacker installs system-wide Windows hook – setzt einen systemweiten Hook*
- Attacker starts application with hidden window – startet eine Anwendung in einem versteckten Fenster
- Attacker writes to application's memory – schreibt in den Speicherplatz einer Anwendung
- Attacker injects own code into application – schreibt einen fremden Code in eine Anwendung
- Attacker modifies child process - modifiziert einen Kindprozess**
- Low-level access to system memory - Zugriff zum Systemspeicher***

* Hook = ein Programmcode, der dann ausgeführt wird, wenn best. Kriterien erfüllt sind
** Kindprozess = eine Art Unterprozess einer Anwendung
*** System memory = dort legt das BS alle zur Zeit laufenden Prozesse ab

Protocols Table (Protokoll Liste) und System IP Table (Liste der systembedingten Prozesse):


http://www.tuts.supernature-forum.de/jetico/protocols.jpg

- incoming packet - ankommender Datensatz (z.B. ein Ping)
- outgoing packet - abgehender Datensatz

Durch die Gliederung der unterschiedlichen Ereignisse anhand ihrer Eigenschaften, haben wir 3 Grundregeln, die Jetico eindeutig die Zuweisung der Aktion (blockieren oder akzeptieren) dem entsprechenden Prozeß ermöglichen:

- Programmregeln betreffen nur Programmereignisse
- Netzwerkregeln betreffen nur Netzwerkereignisse
- Regeln für verdächtige Prozeße betreffen nur verdächtige Prozeßereignisse

Uff, hoffentlich konnten bisher alle folgen, denn ab jetzt wird’s einfacher – denke ich.

Mit Firefox zeige ich euch das oben schnell Überflogene nocheinmal:
Firefox soll ins Netz und so ich wähle zuerst die generelle Art und Weise, wie es von der FW behandelt werden soll (Zugriff erlauben).
Zur Auswahl haben wir

- Allow this activity = erlaube den generellen Zugriff
- Block this activity = verbiete den generellen Zugriff
- Handle as = behandle das Ereignis wie
- Custom (reject) * = Benutzdefiniert

*(reject (ablehnen) ist die Default Einstellung, wenn noch nichts definiert wurde)

Die Regeln sind durch eindeutige Zeichen gekennzeichnet

http://www.tuts.supernature-forum.de/jetico/accept2.jpg : dieses Ereignis wird durchgelassen
http://www.tuts.supernature-forum.de/jetico/reject2.jpg : das Ereignis darf nicht ins Netzwerk
http://www.tuts.supernature-forum.de/jetico/got_to_table.jpg : das Ereignis darf nach folgender allgemeiner Regel ins Netzwerk oder nicht.
http://www.tuts.supernature-forum.de/jetico/ask2.jpg : Frag den Benutzer
http://www.tuts.supernature-forum.de/jetico/continue2.jpg : das Ereignis wird zur nächsten Regel weitergeleitet

In dem Kästchen vor den Regel - Zeichen ist ein Haken gesetzt, wenn die Regel aktiviert ist, und keiner, wenn sie deaktiviert und übersprungen wird.
Ein schwarzes T steht für eine temporäre Regel, die nicht gespeichert wurde (das kann ein z.B. Kind - Prozeß sein) oder es fehlt der Haken im PopUp Fenster bei Remember my answer (Speicherung der Regel).
Das rote Ausrufezeichen erscheint dann, wenn ein Fehler beim Laden der Regel auftritt.
Diese Regel wird in diesem Fall nicht durchgeführt und der Fehler (meist ein Konfigurationskonflikt) sollte möglichst rasch behoben werden. Ein Fehler kann z.B. eine falsch gesetzte Regel sein.

Firefox soll wie Web Browser behandelt werden. Bestätigen und OK.


http://www.tuts.supernature-forum.de/jetico/firefox2.jpg

Die Abfrage zeigt Jetico als aktives Ereignis in Form eines Lämpchens an.
Letztlich ist das alles, was wir mit unseren Programmen machen müssen.
Und hier wäre das Tutorial eigentlich schon am Ende.

Wenn es da nicht ein paar Kleinigkeiten gäbe, die wir berücksichtigen sollten.
Denn wir können, da es die eindeutigen Eigenschaften der Ereignisse gibt, der FW sagen, was sie machen soll, wenn eine bestimmte Eigenschaft zutrifft.
Der Anwendung oder dem Ereignis kann ich Unterregeln erteilen, die dann eine andere Regel bekommen.

Firefox kann nun als Web Browser ins Netz. Allerdings würde ich ihm gerne verbieten, über NetBIOS ins Netz zu gehen. Dafür benötige ich eine neue Regel, und die soll für alle Browser gelten.

Meine Schritte wären dann:

Configuration – Reiter -> Root - > Ask User -> Web Browser -> auf der rechten Seite R-Klick -> New -> Application rule

Hier wähle ich
Verdict: reject und unter
Packet parameters -> Event: access to network und bei
Protocol markiere ich NetBIOS
Alles andere kann so bleiben.
Mit OK bestätigen und eine 2. Regel für den Web Browser wurde erstellt.


http://www.tuts.supernature-forum.de/jetico/webbrowser.jpg

Da wir die Regel nicht nur für den FF erstellt haben, sondern für Web Browser allgemein, gelten diese Regeln natürlich für alle Browser, sofern deren Zugriffe im Popup Fenster über Handle as … Web Browser definiert wurden.
Wenn wir einen Browser separat konfigurieren wollen, müssen wir im Application rule – Fenster unter Packet parameters -> Application: die entsprechende Anwendung
auswählen.

Mit einen R- Klick könnt ihr die Regel löschen, clonen (in eine andere Table/Gruppe), editieren oder den Text der Regel in die Zwischenablage nehmen um ihn woanders einzufügen.
Wie für den Browser funktionieren alle anderen Konfigurationen, auch für die Programme, die in der Trusted zone oder Blocked zone eingetragen wurden.
Wenn weitere Fragen auftauchen, nur zu.

