Test: Die beliebtesten Personal Firewalls - jetzt auch für Vista

Hacker, Phishing, Spam, Trojaner, Würmer, Bot-Netze und Keylogger sind nur einige der Buzzwords, die einem Benutzer das Surfen verleiden können. Waren es vor einigen Jahren primär Script-Kiddies, die mit dem Internet verbundene Rechner nur so zum Spaß abstürzen ließen, indem sie bekannte Lücken in Programmen oder Betriebssystemen ausgenutzt haben, wandelt sich das Bild zunehmend: Phishing und Keylogging haben die Bankdaten des Benutzers zum Ziel, um dessen Konto leer räumen zu können. Mittels Würmern und Trojanern sollen Bot-Netze etabliert werden, die bei Spam-Wellen oder DoS-Angriffen helfen. Spyware soll so viele Daten wie möglich über einen Benutzer sammeln, um dessen Profil an Werbetreibende verkaufen zu können.

So wie sich das Bedrohungsszenario gewandelt hat, wandeln sich auch die Anforderungen an eine Personal Firewall. Anstatt Angriffe von außen abzuwehren, muss sie nun verstärkt den Datenfluss von innen nach außen kontrollieren. Welches Programm darf welche Daten ins Internet übermitteln? Das zu überwachen, ist inzwischen primäre Aufgabe einer Desktop Firewall. Und auf diese haben wir unser Testkonzept erweitert.

In diesem Test haben wir CA Personal Firewall 2007 (vormals eTrust Personal Firewall), Norman Personal Firewall 1.42, Comodo Firewall Pro 2.4 und Jetico Personal Firewall 2.0 unter die Lupe genommen. Die letzten beiden lassen sich im privaten Umfeld kostenlos einsetzen. Besonders die beiden kostenlosen Produkte Comodo und Jetico haben uns positiv überrascht, aber dazu später mehr.

Die Produkte von Jetico und CA sind auch unter Windows Vista lauffähig. Wir haben überprüft, inwiefern die beiden Desktop Firewalls die Microsoft-eigene Lösung ersetzen können.

Agnitum Outpost Pro 4

Eine der bekanntesten Desktop Firewalls ist die Agnitum Outpost Pro, die in der aktuellen Version 4 vorliegt. Die Outpost-Firewall ist bekannt dafür, dass es zahlreiche zusätzliche Plug-ins gibt, die sich in die Firewall integrieren lassen. Die Version 4.0 bietet Verbesserungen bei der Blockierung von Leaks. Bereits die Vorgänger-Version 3.5 war in dieser Hinsicht bereits deutlich sicherer als so mancher Mitbewerber. Weitere Verbesserungen sind die Unterdrückung von Versuchen, mit Befehlszeilenparametern einen Browser zu öffnen, Schutz vor Versuchen, Fenster anderer Programme zu kontrollieren, Schutz vor Versuchen, kritische Registry-Einträge zu modifizieren und Netzwerk-Zugriffskontrolle auf unterster Ebene.

Während der Installation bietet der Konfigurationsassistent die Auswahl, ob er die notwendigen Einstellungen automatisch festlegen soll oder ob der Anwender selbst Hand anlegen will. Unabhängig von der Auswahl lassen sich nach der Installation ohnehin alle Einstellungen an die eigenen Bedürfnisse anpassen. Standardmäßig ist in der Version 4.0 die erweiterte Sicherheit für fortgeschrittene Benutzter aktiviert, sodass Anfänger bei er schnellen Installation nicht versehentlich eine weniger sichere Variante installieren. Neben der erweiterten und normalen Sicherheit, lässt sich in der Version 4.0 auch eine benutzerdefinierte Installation durchführen.

Quickinfo

Produkt	Agnitum Outpost Pro 4
Anbieter	Outpost Firewall Pro
Preis	39,95 EUR
Systemvoraussetzungen
Betriebssystem	Windows 98 SE/ME/2000 Pro/XP
CPU	Pentium 200
Hauptspeicher	32 MByte (Win XP)
Festplatte	20 MByte
Komponenten
ID-Schutz	ja
Ad-Blocker/Content-Filter	ja
Intrusion Detection	ja

Installation und Konfiguration

Nach der Installation ist der PC neu zu starten. Direkt nach dem Start erscheint der Konfigurationsassistent und die Firewall bindet sich in das Windows XP SP2-Sicherheitscenter ein. Abhängig von der Konfiguration erstellt die Firewall im Hintergrund bereits automatisch die entsprechenden Netzwerkregeln. Die Outpost-Firewall bindet sich mit einem eigenen Icon in der Task-Leiste ein, über das Sie das Konfigurationsmenü und das Reporting starten. Anwender der vorherigen Version finden sich in der Oberfläche schnell zurecht, da sich am Bedienungskonzept sehr wenig geändert hat.

Für jede von Outpost automatisch erstellte Regel erscheint ein kleines Informationsfenster in der Task-Leiste. Über dieses Fenster lässt sich die Regel auch anpassen. Kann der Assistent keine passende Regel automatisch erstellen, muss der Anwender die entsprechende Auswahl in einem aufklappenden Fenster selbst treffen. Die Bedienung ist grundsätzlich leicht verständlich, auch wenn ein gewisses Grundwissen über Netzwerke vorhanden sein sollte.

Wie auch in den vorherigen Versionen lassen sich verschiedene Konfigurationen erstellen und speichern, so dass versierte Anwender für jeden Einsatzzweck unterschiedliche Konfigurationen erstellen können.

Agnitum Outpost Pro: Überwachung und Reporting

Über einen Rechtsklick mit der Maus auf das Outpost-Icon in der Task-Leiste gelangt man in den Log Viewer. Hier tauchen alle von der Firewall durchgeführten Änderungen und Vorgänge auf.

Leaktest mit LeakTest 1.2

Um den Zugriff zu testen, starten wir zunächst das Leaktest-Programm. Outpost bemerkt den Start, und wir sperren den Internet-Zugriff dieses Programms. Leider schlägt Outpost 4.0 hier nicht gleich das Sperren vor, sondern der Anwender hat die freie Wahl und Schnellklicker, lassen den Zugriff eher zu, was wesentlich unsicherer ist. Im Anschluss benennen wir es in iexplore.exe um. Outpost bemerkt die Umbenennung und sperrt den Zugriff. Hier hat die Vorgängerversion noch geschludert.

Weitere Leaktests und Keylogger

Beim nächsten Angriffsversuch starten wir verschiedene weitere Leaktests. Outpost besteht zwar den Test Trivial Firewall Leak Checker, bei dem Daten vom lokalen Rechner ins Internet übertragen werden, fällt aber bereits wieder beim Test des FireHole 1.01 durch, bei dem ein fremder Prozess den Browser startet und Daten ins Internet überträgt. Die Firewall entdeckt zwar Zugriffe, schlägt für diese aber vor, das sie nicht blockiert werden. Die meisten Anwender werden die Meldungen wegklicken und dadurch Trojanern Tür und Tor öffnen. Bei diesem Test hatte bereits der Vorgänger Outpost Firewall Pro 3.5 Schwierigkeiten, die in der neuen Version nicht ausgeräumt wurden.

Richtig zur Sache geht es mit dem Atelier Web Firewall Tester 3.2. Dieses kostenlose Programm testet anhand sechs verschiedener Verfahren die Zuverlässigkeit der Firewall und vergibt bis zu zehn Punkte. Hier besteht Outpost alle Tests. Es werden alle Angriffe bemerkt, und es erscheinen entsprechende Warnfenster. Die Standardeinstellungen dieser Fenster sind allerdings oft auf „Zugriff gestatten“ gestellt, so dass Anwender, die zu schnell klicken, den Zugriff des Trojaners auf das Internet gestatten. Insgesamt erhält Outpost trotz allem zehn von zehn möglichen Punkten. Bei dem Test mit Wallbreaker 4.0 schneidet Outpost nicht erfolgreich ab. Alle Tests können die Firewall aushebeln! Es erscheinen zwar bei dem einen oder anderen Test Warnmeldungen der Firewall, aber diese empfehlen alle miteinander den Zugriff zuzulassen, was Anwender sicherlich auch tun werden. Die Version 3.5 von Outpost konnte bei diesen Tests noch bestehen.

Weitere Tests und Fazit

Ebenfalls weit verbreitet ist der Austausch von DLL-Dateien. Auch diesen Zugriff sollte eine Firewall bemerken und blockieren. Für diesen Test verwenden wir pcAudit. Das Programm versucht, genau wie ein Keylogger, Daten zum Server des Herstellers im Internet zu senden. Outpost bemerkt lediglich den Austausch der DLL, kann aber die Übertragung der Daten ins Internet nicht zuverlässig blockieren, die Firewall fällt bei diesem Test durch, genauso wie der Vorgänger 3.5.

Im nächsten Test wird versucht, mittels des Taskmanagers den Prozess outpost.exe zu beenden, damit die Firewall nicht mehr ausgeführt wird. Dieser Test gelingt nicht, der Prozess verweigert die Berechtigung zum Beenden.

Agnitum Outpost: Fazit

Outpost Firewall Pro 4.0 ist eine gute und sichere Firewall. Wie die einzelnen Leaktests zeigen, lassen sich jedoch noch ein paar Sicherheitslücken ausmachen. Die Standardangriffe werden zuverlässig geblockt, allerdings werden die aktuellen Angriffe der Hacker und Trojaner nicht immer zuverlässig verhindert.

Grundsätzlich lässt sich sagen, dass auch Outpost viel zu leicht ausgehebelt werden kann, auch wenn die Firewall zusätzlich hinter einer Hardware-Firewall oder einem DSL-Router platziert wird. Problematisch sind die Standardeinstellungen, dass unbekannten Programmen erstmal der Zugriff gestattet wird, wenn der Anwender zu schnell klickt. Im Großen und Ganzen ist Outpost jedoch ein zuverlässiger Weggefährte im Internet. Outpost Pro gehört zwar zu den sichersten Desktop Firewalls im Test, Anwender sollten sich aber nicht in absoluter Sicherheit wiegen.

Ashampoo Firewall Free 1.10

Von Ashampoo gibt es die kostenlose Firewall Free in der Version 1.10. Von Ashampoo gibt es auch eine kommerzielle Pro-Version, die nicht Bestandteil dieses Tests ist, aber in einem der nächsten Tests ausführlich unter die Lupe genommen wird.

Ashampoo rühmt sich damit, dass die Firewall sicher und leicht zu bedienen ist. Zusätzlich zum Firewall-Schutz enthält das Programm eine Verwaltung der Autostart-Programme des PC, eine Verwaltung der laufenden Prozesse und einen Internet-Cleaner, um private Daten zu löschen.

Quickinfo

Produkt	Ashampoo Firewall Free 1.10
Anbieter	Ashampoo Firewall Free 1.10
Preis	Kostenlos
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	k.A.
Hauptspeicher	k.A.
Festplatte	20 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Installation selbst ist in wenigen Sekunden abgeschlossen. Es können keine Komponenten bei der Installation ausgeschlossen werden und Sie müssen keine größeren Eingaben vornehmen. Nach der Installation ist der PC neu zu starten. Danach erscheint ein Fenster, in dem Sie den kostenlosen Registriercode eingeben, einen Code anfordern oder die kommerzielle Pro-Version kaufen können.

Ohne die kostenlose Registrierung läuft die Firewall zehn Tage. Nach der Eingabe des Codes erscheint der Einrichtungs-Assistent der Firewall. Sie können für die Firewall den Easy-Mode und den Expert-Mode verwenden. Abhängig von dieser Auswahl haben Sie zur Konfiguration mehr oder weniger Auswahlmöglichkeiten.

Im Easy-Modus werden zum Beispiel Zugriffe aus dem internen Netzwerk immer gestattet, es ist keine Unterscheidung von Ports möglich, lokale Zugriffe werden nicht blockiert und es wird immer Vollzugriff oder gar kein Zugriff gewährt. Sicherheitsorientierte Anwender sollten daher immer den Expert-Mode wählen. Zusätzlich können Sie entscheiden, ob lokale Verbindungen überwacht werden sollen. Ashampoo ordnet diesen Gefahren nur geringes Sicherheitsrisiko zu, so dass lokale Zugriffe nicht blockiert werden.

Da wir in Tests immer die Standardeinstellungen der Firewalls belassen, ändern wir diese Konfiguration nicht ab. Nach der Einrichtung der Firewall, wird diese als Symbol in der Taskleiste dargestellt und Sie können das übersichtliche Benutzerinterface starten.

Reporting und Überwachung

Sobald ein Programm auf das Internet zugreifen will, erscheint ein Fenster, in dem Sie festlegen können, ob der Zugriff gestattet oder blockiert werden soll. Im Fenster werden IP-Adresse und Port angezeigt. Sie können den Zugriff einmalig zulassen, oder eine Regel abspeichern, sodass keine Zwischenfragen mehr erscheinen.

