configuracion y uso de jetico

se agrego un nuevo modulo al jetico, system application, pero en realidad no cambia mucho y corrijo algunos errores al anterior post.si ven algo que se debiera cambiar seria bueno que lo dijeran, todo por el bien de una buena configuración de este firewall.

he visto que siempre tienen el problema de que pregunta mucho este firewall cada vez que ejecutan alguna aplicacion, para que no suceda hay que configurarlo, a continuacion doy una explicacion de mi forma particular de configurarlo, se le pueden añadir otras reglas, pero como dije esto es lo basico, conforme salga algo lo ire actualizando.(incluso se deben añadir algunas reglas en caso de usar proxy).

jetico tiene varios modulos, 17 para ser exactos.
1.-root
2.-application blocked zone
3.-application table
4.-application trusted zone
5.-ask user
6.-bittorrent client
7.-ftp client
8.-ftp server
9.-mail client
10.-process attack table
11.-protocols table
12.-system application
13.-system blocked zone
14.-system ip table
15.-system internet zone
16.-system trusted zone
17.-web browser

son varios modulos y donde debemos trabajar es:
3.-application table
5.-ask user
10.-process attack table
12.-system application
14.-system internet zone

casi todo el trabajo se hara en application table, y podemos considerar como submodulos a: 2,4,6,7,8,9,12,15 y 16.
los modulos 1,11,13 y vienen bien preconfigurados y no los tocamos, a no ser que alguno de uds. crea que se debe hacer algo con ellos, hay que recordar que es un nuevo firewall y todavia hay mucho que hacer con el.

manos a la obra y configuremoslo.



1111111111 system application


al iniciar con el firewall, uds veran en system application que se inician con el varias aplicaciones de windows(xp) y solo piden access to network la mayoria, como son:allow dhcp request, svchost.exe, explorer.exe, winlogon.exe, csrss.exe, isass.exe, userinit.exe, system.

ya que explore.exe y winlogon.exe y system, se inician y no se puede evitar en este firewall que queden a la escucha, debemos aplicarles arriba de cada una de ellas dos reglas:
a.-veredict: reject, application:c:\windows\explorer.exe (pongan bien la ruta, es solo un ejemplo), event: outbound connection, protocol:any.
b.-veredict: reject, application:c:\windows\explorer.exe (pongan bien la ruta, es solo un ejemplo), event: inbound connection, protocol:any
c.-veredict:acept, application:c:\windows\explorer.exe, event:access to network.

hacer lo anterior para winlogon.

d.-veredict:reject, application:system, event:inbound connection protocol tcp/ip, local address:any, local port:any, remote address:any, remote port:any
e.-veredict:reject, application:system, event:receive datagrams, protocol tcp/ip, local address:any, local port:any, remote address:any, remote port:any.
f.-veredict:acept, application:system, event:access to network.



2222222222 application table


ya iniciado procedemos a configurarlo.

1.-dns


dns aqui ponen sus dos ip´s de su proveedor de internet, su isp, la primaria y la sencundaria, si no la saben prenguntarles y con el puerto remoto que esta estipulado, el 53.debajo de ella ponen un candado(cerrojo) al puerto 53. mas adelante lo explico.
ejemplo:
a.-allow dns request primaria send datagrams.-verdict:accept, event:send datagrams, protocol:tcp/ip, local address:any, local port: port range 1024-5000, remote address: host(la direccion primaria de su isp), remote port: single port 53.
b.-allow dns request primaria receive datagrams.-veredict:accept, event:receive datagrams, protocl:tcp/ip, local address:any, local port: port range 1024-5000, remote address: host(la direccion primaria de su isp), remote port: single port 53
c y d.- las anteriores para la secundaria.
candado
e.-other dns deny inbound tcp.- verdict:reject, event:inbound connection, protocol:tcp/ip, local address:any, local port:any, remote address:any, remote port:single port 53.
f.-other dns deny outbound tcp.- verdict:reject, event:outbound connection, protocol:tcp/ip, local address:any, local port:any, remote address:any, remote port:single port 53.
g.-other dns deny receive datagrams.- verdict:reject, event:receive datagrams,protocol:tcp/ip, local address:any, local port:any, remote address:any, remote port:single port 53
h.-other dns deny send datagrams.- verdict:reject, event:send datagrams, protocol:tcp/ip, local address:any, local port:any, remote address:any, remote port:single port 53.