Und nächste Woche kommen wir im 3. Teil zu Protokoll-, Systemprozess-, Angreifer- und FTP/Mail – Server/Client Geschichten

Franz
12.08.06, 11:35
Nun hat es doch ein wenig länger, als angekündigt, gedauert.
Aber endlich können wir uns im 3.Teil darum kümmern, weswegen eine FW überhaupt
ihre Daseinsberechtigung hat.
Ohne euch hier zu langweilen, möchte ich hier noch auf ein paar kleine Details hinsichtlich
IP Table und der Internetprotokolle eingehen

In den beiden vorangegangenen Teilen lernten wir die verschiedenen Regeln kennen, die uns zur Verfügung stehen, wenn wir mit dem Internet allgemein oder/und wenn Programme mit dem Internet kommunizieren wollen.
Die Regeln können sehr individuell und sogar auf einzelne Pakete gesetzt werden. Das erfordert zwar eine gewisse Konfigurationszeit, aber dafür kann der User seine für ihn sicherste „Variante“ der Internetverbindung erstellen.

Wie wir bereits erfahren haben, erkennt eine Firewall die einzelnen Kommunikationspakete anhand deren spezifischen Eigenschaften.
Wenn ein Paket dieses Protokoll hat, von dieser Quelle kommt, über diesen Port mit diesem Server an dessen Port kommuniziert, muß für dieses Paket die jeweilige Regel gelten.
Die Firewall durchläuft solange die Regelkette, bis ein Treffer erfolgt, auf den die vorgeschriebenen Eigenschaften zutreffen, erst dann wird jene Regel ausgeführt (allow, reject, deny, handle as…) die diesen Eigenschaften zugewiesen wurde.
Der Firewall ist es also egal, besser – sie weiß gar nicht - ob es ein Browser, ein AntiViren -Programm, das System (z.B. ein Ping) ist, das/der gerade kommunizieren möchte. Sie sieht nur die Eigenschaften des Pakets. Wenn diese bekannt sind, wird nach Regel gehandelt, sind sie unbekannt, wird nachgefragt.

So funktioniert das natürlich auch bei evtl. Angriffen, Pingversuchen, FTP/EMail – Zugriffen und System - Prozessen.
Die Haupteigenschaften, durch die sich hier die meisten anderen Paketen unterscheiden, dürfte zum einen das Protokoll sein, zum anderen die bekannten Ports, und nur über diese, über die diese Pakete kommunizieren, sein.

Wir haben beim z.B. Ping kein TC -, sondern das ICM – Protokoll, bei FTP sind die Merkmale, neben dem File Transfer Protokoll, meist die Ports 21/22 und bei der EMail jeweils das POP3- und SMTP – Protokoll. Programme benutzen wiederum TCP
Ihr seht schon, das ist wieder ein Haufen Zeugs, von dem wir alle besser keine Ahnung haben wollen. Aber, zum Verständnis, wie Angriffe ablaufen, möchte ich kurz noch einen Abstecher zum Thema Protokolle machen.

Die Kommunikation unter den Computern findet über die sog. Protokolle statt. Protokolle sind eine Art Sprache oder die Art und Weise, wie Bits und Bytes übertragen werden. Jedes Kommunikations - Paket benutzt ein spezifisches Protokoll. Und von diesen Protokollen gibt es relativ viel: TCP/IP, POP3, ICMP, SMTP, UDP, HTTP, NetBEUI, PPPOE und, und, und…
Unsere kleine FW weiß natürlich erst einmal nicht, welches Programm über welches Protokoll welchen Zugang zum Internet sucht. Das erfährt die Firewall erst, wenn das Programm seine Verbindung aufnehmen möchte und es 3 Filter durchlaufen hat.

Was aber die FW weiß ist, daß bestimmte Pakete nur über ganz bestimmte Protokolle an ganz bestimmten Ports ausgeliefert werden. Anhand dieser Pakete erkennt die FW welches Protokoll den Zugriff auf das Netzwerk benötigt.
Mit Jetico können wir also nicht nur Zugriffe blockieren, sondern auch Protokolle, über die evtl. unerwünschte Zugriffe stattfinden können.

In der Network protocol rule - Abteilung werden alle Protokolle erfaßt und geregelt.
Hier habe ich als Bsp. das ARP (Address Resolution Protocol, wird benötigt für die Identifizierung einer IP Adresse):


http://tuts.supernature-forum.de/jetico/arp.jpg

Der Status steht hier auf:

Description - Beschreibung der Regel
Allow ARP requests - ARP Anfragen sind erlaubt, deswegen
Verdict: accept - zulassen
Log level is disabled - Das Loggen der Anfragen ist deaktiviert
Packet parameters - Paketeigenschaften
Event: any - betrifft jedes Ereignis
Protocol: ARP - ARP Protokoll

Je nach Bedarf kann hier über einen R-Klick auf Network protocol rule eine neue Regel für ein bestimmtes Protokol gesetzt werden. Eine Auswahlliste befindet sich bei den Eigenschaften der Regel unter Packet parameters -> Protocol.

Falls ein Protokoll nicht in der Liste aufgeführt wird, sollte eine Regel in Other erstellt werden. Hier kann noch die Hexadezimalzahl beigefügt werden. jedoch bedarf es einiges KnowHow, welche Zahl für welches Protokoll gesetzt wist. Auf der IANA Home Page (http://www.iana.org) liegt eine recht umfangreiche Liste darüber zur Verfügung.


http://tuts.supernature-forum.de/jetico/module.jpg

Der 2. Teil des Netzwerkpaket Filters wird, wie bereits erwähnt, in der System IP Table erfaßt und konfiguriert.

IP steht für Internet Protocol und umfasst alle „Arten“ der Bit - Übermittlung im Netz. Auch hier werden die Filter für die Pakete über ihre Eigenschaften gesetzt. Jedes Protokoll hat seine eigene - hmm, wie nennen wir Laien das? - Ausführungsschicht klingt ganz gut.
Jegliche Kommunikation, die von PC zu PC, von Netz zu Netz, im Internet ausgeführt wird, kann man in ein Schichten Modell übertragen (es nennt sich ISO/OSI (http://de.wikipedia.org/wiki/ISO/OSI)). Hier wird theoretisch beschrieben, auf welcher Schicht sich die jeweilig benötigten Protokolle befinden/ausgeführt wird. Es gibt insgesamt 7 Schichten, und in jeder Schichte befinden sich unterschiedliche Protokolle.