Die Verwaltungsoberfläche der Firewall bietet sowohl Statistiken, als auch ausführliche Protokolle, die sich auch exportieren lassen. Der Zugriff auf die Protokolle anderer PCs im Netzwerk ist nicht möglich. Die Protokolle enthalten alle notwendigen Informationen und können auch entsprechen konfiguriert oder überschrieben werden. Auf der Übersichtsseite der Verwaltungsoberfläche werden die wichtigsten Informationen zusammengefasst. Alles in allem macht die Firewall trotz des frühen Versionsstandes einen durchdachten Eindruck in der Verwaltung.

Schutzfunktionen

Die Firewall erkennt den Internetzugriff von Leaktest und zeigt ein Fenster, über das sich der Internetzugriff sperren lässt. Auch durch das Umbenennen in iexplore.exe lässt sich die Firewall nicht irritieren. Wiederum erscheint eine Warnmeldung der Firewall und Sie können den Zugriff blockieren.

Der nächste Test ist der Keylogger-Angriff durch pcAudit. Es erscheint eine Sicherheitswarnung und der Anwender kann den Zugriff blocken. Leider erkennt die Firewall nicht woher der Angriff stammt, sondern nur dass ein Internetzugriff erfolgen soll. Unbedarfte Anwender erlauben hier unter Umständen den Zugriff.

Den Test mit dem Trivial Firewall Leak Checker besteht die Firewall, der Internetzugriff des Trojaners wird blockiert. Bei Firehole 1.01 wird der Zugriff nicht blockiert. Beim Atelier Web Firewall Tester 3.2 mit seinen sechs Tests besteht Ashampoo nur den dritten Test, allerdings mit der Folge, dass sowohl der Leaktester als auch die Firewall abstürzen und der PC neu gestartet werden muss. Die restlichen Tests besteht die Firewall nicht, ebenso wie die Tests des Wallbreaker 4.0.

Den Versuch, die Prozesse der Firewall zu beenden, verhindert Ashampoo vorbildlich. Zusätzlich bietet die Firewall in den Einstellungen die Möglichkeit, den Prozess vor anderen Anwendungen zu verbergen.

Fazit

Auch wenn die kostenlose Firewall nicht alle Leaktests besteht, hinterlässt sie im Vergleich zu den kommerziellen Produkten mancher anderer Hersteller ein deutlich besseres Bild. Die Verwaltungsoberfläche erscheint ausgereift und übersichtlich. Grundsätzlich bietet diese Firewall soliden Basisschutz und sollten von Anwendern den anderen in Firewalls in diesem Test vorgezogen werden. Virenschutz gibt es ebenfalls kostenlos im Internet und auch Spyware-Killer gibt es zur Genüge. Stellt man sich ein Portfolio der kostenlos verfügbaren Produkte zusammen, erhält man mehr Schutz für weniger Geld.

Avira Premium Security Suite

Avira ist vor allem durch seinen, für Privatpersonen kostenlosen Virenscanner AntiVir bekannt. Als neues Produkt bietet Avira mit der Premium Security Suite, nun eine komplette Sicherheitssuite an, mit der neben Viren auch andere Gefahren aus dem Internet abgewehrt werden sollen. Die Suite enthält Antivir, sowie AntiAdware, AntiSpyware, AntiDialer, AntiPhishing, EmailScanner und Firewall. Im Fokus dieses Tests steht ausschließlich die Firewall.

Quickinfo

Produkt	Avira Premium Security Suite
Anbieter	Avira Premium Security Suite
Preis	39,95 EUR
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	Pentium 133
Hauptspeicher	128 Mb (Windows 2000), 198 MB (Windows XP)
Festplatte	140 MByte
Komponenten
ID-Schutz	ja
Ad-Blocker/Content-Filter	Nein
Intrusion Detection	nein

Installation und Konfiguration

Nach dem Einlegen der CD startet der Internet Explorer und bietet die Installation an. Durch die hohen Sicherheitseinstellungen des Internet Explorer 7 haben hier vor allem unbedarfte Anwender Schwierigkeiten, da zahlreiche Sicherheitswarnungen erscheinen, welche die Installation unnötig erschweren.

Die Installation der etwa 14 MByte großen Suite starten Sie daher am besten durch Doppelklick auf die Datei setup.exe im Unterverzeichnis Software auf der CD. Hier fallen die ganzen Sicherheitswarnungen des Internet Explorer weg und Sie können sich bequem an die Installation machen. Während der Installation haben Anwender die Möglichkeit, eine Standardinstallation zu wählen oder eine benutzerdefinierte.

Für diesen Test wählen wir nur die Avira Firewall aus. Nach Abschluss der Installation verlangt die Suite einen Neustart des PC. Danach erscheinen bereits die ersten Meldungen der Firewall. Die Firewall der Suite erkennt automatisch die eigenen Produkte und verlangt für diese keine Genehmigung der Internetverbindung.

Verwaltung

Die Firewall integriert sich in das Windows-Sicherheitscenter, zeigt aber nicht ihren Namen an.

Die Verwaltungsoberfläche der Anwendung ist recht übersichtlich und Sie erkennen auf einen Blick welchen Anwendungen der Zugriff auf das Internet gestartet wurde. Manuelle Regeln lassen sich nicht erstellen, sondern die Sicherheit kann nur durch einen Schieberegler angepasst werden. In den Eigenschaften der Regeln werden lediglich Informationen angezeigt, es können keine Anpassungen vorgenommen werden.

Überwachung und Reporting

Alle Ereignisse auf dem System werden auf einer eigenen Registerkarte angezeigt. Sie können Filter legen und nach einzelnen Ereignissen gefiltert anzeigen lassen. Die Ereignisse werden nicht als Log-Dateien auf der Festplatte abgelegt, sondern als eigene Datenbank die nur über die Verwaltungsoberfläche von Avira angezeigt werden kann. Ein Abrufen der Informationen von anderen PCs über das Netzwerk ist nicht möglich.

Schutzfunktionen

Zunächst starten wir den Leaktest. Erwartungsgemäß erkennt die Firewall den Zugriff und fragt nach, ob er gestattet werden soll. Die Umbenennung in iexplore.exe bemerkt Avira problemlos und gestattet den Netzzugriff nur nach Nachfrage.

Keylogger-Test pcAudit

Der nächste Test ist der Keylogger-Angriff pcAudit auf den PC. Bei diesem Test erfasst der Trojaner die Eingaben des Anwenders und versucht, diese ins Internet zu übertragen. Avira warnt davor, dass der Windows-Explorer Daten ins Internet übertragen will. Hier besteht die Gefahr, dass Anwender versehentlich den Zugriff gewähren und Daten übertragen werden. Dennoch lässt sich festhalten, dass die Firewall diesen Test besteht.

Firewall-Leaktester

Den ersten Test mit dem Trivial Firewall Leak Checker besteht die Firewall. Der Zugriff wird automatisch blockiert. Beim zweiten Test, Firehole 1.01, fällt die Firewall durch, Daten können in das Internet, ohne irgendeine Sicherheitswarnung, übertragen werden. Beim Atelier Web Firewall Tester 3.2 fällt die Firewall durch und erreicht nur einen von 10 Punkten. Hier muss Avira noch deutlich nacharbeiten. Auch die Tests des Wallbreaker 4.0 besteht die Firewall nicht und fällt bei allen vier Tests durch.

Fazit

Im nächsten Schritt wird versucht die Prozesse der Firewall zu beenden, was ebenfalls zur Standardvorgehensweise vieler Angreifer gehört und von guten Firewalls verhindert wird. Leider lassen sich die Prozesse der Avira Firewall ohne Schwierigkeit beenden und der PC steht danach vollkommen ohne Schutz dar. Erst nach einem Neustart des PCs werden die Dienste und Prozesse wieder gestartet. Außerdem erscheint keine Warnmeldung oder Protokollierung.

In Summe hat Avira noch eine ganze Menge nachzuarbeiten. Bei einigen Standardtests kann die Premium Suite zwar ganz gut abschneiden, aber in zu vielen Fällen können Daten nach außen dringen. Auch der fehlende Schutz gegen ein Beenden des Firewall-Prozesses wirft kein gutes Licht auf die fast 40 Euro teure Suite.

Neu: CA Personal Firewall 2007

Das Unternehmen CA bietet neben seiner Desktop Firewall auch verschiedene Produkte an, um Spyware, Viren und Spam zu bekämpfen. Kaufen Sie die Firewall, dürfen Sie mit einer Lizenz die Software auf bis zu drei Computern installieren.

In der neuen Version der Firewall hat CA die Benutzeroberfläche angepasst, so dass die Konfiguration leichter durchzuführen ist. Zusätzlich wurden Verbesserungen in den Sicherheitseinstellungen vorgenommen, die wir in diesem Test genauer unter die Lupe nehmen. Die CA Personal Firewall 2007 in der Version 9.1 ist eine der ersten Firewalls, die neben Windows 2000/XP auch Windows Vista unterstützen.

Quickinfo

Produkt	CA Personal Firewall 2007
Anbieter	CA Personal Firewall 2007
Preis	39,95 EUR (3 Benutzer)
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP/Vista
CPU	Pentium 300 MHz, 800 MHz bei Vista
Hauptspeicher	256 MByte, 512 MByte (Vista)
Festplatte	25 MByte
Komponenten
ID-Schutz	ja
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation

Auf der Internet-Seite von CA ist eine 30-Tage lauffähige Demo der Firewall verfügbar. Es ist lediglich eine E-Mail-Adresse anzugeben, an die die Seriennummer geschickt wird. Während der Installation bietet die Firewall keinerlei Optionen an. Besteht eine Internet-Verbindung, lädt sie sich vorhandene Updates herunter.

Nach dem obligatorischen Neustart, erscheinen bereits Meldungen der Firewall und das Verwaltungsprogramm wird in der Taskleiste als Icon angezeigt. Zudem integriert sie sich in das Sicherheitscenter von Windows XP und Vista.

Die Firewall meldet nach dem Neustart eine neue Netzwerkschnittstelle, die Sie als sicher oder eingeschränkt kategorisieren können. Dieses Fenster verwirrt auch fortgeschrittene Benutzer und eine fehlerhafte Auswahl resultiert in unsicheren Firewall-Einstellungen, da andere Rechner im gleichen Subnetz nicht so zuverlässig blockiert werden, wie bei einer eingeschränkten Verbindung.

Das Programm bietet eine moderne und aufgeräumte Oberfläche. Neben der Erstellung von erweiterten Regeln lassen sich zahlreiche Einstellungen vornehmen, um die Sicherheit des PCs zu überwachen. Für jede Sicherheitsabfrage können Sie sich Details des Datenverkehrs anzeigen lassen, was Profis sicherlich entgegenkommt. Die Bedienung und Konfiguration der Firewall ist für Windows XP und Windows Vista vollkommen identisch.

Überwachung und Reporting

Über die Verwaltungsoberfläche der Firewall können Sie eine Protokollansicht aufrufen, in der alle Ereignisse und die freigegebenen Anwendungen angezeigt werden. Mit einem Klick auf ein Ereignis erhalten Sie Informationen. In der Standardeinstellung werden allerdings nur sehr wenige Ereignisse protokolliert. Eine Fernwartung ist nicht vorgesehen.

Schutzfunktionen

Beim Leaktest verwehren wir dem Programm den Internet-Zugriff und benennen es dann in iexplore.exe um, dem wir zuvor den Zugriff gestattet haben. Die Firewall blockiert den Zugriff des vermeintlichen Angreifers ohne weitere Warnungen. Unter Vista zeigt sie dasselbe Verhalten.

Beim Keylogger-Angriff mittels pcAudit warnt die CA Personal Firewall zwar, dass Daten ins Internet durch den Windows-Explorer übertragen werden sollen. Die Datenübertragung kann sie jedoch nicht verhindern. Dies gilt auch für die Vista-Version.

Bei den Leaktests von Firewall-Leaktester ergibt sich ein gemischtes Bild. Den Test mit dem Trivial Firewall Leak Checker, besteht die Firewall unter XP und Vista. Den zweiten Test, Firehole 1.01, besteht die Firewall unter Windows XP nicht. Sie erkennt nicht, dass eine fremde Anwendung versucht, den Internet Explorer zu kapern und Daten zu übertragen. Unter Windows Vista blockiert der aktivierte geschützte Modus des Internet Explorers den Datenverkehr des Angreifers. Dieses Verhalten ist allerdings nicht der Firewall anzurechnen.

Beim Atelier Web Firewall Tester 3.2 erreicht die Firewall gerade mal 1 von 10 Punkten. Unter Windows Vista kann dieser Test nur eingeschränkt durchgeführt werden, aber auch hier hinterlässt die CA Personal Firewall kein all zu gutes Bild.