2.-proteger puertos 135,137-139, 1024-1028, 445, 500.

a.-hacen click en application table con el boton derecho del raton y new application.
verdict:reject (o puden utilizar application blocked zone siempre que usen reject), event:outbound connection, protocol:tcp/ip, local address:any, local port:any, remote address:any, remote port: port range 137-139.
b.-hacer click otra vez para otra regla:verdict:reject,event:incoming connection, protocol:tcp/ip, local address:any, local port: port range 137-139, remote address:any, remote port: any
c.-verdict:reject, event:send datagrams, protocol:tcp/ip, local address:any, local port:any, remote address:any, remote port: port range 137-139.
d.-veredict:reject event: receive datargrams, protocol:tcp/ip, local address:any, local port: port range 137-139, remote address:any, remote port: any.
e.-veredict:reject event: incoming connection, protocol:tcp/ip,
local address:any, local port: single port 135, remote address:any, remote port:any
f.-veredict:reject event: receive datagrams, protocol:tcp/ip, local address:any, local port: single port 135, remote address:any, remote port:any
g.-verdict:reject, event:inbound connection, protocol:tcp/ip, local address:any, local port: single 445, remote address:any, remote port:any.
h.-verdict:reject, receive datagrams, protocol:tcp/ip, local address:any, local port: single 445, remote address:any, remote port:any.
i.-verdict:reject, event:inbound connection, protocol:tcp/ip, local address:any, local port: single 500, remote address:any, remote port:any.
j.-verdict:reject, receive datagrams, protocol:tcp/ip, local address:any, local port: single 500, remote address:any, remote port:any.
k.-veredict:reject, event: incoming connection, protocol:tcp/ip, local addressf:any, local port: port range 1024-1028, remote address:any, remote port:any.
l.-veredict:reject, event: receive datagrams, protocol: tcp/ip, local address:any, local port:port range 1024-1028, remote address:any, remote port:any.
m.-veredict:reject, application:c:\windows\system32\svchost.exe, event:receive datagrams, protocol:tcp/ip, local address:any, local port:single port 1900, remote address:any, remote port: any.


3.-creacion de reglas para las aplicaciones

se deben crear tres reglas siempre:

a.-regla de access to network

b.-regla para que la aplicacion acceda a internet y tener control sobre dicha aplicacion.

c.-candado para aplicacion.

recordar que acces to network es vital, sin esta la regla para acceso a internet no funciona.

pongo dos ejemplos:
internet explorer
a.-veredict:accept, application:c:\archivos de programa\internet explorer\iexplore.exe ( poner siempre toda la ruta ), event: access to network, protocol:any.

b.-veredict:accept, application: c:\archivos de programa\internet explorer\iexplore.exe, event:outbound connection, protocol: tcp/ip, local address:any, local port: port range 1024-5000 ( parece una contradiccion anteriormente prohibir la salida del puerto 1024-1028 pero tiene su sentido, se los dejo de tarea ), remote address:any, remote port:80 ( aqui, hacen otra regla semejante para otros puertos ej.443,20-21,3128,8080, uds. sabran cuales necesitan, solo clonen esta regla y añaden puertos)como dije anteriormente yo trabajo en application table, tambien pueden configurar en este caso la application como web browser y en veredict:web browser lo pueden tratar asi, como uds. gusten) yo prefiero tener todo el control en este modulo.

c.-candado para aplicacion.-veredict:reject, application: c:\archivos de programa\internet explorer\iexplore.exe, event:inbound connection, protocol:any, local address:any, local port:any, remote address:any, remote port:any.

si usan en proxomitron, pues lo configuran como si fuera el internet explorer y en internet explorer al puerto 8080 o al que uds gusten, entre mas alto mejor.

outlook express
a.-veredict:accept, application: c:\archivos de programa\outlook express\msimn.exe, event:access to network, protocol:any

b.-veredict:accept, application: c:\archivos de programa\outlook express\msimn.exe event: outbound connection, protocol: tcp/ip, local address:any, local port: port range 1024-5000, remote address:( la de su proveedor del servicio ), remote port:110

c.- clonan esta y le cambian el puerto al 25.

d.- al final su candado.

el orden debe ser el siguiente en este modulo:
a.-dns abuse
b.-dns, primaria y secundaria
c.-candado para dns
d.-puertos protegidos:135,445,500,137-139,1024-1028,1900
e.-a plicaiones de windows, explorer.exe,issas,svchost, etc.
f.-sus programas, navegadores,actualizacion de antivirus, etc.


al final de las aplicaciones crean reglas igual para el jetico, el firewall que estamos configurando y solo le permiten access tu network.
ahora al final de application table, ya que hayan incluido aqu todas sus reglas para las aplicaciones que desean que tengan acceso a internet, en lugar de la regla que dice ask, hagan click sobre ella y en edit, cambien ask por ask user,en la segunda dejan ask y luego dice block all no processed application.



