Von: Steve Janss
Die meisten der in diesen Tagen herausgegebenen Sicherheitstipps helfen einen geplanten Hackangriff um maximal fünf Sekunden zu verzögern. In dieser Zeit hat ein Spion alle Türen eines Systems geprüft und ein, wenn auch noch so verstecktes, Loch gefunden. Vor allem Anwender der Zugangswege Modem, Kabelmodem, "Digital Subscriber Line" (DSL) und ISDN, die nicht hinter einer Unternehmens-Firewall sitzen, sind bedroht; aber auch die Rechner der Firmenmitarbeiter sind ideale Angriffs-ziele.
Personal Firewalls - für wen?
Trotz der relativ hohen Sicherheit der Firewalls von Unternehmen kommt es immer wieder zu Einbrüchen. Dann schützt eine PC-Firewall "redundant", das heißt, sie hält Hacker als zweite Sicherheitsbarriere von den Usern und ihren Daten fern.
- mobile Angestellte, die ihre Laptops an verschiedene Netze anschließen,
- kleinere Filialen oder ausgelagerte Produktionsstandorte ohne eigene Firewall und
- Heimarbeitnehmer mit einem DSL- oder Kabelmodemanschluss.
Im Vergleich zu Hardware-Firewalls kosten PC-Softwarelösungen wenig und sind leicht auf Arbeitsplatzrechnern zu installieren. Sie übernehmen dort die Kontrolle über die Ethernet-Ports und erfüllen die gleichen grundlegenden Funktionen wie herkömmliche Firewalls: Einbruchserkennung (Intrusion-Detection), Zugangskontrolle (Access-Control), Ausführung der Sicherheitseinstellung (Policy-Management) und Protokollieren von Ereignissen (Event-Logging). Dabei filtern sie den ganzen Netzwerkverkehr und erlauben nur autorisierte Verbindungen.
Die getesteten Produkte: "PC Firewall" von Conseal, "Personal Firewall" von McAfee, "Secure Desktop" von Sybergen, "Norton Personal Firewall 2000" von Symantec, "Zonealarm" von Zonelabs und "Black Ice Defender" von Network Ice. Die ausgewählten Softwarepakete gehören dabei zu jeweils einer von drei Kategorien:
- firmenweite Lösung, mit der Möglichkeit eines zentralen Managements,
- Einzelplatz-Tool für den Gebrauch im Büro, zu Hause oder in kleineren Betrieben und
- Software mit Möglichkeiten einer detaillierten Kontrolle des Netzverkehrs durch den Systemadministrator.
Nur wenige der getesteten Produkte sind für einen Schutz gegen ungewollte Eindringlinge ausgereift genug.
Wird eine Firewall von mehr als einer Handvoll Benutzern verwendet, braucht sie ein zentrales Management. Die Software Secure Desktop hat eine Administrationskonsole und erreichte die höchstmögliche Punktezahl in allen Sicherheitsdisziplinen. Die Testsoftware erkannte keine Ports, sondern meldete alle als "stealth". Ein Hacker würde daher annehmen, dass die von ihm analysierte Maschine vom Netz getrennt sei. Es war auch nicht möglich, Informationen über den PC wie den Namen, den User oder die Arbeitsgruppe zu erfahren. In Kombination mit dem Management-Server von Sybergen schützt die Software PCs in Unternehmensumgebungen. Die Sicherung konzentriert sich auf Applikationen. Ein Fenster erlaubt die Einstellung fünf verschiedener Sicherheitslevels: "Ultra", "High", "Medium", "Low", "Off".
"Secure Desktop" von Sybergen
"Ultra" kommt dem Ziehen des Ethernet-Steckers gleich, "Off" einer Deinstallation.