Um euch nicht unnötig zur Langeweile zu nötigen, möchte ich hier nur grob die wichtigsten Schichten der Internetkommunikation aufzählen (Layer = Schicht):
Layer 3: ICMP IGMP IP IPX
Layer 4 TCP UDP SPX
Layer 4-7: HTTP FTP HTTPS NCP

Mithilfe der Eigenschaft der (allgemein) zugeordneten Lage der versch. Protokolle in diesen Schichten, mit den Adressen über die diese Protokolle kommunizieren, und den spezifischen Eigenschaften der Protokolle, kann Jetico nun eindeutig eine Zuordnung der einzelnen Protokolle vornehmen.


http://tuts.supernature-forum.de/jetico/systemip.jpg

General IP packet parameters - Allgemeine Eigenschaften von IP Paketen
Event - Auswahl der Senderichtung für die die Regel zutreffen soll: - ankommende Pakete - abgehende Pakete - beide Richtungen
Protocol = Protokollart . Enthaltene Protokolle: TCP, UDP, ICMP, IGMP, OFPF, L2TP, PPTP, IP, IPIP. Partial packet (fragment) = Anzeige von gesplitteten IP Paketen TTL - IP packet's = Lebensdauer eines Paketes Checksum = Prüfsumme eines Pakets
Address parameters - Adress Eigenschaften
Das IP Filter Modul arbeitet mit Quell- und Ziel - Adressen eines Pakets gleichzeitig, dadurch können je nach Wunsch einzelne IPs, Server oder ganze Netze blockiert oder zugelassen werden:
Address type = Adresse, Art der IP Adresse any = jede Adresse, alle Adressen werden ignoriert host = gilt nur für einzelne IP Adressen (Einzel - PCs) network = IP Adresse (des Netzwerkes) + Netzwerkmaske predefined value = definierte Auswahl von lokalen Adressen und/oder lokalen Netzwerken, NameServern, Trusted oder Blocke Zone
Einschränken der Adressbereiche
Um festzulegen, welche IPs individuell gesperrt oder zugelassen werden sollen, werden hier die Eigenschaften dafür festgelegt.
Für die Quelle Source):
Overrride port = benutzter Port, unabhängig des AdressenPorts
Port = PortNummer
match inverted = Umkehr des Trefferverhaltens, z.B., die Regel trifft zu, wenn ein Port NICHT im Bereich der Portnummern 1 - 1024 liegt (da dieser Bereich reserviert ist => Well Known Ports)

Für das Ziel (Destination):

match inverted = Umkehr des Trefferverhaltens, wenn z.B. eine Regel trifft zu, wenn die IP Adresse KEIN NameServer ist.
IP Address = IP Addresse (Anzeige z.B:: 217.168.84.12) Anwendbar, wenn der Adresstyp auf host oder network gesetzt wurde.
Network mask = Netzmaske, Anzeige Bsp.: 255.255.255.0 nur verfügbar, wenn die IP Adresse einem Netzwerk gehört.
any = Jeder Port
exact value = genaue Portangabe
port range = Portbereich (z.B.: 323 - 512)
Port number = Portanzeige, verfügbar, wenn der Port oben gesetzt wurde.
(Port) From and To = ober- oder unterhalb des oben angegebene Portbereichs.

Spezifische Eigenschaften der Protokolle Protocol specific parameters
Folgende Parameter sind nur verfügbar, wenn das Protokoll in der Regel auf TCP, UDP oder ICMP gesetzt wurde.
Zustandsgesteuerte Filterung*, gilt nur für TCP und UDP, und wird ausgeführt, wenn ein Paket zu einer berechtigten/erlaubten Netzwerk Kommunikation gehört. Jetico untersucht die TCP- und UDP Kommunikationsstatus und unterscheidet dadurch erwartete und unerwartete Pakete. (Wenn sich z.B. ein Paket eines anderes Protokolls darin befindet =z.B. bei Spoofing).

- TCP flags (TCP only) - TCP protocol flags sind aktuelle Status - Anzeigen der Verbindung. Anzeigen für: FIN, SYN, RST, PSH, ACK, URG, ECE, CWR**
- ICMP type (ICMP only) - ICMP ProtokollTyp (z.B. Ping)
- ICMP code (ICMP only) - Information über das Ergebnis des Ping (z.B.: „Host nicht erreichbar“, „echo replay“)
*
Stateful Inspection
Stateful Inspection (Zustandsgesteuerte Filterung) ist eine Methode zur Erweiterung der Funktion einer Firewall. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die Zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst. Die Firma Check Point Software Technologies Ltd. nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben (U.S. Patent # 5,606,668). Quelle: Wikipedia ( http://de.wikipedia.org)

**
FIN - einseitiger Abbau einer Vebindung
SYN - Synchronisation
RST - Neustart des Verbindungaufbaus
PSH - Keine Zwischengespeicherung von Paketen
ACK - Bestätigung
URG - Urgent-Zeiger ist gültig
CWR - Congestion Window Reduced²
ECE - Explicit Congestion Notification-Echo³

² + ³ = Spezielle TCP Flags. nähere Erklärung bitte auf Anfrage. Danke

Franz
12.08.06, 11:35
Sodele,
jetzt kommen wir zu dem, weswegen eine Firewall ursprünglich entwickelt wurde - zu den verdächtigen Prozessen, die gerne Zugriff zu unseren Rechnern hätten.
Die Prozesse, die evtl. eingeschleust werden konnten, funktionieren immer nach eindeutigen Regeln, besser - nach eindeutigen Ereignissen, die sie zumindest als verdächtig einstufen..
Die 4 häufigsten Eigenschaften dieser Prozesse erkennt Jetico und kann entsprechend (nach Konfiguration) danach handeln. Malware (darunter fallen Trojaner, Würmer, Viren, Hijacker, FishingSites, bestimmte. Dialer, RootKits, und was da noch so kreucht und fleucht).
Jede dieser Anwendungen versucht mindestens einen der folgenden Prozesse:
• Installation und Starten einen versteckten (Web-) Browser
• Veränderung von Programmen
• Programmroutinen werden zum Starten von Prozessen verändert
• Installation von globalen "hooks"
Folgende Logmeldungen werden bei einem potentiellen Angriff ausgegeben:

- Attack type - verdächtiger Vorgang, Logmeldungen

Attacker installs system-wide Windows hook - Angreifer installiert einen systemweiten WindowsHook
Windows unterstützt den sog. Hook Mechanismus. Programme oder (Start-) Prozesse können eine Hook Funktion installieren, die Systemabläufe (wie z.B. Maus- und Tastenfunktionen) übernehmen, bevor das eigentliche Programm gestartet wird.
Der Krux hier ist, daß dieser Hook von einem anderen Programm als das Zielprogramm gestartet werden muß. Windows Hooks werden von fast allen legalen Programmen (z.B. auch Spiele) und genauso vielen Trojanern benutzt. Nur benutzt die Malware nicht Mausfunktionen o. ä., sondern gedenkt eher, damit Zugriff zum Netzwerk über den Hook zu bekommen. Sobald ein von einem Trojaner gesetzter Hook sich in eine .exe - Datei implementiert hat, ist es für den Benutzer ohne Zusatzsoftware nicht mehr möglich, festzustellen, ob er von einem Trojaner infiziert ist oder nicht.

