[Firewall] Jetico - eine kleine Anleitung

Franz

assimiliert
Da es offenbar bisher noch keine dt. Anleitung zur Konfiguration der Firewall Jetico gibt,
und das Programm selber, zumindest in der Beta - Phase, noch kein Multilanguage besitzt,
kann ein kleines Tutorial über die Einstellungsmöglichkeiten und Regelwerk der FW in dt. Sprache
den Jetico - Nutzern hoffentlich hilfreich sein.

Übrigens gibt es das Tutorial auch als PDF - Datei (ca. 1 MB).

Zuerst widme ich mich ich der Übersetzung der Begriffe, Anzeigen und Funktionen der Firewall.
Dann arbeiten wir uns durch die Regel - Konfiguration manuell und mittels Wizard durch,
denn so, denke ich, lernen wir am besten den Aufbau und Wirkung der Optimal Protection.

Bevor ich anfange, möchte ich kurz auf die Installationsroutine von Jetico eingehen:

Nachdem man den Willkommensbildschirm, die AGB und den Installationspfad bestätigt hat, wird gefragt, ob - noch vor dem Neustart des PC - der Konfigurationsmanager von Jetico gestartet werden soll.
Wir bestätigen das mit dem Haken und schon kann's losgehen.
Für das Willkommensschildchen bedanken wir uns mit dem "Weiter" - Button.

Zu Beginn sollten die beiden Hauptzonen für die Firewall bekannt gegeben werden, in der sich der PC aufhält.
Die Trusted zone und Blocked zone stehen hier für die generelle Zugriffmöglichkeit auf und von (entfernten) Computer, Domain, Netzwerk und Router.

Zunächst können wir die Trusted zone - den vertrauenswürdigen Bereich - festlegen, in dem der PC
erst einmal uneingeschränkt mit evtl. anderen vorhandenen PCs/Router kommunizieren darf. Jetico bietet hier eine Defaulteinstellung an.
In der Hilfe von Jetico wird auf die verschiedenen Möglichkeiten der Schreibweise von IP Adressen eingegangen
(unter Using Jetico Firewall -> Configuration Wizard - setting Trusted and Blocked zones).

ip_adresse.jpg

Je nach PC- Standort (z.B., in einer Domäne) (Computer Name), in einem Netzwerk oder hinter einem Router (Network address) oder nur zu einem PC (z.B. FTP) (Single IP address) tragen wir die jeweiligen bekannten IP Adressen ein, zu denen der PC ein Vertrauensverhältnis hat.
Jetico gibt, falls vorhanden, die IP Adressen (z.B. die interne IP des Routers) an, die er "gefunden" hat.
Mit Add (hinzufügen), Remove (entfernen) und Edit (bearbeiten) können hier die IPs angeglichen werden.

Nachdem wir auf "weiter" geklickt haben, das Ganze nochmal für die Blocked zone.

geblockt.jpg

Nur werden hier die IP Adressen gesetzt (z.B. von entfernen Servern), mit denen der PC nicht kommunizieren soll.

Natürlich können später im Programm jederzeit die Zonen bearbeitet werden:
Start -> Programme -> Jetico Personal Firewall -> Configuration Wizard

Nach dem Neustart des PCs kommt jetzt das Feintuning.
Und hier meldet sich schon die erste Abfrage der FW, da sie im Default Modus, besser im Lernmodus, ist.

Bevor wir zu den detaillierten Einstellungen und Regeln kommen, vorweg der optische Aufbau von Jetico:

Mit einem Doppelclick auf das Icon im Systray öffnen wir das Programmfenster.

Inhalt des Hauptmenüs:

1. Die Menüleiste und Toolbar:

menueleiste.jpg
  • File

    Open – öffnet abgespeicherte Sicherheitsrichtlinien
    Save – speichert geänderte Richtlinien
    Save as – speichert ein neues Sicherheitsprofil ab
    Revert to factory settings – setzt alle Einstellungen zurück (auf Default)
    Reload – aktualisiert die Konfiguration
    Exit – schließt das Programmfenster ohne abspeichern
    Shutdown firewall – deaktiviert die Firewall

  • View

    Refresh – aktualisiert das aktuelle Tab
    Best fit – scaliert im aktuellen Tab den Inhalt auf die Fenstergröße
    Auto Best fit – automatische Scalierung
    Toolbar – Toolbar anzeigen ja/nein
    Status bar - Stausanzeige anzeige ja/nein

  • Options

    General – zeigt die Allgemeinen Einstellungen an
    Module – zeigt die geladenen Module/Filter an
    Log – zeigt die Größe des Logfiles an

  • Help
    Contents - Hilfe
    About - Info über Jetico
In der Toolbar werden über Icons die häufig benutzten Werkzeuge aufgerufen.

  • Policy
    Optimal Protection - bestmöglicher Schutz (Lernmodus)
    Allow all - Alles erlauben
    Block all - Alles blockieren
Der Modus, in dem die Firewall betrieben wird. Default ist Optimal Protection

Die Reiter/Anzeigen:


Traffic Monitor

monitor.jpg

Hier wird der gesamte (Incoming / Outgoing) Netzwerkverkehr in Echtzeit aufgenommen.
Das obere Fenster zeigt den eingehenden, das untere den abgehenden Verkehr an.
Grün sind erlaubte Prozesse und rot die geblockten.
Ganz unten kann der genaue, aktuelle Verkehr (in Bytes und Paketen) abgelesen werden.


Applications

applications.jpg

gibt eine Übersicht über die Programme, die mit anderen PCs kommunizieren (und Zugriff auf das Internet haben) dürfen.
Alle Programme und Prozesse (z.B. Dienste) werden hier detailliert gelistet und verwaltet.
Über Rechtsklick auf ein gewähltes Programm können folgende Befehle ausgeführt werden:

  • Properties - ruft das Eigenschaftenfenster des Programms auf.
    Copy text (Collapse)[/i] - Unterprozesse der Anwendungen ja/nein (+ -)
    Terminate process - beendet einen gewählten Prozesß

Bei den Applications werden folgende Informationen aufgelistet:

  • Application - Programme
    Process ID - interne Prozeßnummer
    Description - Beschreibung des Programms oder Dienstes
    Version - Versionsnummer des Programms
    Vendor - Hersteller
    Connections - aktive Verbindungen
    Sent - gesendete Pakete
    Received - empfangene Pakete
    Local address - lokale Adresse
    Local port - lokaler Port
    Remote address - Zieladresse
    Remote port - Ziel Port

Log

log.jpg

Der dritte Reiter listet das Log über sämtliche Aktivitäten (rein und raus), die Zugriff auf das Netzwerk haben, namentlich auf.
Zu den einzelnen Fenstern kommen wir aber später.