Jeder beliebige Port lässt sich einzeln konfigurieren und der Anwender kann die Protokolle TCP oder UDP einstellen. Auch ICMP unterstützt das Programm und "PC-Anywhere" von Symantec. Der High-Modus erlaubte einen uneingeschränkten Internet-Zugriff mit dem Browser und erfüllte dennoch alle Sicherheitsanforderungen. Bevor der Benutzer eine neue Anwendung startet, markiert er sie als "erlaubt". Solche Applikationen dürfen aufs Netz zugreifen, egal, wie hoch der anfangs gewählte Sicherheitslevel ist. Auch die Tageszeit regelt auf Wunsch die Sicherheitsstufe. So kann der Administrator den Benutzern am Tag mehr Zugriffsrechte gewähren, während er nachts ihre Systeme schützt.
Zwei weitere nützliche Funktionen: eine E-Mail-Benachrichtigung des Administrators und ein Passwort-Schutz. Mit der übersichtlichen Konfigurationsoberfläche bestimmt der Administrator Port-Eigenschaften per Hand oder wählt vordefinierte Einstellungen. Auch Angaben zu "Dynamic Host Configuration Protocol" (DHCP), Virtuellen Privaten Netzen (VPNs) und PC-Anywhere bedürfen nur weniger Klicks.
Die Installation verlief routinemäßig, abgesehen davon, dass die Software zum Abschluss einen Reboot des Systems verlangte. Die Dokumentation ist im Vergleich zu den Konkurrenten knapper, aber genauso detailliert.
Der Name "Ice" steht kurz für "Intrusion-Countermeasure-Electronics" und bezeichnet eine Software, die versucht, Eindringlinge unschädlich zu machen. Zwar geht Black Ice Defender nicht ganz so weit. Dennoch sammelt das Tool Informationen über den Angreifer. In Kombination mit "Black Ice Evidence File" protokolliert die Backtrace-Funktion wiederholte Angriffe in einem für die Strafverfolgung geeigneten Format.
Black Ice Defender von Network Ice
Leider kontrolliert die Software keine Applikationen, blockiert aber Ports. Sobald ein Trojanisches Pferd eindringt, kann es daher über freie Ports mit seinem Autor kommunizieren. Das Tool besitzt vier Sicherheitslevels: "Trusting", "Cautious", "Nervous" und "Paranoid". Während die Software den Datenverkehr nach außen uneingeschränkt durchlässt, filtert sie die Pakete je nach der eingestellten Sicherheitsstufe. Anwender können IP-Adressen von Kommunikationspartnern sperren oder explizit freigeben. Dabei fehlt die Möglichkeit, ganze Adressbereiche zu markieren.
Das System kennt vier verschiedene Alarmstufen: "Critical", "Serious", "Suspicious" und "Informational". Im Zeitraum von zwei Stunden meldete die Software einmal Critical, zweimal Serious und mehr als 30-mal Suspicious und Informational. Ein Auswerten der Log-Files ergab, dass einmal versucht wurde, eine offene Stelle zu finden. Black Ice Defender war beim Mitprotokollieren zu wortreich - die Software meldete schlicht alles. Glücklicherweise ordnet das Ausgabefenster die Ereignisse auf Wunsch nach Zeit.
Die Corporate-Version von Black Ice Defender, "Black Ice Agent", lässt sich zentral verteilen und administrieren.
"Zonealarm" von Zonelabs
Black Ice Defender war unter Windows NT leicht und ohne einen abschließenden Reboot zu installieren. Die Dokumentation ist gründlich und informiert den Anwender über Intrusion-Detection und was dagegen zu tun ist.
Als Einzelplatzlösung in kleinen Betrieben, für den Eigengebrauch oder für Telearbeiter ist "Zonealarm" von der Firma Zonelabs eine geeignete Wahl. Das Produkt erwies sich als sehr sicher und arbeitete wie in der Dokumentation angekündigt - überraschend für eine relativ neue Stand-alone-Software. Unterstützte Plattformen sind Windows 95, 98, NT, 2000. Die Software läuft auf 486-Hardware, auch wenn sie unter NT 2,3 MByte RAM belegt.
