[Firewall] Jetico - eine kleine Anleitung

[Franz]

Da es offenbar bisher noch keine dt. Anleitung zur Konfiguration der Firewall Jetico gibt,
und das Programm selber, zumindest in der Beta - Phase, noch kein Multilanguage besitzt,
kann ein kleines Tutorial über die Einstellungsmöglichkeiten und Regelwerk der FW in dt. Sprache
den Jetico - Nutzern hoffentlich hilfreich sein.

Übrigens gibt es das Tutorial auch als PDF - Datei (ca. 1 MB).

Zuerst widme ich mich ich der Übersetzung der Begriffe, Anzeigen und Funktionen der Firewall.
Dann arbeiten wir uns durch die Regel - Konfiguration manuell und mittels Wizard durch,
denn so, denke ich, lernen wir am besten den Aufbau und Wirkung der Optimal Protection.

Bevor ich anfange, möchte ich kurz auf die Installationsroutine von Jetico eingehen:

Nachdem man den Willkommensbildschirm, die AGB und den Installationspfad bestätigt hat, wird gefragt, ob - noch vor dem Neustart des PC - der Konfigurationsmanager von Jetico gestartet werden soll.
Wir bestätigen das mit dem Haken und schon kann's losgehen.
Für das Willkommensschildchen bedanken wir uns mit dem "Weiter" - Button.

Zu Beginn sollten die beiden Hauptzonen für die Firewall bekannt gegeben werden, in der sich der PC aufhält.
Die Trusted zone und Blocked zone stehen hier für die generelle Zugriffmöglichkeit auf und von (entfernten) Computer, Domain, Netzwerk und Router.

Zunächst können wir die Trusted zone - den vertrauenswürdigen Bereich - festlegen, in dem der PC
erst einmal uneingeschränkt mit evtl. anderen vorhandenen PCs/Router kommunizieren darf. Jetico bietet hier eine Defaulteinstellung an.
In der Hilfe von Jetico wird auf die verschiedenen Möglichkeiten der Schreibweise von IP Adressen eingegangen
(unter Using Jetico Firewall -> Configuration Wizard - setting Trusted and Blocked zones).

Je nach PC- Standort (z.B., in einer Domäne) (Computer Name), in einem Netzwerk oder hinter einem Router (Network address) oder nur zu einem PC (z.B. FTP) (Single IP address) tragen wir die jeweiligen bekannten IP Adressen ein, zu denen der PC ein Vertrauensverhältnis hat.
Jetico gibt, falls vorhanden, die IP Adressen (z.B. die interne IP des Routers) an, die er "gefunden" hat.
Mit Add (hinzufügen), Remove (entfernen) und Edit (bearbeiten) können hier die IPs angeglichen werden.

Nachdem wir auf "weiter" geklickt haben, das Ganze nochmal für die Blocked zone.

Nur werden hier die IP Adressen gesetzt (z.B. von entfernen Servern), mit denen der PC nicht kommunizieren soll.

Natürlich können später im Programm jederzeit die Zonen bearbeitet werden:
Start -> Programme -> Jetico Personal Firewall -> Configuration Wizard

Nach dem Neustart des PCs kommt jetzt das Feintuning.
Und hier meldet sich schon die erste Abfrage der FW, da sie im Default Modus, besser im Lernmodus, ist.

Bevor wir zu den detaillierten Einstellungen und Regeln kommen, vorweg der optische Aufbau von Jetico:

Mit einem Doppelclick auf das Icon im Systray öffnen wir das Programmfenster.

Inhalt des Hauptmenüs:

1. Die Menüleiste und Toolbar:

• File
  
  Open – öffnet abgespeicherte Sicherheitsrichtlinien
  Save – speichert geänderte Richtlinien
  Save as – speichert ein neues Sicherheitsprofil ab
  Revert to factory settings – setzt alle Einstellungen zurück (auf Default)
  Reload – aktualisiert die Konfiguration
  Exit – schließt das Programmfenster ohne abspeichern
  Shutdown firewall – deaktiviert die Firewall

• View
  
  Refresh – aktualisiert das aktuelle Tab
  Best fit – scaliert im aktuellen Tab den Inhalt auf die Fenstergröße
  Auto Best fit – automatische Scalierung
  Toolbar – Toolbar anzeigen ja/nein
  Status bar - Stausanzeige anzeige ja/nein

• Options
  
  General – zeigt die Allgemeinen Einstellungen an
  Module – zeigt die geladenen Module/Filter an
  Log – zeigt die Größe des Logfiles an

• Help
  Contents - Hilfe
  About - Info über Jetico

In der Toolbar werden über Icons die häufig benutzten Werkzeuge aufgerufen.

• Policy
  Optimal Protection - bestmöglicher Schutz (Lernmodus)
  Allow all - Alles erlauben
  Block all - Alles blockieren

Der Modus, in dem die Firewall betrieben wird. Default ist Optimal Protection

Die Reiter/Anzeigen:

Traffic Monitor

Hier wird der gesamte (Incoming / Outgoing) Netzwerkverkehr in Echtzeit aufgenommen.
Das obere Fenster zeigt den eingehenden, das untere den abgehenden Verkehr an.
Grün sind erlaubte Prozesse und rot die geblockten.
Ganz unten kann der genaue, aktuelle Verkehr (in Bytes und Paketen) abgelesen werden.

Applications

gibt eine Übersicht über die Programme, die mit anderen PCs kommunizieren (und Zugriff auf das Internet haben) dürfen.
Alle Programme und Prozesse (z.B. Dienste) werden hier detailliert gelistet und verwaltet.
Über Rechtsklick auf ein gewähltes Programm können folgende Befehle ausgeführt werden:

• Properties - ruft das Eigenschaftenfenster des Programms auf.
  Copy text (Collapse)[/i] - Unterprozesse der Anwendungen ja/nein (+ -)
  Terminate process - beendet einen gewählten Prozesß

Bei den Applications werden folgende Informationen aufgelistet:

• Application - Programme
  Process ID - interne Prozeßnummer
  Description - Beschreibung des Programms oder Dienstes
  Version - Versionsnummer des Programms
  Vendor - Hersteller
  Connections - aktive Verbindungen
  Sent - gesendete Pakete
  Received - empfangene Pakete
  Local address - lokale Adresse
  Local port - lokaler Port
  Remote address - Zieladresse
  Remote port - Ziel Port

Log

Der dritte Reiter listet das Log über sämtliche Aktivitäten (rein und raus), die Zugriff auf das Netzwerk haben, namentlich auf.
Zu den einzelnen Fenstern kommen wir aber später.