Die vier Tests des Wallbreaker 4.0 besteht die Firewall ebenfalls nicht, alle vier Tests können ungestört und ohne Meldung Daten ins Internet übertragen. Auch der geschützte Modus des Internet Explorer 7 unter Windows Vista verhindert die Datenübertragung nicht.

CA Personal Firewall - Fazit

Zwar lassen sich einige Prozesse der Firewall ohne Schwierigkeit beenden, der Schutz geht jedoch nicht verloren. Es erscheint allerdings keine Warnmeldung oder Protokollierung.

Die CA Personal Firewall ist keine sichere Firewall. Unternehmen oder Privatanwender laufen beim Einsatz dieser Firewall Gefahr, Daten zu verlieren, da die bekanntesten Sicherheitslöcher nicht blockiert werden. Die Bedienung ist für Anfänger teilweise etwas komplex, für fortgeschrittene Benutzer bietet die Firewall aber zahlreiche Konfigurationsmöglichkeiten. Nicht akzeptabel ist der sehr eingeschränkte Schutz gegen das unerwünschte Übermitteln von Daten.

Neu: Comodo Firewall Pro

Auf der Internet-Seite von Comodo können Sie die kostenlose Firewall herunterladen. Die Homepage ist zwar englisch, für die Firewall gibt es jedoch ein deutsches Sprachpaket. Der Hersteller bewirbt auf seiner Homepage die Sicherheit der Firewall, sowie deren leichten Bedienung. Auf der Internet-Seite finden sich auch Support-Foren und einige Anleitungen für den Umgang mit der Software.

Quickinfo

Produkt	Comodo Firewall Pro
Anbieter	Personal Firewall Plus
Preis	kostenlos
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	k.A.
Hauptspeicher	64 MByte
Festplatte	32 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Installation der Firewall gestaltet sich recht einfach: Sie wählen aus, ob die Windows Firewall deaktiviert und die Dateiausführungsverhinderung von Windows XP so konfiguriert werden soll, dass die Firewall vor Pufferüberläufen geschützt ist.

Nach dem obligatorischen Neustart erscheinen bereits die ersten Fenster des Lernmodus. Über das Kontextmenü des Programm-Icons können Sie auf einen Klick den kompletten Internetverkehr stoppen oder freigeben und das optisch ansprechende Verwaltungsprogramm starten. Hier lassen sich bestehende Regeln bearbeiten oder komplexe und neue Regeln erstellen. Zudem bietet das Programm zahlreiche Einstellungen, bei denen auch professionelle Anwender auf ihre Kosten kommen.

Überwachung und Reporting

Die Überwachung und das Reporting der Firewall findet über die lokale Verwaltungsoberfläche statt. Hier finden Sie alle relevanten Ereignisse. Zusätzlich können Sie die Einträge filtern und exportieren, zum Beispiel als HTML-Seite. Leider beherrscht auch diese Firewall keine weiterführenden Einstellungsmöglichkeiten für das Logging. Das Abrufen der Protokolldateien über das Netzwerk ist genauso wenig möglich wie das Versenden per E-Mail. Dafür liefert die Firewall im lokalen Verwaltungsfenster genügend Informationen. Neben den Berichten, lassen sich auch die aktuellen Verbindungen in Echtzeit anzeigen.

Schutzfunktionen

Die Firewall erkennt den Zugriff des Leaktest 1.2 und fragt nach, ob er gestattet werden soll, was wir gemäß Testaufbau verneinen. Nach der Umbenennung in iexplore.exe erscheint beim erneuten Aufrufen wieder eine Meldung. Einen kleinen Tick besser wäre es an dieser Stelle, wenn die Firewall die bereits blockierte Applikation erkennen und erneut blockieren würde. Aber der Schutz ist gegeben.

Beim Keylogger-Angriff mittels pcAudit blockiert die Comodo Firewall Pro erfolgreich den Zugriff für jede einzelne Applikation, die der Keylogger zu kapern versucht. Diesen Test besteht die Firewall, auch wenn die Gefahr besteht, dass ein unbedarfter Anwender versehentlich eine gekaperte Applikation freigibt. Allerdings kann man auch nicht mehr von einer Firewall verlangen.

Den nächsten Test mit dem Trivial Firewall Leak Checker besteht die Firewall ebenso wie den mit Firehole 1.01. Beim Atelier Web Firewall Tester 3.2 gehört die Comodo Personal Firewall mit 10 von 10 Punkten zu den besten Firewalls in dieser Testreihe. Auch die vier Tests des Wallbreaker 4.0 besteht die Firewall mit Bravour.

Im letzten Schritt versuchen wir, die Prozesse der Firewall zu beenden. Das Abschießen der Prozesse wird verweigert, ein vorbildliches Ergebnis.

Comodo Firewall Pro – Fazit

Die Comodo Firewall Pro liefert das beste Ergebnis in unserer Testreihe ab. Obwohl die Firewall vollkommen kostenlos zur Verfügung steht, ist die Bedienoberfläche professionell, intuitiv und leicht zu bedienen. Die Firewall besteht alle Sicherheits-Standardtests und braucht sich auch nicht vor Zonealarm oder Outpost zu verstecken. Es spricht wirklich überhaupt nichts gegen den Einsatz dieser Firewall. Der einzige Manko ist, dass die Firewall derzeit noch nicht unter Windows Vista unterstützt wird.

Neu: Jetico Personal Firewall

Ebenfalls kostenlos ist die Firewall von Jetico. Neben Verschlüsselungs-Software bietet der Hersteller auch eine kostenlose Firewall für Windows Vista und Windows Server 2003. Die Firewall läuft auf 32-Bit-Systemen, es werden aber auch 64-Bit-Betriebssysteme unterstützt.

Seit einigen Wochen erst bietet der Hersteller die neue Version 2.0 seiner kostenlosen Firewall an, die jetzt als Systemdienst unter Windows ausgeführt wird. In der neuen Version wurde die grafische Oberfläche angepasst und die Konfiguration der Firewall auf XML-basierte Konfigurationsdateien umgestellt. Weitere Verbesserungen sind die übersichtlicheren Regeln und das erweiterte Logging. Die Firewall steht leider nicht in deutscher Sprache zur Verfügung, sondern nur in englisch und einigen anderen Sprachen.

Quickinfo

Produkt	Jetico Personal Firewall
Anbieter	Jetico Personal Firewall
Preis	kostenlos
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP/2003/Vista
CPU	k.A.
Hauptspeicher	k.A.
Festplatte	k.A.
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Installation der Firewall gestaltet sich recht einfach. Sie kommt unter Windows XP sogar ohne Neustart aus. Stattdessen startet direkt der Konfigurationsassistent. Hier können Sie Einstellungen wie vertrauenswürdige Netzwerke und zu blockierende IP-Adressen vornehmen. Generell sollten Sie möglichst wenig Netzwerke als vertraut konfigurieren, da in diesen jeglicher Netzwerkverkehr zugelassen wird.

Bei der Installation unter Windows Vista erhalten Sie neben der obligatorischen Meldung der Benutzerkontensteuerung noch zwei Abfragen über die zu installierenden Netzwerkverbindungen der Firewall, die Sie bestätigen müssen. Hier ist der Rechner neu zu starten.

Nach dem Start erscheinen bereits die ersten Fenster des Lernmodus. Abhängig davon, welche Netzwerke Sie als vertraut konfiguriert haben, erhalten Sie mehr oder weniger Meldungen vom Lernmodus.

Die Firewall integriert sich in das Windows-Sicherheitscenter. Unter Windows Vista klinkt sich die Jetico Firewall parallel zur Windows-Firewall in das System ein. Letztere sollten Sie nach der Installation ausschalten.

Betrieb

Über das Kontextmenü des Icons in der Taskleiste können Sie den kompletten Verkehr zum Rechner durch einen Klick blockieren, die Firewall herunterfahren oder das Verwaltungsprogramm starten.

Neben dem Netzwerkmonitor bietet die Firewall über verschiedene Registerkarten zahlreiche Konfigurationsmöglichkeiten an. Sie sehen so auf einen Blick, welchen Applikationen Sie Zugriff auf das Internet gestattet haben.

Die Konfigurationsdaten werden in einer XML-Datei gespeichert, deren Speicherort Sie über das Menü „Options“ anpassen können. Außerdem bietet Jetico die Möglichkeit, eine eigene Benutzerverwaltung für die Konfiguration der Firewall zu verwenden. So können Sie zum Beispiel lokalen Administratoren erlauben, die Konfiguration der Firewall anzupassen, aber Benutzer dürfen zum Beispiel nur Regeln innerhalb des Lernmodus erstellen. Diese Steuerung können Sie auch unter Windows Vista verwenden, allerdings wird dort die Benutzerkontensteuerung nicht unterstützt.

Überwachung und Reporting

Die Überwachung und das Reporting der Firewall findet über die lokale Verwaltungsoberfläche statt. Hier sehen Sie alle relevanten Ereignisse für die Firewall. Über den Menüpunkt Options können Sie die das Logging auch noch etwas anpassen. Die Logdateien werden im Dateisystem als Textdatei abgelegt, die Sie mit einem Editor auch über das Netzwerk abrufen können.

Schutzfunktionen

Die Firewall erkennt den Zugriff des Leaktest 1.2 fragt nach, ob er gestattet werden soll. Die Standardeinstellung sieht vor, dass die Verbindung erlaubt wird, was vor allem Anfänger schnell bestätigen werden. Zum Sperren der Verbindung müssen Sie auf Block klicken. Nach der Umbenennung in iexplore.exe erscheint beim erneuten Aufrufen wieder eine Meldung. Besser wäre an dieser Stelle, wenn die Firewall die bereits blockierte Applikation erkennen und blockieren würde.

Die Firewall erkennt den Zugriff für jede einzelne Applikation, die der Keylogger pcAudit zu kapern versucht, schlägt als Standardantwort aber immer „Allow“ vor. Diesen Test besteht die Firewall zwar, aber es besteht die Gefahr, dass ein unbedarfter Anwender versehentlich eine Applikation nicht verweigert.

Den nächsten Test mit dem Trivial Firewall Leak Checker besteht die Firewall. Es werden keine Daten übertragen, eine Meldung der Firewall erscheint und der Datenverkehr des Angreifers kann blockiert werden. Auch beim Firehole 1.01 erkennt die Firewall, dass eine fremde Anwendung den Internet Explorer und Daten übertragen will. Ebenso gut schneidet sie beim Atelier Web Firewall Tester 3.2 ab. Bei den letzten beiden Tests stürzt der Firewall-Tester sogar ab und kann keinerlei Daten mehr übertragen. Alle getesteten Angriffe werden blockiert. Die vier Tests des Wallbreaker 4.0 besteht die Firewall ebenfalls einwandfrei.

Jetico Personal Firewall – Fazit

Zwar lassen sich die Prozesse der Firewall ohne Probleme beenden, aber als Resultat blockiert die Firewall auf Treiberebene den kompletten Netzwerkverkehr. Somot ist maximal ein DoS-Angriff möglich.

Die Jetico Personal Firewall ist kostenlos und sehr sicher. Die Bedienoberfläche ist nicht so verspielt wie bei anderen Produkten und logisch bedienbar. Die Konfiguration ist allerdings etwas komplex und bei einer fehlerhaften Eingabe ist der Computer im Netzwerk nicht mehr erreichbar. Anfängern kann die Firewall eher nicht empfohlen werden, da die Meldefenster standardmäßig den Zugriff erlauben und die Konfiguration der Regeln nicht ganz einfach ist.

Die Firewall ist als kostenloses Exemplar aber immer noch besser und vor allem um Klassen sicherer, als viele der kommerziellen Konkurrenzprodukte. Die Konfiguration und der Umgang der Firewall kann auch unter Windows Vista problemlos durchgeführt werden. Allerdings haben Anfänger hier sicherlich Probleme, wenn Sie das interne Netzwerk nicht als vertraut konfigurieren, da Vista deutlich mehr Dienste im Netzwerk bereitstellt als Windows XP, was sich bei unseren Tests in deutlich mehr Fenstern des Lernmodus geäußert hat.

Kaspersky Internet Security 6.0

Der Sicherheitsspezialist Kaspersky bietet innerhalb der Internet Security 6.0 ebenfalls eine Desktop Firewall an, die allerdings nicht einzeln erhältlich ist. Hier gibt es für den Preis einer Desktop Firewall einen Rundumschutz mit Antivirus, Antispyware und Firewall. In diesem Test werden allerdings ausschließlich die Firewall-Funktionen betrachtet.

Bereits während der Installation werden einige Informationen dazu abgefragt, welche Komponenten installiert werden sollen, wie das Aktualisierungsverhalten sein soll und welche Netzwerke von dem Programm als intern und damit vertrauenswürdig betrachtet werden sollen.