Attacker starts application with hidden window
- Angreifer startet einen Prozess in einem versteckten Fenster

Trojaner können Programme der Trusted zone starten und über dieses Programm Zugriff zum Netzwerk beklommen. Mit einem versteckten Windowsfenster kann über z.B. den Browser mit dem Internet kommunizieren.
Die Firewall informiert den User über diese Ereignisse, doch sollte berücksichtigt werden, daß Jetico alle Events, also auch erlaubte, loggt.

Attacker writes to application's memory - Angreifer schreibt in den Arbeitsspeicher eines Programmes.

Trojaner besitzen auch die Fähigkeit sich in den zugewiesenen Speicher eines erlaubten Programms ein zu schreiben. Hier ersetzt die Malware verschiedene Einträge eines Prozesse durch seine eigenen. Sobald das Programm gestartet wird, startet auch der Trojaner, als das erlaubte Programm getarnt, mit seinen jetzt aktiven Funktionen.

Attacker injects own code into application - Angreifer schreibt eigenen Code in einen bereits installierten Prozess / Programm

Wenn ein Programm abläuft, läuft es mehreren sogenannten “threads” ab.
Ein thread ist am besten vergleichbar mit einem Faden aus verschiedenen Programmaufrufen, die nacheinander abgearbeitet werden. Jeder thread verarbeitet seine Funktionen, parallel mit anderen threads oder ausführenden Dateien, im und während des Ablaufs der Programmprozesses.
Windows erlaubt sog. remote threads, irgendein Prozeß/Programm kann einen thread erzeugen, der in einem (erlaubten) Programm bestimmte Funktionen ausführen kann. Windows erkennt nur, daß das erlaubte Programm die Quelle des threads ist, also zuständig für dessen Funktionen ist. Trojaner benutzen diesen Umstand um die eigentlichen Aktivitäten und Absichten zu verstecken.

Attacker modifies child process - Angreifer verändert einen Kind - Prozess

Ein Steuerelement eines (Eltern-) Programms startet sog. Kind-Prozesse, um u. a. obg. threads zu starten. Kind Prozesse sind sehr kurzlebig, d.h., sie existieren nur solange der Befehl ausgeführt wird (um den eigentlichen thread zu starten z.B.). Der Kind-Prozess „lebt“ nur im zugewiesenen Arbeitsspeicher. Ein Trojaner kann diesen Speicherplatz überschreiben. Beim nächsten Start des Kind-Prozesses wird nicht der eigentliche Prozess, sondern der Trojaner gestartet. Vorteil für den Trojaner: Ist das Programm nicht gestartet, wird es schwierig, auch mit Zusatzsoftware, den Trojaner ausfindig zu machen.

Low-level access to system memory - Zugriff auf den Systemspeicher

Trojaner können auch Windowseigene Systemprozesse übernehmen, indem Bestandteile des physikalischen Speichers verändert werden. Dadurch kann ein Trojaner jedes beliebige Programm installieren und ausführen. Windows er-laubt diese Zugriffe generell nicht, aber trotz der Sicherheit Windows ist das nach wie vor möglich (s.a. Windows Patchday). Sobald Jetico diese Art des Angriffs entdeckt (loggt), wurde definitiv ein Trojaner entdeckt.

Attacker - ein Programm erzeugt verdächtige aktivitäten/Abläufe - Application - ein Programm arbeitet nicht mehr ordnungsgemäß.
Einige Angriffe, z.B. eine hook - Installation, beeinflußt andere Programme. In diesem Fall kann die erteilte Regel für das Programm nicht mehr ausgeführt werden.
Zu guter Letzt noch ein kleiner Überblick über die FTP-, EMail- Server/Client Konfiguration bei Jetico.


http://tuts.supernature-forum.de/jetico/ftp_server.jpg

Hier können alle Einstellungen, alle sicherheitsrelevante Konfigurationen komplett vorgenommen werden. Einen Umweg über die Trusted oder Blocked Zone ist nicht mehr notwendig.

Um nun eine neue Regel zu erstellen, gehen wir folgende Schritte durch:
1. Im Jetico Explorer wählen wir den Tab Configuration
2. markieren die gewünschte Liste auf der linken Seite, in der die neue Regel erstellt werden soll.
3. R-Click auf die markierte Liste -> Insert ins auswählen (oder im rechten Fenster mit R-Click -> New -> Auswahl der Regel
4. Regel erstellen und bestätigen

Ändern, Verschieben, Clonen. Löschen der Regel können wir dann auch anschließend über einen R-Click auf die Regel über den entsprechenden Befehl im Kontextmenü.

JensusUT
12.08.06, 22:20
Jetico hat übrigens im Firewall-Leaktest (http://www.firewallleaktester.com/tests.php) den ersten Platz belegt.
Mit arcanoas Tutorial fällt es nicht englischsprechenden Nutzern jetzt vielleicht ein wenig leichter, dem Programm eine Chance zu geben.

Klasse geschrieben!

Gruß

Jensus

Brummelchen
12.08.06, 23:03
Und deswegen stet's auch hier schon länger (und auch sortiert) ;)
https://www.supernature-forum.de/hot-links/55401-firewall-leaktest-03-2006-inside.html
(das RemoveWGA ist dagagen überhaupt nicht zu empfehlen, das schrottet uU den Rechner)

t_matze
13.08.06, 02:09
Vielen Dank für Deine gute Anleitung!


Da es offenbar bisher noch keine dt. Anleitung zur Konfiguration der Firewall Jetico gibt,
und das Programm selber, zumindest in der Beta - Phase, noch kein Multilanguage besitzt,
Dieses Problem dürfte hoffentlich bald behoben sein. Zumindest bietet die Jetico Personal Firewall v.2 beta die Voraussetzungen dafür:


Language file support for easy localization. All translatable words and phrases are taken from single UTF-8 encoded text file.

lorenzmeyer
13.08.06, 15:29
Danke für Deine Mühe und Ausdauer.
Werde jetzt alles in Ruhe durcharbeiten und freue mich auf den 2.Teil.

Gruß Jörg

leachimus
16.08.06, 20:59
Eine Frage habe ich aber: Was macht die Jetico besser als die Kerio? Und wie funktioniert das mit diesem Levels?