Anzeigen im Log:

• Time - Zeitstempel des Zugriffes
  Action - Verhalten der Firewall zu diesem Ereignis
  Description - Beschreibung des Zugriffes
  Size - Größe der gesendeten/empfangenen Daten
  Protocol - Art des Internet Protokolls
  Event - Art des Ereignisses
  Attacker - Anzeige der Adresse (IP) eines Angreifers oder den Namen des Prozeßes, der potentiell gefährlich ist (Spyware, Trojaner z.B.)
  Source address - Herkunftsadresse des Netzpakets
  Destination address - Zieladresse des Netzpakets
  Source port - Ausgangs Port des Pakets (TCP und UDP)
  Destination port - Ziel Port des Pakets (TCP und UDP)
  Application - Aktive Anwendungen
  Local address - Lokale Netzwerkadresse
  Remote address - Remote Adresse
  Local port - Lokaler Port
  Remote port - Remote Port
  Misc - alles was in die anderen Punkten nicht hineingehört.

Im Kontextmenü finden wir:

• Copy text - kopiert den markierten Text in die Zwischenablage
  Autoscroll (checkable) - wenn Autoscroll aktiviert wird, springt der Cursor nach einer Aktualisierung zum aktuellen/letzten Logeintrag.
  Deaktiviert, bleibt die Log - Anzeige nach einer Aktualisierung wo sie ist.
  Clear log window - löscht alle aktuellen (nicht gespeicherten) Logeinträge
  Default log (checkable) - Aktiviert: der Inhalt des aktiven Logs wird angezeigt
  Select log file - Auswahl und Anzeige einer abgespeicherten Logdatei. Wird der aktuelle Log abgespeichert, wird die ausgewählte Datei an diesen angehängt.

Configuration

Wenn wir jetzt auf den Reiter "Configuration" klicken, sehen wir zunächst auf der linken Browserseite die 3 Hauptrichtlinien: "Optimal Protection", "Allow all" und "Block all".

In der "Optimal Protection" (optimaler Schutz) haben wir den "Root" (das ist die erste, allgemeine Regel und der Anfangspunkt des Regelprozesses) mit den verschiedenen "Tables" (Regeltabellen). Hier werden die Regeln für alle laufenden Prozesse abgelegt, die wir bereits entsprechend erstellt hatten.
Bei "Allow all" und "Block all" haben wir entweder uneingeschränkten oder gar keinen Zugang zum Netzwerk. Hier können IPs, Programme oder Dienste als Ausnahme stehen.

Wenn wir im linken Fenster einen R-Click auf eine der Hauptrichtlinien ("Optimal Protection", "Allow all" und "Block all") machen, haben wir im Kontextmenü folgende Bearbeitungsmöglichkeiten:

• Insert table Ins - erstellt eine neue Regeltabelle
  Rename - gibt der Tabelle/Regel einen anderen Namen
  Delete - löscht die Tabelle
  Flat View - zeigt nur die Haupttabelle
  Expand - zeigt die Einzeltabellen

Im rechten Browserfenster sind die einzelnen Regeln und die daraus resultierende Aktion der Firewall aufgelistet.
Hier können wir via Kontextmenü alle Regeln bearbeiten:

• Properties - Eigenschaften des Programms/Ereignisses
  Copy text - kopiert den Text in die Zwischenablage
  Edit - hier kann die Regel bearbeitet werden
  Clone - kopiert eine Regel
  New > - ruft das Untermenü zum Festlegen, welche Art von neuen Regeln erstellt werden soll, auf.
  Delete - löscht die komplette Regel
  Jump to ... - springt zur jeweiligen Untertabelle, der die Regel zugeordnet wurde.

Die Anzeige im rechten Browserfenster:

• Activity - Zustand des Ereignisses (aktiv/inaktiv)
  Action - Verhalten der Firewall
  Description - Regelbeschreibung
  Log level - Regel Log Stufe
  Size - Dateigröße des Pakets
  Protocol - welches Internet Protokoll benutzt wird
  Event - Ereigniseigenschaft, welche Art von Zugriff
  Attacker - Adresse eines Angreifers
  Source address - Ursprungsadresse (oder Pfad) des Pakets
  Destination address - Zielort/Adresse des Pakets
  Source port - benutzter Port des Pakets (nur bei TCP/UDP)
  Destination port - Ziel Port des Pakets (nur bei TCP/UDP)
  Application - Programm oder Dienst, das die Netzwerkaktivität ausgelöst hat
  Local address - Lokale Adresse
  Remote address - Remote Adresse
  Local port - lokaler Port
  Remote port - Ziel Port
  Misc - alles, was die anderen Listen nicht abdecken (Hash - Anzeige)

Wie nun genau die "Optimal Protection" erreicht wird, erfahren wir im 2.Teil.

[Franz]

Die Filterregeln

Zuvor möchte ich darauf hinweisen, daß die Programmentwickler von Jetico die neue Version multilingual anbieten möchten. Wie die verschiedenen engl. Begriffe letztlich übersetzt werden, weiß ich nicht. Deswegen kann es (in der neuen Vers.) zu Unterschieden in der Bezeichnung kommen.

Jetico bietet uns geneigten Surfern die beste Möglichkeit, einen Einblick in die Arbeitsweise einer FW zu bekommen, allerdings mit einem Unterschied zu allen anderen FWs:
Jetico sortiert die erstellten Regeln in Listen/Gruppen (Tables) und weist diese einer bestimmten Eigenschaft eines Prozeßes zu.