3333333333 ask user



ahora, como ya determinaron que su firewall esta completamente configurado, van a ask user ( el otro modulo ) e igual le cambian de ask a reject.
(aqui, cuando instalan un nuevo programa y desean ver las reglas que usaran, tendran solo que cambiar de reject a ask y ejecutan el programa, en este modulo apareceran las reglas necesarias para aplicarlas posteriormente en el modulo de aplicaciones y ya hecho esto las eliminar de aqui y cambian nuevamente de ask a reject, para cerrarlo nuevamente, pero observar bien puertos e ip's porque por ejemplo si ejecutan una aplicacion que debe salir a internet al preguntar el firewall aqui, la regla sera con un puerto de salida, por ej. 1450, y hay que cambiar a un rango,1024-5000, lo mismo con las ip´s si es un navegador, y tratan de ejecutarlo por primera vez, ira a la direccion que uds. le marcaron, pero en ese caso debe ser any.es un ejemplo, pero siempre analizar, no echar la culpa al firewall de que no sirve).
con esto ya solo le iran agregando reglas al modulo de aplicaciones y nada mas.


4444444444 process attack table



con esto esta completamente configurado el firewall y ahora solo queda por ver el filtro ( sandbox ). van a este modulo, process attack table, e igual le cambian de ask a reject, asi automaticamente rechazaran todo tipo de:
a.-attacker writes to application´s memory
b.-attacker injetcts own code into application
c.-attacker starts application with hidden window
d.-attacker installs system wide-windows hook
e.-attacker modifies child process

con esto pueden probarlo en la direccion que di en otra opinion para que vean que pasa todos los leaking tests y que asi no saldra ninguna aplicacion ni enviara nada hacia internet sin su previo consentimiento.

por ultimo puede ser que en algun momento cuando deseen actualizar algun programa:antivirus, etc. no se conecte, esto puede ser porque alguna aplicacion necesita llamar a otra, un proceso a otro, como ejemplo yo uso el e-trust free, y el inotask.exe necesita hacerlo con el inodist.exe, para ello abro el firewall cambio de reject a ask en process attack table y permito esta regla, y despues nuevamente lo cierro, recuerden que en este modulo "solo hay que permitir lo estrictamente necesario", para evitar todo tipo de ataque a aplicaciones sin nuestro conocimiento.




5555555555 system internet zone


aqui solo hay que agregar unas reglas, si salen mas despues aviso, recuerden que no soy un gran experto.
a.-descripcion:icmp redirect incoming... veredict:reject, event:incoming packet, protocol:icmp partial:any ttl:any, source address:any, destination address:any, icmp type:redirect(5), icmpcode:any
b.-descripcion:icmp information request, verdict:reject, event:incoming, protocol:icmp, partial packet:any, ttl:any, source address:any, destination address:any, icmp type:information request(15), icmp code:any.
c.-description:icmp information reply out, verdict:reject, event, outgong packet, protocol:icmp, partial packet:any, ttl:any, source address:any, destination address:any, icmp type:information reply(16), icmp code:any

estas arriba de icmp ping, y ahora debajo de icmp time exceded las siguientes:

d.-descripcion: icmp deny other incoming, verdict:reject, event:incoming packet, protocol:icmp, partial packet:any, ttl:any, source address:any, destination address:any, icmp type:any, icmp code:any.
e.-descripcion: icmp deny other outgoing, verdict:reject, event:outgoing packet, protocol:icmp, partial packet:any, ttl:any, source address:any, destination address:any, icmp type:any, icmp code:any.

por ultimo en options, general, una palomita en automatically save changes, apply changes automatically y loas default policy at start up.

y no se olviden de guardar su configuracion para usarla cuando reinstalen su so y salga una actualizacion del jetico.(para hacerlo se van a file-save as y al aparecer la ventana le dan el nombre por ejemplo optimal1.bcf,y ademas les recomiendo que ya guardada esta configuracion, que la pueden tener en el escritorio y pasarla a disco,la metan en el archivo de jetico en configuracion donde se encuentra tambien optimal.bcf y la carguen a jetico y la abran, asi si en algun momento se ve afectada la configuracion optimal, pues le cambian a optimal1, esto en caso de que vean que por x causa su firewall no responda.para cargarla y tener asi las dos configuarciones lo unico que tienes que hacer es:file-open y seleccionar optimal1.bcf, eso es todo.

suerte