Anzeigen im Log:

  • Time - Zeitstempel des Zugriffes
    Action - Verhalten der Firewall zu diesem Ereignis
    Description - Beschreibung des Zugriffes
    Size - Größe der gesendeten/empfangenen Daten
    Protocol - Art des Internet Protokolls
    Event - Art des Ereignisses
    Attacker - Anzeige der Adresse (IP) eines Angreifers oder den Namen des Prozeßes, der potentiell gefährlich ist (Spyware, Trojaner z.B.)
    Source address - Herkunftsadresse des Netzpakets
    Destination address - Zieladresse des Netzpakets
    Source port - Ausgangs Port des Pakets (TCP und UDP)
    Destination port - Ziel Port des Pakets (TCP und UDP)
    Application - Aktive Anwendungen
    Local address - Lokale Netzwerkadresse
    Remote address - Remote Adresse
    Local port - Lokaler Port
    Remote port - Remote Port
    Misc - alles was in die anderen Punkten nicht hineingehört.

Im Kontextmenü finden wir:

  • Copy text - kopiert den markierten Text in die Zwischenablage
    Autoscroll (checkable) - wenn Autoscroll aktiviert wird, springt der Cursor nach einer Aktualisierung zum aktuellen/letzten Logeintrag.
    Deaktiviert, bleibt die Log - Anzeige nach einer Aktualisierung wo sie ist.
    Clear log window - löscht alle aktuellen (nicht gespeicherten) Logeinträge
    Default log (checkable) - Aktiviert: der Inhalt des aktiven Logs wird angezeigt
    Select log file - Auswahl und Anzeige einer abgespeicherten Logdatei. Wird der aktuelle Log abgespeichert, wird die ausgewählte Datei an diesen angehängt.

Configuration

configuration.jpg

Wenn wir jetzt auf den Reiter "Configuration" klicken, sehen wir zunächst auf der linken Browserseite die 3 Hauptrichtlinien: "Optimal Protection", "Allow all" und "Block all".

In der "Optimal Protection" (optimaler Schutz) haben wir den "Root" (das ist die erste, allgemeine Regel und der Anfangspunkt des Regelprozesses) mit den verschiedenen "Tables" (Regeltabellen). Hier werden die Regeln für alle laufenden Prozesse abgelegt, die wir bereits entsprechend erstellt hatten.
Bei "Allow all" und "Block all" haben wir entweder uneingeschränkten oder gar keinen Zugang zum Netzwerk. Hier können IPs, Programme oder Dienste als Ausnahme stehen.

Wenn wir im linken Fenster einen R-Click auf eine der Hauptrichtlinien ("Optimal Protection", "Allow all" und "Block all") machen, haben wir im Kontextmenü folgende Bearbeitungsmöglichkeiten:

  • Insert table Ins - erstellt eine neue Regeltabelle
    Rename - gibt der Tabelle/Regel einen anderen Namen
    Delete - löscht die Tabelle
    Flat View - zeigt nur die Haupttabelle
    Expand - zeigt die Einzeltabellen
Im rechten Browserfenster sind die einzelnen Regeln und die daraus resultierende Aktion der Firewall aufgelistet.
Hier können wir via Kontextmenü alle Regeln bearbeiten:

  • Properties - Eigenschaften des Programms/Ereignisses
    Copy text - kopiert den Text in die Zwischenablage
    Edit - hier kann die Regel bearbeitet werden
    Clone - kopiert eine Regel
    New > - ruft das Untermenü zum Festlegen, welche Art von neuen Regeln erstellt werden soll, auf.
    Delete - löscht die komplette Regel
    Jump to ... - springt zur jeweiligen Untertabelle, der die Regel zugeordnet wurde.
Die Anzeige im rechten Browserfenster:

  • Activity - Zustand des Ereignisses (aktiv/inaktiv)
    Action - Verhalten der Firewall
    Description - Regelbeschreibung
    Log level - Regel Log Stufe
    Size - Dateigröße des Pakets
    Protocol - welches Internet Protokoll benutzt wird
    Event - Ereigniseigenschaft, welche Art von Zugriff
    Attacker - Adresse eines Angreifers
    Source address - Ursprungsadresse (oder Pfad) des Pakets
    Destination address - Zielort/Adresse des Pakets
    Source port - benutzter Port des Pakets (nur bei TCP/UDP)
    Destination port - Ziel Port des Pakets (nur bei TCP/UDP)
    Application - Programm oder Dienst, das die Netzwerkaktivität ausgelöst hat
    Local address - Lokale Adresse
    Remote address - Remote Adresse
    Local port - lokaler Port
    Remote port - Ziel Port
    Misc - alles, was die anderen Listen nicht abdecken (Hash - Anzeige)

Wie nun genau die "Optimal Protection" erreicht wird, erfahren wir im 2.Teil.
 
Zuletzt bearbeitet:
Die Filterregeln

Zuvor möchte ich darauf hinweisen, daß die Programmentwickler von Jetico die neue Version multilingual anbieten möchten. Wie die verschiedenen engl. Begriffe letztlich übersetzt werden, weiß ich nicht. Deswegen kann es (in der neuen Vers.) zu Unterschieden in der Bezeichnung kommen.

Jetico bietet uns geneigten Surfern die beste Möglichkeit, einen Einblick in die Arbeitsweise einer FW zu bekommen, allerdings mit einem Unterschied zu allen anderen FWs:
Jetico sortiert die erstellten Regeln in Listen/Gruppen (Tables) und weist diese einer bestimmten Eigenschaft eines Prozeßes zu.