Zonealarm installiert zwei Dienste: "True Vector Basic Client" und "True Vector Internet Monitor". Die vom Hersteller patentierte True-Vector-Technik kontrolliert alle Netzwerkaktivitäten als Service, das heißt auch dann, wenn niemand auf der Maschine eingeloggt ist. Alle, durch unbekannte Netzvorgänge ausgelösten Alarme sind einfach und bieten zwei Möglichkeiten, nämlich eine Verbindung zu erlauben oder sie zu verweigern. Meldungen über bekannte Aktivitäten kann der Benutzer auch ausblenden. Unabhängig von der Auswahl durch den User, protokolliert das Tool alles mit.
Zonealarm besitzt drei Sicherheitslevel, "High", "Medium" und "Low", und unterscheidet zwei Sicherheitszonen, "lokal" und "Internet". Zone Labs empfiehlt die High-Einstellung, die alle Pakete aus dem Internet abblockt, wenn sie der Anwender nicht ausdrücklich zulässt. Das spricht gegen die Installation in größeren Firmen, weil jeder einzelne Rechner auf diese Weise konfiguriert werden müsste.
Zonealarm verwendet auch die Stealth-Technik, um alle nicht durch ein erlaubtes Programm gebrauchten Ports zu verstecken. Die Medium-Stufe erzwingt eine Einstellung der Anwendungsprivilegien durch den Benutzer, erlaubt jedoch Zugriffe auf lokale Netze und Laufwerke und ist dadurch am besten für den lokalen Einsatz geeignet. Die Eingabe einzelner IP-Adressen ist nicht unbedingt notwendig. Es reicht die Angabe von Host/Site-Namen, Adressbereichen beziehungsweise Sub-Netz-Nummern. Der Low-Level ist für interne Dienste vorgesehen, die durch eine zentrale Firewall gegenüber dem Web geschützt sind, zum Beispiel File- oder Print-Server.
Das aktuelle Release scannt zusätzlich Mails nach Attachments mit VBS-Script-Inhalten. Die Installation war einfach und brauchte am Ende keinen Neustart. Die Dokumentation ist in HTML verfasst und erfordert einen Web-Browser. Sie gliedert sich in zehn Abschnitte mit vielen Details.
"Norton Personal Firewall" von Symantec
Norton Personal Firewall 2000 von Symantec benützt die gleiche Oberfläche wie das Management-Fenster von Norton Antivirus 2000. Durch die Kombination der beiden Produkte ist eine Verwaltung von derselben Konsole aus möglich. Auf Wunsch blockiert das Tool Zugangsversuche aus dem Internet und verschlüsselt übertragene Daten.
Norton Personal Firewall war das einzige der getesteten Produkte, das den Usernamen, den PC-Namen, den Namen der Arbeitsgruppe/Domain und die MAC-Adresse der Netzwerkkarte in seiner Default-Konfiguration preisgab. Zwar war Port 139 (Net-BIOS) geschlossen, aber die Software zeigte dem Sicherheitsscanner die anderen drei offenen Ports des Referenz-Systems. Eine Anfrage bei dem Produkt-Support-Manager von Symantec ergab, dass dies Absicht war. Viele ältere Kabelmodems benötigen diese Informationen beim Authentifizieren, bevor der Client seine dynamische IP-Adresse erhält. Zur Zeit wird über eine Änderung der Default-Einstellungen diskutiert.
Die "offene" MAC-Adresse war der Grund für die niedrige Gesamtbewertung, trotz der sonst sehr guten Ergebnisse. Das Programm war am leichtesten zu installieren, obwohl es einen Reboot verlangte. Die Dokumentation ist hervorragend, wenn auch mit 77 Seiten etwas lang.
"Personal Firewall" von McAfee
Die Software von McAfee kommt in Bezug auf die Sicherheit etwas besser weg als Norton Personal Firewall, weil sie keine Namen oder Adressen verrät. Jedoch blieben in der höchsten Sicherheitsstufe drei Ports offen. Verwunderlich angesichts der Tatsache, dass das McAfee-Produkt die Desktop-Version der "PC Firewall" von Conseal ist, die alle Sicherheitstests mit Bravour bestand. Gegenüber der Vorgängerversion macht die Oberfläche einen besseren Eindruck, aber sie lässt den User weniger Einstellungen und Regeln ändern. Außerdem ist Personal Firewall nicht für das zentrale Management bestimmt wie das Conseal-Produkt.
