Der Internet-Nutzer ist den Begehrlichkeiten von Hackern und Unternehmen ausgesetzt. Erstere machen sich einen Spaß daraus, fremde Computer auszuspähen, zu verändern oder einfach nur zum Absturz zu bringen. Letztere wollen vor allem mehr Informationen über den potenziellen Kunden erlangen, um ihr Marketing effizienter zu gestalten.
Als Wundermittel gegen etwaige Bedrohungen der Rechnersicherheit sind Personal Firewalls aber nicht zu verstehen. Manche halten sie sogar schlicht für überflüssig. Nach den Exploits Sasser und Blaster, die Schwachstellen in Windows-Systemdiensten ausnutzen, um die betroffenen Rechner zu kompromittieren, dürfte die Frage nach dem Sinn inzwischen jedoch weit gehend zu Gunsten der Firewalls geklärt sein. Dennoch wird die Intention zum Teil verkannt: Personal Firewalls sind kein Allheilmittel und können keine ernsthafte Sicherheitsstrategie ersetzen, sondern diese lediglich um einige sinnvolle Punkte ergänzen. Ein User, der mit administrativen Rechten surft, wird sich auch mit einer Personal Firewall in Gefahr begeben.
In erster Linie sind solche Programme dazu geeignet, ungerichtete Attacken abzufangen, wie sie beispielsweise von Würmern, Viren und Script-Kiddies generiert werden - die den mit Abstand größten Anteil aller Angriffe ausmachen. Hier stellen sie ein probates Mittel dar und helfen wirkungsvoll, das System abzuschotten.
Gegen Software-Fehler, wie sie zum Beispiel in Browsern immer wieder bekannt werden, sind auch Personal Firewalls weit gehend machtlos.
Der Trend geht bei den meisten Produkten klar in Richtung Benutzerfreundlichkeit, die - wie sich in unserem Test zeigt - auch Nachteile haben kann.
Windows XP Firewall
Mit dem Service Pack 2 hat Microsoft die rudimentäre Firewall von Windows XP deutlich aufgewertet - insbesondere hinsichtlich der Bedienbarkeit. Damit sollen auch technisch unerfahrene Benutzer ihr System vor Angriffen von außen schützen können.
Die neue Firewall hat jedoch ihren Preis: Der Benutzer muss das komplette SP2 herunterladen und installieren. Der Download umfasst etwa 250 MByte, was selbst bei einer DSL-Anbindung noch Geduld erfordert. Schneller geht es, wenn Sie eine aktuelle PC-Zeitschrift erwerben, denn dort finden Sie das SP2 auf der Heft-CD.
Mit der Installation des SP2 holen Sie sich nicht nur die Firewall auf Ihren Rechner, sondern auch eine Vielzahl an Fehlerbehebungen. Zudem schützt Microsoft nun seine Programme und DLLS gegen Buffer Overflows.
Die Installations-Routine des SP2 aktiviert automatisch auch die Firewall, so dass einige Applikationen eventuell nicht auf Anhieb funktionieren. Generell ist über die Firewall zu sagen, dass sie lediglich Verbindungsaufnahmen von außen und das Öffnen von Ports unterbindet, nicht jedoch eine Verbindung nach außen, wie sie zum Beispiel von Clients genutzt wird.
Produkt | XP-Firewall (SP2) |
|---|---|
| |
Anbieter | |
Preis | im Windows-XP Service Pack 2 enthalten |
Systemvoraussetzungen | |
Betriebssystem | Windows XP SP2 |
CPU | 300 MHz |
Hauptspeicher | 128 MByte |
Festplatte | k. A. |
Komponenten | |
Firewall | ja |
Anti-Virus | nein |
Sandbox | nein |
Privacy | nein |
Ad-Blocker/Content-Filter | nein |
Windows XP Firewall: Konfiguration
Die grundlegende Konfiguration der XP-Firewall gestaltet sich auch für den unerfahrenen User einfach. Da sie nach dem Prinzip "Alles verbieten, was nicht explizit erlaubt ist" arbeitet, ist zunächst über den Menüpunkt "Ausnahmen" festzulegen, welche Ports oder Programme von außen erreichbar sein sollen. Bei der Auswahl der Programme lässt sich zusätzlich einstellen, für welche Adressen oder Adressbereiche diese Freigabe gültig sein soll.
Per Default ist die Protokollierung abgeschaltet. Im erweiterten Modus können Sie diese nicht sonderlich sinnvolle Vorgabe jedoch ändern. Auch grundlegende Einstellungen wie die Größe der Log-Datei und Art der Protokollierung (nur abgelehnte Verbindungen oder erfolgreiche) können Sie hier vornehmen. Warum die Firewall sich allerdings nicht in der Ereignisanzeige von Windows verewigt, bleibt offen. Stattdessen muss der Benutzer die Log-Datei per Text-Editor überprüfen.
Bei den ICMP-Einstellungen fällt die gelungene Hilfestellung auf, die jeweils zum angewählten Punkt im unteren Teil des Fensters erscheint.
Ebenfalls im erweiterten Modus finden Sie unter "Einstellungen" die Möglichkeit, Ports und Adressen auf andere Rechner im Netzwerk weiterzuleiten. Diese Rechner sind damit als Server von außen erreichbar (Portforwarding).
Besonders Systemadministratoren werden zu schätzen wissen, dass die Konfiguration der XP-Firewall auch über Gruppenrichtlinen automatisiert für alle Benutzer im LAN erfolgen kann. Eine detaillierte Anleitung stellt Microsoft als Word-Dokument zum Download bereit.
XP-Firewall: Schutzwirkung
Als erstes muss die XP-Firewall zeigen, wie gut sie mit Verbindungsaufnahmen von außen umgeht. Da sie in der Grundeinstellung alle eingehenden Verbindungen abweist, kann im Normalfall kaum ein Angreifer Dienste erreichen, die nicht explizit vom Anwender freigegeben wurden. Bei den Ausnahmen lässt die XP-Firewall lediglich die Verknüpfung von Programmen und IP-Adressen zu. Es fehlt die Möglichkeit, Programme auf bestimmte Ports oder Protokolle einzuschränken, beispielsweise um einem Programm einige Funktionen zu verbieten. Bei der XP-Firewall gilt jedoch die Devise "Alles oder nichts".
Zwar lassen sich auch bestimmte Ports freigeben, diese sind dann jedoch für alle Programme verfügbar. Vertrauenswürdige Programme legt der Anwender anhand des Dateipfades fest. Somit existiert hier zumindest eine theoretische Angriffsfläche. Einem Angreifer muss es dazu lediglich gelingen, eine als vertrauenswürdig eingestufte Anwendung gegen ein eigenes Programm gleichen Namens auszutauschen. Das eingeschleuste Programm kann in diesem Fall einen beliebigen Port öffnen, wie ein Test mit ICQ-Lite zeigt.
Bemerkenswert ist das Verhalten gegenüber den Programmen ICQ-Lite und Yahoo-Messenger. Letzteres trägt die XP-Firewall ohne Nachfrage in die Liste der vertrauenswürdigen Programme ein. Wird ICQ-Lite aus der Liste der vertrauenswürdigen Programme gelöscht, taucht es nach einem erneuten Start ohne jegliche Hinweise dort wieder auf. Möchten Sie Programme zukünftig an der Kontaktaufnahme von außen hindern, empfiehlt es sich, diese Option für das jeweilige Programm zu deaktivieren, ohne den Eintrag zu entfernen.
Die XP-Firewall kümmert sich ausschließlich um eingehende Verbindungen. Versucht beispielsweise ein Virus, sich per SPAM-Mail weiterzuverbreiten, bekommt der Benutzer davon nichts mit. Auch Software, die "nach Hause telefonieren" will, bleibt unentdeckt.
Ein Portscan wurde von der Firewall zwar nicht explizit als solcher erkannt, jedoch fanden sich in der Log-Datei entsprechende Hinweise, die den normalen User eher verwirren.
XP-Firewall: Fazit
Das Ziel, die Konfigurationsmöglichkeiten der Firewall auf das Notwendigste zu beschränken, hat Microsoft erreicht, was viele User sicherlich nicht als Nachteil werten. Nur ist Microsoft dabei in manchen Punkten über das Ziel hinausgeschossen. Einige essenzielle Funktionen, wie die Kontrolle ausgehender Verbindungen, fehlen komplett. Hier sollte Microsoft noch nachbessern.
Einem Anwender mit durchschnittlichem Sicherheitsbedürfnis dürfte die XP-Firewall als Grundschutz durchaus genügen, zumal sie keine besonderen Anforderungen an das Know-how des Benutzers stellt.