Wie ihr sicher schon alle bemerkt habt, führt Jetico nach der Installation ein Popup aus, wenn ein Programm, Prozeß oder Dienst Zugriff auf das Netz haben möchte:

Der Grund liegt vor allem in der Optimal Protection, die erreicht werden soll.
Oben erfuhren wir, daß dies unsere Hauptschaltzentrale und gleichzeitig unser Ziel (bester Schutz) ist.
Um die Arbeitsweise der FWs besser zu verstehen, möchte ich euch ein kleines Bsp. geben:

Stellt euch vor, es klingelt an der Haustüre.
Unser Butler schaut durch den Türspion und sieht Alice von nebenan. Sie will auf eine Tasse Kaffee bei uns vorbeischauen und bringt neben lecker Süßem, einen Vierbeiner mit, den wir nicht mögen. Aber Alice mit lecker Süßem soll natürlich unbedingt herein.
Der Butler weiß nicht, was er tun soll, also fragt er uns danach. Und damit er auch behalten kann, wer rein darf und wer nicht, schreiben wir kurzerhand eine Regel auf. Die soll er dann immer verwenden, wenn’s klingelt.
Jetzt könnte natürlich in der Regel stehen:
Aufmachen, wenn Alice vor der Türe steht und sie hineinlassen, ebenso Süßes, aber Vierbeiner bleiben draußen.
Kurze Ansage, paßt.

Leider nicht ganz, denn Alice kann jede Nachbarin heißen, Süßes kann Kuchen sein oder nicht und Vierbeiner können auch Katzen sein.
Also braucht der Butler mehr Details. Und die bekommt er in Form von Eigenschaften mitgeteilt. Und so könnte dann die 1. Regel lauten:

Reinlassen (Inbound):

Wenn es klingelt, dann
- fragen
- Alice, wenn sie von nebenan ist, akzeptieren,
- Süßes, wenn es Kuchen ist, akzeptieren
- den Vierbeiner, wenn es ein Hund ist, blockieren

Das wäre nun die Regelentscheidung (Verdict (Urteil)) für 4 Ereignisse, die der Butler immer befolgen soll. Anhand der verschiedenen Eigenschaften kann er eindeutig entsprechend der regelentscheidung handeln..

Der Nachmittag ist vorbei, mit Alice haben wir nett geplauscht und die letzten Urlaubsbilder durchstöbert. Jetzt will Alice gehen. Aber:
der lecker Kuchen soll unbedingt da bleiben!
Der Butler weiß davon nichts, also müssen wir ihm das mitteilen:

Rauslassen (Outbound):

Wenn Alice gehen will, dann

- fragen, dann
- Alice akzeptieren und rauslassen
- aber den lecker Kuchen blockieren

Das sind nochmals 3 Regeln, weil es in die andere Richtung geht.
Mit den Inbound - Regeln von oben sind das 7 Regeln für 7 Ereignisse.

Ereignis -> beim 1. Mal: nachfragen -> Eigenschaften (Parameter) vergleichen -> bei Übereinstimmung -> Regel ausführen

Zusammenfassend steht dann auf dem Zettel für den Butler:

Wenn es klingelt und Alice von nebenan steht vor der Tür, dann darf Alice rein und raus, der lecker Kuchen darf zwar rein aber nicht mehr raus und der Vierbeiner darf überhaupt nicht rein, weil er ein Hund ist.

Wie ihr seht, haben wir die Regel (oder das Urteil) für den Butler über die Eigenschaften von Alice, dem Kuchen und dem Hund festgelegt:
Alice darf alles, weil sie nebenan wohnt, das Süße muß dableiben, weil es Kuchen ist und der Vierbeiner bleibt draußen, weil es Hund ist.

Der Butler vergleicht unsere Bedingungen für Alice, Süßem und Vierbeiner mit den Eigenschaften der Personen/Objekte, die draußen vor der Türe stehen. Und wenn die Bedingungen für die Eigenschaften zutreffen, handelt der Butler entsprechend unseren Wünschen, nämlich die Person oder das Objekt durchlassen oder nicht.

So, zumindest grundsätzlich, funktioniert eine FW.

Regeln bestehen immer aus 2 Teilen: die Bedingung und die Handlung
Wenn A zutrifft ist, muß B ausgeführt werden.

Bedingung (Condition) sind die Eigenschaften, die ein Ereignis identifizieren und die Handlung (Action) ist die Folge, die aus dieser Bedingung resultiert.

Die Befehle für die Handlung sind in Jetico:

- ask - nachfragen
- accept - durchlassen
- reject - blockieren/ablehnen
- go to table - eine andere, schon vorhandene Regel aufrufen und nach dieser handeln
- continue - das Ereignis wird zur nächsten, folgenden Regel weitergeleitet

Wir klicken jetzt auf den Reiter Configuration (übrigens, wir sind wieder bei der Firewall, nicht bei Alice), dann sehen wir zunächst oben in der Menüleiste und auf der linken Browserseite die 3 Hauptrichtlinien: Optimal Protection, Allow all und Block all.
Das sind die verschieden Modi, in die die Firewall generell versetzt werden kann. Ändern wir den Modus, muß die Änderung gesondert bestätigt werden (Apply Button).
In Jetico wird der aktive Modus als Active Security Policy angezeigt.
Default bei Jetico ist der Lernmodus, die Optimal Protection und alle Ports sind geschlossen, d.h., alle Ereignisse, die Netzwerkzugriff haben möchten, müssen “nachfragen“. Alle?
Nicht ganz, einige Systemkomponenten haben immer Zugang zum Netzwerk, denn ohne diese wäre eine Kommunikation nicht möglich und jede FW überflüssig. Jetico erlaubt diesen Prozessen und Diensten den Zugang, außer wir sind im Block All - Modus.
Welche Prozesse das im Einzelnen sind, ist hier erstmal sekundär und würde sicher den Rahmen des Tuts sprengen.

