Test: Die beliebtesten Personal Firewalls - jetzt auch für Vista

Wir führen unsere Tests unter Windows XP Professional mit SP2 und allen zum Testzeitpunkt von Windows-Update verfügbaren Patches durch. Zusätzlich wurde auf dem PC der Internet Explorer 7 über Windows-Update installiert, sowie Mozilla Firefox 2.0

Vor jedem Test wird der Rechner neu aufgesetzt. Im Anschluss führen wir folgende Tests in der beschriebenen Reihenfolge durch. Alle Testprogramme sind frei verfügbar und können aus dem Internet von den genannten Seiten heruntergeladen werden.

1. LeakTest 1.2: Wir starten die Firewall, um Internet-Zugriffe zu registrieren und zu blockieren. Mozilla Firefox erhält natürlich Zugriffsrechte. Im Anschluss benennen wir die Datei leaktest.exe in firefox.exe um und ersetzen die Startdatei von Firefox. Genauso gehen auch viele Schädlinge vor.

2. Im nächsten Schritt testen wir die Firewall mit dem Keylogger-Testtool pcAudit.

3. Danach setzen wir die kostenlosen Tools der Internet-Seite Firewall Leaktester gegen die Firewall ein: LeakTest2 (Trivial Firewall Leak Checker - tooleaky.exe), LeakTest3 (Firehole 1.01), LeakTest7 (Atelier Web Firewall Tester 3.2) und LeakTest11 (Wallbreaker 4.0).

Leaktests haben die Aufgabe, Schwachstellen in Firewalls aufzudecken. Bei diesen Tests werden Programme, die erfahrungsgemäß von allen Anwendern in der Firewall frei geschaltet werden, durch ein spezielles Programm oder einfach nur eine DLL ersetzt. Diese Vorgehensweise verwenden viele Hacker, da dadurch der Zugriff auf das Internet grundsätzlich sehr einfach zu bewerkstelligen ist. Der Anwender muss lediglich auf eine spezielle Internet-Seite surfen, um sich das Programm automatisch einzufangen, zum Beispiel über ein ActiveX-Element oder ein sonstiges Script. Auch der Empfang über eine Tauschbörse oder per E-Mail ist denkbar. Dazu verwenden die Programmierer dieser Tests genau die gleichen Methoden wie die Programmierer der Viren und Trojaner - mit dem Unterschied, dass auf dem Rechner lediglich das Sicherheitsloch aufgedeckt, aber kein schädlicher Code ausgeführt wird.

Als Nächstes folgt ein einfacher Portscan mit nmap. Da die Firewalls in fast allen Fällen eingehende Echo Requests verhindern, führen wir den Scan ohne vorherige Ping-Abfrage (nmap -P0) durch. Ziel ist es dabei, offene Ports zu dokumentieren und das Verhalten der Firewalls zu beobachten.

Im nächsten Test simulieren wir eine Backdoor mit dem Netzwerktool Netcat, das die Ports 80 und 31337 öffnet. Ersterer repräsentiert einen Well Known Port (HTTP), Letzterer einen Backdoor Port (Back Orifice 2000). Beobachtet und bewertet werden dabei folgende Kriterien:

Als letzte Maßnahme versuchen wir, den Firewall-Prozess zu beenden. Interessant ist dabei, ob das Programm terminierbar ist (also auch durch eine böswillige Applikation oder einen unerfahrenen Benutzer) und ob danach noch ein Schutz für das System besteht.