Wäre nett wenn das mal Grob einer erläutern würde :)

Grüße

Franz
17.08.06, 08:13
Zur Zeit schreibe ich den 2. Teil des Tutorials, den ich hoffentlich bis morgen Online setzen möchte.
Dort gehe ich auf die komplette Regelverwaltung und Zuordnungen ein.

Was meinst du mit "Level"? Die verschiedenen "zones" oder der Modus in dem Jetico betrieben werden kann?

Auch darauf gehe ich im 2. Teil genauer ein.

Was macht Jetico besser als Kerio?

Kurz gesagt: die Abarbeitung der Regeln.
Während Kerio die komplette Sammlung von Ereignisparametern den Regeln gegenüberstellen muß,
ordne ich bei Jetico die Regeln in den verschiedenen "zones" zu und kann diese programmspezifisch konfigurieren.
Kerio kann, bei komplexeren Regelstrukturen, zu Systemleistungseinbußen und Fehleinstellungen führen, das wird bei Jetico, wg. oben, vermieden.
Außerdem gibt Jetico die Möglichkeit, Netz - Zugriffe/Ereignisse im Detail zu steuern.
Zu guter Letzt ist Jetico im optischen Aufbau viel klarer und detaillierter strukturiert als Kerio, die Einstellungsmöglichkeiten sind hier gewaltigt.

Aggi
22.08.06, 17:03
Also die Beschreibung der FW mit Hilfe von Alice, dem Buttler und der nervenden Töle find ich einfach klasse :daumen+

Brummelchen
22.08.06, 18:43
Also wenn jetico so aussieht und arbeitet, ist es eindeutig die Weiterentwicklung von
Look'N'Stop - da wurden Regeln auch so mit ähnlichen Symbolen gekennzeichnet.
Lediglich die Hierarchie und Regelerstellung sieht anders aus.
Wenn es die jetzt noch in deutsch gäbe...

leachimus
23.08.06, 01:59
Wird es. Die neue Version 2, die derzeit noch im Betastadium ist unterstützt Sprachdateien.

JensusUT
04.10.06, 14:09
arcanoa, der neue Firewall-Gott!
Hat es Spaß gemacht, sich dermassen in die Materie einzuarbeiten?

Es hat sich auf jeden Fall gelohnt!

Gruß
Jensus

leachimus
04.10.06, 14:44
Ich finde es nur schade, das es jetzt Shareware wird :/

Franz
04.10.06, 15:10
@Jensus,

wenn ich doch nur kapiert hätte, was ich da texte.
Quatsch! :D
Doch, es macht mir Spaß, zumal mich das schon immer interessiert hat.
Jetico ist ein kleines Paradebeispiel dafür, wie eben FWs funktionieren, auch unter Unix.

@mdg-webmaster,

mach dir doch keinen Kopf wegen der Shareware. OK, sie wird hoffentlich Multilanguage sein,
aber insgesamt ändert sich bei der Konfiguration so gut wie nichts.
Mit ein bißchen Engl. und hoffentlich meinem Tut kann
bei der Konfig dann bestimmt nichts mehr schiefgehen.

Für Fragen bin ich immer gerne da. :hallo

pht
05.10.06, 15:55
Hallo,
danke für die ausführliche Anleitung. Ich habe Jetico kurz nach dem 2ten Teil ;-) erstmal zur Probe auf einer Partition ohne Internet installiert, um zu sehen, wie sich das Programm verhält.
Doch schon dort wurde ich bei jedem Pups gefragt, ob ich der Windows-Komponente XY einen Zugriff erlauben will. Könnnte vielleicht jemand beschreiben, welche Systemdienste konkret man wie behandeln soll?

Wahrscheinlich hab ich alles falsch verstanden :).

Franz
06.10.06, 05:02
Hoffentlich nicht.

Also, ich behandle die Systemdienste wie normale Programme:
Erst alle, außer Svchost.exe und Lsass.exe, denen man besser einen anderen Port gibt, blockieren und den/die Browser zulassen.
Dann nacheinander die blockieren, die raus wollen.

Unterschiede gibt es aber in jedem Rechner, weil sich z.B. manche Programme
(auch Chat- oder Downloadprogramme) als Windows - Dienste in die Registrierung eintragen.
So würde ich auch das Autoupdate von AntiViren - Scannern, wenn schon vorhanden,
durchlassen. Den IE hingegen komplett sperren.

Allerdings habe ich den automatischen Updatedienst von Windows deaktiviert,
ebenso ein paar weitere, die evtl. andere Benutzer unbedingt brauchen.

Welche Dienste bei dir auf das INet zugreifen dürfen ,weiß ich natürlich nicht.

Sollten Dienste den Zugang zum Netz benötigen (Netzwerk, P2P) kommt
spätestens beim Aufruf des betroffenen Dienstes die entsprechende Fehlermeldung.

Franz
15.10.06, 07:45
phts Beitrag habe ich hierher (https://www.supernature-forum.de/sicherheit-am-pc/60795-jetico-fuer-torrentclients-wie-konfigurieren.html#post571575) verschoben.

sirmes
08.12.06, 10:12
@arcona: Danke für die Anleitung. Habe mich jetzt auch für die jetico entschieden. Und deine Mühen werden sogar von Jetico selbst gewürdigt:


Brief guide to Jetico Personal Firewall v1 in German is available on Supernature-Forum. We thank the guide author and forum staff for providing this guide.

Ist das nicht schön :daumen+

o0Pascal0o
03.01.07, 11:05
Danke für die Anleitung. 1 Problem habe ich aber noch. Wie stelle ich ein, dass Computer im selben Netz die Internetverbindung meines JEtico-Geschützten-PC´s zugreifen können.

Also wenn ich auf Allow-All gehe, dann kann 192.168.0.102 die Internetverbindung von 192.168.0.1(Jetico) nutzen(bei sich surfen, oder ein live-update ausführen in SymantecAntivirus. Sobald ich die Jetico aber aktiviere, dann geht das nicht mehr.

Pascal

Franz
04.01.07, 06:20
Jetico übernimmt die Windowseinstellungen des Netzwerkes und somit auch die Subnetmask.
Also, einmal die Einstellungen überprüfen.
Anschließend startest du in Jetico den Konfigurations Assistenten:

Start -> Programme -> Jetico Personal Firewall -> Configuration Wizard

und fügst die jeweiligen Adresssen der Trusted Zone hinzu, falls diese nicht aktualisert wurden.