Wir wollen uns aber hauptsächlich mit dem bestmöglichen Schutz beschäftigen, also Doppel – Klick auf Optimal Protection:

• - Application Table - Liste der Programme
  - Process Attack Table - Liste der verdächtigen Prozesse
  - Protocols Table - Liste der benutzten Internetprotokolle
  - System IP Table - Liste der systembedingten Prozesse

(Zu Process Attack Table, Protocols Table und System IP Table und den unteren Listen, FTP- und Mail - Client/Server, komme ich im 3. Teil)

Die Inhalte der Tables (Gruppen oder Listen), sind die Regeln der Zugriffe (von Programmen, Protokollen, Diensten, etc.) und können individuell abgerufen und bearbeitet werden. In den Tables werden die Regeln für alle netzwerkzugreifende Prozeße abgelegt und verwaltet, die wir manuell und für jeden Prozeß individuell und eindeutig erstellt haben.

Über den Regelprozess (Ruleprocess) wird eindeutig die richtige Regel für das richtige Ereignis ermittelt.

Wie funktioniert der Regelprozeß eigentlich?
Jeder Netzwerkzugriff, egal von welchem Programm, Dienst oder Prozess, ob ankommend oder abgehend, kann als (Netzwerk-) Ereignis beschrieben werden.

Die von uns gesetzten Regel im Popupfenster bezieht sich auf die Eigenschaften des Prozesses, der dieses Ereignis auslöst und auf die Eigenschaften des Ereignisses selbst. Die Eigenschaften wiederum werden beim Regelprozeß mit den Eigenschaften des aktuellen Netzwerkpakets so lange verglichen, bis diese Eigenschaften übereinstimmen..

Der Regelprozess, die Regelsuche, beginnt bei Root, das haben wir bereits gelernt.
Hier stehen die generellen Regeln des jeweiligen Modus, die dann für alle Zugriffe gelten (Any). Die Suche verläuft von oben nach unten.
Erst in den nächstfolgenden Tables werden die Zugriffe gefiltert. Die Eigenschaften des Ereignisses werden mit den Bedingungen der Regeln verglichen.
Hat ein Eintrag diese Parameter, hat die Regelsuche einen Treffer und ist beendet. Die mit der Bedingung verknüpfte Aktion wird durchgeführt.
Treffen die Bedingungen nicht zu, setzt Jetico seine Suche nun in der nächstfolgenden Gruppe fort, bis er eindeutig das Ereignis gefunden hat, daß alle Kriterien erfüllt.

Welche Parameter welchen Ereignissen zugeordnet werden, sind hier einmal aufgelistet:

Application Table (Programmliste) :

• - access to network - Zugriff auf das Netzwerk
  - inbound connection (TCP) - ankommende Verbindung (TCP)
  - outbound connection (TCP) - abgehende Verbindung (TCP)
  - listening port (TCP) - Listen Port
  - receive datagrams (UDP) - ankommende Daten
  - send datagrams (UDP) - gesendete Daten
  - listening datagrams (UDP) - Listen nach neuen Daten

Process Attack Table (Liste der verdächtigen Prozesse) :

• - attacker installs system-wide Windows hook – setzt einen systemweiten Hook*
  - Attacker starts application with hidden window – startet eine Anwendung in einem versteckten Fenster
  - Attacker writes to application's memory – schreibt in den Speicherplatz einer Anwendung
  - Attacker injects own code into application – schreibt einen fremden Code in eine Anwendung
  - Attacker modifies child process - modifiziert einen Kindprozess**
  - Low-level access to system memory - Zugriff zum Systemspeicher***

* Hook = ein Programmcode, der dann ausgeführt wird, wenn best. Kriterien erfüllt sind
** Kindprozess = eine Art Unterprozess einer Anwendung
*** System memory = dort legt das BS alle zur Zeit laufenden Prozesse ab

Protocols Table (Protokoll Liste) und System IP Table (Liste der systembedingten Prozesse):

• - incoming packet - ankommender Datensatz (z.B. ein Ping)
  - outgoing packet - abgehender Datensatz

Durch die Gliederung der unterschiedlichen Ereignisse anhand ihrer Eigenschaften, haben wir 3 Grundregeln, die Jetico eindeutig die Zuweisung der Aktion (blockieren oder akzeptieren) dem entsprechenden Prozeß ermöglichen:

- Programmregeln betreffen nur Programmereignisse
- Netzwerkregeln betreffen nur Netzwerkereignisse
- Regeln für verdächtige Prozeße betreffen nur verdächtige Prozeßereignisse

Uff, hoffentlich konnten bisher alle folgen, denn ab jetzt wird’s einfacher – denke ich.

Mit Firefox zeige ich euch das oben schnell Überflogene nocheinmal:
Firefox soll ins Netz und so ich wähle zuerst die generelle Art und Weise, wie es von der FW behandelt werden soll (Zugriff erlauben).
Zur Auswahl haben wir

- Allow this activity = erlaube den generellen Zugriff
- Block this activity = verbiete den generellen Zugriff
- Handle as = behandle das Ereignis wie
- Custom (reject) * = Benutzdefiniert

*(reject (ablehnen) ist die Default Einstellung, wenn noch nichts definiert wurde)

Die Regeln sind durch eindeutige Zeichen gekennzeichnet

: dieses Ereignis wird durchgelassen
: das Ereignis darf nicht ins Netzwerk
: das Ereignis darf nach folgender allgemeiner Regel ins Netzwerk oder nicht.
: Frag den Benutzer
: das Ereignis wird zur nächsten Regel weitergeleitet

In dem Kästchen vor den Regel - Zeichen ist ein Haken gesetzt, wenn die Regel aktiviert ist, und keiner, wenn sie deaktiviert und übersprungen wird.
Ein schwarzes T steht für eine temporäre Regel, die nicht gespeichert wurde (das kann ein z.B. Kind - Prozeß sein) oder es fehlt der Haken im PopUp Fenster bei Remember my answer (Speicherung der Regel).
Das rote Ausrufezeichen erscheint dann, wenn ein Fehler beim Laden der Regel auftritt.
Diese Regel wird in diesem Fall nicht durchgeführt und der Fehler (meist ein Konfigurationskonflikt) sollte möglichst rasch behoben werden. Ein Fehler kann z.B. eine falsch gesetzte Regel sein.