Die Software hat einen Lernmodus, ähnlich dem von Zonealarm, und arbeitet mit vordefinierten Regelsätzen wie PC Firewall, die der Benutzer auf einfache Art ändert. Mit der Voreinstellung blockiert die Software Netzwerkdrucker und File-Sharing, falls nicht explizit im "NetBIOS über TCP/IP"-Konfigurationsfenster erlaubt. Zudem kann der Anwender Anwendungen sperren lassen. Obwohl das Tool leicht zu verwalten war, erwies es sich als wenig skalierbar. Das Produkt machte insgesamt einen guten Eindruck, nur ist es wenig flexibel. So verlangte es die Installation eines Netzwerktreibers, was viele NT-User gar nicht können, weil ihnen der Administrator die nötigen Rechte nicht erteilt hat. Mit anderen Worten setzt die Software voraus, dass sie der Systemverwalter installiert.
Eine ärgerliche Störung trat sowohl bei PC Firewall von Conseal als auch bei dem McAfee-Produkt auf. Bei beiden fror der Bildschirm alle zehn Sekunden für eine Sekunde ein; ein Effekt, der an einen Treiberkonflikt erinnerte. Interessenten sollten die Firewalls daher auf ihren Plattformen testen, bevor sie sie kaufen.
Die Installation erfolgte ohne Probleme, jedoch wollte das Programm seinen Treiber als Netzwerkservice installiert haben, ein unnötiger und unüblicher Schritt.
"PC Firewall" von Conseal
Die "PC Firewall" von Conseal ist sicher nicht das geeignete Produkt für den Stand-alone-Betrieb. Dafür hat sie aber im Vergleich mit den übrigen Kandidaten die meisten Funktionen, fein abstimmbare Regeln und ein hohes Maß an Flexibilität. In vieler Hinsicht gleicht die Software einer Hardware-Firewall inklusive Passwortschutz. Sie benützt File-gestützte Regelsätze, die durch das IT-Personal eingestellt und getestet werden und anschließend auf die Desktops kopiert werden. Sie kontrolliert jedes Detail der Netzwerkkommunikation, einschließlich aller mit dem Rechner verbundenen TCP/IP-Adressen, Ports und Rechte von Applikationen.
PC Firewall konfiguriert die Regelsätze im Lernmodus automatisch. Für vorsichtige Benutzer bietet der Hersteller auf seiner Homepage 24 fertige Sätze an. Weil die eigene Zusammenstellung ausführliche Tests voraussetzt, sind die vordefinierten Regeln zu empfehlen.
Conseal arbeitet mit der so genannten "Building-Block"-Technik. Die Installation eines zweiten Regelsatzes überschreibt den ersten nicht, sondern ergänzt ihn. Falls zwei Regeln einander widersprechen, gilt die jüngere. Die Prioritäten der Regeln und Details kann der Anwender auch "per Hand" einstellen. Der Administrator teilt bei Bedarf verschiedenen Gruppen unterschiedliche Regelsätze zu, was für den Einsatz in größeren Systemen spricht.
Die Installation verlief ähnlich zu Personal Firewall von McAfee. Nur dass der Treiber hier nicht als Netzwerkdienst, sondern als Protokoll zu installieren ist. Dem Anwender stehen vier Anfangskonfigurationen zur Wahl: "Basic" (blockiert alle ICMP-Anfragen), "Cable" (für Kabelmodem- und DSL-Benutzer), "Browse" (lässt aus verschiedenen Regelsätzen wählen) und "None" (für Experten). Die eingebaute Hilfe genügt, um die meisten Fragen zu beantworten, wie etwa den Unterschied zwischen TCP- und UDP-Ports. Auf der Web-Seite des Herstellers sind weitere Informationen über Hacking-Verfahren und Installationstipps zu finden. (kpl)
Literatur: "Frontier Defense", Steve Janss, Network World USA Nr. 42/2000 vom 07.08.2000
Zur Person
Steve Janss
leitet die Consulting-Firma Jansys Information Systems, die vor allem kleine Unternehmen berät.