Du kannst auch einen ganzen IP Bereich zulassen (s. 1.Teil).

Aggi
16.01.07, 17:37
Wird es dieses wahnsinns Tutorial auch irgendwann einmal als PDF geben?

Franz
16.01.07, 19:38
Keine schlechte Idee,
morgen Vormittag erstelle ich eine.
Danke für den Hinweis. :hallo

Franz
17.01.07, 09:48
Bei der Umsetzung nach .pdf fiel mir auf, daß ich noch einige Zusätze einfügen kann, die
hier noch nicht erläutert wurden.
Außerdem passe ich es noch inhaltlich und strukturell ans Buch - Format an.
Für euch heißt das letztlich, daß das .pdf-File leider erst Montag online sein kann.
Nicht traurig sein.;)

Aggi
26.01.07, 21:50
Hat sich bezüglich der PDF-Ausarbeitung schon was ergeben?

Franz
27.01.07, 07:59
Grad im Moment sitze ich noch an ein paar Feinheiten.
Online ist die Datei schon, aber ich nehme Makas Anfrage (https://www.supernature-forum.de/sicherheit-am-pc/63279-jetico-und-verschiedene-windows-benutzerkonten.html) noch mit auf. Sie paßt noch wunderbar rein.
Im Laufe des Tages poste ich den Link.

Sorry für die Verspätung.

Franz
27.01.07, 18:24
Sodele,
lange angekündigt und endlich fertig.
Das *.pdf habe ich im ersten Teil (https://www.supernature-forum.de/top-themen-und-tutorials/59163-jetico-eine-kleine-anleitung.html) des Tuts ganz zu Beginn.

MajorP
02.02.07, 18:59
Klasse Arbeit arcanoa, danke dir! Ich bin jetzt echt mit allen Firewalls durch und hoffe das Jetico endlich die Erlösung bringt, habe die Tage jetzt Kerio und McAfee durchgekaut und bin immoment ohne unterwegs, ich bete echt das diese Firewall endlich meine Erwartungen erfüllt.

Franz
02.02.07, 19:36
Dangschee für die Blumen,:hallo

hoffentlich bekommst du die Erlösung.

Eine Kleinigkeit habe ich noch, die ich auch noch in das Tut scheibe.
Und ich poste es nur hier, damit ich es nicht vergesse:

--------------------
Tipp:

Wenn bereits Regeln für einen Prozess, einen Dienst, eine IP oder
für eine Anwendung über den Wizard erstellt wurden, sollten diese Regeln
im Falle einer manuellen Nach- oder Neujustierung komplett gelöscht werden.

Der Grund hierfür liegt in dem hohen Risiko, eine widersprüchliche Regel zu definieren.
Zwei sich widersprechende Regeln für ein und den selben Prozess führen zwangsläufig zu einem Systemcrash.
Das gilt natürlich auch für (Master-) Regeln, die auf andere Benutzerkonten übertragen wurden.
--------------------

Ist ja im richtigen Leben auch nicht viel anders. :hallo

Brummelchen
02.02.07, 20:28
/ot
PDF - wennze jetzt noch mit "Becy PDF MetaEdit" das Inhaltsverzeichnis
mit dem Inhalt verlinken könntest ;)
http://www.becyhome.de/ (Freeware)

Franz
02.02.07, 22:09
Ob ich das nehme, weiß schnoch nicht, aber sicher ist, nicht vor kommendem Wochenende.

Danke für den Link. :hallo

peterpaulw
04.03.07, 01:35
Dankefür die ausgezeichnete deutsche Anleitung für die JPF version 1, die auch für die Version 2 nützlich ist und mir beim Übersetzen der Anwendung eine große Hilfe war.

Für die 2. Version, die noch in der beta ist habe ich eine deutsche Übersetzung gemacht, die jetzt für die JPF 2.0.0.25 beta verfügbar ist. Der Thread dazu in diesem Forum: https://www.supernature-forum.de/sicherheit-am-pc/64317-deutsche-ubersetzung-fuer-jetico-personal-firewall-2-a.html

Datei zum downloaden und Infos im Jetico Support Forum:
DOWNLOAD: Update of German translation ver. 0.8.7 for JPF 2.0.0.25 beta (http://www.smokey-services.eu/forum/viewtopic.php?t=2016&start=5&postdays=&postorder=&highlight=)

Franz
18.03.07, 22:08
Die Jetico - Anleitung hat heute ein kleines Update erhalten:

- Verknüpfung des Inhaltsverzeichnisses
- Hinzunahme der Einstellungen für Masterprofile
- Korrekturen

Zauberstaat
27.03.07, 23:39
Erstmal hallo an alle

Vielleicht kann mir ja hier jemand helfen.Ich habe die Jetico Firewall Beta 2.0.0.26 installiert mit der Deutschen Sprachdatei. Bisher lief auch alles zu meiner zufriedenheit. Aber seit heute lassen sich meine Einstellungen nicht mehr verändern und einige funktionen sind nicht mehr verfügbar(Zb:Regeln Löschen)
Wenn ich auf Info gehe steht da-->>> Evaluation Period hat Expired at Dienstag 27 März 2007..Jetico will Run in a limited Mode
Hat dieses Problem noch jemand und was kann ich nun tun?

weissnix
28.03.07, 01:17
Evaluation Period hat Expired at Dienstag 27 März 2007..Jetico will Run in a limited Mode


ich kann mir vorstellen das deine "Nutzungs(verbesserungs)periode" -Evaluation- für die Beta Version schlicht und ergreifend abgelaufen (expired) ist

Zauberstaat
28.03.07, 06:59
Erstmal vielen Dank für deine Antwort und Guten Morgen.

Also so weit ist mir das schon klar. Wie gesagt das ist ja noch ne Beta. Ne neue Version gibt es noch nicht und die Option zu kaufen gibt es auch noch nicht. Vielleicht hat ja jemand anderes ne brauchbare Lösung??

Liebe Grüße Micha

Franz
28.03.07, 09:00
Hallo und herzlich Willkommen :hallo,

dir wird kaum etwas anderes übrigbleiben, als entweder Jetico 2 beta neu zu installieren,
auf die frühere Version oder auf eine andere Firewall umzusteigen.

Fully functional versions for evaluation purposes will function for 30 days from the date of installation.