Für User, die etwas mehr aus der XP-Firewall herausholen wollen, gibt es eine inoffizielle kostenlose Erweiterung namens FirePanel, die vor allem die mageren Reporting-Funktionen deutlich aufwertet.
Agnitum Outpost Pro
Die bekannte Firewall Outpost muss in diesem Test aufs Neue unter Beweis stellen, dass sie die Lorbeeren zu Recht verdient, die sie in vielen Tests zuvor bekommen hat.
Ein herausragendes Merkmal der Outpost-Firewall ist die Möglichkeit, Plug-ins einzubinden, die diese um Fähigkeiten wie IDS, HTML -Content-Filter und DNS -Cache erweitern. Bei vielen Usern hat die Outpost-Firewall inzwischen so etwas wie einen Kultstatus erreicht. Im Laufe der Zeit ist eine hilfsbereite und ständig wachsende Community um dieses Produkt entstanden, die sowohl andere User als auch das Programm selbst tatkräftig unterstützt. Einige Entwickler stellen selbst geschriebene Plug-ins kostenlos zum Download bereit. Eine Liste derzeit verfügbarer Plug-ins finden Sie auf der Webseite von Agnitum. Ein gut besuchtes User- und Support-Forum informiert über Neuigkeiten und Veränderungen rund um die Firewall.
Produkt | Outpost Firewall Pro v. 2.1 |
|---|---|
| |
Anbieter | |
Preis | 39,95 US-Dollar |
Systemvoraussetzungen | |
Betriebssystem | Windows 98/ME/NT/2000/2003/XP |
CPU | 200 MHz Pentium |
Hauptspeicher | 32 MByte |
Festplatte | 20 MByte |
Komponenten | |
Firewall | ja |
IDS | ja |
Cookie-Filter | ja |
Ad-Blocker/Content-Filter | ja |
Outpost: Installation und Konfiguration
Die Installations-Routine ermittelt automatisch die wesentlichen Merkmale des Systems wie Netzwerkumgebung und installierte Programme. Diese Informationen verwendet es dann als Konfigurationsgrundlage.
Nach dem Start wartet Outpost mit einer Vielzahl von Menüpunkten auf. Diese sind zwar übersichtlich in einer verzeichnisbaumähnlichen Struktur abgelegt, sorgen jedoch wegen ihrer Vielfalt erst einmal für Verwirrung.
Hat der Anwender sich nach der Einarbeitungszeit darin zurechtgefunden, bietet Outpost eine Menge an Features, um den Netzwerkverkehr zu lenken. So hat der User für jedes einzelne Programm die Möglichkeit, detailliert festzulegen, auf welchen Wegen kommuniziert werden darf. Nützlich ist die verwendbare Option "Stateful Inspektion aktivieren". Darüber, ob ein Plug-in wie der DNS-Cache wirklich etwas in einem Firewall-Programm verloren hat, kann man jedoch durchaus geteilter Meinung sein. Auch für diesen Fall hat Agnitum mit der Plug-in-Verwaltung vorgesorgt: Jedes Modul lässt sich vom Benutzer mit wenigen Mausklicks wieder entfernen oder hinzufügen.
Sinnvoll ist die Möglichkeit, mit verschiedenen Konfigurationsdateien zu arbeiten. So kann der User je nach Bedarf die gewünschte Konfiguration laden. Ein Notebook beispielsweise benötigt unterwegs bei Modem-Verbindungen andere (restriktivere) Einstellungen als hinter dem Router im Office.
Outpost: Reporting
Sehr viel Aufmerksamkeit widmeten die Entwickler dem Bereich Logging und Reporting, damit der Anwender über die Vorgänge auf seinem System immer Bescheid weiß und bei ungewöhnlichen Aktivitäten zeitnah eingreifen kann. Allgemeine Informationen wie offene Ports sind im Hauptfenster dargestellt, erweiterte Log-Einträge kann der Benutzer über einen speziellen Log-Betrachter abrufen.
Das System-Protokoll soll Auskunft über Änderungen an der Konfiguration von Outpost geben. Allerdings beschränkt sich der Report dabei in erster Linie auf Lese- und Schreibzugriffe auf die Konfigurationsdatei. Informationen über die tatsächlichen Veränderungen fehlen.
Der interaktive Regelassistent ist leicht verständlich und intuitiv zu bedienen. Die für bekannte Programme vordefinierten Regeln sind jedoch mit Vorsicht zu genießen, da die Rechtevergabe sehr weitmaschig erfolgt - wie sich im Test mit ICQ herausstellt.
Outpost: Schutzwirkung
Outpost kann der hohen Erwartungshaltung allerdings nicht ganz gerecht werden. Im Austauschtest, bei dem wir ein als vertrauenswürdig eingestuftes Programm durch ein anderes ersetzen, versagt Outpost gänzlich. Weder bemerkt es den Austausch als solches noch den Start und die Verbindungsaufnahme auf Port 31337, der für das ursprüngliche Programm überhaupt nicht vorgesehen war.
Weshalb die Verbindungsaufnahme nicht erkannt wurde, liegt in diesem Fall in den sehr freizügigen Default-Freigaben begründet, die Outpost dem getesteten Programm (ICQ-Lite) automatisch zuweist. Auch den Start der Backdoor bemerkt Outpost erst, wenn ein Programm diese von außen anspricht. Wenig Sinn macht ein Passwortschutz gegen unbefugte Regeländerungen, wenn jeder User oder jedes Schadprogramm den Prozess terminieren kann und das System im Anschluss ungeschützt ist.
Das als Plug-in integrierte IDS erkennt zwar sehr zuverlässig Portscans und potenzielle Hacker-Attacken, die Option "Angriffe blockieren" sollte jedoch mit Bedacht eingestellt werden. Sonst kann es passieren, dass der Anwender eine böse Überraschung erlebt. Spooft beispielsweise ein Angreifer seine Absenderadresse und gibt sich als Name-Server des Opfers aus, blockiert Outpost für die eingestellte Zeit sämtliche DNS-Anfragen.
Da keine Möglichkeit vorgesehen ist, versehentlich geblockte Adressen wieder freizugeben, hat der Anwender in diesem Fall nur die Möglichkeit, das IDS zu deaktivieren.
Outpost: Fazit
Zwar bietet die Outpost eine Menge nützlicher Plug-ins und Werkzeuge zur Abwehr von Attacken, die Basis kann jedoch zu leicht ausgehebelt werden.
Die eindeutige Identifikation von Programmen sollte ebenso zum Standard einer Firewall gehören wie der Schutz des Prozesses vor willkürlicher Beendigung durch Schadprogramme oder User. Vor allem dann, wenn - wie bei Outpost der Fall - die Maschine im Anschluss ungeschützt ist.
Warum Outpost den Austausch der Programme nicht bemerkt, obwohl nachweislich ein Fingerprint des Orginalprogramms vorhanden ist, bleibt weiterhin unklar.
Positiv fällt das sehr umfangreiche und gut lesbare Reporting auf, das im Netzwerkbereich keine Wünsche offen lässt. Veränderungen am Regelwerk vermerkt die Firewall jedoch nur rudimentär als Schreibzugriff auf die Konfiguration.
Kerio Personal Firewall 4
Die Kerio-Firewall fristet bisher eher ein Schattendasein unter den renommierten Produkten wie Outpost, Zone-Alarm oder der Norton Firewall. Ob und wie weit Kerio mit dieser Konkurrenz mithalten kann, zeigt unser Test.
Das Konzept der Kerio-Firewall besteht aus zwei Kernelementen: der Netzwerksicherheit und der Applikationskontrolle, die ähnlich einer Sandbox arbeitet und bei den Entwicklern unter "Programm Execution Protection" firmiert. Beide arbeiten eng zusammen und doch unabhängig voneinander. Ein zur Ausführung berechtigtes Programm muss nicht zwingend eine Netzwerkfreigabe erhalten. Der ID-Schutz, der private Informationen wie E-Mail-Adressen oder PIN-Nummern vor dem Versenden an unautorisierte Webseiten schützt, gehört inzwischen zum festen Repertoire vieler Personal Firewalls und ist auch in der Kerio-Wall enthalten.
Produkt | Kerio Personal Firewall 4 |
|---|---|
| |
Anbieter | |
Preis | 45 US-Dollar |
Systemvoraussetzungen | |
Betriebssystem | Windows 98/ME/2000 Pro/XP |
CPU | k. A. |
Hauptspeicher | k. A. |
Festplatte | 10 MByte |
Komponenten | |
Firewall | ja |
IDS | ja |
Cookie-Filter | ja |
Ad-Blocker/Contentfilter | ja |
Kerio: Installation und Konfiguration
Kerio bietet während der Installation die Auswahl, die Firewall im erweiterten Lernmodus oder im Standardmodus zu starten. Auch wenn Kerio die Einstellung "Standard" empfiehlt, ist es sinnvoll, zuerst einmal den Lernmodus zu aktivieren, bis der Firewall alle betriebsrelevanten Vorgänge bekannt sind. Weitere Rollenzuordnungen, wie sie beispielsweise bei der Zonealarm getroffen werden, stellt Kerio nicht zur Verfügung.