Wie ihr sicher schon alle bemerkt habt, führt Jetico nach der Installation ein Popup aus, wenn ein Programm, Prozeß oder Dienst Zugriff auf das Netz haben möchte:

popup.jpg

Der Grund liegt vor allem in der Optimal Protection, die erreicht werden soll.
Oben erfuhren wir, daß dies unsere Hauptschaltzentrale und gleichzeitig unser Ziel (bester Schutz) ist.
Um die Arbeitsweise der FWs besser zu verstehen, möchte ich euch ein kleines Bsp. geben:

Stellt euch vor, es klingelt an der Haustüre.
Unser Butler schaut durch den Türspion und sieht Alice von nebenan. Sie will auf eine Tasse Kaffee bei uns vorbeischauen und bringt neben lecker Süßem, einen Vierbeiner mit, den wir nicht mögen. Aber Alice mit lecker Süßem soll natürlich unbedingt herein.
Der Butler weiß nicht, was er tun soll, also fragt er uns danach. Und damit er auch behalten kann, wer rein darf und wer nicht, schreiben wir kurzerhand eine Regel auf. Die soll er dann immer verwenden, wenn’s klingelt.
Jetzt könnte natürlich in der Regel stehen:
Aufmachen, wenn Alice vor der Türe steht und sie hineinlassen, ebenso Süßes, aber Vierbeiner bleiben draußen.
Kurze Ansage, paßt.

Leider nicht ganz, denn Alice kann jede Nachbarin heißen, Süßes kann Kuchen sein oder nicht und Vierbeiner können auch Katzen sein.
Also braucht der Butler mehr Details. Und die bekommt er in Form von Eigenschaften mitgeteilt. Und so könnte dann die 1. Regel lauten:

Reinlassen (Inbound):

Wenn es klingelt, dann
- fragen
- Alice, wenn sie von nebenan ist, akzeptieren,
- Süßes, wenn es Kuchen ist, akzeptieren
- den Vierbeiner, wenn es ein Hund ist, blockieren

Das wäre nun die Regelentscheidung (Verdict (Urteil)) für 4 Ereignisse, die der Butler immer befolgen soll. Anhand der verschiedenen Eigenschaften kann er eindeutig entsprechend der regelentscheidung handeln..

Der Nachmittag ist vorbei, mit Alice haben wir nett geplauscht und die letzten Urlaubsbilder durchstöbert. Jetzt will Alice gehen. Aber:
der lecker Kuchen soll unbedingt da bleiben!
Der Butler weiß davon nichts, also müssen wir ihm das mitteilen:

Rauslassen (Outbound):

Wenn Alice gehen will, dann

- fragen, dann
- Alice akzeptieren und rauslassen
- aber den lecker Kuchen blockieren

Das sind nochmals 3 Regeln, weil es in die andere Richtung geht.
Mit den Inbound - Regeln von oben sind das 7 Regeln für 7 Ereignisse.

Ereignis -> beim 1. Mal: nachfragen -> Eigenschaften (Parameter) vergleichen -> bei Übereinstimmung -> Regel ausführen

Zusammenfassend steht dann auf dem Zettel für den Butler:

Wenn es klingelt und Alice von nebenan steht vor der Tür, dann darf Alice rein und raus, der lecker Kuchen darf zwar rein aber nicht mehr raus und der Vierbeiner darf überhaupt nicht rein, weil er ein Hund ist.

Wie ihr seht, haben wir die Regel (oder das Urteil) für den Butler über die Eigenschaften von Alice, dem Kuchen und dem Hund festgelegt:
Alice darf alles, weil sie nebenan wohnt, das Süße muß dableiben, weil es Kuchen ist und der Vierbeiner bleibt draußen, weil es Hund ist.

Der Butler vergleicht unsere Bedingungen für Alice, Süßem und Vierbeiner mit den Eigenschaften der Personen/Objekte, die draußen vor der Türe stehen. Und wenn die Bedingungen für die Eigenschaften zutreffen, handelt der Butler entsprechend unseren Wünschen, nämlich die Person oder das Objekt durchlassen oder nicht.

So, zumindest grundsätzlich, funktioniert eine FW.

Regeln bestehen immer aus 2 Teilen: die Bedingung und die Handlung
Wenn A zutrifft ist, muß B ausgeführt werden.

Bedingung (Condition) sind die Eigenschaften, die ein Ereignis identifizieren und die Handlung (Action) ist die Folge, die aus dieser Bedingung resultiert.

Die Befehle für die Handlung sind in Jetico:

- ask - nachfragen
- accept - durchlassen
- reject - blockieren/ablehnen
- go to table - eine andere, schon vorhandene Regel aufrufen und nach dieser handeln
- continue - das Ereignis wird zur nächsten, folgenden Regel weitergeleitet

Wir klicken jetzt auf den Reiter Configuration (übrigens, wir sind wieder bei der Firewall, nicht bei Alice), dann sehen wir zunächst oben in der Menüleiste und auf der linken Browserseite die 3 Hauptrichtlinien: Optimal Protection, Allow all und Block all.
Das sind die verschieden Modi, in die die Firewall generell versetzt werden kann. Ändern wir den Modus, muß die Änderung gesondert bestätigt werden (Apply Button).
In Jetico wird der aktive Modus als Active Security Policy angezeigt.
Default bei Jetico ist der Lernmodus, die Optimal Protection und alle Ports sind geschlossen, d.h., alle Ereignisse, die Netzwerkzugriff haben möchten, müssen “nachfragen“. Alle?
Nicht ganz, einige Systemkomponenten haben immer Zugang zum Netzwerk, denn ohne diese wäre eine Kommunikation nicht möglich und jede FW überflüssig. Jetico erlaubt diesen Prozessen und Diensten den Zugang, außer wir sind im Block All - Modus.
Welche Prozesse das im Einzelnen sind, ist hier erstmal sekundär und würde sicher den Rahmen des Tuts sprengen.

Wir wollen uns aber hauptsächlich mit dem bestmöglichen Schutz beschäftigen, also Doppel – Klick auf Optimal Protection:

  • - Application Table - Liste der Programme
    - Process Attack Table - Liste der verdächtigen Prozesse
    - Protocols Table - Liste der benutzten Internetprotokolle
    - System IP Table - Liste der systembedingten Prozesse

(Zu Process Attack Table, Protocols Table und System IP Table und den unteren Listen, FTP- und Mail - Client/Server, komme ich im 3. Teil)

Die Inhalte der Tables (Gruppen oder Listen), sind die Regeln der Zugriffe (von Programmen, Protokollen, Diensten, etc.) und können individuell abgerufen und bearbeitet werden. In den Tables werden die Regeln für alle netzwerkzugreifende Prozeße abgelegt und verwaltet, die wir manuell und für jeden Prozeß individuell und eindeutig erstellt haben.