Quickinfo

Produkt	Kaspersky Internet Security 6.0
Anbieter	Internet Security 6.0
Preis	39,90 EUR
Systemvoraussetzungen
Betriebssystem	Windows Me/NT/2000/XP
CPU	300 MHz
Hauptspeicher	128 MByte (Win XP)
Festplatte	50 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	ja
Intrusion Detection	nein

Einrichtung

Das Programm scannt den Rechner nach vorhandenen Applikationen, die Zugriff auf das Internet erhalten sollen. Bereits an dieser Stelle lassen sich Änderungen vornehmen. Der Anwender kann entscheiden, ob er die Basiskonfiguration verwenden möchte, bei der weniger Meldungen erscheinen, oder ob er als erfahrener Benutzer alle Meldungen sehen möchte. Der Installationsassistent schlägt keine automatische Aktualisierung per Internet vor. Diesen Vorgang muss der Anwender nach der Installation händisch anstoßen.

Alle Funktionen des Pakets lassen sich von einer zentralen Stelle verwalten. Im Bereich Anti-Hacker legen Sie die Einstellungen für die Firewall fest. Hier erlaubt Kaspersky die Einrichtung detaillierter Regeln für die Firewall.

Es lassen sich zudem einzelne Zonen einstellen, für die unterschiedliche Regeln gelten. So ist es zum Beispiel möglich, für das interne Netzwerk die meisten oder alle Zugriffe zu erlauben.

Reporting und Überwachung

Die einzelnen Komponenten der Internet Security bieten auch die Möglichkeit, Berichte anzuzeigen. Hier lässt sich beispielsweise nach Angriffen oder Aktionen filtern und exportieren. Auf vier Registerkarten stehen in der Anti-Hacker-Komponente alle möglichen Informationen zur Verfügung.

Schutzfunktion

Kaspersky Anti-Hacker bietet die Option, einen angreifenden Host für eine gewisse Zeit zu sperren.

Allerdings erkennt das Produkt keinen Portscan. Per Default ist die Anti-Hacker-Komponente auf minimalen Schutz eingestellt. Anwender tun gut daran, die Einstellung der Firewall auf „Trainingsmodus“ zu setzen. Nur dann werden alle Programme vor dem Zugriff auf das Internet überprüft. Erst nach Genehmigung durch den Benutzer wird der Zugriff erlaubt.

Leaktests und Fazit

Anti-Hacker blockiert zwar zunächst den Zugriff von LeakTest 1.2, allerdings wird nach der Umbenennung der Datei in firefox.exe nur ein Warnfenster angezeigt, in dem der Anwender den Zugriff gestatten kann. Da das Warnfenster nur abfragt, ob firefox.exe zugelassen werden soll, gestatten die meisten Anwender den Zugriff wohl. Anti-Hacker bietet in diesem Bereich also eher unzureichenden Schutz, da der eigentliche Austausch der Datei nicht gemeldet wird. In der standardmäßigen Einstellung „Minimaler Schutz“ erscheint noch nicht einmal dieses Fenster, und das schädliche Programm kann sofort auf das Internet zugreifen, genauso, als ob überhaupt keine Firewall installiert wäre. Kaspersky begründet das damit, dass man den Anwender nicht mit zu vielen Meldungen verwirren wolle.

Keylogger-Test

Den Keylogger-Test mit pcAudit besteht die Kaspersky Internet Security 6.0 wie die meisten anderen Firewalls nicht. Es erscheint zwar ein Warnfenster, und der Anwender kann die Verbindung blockieren, allerdings hindert das den Keylogger nicht daran, dennoch Daten zu übertragen.

Speicherangriff mit mehreren Leaktests

Der Trivial Firewall Leak Checker kann ohne irgendeine Meldung über den Internet Explorer auf das Internet zugreifen. Auch beim Test mit FireHole 1.01 ist die Firewall machtlos. Ähnlich düster ist das Bild beim Atelier Web Firewall Tester 3.2: Kaspersky Internet Security erhält gerade einen von zehn möglichen Punkten. Den Wallbreaker 4.0 kann das Tool ebenfalls nicht an der Kontaktaufnahme hindern.

Fazit

Die Kaspersky Internet Security gehört in der Standardeinstellung mit minimaler Sicherheit zu den unsichersten Firewalls dieses Tests. Die Bedienung ähnelt der der Norton Personal Firewall 2006, allerdings ist sie nicht so durchdacht und ausgereift. Auch werden Anfänger mit der Firewall überfordert sein, da die Erstellung der Regeln alles andere als logisch aufgebaut ist. Die Standardeinstellung, in der zunächst nur minimaler Schutz aktiviert ist, macht das Produkt nicht sicherer. Im Trainingsmodus ist die Bedienung zwar komplizierter, aber dafür besteht die Firewall dort die Leak-Tests.

NetOp Desktop Firewall

Der für seine Remote-Control-Lösung bekannte Hersteller Danware A/S geht mit der NetOp Desktop Firewall ins Rennen. Zusätzlich zur traditionellen Firewall-Steuerung von Protokollen und Ports (Paketfilterung) bietet die NetOp Desktop Firewall ein neues Tool für das Management, der auf den einzelnen Computern laufenden Prozesse.

Das Produkt ermöglicht es, einer Applikation den Betrieb generell zu verweigern, ihr die Kommunikation nur in einem vertrauenswürdigen Netzwerk zu erlauben, oder ihr den Betrieb aber keine Kommunikation zu erlauben. Prozessteuerung und Paketfilterung lassen sich über einen Policy Server zentral einrichten und steuern. Dadurch ist die Firewall-Konfiguration vor Manipulation geschützt. Der Kennwortschutz gibt Benutzern und Administratoren die Möglichkeit, einzelne Firewall-Komponenten zu sperren und eine unerwünschte Neukonfiguration zu verhindern. Wird die Firewall gemeinsam mit dem NetOp Policy Server eingesetzt, können Benutzer die Verbindung mit dem Server nur unter Eingabe eines Kennworts deaktivieren.

Quickinfo

Produkt	NetOp Desktop Firewall
Anbieter	NetOp Tech
Preis	299 EUR (10er Business-Lizenz)
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	233 MHz
Hauptspeicher	32 MByte
Festplatte	10 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Installation der recht kleinen Anwendung ist nach wenigen Sekunden abgeschlossen, da auch keinerlei Optionen einzustellen sind. Nach dem erforderlichen Neustart des Computers, erscheint das Konfigurationsfenster der Firewall und das Verwaltungsprogramm wird als Icon in der Taskleiste neben der Uhr angezeigt.

Der Einrichtungsassistent zeigt nach der Bestätigung des Startfensters alle laufenden Prozesse an und Sie können entweder alle laufenden Prozesse genehmigen, oder Sie wählen die zu genehmigenden Prozesse einzeln aus. Über den nächsten Dialog legen Sie die lokale Netzwerkschnittstelle fest. Eine weitere Seite des Assistenten ermöglicht die Auswahl für den ausgehenden Netzwerkverkehr. Hier ist als Standard die Option „Allen ausgehenden Datenverkehr zulassen (Standardeinstellung)“ ausgewählt. Gemäß den Testkriterien belassen wir es dabei. Danach ist die Firewall einsatzbereit. Die Installation lässt sich auch automatisieren, was beim Rollout auf zahlreichen Computern extrem hilfreich ist.

Die Verwaltungsoberfläche der Firewall bietet eine moderne und aufgeräumte Oberfläche, die zahlreiche Einstellungsmöglichkeiten bietet. Sie können in der Oberfläche bestehende Regeln anpassen oder neue Regeln erstellen. Es lassen sich darüber hinaus zahlreiche Einstellungen vornehmen, um die Sicherheit zu überwachen. Auch der Internet Explorer erhält keinen automatischen Zugriff auf das Internet. Sie müssen den Zugriff beim Start zunächst genehmigen. Für jede Sicherheitsabfrage können Sie sich Details des Datenverkehrs anzeigen lassen, was Profis sicherlich entgegenkommt.

Überwachung und Reporting

Über die Verwaltungsoberfläche der Firewall können Sie das Ereignisprotokoll aufrufen, in dem alle Ereignisse der Firewall angezeigt werden. Klicken Sie ein Ereignis an, erhalten Sie ausführlichere Informationen.

Die Überwachung bietet eine Legende, nach der sich die Ereignisse leichter überschauen lassen. Zusätzlich lassen sich Pakete anzeigen, sowie Statistiken und weitere Informationen. Der Datenverkehr der Firewall lässt sich durch diese vielfältigen Möglichkeiten sehr effizient überwachen.

Der NetOp Policy Server zeichnet Anfragen für zugelassene und nicht zugelassene Programme, Anmeldungen und Synchronisationen auf. Diese Daten können grafisch oder auch in einer Liste dargestellt werden. Durch Abfragen können beispielsweise alle Computer aufgelistet werden, die versuchen, Dateien mit bösartigem Inhalt auszuführen.

Schutzfunktionen

Der wahre Nutzen einer Firewall zeigt sich erst durch den Test der Schutzfunktionen. Der erste Test ist der beschriebene Leaktest. Im ersten Schritt wurde das Programm gestartet und eine Internetverbindung aufgebaut. Erwartungsgemäß erkennt die Firewall den Zugriff und fragt nach, ob er gestattet werden soll. Trotz Umbenennung in iexplore.exe erkennt die Firewall an Hand der Prüfsumme, dass es sich nicht um den Internet Explorer handelt.

NetOp blockiert den Zugriff des Keyloggers pcAudit nicht automatisch, warnt jedoch davor, dass der Windows-Explorer Daten ins Internet übertragen will. Obwohl wir den der Zugriff nicht erlauben, schafft pcAudit es, Daten ohne weitere Meldung der Firewall ins Internet zu übertragen. Bei diesem Test fällt die NetOp Firewall durch.

Den ersten Test mit dem Trivial Firewall Leak Checker, besteht die Firewall. Es werden keine Daten übertragen und eine Meldung der Firewall erscheint. Den Firehole 1.01 besteht die Firewall ebenfalls. Sie erkennt, dass eine fremde Anwendung versucht, den Internet Explorer zu kapern und Daten zu übertragen. Den nächsten Test mit dem Atelier Web Firewall Tester 3.2 besteht die Firewall teilweise mit 6 von 10 Punkten. Alle vier Tests des Wallbreaker 4.0 besteht die Firewall, was die wenigsten Firewalls in unserem Testfeld schaffen.

Fazit

Zwar lassen sich die Prozesse der Firewall ohne Schwierigkeit beenden, dennoch wirkt der Schutz auf Treiberebene weiter und unterbindet so den kompletten Netzwerkverkehr zum PC, so dass dieser zumindest geschützt bleibt. Erst nach einem Neustart des PCs werden die Dienste und Prozesse wieder gestartet.

Die NetOp Desktop Firewall ist eine sichere und effizient zu bedienende Firewall. Unternehmen machen sicherlich nichts falsch, wenn sie diese Firewall einsetzen. Hervorzuheben ist die zentrale Verwaltung, die ansonsten keine Firewall bietet. Die Bedienung ist für Anfänger teilweise etwas komplex, für fortgeschrittene Benutzer bietet die Firewall aber zahlreiche Konfigurationsmöglichkeiten.

Neu: Norman Personal Firewall 1.42

Die Firma Norman bietet einige Sicherheitsprogramme für Computer an, darunter auch eine Desktop Firewall. Norman hat private als auch geschäftliche Anwender im Fokus. Das Unternehmen bewirbt die Firewall mit einigen interessanten Funktionen, die in vielen anderen Firewalls nicht enthalten sind, darunter eine Zeitsteuerung der Regeln, einen Kinderschutz und die aktive Kontrolle von Internet-Seiten vor gefährlichen Skripten.

Quickinfo

Produkt	Norman Personal Firewall 1.42
Anbieter	Norman Personal Firewall 1.42
Preis	29 EUR
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	k.A.
Hauptspeicher	k.A.
Festplatte	k.A.
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	ja (eingeschränkt)
Intrusion Detection	nein

Installation und Konfiguration

Die Installation der Norman Personal Firewall verläuft unspektakulär. Sie klicken sich durch ein paar Fenster und starten den Computer neu, Einstellungen lassen sich nicht vornehmen. Nach dem Neustart können Sie sich an die Konfiguration der Firewall machen. Hier haben Sie die Wahl zwischen manueller Konfiguration oder einer Standardkonfiguration.

Die Optik der Verwaltungsoberfläche ist etwas altbacken, sie bietet zahlreiche Menüs mit weiteren Untermenüs und verschiedenen Schaltflächen. Das Bedienkonzept der Firewall ist nicht besonders durchdacht: so muss zum Beispiel erst manuell eine Liste geladen werden, um den Inhaltsfilter verwenden zu können.

Die verschiedenen Sicherheitszonen verwirren und die Bezeichnungen der Menüs sind auch nicht immer hilfreich. Neben dem Lernmodus erlaubt die Firewall das manuelle Erstellen von Regeln. Jedoch glänzt die Oberfläche auch hier nicht gerade mit Benutzerfreundlichkeit und Übersichtlichkeit.