Als Erstes fällt die übersichtliche und durchdachte Anordnung der Bedienelemente auf. Auch ohne Schieberegler findet sich der User schnell mit dem Programm und seinen Einstellmöglichkeiten zurecht.
Praktisch alle wichtigen Einstellungen lassen sich über wenige Mausklicks erreichen und sind meist selbsterklärend, was angesichts der schwachen Dokumentation und Hilfestellung allerdings notwendig ist. Auch beim manuellen Erstellen der Filter-Regeln verliert die Firewall nichts an ihrer Übersichtlichkeit. Die Möglichkeit, komplexe Verknüpfungen zwischen Gruppen, Zonen und Applikationen zu bilden, erfordert trotz der benutzerfreundlichen Handhabung eine gewisse Einarbeitungszeit.
Die Benennung der Auswahlpunkte in der Kategorie "Angriffe", die das IDS repräsentiert, verwirren durch eine missverständliche Beschreibung. Die Frage, ob Intrusions hoher, mittlerer oder niedriger Priorität abgelehnt oder zugelassen werden sollen, ist wohl eher akademischer Natur. Auch die "Details" geben keinen Aufschluss darüber, was damit genau gemeint ist.
Für Netzwerker bietet die Kerio-Wall die Möglichkeit der verschlüsselten Remote-Administration über einen mitgelieferten Controller, der jedoch nur die Verwaltung einzelner Rechner zulässt. Eine Anbindung an zentrale Verwaltungseinheiten wie dem Active Directory ist von Kerio nicht vorgesehen.
Kerio: Reporting
Die Log-Dateien von Kerio sind übersichtlich in den Obergruppen Netzwerk, System, Web und Angriffe zusammengefasst. Eine Möglichkeit, die Log-Einträge zu filtern oder zu sortieren fehlt jedoch ebenso wie der Export von Log-Dateien. Zwar speichert das Programm die Logs als Text-Datei, doch sind diese zu kryptisch, als dass ein normaler User etwas damit anfangen könnte.
Die einfach erreichbare Aktivierung der Log- und Warnfunktion für jedes von der Kerio verwaltete Objekt ermöglicht es dem User, sich über Programmstarts und Netzwerkzugriffe individuell informieren zu lassen.
Als einziges Produkt im Test bietet die Kerio-Firewall die Option, definierbare Teile des Log-Reportings an einen externen Syslog-Server weiterzuleiten. Der Systemadministrator ist damit jederzeit über kritische Zugriffe auf die Clients im Bilde.
Kerio: Programm Execution Detection
Fester Bestandteil in der Kerio-Firewall ist die Beobachtung der Programme durch die so genannte "Programm Execution Detection". Diese Funktion ermöglicht dem Anwender eine detaillierte Kontrolle über das Verhalten der Programme auf seinem Computer.
Er legt damit fest, ob ein Programm überhaupt gestartet werden darf, ob Kerio das Binary auf Veränderungen hin untersuchen soll und ob das Programm Zugriff auf Dritt-Applikationen erhält. Letzteres soll zum Beispiel verhindern, dass Spyware auf den Internet-Explorer zugreift, um seine Informationen zu übermitteln. Die Überprüfung auf Veränderungen am Binary erfolgt anhand von Prüfsummen, um sicherzustellen, dass nur das richtige Programm mit den definierten Rechten Daten mit dem Internet austauschen kann.
Kerio: Schutzwirkung
Sowohl den direkten Start einer Backdoor als auch den Austausch des ICQ-Binary gegen eine Backdoor erkennt und verhindert Kerio zuverlässig. Einen geöffneten Port bemerkt die Firewall jedoch erst beim Versuch, diesen zu kontaktieren.
Verbindungsaufnahmen in beide Richtungen registriert und meldet die Firewall akkurat. Es kommen nur Daten durch, die der Anwender auch freigegeben hat. Als störend erweisen sich dagegen die permanenten Pop-ups bei einem Portscan. Obwohl dieser erkannt wird, bringt sie bei jedem offenen Port die Frage, ob die Verbindung zugelassen werden soll oder nicht. Auch die Aktivierung der Option "Regel erstellen und nicht mehr nachfragen" ist hier nicht hilfreich, da sich diese lediglich auf den jeweiligen Port bezieht. An dieser Stelle wäre eine engere Zusammenarbeit zwischen IDS und Firewall wünschenswert oder zumindest die Zusammenfassung mehrerer Events in einem Pop-up.
Wie auch einige andere Kandidaten im Test lässt sich die Firewall sowohl über den Task-Manager als auch durch eine fremde Applikation terminieren, wodurch das System nicht länger geschützt ist. Das Starten der fremden Applikation, die das bewerkstelligt, erfordert jedoch eine explizite Freigabe des Anwenders.
Kerio: Fazit
Kerio hinterlässt einen guten Gesamteindruck. Die Grundkonfiguration ist dank der vorbildlich strukturierten Bedienelemente auch für Einsteiger leicht zu bewältigen. Im laufenden Betrieb weist die Schutzwirkung keine Schwächen auf, was auch auf die hervorragenden Eigenschaften der "Programm Execution Detection" zurückzuführen ist.
Anlass zur Kritik gibt jedoch der Umstand, dass sich der Firewall-Prozess sowohl vom Anwender als auch von fremden Programmen terminieren lässt und einen kompletten Verlust der Schutzwirkung zur Folge hat.
Die Möglichkeit der verschlüsselten Remote-Verwaltung und des Log-Forwarding an externe Log-Server macht die Kerio-Firewall zu einem Favoriten für zentral verwaltete Netzwerke. Die spärliche Dokumentation und Hilfe ist in jedem Fall verbesserungswürdig.
McAfee Personal Firewall+
McAfee hat sich in der Vergangenheit vor allem als Produzent von Virenscannern einen Namen gemacht. Um dem Anwender einen umfassenden Schutz zu bieten, wurde das Portfolio im Small- und Home-Office-Bereich um Produkte wie Spam-Filter, Privacy-Service und Firewall erweitert.
Die Produkte sind zwar einzeln erhältlich, McAfee verfolgt jedoch ein ganzheitliches Konzept, was sich auch im Sicherheits-Center widerspiegelt. Die volle Punktzahl in McAfees Sicherheitsindex erreicht der User erst, wenn alle Produkte, die das Sicherheits-Center zusammenfasst, installiert sind.
Produkt | McAfee Personal Firewall+ |
|---|---|
| |
Anbieter | |
Preis | 44,95 US-Dollar |
Systemvoraussetzungen | |
Betriebssystem | Windows 98, ME, 2000 oder XP |
CPU | 100 MHz |
Hauptspeicher | k. A. |
Festplatte | 8 MByte |
Komponenten | |
Firewall | ja |
IDS | nein |
Cookie-Filter | nein |
Ad-Blocker/Content-Filter | nein |
McAfee: Installation und Konfiguration
Bei der Installation bietet die McAfee-Firewall dem Anwender eine Reihe vorkonfigurierter Einstellmöglichkeiten, die das spätere Verhalten bestimmen. Darüber hinaus legt die Setup-Routine das vertrauenswürdige Netz und den Log-Level fest, den die Firewall im Betrieb verwendet. Nach dem ersten Start fällt auf, dass im System-Tray McAfees Sicherheits-Center und nicht die Firewall geladen ist.
Bei der ersten Verbindungsaufnahme eines Programms ins Netz erfragt die Firewall die Zugriffsberechtigung beim User über ein Pop-up. Es stehen jedoch nur die Möglichkeiten "generell zulassen" und "generell ablehnen" zur Auswahl. Da dieses Pop-up lediglich über die Applikation informiert, bleibt dem Anwender die Art der Verbindungsaufnahme wie Adresse, Protokoll und Port verborgen. Eine detailliertere Zuordnung der Programme ermöglicht die Kategorie "Internet-Anwendungen", die eine Einschränkung einzelner Applikationen auf ausgehende Verbindungen zulässt. Eine Verknüpfung von Ports, Programmen und IP-Adressen ist jedoch nicht möglich.