Brummelchen
13.04.07, 16:42
Jetico wird langsam final ;)

Changes in 13-April-2007 version 2.0.0.29 RC:
Extra memory usage issue fixed.
JPF.exe startup problems fixed.
Domain names added to IP addresses in Log tab and Popup dialog.
Configuration template updated. Added templates for:
Skype
ICQ (ICQ, ICQ Lite, Miranda, Trillian, Qip)
IRC (mIrc, Miranda, Trillian)
Windows Messenger
Windows Media Player
Direct Connect (DC++)
BitTorrent (uTorrent)
Language file and translations updated.
Homepage - http://www.jetico.com

vatana
14.04.07, 09:11
Jetico wird langsam final ;)

Endlich :D

vatana
23.04.07, 20:18
Und nun ist es Final: Jetico Personal Firewall v2 (http://www.jetico.com/jpf2.htm)

Brummelchen
23.04.07, 20:26
Versionsverlauf ;)
http://www.smokey-services.eu/forum/viewtopic.php?t=3443

23-April-2007 version 2.0.0.30 released. Changes:

* Rule update after group values change fixed.
* Rule reordering for copy/move operations fixed.
* Application rule parameters (local port, remote address) order corrected.
* Hash parameter handling bug fixed.
* Event log mesaages improved.
* IP rule parameters are displayed in the 'Misc' column.
* Configuration Wizard import function fixed.
* Chinese (simplified) translation contributed by Gao Xue Feng.

Brummelchen
21.09.07, 19:27
Jetico PF 2 Final progress: Final version 2.0.0.35
http://www.smokey-services.eu/forum/viewtopic.php?t=4395

Bugfixes
System crash caused by bc_tdi_f.sys driver under heavy load fixed.
Application adding via "..."(Browse) problem in rule editor on Vista fixed.
Firewall shutdown now allowed with expired license.
Configuration Wizard "Next >" button behavior fixed.
Random jpf.exe hangups on startup fixed.

Default configuration template changes
Rule for Ximeta NDAS devices added (off by default)
"Network Time Protocol client" application template table added
"Allow everything" application template table added

Deutsche Sprachdatei:
http://www.smokey-services.eu/forum/viewtopic.php?t=2016
(siehe Anhang)

Allerdings wurde der Ort der Sprachdatei verändert:
- vorher: \SetupLangs (build 33)
- jetzt: \Translation\Jetico Personal Firewall\DE (build 35)

Deutsche Sprachdatei einfügen

- Setup starten - und nichts weiter anklicken
- den Ordner "~BCSelfExt.TMP" suchen, für gewöhnlich im Temp-Ordner:
C:\Dokumente und Einstellungen\<user>\Lokale Einstellungen\Temp
- dein Inhalt dieses Ordners woanders hinkopieren, zB nach "\jpf2setup_2.0.0.35_de_setup"
(muss natürlich vorher erstellt werden)
- Dann die Sprachdatei "langfile.txt" kopieren nach \Translation\Jetico Personal Firewall\DE


Das ZIP ist bereits abgepasst und enthält diese Anordnung schon und muss daher
nur noch in den Hauptordner (da wo setup.exe liegt) ausgepackt werden.

PS ich habe bzgl des englischen Originals leicht Veränderungen an der Struktur
vorgenommen, da ich so leichter Neuerungen erkennen kann. Es sind auch ein paar
Änderungen am Text von mir eingeflossen. Wem das obige zu kompliziert ist, kann
mich anschreiben für ein fertiges Paket.

Franz
07.09.08, 15:28
Inzwischen ist auch das offizielle dt. Language-File für die Benutzeroberfläche der
Version 2.* veröffentlicht worden.
Allerdings noch ohne übersetzte Hilfedatei.
Jetico - Jetico Personal Firewall v.2 (http://www.jetico.com/jpf2.htm#local)

TheRave
26.09.08, 15:29
Ich benutze noch die freie V1. Warum steht denn die Table System Applications nach der Table Ask User? Weil die Ask User endet ja mit ask und zur System App Table kommen wir doch gar nicht mehr oder? Ich dachte es wird von oben nach unten abgearbeitet.

Bei mir taucht immer die Anwendung system auf. Die wollte ich auch zu den system apps verschieben. Nur wenn ich das mache fragt Jetico wieder und system steht wieder unter Ask User drin...

Franz
27.09.08, 15:51
Hierbei mußt du überprüfen, welche Systemdatei(en) diese Aktion aufruft/aufrufen.
Vielleicht sind es verschiedene Dateitypen, die eben unter dem Begriff 'System' der Firewall auffallen.
Kannst du mir einmal die Regeln, die du für System in den System Applications und unter 'Ask' erstellst hast? posten (Screenshot z.B.)?

TheRave
27.09.08, 17:25
Ja es waren noch ein paar andere Ports wofür "system" noch Zugriff haben wollte. Hatte die Woche die neue VMWare Version installiert und da gabs andere IPs und es stand immer nur system da. Keine Anwendung, aber die IP ließ darauf schließen daß es sich um die VMWare und ihre Netzwerkkarten handelte. Jetzt hoffe ich daß Ruhe ist.

Ein Problem nervt mich immer noch. Und zwar fahre ich mein Notebook immer in den Hibernate und nie richtig runter. Manchmal - aber nicht immer komme ich nicht ins Netz. Was ich dann machen muss ist die Netzwerkkarte deaktivieren und wieder aktivieren dann geht es. Es muss irgendwie mit der geänderten Internet IP durch das Neueinwählen des Routers zusammenhängen. Der Router selbst hat eine statische IP. Weißt du da mehr drüber?

Franz
27.09.08, 19:25
Du kannst dem Notebook ebenfalls eine feste IP zuweisen.
R-Klick Netzwerkumgebung -> Eigenschaften -> R-Klick LAN-Verbindung ->
Eigenschaften -> Internetprotokoll (TCP/IP) markieren -> Eigenschaften ->
die Option 'Folgende IP-Adresse verwenden:' aktivieren ->
IP-Adresse eingeben (muß sich im Netz des Routers befinden) ->
Subnetzmaske: einmal reinklicken, die Maske wird automatisch erstellt -> Standardgateway ->
IP-Adresse des Routers eintragen -> Übernehmen -> OK -> *rödelrödel* -> OK

Zum Test kannst du jetzt den Hibernate-Modus ausprobieren.

TheRave
28.09.08, 00:38
Mein Notebook hat auch schon immer eine statische IP. Daran kann es also nicht liegen.