Über den Regelprozess (Ruleprocess) wird eindeutig die richtige Regel für das richtige Ereignis ermittelt.

Wie funktioniert der Regelprozeß eigentlich?
Jeder Netzwerkzugriff, egal von welchem Programm, Dienst oder Prozess, ob ankommend oder abgehend, kann als (Netzwerk-) Ereignis beschrieben werden.

Die von uns gesetzten Regel im Popupfenster bezieht sich auf die Eigenschaften des Prozesses, der dieses Ereignis auslöst und auf die Eigenschaften des Ereignisses selbst. Die Eigenschaften wiederum werden beim Regelprozeß mit den Eigenschaften des aktuellen Netzwerkpakets so lange verglichen, bis diese Eigenschaften übereinstimmen..

Der Regelprozess, die Regelsuche, beginnt bei Root, das haben wir bereits gelernt.
Hier stehen die generellen Regeln des jeweiligen Modus, die dann für alle Zugriffe gelten (Any). Die Suche verläuft von oben nach unten.
Erst in den nächstfolgenden Tables werden die Zugriffe gefiltert. Die Eigenschaften des Ereignisses werden mit den Bedingungen der Regeln verglichen.
Hat ein Eintrag diese Parameter, hat die Regelsuche einen Treffer und ist beendet. Die mit der Bedingung verknüpfte Aktion wird durchgeführt.
Treffen die Bedingungen nicht zu, setzt Jetico seine Suche nun in der nächstfolgenden Gruppe fort, bis er eindeutig das Ereignis gefunden hat, daß alle Kriterien erfüllt.

Welche Parameter welchen Ereignissen zugeordnet werden, sind hier einmal aufgelistet:

Application Table (Programmliste) :


programs.jpg


  • - access to network - Zugriff auf das Netzwerk
    - inbound connection (TCP) - ankommende Verbindung (TCP)
    - outbound connection (TCP) - abgehende Verbindung (TCP)
    - listening port (TCP) - Listen Port
    - receive datagrams (UDP) - ankommende Daten
    - send datagrams (UDP) - gesendete Daten
    - listening datagrams (UDP) - Listen nach neuen Daten

Process Attack Table (Liste der verdächtigen Prozesse) :


attacker2.jpg


  • - attacker installs system-wide Windows hook – setzt einen systemweiten Hook*
    - Attacker starts application with hidden window – startet eine Anwendung in einem versteckten Fenster
    - Attacker writes to application's memory – schreibt in den Speicherplatz einer Anwendung
    - Attacker injects own code into application – schreibt einen fremden Code in eine Anwendung
    - Attacker modifies child process - modifiziert einen Kindprozess**
    - Low-level access to system memory - Zugriff zum Systemspeicher***

* Hook = ein Programmcode, der dann ausgeführt wird, wenn best. Kriterien erfüllt sind
** Kindprozess = eine Art Unterprozess einer Anwendung
*** System memory = dort legt das BS alle zur Zeit laufenden Prozesse ab

Protocols Table (Protokoll Liste) und System IP Table (Liste der systembedingten Prozesse):

protocols.jpg

  • - incoming packet - ankommender Datensatz (z.B. ein Ping)
    - outgoing packet - abgehender Datensatz

Durch die Gliederung der unterschiedlichen Ereignisse anhand ihrer Eigenschaften, haben wir 3 Grundregeln, die Jetico eindeutig die Zuweisung der Aktion (blockieren oder akzeptieren) dem entsprechenden Prozeß ermöglichen:

- Programmregeln betreffen nur Programmereignisse
- Netzwerkregeln betreffen nur Netzwerkereignisse
- Regeln für verdächtige Prozeße betreffen nur verdächtige Prozeßereignisse

Uff, hoffentlich konnten bisher alle folgen, denn ab jetzt wird’s einfacher – denke ich.

Mit Firefox zeige ich euch das oben schnell Überflogene nocheinmal:
Firefox soll ins Netz und so ich wähle zuerst die generelle Art und Weise, wie es von der FW behandelt werden soll (Zugriff erlauben).
Zur Auswahl haben wir

- Allow this activity = erlaube den generellen Zugriff
- Block this activity = verbiete den generellen Zugriff
- Handle as = behandle das Ereignis wie
- Custom (reject) * = Benutzdefiniert

*(reject (ablehnen) ist die Default Einstellung, wenn noch nichts definiert wurde)

Die Regeln sind durch eindeutige Zeichen gekennzeichnet

accept2.jpg
: dieses Ereignis wird durchgelassen
reject2.jpg
: das Ereignis darf nicht ins Netzwerk
got_to_table.jpg
: das Ereignis darf nach folgender allgemeiner Regel ins Netzwerk oder nicht.
ask2.jpg
: Frag den Benutzer
continue2.jpg
: das Ereignis wird zur nächsten Regel weitergeleitet

In dem Kästchen vor den Regel - Zeichen ist ein Haken gesetzt, wenn die Regel aktiviert ist, und keiner, wenn sie deaktiviert und übersprungen wird.
Ein schwarzes T steht für eine temporäre Regel, die nicht gespeichert wurde (das kann ein z.B. Kind - Prozeß sein) oder es fehlt der Haken im PopUp Fenster bei Remember my answer (Speicherung der Regel).
Das rote Ausrufezeichen erscheint dann, wenn ein Fehler beim Laden der Regel auftritt.
Diese Regel wird in diesem Fall nicht durchgeführt und der Fehler (meist ein Konfigurationskonflikt) sollte möglichst rasch behoben werden. Ein Fehler kann z.B. eine falsch gesetzte Regel sein.

Firefox soll wie Web Browser behandelt werden. Bestätigen und OK.

firefox2.jpg

Die Abfrage zeigt Jetico als aktives Ereignis in Form eines Lämpchens an.
Letztlich ist das alles, was wir mit unseren Programmen machen müssen.
Und hier wäre das Tutorial eigentlich schon am Ende.

Wenn es da nicht ein paar Kleinigkeiten gäbe, die wir berücksichtigen sollten.
Denn wir können, da es die eindeutigen Eigenschaften der Ereignisse gibt, der FW sagen, was sie machen soll, wenn eine bestimmte Eigenschaft zutrifft.
Der Anwendung oder dem Ereignis kann ich Unterregeln erteilen, die dann eine andere Regel bekommen.