Firefox soll wie Web Browser behandelt werden. Bestätigen und OK.

Die Abfrage zeigt Jetico als aktives Ereignis in Form eines Lämpchens an.
Letztlich ist das alles, was wir mit unseren Programmen machen müssen.
Und hier wäre das Tutorial eigentlich schon am Ende.

Wenn es da nicht ein paar Kleinigkeiten gäbe, die wir berücksichtigen sollten.
Denn wir können, da es die eindeutigen Eigenschaften der Ereignisse gibt, der FW sagen, was sie machen soll, wenn eine bestimmte Eigenschaft zutrifft.
Der Anwendung oder dem Ereignis kann ich Unterregeln erteilen, die dann eine andere Regel bekommen.

Firefox kann nun als Web Browser ins Netz. Allerdings würde ich ihm gerne verbieten, über NetBIOS ins Netz zu gehen. Dafür benötige ich eine neue Regel, und die soll für alle Browser gelten.

Meine Schritte wären dann:

Configuration – Reiter -> Root - > Ask User -> Web Browser -> auf der rechten Seite R-Klick -> New -> Application rule

Hier wähle ich
Verdict: reject und unter
Packet parameters -> Event: access to network und bei
Protocol markiere ich NetBIOS
Alles andere kann so bleiben.
Mit OK bestätigen und eine 2. Regel für den Web Browser wurde erstellt.

Da wir die Regel nicht nur für den FF erstellt haben, sondern für Web Browser allgemein, gelten diese Regeln natürlich für alle Browser, sofern deren Zugriffe im Popup Fenster über Handle as … Web Browser definiert wurden.
Wenn wir einen Browser separat konfigurieren wollen, müssen wir im Application rule – Fenster unter Packet parameters -> Application: die entsprechende Anwendung
auswählen.

Mit einen R- Klick könnt ihr die Regel löschen, clonen (in eine andere Table/Gruppe), editieren oder den Text der Regel in die Zwischenablage nehmen um ihn woanders einzufügen.
Wie für den Browser funktionieren alle anderen Konfigurationen, auch für die Programme, die in der Trusted zone oder Blocked zone eingetragen wurden.
Wenn weitere Fragen auftauchen, nur zu.

Und nächste Woche kommen wir im 3. Teil zu Protokoll-, Systemprozess-, Angreifer- und FTP/Mail – Server/Client Geschichten

[Franz]

Nun hat es doch ein wenig länger, als angekündigt, gedauert.
Aber endlich können wir uns im 3.Teil darum kümmern, weswegen eine FW überhaupt
ihre Daseinsberechtigung hat.
Ohne euch hier zu langweilen, möchte ich hier noch auf ein paar kleine Details hinsichtlich
IP Table und der Internetprotokolle eingehen

In den beiden vorangegangenen Teilen lernten wir die verschiedenen Regeln kennen, die uns zur Verfügung stehen, wenn wir mit dem Internet allgemein oder/und wenn Programme mit dem Internet kommunizieren wollen.
Die Regeln können sehr individuell und sogar auf einzelne Pakete gesetzt werden. Das erfordert zwar eine gewisse Konfigurationszeit, aber dafür kann der User seine für ihn sicherste „Variante“ der Internetverbindung erstellen.

Wie wir bereits erfahren haben, erkennt eine Firewall die einzelnen Kommunikationspakete anhand deren spezifischen Eigenschaften.
Wenn ein Paket dieses Protokoll hat, von dieser Quelle kommt, über diesen Port mit diesem Server an dessen Port kommuniziert, muß für dieses Paket die jeweilige Regel gelten.
Die Firewall durchläuft solange die Regelkette, bis ein Treffer erfolgt, auf den die vorgeschriebenen Eigenschaften zutreffen, erst dann wird jene Regel ausgeführt (allow, reject, deny, handle as…) die diesen Eigenschaften zugewiesen wurde.
Der Firewall ist es also egal, besser – sie weiß gar nicht - ob es ein Browser, ein AntiViren -Programm, das System (z.B. ein Ping) ist, das/der gerade kommunizieren möchte. Sie sieht nur die Eigenschaften des Pakets. Wenn diese bekannt sind, wird nach Regel gehandelt, sind sie unbekannt, wird nachgefragt.

So funktioniert das natürlich auch bei evtl. Angriffen, Pingversuchen, FTP/EMail – Zugriffen und System - Prozessen.
Die Haupteigenschaften, durch die sich hier die meisten anderen Paketen unterscheiden, dürfte zum einen das Protokoll sein, zum anderen die bekannten Ports, und nur über diese, über die diese Pakete kommunizieren, sein.

Wir haben beim z.B. Ping kein TC -, sondern das ICM – Protokoll, bei FTP sind die Merkmale, neben dem File Transfer Protokoll, meist die Ports 21/22 und bei der EMail jeweils das POP3- und SMTP – Protokoll. Programme benutzen wiederum TCP
Ihr seht schon, das ist wieder ein Haufen Zeugs, von dem wir alle besser keine Ahnung haben wollen. Aber, zum Verständnis, wie Angriffe ablaufen, möchte ich kurz noch einen Abstecher zum Thema Protokolle machen.

Die Kommunikation unter den Computern findet über die sog. Protokolle statt. Protokolle sind eine Art Sprache oder die Art und Weise, wie Bits und Bytes übertragen werden. Jedes Kommunikations - Paket benutzt ein spezifisches Protokoll. Und von diesen Protokollen gibt es relativ viel: TCP/IP, POP3, ICMP, SMTP, UDP, HTTP, NetBEUI, PPPOE und, und, und…
Unsere kleine FW weiß natürlich erst einmal nicht, welches Programm über welches Protokoll welchen Zugang zum Internet sucht. Das erfährt die Firewall erst, wenn das Programm seine Verbindung aufnehmen möchte und es 3 Filter durchlaufen hat.