Zwar bietet die Firewall die Möglichkeit, IP-Adressen freizugeben oder zu blockieren, diese gelten dann jedoch für beide Richtungen und alle Ports. Ähnlich verhält es sich mit den Ports, die im Konfigurationsfenster als Systemdienste beschrieben sind. Per Default sind alle wichtigen Ports zu Diensten wie SMTP, POP3, FTP, HTTP oder Telnet eingehend gesperrt. Betreibt ein User einen FTP-Server auf seinem Rechner, muss er neben der Programmfreigabe noch den FTP-Port aufmachen, da diese Regeln unabhängig voneinander arbeiten.
McAfee: Reporting und Dokumentation
Die Firewall bietet eine enge Schnittstelle zu diversen Online-Diensten. Ereignisse aus den Log-Einträgen werden per Mausklick an eine Reporting-Seite namens www.hackerwatch.org übermittelt, die ebenfalls McAfee gehört. Das visuelle Traceroute verfolgt die Spur des potenziellen Angreifers. Einen wirklichen Nutzen hat der Anwender von diesen Online-Diensten jedoch nicht. Auch das lokale Logfile ist nicht immer wirklich nützlich: Die Firewall speichert zwar alle Zugriffe, gibt allerdings keine weiter gehenden Informationen.
Weder werden Portscans als solche gekennzeichnet, noch gibt das Log genaueren Aufschluss darüber, wie mit der Anfrage verfahren wird. Im unteren Teil des Fensters ist zwar eine Detailinformation eingeblendet, die jedoch in der Kernaussage nichts anderes wiedergibt als den Inhalt des Logs selbst. Über die Funktion "weitere Informationen" erhält der User zumindest Details über den verwendeten Port. Erstaunlicherweise gibt diese Online-Information auf die Anfrage nach dem Port 139 die Auskunft: "This port is not currently recorded as being associated with any standard assigned program or known exploit".
Ein durchaus nützliches Feature ist die Sperrung und Freigabe von IP-Adressen, die in den Logs erfasst sind. Die ausführliche Dokumentation und Hilfestellung der McAfee-Firewall ist in erster Linie für Einsteiger gedacht. Fundierte Hintergrundinformationen sucht der erfahrene Anwender vergeblich.
McAfee: Schutzwirkung
Die McAfee-Firewall protokolliert zwar bei einem Portscan jeden gescannten Port in der Log-Datei, den Scan als solches erkennt sie jedoch nicht. Eine Folge dieser Vorgehensweise ist die Tatsache, dass sich nach einem kompletten Scan über alle Ports mehr als 65.000 Einträge im Log finden.
Den Backdoor-Test meistert sie jedoch anstandslos. Die Firewall meldet sowohl den Start der Backdoor als auch den Austausch des Binary von ICQ-Lite durch eine Backdoor. Allerdings bietet die Firewall in beiden Fällen nur die Möglichkeit, den Kontakt ganz zu erlauben oder ganz zu verbieten. Auch ein einmaliges Zulassen oder Verbieten der Verbindung ist nicht vorgesehen.
Beim gewaltsamen Beenden der Applikationen fällt positiv auf, dass die McAfee-Firewall ihre Schutzwirkung nicht verliert.
McAfee: Fazit
Die Firewall ist an die Bedürfnisse des Einsteigers angepasst. Keine verwirrenden und umständlichen Einstellmöglichkeiten verunsichern den Anwender.
Diesen Weg ist McAfee jedoch nicht konsequent gegangen. Zwar wird im Produkt der Konfigurationsaufwand - und damit auch die Konfigurationsmöglichkeit - auf ein Minimum reduziert. Ein Traceroute mit einer integrierten Whois-Abfrage passt jedoch im Hinblick darauf genauso wenig ins Bild wie eine Meldung von Ereignissen an einen Online-Dienst.
Für ein ähnliches Budget bieten andere Produkte im Test mehr. Käufliche Features wie den "Privacy Service", der einen Content-Filter und ID-Schutz beinhaltet, gibt es bei der Konkurrenz gratis als Standardzubehör.
Neu: Norman Personal Firewall
Die Produktpalette der Firma Norman enthält für Privatanwender neben Antivirus- und Anti-Spyware-Programmen auch eine Personal Firewall.
Neben den Features wie Ad- und Content-Filter bietet die Norman Firewall noch eine Zeitsteuerung und Benutzerkontenverwaltung, die als Kindersicherung dient und "Elterliche Kontrolle" genannt wird. Diese ermöglicht autorisierten Personen die Kontrolle darüber, welche Webseiten vom angemeldeten User erreichbar sind. Eine weitere Besonderheit der Norman Firewall ist die sitzungsbezogene Regelerstellung. Sie ermöglicht dem Anwender, Regeln für die Zeit der Benutzung zu erstellen. Benötigt der User diese nicht mehr, löscht er sie über einen einfachen Mausklick im System-Tray. Auch ein Neustart des Rechners löscht diese temporären Regeln.
Produkt | Norman Personal Firewall v. 1.41 |
|---|---|
| |
Anbieter | Norman Data Defense Systems GmbH |
URL | |
Preis | 39 Euro |
Systemvoraussetzungen | |
Betriebssystem | Windows 95/98/Me/NT/2000/XP |
CPU | Pentium |
Hauptspeicher | k. A. |
Festplatte | 10 MByte |
Komponenten | |
Firewall | ja |
IDS | nein |
Neu: Norman: Installation und Konfiguration
Bei der Installation unterstützt die Norman Firewall den Anwender mit einem automatischen Installationsassistenten. Optional startet eine komplett automatisierte Erstinstallation, die unter anderem die Netzwerkparameter einliest und folgerichtig zuordnet.
Bei der Konfiguration erweist sich die Norman Firewall als intuitiv und leicht zu handhaben. Ein dreistufiger Schieberegeler erlaubt dem User, das aktuelle Sicherheitsniveau von niedrig bis hoch zu definieren. Dieser bezieht sich jedoch ausschließlich auf die Behandlung von Aktivitäten auf der Applikationsebene wie Cookies, ActiveX und Javascripts. In der niedrigsten Sicherheitsstufe erlaubt das Programm alles, was nicht explizit vom Anwender verboten wird, in der höchsten fordert ein Pop-up bei jedem Ereignis eine Eingabe. Auf der Netzwerkebene steht die Wahl zwischen fünf verschiedenen Sicherheitszonen, die generelle Filterregeln zur jeweiligen Zone laden. Norman sieht weder eine Möglichkeit vor, diese zu bearbeiten noch eigene zu erstellen.
Beim Erstkontakt eines Programms mit dem Netzwerk startet die Firewall einen Assistenten, über den die grundlegende Behandlung der Verbindung temporär oder dauerhaft festzulegen ist. Zur Auswahl stehen die Möglichkeiten "Daten merken" für eine dauerhafte Speicherung, "Nur in diesem Fall", also das einmalige Erlauben und "Nur für diese Sitzung", beim Neustart des Computers wird die Verbindungsregel verworfen. Auf Wunsch lassen sich diese Regeln vom Benutzer auch über das Icon im System-Tray löschen.
Norman: Firewall-Regeln
Über den Menüpunkt "Sicherheit" im Kontrollcenter der Norman-Wall erreicht der User das Fenster zur manuellen Konfiguration der Firewall-Regeln. Der Button "Benutzerdefiniert" legt globale Filter wie vertrauenswürdige IP-Adressen fest; der erweiterte Modus bietet eine übersichtlich gestaltete Oberfläche, um eigene Regeln zu erstellen.
Hier findet sich auch der Menüpunkt "System", der ebenfalls Filterregeln enthält. Was an diesen Regeln jedoch systemspezifisch ist, konnte im Test nicht geklärt werden, da die Einstellmöglichkeiten und enthaltenen Regeln vom Aufbau identisch mit dem Regelwerk im normalen Modus sind. Auch im Handbuch findet sich darüber keine Information.
Da beispielsweise bei Verbindungen über einen Proxy-Server andere Kontaktports in das Web verwendet werden, kann der Anwender im Menüpunkt "Web" festlegen, welche Webserverports von der Norman Firewall nach aktiven Scripts und Cookies zu überwachen sind.
Veränderungen am Regelwerk der Norman Firewall erfordern unter bestimmten Umständen einen Neustart des Computers, bevor sie wirksam werden. Dies betrifft vor allem Änderungen am Filter für aktive Inhalte und die "Elterliche Kontrolle". Die Norman Firewall weist in keinem Fall auf diesen Umstand hin.
Neu: Norman: Reporting
Das Reporting der Norman Firewall beschränkt sich auf Log-Einträge. Informations-Pop-ups zu sicherheitskritischen Events sind nicht vorgesehen. Im Protokollfenster hat der Benutzer die Auswahl zwischen den Kategorien "Eindringen von Anwendungen", "Eindringen von Paketen" und "Port-Scanvorgänge". Die Firewall legt täglich eine neue Log-Datei an, deren maximale Größe über den Menüpunkt "erweitert" einstellbar ist.