Firefox kann nun als Web Browser ins Netz. Allerdings würde ich ihm gerne verbieten, über NetBIOS ins Netz zu gehen. Dafür benötige ich eine neue Regel, und die soll für alle Browser gelten.

Meine Schritte wären dann:

Configuration – Reiter -> Root - > Ask User -> Web Browser -> auf der rechten Seite R-Klick -> New -> Application rule

Hier wähle ich
Verdict: reject und unter
Packet parameters -> Event: access to network und bei
Protocol markiere ich NetBIOS
Alles andere kann so bleiben.
Mit OK bestätigen und eine 2. Regel für den Web Browser wurde erstellt.

webbrowser.jpg

Da wir die Regel nicht nur für den FF erstellt haben, sondern für Web Browser allgemein, gelten diese Regeln natürlich für alle Browser, sofern deren Zugriffe im Popup Fenster über Handle as … Web Browser definiert wurden.
Wenn wir einen Browser separat konfigurieren wollen, müssen wir im Application rule – Fenster unter Packet parameters -> Application: die entsprechende Anwendung
auswählen.

Mit einen R- Klick könnt ihr die Regel löschen, clonen (in eine andere Table/Gruppe), editieren oder den Text der Regel in die Zwischenablage nehmen um ihn woanders einzufügen.
Wie für den Browser funktionieren alle anderen Konfigurationen, auch für die Programme, die in der Trusted zone oder Blocked zone eingetragen wurden.
Wenn weitere Fragen auftauchen, nur zu.

Und nächste Woche kommen wir im 3. Teil zu Protokoll-, Systemprozess-, Angreifer- und FTP/Mail – Server/Client Geschichten
 
Zuletzt bearbeitet:
Nun hat es doch ein wenig länger, als angekündigt, gedauert.
Aber endlich können wir uns im 3.Teil darum kümmern, weswegen eine FW überhaupt
ihre Daseinsberechtigung hat.
Ohne euch hier zu langweilen, möchte ich hier noch auf ein paar kleine Details hinsichtlich
IP Table und der Internetprotokolle eingehen

In den beiden vorangegangenen Teilen lernten wir die verschiedenen Regeln kennen, die uns zur Verfügung stehen, wenn wir mit dem Internet allgemein oder/und wenn Programme mit dem Internet kommunizieren wollen.
Die Regeln können sehr individuell und sogar auf einzelne Pakete gesetzt werden. Das erfordert zwar eine gewisse Konfigurationszeit, aber dafür kann der User seine für ihn sicherste „Variante“ der Internetverbindung erstellen.

Wie wir bereits erfahren haben, erkennt eine Firewall die einzelnen Kommunikationspakete anhand deren spezifischen Eigenschaften.
Wenn ein Paket dieses Protokoll hat, von dieser Quelle kommt, über diesen Port mit diesem Server an dessen Port kommuniziert, muß für dieses Paket die jeweilige Regel gelten.
Die Firewall durchläuft solange die Regelkette, bis ein Treffer erfolgt, auf den die vorgeschriebenen Eigenschaften zutreffen, erst dann wird jene Regel ausgeführt (allow, reject, deny, handle as…) die diesen Eigenschaften zugewiesen wurde.
Der Firewall ist es also egal, besser – sie weiß gar nicht - ob es ein Browser, ein AntiViren -Programm, das System (z.B. ein Ping) ist, das/der gerade kommunizieren möchte. Sie sieht nur die Eigenschaften des Pakets. Wenn diese bekannt sind, wird nach Regel gehandelt, sind sie unbekannt, wird nachgefragt.

So funktioniert das natürlich auch bei evtl. Angriffen, Pingversuchen, FTP/EMail – Zugriffen und System - Prozessen.
Die Haupteigenschaften, durch die sich hier die meisten anderen Paketen unterscheiden, dürfte zum einen das Protokoll sein, zum anderen die bekannten Ports, und nur über diese, über die diese Pakete kommunizieren, sein.

Wir haben beim z.B. Ping kein TC -, sondern das ICM – Protokoll, bei FTP sind die Merkmale, neben dem File Transfer Protokoll, meist die Ports 21/22 und bei der EMail jeweils das POP3- und SMTP – Protokoll. Programme benutzen wiederum TCP
Ihr seht schon, das ist wieder ein Haufen Zeugs, von dem wir alle besser keine Ahnung haben wollen. Aber, zum Verständnis, wie Angriffe ablaufen, möchte ich kurz noch einen Abstecher zum Thema Protokolle machen.

Die Kommunikation unter den Computern findet über die sog. Protokolle statt. Protokolle sind eine Art Sprache oder die Art und Weise, wie Bits und Bytes übertragen werden. Jedes Kommunikations - Paket benutzt ein spezifisches Protokoll. Und von diesen Protokollen gibt es relativ viel: TCP/IP, POP3, ICMP, SMTP, UDP, HTTP, NetBEUI, PPPOE und, und, und…
Unsere kleine FW weiß natürlich erst einmal nicht, welches Programm über welches Protokoll welchen Zugang zum Internet sucht. Das erfährt die Firewall erst, wenn das Programm seine Verbindung aufnehmen möchte und es 3 Filter durchlaufen hat.

Was aber die FW weiß ist, daß bestimmte Pakete nur über ganz bestimmte Protokolle an ganz bestimmten Ports ausgeliefert werden. Anhand dieser Pakete erkennt die FW welches Protokoll den Zugriff auf das Netzwerk benötigt.
Mit Jetico können wir also nicht nur Zugriffe blockieren, sondern auch Protokolle, über die evtl. unerwünschte Zugriffe stattfinden können.

In der Network protocol rule - Abteilung werden alle Protokolle erfaßt und geregelt.
Hier habe ich als Bsp. das ARP (Address Resolution Protocol, wird benötigt für die Identifizierung einer IP Adresse):

arp.jpg

Der Status steht hier auf:

  • Description - Beschreibung der Regel
    Allow ARP requests - ARP Anfragen sind erlaubt, deswegen
    Verdict: accept - zulassen
    Log level is disabled - Das Loggen der Anfragen ist deaktiviert
    Packet parameters - Paketeigenschaften
    Event: any - betrifft jedes Ereignis
    Protocol: ARP - ARP Protokoll

Je nach Bedarf kann hier über einen R-Klick auf Network protocol rule eine neue Regel für ein bestimmtes Protokol gesetzt werden. Eine Auswahlliste befindet sich bei den Eigenschaften der Regel unter Packet parameters -> Protocol.