Überwachung und Reporting

Das Protokoll der Firewall ist im Dateisystem als Textdatei abgelegt. Der Speicherort lässt sich anpassen, ein Netzwerkzugriff ist somit möglich. Die Anzeige des Protokolls erfolgt in der Verwaltungsoberfläche zwar formatiert, aber es gibt keine Statistiken oder Grafiken.

Die protokollierten Informationen reichen aus, um das Verhalten der Firewall zu überwachen. Weitergehende Optionen wie das direkte Aufrufen von Protokollen über das Netzwerk oder eine E-Mail-Funktion gibt es nicht.

Schutzfunktionen

Beim Leaktest 1.2 erkennt die Firewall schon den ersten Zugriff nicht, so dass das Umbenennen in iexplore.exe gar nicht mehr nötig ist. Auch den Internet-Zugriff des Keyloggers pcAudit bemerkt die Firewall nicht.

Den Test mit dem Trivial Firewall Leak Checker, besteht die Firewall. Den Versuch von Firehole 1.01, den Internet Explorer zur Übertragung zu kapern, bemerkt Norman dagegen nicht. Schlimm auch das Ergebnis beim Atelier Web Firewall Tester 3.2: 0 von 10 Punkten. Eben solches gilt für die vier Tests des Wallbreaker 4.0. Die Firewall kann keinen verhindern.

Norman Personal Firewall – Fazit

Leider lassen sich die Prozesse Firewall ohne Schwierigkeiten beenden und ein Schutz der Firewall - sofern er vorher überhaupt vorhanden war - ist nicht mehr feststellbar. Erst nach einem Neustart der Anwendung werden die Dienste und Prozesse wieder aktiviert. Eine Warnung oder einen Eintrag im Log sucht man vergebens.

Die Norman Personal Firewall ist im derzeitigen Stand noch viel zu unsicher. Erschreckenderweise sind noch nicht mal alle Ports geschlossen, so dass Angreifer über einen Portscan Verbindung mit dem Computer aufbauen können, abhängig davon ob einem Netzwerk vertraut wird oder nicht. In dieser Testreihe finden sich zahlreiche Desktop Firewalls, die besseren Schutz bieten und zudem auch noch kostenlos sind wie beispielsweise Outpost, ZoneAlarm oder Comodo. Der Kauf der Firewall kann grundsätzlich nicht empfohlen werden, da es viel zu viele offene Sicherheitslücken gibt. Auch das Bedienkonzept kann nicht überzeugen.

McAfee Total Protection for Small Business

Bei diesem Programm handelt es sich um eine Programmsammlung, die neben einer Desktop-Firewall auch zusätzliche Komponenten wie Viren-, Spyware-, Spam- und Phishing-Schutz bietet. Anwender, die nur eine Desktop Firewall suchen, greifen besser zur McAfee Desktop Firewall, die wesentlich günstiger ist. McAfee Total Protection ist hauptsächlich für kleinere Unternehmen mit mehreren PCs ausgelegt, da die Verwaltung über eine zentrale Oberfläche stattfindet.

Quickinfo

Produkt	McAfee Total Protection for Small Business
Anbieter	Personal Firewall Plus
Preis	46,90 EUR
Systemvoraussetzungen
Betriebssystem	Windows NT/2000/2003/XP
CPU	100 MHz
Hauptspeicher	128 MByte (Win XP)
Festplatte	35 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Konfiguration und Reporting

Bereits während der Installation kann der Anwender auswählen, welche Funktionen zu installieren sind, sodass auf PCs keine unnötigen Komponenten landen. Für diesen Test haben wir explizit nur die Firewall-Funktion der Anwendung installiert. Bei der Firewall handelt es sich um die bisher verfügbare Personal Firewall von McAfee in der aktualisierten Version 7.0.317. Die Installation ist schnell abgeschlossen, ein Neustart ist nicht notwendig.

Die Firewall bindet sich zwar in das XP-Sicherheitscenter ein, lässt sich aber auch über das McAfee Securitycenter verwalten. Von hier werden auch weitere McAfee-Applikationen verwaltet, wie zum Beispiel der McAfee Virenschutz und die anderen Funktionen innerhalb von McAfee Total Protection for Small Business.

Die Bedienung der Firewall hat sich im Vergleich zu ihren Vorgängern nicht großartig verändert. Generell erscheinen weniger Meldungen und Regeln, die meisten werden automatisch erstellt. Die Bedienung ist daher auf den ersten Blick zunächst einfacher als bei anderen Firewalls. In der Version 7 der Personal Firewall Plus kann der Anwender Applikationen auch einmaligen Zugriff auf das Internet gewähren.

An der Überwachung und dem Logging der Firewall hat sich im Vergleich zu den Vorgängerversionen wenig geändert. Es werden immer noch sehr wenige Informationen protokolliert. Auch eine Abfrage der Log-Dateien über das Netzwerk ist nicht möglich. Die Option, entdeckte Angriffe per E-Mail oder Nachrichtendienst zu melden, fehlt komplett, Warnungen werden lediglich auf dem PC des Anwenders angezeigt.

Schutzfunktionen

Wie schon der Vorgänger protokolliert die Version 7 zwar den versuchten Zugriff auf einzelne Ports, erkennt aber noch immer keinen Portscan an sich.

Leaktest mit LeakTest 1.2

McAfee besteht den Test mit LeakTest 1.2. Die Firewall erkennt den versuchten Verbindungsaufbau durch die umbenannte Datei. Wenn firefox.exe durch den Leaktest ersetzt wird, meldet die Personal Firewall das zwar nicht, aber der Zugriff der Datei wird zuverlässig blockiert.

Keylogger-Test

Den Keylogger-Test mit pcAudit besteht die McAfee Personal Firewall nicht. Weder wird die Installation des Keyloggers bemerkt, noch wird die Datenübertragung ins Internet verhindert. Ein installierter Keylogger könnte dadurch leicht Daten ausspähen und ins Internet übertragen, ohne dass die Firewall etwas mitbekommt.

Speicherangriff mit mehreren Leaktests

Die Tests mit dem Trivial Firewall Leak Checker und der Software FireHole 1.01 besteht die Personal Firewall Plus. Das externe Programm darf den Browser zwar starten, aber keine Daten ins Internet übertragen.

Web Firewall Test 3.2

Beim Test mit dem Atelier Web Firewall Tester 3.2 fällt McAfee bei allen Proben durch. Auch beim Test mit Wallbreaker 4.0 macht McAfee keine allzu gute Figur: Nur den zweiten Test besteht die Firewall, bei allen anderen wird sie vollkommen ausgehebelt.

Die Prozesse der Personal Firewall lassen sich viel zu leicht von außen stehenden Programmen beenden. Der Computer ist dann zwar nicht völlig ungeschützt, dennoch entstehen dadurch unnötige Sicherheitslücken.

Fazit

Zu McAfee Total Protection for Small Business lässt sich zunächst festhalten, dass die Bedienung im Gegensatz zur Outpost Firewall eher für Einsteiger gedacht ist, die eine Personal Firewall ohne viel Einstellungsmöglichkeiten und Meldungen benötigen. Die Firewall hat zwar deutliche Sicherheitslücken, welche durch die genannten Penetrationstests aufgedeckt werden, ist aber im Großen und Ganzen noch immer eine relativ sichere Firewall die auch Anfänger nicht überfordert. Anwender die auf eine hochsichere Umgebung achten, sollten aber besser auf eine andere Firewall ausweichen, da das symbolische Scheunentor nicht ganz aufsteht, aber sicher nicht geschlossen ist.

Norton Internet Security 2007

Alle Jahre wieder bringt auch Symantec eine neue Version seiner Norton Internet Security heraus. Der Fokus liegt wieder auf Anwendern, die eher zu den Einsteigern gehören und nicht mit zu vielen Statusmeldungen und Fenstern belästigt werden wollen.

Nach dem durch die Installation fälligen Reboot startet der Assistent zur Einrichtung. Der erste Schritt besteht in der Aktivierung der Software und dem Herunterladen von Updates über LiveUpdate. Ab der Aktivierung läuft auch die Dauer des Abonnements in dessen Verlauf Sie Produktupdates erhalten. Größere Neuerungen im Vergleich zur 2006er-Version gibt es keine. Für die Norton Internet Security 2007 gibt es ein kostenloses Add-On-Pack, welches die Suite unter anderem um Anti-Spam und Jugendschutz erweitert. Diese Funktionen sind nicht Bestandteil des Tests, da nur die Firewall-Funktionalitäten getestet werden.

Quickinfo

Produkt	Norton Internet Security 2007
Anbieter	Norton Internet Security 2007
Preis	59,99 EUR
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	300 MHz
Hauptspeicher	256 MByte (Win XP)
Festplatte	350 MByte
Komponenten
ID-Schutz	ja
Ad-Blocker/Content-Filter	ja
Intrusion Detection	ja

Konfiguration

Beim Start der Firewall kann der Anwender zwischen verschiedenen Rollen auswählen (Büro, Privat, Unterwegs) oder benutzerdefinierte Einstellungen verwenden. Computer, die sich im gleichen Subnetz befinden, lassen sich automatisch als vertrauenswürdig einstufen, so dass der Zugriff auf die Rechner im LAN nicht unnötig blockiert wird. Auf der anderen Seite entstehen dadurch unter Umständen Sicherheitslücken, da sich über diesen Weg Würmer im LAN verbreiten können. Nach dem Start schlägt der Assistent eine automatische Aktualisierung per LiveUpdate vor, welche die Firewall auf den neuesten Stand bringt. Bis zu diesem Punkt kommen auch Anfänger mit der Bedienung sehr leicht zurecht. Im Vergleich zu den Vorversionen haben sich keine größeren Änderungen ergeben.

Die Erstellung von Regeln gestaltet sich denkbar einfach, die Oberfläche ist ohnehin seit Jahren bis auf kosmetische Änderungen nahezu gleich geblieben. Für die meisten Applikationen werden automatisch Regeln erstellt und keine Informationsfenster eingeblendet. Der Zugriff auf das Internet mit dem Internet Explorer ist ohne weitere Maßnahmen sofort möglich, auch Mozilla Firefox erhält automatisch Zugriff. Trotz der einfach bedienbaren Oberfläche können auch versiertere Anwender komplexe Regelwerke manuell erstellen oder die automatisch erstellten Regeln abändern.

Reporting und Überwachung

Wie ihre Vorgänger bietet auch die Norton Internet Security 2007 die Möglichkeit, genaue Analysen der Tätigkeit anzuzeigen. Die Protokollanzeige ermöglicht die spezifische Anzeige und Kontrolle aller aktuellen Aktionen.

Schutzwirkung

Bedenklich stimmt, dass die Firewall vollkommen ohne Murren die Datei leaktest.exe Verbindung zum Internet aufbauen und Daten senden lässt und zwar vollkommen ohne Meldung. Bei diesem Test fällt die Norton Internet Security daher schon durch, bevor er überhaupt beginnen kann, da nicht mal die Grundsicherung vorhanden ist. Trojanern steht in diesem Bereich schon mal Tür und Tor offen.

Beim Keylogger-Test mit pcAudit zeigt sich, dass die Firewall in der Internet Security den Download des Leaktest-Programms blockiert. Das ist zwar grundsätzlich ein Zeichen für Sicherheit, aber den Download von Testprogrammen zu blockieren, reicht für eine sichere Internetverbindung sicherlich nicht aus. Generell lässt sich an dieser Stelle sagen, dass die Firewall die Ausführung des Tests in allen Richtungen verhindert, was eine deutliche Verbesserung zur Norton Personal Firewall 2006 darstellt.

Weitere Leaktests und Fazit

Den Test mit dem Trivial Firewall Leak Checker besteht die Firewall im Gegensatz zur Vorgängerversion. Den Test mit der Software FireHole 1.01 besteht Sie Norton Internet Security 2007 nur, weil der Virenscanner den Download verhindert. Wird der Virenschutz deaktiviert und die Firewall alleine getestet, scheitert die Norton Internet Security. Das externe Programm darf den Browser starten und beliebige Daten ins Internet übertragen. Den Test mit dem Atelier Web Firewall Tester 3.2 besteht Norton ebenfalls nicht. Alle Sicherheitslücken im Test können die Firewall aushebeln. Die Vorgängerversion hatte wenigstens den sechsten Test bestanden. Auch die vier Tests des Wallbreaker 4.0 besteht die Firewall nicht. Alle vier Leaks können problemlos Daten ins Internet übertragen.