Über einen Doppelklick auf die gewünschte Log-Datei öffnet sich die leicht verständliche Detailstatistik. Die Einträge lassen sich zwar nach Überbegriffen sortieren, doch ab einer Log-Größe von 100 KByte führt das zu einer mehrere Minuten dauernden Gedenkpause, in der die CPU zu 100 Prozent ausgelastet ist.
Neu: Norman: Schutzwirkung
Wie bei einigen anderen Produkten im Test auch, lässt sich die Schutzwirkung der Norman Firewall dadurch aushebeln, dass der User oder ein Schadprogramm den Task beendet.
Den Start der Backdoor bemerkt die Firewall nicht, jedoch die Verbindungsaufnahme von außen. Den Zusammenhang zur Backdoor stellt die Firewall allerdings nicht her, entsprechend fehlt im Pop-up ein Hinweis darauf, zu welchem Programm die Verbindung aufgebaut werden soll.
Den Austausch legitimer Programme durch eine Backdoor erkennt die Norman Firewall nicht. Sind die Freigaben für ein Programm zu großzügig gewählt, hat die Backdoor im Folgenden keinerlei Hindernisse zu überwinden.
Portscans identifiziert die Norman Firewall zwar nicht als solche, jedoch macht sie bei der interaktiven Abfrage keinen Unterschied zu anderen Verbindungsanfragen. Der Anwender kann lediglich anhand der Häufigkeit der auftretenden Anfragen den Portscan als solchen ausmachen.
Bei der Behandlung von ICMP-Paketen kann der Anwender ankommende und ausgehende Pakete lediglich erlauben oder verbieten. Eine Unterscheidung nach ICMP-Typ ist nicht möglich.
Neu: Norman: Fazit
Im Detail erweckt die Norman Firewall den Eindruck, dass sie sich noch im Entwicklungsstadium befindet.
Einige Änderungen am Regelwerk übernimmt das Programm erst nach einem Neustart, ohne darauf aufmerksam zu machen. Auch in der Schutzwirkung lässt die Software an einigen Stellen zu wünschen übrig. Weder der Start einer Backdoor noch die Veränderung an Programmen wird von der Norman Firewall wahrgenommen. Ebenso sollte der Log-Betrachter, der beim Aufruf größerer Log-Dateien eine sehr hohe CPU-Auslastung verursacht, nachgebessert werden. Positiv fällt die zu weiten Teilen benutzerfreundliche Handhabung auf.
Norton Personal Firewall 2004
Die Norton Personal Firewall 2004 basiert im Kern auf der altgedienten AT-Guard, die sicherlich noch dem einen oder anderen User in Erinnerung ist. Symantec hat die Schutzfunktion der AT-Guard speziell im Bereich der Applikationsebene erheblich erweitert und die Bedienoberfläche weit gehend neu gestaltet.
Das Konzept der NPF zielt in erster Linie auf Einsteiger ab, denen ein Maximum an Schutzwirkung mit einem Minimum an Konfigurationsaufwand geboten werden soll. Symantec bietet zudem eine 15 Tage gültige Trial-Version an. Diese ist im Testzeitraum voll funktionsfähig, steht jedoch nur in englischer Sprache zur Verfügung.
Produkt | Norton Personal Firewall 2004 |
|---|---|
| |
Anbieter | |
Preis | 49,95 US-Dollar |
Systemvoraussetzungen | |
Betriebssystem | Windows XP Home/XP Pro/2000 Pro/Me/98 |
CPU | 300 MHz (Windows XP) |
Hauptspeicher | 128 MByte |
Festplatte | 35 MByte |
Komponenten | |
Firewall | ja |
IDS | ja |
Cookie-Filter | ja |
Ad-Blocker/Content-Filter | ja |
NPF 2004: Konfiguration und Installation
Vor der ersten Inbetriebnahme bietet die NPF ein Update an. Dieses ist in jedem Fall zu empfehlen, da nicht nur eventuell veraltete Binaries erneuert werden. Signaturen, die Norton als Grundlage für eine Vielzahl von Schutzvorkehrungen wie IDS oder Content-Filter verwendet, werden im Zuge dessen ebenfalls aktualisiert.
Bei der Installation bietet die NPF vordefinierte Rollen an. Der User hat die Auswahl zwischen Home, Office, Default und Away. Jede Einstellung entspricht einem den Bedürfnissen angepassten Sicherheitsverhalten der Firewall. Im Betrieb ist das Umschalten zwischen den Rollenzuordnungen erst einmal gewöhnungsbedürftig: Der Benutzer muss zunächst die bestehende Rollenzuordnung über den Clear-Button löschen und dann über eine Abfragebox die neue Zuordnung einstellen. Dies geschieht jedoch nur, wenn der Network-Detector eingeschaltet ist.
Ein übersichtlicher Step-by-Step-Wizard hilft bei der manuellen Erstellung des Firewall-Regelwerks. Dieser wird im Normalbetrieb jedoch eher selten gebraucht, da die NPF bei allen neuen Verbindungsanforderungen ein Abfrage-Pop-up anzeigt. Verwirrend ist bei aktivierter Programmkontrolle die zweimalige Abfrage mit optisch identischen Fenstern. Das erste gehört zur Programm-Kontrolle, dessen Auswahl auf "erlauben" und "verbieten" beschränkt ist, das zweite zum Paketfilter, das weitere Auswahlmöglichkeiten wie das Erstellen benutzerdefinierter Regeln zulässt. Die angebotene Option, den Internet-Zugang automatisch zu konfigurieren, bezieht sich ausschließlich auf Programme, die Symantec als vertrauenswürdig einstuft. Welche Freigaben diese Programme jedoch bekommen, bleibt unklar.
Das angegliederte IDS bezieht über Online-Updates die jeweils aktuellsten Signaturen. Da die Empfindlichkeit des Sensors nicht einstellbar ist, reicht bereits der erste Kontaktversuch zu einem "bösen" Port aus, um den Host auf die schwarze Liste zu schicken. Welche Ports Symantec als gefährlich einstuft, ist allerdings nicht dokumentiert.
Das IDS bietet dem Anwender jedoch die Möglichkeit, versehentlich geblockte Adressen manuell wieder freizugeben - oder auch dauerhaft zu sperren, indem er sie einer permanenten Blacklist hinzufügt.
Die NPF hatte im Test mit einigen Stabilitätsproblemen und Inkompatibilitäten zu kämpfen. So stürzt das "Program Component monitoring" ab, sobald der User die Liste der Programme manuell bearbeitet. Da es sich um ein ausgelagertes Programm handelt, hat das jedoch keinen Einfluss auf die Schutzwirkung der NPF.
NPF 2004: Reporting und Dokumentation
Das Reporting der NPF gliedert sich in drei Teilbereiche: Die allgemeine Statistik gibt Auskunft über die Anzahl der zugelassenen und verworfenen Pakete. Die detaillierte Statistik informiert unter anderem darüber, welche Verbindungen aktuell geöffnet sind und welche Regeln wie oft gegriffen haben.
Das Programm "Log-Viewer" als dritter Teilbereich protokolliert sämtliche Vorgänge rund um die Firewall. Als einziger Teilnehmer im Testfeld registriert die NPF auch detailliert Veränderungen am Regelwerk. Jedoch hat der Log-Viewer Probleme bei der Darstellung der IDS-Logs. Im Test steigt die Prozessorlast über einen erheblichen Zeitraum (etwa 45 Sekunden) auf 100 Prozent. Abhilfe schafft die Größenbeschränkung der Log-Datei, die per Rechtsklick auf die jeweilige Kategorie erreichbar ist.
Die Dokumentation zur NPF ist umfangreich, jedoch nur mäßig informativ. Zu praktisch jedem Teilbereich bietet Symantec eine ausführliche Hilfestellung an, die aber in erster Linie auf Einsteiger zugeschnitten ist. Erfahrene Anwender und Profis suchen meist vergeblich nach detaillierten Hintergrundinformationen.
NPF 2004: Schutzwirkung
Bei Portscans blockt das in die Firewall integrierte IDS die IP-Adresse der Gegenstelle sofort - in der Grundeinstellung für 30 Minuten. Da der Sensor des IDS jedoch sehr empfindlich eingestellt ist, reicht bereits ein einziger Kontaktversuch zu einem "bösen" Port, um die Adresse des potenziellen Angreifers für 30 Minuten zu blocken. Dieses Verhalten hat jedoch nicht nur Vorteile - vor allem weil Symantec nicht durchblicken lässt, auf welche Ports das IDS so empfindlich reagiert. Speziell Peer-to-Peer-Benutzern ist zu empfehlen, hin und wieder einen Blick in die Blockliste zu werfen, um sicherzustellen, dass nicht versehentlich die falschen Adressen geblockt werden.