Falls ein Protokoll nicht in der Liste aufgeführt wird, sollte eine Regel in Other erstellt werden. Hier kann noch die Hexadezimalzahl beigefügt werden. jedoch bedarf es einiges KnowHow, welche Zahl für welches Protokoll gesetzt wist. Auf der IANA Home Page liegt eine recht umfangreiche Liste darüber zur Verfügung.

module.jpg

Der 2. Teil des Netzwerkpaket Filters wird, wie bereits erwähnt, in der System IP Table erfaßt und konfiguriert.

IP steht für Internet Protocol und umfasst alle „Arten“ der Bit - Übermittlung im Netz. Auch hier werden die Filter für die Pakete über ihre Eigenschaften gesetzt. Jedes Protokoll hat seine eigene - hmm, wie nennen wir Laien das? - Ausführungsschicht klingt ganz gut.
Jegliche Kommunikation, die von PC zu PC, von Netz zu Netz, im Internet ausgeführt wird, kann man in ein Schichten Modell übertragen (es nennt sich ISO/OSI). Hier wird theoretisch beschrieben, auf welcher Schicht sich die jeweilig benötigten Protokolle befinden/ausgeführt wird. Es gibt insgesamt 7 Schichten, und in jeder Schichte befinden sich unterschiedliche Protokolle.

Um euch nicht unnötig zur Langeweile zu nötigen, möchte ich hier nur grob die wichtigsten Schichten der Internetkommunikation aufzählen (Layer = Schicht):

  • Layer 3: ICMP IGMP IP IPX
    Layer 4 TCP UDP SPX
    Layer 4-7: HTTP FTP HTTPS NCP

Mithilfe der Eigenschaft der (allgemein) zugeordneten Lage der versch. Protokolle in diesen Schichten, mit den Adressen über die diese Protokolle kommunizieren, und den spezifischen Eigenschaften der Protokolle, kann Jetico nun eindeutig eine Zuordnung der einzelnen Protokolle vornehmen.

systemip.jpg

  • General IP packet parameters - Allgemeine Eigenschaften von IP Paketen
    Event - Auswahl der Senderichtung für die die Regel zutreffen soll: - ankommende Pakete - abgehende Pakete - beide Richtungen
    Protocol = Protokollart . Enthaltene Protokolle: TCP, UDP, ICMP, IGMP, OFPF, L2TP, PPTP, IP, IPIP. Partial packet (fragment) = Anzeige von gesplitteten IP Paketen TTL - IP packet's = Lebensdauer eines Paketes Checksum = Prüfsumme eines Pakets
Address parameters - Adress Eigenschaften
Das IP Filter Modul arbeitet mit Quell- und Ziel - Adressen eines Pakets gleichzeitig, dadurch können je nach Wunsch einzelne IPs, Server oder ganze Netze blockiert oder zugelassen werden:
Address type = Adresse, Art der IP Adresse any = jede Adresse, alle Adressen werden ignoriert host = gilt nur für einzelne IP Adressen (Einzel - PCs) network = IP Adresse (des Netzwerkes) + Netzwerkmaske predefined value = definierte Auswahl von lokalen Adressen und/oder lokalen Netzwerken, NameServern, Trusted oder Blocke Zone
Einschränken der Adressbereiche
Um festzulegen, welche IPs individuell gesperrt oder zugelassen werden sollen, werden hier die Eigenschaften dafür festgelegt.
Für die Quelle Source):

  • Overrride port = benutzter Port, unabhängig des AdressenPorts
    Port = PortNummer
    match inverted = Umkehr des Trefferverhaltens, z.B., die Regel trifft zu, wenn ein Port NICHT im Bereich der Portnummern 1 - 1024 liegt (da dieser Bereich reserviert ist => Well Known Ports)

Für das Ziel (Destination):

  • match inverted = Umkehr des Trefferverhaltens, wenn z.B. eine Regel trifft zu, wenn die IP Adresse KEIN NameServer ist.
    IP Address = IP Addresse (Anzeige z.B:: 217.168.84.12) Anwendbar, wenn der Adresstyp auf host oder network gesetzt wurde.
    Network mask = Netzmaske, Anzeige Bsp.: 255.255.255.0 nur verfügbar, wenn die IP Adresse einem Netzwerk gehört.
    any = Jeder Port
    exact value = genaue Portangabe
    port range = Portbereich (z.B.: 323 - 512)
    Port number = Portanzeige, verfügbar, wenn der Port oben gesetzt wurde.
    (Port) From and To = ober- oder unterhalb des oben angegebene Portbereichs.

Spezifische Eigenschaften der Protokolle Protocol specific parameters
Folgende Parameter sind nur verfügbar, wenn das Protokoll in der Regel auf TCP, UDP oder ICMP gesetzt wurde.
Zustandsgesteuerte Filterung*, gilt nur für TCP und UDP, und wird ausgeführt, wenn ein Paket zu einer berechtigten/erlaubten Netzwerk Kommunikation gehört. Jetico untersucht die TCP- und UDP Kommunikationsstatus und unterscheidet dadurch erwartete und unerwartete Pakete. (Wenn sich z.B. ein Paket eines anderes Protokolls darin befindet =z.B. bei Spoofing).

  • - TCP flags (TCP only) - TCP protocol flags sind aktuelle Status - Anzeigen der Verbindung. Anzeigen für: FIN, SYN, RST, PSH, ACK, URG, ECE, CWR**
    - ICMP type (ICMP only) - ICMP ProtokollTyp (z.B. Ping)
    - ICMP code (ICMP only) - Information über das Ergebnis des Ping (z.B.: „Host nicht erreichbar“, „echo replay“)
*
Stateful Inspection
Stateful Inspection (Zustandsgesteuerte Filterung) ist eine Methode zur Erweiterung der Funktion einer Firewall. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die Zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst. Die Firma Check Point Software Technologies Ltd. nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben (U.S. Patent # 5,606,668).
Quelle: Wikipedia

**
FIN - einseitiger Abbau einer Vebindung
SYN - Synchronisation
RST - Neustart des Verbindungaufbaus
PSH - Keine Zwischengespeicherung von Paketen
ACK - Bestätigung
URG - Urgent-Zeiger ist gültig
CWR - Congestion Window Reduced²
ECE - Explicit Congestion Notification-Echo³