Was aber die FW weiß ist, daß bestimmte Pakete nur über ganz bestimmte Protokolle an ganz bestimmten Ports ausgeliefert werden. Anhand dieser Pakete erkennt die FW welches Protokoll den Zugriff auf das Netzwerk benötigt.
Mit Jetico können wir also nicht nur Zugriffe blockieren, sondern auch Protokolle, über die evtl. unerwünschte Zugriffe stattfinden können.

In der Network protocol rule - Abteilung werden alle Protokolle erfaßt und geregelt.
Hier habe ich als Bsp. das ARP (Address Resolution Protocol, wird benötigt für die Identifizierung einer IP Adresse):

Der Status steht hier auf:

• Description - Beschreibung der Regel
  Allow ARP requests - ARP Anfragen sind erlaubt, deswegen
  Verdict: accept - zulassen
  Log level is disabled - Das Loggen der Anfragen ist deaktiviert
  Packet parameters - Paketeigenschaften
  Event: any - betrifft jedes Ereignis
  Protocol: ARP - ARP Protokoll

Je nach Bedarf kann hier über einen R-Klick auf Network protocol rule eine neue Regel für ein bestimmtes Protokol gesetzt werden. Eine Auswahlliste befindet sich bei den Eigenschaften der Regel unter Packet parameters -> Protocol.

Falls ein Protokoll nicht in der Liste aufgeführt wird, sollte eine Regel in Other erstellt werden. Hier kann noch die Hexadezimalzahl beigefügt werden. jedoch bedarf es einiges KnowHow, welche Zahl für welches Protokoll gesetzt wist. Auf der IANA Home Page liegt eine recht umfangreiche Liste darüber zur Verfügung.

Der 2. Teil des Netzwerkpaket Filters wird, wie bereits erwähnt, in der System IP Table erfaßt und konfiguriert.

IP steht für Internet Protocol und umfasst alle „Arten“ der Bit - Übermittlung im Netz. Auch hier werden die Filter für die Pakete über ihre Eigenschaften gesetzt. Jedes Protokoll hat seine eigene - hmm, wie nennen wir Laien das? - Ausführungsschicht klingt ganz gut.
Jegliche Kommunikation, die von PC zu PC, von Netz zu Netz, im Internet ausgeführt wird, kann man in ein Schichten Modell übertragen (es nennt sich ISO/OSI). Hier wird theoretisch beschrieben, auf welcher Schicht sich die jeweilig benötigten Protokolle befinden/ausgeführt wird. Es gibt insgesamt 7 Schichten, und in jeder Schichte befinden sich unterschiedliche Protokolle.

Um euch nicht unnötig zur Langeweile zu nötigen, möchte ich hier nur grob die wichtigsten Schichten der Internetkommunikation aufzählen (Layer = Schicht):

• Layer 3: ICMP IGMP IP IPX
  Layer 4 TCP UDP SPX
  Layer 4-7: HTTP FTP HTTPS NCP

Mithilfe der Eigenschaft der (allgemein) zugeordneten Lage der versch. Protokolle in diesen Schichten, mit den Adressen über die diese Protokolle kommunizieren, und den spezifischen Eigenschaften der Protokolle, kann Jetico nun eindeutig eine Zuordnung der einzelnen Protokolle vornehmen.

• General IP packet parameters - Allgemeine Eigenschaften von IP Paketen
  Event - Auswahl der Senderichtung für die die Regel zutreffen soll: - ankommende Pakete - abgehende Pakete - beide Richtungen
  Protocol = Protokollart . Enthaltene Protokolle: TCP, UDP, ICMP, IGMP, OFPF, L2TP, PPTP, IP, IPIP. Partial packet (fragment) = Anzeige von gesplitteten IP Paketen TTL - IP packet's = Lebensdauer eines Paketes Checksum = Prüfsumme eines Pakets

Address parameters - Adress Eigenschaften
Das IP Filter Modul arbeitet mit Quell- und Ziel - Adressen eines Pakets gleichzeitig, dadurch können je nach Wunsch einzelne IPs, Server oder ganze Netze blockiert oder zugelassen werden:
Address type = Adresse, Art der IP Adresse any = jede Adresse, alle Adressen werden ignoriert host = gilt nur für einzelne IP Adressen (Einzel - PCs) network = IP Adresse (des Netzwerkes) + Netzwerkmaske predefined value = definierte Auswahl von lokalen Adressen und/oder lokalen Netzwerken, NameServern, Trusted oder Blocke Zone
Einschränken der Adressbereiche
Um festzulegen, welche IPs individuell gesperrt oder zugelassen werden sollen, werden hier die Eigenschaften dafür festgelegt.
Für die Quelle Source):

• Overrride port = benutzter Port, unabhängig des AdressenPorts
  Port = PortNummer
  match inverted = Umkehr des Trefferverhaltens, z.B., die Regel trifft zu, wenn ein Port NICHT im Bereich der Portnummern 1 - 1024 liegt (da dieser Bereich reserviert ist => Well Known Ports)

Für das Ziel (Destination):

• match inverted = Umkehr des Trefferverhaltens, wenn z.B. eine Regel trifft zu, wenn die IP Adresse KEIN NameServer ist.
  IP Address = IP Addresse (Anzeige z.B:: 217.168.84.12) Anwendbar, wenn der Adresstyp auf host oder network gesetzt wurde.
  Network mask = Netzmaske, Anzeige Bsp.: 255.255.255.0 nur verfügbar, wenn die IP Adresse einem Netzwerk gehört.
  any = Jeder Port
  exact value = genaue Portangabe
  port range = Portbereich (z.B.: 323 - 512)
  Port number = Portanzeige, verfügbar, wenn der Port oben gesetzt wurde.
  (Port) From and To = ober- oder unterhalb des oben angegebene Portbereichs.