TheRave
21.10.08, 19:44
Genau das gleiche hab ich übrigens auch mit meiner VMWare (auch alles statisch eingerichtet). Einmal im Hibernate gewesen, VMware starten und keine Netzwerkverbindung haben zur VM. Router lässt sich nichtmal anpingen von der VM aus. Lanverbindung deaktivieren und aktivieren und alles geht wieder. Das nervt wirklich. Muss wohl wieder zur Kerio 2.15 zurück.

Franz
24.10.08, 04:38
Gibt denn das Logbuch von Jetico irgendwelche verwertbaren Hinweise?
Leider komme ich erst am WE dazu, das zu testen.

TheRave
24.10.08, 20:04
Übers Log kann ich im Moment nicht viel sagen. Ich hab vor zwei Tagen Jetico deinstalliert und mit der Kerio weitergemacht. Hab heute wieder Jetico V1 neu installiert und werde in den nächsten Tagen berichten, ob es jetzt besser läuft. Vielleicht hilft es diesmal daß ich die Kerio komplett deinstalliert hab. Die hatte ich vorher nur aus dem Autostart genommen und lief somit eigentlich nicht. Aber mal sehen...

Wolve
28.10.08, 17:42
Moin alle zusammen,

ich hab die Anleitung gelesen und muss sagen, dass diese sehr informativ war. Jedoch find ich keine richtige Lösung für mein Problem. Ich sitze in einem Netzwerk der Uni und würde gerne eine IP Range (also einen ganzen IP Bereich) vollständig blocken. Die Sache ist jedoch, dass ich nirgends eine Option finden kann, die mir diese Einstellung ermöglicht. Bei den System IP Rules kann ich nur eine IP einstellen, aber keine richtige Range. Da ich selbst in dieser Range sitze und meine Nachbarn auch, würd ich gern von der 0 bis zur 60 und dann von der 60 bis zur 255 alles blocken. Wie stell ich das nun ein?

Bevor ich es vergesse...es handelt sich hierbei um Jetico Personal Firewall 1.1, also die kostenlose Version.

MfG

Wolve

Franz
28.10.08, 19:24
Hmm,

zuerst, wenn du von die IP-Adressen von .0-60 und von .61-255 blockierst,
blockierst du das gesamte Netz.
würd ich gern von der 0 bis zur 60 und dann von der 60 bis zur 255 alles blocken. Oder willst du nur den Bereich .0-.60 freigeben?
Wenn ja,
Firewall neu starten, den Wizard auswählen und in der 'Trusted zone' bei 'Network address' z.B.:192.168.178.0-192.168.178.60 -> entspricht genau den ersten 60 Adressen
oder
192.168.178.0/26 -> entspricht den ersten 62 Adressen
oder
192.168.178.0/155.155.155.192 -> entspricht den ersten 62 Adressen
eintragen.

Der Eintrag für den geblockten Adressbereich in der 'Blocked zone' bei
'Network address' lautet dann entsprechend:192.168.178.63-192.168.178.255
Falls du die CIDR-Schreibweise wählst (/26), muß der geblockte
Adressbereich um 2 IP-Adressen höher beginnen, nämlich bei 192.168.178..65.
Das gilt auch, wenn du die Subnetmask-Schreibweise verwendest.

Wolve
23.11.08, 16:13
Das ist genau das, was ich wissen wollte. Vielen Dank für die Anleitung :)

Edit:

Das Problem jedoch ist, dass die IP Wahl

192.168.0.1-192.168.10.254

auf diese Art und Weise nicht geht. Ich hab Network Address ausgewählt, die IP von bis eingetragen und bekam dann die Fehlermeldung: Invalid IP Address.
Das System mit der CIDR-Schreibweise verstehe ich nicht ganz. Wieso blockt er mir 62 IPs, wenn da nur ne 26 steht. Ist das ein Schreibfehler?

Und der Bereich, welchen ich blocken möchte, geht von *.*.20.1 bis *.*.25.59 und von *.*.25.67 bis *.*.50.254.
(Anfangswerte der IPs, aus Sicherheitsgründen, mit * versteckt)

Was mir ebenfalls unverständlich vorkam war:

192.168.178.0/155.155.155.192 -> entspricht den ersten 62 Adressen

Wie ist die Denkweise bei einer höheren IP in eine niedrigere? Wäre es möglich da eine verständlichere Erklärung zu erhalten. Ich wäre Ihnen sehr dankbar, wenn Sie mir weiterhelfen könnten.

MfG

Wolve

Solanas
23.12.09, 13:19
Hallo Franz :hallo,




Also, ich behandle die Systemdienste wie normale Programme:
Erst alle, außer Svchost.exe und Lsass.exe, denen man besser einen anderen Port gibt, blockieren und den/die Browser zulassen.
Dann nacheinander die blockieren, die raus wollen.


Erstmal gratulation zu Deiner herausragenden Arbeit (Tutorial).
Ich nutze auch seit kurzem die Jetico FW. Bisher läuft meiner Meinung nach alles Reibungslos. Dennoch bin auch ich tagtäglich dran um die Sicherheit meines Rechners zu steigern.
Mich würde es daher mal noch brennend interessieren, wie ich herausbekomme, welchen Ports die SVCHOST.exe und LSASS.exe nutzt um halt alle anderen Ports unzugänglich zu machen.

Danke Dir für eine Antwort.

Cheers
Solanas

Franz
25.12.09, 11:08
Frohe Weihnachten nachträglich :hallo,

komme leider doch erst jetzt dazu, dir deine Frage zu beantworten.

Da lsass.exe und svchost.exe von verschiedenen Programmen aufgerufen werden, die
unterschiedliche Ports zu unterschiedlichen Zeiten benutzen,
ist es relativ schwierig und umständlich, manuell und auf Anhieb alle Ports zu deklarieren.

Hier kann z.B. das Programm PortReporter von Microsoft weiterhelfen.

Verfügbarkeit und Beschreibung des Port Reporter-Tools (http://support.microsoft.com/kb/837243/de)

Alternativ natürlich auch Sysinternals (mitels TCPView) von Microsoft:

TCPView for Windows (http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx)

Anhand der Prozess-Angaben kannst du dann detailliert entsprechende
Ports für die jeweiligen Anwendungen freigeben.

Wre das eine Hilfe für dich?

Solanas
25.12.09, 12:12
Hallo Franz :hallo

Frohe Weihnachten auch Dir nachträglich:).
Danke für die informationen. Das ist mir schon ein Hilfe zu erfahren mit welchen Progs ich sehen kann, wann welcher Dienst welche Ports nutzt.

danke Dir und hab noch schöne Festtage.

VG
Solanas