Bemerkenswert verhält sich die NPF beim Austausch von Binaries, die Kontakt ins Netz aufnehmen. Sie behandelt beispielsweise die anstelle von ICQ eingeschleuste Backdoor als komplett neues Programm, ohne die Veränderung an sich zu registrieren. Eine weitere Auffälligkeit zeigt sich bei Portscans, die via IP-Spoofing mit der Loopback-Adresse als Absender versehen sind. In diesem Fall lassen sich die permanenten Warn-Pop-ups nicht mehr unterdrücken, auch wenn die Option "Diesen Angriff nicht mehr nachfragen" gewählt wird. Als Nebeneffekt steigt die CPU-Last für die Zeit des Angriffs im Durchschnitt auf über 90 Prozent.
Beim gewaltsamen Terminieren der Firewall-Prozesse macht die NPF die Schotten dicht. Erst nach einem Neustart konnte das externe Netz wieder erreicht werden.
NPF 2004: Fazit
Eine Vielzahl an Hilfestellungen und Wizards erleichtern zwar den Umgang mit der Norton Personal Firewall, ein tieferer Einstieg gestaltet sich angesichts der Vielzahl an Features und der stellenweise schwach bis gar nicht dokumentierten Verhaltensweise allerdings schwierig.
Geschaffen ist die NPF für User, die sich damit zufrieden geben, dass die Firewall funktioniert, ohne sich darum zu kümmern, warum das so ist.
Die NPF lässt den Anwender über viele Abläufe weit gehend im Unklaren. So bleibt beispielsweise verborgen, auf welche Ports das IDS reagiert oder welche Freigaben der "Automatic-Modus" dem jeweiligen Programm genau erteilt. Weiterhin ist unklar, was der "Network-Detector" genau entdeckt und welche Rolle er im Kontext mit den "Locations" (Rollen) genau spielt.
Wer sich nicht um das "Wie und Warum" kümmern will und sich darauf verlässt, dass via Live-Update immer die aktuellsten Bedrohungsszenarien eingespielt werden, ist mit der Norton Personal Firewall gut bedient. Lediglich die auftretenden Instabilitäten trüben das ansonsten positive Bild.
Sphinx e-Wall
Die x-Wall vom britischen Hersteller Sphinx ist in vier verschiedenen Versionen erhältlich: Von der kostenlosen a-Wall bis hin zur s-Wall, die mit Features wie grafischer 3D-Analyse aufwartet. Ein weiteres Leistungsmerkmal der s-Wall ist die Möglichkeit der zentralen Sicherheitsverwaltung aller Clients im Netzwerk. Diese soll sowohl den unkontrollierten Datenaustausch zwischen den Clients verhindern als auch die Gefahr einer Vireninfektion erheblich reduzieren. Wir testen die e-Wall, die am besten ins Teilnehmerfeld passt.
Die e-Wall bietet eine Schnittstelle zu bekannten Virenscannern wie NOD32 und Sophos, um Web- und E-Mail-Content auf Virenbefall zu prüfen. Ebenfalls im Paket enthalten ist ein Content-Blocker, der ein umfangreiches Filtern unerwünschter Inhalte aus Webseiten ermöglicht.
Produkt | X-Wall - Version e-Wall |
|---|---|
| |
Anbieter | |
Preis | 49,95 US-Dollar |
Systemvoraussetzungen | |
Betriebssystem | Windows 98/ME/2000/XP |
CPU | k. A. |
Hauptspeicher | 64 MByte |
Festplatte | 5 MByte |
Komponenten | |
Firewall | ja |
IDS | nein |
Cookie-Filter | ja |
Ad-Blocker/Content-Filter | ja |
e-Wall: Installation und Konfiguration
Das Hauptfenster der e-Wall präsentiert sich aufgeräumt und kommt ohne Spielereien aus. Die Installations-Routine stellt zwar einen "Wizard" zur Verfügung, doch dieser öffnet lediglich den Zonen-Editor. Eine echte Hilfestellung, wie sonst üblich bei Wizards, bietet dieser nicht.
Da keinerlei sonstige Helfer den User bei der Grundkonfiguration unterstützen, muss dieser selbst auf Entdeckungsreise gehen. Die Hilfefunktion gewährt dabei jedoch erst Unterstützung, wenn der Anwender sich eingehend damit beschäftigt hat und der englischen Sprache hinlänglich mächtig ist.
Generell arbeitet die e-Wall nach dem Schema, Programme und Zonen getrennt voneinander zu verwalten. Bei Bedarf trifft der Anwender eine Zuordnung zwischen Zone und Anwendung. Dies geschieht im Regelfall über ein Abfragefenster, das ausschließlich diese Zonenzuordnung zulässt, jedoch keinerlei Möglichkeiten wie das einmalige Erlauben/Verbieten oder eine interaktive Regelerstellung.
Eine Zone entspricht in der e-Wall einer Obergruppe, die beliebige viele Untergruppen in Form von Filter-Regeln enthält. Das Problem bei der Handhabung besteht darin, dass beim ersten Kontakt eines Programms zum Netzwerk noch keine definierte Zone existiert. Der User muss also vorerst eine der vordefinierten Zonen wählen und im Anschluss selbst eine passende erstellen.
Die Einrichtung dieser Zonen ist jedoch kein Kinderspiel. Der Benutzer benötigt zumindest Grundkenntnisse über die von der jeweiligen Applikation verwendeten Ports und Protokolle. Da die e-Wall keinerlei Auskunft darüber gibt, welche das sind, muss der User auf andere Quellen oder sein eigenes Fachwissen zurückgreifen.
Die e-Wall behandelt ausschließlich die Protokolle TCP und UDP. Weder ICMP (Ping), noch ARP oder IGMP werden unterstützt.
Ein wesentlicher Bestandteil der e-Wall ist der ausgeklügelte Content-Filter; für Fachleute ein Leckerbissen, für Einsteiger ein Desaster, da die Regeln ausschließlich über reguläre Ausdrücke arbeiten und konfiguriert werden.
e-Wall: Reporting
Über den aktuellen Stand der Dinge lässt die e-Wall den User weit gehend im Unklaren. Weder Statistiken noch Pop-ups geben Auskunft über die sicherheitsrelevanten Vorgänge auf dem Computer.
Die Log-Dateien sind zwar aussagekräftig, jedoch hat der User weder die Möglichkeit, diese zu filtern, noch sie zu sortieren. Die verwendeten Symbole sind im Help-File erklärt.
e-Wall: Schutzwirkung
Beim Portscan zeigt sich, dass die e-Wall sämtliche Systemdienste offen lässt. Diese werden bei der Installation ohne Rückfrage der Zone "Enableall" zugeordnet, in der es keinerlei Einschränkungen gibt. Die Konsequenz für den User wäre, dass auf versehentlich freigegebene Shares uneingeschränkt zugegriffen werden kann und ein ungepatchtes System schutzlos Sasser- oder Mydoom-Angriffen ausgeliefert ist. Den Portscan selbst registriert e-Wall gar nicht.
Die Backdoor bemerkt die Firewall erst bei der Kontaktaufnahme zum geöffneten Port und reagiert mit einer Abfrage, welcher Zone das kontaktierte Programm zugeordnet werden soll. Bis der Benutzer eine Auswahl trifft, bleibt die voreingestellte Zone "Enableall" aktiv, die Backdoor ist also erreichbar. Klickt der Anwender auf "Cancel", speichert e-Wall die Einstellung "Enableall" ab: Der Angreifer hat in Zukunft kein Hindernis mehr zu überwinden.
Positiv fällt auf, dass ein willkürliches Beenden des Firewall-Prozesses das Regelwerk nicht außer Kraft setzt. Bei einer entsprechend restriktiven Einstellung geht der Schutz nicht verloren.
e-Wall: Fazit
Auch dem versierten Anwender ist die e-Wall nur bedingt zu empfehlen. Zwar bietet sie mit dem fein granulierbaren Content-Filter einen exzellenten Schutz gegen unerwünschte Webinhalte. Den eigentlichen Zweck - die Kontrolle des Netzwerkverkehrs auf den unteren Protokollebenen - erfüllt sie jedoch selbst im Optimalfall nur ausreichend, da ausschließlich die Protokolle UDP und TCP unterstützt werden.