Fazit

Die Norton Internet Security ist hauptsächlich für Anfänger gedacht. Es erscheinen wenig Fenster und die Firewall regelt sich weitgehend alleine. Gravierend sind die zahlreichen von den diversen Leak-Tests aufgedeckten Sicherheitslücken. In diesem Bereich muss Symantec noch deutlich nacharbeiten, da die Firewall viel zu leicht ausgehebelt werden kann. Sich auf den Virusschutz zu verlassen, kann nicht der Weisheit letzter Schluss sein, da dieser unter Umständen bei neuen, unbekannten Trojanern scheitert. Denn eigentlich sollte die Firewall, die letzte Verteidigungslinie gegen das unerwünschte Übermitteln von Daten sein.

Panda Internet Security 2007

Die Panda Internet Security 2007 enthält neben der Firewall auch einen Viren- und Spyware-Scanner, Schutz vor Phisihing- und Spam-Mails, sowie eine Kindersicherung für den Webzugriff.

Das Intrusion Prevention System von Panda Software „TruPrevent“ überwacht permanent alle laufende Prozesse und identifiziert Schädlinge anhand Ihres Verhaltens und nicht nur basierend auf Signaturdateien. Im Fokus dieses Tests steht die Firewall-Funktion der Suite.

Quickinfo

Produkt	Panda Internet Security 2007
Anbieter	Panda Internet Security 2007
Preis	79,95 EUR (3er-Lizenz)
Systemvoraussetzungen
Betriebssystem	Windows 98SE/Me/NT/2000/XP
CPU	500 MHz
Hauptspeicher	256 MByte
Festplatte	160 MByte
Komponenten
ID-Schutz	ja
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Neben der Wahl zwischen Standard- und benutzerdefinierter Installation kann lässt sich eine Minimalinstallation selektieren, die vor allem für leistungsschwächere PCs gedacht ist. Für den Test haben wir nur die Firewall-Komponente installiert. Allerdings lässt sich der Viren- und Spyware-Grundschutz nicht deaktivieren.

Eine Besonderheit ist die Möglichkeit, auswählen zu können, ob die Panda-Firewall oder die Windows XP-Firewall verwendet werden soll. Der Sinn einer solcher Auswahl ist schleierhaft und verwirrt unbedarfte Anwender eher. Auch nach der Installation der Panda Suite, muss der PC neu gestartet werden.

Nach der Installation wird durch ein neues Icon in der Taskleiste symbolisiert, dass die neue Software installiert wurde. Das Verwaltungsprogramm lässt sich durch Doppelklick auf das Icon starten. Die Oberfläche ist durch zahlreiche verschachtelte Menüs und Schaltflächen auch für geübte Anwender unübersichtlich.

Die Firewall bietet jedoch zahlreiche Möglichkeiten zur Anpassung. Es können Profile erstellt werden, einzelnen Programmen kann der Zugriff auf das Internet gewährt werden, und Sie können komplexe Firewall-Regeln erstellen. Selbst Sicherheitsfanatiker können sich hier problemlos austoben. Der Internet Explorer 7 und Mozilla Firefox erhalten sofort Zugriff auf das Internet. Nach der Installation beginnt das Programm darüber hinaus zunächst mit einer automatischen Aktualisierung, die mit einem Neustart endet. Nach der Installation integriert sich die Panda Internet Security 2007 in das Windows-Sicherheitscenter.

Überwachung und Reporting

Die Panda Internet Security bietet ausführliche Berichte, die in der Verwaltungskonsole angezeigt werden. Auch die Möglichkeit der Filterung besteht. Die Berichte werden grafisch aufbereitet und können ausgedruckt oder exportiert werden. Allerdings besteht keine Möglichkeit, auf Berichte anderer PCs im Netzwerk zuzugreifen oder diese zentral zu steuern. Das ist vor allem daher schade, da die Lizenz bis zu drei PCs im Haushalt abdeckt.

Schutzfunktionen

Die Firewall erkennt den Internetzugriff des Leaktests nicht und lässt das Programm ohne weiteres auf das Internet zugreifen. Selbst bei der nachträglichen Installation der Funktion „Kontrolle der Internet-Schutzstufe“ erscheint keine Meldung und das Testprogramm darf auf das Internet zugreifen.

Der Keylogger-Angriff durch pcAudit verhindert Panda schon im Vorfeld durch den Virengrundschutz. Wird die Datei vom Virenscanner ausgeklammert, verhindert die Firewall die Datenübertragung nicht. Berücksichtigt man die Blockade des Programms durch den Virenscanner, besteht die Suite den Test wenigstens zur Hälfte.

Firewall-Leaktester

Den ersten Test mit dem Trivial Firewall Leak Checker, besteht die Firewall zunächst dadurch, dass der Virenscanner die Datei blockiert. Ignoriert man diese Meldung und lädt das Tool dennoch herunter, sollte eigentlich die Firewall den Zugriff blockieren. Obwohl das Leaktool die CPU-Last auf 100% steigert, wird erfolgreich blockiert. Bei Firehole 1.01 wird der Zugriff ebenfalls wieder durch den integrierten Virenscanner blockiert. Ohne den Virenschutz fällt die Firewall durch. Es erscheint keine Sicherheitswarnung und der potentielle Angreifer erhält Zugriff auf das Internet.

Düster sieht es beim Atelier Web Firewall Tester 3.2 mit seinen sechs Tests aus. Panda kann keinen einzigen der Tests bestehen. Auch der Wallbreaker 4.0 kann bei allen 4 Tests Daten übermitteln. In Summe ist das ein untragbares Ergebnis für eine Firewall, da de Fakto kein Schutz besteht, wenn nicht auf die anderen Komponenten der Suite zurückgegriffen wird. Da hilft es auch nichts, wenn die Firewall gegen ein Beenden des Prozesses geschützt ist.

Fazit

Die Firewall in der Panda Internet Security 2007 ist beim Schutz gegen Trojaner und Keylogger, die persönliche Daten ins Internet schicken wollen, nahezu unbrauchbar. Dem Anwender bleibt nur zu hoffen, dass neue Bedrohungen schnell durch den Virenscanner abgedeckt werden.

Es können zwar komplexe Regeln erstellt werden, aber was nützt das, wenn die Firewall dennoch problemlos ausgehebelt werden kann. Die wenigsten Angriffe erfolgen heutzutage von außen, sondern meistens durch Schadroutinen von Internetseiten, Programmen und E-Mails. Auch hier lässt sich festhalten, dass es bessere Firewalls gibt, die nichts kosten und in Verbindung mit ebenfalls kostenlos erhältlichen Virenscannern deutlich besseren Schutz bieten.

Softperfect Personal Firewall

Softperfect bietet neben kommerziellen Produkten zur Computer-Sicherheit auch eine kostenlose Personal Firewall an, die vor allem durch ihre sehr geringe Größe von unter 1 MByte auffällt. Die Firewall steht allerdings nur in englischer Sprache zur Verfügung.

Quickinfo

Produkt	Softperfect Personal Firewall
Anbieter	Softperfect Personal Firewall
Preis	Kostenlos
Systemvoraussetzungen
Betriebssystem	Windows 95, 98, ME, NT, 2000, XP, 2003
CPU	k.A.
Hauptspeicher	k.A.
Festplatte	k.A.
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Installation der Firewall gestaltet sich recht einfach. Sie können während der Installation keinerlei Änderungen vornehmen. Nach dem fälligen Neustart erscheint das erste Einrichtungsfenster der Firewall. Dieses ist allerdings keinesfalls für Anfänger geeignet und selbst fortgeschrittene Nutzer wundern sich über die rudimentäre Einrichtung.

Nachdem Sie das erste Fenster zur Einrichtung bestätigt haben, wird die Firewall gestartet und kann über das Icon in der Taskleiste verwaltet werden. Über das Kontextmenü des Icons können Sie sogar den kompletten Internetverkehr stoppen. In der Standardeinstellung wird zunächst der komplette Datenverkehr blockiert, bis auf Abfragen per DNS. So können zwar die IP-Adressen der Internet-Seiten ermittelt werden, da aber noch keine Regeln für den Internetzugriff festgelegt sind, können Sie keine Internetseiten öffnen. Anfänger sind an dieser Stelle zwar gut geschützt, verzweifeln aber, da kein Zugriff stattfindet.

Konfigurationsprobleme

Erst wenn Sie über das Kontextmenü der Firewall den „Learning Mode“ aktivieren, erscheinen Meldefenster, über deren einzelne Schaltflächen Sie den Zugriff gestatten oder blockieren können. Dabei erscheint nicht nur ein einzelnes Fenster, sondern für jede einzelne Verbindung und jeden Port erscheint eine separate Abfrage. Das ist gut für fortgeschrittene, aber sicherlich sehr ineffizient für Anfänger. Bis wir in den Tests eine Internetseite öffnen konnten, mussten wir mehrere dutzend Fenster wegklicken.

Das ist zwar sicher aber keinesfalls benutzerfreundlich. Haben Sie beim Start der Firewall nicht bereits die Aktivierung von „WWW“ ausgewählt, blockiert die Firewall jeglichen Zugriff. Starten Sie in diesem Fall die Konfigurationsoberfläche, klicken auf „Preset Rules“ und wählen die Funktion aus, die Sie im Internet nutzen wollen.

Erst nach dieser Bestätigung funktioniert der Internetzugriff. In diesem Fall können Sie auch den „Learning Mode“ wieder deaktivieren. Erstellte Regeln lassen sich als XML-Datei exportieren und so jederzeit wieder einlesen. Die Firewall deaktiviert nicht die Windows-Firewall und integriert sich daher auch nicht in das Sicherheitscenter, sondern wird parallel betrieben.

Überwachung

Die Überwachung und das Reporting der Firewall findet über die lokale Verwaltungsoberfläche statt. Hier sehen Sie alle relevanten Ereignisse für die Firewall, die aber nur sehr dürftig protokolliert werden. Ein Portscan wird zum Beispiel nicht protokolliert. Das Abrufen der Protokolle über das Netzwerk ist genauso wenig möglich, wie das Exportieren oder die Konfiguration des Loglevels.

Schutzfunktionen

Die Firewall erkennt den Zugriff des ersten Leaktests nicht. Selbst bei aktiviertem Learning Mode erscheinen zwar wieder zahlreiche Fenster, aber im Hintergrund werden die Daten ins Internet übertragen, ohne dass sich die Firewall daran stört. Beim nächsten Test mit dem Keylogger pcAudit blockiert die Firewall den Zugriff ebenfalls nicht.

Den Test mit dem Trivial Firewall Leak Checker besteht die Firewall. Den zweiten Test, Firehole 1.01, dagegen schon wieder nicht. Sie erkennt nicht, dass eine fremde Anwendung versucht den Internet Explorer zu kapern und Daten übertragen will. Beim Atelier Web Firewall Tester 3.2 fällt die Firewall komplett mit 0 von 10 Punkten durch. Dasselbe gilt beim Wallbreaker 4.0. So wenig Schutz hat noch keine Firewall in unseren Tests gebracht.

Fazit

Die Softperfect Personal Firewall ist kostenlos, bringt aber keinerlei Schutz für den Computer. Die Anwendung zu installieren macht also keinerlei Sinn, außer Sie erstellen die Zugriffsregeln selbst, was durch die zahlreichen Möglichkeiten durchaus sinnvoll sein kann. In diesem Fall wird die Firewall allerdings sehr benutzerunfreundlich. In den Standardeinstellungen bringt die Firewall jedenfalls keinerlei Schutz.

Trend Micro PC-cillin Internet Security 2007

Die Trend Micro PC-cillin liegt ebenfalls in einer neuen Version 2007 vor. Auch diese Suite enthält einige Funktionen zum Schutz vor Gefahren aus dem Internet. Wir nehmen uns hauptsächlich die Personal Firewall in der Security Suite vor. Insgesamt enthält die Suite folgende Schutzfunktionen:

• Antiviren-Sicherheit

• Betrugschutz

• Erweiterte Kindersicherung

• Personal Firewall

• Schutz vor Spyware

• Schwachstellenbewertung

• Steuerung privater Netzwerke

• Überwachung des Wireless-Netzwerks

Quickinfo

Produkt	Trend Micro PC-cillin Internet Security 2007
Anbieter	Trend Micro PC-cillin Internet Security 2007
Preis	49,95 EUR
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	350 MHz
Hauptspeicher	256 MByte
Festplatte	250 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Im Gegensatz zu den meisten anderen Suiten, können Sie bei der Installation nur zwischen einer vollständigen und einer minimalen Installation auswählen. Bei letzterer wird die Firewall nicht installiert. Aus diesem Grund wählen wir eine vollständige Installation und deaktivieren im Anschluss alle Funktionen außer der Firewall.

Die Installation zeigt anschließend nur wenige Fenster und ist nach wenigen Minuten abgeschlossen. Wie gewohnt ist ein Neustart erforderlich. Auch die PC-cillin Internet Security integriert sich mit einem eigenen Symbol in der Taskleiste, über welches Sie das Administrationsprogramm starten können. Sowohl das Sicherheits-Center als auch die Anwendung selbst melden nun, dass keine aktuelle Version vorliegt. Erst zwei Minuten nach dem Start erhält der ratlose Anwender die Information, dass die Software aktualisiert werden muss.