Spezifische Eigenschaften der Protokolle Protocol specific parameters
Folgende Parameter sind nur verfügbar, wenn das Protokoll in der Regel auf TCP, UDP oder ICMP gesetzt wurde.
Zustandsgesteuerte Filterung*, gilt nur für TCP und UDP, und wird ausgeführt, wenn ein Paket zu einer berechtigten/erlaubten Netzwerk Kommunikation gehört. Jetico untersucht die TCP- und UDP Kommunikationsstatus und unterscheidet dadurch erwartete und unerwartete Pakete. (Wenn sich z.B. ein Paket eines anderes Protokolls darin befindet =z.B. bei Spoofing).

• - TCP flags (TCP only) - TCP protocol flags sind aktuelle Status - Anzeigen der Verbindung. Anzeigen für: FIN, SYN, RST, PSH, ACK, URG, ECE, CWR**
  - ICMP type (ICMP only) - ICMP ProtokollTyp (z.B. Ping)
  - ICMP code (ICMP only) - Information über das Ergebnis des Ping (z.B.: „Host nicht erreichbar“, „echo replay“)

*

Stateful Inspection
Stateful Inspection (Zustandsgesteuerte Filterung) ist eine Methode zur Erweiterung der Funktion einer Firewall. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die Zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst. Die Firma Check Point Software Technologies Ltd. nimmt für sich in Anspruch, diese Technik erfunden und patentiert zu haben (U.S. Patent # 5,606,668).

Quelle: Wikipedia

**
FIN - einseitiger Abbau einer Vebindung
SYN - Synchronisation
RST - Neustart des Verbindungaufbaus
PSH - Keine Zwischengespeicherung von Paketen
ACK - Bestätigung
URG - Urgent-Zeiger ist gültig
CWR - Congestion Window Reduced²
ECE - Explicit Congestion Notification-Echo³

² + ³ = Spezielle TCP Flags. nähere Erklärung bitte auf Anfrage. Danke

[Franz]

Sodele,
jetzt kommen wir zu dem, weswegen eine Firewall ursprünglich entwickelt wurde - zu den verdächtigen Prozessen, die gerne Zugriff zu unseren Rechnern hätten.
Die Prozesse, die evtl. eingeschleust werden konnten, funktionieren immer nach eindeutigen Regeln, besser - nach eindeutigen Ereignissen, die sie zumindest als verdächtig einstufen..
Die 4 häufigsten Eigenschaften dieser Prozesse erkennt Jetico und kann entsprechend (nach Konfiguration) danach handeln. Malware (darunter fallen Trojaner, Würmer, Viren, Hijacker, FishingSites, bestimmte. Dialer, RootKits, und was da noch so kreucht und fleucht).
Jede dieser Anwendungen versucht mindestens einen der folgenden Prozesse:

• • Installation und Starten einen versteckten (Web-) Browser
  • Veränderung von Programmen
  • Programmroutinen werden zum Starten von Prozessen verändert
  • Installation von globalen "hooks"

Folgende Logmeldungen werden bei einem potentiellen Angriff ausgegeben:

- Attack type - verdächtiger Vorgang, Logmeldungen

Attacker installs system-wide Windows hook - Angreifer installiert einen systemweiten WindowsHook
Windows unterstützt den sog. Hook Mechanismus. Programme oder (Start-) Prozesse können eine Hook Funktion installieren, die Systemabläufe (wie z.B. Maus- und Tastenfunktionen) übernehmen, bevor das eigentliche Programm gestartet wird.
Der Krux hier ist, daß dieser Hook von einem anderen Programm als das Zielprogramm gestartet werden muß. Windows Hooks werden von fast allen legalen Programmen (z.B. auch Spiele) und genauso vielen Trojanern benutzt. Nur benutzt die Malware nicht Mausfunktionen o. ä., sondern gedenkt eher, damit Zugriff zum Netzwerk über den Hook zu bekommen. Sobald ein von einem Trojaner gesetzter Hook sich in eine .exe - Datei implementiert hat, ist es für den Benutzer ohne Zusatzsoftware nicht mehr möglich, festzustellen, ob er von einem Trojaner infiziert ist oder nicht.

Attacker starts application with hidden window
- Angreifer startet einen Prozess in einem versteckten Fenster

Trojaner können Programme der Trusted zone starten und über dieses Programm Zugriff zum Netzwerk beklommen. Mit einem versteckten Windowsfenster kann über z.B. den Browser mit dem Internet kommunizieren.
Die Firewall informiert den User über diese Ereignisse, doch sollte berücksichtigt werden, daß Jetico alle Events, also auch erlaubte, loggt.

Attacker writes to application's memory - Angreifer schreibt in den Arbeitsspeicher eines Programmes.

Trojaner besitzen auch die Fähigkeit sich in den zugewiesenen Speicher eines erlaubten Programms ein zu schreiben. Hier ersetzt die Malware verschiedene Einträge eines Prozesse durch seine eigenen. Sobald das Programm gestartet wird, startet auch der Trojaner, als das erlaubte Programm getarnt, mit seinen jetzt aktiven Funktionen.

Attacker injects own code into application - Angreifer schreibt eigenen Code in einen bereits installierten Prozess / Programm

Wenn ein Programm abläuft, läuft es mehreren sogenannten “threads” ab.
Ein thread ist am besten vergleichbar mit einem Faden aus verschiedenen Programmaufrufen, die nacheinander abgearbeitet werden. Jeder thread verarbeitet seine Funktionen, parallel mit anderen threads oder ausführenden Dateien, im und während des Ablaufs der Programmprozesses.
Windows erlaubt sog. remote threads, irgendein Prozeß/Programm kann einen thread erzeugen, der in einem (erlaubten) Programm bestimmte Funktionen ausführen kann. Windows erkennt nur, daß das erlaubte Programm die Quelle des threads ist, also zuständig für dessen Funktionen ist. Trojaner benutzen diesen Umstand um die eigentlichen Aktivitäten und Absichten zu verstecken.