² + ³ = Spezielle TCP Flags. nähere Erklärung bitte auf Anfrage. Danke
 
Zuletzt bearbeitet von einem Moderator:
Sodele,
jetzt kommen wir zu dem, weswegen eine Firewall ursprünglich entwickelt wurde - zu den verdächtigen Prozessen, die gerne Zugriff zu unseren Rechnern hätten.
Die Prozesse, die evtl. eingeschleust werden konnten, funktionieren immer nach eindeutigen Regeln, besser - nach eindeutigen Ereignissen, die sie zumindest als verdächtig einstufen..
Die 4 häufigsten Eigenschaften dieser Prozesse erkennt Jetico und kann entsprechend (nach Konfiguration) danach handeln. Malware (darunter fallen Trojaner, Würmer, Viren, Hijacker, FishingSites, bestimmte. Dialer, RootKits, und was da noch so kreucht und fleucht).
Jede dieser Anwendungen versucht mindestens einen der folgenden Prozesse:

  • • Installation und Starten einen versteckten (Web-) Browser
    • Veränderung von Programmen
    • Programmroutinen werden zum Starten von Prozessen verändert
    • Installation von globalen "hooks"
Folgende Logmeldungen werden bei einem potentiellen Angriff ausgegeben:

- Attack type - verdächtiger Vorgang, Logmeldungen

Attacker installs system-wide Windows hook - Angreifer installiert einen systemweiten WindowsHook
Windows unterstützt den sog. Hook Mechanismus. Programme oder (Start-) Prozesse können eine Hook Funktion installieren, die Systemabläufe (wie z.B. Maus- und Tastenfunktionen) übernehmen, bevor das eigentliche Programm gestartet wird.
Der Krux hier ist, daß dieser Hook von einem anderen Programm als das Zielprogramm gestartet werden muß. Windows Hooks werden von fast allen legalen Programmen (z.B. auch Spiele) und genauso vielen Trojanern benutzt. Nur benutzt die Malware nicht Mausfunktionen o. ä., sondern gedenkt eher, damit Zugriff zum Netzwerk über den Hook zu bekommen. Sobald ein von einem Trojaner gesetzter Hook sich in eine .exe - Datei implementiert hat, ist es für den Benutzer ohne Zusatzsoftware nicht mehr möglich, festzustellen, ob er von einem Trojaner infiziert ist oder nicht.

Attacker starts application with hidden window
- Angreifer startet einen Prozess in einem versteckten Fenster

Trojaner können Programme der Trusted zone starten und über dieses Programm Zugriff zum Netzwerk beklommen. Mit einem versteckten Windowsfenster kann über z.B. den Browser mit dem Internet kommunizieren.
Die Firewall informiert den User über diese Ereignisse, doch sollte berücksichtigt werden, daß Jetico alle Events, also auch erlaubte, loggt.

Attacker writes to application's memory - Angreifer schreibt in den Arbeitsspeicher eines Programmes.

Trojaner besitzen auch die Fähigkeit sich in den zugewiesenen Speicher eines erlaubten Programms ein zu schreiben. Hier ersetzt die Malware verschiedene Einträge eines Prozesse durch seine eigenen. Sobald das Programm gestartet wird, startet auch der Trojaner, als das erlaubte Programm getarnt, mit seinen jetzt aktiven Funktionen.

Attacker injects own code into application - Angreifer schreibt eigenen Code in einen bereits installierten Prozess / Programm

Wenn ein Programm abläuft, läuft es mehreren sogenannten “threads” ab.
Ein thread ist am besten vergleichbar mit einem Faden aus verschiedenen Programmaufrufen, die nacheinander abgearbeitet werden. Jeder thread verarbeitet seine Funktionen, parallel mit anderen threads oder ausführenden Dateien, im und während des Ablaufs der Programmprozesses.
Windows erlaubt sog. remote threads, irgendein Prozeß/Programm kann einen thread erzeugen, der in einem (erlaubten) Programm bestimmte Funktionen ausführen kann. Windows erkennt nur, daß das erlaubte Programm die Quelle des threads ist, also zuständig für dessen Funktionen ist. Trojaner benutzen diesen Umstand um die eigentlichen Aktivitäten und Absichten zu verstecken.

Attacker modifies child process - Angreifer verändert einen Kind - Prozess

Ein Steuerelement eines (Eltern-) Programms startet sog. Kind-Prozesse, um u. a. obg. threads zu starten. Kind Prozesse sind sehr kurzlebig, d.h., sie existieren nur solange der Befehl ausgeführt wird (um den eigentlichen thread zu starten z.B.). Der Kind-Prozess „lebt“ nur im zugewiesenen Arbeitsspeicher. Ein Trojaner kann diesen Speicherplatz überschreiben. Beim nächsten Start des Kind-Prozesses wird nicht der eigentliche Prozess, sondern der Trojaner gestartet. Vorteil für den Trojaner: Ist das Programm nicht gestartet, wird es schwierig, auch mit Zusatzsoftware, den Trojaner ausfindig zu machen.

Low-level access to system memory - Zugriff auf den Systemspeicher

Trojaner können auch Windowseigene Systemprozesse übernehmen, indem Bestandteile des physikalischen Speichers verändert werden. Dadurch kann ein Trojaner jedes beliebige Programm installieren und ausführen. Windows er-laubt diese Zugriffe generell nicht, aber trotz der Sicherheit Windows ist das nach wie vor möglich (s.a. Windows Patchday). Sobald Jetico diese Art des Angriffs entdeckt (loggt), wurde definitiv ein Trojaner entdeckt.

Attacker - ein Programm erzeugt verdächtige aktivitäten/Abläufe - Application - ein Programm arbeitet nicht mehr ordnungsgemäß.
Einige Angriffe, z.B. eine hook - Installation, beeinflußt andere Programme. In diesem Fall kann die erteilte Regel für das Programm nicht mehr ausgeführt werden.
Zu guter Letzt noch ein kleiner Überblick über die FTP-, EMail- Server/Client Konfiguration bei Jetico.

ftp_server.jpg

Hier können alle Einstellungen, alle sicherheitsrelevante Konfigurationen komplett vorgenommen werden. Einen Umweg über die Trusted oder Blocked Zone ist nicht mehr notwendig.