Die Aktualisierung kann bequem durch einen Klick in der Hauptkonsole gestartet werden. Die erste Aktualisierung überträgt recht viele Daten und dauert selbst bei einer DSL-Leitung mehrere Minuten. Die Aktualisierung erscheint etwas unübersichtlich, da sich das Windows -Sicherheits-Center vor Warnungen schier überschlägt, was vor allem ungeübte Anwender eher verunsichert. Nach der Aktualisierung und dem notwendigen Neustart, erscheinen keine weiteren Warnmeldungen.

Verwaltung

Die Verwaltung der Anwendung wird über das Icon in der Taskleiste gestartet und präsentiert sich übersichtlich. Die Firewall-Komponente ist nach der Installation auf die Stufe „Mittel“ voreingestellt. Die Verwaltung der Firewall ist ebenfalls in unterschiedliche Menüs verschachtelt, was die Bedienung zunächst erschwert.

Die Firewall lässt auch die Erstellung komplexer Regeln zu. Der Zugriff des Internet Explorer 7 und des Mozilla Firefox auf das Internet erfolgt ohne Zwischenfragen. Für Anwender mit Notebooks ist interessant, dass sich für unterschiedliche Netzwerke unterschiedliche Profile aktivieren lassen.

Überwachung und Reporting

Die Protokolle der Internet Security sind versteckt unter „Weitere Einstellungen“. Sie lassen sich filtern, exportieren und nach einer frei definierbaren Zeit automatisch überschreiben. Eine Abfrage über das Netzwerk ist nicht möglich. Ansonsten werden die Statusinformationen der einzelnen Komponenten im Hauptfenster angezeigt.

Schutzfunktionen

Die Firewall erkennt den Internetzugriff des Leaktest und zeigt ein Fenster, über das sich der Zugriff sperren lässt. Die Firewall zeigt dazu nicht nur den Namen der Applikation an, sondern deren vollständige Beschreibung. Nach der Umbenennung in iexplore.exe und erneutem Start, bringt die Firewall wieder eine Warnung, bei der sie den originalen Name angezeigt und nicht den neuen. Diesen Test besteht die Firewall also genauso, wie man es von einer Firewall erwartet.

Der Keylogger pcAudit kann dagegen seine Daten ungehindert ins Internet übertragen. Den ersten Test mit dem Trivial Firewall Leak Checker besteht die Firewall zunächst dadurch, dass die Firewall vor der Internetseite warnt. Wir ignorieren diese Meldung und starten die Datei dennoch, der Zugriff wird zuverlässig blockiert.

Bei Firehole 1.01 wird der Zugriff nicht blockiert. Und auch die sechs Tests des Atelier Web Firewall Tester 3.2 resultieren in einem Debakel: 0 von 10 Punkten. Dasselbe gilt für die Tests des Wallbreaker 4.0. Die Firewall fällt bei allen vier Tests durch.

Etwas besser: Alle Prozesse der Firewall lassen sich ohne weiteres beenden. Allerdings verliert daraufhin der PC auch die Verbindung zum Internet, so dass das Beenden keine Konsequenzen hat. Hilfreich wäre hier eine Warnmeldung, damit Anwender auch wissen was passiert.

Fazit

Für sich alleine genommen ist die Firewall zu unsicher. Erst wenn andere Zusatzfunktionen hinzu geschaltet werden, macht der Einsatz Sinn. Im Grunde genommen handelt es sich bei der Firewall in PC-cillin also um einen Portblocker von außen ohne zuverlässige Schutzfunktionen vor Leaks. Hier ist der Anwender komplett davon abhängig, dass für die anderen Tools in der Suite immer rechtzeitig neue Definitionen bereitstehen.

Webroot Desktop Firewall

Die Firma Webroot bietet einige Sicherheitsprogramme für Computer an, darunter auch eine Desktop Firewall. Die Internetseite des Herstellers ist zwar englisch, aber die Firewall lässt sich auch in deutsch herunterladen und installieren. Hilfe und Support der Anwendung sind allerdings in englisch gehalten.

Quickinfo

Produkt	Webroot Desktop Firewall
Anbieter	Webroot Desktop Firewall
Preis	29,95 US-Dollar
Systemvoraussetzungen
Betriebssystem	Windows XP, 2000 Pro, ME, 98 SE
CPU	233 MHz
Hauptspeicher	64 MByte
Festplatte	10 MByte
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Installation der Webroot Desktop Firewall verläuft unspektakulär. Sie klicken ein paar Standardinstallationsfenster durch und müssen den Computer neu starten. Während der Installation können Sie keine weiteren Einstellungen vornehmen.

Nach dem Neustart ist die Firewall aktiviert und Sie können sich an die Konfiguration machen. Auf der ersten Seite legen Sie fest, ob die Firewall automatisch gestartet werden soll. Auf der zweiten Seite wählen wir die Standardoption „Ja, ich möchte Windows-Komponenten automatisch zulassen (empfohlen)“. Als nächstes bestätigen Sie, dass die Firewall selbstständig Updates aus dem Internet herunterladen darf. Danach wählen wir die Standardoption, dass Dateien und Drucker auf dem Computer nicht freigegeben werden.

Sobald ein Programm Zugriff auf das Internet nehmen will, erscheint eine entsprechende Abfrage. Gut gefällt, dass die Standardauswahl für den Zugriff auf „Nein, Zugriff blockieren“ steht und die Regel nicht automatisch gespeichert wird. So sind auch Schnellklicker geschützt.

Überwachung und Reporting

Weniger gut gefällt, dass die Verwaltungskonsole der Firewall und die Prozesse der Firewall miteinander gekoppelt sind. Beendet ein Anwender die Verwaltungsoberfläche anstatt diese zu minimieren, wird auch die Firewall beendet und der Computer steht vollkommen ohne Schutz da. Die Oberfläche erscheint sehr aufgeräumt und Anfänger kommen mit dieser schnell zurecht. Fortgeschrittene Anwender können mit der Firewall allerdings keine komplexen Regeln erstellen, sondern Applikationen nur generell den Zugriff gestatten oder verbieten.

Auf der Startseite der Applikation zur Verwaltung, können Sie das Ereignisprotokoll der Firewall anzeigen lassen. Sie erhalten hier aber nur sehr eingeschränkte Informationen. Eine tiefer gehende Analyse der Log-Dateien oder eine Benachrichtigung über das Netzwerk sind genauso wenig möglich, wie das Exportieren von Log-Dateien. Das Protokoll lässt sich sortieren und löschen, mehr Auswahl gibt es nicht.

Schutzfunktionen

Beim Leaktest erkennt die Firewall den Zugriff erwartungsgemäß und fragt nach, ob er gestattet werden soll. Webroot erkennt auch das Umbenennen in iexplore.exe und fragt erneut nach, ob der Zugriff gestattet werden soll.

Die Firewall erkennt zwar den Angriff durch pcAudit und blockiert den Zugriff zunächst nach einer Meldung. Dennoch schafft pcAudit es, ohne weitere Meldung der Firewall beliebige Daten ins Internet zu übertragen.

Den ersten Test mit dem Trivial Firewall Leak Checker, besteht die Firewall. Es werden keine Daten übertragen, der Zugriff der Applikation auf das Internet wird automatisch gesperrt. Den zweiten Test, Firehole 1.01, besteht die Firewall nicht. Sie erkennt nicht, dass eine fremde Anwendung versucht, den Internet Explorer zu kapern und Daten zu übertragen. Beim Atelier Web Firewall Tester 3.2 erreicht die Firewall nur einen mageren Punkt von zehn möglichen. Die vier Tests des Wallbreaker 4.0 besteht die Firewall ebenfalls nicht.

Fazit

Die Prozesse der Firewall lassen sich ohne Schwierigkeiten beenden. Allerdings schützt die Firewall im Hintergrund auf Treiberebene den Computer weiter und unterbindet Netzwerkverkehr für nicht genehmigte Anwendungen. Erst nach einem Neustart der Anwendung werden die Dienste und Prozesse wieder gestartet. Kurioserweise erscheint erneut der Assistent zur Einrichtung der Firewall. Außerdem findet sich keine Warnmeldung, das Ereignisprotokoll wird sogar gelöscht.

Die Webroot Desktop Firewall ist beim derzeitigen Stand noch viel zu unsicher. Anfänger beenden unter Umständen versehentlich die Anwendung und fortgeschrittene Benutzer können keine komplexen Regeln erstellen. In dieser Testreihe bei tecchannel.de gibt es zahlreiche kostenlose Desktop Firewall die teilweise besseren Schutz bieten und auch noch kostenlos sind (Outpost, ZoneAlarm). Der Kauf der Firewall kann grundsätzlich nicht empfohlen werden.

Windows Vista Firewall

Die mit Windows XP SP2 eingeführte Windows-Firewall wurde von Microsoft für Windows Vista weiter optimiert. Die wichtigste Neuerung ist, dass nicht nur der eingehende Netzwerkverkehr überwacht wird, sondern auch der ausgehende.

Allerdings muss auch hier gesagt werden, dass angesichts der zahlreichen kostenlosen Alternativen wie ZoneAlarm oder Outpost die Windows-Firewall wohl eher ein Schattendasein bei Benutzern mit weniger Sicherheitsbedürfnis haben wird. Grundsätzlich ist aber eine etwas weniger sichere Firewall immer noch besser als überhaupt keine. Von außen ist ein Windows Vista-PC mit standardmäßig aktivierter Firewall vollkommen unsichtbar.

Quickinfo

Produkt	Windows Vista Firewall
Anbieter	Microsoft
Preis	In Vista integriert
Systemvoraussetzungen
Betriebssystem	Windows Vista
CPU	k.A.
Hauptspeicher	k.A.
Festplatte	Integriert in Vista
Komponenten
ID-Schutz	nein
Ad-Blocker/Content-Filter	nein
Intrusion Detection	nein

Installation und Konfiguration

Die Firewall ist automatisch nach dem Start aktiviert. Sie unterstützt für Unternehmenskunden auch die Erstellung von Filtern im Active Directory sowie die Verknüpfung mit IPSec-Richtlinien.

Die Konfiguration erfolgt über eine Microsoft Management Console (MMC), die Sie über Start/Ausführen/wf.msc erreichen. Zur Konfiguration von Firewall-Regeln sind administrative Berechtigungen notwendig, die via UAC angefordert werden. In dieser Konsole können Regeln basierend auf ein- und ausgehendem Netzwerkverkehr eingerichtet werden. Auch Benachrichtigungen in der Ereignisanzeige lassen sich in dieser Konsole konfigurieren.

Einstellungen der Firewall lassen sich im- und exportieren, sowie über Gruppenrichtlinien festlegen, wenn Sie den Computer in einer Windows-Domäne einsetzen. Alternativ können Sie die Firewall auch über lokale Richtlinien konfigurieren, die Sie über Start/Ausführen/gpedit.msc aufrufen.

Überwachung und Reporting

Die Überwachung und das Reporting der Firewall findet über die lokale Verwaltungsoberfläche statt, die Sie am besten über Start/Ausführen/wf.msc aufrufen. Mit Hilfe der Oberfläche können Sie die einzelnen Regeln verfolgen, sowie die Protokolle überprüfen. Standardmäßig protokolliert die Windows Firewall nicht in die offizielle Windows-Ereignisanzeige, sondern verwendet die Datei C:\Windows\System32\LogFiles\Firewall\Pfirewall.log. In der Standardeinstellung ist die Größe dieser Datei auf maximal 4 MByte festgelegt.

Schutzfunktionen

Der erste Test ist der beschriebene Leaktest. Hier wird zunächst mit dem Programm eine Internetverbindung aufgebaut. Die Firewall erkennt den Zugriff des Leak-Tests jedoch nicht und fragt dementsprechend auch nicht nach, ob er gestattet werden soll.

Auch den Versuch des Keyloggers pcAudit, Daten ins Internet zu übertragen, erkennt die Vista Firewall nicht.

Den ersten Test mit dem Trivial Firewall Leak Checker besteht die Firewall. Es werden keine Daten übertragen und eine Meldung der Firewall erscheint. Den zweiten Test, Firehole 1.01, besteht die Firewall dagegen nicht. Sie erkennt nicht, dass eine fremde Anwendung versucht, den Internet Explorer zu kapern und Daten zu übertragen.Auch der Internet Explorer 7 kann den Angriff nicht verhindern. Beim Atelier Web Firewall Tester 3.2 sind nicht alle Tests Vista-kompatibel, so dass ein 2:2 herauskommt. Grundsätzlich lässt sich aber auch hier festhalten, dass die Vista-Firewall nicht gerade sicher abschneidet. Die vier Tests des Wallbreaker 4.0 besteht die Firewall ebenfalls nicht.