Einsteigern ist von der Verwendung der e-Wall abzuraten. Zu gravierend sind die Lücken, die sich ohne ausreichende Konfiguration im Test gezeigt haben, und zu umständlich ist die Handhabung, bis das System halbwegs sinnvollen Sicherheitsrichtlinien entspricht.
Dem Vergleich mit anderen Test-Teilnehmern, die preislich zum Teil deutlich günstiger liegen, kann die e-Wall nicht standhalten.
Sygate Personal Firewall pro
Sygate, einer der großen Sicherheitsdienstleister auf dem Markt, hat neben diversen Enterprise- und Server-Lösungen auch eine Personal Firewall im Produktportfolio.
Die Sygate Personal Firewall pro bietet keine Zusatzfunktionen wie Ad- oder Cookie-Filter, sondern ausschließlich die Kontrolle des Netzwerkverkehrs. Diesen Part beherrscht sie dafür beinahe perfekt.
Ähnlich wie bei der Kerio Firewall legt Sygate großes Gewicht auf die Kontrolle der installierten Applikationen, um den Kontakt zu ungewünschten Programmen schon abzufangen, bevor dieser zu Stande kommt.
Die umfangreichen Schutzfunktionen gewährleisten eine hohe Flexibilität und optimale Anpassung an die Bedürfnisse des Anwenders. Um den vollen Funktionsumfang der Sygate Firewall zu nutzen, wird beim Benutzer jedoch ein nicht unerhebliches Grundwissen vorausgesetzt. Zwar gibt das mitgelieferte Handbuch Aufschluss über die meisten Funktionen, aber zuweilen nicht ausführlich genug.
Produkt | Sygate Personal Firewall pro v. 5.5 |
|---|---|
| |
Anbieter | Sygate Germany |
URL | |
Preis | 39,95 EUR |
Systemvoraussetzungen | |
Betriebssystem | Windows 95/98/Me/NT/2000/XP |
CPU | Pentium 133 |
Hauptspeicher | 32 MByte |
Festplatte | 10 MByte |
Komponenten | |
Firewall | ja |
IDS | ja |
Cookie-Filter | nein |
Ad-Blocker/Content-Filter | nein |
Sygate: Installation und Konfiguration
Nach der Installation, die keinerlei benutzerdefinierte Einstellungen am Verhalten der Firewall zulässt, ist ein Neustart des Rechners erforderlich.
Das Hauptfenster ist stringent und durchdacht aufgebaut. Als zentraler Punkt der Darstellung fällt der aktuelle Systemstatus mit Informationen wie Netzwerkverkehr ins Auge.
Zwar verfügt die Sygate über keinerlei Zonenmodell oder einfache Schieberegler, durch den durchdachten Aufbau der Konfigurationselemente findet sich der Anwender jedoch auch ohne diese schnell zurecht.
Einen Schwerpunkt legt die Sygate Firewall auf die Überwachung netzwerkfähiger Anwendungen, die über den Menüpunkt "Applikationen" einsehbar sind. Ein Rechtsklick auf das gewünschte Programm erlaubt es dem Anwender, Grundregeln wie "erlauben", "verbieten" und "nachfragen" festzulegen. Unter dem Menüpunkt "erweitert" findet sich eine genaue Regeldefinition inklusive einer Zeitsteuerung, von wann bis wann die Regel aktiv sein soll.
Zusätzlich erlaubt Sygate die Definition programmübergreifender Filter, die über eine höhere Priorität verfügen als die Filter für die Applikationen. Damit kann der Benutzer bestimmte Adressen oder Ports für alle Anwendungen freischalten oder verbieten.
Das filterunabhängige Verhalten der Firewall legt der User über den Menüpunkt "Werkzeuge"->"Optionen" fest. Hier finden sich Sicherheitserweiterungen wie Schutz der IP-Adressen vor Manipulation oder ein Treiberschutz, der Protokolltreiber daran hindert, unbemerkt auf das Netzwerk zuzugreifen.
Sygate: Reporting
Der Benutzer erreicht die Logdateien der Sygate Firewall über den Button "Protokolle" im Hauptfenster. Zur Auswahl stehen thematisch sortiert alle wichtigen Logdateien vom Sicherheits- bis zum Systemprotokoll. Letzteres vermerkt Veränderungen an der Firewall, geht aber nicht detailliert auf die Art der Veränderung ein. Lediglich Aktionen wie Start, Stopp und Update der Firewall werden festgehalten, ohne jedoch explizite Änderungen an der Konfiguration oder dem Regelwerk im Detail aufzuführen.
Detaillierte und leichtverständliche Protokollanzeige helfen, sicherheitskritische Vorfälle frühzeitig zu erkennen. Die Einträge lassen sich vom Anwender sowohl sortieren als auch filtern. Zu jedem Eintrag steht über das Kontextmenü die Möglichkeit zur Verfügung, einen Traceroute und eine Whois-Abfrage zu starten, die Auskunft über den Absender des Pakets geben.
Über den Menüpunkt "Datei" im Protokollfenster lässt sich die Größe der Logdateien festlegen und in welchem Turnus diese gespeichert werden sollen (Logrotate).
Sygate: Informationsquellen
Zur interaktiven Information des Anwenders stellt die Sygate Firewall zwei Arten von Informationsquellen bereit. Kleine Informations-Pop-ups geben in der rechten unteren Ecke des Bildschirms Auskunft über geblockte Applikationen und erkannte Portscans. Ein Klick in die Checkbox "Dieses Fenster nicht mehr anzeigen" unterdrückt weitere Meldungen des entsprechenden Typs.
Die zweite Informationsquelle findet sich in den interaktiven Regelabfragen der Firewall. Ein Klick auf den Button "Detail" öffnet ein Fenster, das über alle wichtigen Fakten in Bezug auf die abgefragte Verbindungsaufnahme aufklärt. Diesen Grad an Detailauskunft bietet kein anderes Produkt im Testfeld.
Sygate: Schutzwirkung
Als einer der wenigen Teilnehmer im Test ist der Prozess der Sygate Firewall gegen willkürliches Beenden geschützt.
Einzigartig im Test ist die Erkennung von ausgetauschten Programmen. Änderungen an registrierten Dateien bemerkt die Firewall sofort und fragt nach, ob diese legitim sind oder nicht.
Auch die Kontaktaufnahme zu Backdoors - im Test simuliert durch Netcat - erkennt und verhindert die Firewall zuverlässig.
Ein Portscan bewirkt einerseits eine Meldung, andererseits eine Blockierung des Angreifers über einen vom Anwender einstellbaren Zeitraum. Sygate stellt jedoch keine Möglichkeit zur Verfügung, bereits blockierte Adressen vorzeitig wieder freizugeben. Da der IDS-Sensor relativ unempfindlich ist, besteht nur eine geringe Gefahr, dass versehentlich falsche Adressen blockiert werden.
Sygate: Fazit
Anders als die meisten Testteilnehmer kümmert sich die Sygate Firewall ausschließlich um den Netzwerkverkehr. Diese Aufgabe erledigt das Produkt jedoch so gewissenhaft wie kein anderer Teilnehmer. Sämtliche Tests meistert die Firewall glänzend. Dank der intuitiven und leicht verständlichen Bedienung kann der Benutzer das Potenzial des Produkts optimal ausnutzen.
Dank der umfangreichen Einstellmöglichkeiten, die jedoch nicht zwingend genutzt werden müssen, eignet sich die Sygate Firewall für Einsteiger und Profis gleichermaßen.
Zonealarm Pro 5
Zonealarm, der Oldtimer unter den Personal Firewalls, geht mit seiner aktuellen Version 5 ins Rennen. Gegenüber der Version 4.5 hat Zone Labs das Programm unter anderem um den Menüpunkt "Viren-Schutz" im Sicherheitscenter erweitert. Dieser Dienst überwacht die Aktualität der verwendeten Signaturen und die Funktionsfähigkeit des Scanners. Der schon seit Version 4.5 vorhandene ID-Schutz soll verhindern, dass geschützte Daten wie PINs oder eBay-Passwörter in fremde Hände gelangen. In Anbetracht der aktuellen Sicherheitsmeldungen über geklaute PINs und TANs ein durchaus nützliches Feature.
Die Spannweite der Anwender, die Zone Labs mit ihrem Produkt anspricht, reicht vom Einsteiger, der mit Hilfe diverser Schieberegler den gewünschten Sicherheits-Level einstellen kann, bis zum Power-User, der im Detail festlegen möchte, was auf seinem Computer geschieht.