Um nun eine neue Regel zu erstellen, gehen wir folgende Schritte durch:
1. Im Jetico Explorer wählen wir den Tab Configuration
2. markieren die gewünschte Liste auf der linken Seite, in der die neue Regel erstellt werden soll.
3. R-Click auf die markierte Liste -> Insert ins auswählen (oder im rechten Fenster mit R-Click -> New -> Auswahl der Regel
4. Regel erstellen und bestätigen

Ändern, Verschieben, Clonen. Löschen der Regel können wir dann auch anschließend über einen R-Click auf die Regel über den entsprechenden Befehl im Kontextmenü.
 
Zuletzt bearbeitet:
Jetico hat übrigens im Firewall-Leaktest den ersten Platz belegt.
Mit arcanoas Tutorial fällt es nicht englischsprechenden Nutzern jetzt vielleicht ein wenig leichter, dem Programm eine Chance zu geben.

Klasse geschrieben!

Gruß

Jensus
 
Vielen Dank für Deine gute Anleitung!

arcanoa schrieb:
Da es offenbar bisher noch keine dt. Anleitung zur Konfiguration der Firewall Jetico gibt,
und das Programm selber, zumindest in der Beta - Phase, noch kein Multilanguage besitzt,
Dieses Problem dürfte hoffentlich bald behoben sein. Zumindest bietet die Jetico Personal Firewall v.2 beta die Voraussetzungen dafür:

Changelog für v.2 beta schrieb:
Language file support for easy localization. All translatable words and phrases are taken from single UTF-8 encoded text file.
 
Danke für Deine Mühe und Ausdauer.
Werde jetzt alles in Ruhe durcharbeiten und freue mich auf den 2.Teil.

Gruß Jörg
 
Eine Frage habe ich aber: Was macht die Jetico besser als die Kerio? Und wie funktioniert das mit diesem Levels?

Wäre nett wenn das mal Grob einer erläutern würde :)

Grüße
 
Zur Zeit schreibe ich den 2. Teil des Tutorials, den ich hoffentlich bis morgen Online setzen möchte.
Dort gehe ich auf die komplette Regelverwaltung und Zuordnungen ein.

Was meinst du mit "Level"? Die verschiedenen "zones" oder der Modus in dem Jetico betrieben werden kann?

Auch darauf gehe ich im 2. Teil genauer ein.

Was macht Jetico besser als Kerio?

Kurz gesagt: die Abarbeitung der Regeln.
Während Kerio die komplette Sammlung von Ereignisparametern den Regeln gegenüberstellen muß,
ordne ich bei Jetico die Regeln in den verschiedenen "zones" zu und kann diese programmspezifisch konfigurieren.
Kerio kann, bei komplexeren Regelstrukturen, zu Systemleistungseinbußen und Fehleinstellungen führen, das wird bei Jetico, wg. oben, vermieden.
Außerdem gibt Jetico die Möglichkeit, Netz - Zugriffe/Ereignisse im Detail zu steuern.
Zu guter Letzt ist Jetico im optischen Aufbau viel klarer und detaillierter strukturiert als Kerio, die Einstellungsmöglichkeiten sind hier gewaltigt.
 
Zuletzt bearbeitet:
Also die Beschreibung der FW mit Hilfe von Alice, dem Buttler und der nervenden Töle find ich einfach klasse (y)
 
Also wenn jetico so aussieht und arbeitet, ist es eindeutig die Weiterentwicklung von
Look'N'Stop - da wurden Regeln auch so mit ähnlichen Symbolen gekennzeichnet.
Lediglich die Hierarchie und Regelerstellung sieht anders aus.
Wenn es die jetzt noch in deutsch gäbe...
 
arcanoa, der neue Firewall-Gott!
Hat es Spaß gemacht, sich dermassen in die Materie einzuarbeiten?

Es hat sich auf jeden Fall gelohnt!

Gruß
Jensus
 
@Jensus,

wenn ich doch nur kapiert hätte, was ich da texte.
Quatsch! :D
Doch, es macht mir Spaß, zumal mich das schon immer interessiert hat.
Jetico ist ein kleines Paradebeispiel dafür, wie eben FWs funktionieren, auch unter Unix.

@mdg-webmaster,

mach dir doch keinen Kopf wegen der Shareware. OK, sie wird hoffentlich Multilanguage sein,
aber insgesamt ändert sich bei der Konfiguration so gut wie nichts.
Mit ein bißchen Engl. und hoffentlich meinem Tut kann
bei der Konfig dann bestimmt nichts mehr schiefgehen.

Für Fragen bin ich immer gerne da. :)
 
Hallo,
danke für die ausführliche Anleitung. Ich habe Jetico kurz nach dem 2ten Teil ;) erstmal zur Probe auf einer Partition ohne Internet installiert, um zu sehen, wie sich das Programm verhält.
Doch schon dort wurde ich bei jedem Pups gefragt, ob ich der Windows-Komponente XY einen Zugriff erlauben will. Könnnte vielleicht jemand beschreiben, welche Systemdienste konkret man wie behandeln soll?

Wahrscheinlich hab ich alles falsch verstanden :).
 
Hoffentlich nicht.

Also, ich behandle die Systemdienste wie normale Programme:
Erst alle, außer Svchost.exe und Lsass.exe, denen man besser einen anderen Port gibt, blockieren und den/die Browser zulassen.
Dann nacheinander die blockieren, die raus wollen.

Unterschiede gibt es aber in jedem Rechner, weil sich z.B. manche Programme
(auch Chat- oder Downloadprogramme) als Windows - Dienste in die Registrierung eintragen.
So würde ich auch das Autoupdate von AntiViren - Scannern, wenn schon vorhanden,
durchlassen. Den IE hingegen komplett sperren.

Allerdings habe ich den automatischen Updatedienst von Windows deaktiviert,
ebenso ein paar weitere, die evtl. andere Benutzer unbedingt brauchen.

Welche Dienste bei dir auf das INet zugreifen dürfen ,weiß ich natürlich nicht.

Sollten Dienste den Zugang zum Netz benötigen (Netzwerk, P2P) kommt
spätestens beim Aufruf des betroffenen Dienstes die entsprechende Fehlermeldung.
 
@arcona: Danke für die Anleitung. Habe mich jetzt auch für die jetico entschieden. Und deine Mühen werden sogar von Jetico selbst gewürdigt:

Brief guide to Jetico Personal Firewall v1 in German is available on Supernature-Forum. We thank the guide author and forum staff for providing this guide.

Ist das nicht schön (y)
 
Oben