Fazit

Im nächsten Schritt wird versucht, die Firewall zu beenden. Die Windows-Firewall wird über den SVChost gestartet - einen Systemdienst von Vista. Würde es einem Angreifer gelingen den entsprechenden Prozess der Vista-Firewall zu beenden, wird diese durch die Einstellungen des Systemdienstes „Windows-Firewall“ automatisch wieder neu gestartet. Bis zu diesem Neustart jedoch ist der Computer angreifbar.

Die Windows Vista-Firewall bringt zwar etwas höheren Schutz als die Firewall von Windows XP SP2 und ist besser als überhaupt keine Firewall. Allerdings kann man nicht gerade behaupten, dass die Vista-Firewall einen PC zuverlässig schützt. Anwender die viel unterwegs sind, sollten daher eine zusätzliche Firewall installieren, die Vista-kompatibel und sicher ist. Per Default ist die Windows-Firewall so eingestellt, dass ausgehender Netzwerkverkehr automatisch zugelassen wird, wenn keine entsprechende Regel das verbietet. Hier wäre es sinnvoll, wenn Microsoft den Ansatz anderer Entwickler aufgreifen würde, einen Lernmodus zu integrieren.

ZoneLabs ZoneAlarm Pro 6.5

ZoneLabs bietet neben seiner kostenlosen Firewall ZoneAlarm auch eine kostenpflichtige Pro-Variante an. In der neuen Version 6.5 wurde im Vergleich zur Version 6.0 einige Verbesserungen eingebaut. Auch die Freeware-Version von ZoneAlarm ist jetzt in der Version 6.5 erhältlich. Unter anderem bietet die Version 6.5 einen Phishing-Schutz, bessere Unterstützung von Online-Spielen und besseren Schutz vor Webseiten die Spyware auf den PC installieren wollen. Dazu wurden die bereits vorhandenen Sicherheitsoptionen verbessert.

Nach der Installation erscheint der Assistent zur ersten Einrichtung. Sind alle Eingaben vorgenommen, ist ein Neustart fällig, nach dem die Verwaltungsoberfläche der Firewall erscheint. Hier lässt sich auswählen, in welcher Zone der Computer betrieben wird. Bei Notebooks ist beispielsweise einstellbar, dass auch Verbindungen im gleichen Subnetz misstraut wird.

Wie bei Outpost sind zunächst für alle Programme Firewall-Regeln zu erstellen. Es gibt keine Default-Regeln für Programme wie Internet Explorer oder Mozilla Firefox. Die grundsätzliche Bedienung gestaltet sich wie bei allen anderen Firewalls: Sobald eine Applikation auf das Internet zugreifen will, erscheint ein Warnfenster, in dem man den Zugriff zulassen oder verweigern kann. Die einzelnen Regeln lassen sich auch im Anschluss in der Programmoberfläche detailliert konfigurieren. Die grundlegenden Funktionen und die Bedienung sind noch weit gehend mit der Vorgängerversion 5 identisch.

Quickinfo

Produkt	ZoneLabs ZoneAlarm Pro 6
Anbieter	ZoneAlarm Pro 6
Preis	35,95 EUR (Preisvergleich)
Systemvoraussetzungen
Betriebssystem	Windows 2000/XP
CPU	450 MHz
Hauptspeicher	128 MByte (Win XP)
Festplatte	50 MByte
Komponenten
ID-Schutz	ja
Ad-Blocker/Content-Filter	ja
Intrusion Detection	ja

Reporting und Überwachung

ZoneAlarm meldet jede ausgeführte Aktion. In der Protokolldatei lassen sich alle Vorgänge innerhalb der Firewall nachverfolgen und anzeigen. Die wichtigsten statistischen Ereignisse zeigt ZoneAlarm direkt in der Verwaltungskonsole an.

Schutzfunktionen

ZoneAlarm blockiert den Zugriff von LeakTest 1.2 zuverlässig. Selbst nach Umbenennung der Datei in firefox.exe erkennt ZoneAlarm, dass es sich um LeakTest 1.2 handelt. Es blockiert den Zugriff und meldet den Austausch des Programms. Der Anwender erhält ein Informationsfenster und kann den Zugriff des Programms erlauben oder verhindern. Allerdings wäre es sicherer, wenn die Firewall auch nach der Umbenennung den Trojaner noch erkennen würde und nicht erneut nachfragen müsste. Auf jeden Fall erkennt ZoneAlarm Pro zuverlässig den Programmaustausch und blockiert die Internet-Verbindung. Auch die kostenlose Version von ZoneAlarm verhindert an dieser Stelle den Internet-Zugriff.

Keylogger und Leaktest

Den Keylogger-Test mit pcAudit besteht ZoneAlarm. Bevor das Programm eine Verbindung aufbauen kann, bemerkt und meldet ZoneAlarm die verdächtigen Zugriffe und die Aktivierung des Keyloggers. Es wird eine detaillierte Meldung ausgegeben, die bereits an dieser Stelle die Installation des Keyloggers verhindern kann.

Diese Sicherheitsstufe ist Bestandteil der neuen Triple Defense Firewall von ZoneAlarm, welche nur die Pro-Version bietet. Die Freeware-Variante von ZoneAlarm fällt bei diesem Test durch. Sie kann die Datenübertragung ins Internet nicht verhindern. Wenn der Anwender dennoch den Keylogger installieren lässt, erscheinen weitere Meldungen von ZoneAlarm, die auf den Verbindungsaufbau schließen lassen. Der Anwender kann an dieser Stelle die Verbindung unterbinden, die Daten werden aber trotzdem ins Internet übertragen. Ohne die neue Triple-Defense-Firewall-Funktion würde ZoneAlarm diesen Test daher nicht bestehen.

Den Zugriff mit dem Trivial Firewall Leak Checker besteht ZoneAlarm problemlos, ebenso wie den Test mit FireHole 1.01. Beim Atelier Web Firewall Tester 3.2 verhindert ZoneAlarm zuverlässig jeden einzelnen Zugriff (zehn von zehn Punkten). Auch den Wallbreaker 4.0 meistert ZoneAlarm. Als einzige Firewall im Test verhindert sie alle Zugriffe zuverlässig. Die freie Version von ZoneAlarm schneidet dagegen nicht so gut ab und fällt bei allen Tests durch. Auch im Wallbreaker-Test fällt die Free-Version von ZoneAlarm bei allen Tests durch. Die Freeware-Version ist also deutlich unsicherer als die Pro-Version.

Fazit

ZoneAlarm Pro ist mit Abstand die sicherste Firewall im Test. Sie besteht jeden einzelnen Leaktest mit Bravour. Die Bedienung ist ähnlich wie bei Outpost und generell eher für fortgeschrittene Anwender geeignet. Sie ist nicht komplex, aber fortgeschrittene Benutzer erhalten mit ZoneAlarm die Möglichkeit, auch komplexere Firewall-Richtlinien zu erstellen. Sicherheitsbewusste Anwender greifen zur Pro-Version, da diese mit der neuen Triple-Defense-Technik deutlich besseren Schutz bietet als die frei verfügbare Version.

Update: Fazit

Abgesehen von ZoneAlarm und NetOp leisten sich alle kostenpflichtigen Firewalls mehr oder weniger heftige Schnitzer bei den Leaktests. Sie können also nicht mit Sicherheit verhindern, dass Spy- oder andere Malware vertrauliche Daten ins Internet schickt. Positiv überrascht haben uns die beiden kostenlosen Firewalls Comodo und Jetico. Beide lassen kein Paket unerlaubt durch. Comodo ist etwas leichter zu bedienen, dafür kann Jetico mit Vista-Support aufwarten.

Lediglich beim Reporting kann ZoneAlarm Pro nicht ganz mithalten, hier ist Avira ganz vorne. Symantec fehlen einige Quäntchen zur optimalen Schutzwirkung, es besticht dafür mit guter Handhabung und Übersicht. Seit dem letzten Test hat sich Outpost bei der Schutzwirkung erheblich verbessert, aber noch nicht genug, um ZoneAlarm Pro den Rang abzulaufen. McAfee und Kaspersky müssen bei der Schutzwirkung noch nacharbeiten, insbesondere wenn es darum geht, die Informationsübermittlung ins Internet zu verhindern. Möglicherweise verlassen sich beide zu sehr darauf, dass die eigenen Antivirus- und Spyware-Produkte schon im Vorfeld das Einnisten der Schädlinge verhindern. Avira besticht durch sehr gutes Reporting, ist aber bei der Schutzwirkung Schlusslicht. Die kostenlose Ashampoo Firewall präsentiert sich insgesamt mit ordentlichen Werten.

Generell gilt: Personal Firewalls sind kein Allheilmittel und können keine ernsthafte Sicherheitsstrategie ersetzen, sondern diese lediglich um einige sinnvolle Punkte ergänzen. Ein User, der mit administrativen Rechten surft, wird sich auch mit einer Personal Firewall in Gefahr begeben. Zudem sorgt nur ein sorgfältiger Umgang mit dem Werkzeug auch für entsprechenden Schutz. Wer bedenkenlos alle Dialoge bestätigt, kann auch gleich ohne surfen. Zusätzlicher Schutz durch Antivirus- und Antispyware-Produkte ist ebenfalls unabdingbar. (mha)

Testverfahren

Wir führen unsere Tests unter Windows XP Professional mit SP2 und allen zum Testzeitpunkt von Windows-Update verfügbaren Patches durch. Zusätzlich wurde auf dem PC der Internet Explorer 7 über Windows-Update installiert, sowie Mozilla Firefox 2.0

Vor jedem Test wird der Rechner neu aufgesetzt. Im Anschluss führen wir folgende Tests in der beschriebenen Reihenfolge durch. Alle Testprogramme sind frei verfügbar und können aus dem Internet von den genannten Seiten heruntergeladen werden.

1. LeakTest 1.2: Wir starten die Firewall, um Internet-Zugriffe zu registrieren und zu blockieren. Mozilla Firefox erhält natürlich Zugriffsrechte. Im Anschluss benennen wir die Datei leaktest.exe in firefox.exe um und ersetzen die Startdatei von Firefox. Genauso gehen auch viele Schädlinge vor.

2. Im nächsten Schritt testen wir die Firewall mit dem Keylogger-Testtool pcAudit.

3. Danach setzen wir die kostenlosen Tools der Internet-Seite Firewall Leaktester gegen die Firewall ein: LeakTest2 (Trivial Firewall Leak Checker - tooleaky.exe), LeakTest3 (Firehole 1.01), LeakTest7 (Atelier Web Firewall Tester 3.2) und LeakTest11 (Wallbreaker 4.0).

Wie funktionieren Leaktests?

Leaktests haben die Aufgabe, Schwachstellen in Firewalls aufzudecken. Bei diesen Tests werden Programme, die erfahrungsgemäß von allen Anwendern in der Firewall frei geschaltet werden, durch ein spezielles Programm oder einfach nur eine DLL ersetzt. Diese Vorgehensweise verwenden viele Hacker, da dadurch der Zugriff auf das Internet grundsätzlich sehr einfach zu bewerkstelligen ist. Der Anwender muss lediglich auf eine spezielle Internet-Seite surfen, um sich das Programm automatisch einzufangen, zum Beispiel über ein ActiveX-Element oder ein sonstiges Script. Auch der Empfang über eine Tauschbörse oder per E-Mail ist denkbar. Dazu verwenden die Programmierer dieser Tests genau die gleichen Methoden wie die Programmierer der Viren und Trojaner - mit dem Unterschied, dass auf dem Rechner lediglich das Sicherheitsloch aufgedeckt, aber kein schädlicher Code ausgeführt wird.

Als Nächstes folgt ein einfacher Portscan mit nmap. Da die Firewalls in fast allen Fällen eingehende Echo Requests verhindern, führen wir den Scan ohne vorherige Ping-Abfrage (nmap -P0) durch. Ziel ist es dabei, offene Ports zu dokumentieren und das Verhalten der Firewalls zu beobachten.

• Welche Ports sind erreichbar?

• Wird der Portscan als solcher bemerkt?

• Wenn ja, mit welcher Reaktion (Warnhinweis, Log-Eintrag, Block der IP-Adresse)?

Im nächsten Test simulieren wir eine Backdoor mit dem Netzwerktool Netcat, das die Ports 80 und 31337 öffnet. Ersterer repräsentiert einen Well Known Port (HTTP), Letzterer einen Backdoor Port (Back Orifice 2000). Beobachtet und bewertet werden dabei folgende Kriterien:

• Wird der Start des Programms bemerkt?

• Wird das Öffnen des Sockets bemerkt?

• Wird der Backdoor-Port bemerkt?

• Kann das Programm von außen erreicht werden?

Als letzte Maßnahme versuchen wir, den Firewall-Prozess zu beenden. Interessant ist dabei, ob das Programm terminierbar ist (also auch durch eine böswillige Applikation oder einen unerfahrenen Benutzer) und ob danach noch ein Schutz für das System besteht.