Produkt | Zonealarm Pro 5 |
|---|---|
| |
Anbieter | |
Preis | 49,95 EUR |
Systemvoraussetzungen | |
Betriebssystem | Windows 98 SE/ME/2000 Pro/XP |
CPU | 233 MHz Pentium |
Hauptspeicher | 128 MByte (Win XP) |
Festplatte | 10 MByte |
Komponenten | |
Firewall | ja |
IDS | nein |
Cookie-Filter | ja |
Ad-Blocker/Content-Filter | ja |
Zonelalarm: Installation und Konfiguration
Ein leicht verständlicher Konfigurationsassistent hilft dem Anwender, schon bei der Installation das spätere Verhalten von Zonealarm in groben Zügen festzulegen.
Die Devise "Keep it simple" ist bei Zonealarm Programm. Jede der Hauptkategorien verfügt über vordefinierte Sicherheits- und Warnstufen, die vom Anwender mittels Schieberegler oder Select-Box einstellbar sind. Die Schutzstufen der Kategorie "Programmeinstellungen" sind als Beispiel in vier Schritten von "aus" bis "hoch" definiert. Ersteres steht für die Deaktivierung der Schutzfunktion und Letzteres für den restriktivsten Umgang mit Programmen und deren Verhalten. Diese vordefinierten Schutz-Levels sind vom User jedoch nicht an seine Bedürfnisse anpassbar.
Die benutzerdefinierte Steuerung des Paketfilters ist in Zonealarm an die jeweiligen Applikationen gekoppelt, die im Menüpunkt "Programmeinstellungen" zusammengefasst sind. Mit einem Rechtsklick auf die gewünschte Applikation erreicht der Anwender die erweiterte Option, die eine präzise Reglementierung des Programms zulässt.
Zonealarm: Reporting
Zonealarm gibt sich im Test sehr auskunftsfreudig. Bei praktisch allen relevanten Ereignissen informiert ein Pop-up den Benutzer. Kommen mehrere Ereignisse zur gleichen Zeit an, fasst Zonealarm diese praktischerweise in einem einzigen Pop-up zusammen. Da die Pop-up-Reports einstellbar sind, kann der User selbst festlegen, worüber und in welchem Umfang er informiert werden möchte.
Die Log-Datei ist übersichtlich dargestellt und zu jeder Überschrift auf- oder absteigend sortierbar. Im unteren Teil des Fensters blendet sich zum gewählten Eintrag zusätzlich eine Detailinformation ein; der Button "erweiterte Informationen" liefert darüber hinaus eine detaillierte Online-Analyse des Eintrags.
Diese "erweiterten Informationen" stehen auch anderen Komponenten wie dem Programmschutz zur Verfügung.
Sehr nützlich ist die Funktion, direkt aus den Log-Einträgen heraus Zonenzuordnungen für die entsprechenden Programme zu treffen. Die Statistik im Startfenster gibt ferner Auskunft darüber, wie viele Regelverletzungen in der Vergangenheit stattgefunden haben.
Zonealarm: Schutzwirkung
Hier zeigt sich Zonealarm von seiner besten Seite. Alle durchgeführten Tests verlaufen ohne Beanstandungen. Portscans erkennt Zonealarm zwar nicht als solche, jedoch liefern diese keine verwertbaren Resultate für den Angreifer. Sowohl den Start eines Programms, das einen Port öffnet, erkennt und meldet Zonealarm, als auch den Austausch einer Programmdatei gegen eine andere.
Ein Hinweis auf den Zugriff oder die Öffnung potenzieller Backdoor-Ports wäre wünschenswert - allerdings weist die Firewall nicht einmal in der Online-Analyse darauf hin.
Als einziger Teilnehmer im Testfeld ist der Firewall-Prozess der Zonealarm gegen ein willkürliches Beenden geschützt. Weder unautorisierte User noch externe Applikationen sind in der Lage, ZAP zu stoppen oder ihren Schutz zu deaktivieren. Durch den Passwortschutz, das der Anwender schon bei der Installation der Firewall vorgibt, wird wirkungsvoll vermieden, dass unberechtigte Personen Einstellungen an der Zonealarm vornehmen.
Zonealarm: Fazit
Zonealarm zeigt im Test keine nennenswerten Schwächen. Die sehr gute Schutzwirkung, verbunden mit der gelungenen Konfigurationsoberfläche, der leichten Bedienbarkeit und dem übersichtlichen Reporting machen diese Firewall zu einem idealen Schutzinstrument für Einsteiger. Auch Power-User kommen dank der umfangreichen Einstellmöglichkeiten voll auf ihre Kosten. Lediglich die teilweise etwas unverständliche Ausdrucksweise, die wohl auf eine nicht ganz gelungene Sprachübersetzung zurückzuführen ist, gibt Anlass zur Kritik.
Fazit
Die Firewall von Windows XP SP2 muss in der Betrachtung eine Sonderstellung einnehmen, da sie von Microsoft als zusätzliches Feature gedacht ist, und im Kontext mit den anderen Erweiterungen - wie dem neuen Ad-Blocker im Internet-Explorer - zu sehen ist. Als Grundschutz ist sie zwar ausreichend, weist aber Schwächen auf, die bei ihren kommerziellen Kollegen in dieser Form nicht zu finden sind. Insbesondere fehlen die Kontrolle des ausgehenden Datenverkehrs und ein vernünftiges Reporting.
Zonealarm Pro brilliert mit einer guten Schutzwirkung, kann aber beim Reporting nicht ganz mithalten. Zudem fehlen Mechanismen zur Intrusion Detection und Prevention. Norton Personal Firewall 2004 fehlen einige Quentchen zur optimalen Schutzwirkung, besticht dafür mit guter Handhabung und Übersicht. Lediglich an der Programmstabilität muss Symantec noch feilen. Ein gemischtes Bild zeichnen Outpost und Kerio. Erstere leistet sich ein paar Ausrutscher bei der Schutzwirkung, die das ansonsten gute Bild erheblich trüben und Letztere liefert dem Benutzer nicht genügend aufbereitete Informationen, so dass ein echtes Top-Ergebnis ausbleibt. McAfee und Sphinx liefern durchweg durchschnittliche Leistungen ab, wobei das Reporting von Sphinx noch erheblichen Spielraum für Verbesserungen bietet. Wer Abstriche in der Handhabung in Kauf nehmen kann, ist mit der Sygate Firewall sehr gut bedient. Im Test zeigt sie eine ebenso gute Schutzwirkung wie Zonealarm und das beste Reporting aller Teilnehmer. Die Norman überzeugt zwar in der Handhabung, die Schutzwirkung lässt jedoch durchaus zu wünschen übrig. Logdateien stellt das Programm übersichtlich dar, beim sortieren steigt die CPU-Last aber auf 100%. (tle)
Testverfahren
Als Referenz-Betriebssystem dient ein unverändertes und voll gepatchtes Windows XP Pro mit installiertem Service Pack 2. Jeder Test findet auf einem frisch aufgesetzen System statt, um Wechselwirkungen zu vorher installierten Programmen auszuschließen.
Zunächst installieren wir ICQ-Lite, um das Verhalten der Firewall bei der Installation, der ersten Kontaktaufnahme zum Internet und im laufenden Betrieb zu beobachten.
Als Nächstes folgt ein einfacher Portscan mit nmap. Da die Firewalls in fast allen Fällen eingehende Echo Requests verhindern, führen wir den Scan ohne vorherige Ping-Abfrage (nmap -P0) durch. Ziel ist es dabei, offene Ports zu dokumentieren und das Verhalten der Firewalls zu beobachten.
Welche Ports sind erreichbar?
Wird der Portscan als solcher bemerkt?
Wenn ja, mit welcher Reaktion (Warnhinweis, Log-Eintrag, Block der IP-Adresse)?
Im nächsten Test simulieren wir eine Backdoor mit dem Netzwerk-Tool Netcat, das die Ports 80 und 31337 öffnet. Ersterer repräsentiert einen Well Known Port (HTTP), Letzterer einen Backdoor Port (Back Orifice 2000). Beobachtet und bewertet werden dabei folgende Kriterien:
Wird der Start des Programms bemerkt?
Wird das Öffnen des Sockets bemerkt?
Wird der Backdoor-Port bemerkt?
Kann das Programm von außen erreicht werden?
Um festzustellen, ob die Firewall den Austausch einer zuvor legitimierten Applikation gegen eine Backdoor bemerkt, tauschen wir das Executable von ICQ-Lite mit dem von Netcat aus.
Wird die Veränderung bemerkt?
Wird das Öffnen eines anderen als des für ICQ-Lite freigeschalteten Sockets erkannt?
Ist das Programm von außen erreichbar?
Als letzte Maßnahme versuchen wir, den Firewall-Prozess zu beenden. Interessant ist dabei, ob das Programm terminierbar ist (also auch durch eine böswillige Applikation oder einen unerfahrenen Benutzer) und ob danach noch ein Schutz für das System besteht.