Attacker modifies child process - Angreifer verändert einen Kind - Prozess

Ein Steuerelement eines (Eltern-) Programms startet sog. Kind-Prozesse, um u. a. obg. threads zu starten. Kind Prozesse sind sehr kurzlebig, d.h., sie existieren nur solange der Befehl ausgeführt wird (um den eigentlichen thread zu starten z.B.). Der Kind-Prozess „lebt“ nur im zugewiesenen Arbeitsspeicher. Ein Trojaner kann diesen Speicherplatz überschreiben. Beim nächsten Start des Kind-Prozesses wird nicht der eigentliche Prozess, sondern der Trojaner gestartet. Vorteil für den Trojaner: Ist das Programm nicht gestartet, wird es schwierig, auch mit Zusatzsoftware, den Trojaner ausfindig zu machen.

Low-level access to system memory - Zugriff auf den Systemspeicher

Trojaner können auch Windowseigene Systemprozesse übernehmen, indem Bestandteile des physikalischen Speichers verändert werden. Dadurch kann ein Trojaner jedes beliebige Programm installieren und ausführen. Windows er-laubt diese Zugriffe generell nicht, aber trotz der Sicherheit Windows ist das nach wie vor möglich (s.a. Windows Patchday). Sobald Jetico diese Art des Angriffs entdeckt (loggt), wurde definitiv ein Trojaner entdeckt.

Attacker - ein Programm erzeugt verdächtige aktivitäten/Abläufe - Application - ein Programm arbeitet nicht mehr ordnungsgemäß.
Einige Angriffe, z.B. eine hook - Installation, beeinflußt andere Programme. In diesem Fall kann die erteilte Regel für das Programm nicht mehr ausgeführt werden.
Zu guter Letzt noch ein kleiner Überblick über die FTP-, EMail- Server/Client Konfiguration bei Jetico.

Hier können alle Einstellungen, alle sicherheitsrelevante Konfigurationen komplett vorgenommen werden. Einen Umweg über die Trusted oder Blocked Zone ist nicht mehr notwendig.

Um nun eine neue Regel zu erstellen, gehen wir folgende Schritte durch:
1. Im Jetico Explorer wählen wir den Tab Configuration
2. markieren die gewünschte Liste auf der linken Seite, in der die neue Regel erstellt werden soll.
3. R-Click auf die markierte Liste -> Insert ins auswählen (oder im rechten Fenster mit R-Click -> New -> Auswahl der Regel
4. Regel erstellen und bestätigen

Ändern, Verschieben, Clonen. Löschen der Regel können wir dann auch anschließend über einen R-Click auf die Regel über den entsprechenden Befehl im Kontextmenü.

[JensusUT]

Jetico hat übrigens im Firewall-Leaktest den ersten Platz belegt.
Mit arcanoas Tutorial fällt es nicht englischsprechenden Nutzern jetzt vielleicht ein wenig leichter, dem Programm eine Chance zu geben.

Klasse geschrieben!

Gruß

Jensus

[Brummelchen]

Und deswegen stet's auch hier schon länger (und auch sortiert)
https://www.supernature-forum.de/hot...06-inside.html
(das RemoveWGA ist dagagen überhaupt nicht zu empfehlen, das schrottet uU den Rechner)

[t_matze]

Vielen Dank für Deine gute Anleitung!

Da es offenbar bisher noch keine dt. Anleitung zur Konfiguration der Firewall Jetico gibt,
und das Programm selber, zumindest in der Beta - Phase, noch kein Multilanguage besitzt,

Dieses Problem dürfte hoffentlich bald behoben sein. Zumindest bietet die Jetico Personal Firewall v.2 beta die Voraussetzungen dafür:

Language file support for easy localization. All translatable words and phrases are taken from single UTF-8 encoded text file.

[lorenzmeyer]

Danke für Deine Mühe und Ausdauer.
Werde jetzt alles in Ruhe durcharbeiten und freue mich auf den 2.Teil.

Gruß Jörg

[mdg-webmaster]

Eine Frage habe ich aber: Was macht die Jetico besser als die Kerio? Und wie funktioniert das mit diesem Levels?

Wäre nett wenn das mal Grob einer erläutern würde

Grüße

[Franz]

Zur Zeit schreibe ich den 2. Teil des Tutorials, den ich hoffentlich bis morgen Online setzen möchte.
Dort gehe ich auf die komplette Regelverwaltung und Zuordnungen ein.

Was meinst du mit "Level"? Die verschiedenen "zones" oder der Modus in dem Jetico betrieben werden kann?

Auch darauf gehe ich im 2. Teil genauer ein.

Was macht Jetico besser als Kerio?

Kurz gesagt: die Abarbeitung der Regeln.
Während Kerio die komplette Sammlung von Ereignisparametern den Regeln gegenüberstellen muß,
ordne ich bei Jetico die Regeln in den verschiedenen "zones" zu und kann diese programmspezifisch konfigurieren.
Kerio kann, bei komplexeren Regelstrukturen, zu Systemleistungseinbußen und Fehleinstellungen führen, das wird bei Jetico, wg. oben, vermieden.
Außerdem gibt Jetico die Möglichkeit, Netz - Zugriffe/Ereignisse im Detail zu steuern.
Zu guter Letzt ist Jetico im optischen Aufbau viel klarer und detaillierter strukturiert als Kerio, die Einstellungsmöglichkeiten sind hier gewaltigt.

[Aggi]

Also die Beschreibung der FW mit Hilfe von Alice, dem Buttler und der nervenden Töle find ich einfach klasse

[Brummelchen]

Also wenn jetico so aussieht und arbeitet, ist es eindeutig die Weiterentwicklung von
Look'N'Stop - da wurden Regeln auch so mit ähnlichen Symbolen gekennzeichnet.
Lediglich die Hierarchie und Regelerstellung sieht anders aus.
Wenn es die jetzt noch in deutsch gäbe...

[mdg-webmaster]

Wird es. Die neue Version 2, die derzeit noch im Betastadium ist unterstützt Sprachdateien.

[JensusUT]

arcanoa, der neue Firewall-Gott!
Hat es Spaß gemacht, sich dermassen in die Materie einzuarbeiten?

Es hat sich auf jeden Fall gelohnt!

Gruß
Jensus

[mdg-webmaster]

Ich finde es nur schade, das es jetzt Shareware wird :/