Der Internetbenutzer ist den Begehrlichkeiten von Hackern und Unternehmen ausgesetzt. Erstere machen sich einen Spaß daraus, fremde Computer auszuspähen, zu verändern oder ganz einfach nur zum Absturz zu bringen. Letztere wollen vor allem mehr Informationen über den potenziellen Kunden erlangen, um ihr Marketing effizienter zu gestalten.
Dazu ist manchen Firmen scheinbar jedes Mittel recht: So geriet etwa Real Networks unter Beschuss, weil deren RealPlayer zusammen mit der Anforderung für Musikstücke eine GUID übertrug, die sich auf den Benutzer zurückführen ließ. Auch AOL/Netscape sorgte für Aufregung, als bekannt wurde, dass der Navigator ungefragt die Namen heruntergeladener Dateien oder eingegebene Suchbegriffe zusammen mit der E-Mail-Adresse des Benutzers an Netscape weiterleitet (siehe tecChannel.de-Report). Jüngster Ausrutscher in dieser Richtung: Die Zugangssoftware zur populären Online-Tauschbörse Kazaa zapft tatsächlich im Hintergrund Rechenkapazität von PCs der Nutzer ab. Die stellt der Betreiber Sharman Networks zur Finanzierung des Dienstes seinen zahlenden Kunden zur Verfügung.
Mit welchen Tricks Firmen und Hacker versuchen, ihre Gier zu stillen, zeigt unser Grundlagenbeitrag über Sicheres Surfen. Dort erfahren Sie auch, in wie weit Sie sich mit Hausmitteln gegen solche Ausspähung schützen können. Allerdings gestaltet sich die Echtzeitbeobachtung mit NetMon oder Port Magic aufwendig, zur Abwehr sind diese Tools in der Regel nicht gedacht. Hier kommen Personal Firewalls ins Spiel, die Teilfunktionen einer echten Firewall auf den Desktop übertragen.
Spielzeug oder Werkzeug?
In einschlägigen Newsgroups wie de.comp.security.firewalls finden sich regelmäßig hämische Kommentare selbst ernannter Sicherheitsexperten, die den Personal Firewalls jegliche Daseinsberechtigung absprechen. Allzu leicht seien solche Desktoptools zu umgehen, da sie mit statischen Filterfunktionen arbeiten. So könnten sich problemlos Trojaner bei der Verbindungsaufnahme nach außen als Nutzprogramme ausgeben oder ihren Datenverkehr über erlaubte Verbindungen tunneln.
Sind Personal Firewalls also überflüssig? Mitnichten - selbst wenn die Kritiker nicht ganz Unrecht haben. Zum einen verfügen nicht alle potenziellen Angreifer über tiefschürfende Protokollkenntnisse und ausgefeiltes Werkzeug - Stichwort: Script Kiddies. Zum anderen bieten heute auch desktopbasierte Schutzprogramme ein beachtliches Repertoire an Abwehrmöglichkeiten. So finden sich im Testfeld sowohl Applikationen, die Angriffe portunabhängig durch ständige Verkehrsanalyse entlarven, als auch zwei Tools, die über MD5-Prüfsummen die Authentizität zugreifender Programme abklären.
Desktop Firewalls machen also durchaus Sinn. Und die Entscheidung zum Einsatz der Softwarewächter fällt umso leichter, als inzwischen eine ganze Reihe dieser nützlichen Werkzeuge kostenlos zu bekommen ist: Drei der im Testfeld vertretenen Produkte offerieren die Anbieter für den Privateinsatz zum Nulltarif. Für die drei anderen dagegen fallen Lizenzgebühren an.
Neu: Aladdin eSafe Desktop 3.1.36
Das israelische Unternehmen Aladdin Knowledge Systems begann seine Laufbahn ursprünglich mit der Entwicklung von Dongles zum Softwareschutz. Seit 1998 gehört auch die in Oregon beheimatete eSafe Technologies mit zu Firmengruppe, aus deren Portfolio eSafe Desktop stammt. Das bislang kostenlose Tool offeriert Aladdin jetzt nur noch als 30-Tage-Testversion zum Download. Wer eSafe Desktop über diese Zeitspanne hinaus nutzen will, muss 59 Euro investieren.
Die Firewall bildet nur eine, und auch nicht die wichtigste, Komponente des eSafe Desktop: Der Hauptzweck des Produkts ist die Eindämmung potenziell gefährlichen Skript- und Programmcodes in einer Sandbox. Daneben bringt eDesktop auch noch einen halbwegs brauchbaren Virenscanner mit. Zusammen mit Administrations- und Konfigurationskomponenten residieren diese Bestandteile in einem übersichtlichen Benutzerinterface.
Aladdin: Firewall
Die Firewall des eSafe Desktop operiert nach dem Motto, dass erlaubt ist, was der Benutzer nicht explizit verbietet. Einige vorkonfigurierte Ausschlusslisten - darunter eine mit den gängigsten Backdoor-Ports - bringt eSafe Desktop schon in der Grundkonfiguration mit. Um zusätzliche Ports vom Zugriff auszunehmen, gilt es, jeweils angepasste Filterregeln zu erstellen. Einzelne Dienste lassen sich generell untersagen oder erlauben, wobei der Benutzer für jeden Port wiederum frei definierbare URLs oder IP-Adressen als Ausnahmen von der Regel definieren kann.
Daneben packt eSafe Desktop auch noch einen Wortlisten-Filter mit in die Firewall. Diese fungiert also nicht nur als Port-, sondern auch als Contentfilter. Eine Option zur Zeitbeschränkung der Filterung sowie zur Blockierung der Weitergabe sensitiver Daten über die konfigurierten Ports runden den Umfang der Firewall-Funktion ab. Seit Version 3.0 verfügt eSafe Desktop zudem unter der Bezeichnung "Application Firewall" über eine Querverbindung zur Sandboxfunktion. Nur Programme, die auf die Internet-Application-Sandbox beschränkt sind, erhalten freien Zugang zu den IP-Ports.
Mehrere über die diversen Filter konfigurierte Regelsätze - im eSafe-Desktop-Sprachgebrauch: Firewalls - lassen sich nun den auf dem Rechner angelegten Usern individuell zuordnen. Dabei wirken die einzelnen Filter additiv. Zugriffe auf nicht zugelassene Ports und den Datenversand ihm unbekannter Anwendungen wehrt eSafe Desktop je nach Konfiguration ab: Entweder stillschweigend mit Erstellung eines Protokolls oder mit der Bitte an den Benutzer um entsprechende Ergänzung der Filterregeln.
Aladdin: Weitere Funktionen
Die in eSafe Desktop integrierte Antivirensoftware beherrscht sowohl On-Demand- als auch On-Access-Scans auf der Platte lagernder Dateien. Zwar arbeitet sie schnell, jedoch auf Kosten der Erkennungsrate: In unserem Virenscanner-Test konnte sie jedenfalls nicht überzeugen. Eine Desinfektion der befallenen Files beherrscht das AV-Modul nur im Einzelfall, meist bietet es lediglich das Löschen der infizierten Datei an.
Das eigentliche Kernstück von eSafe Desktop stellt das Sandbox-Modul dar. Hier kann der Anwender für jede Applikation einen Regelsatz erstellen, der die Zugriffsrechte des Programms auf bestimmte Dateien und Verzeichnisse einschränkt. So entsteht ein "Sandkasten" für die Applikation, innerhalb dessen sie ruhig "spielen" darf, ohne Schaden anzurichten.
Wie bei der Firewallkonfiguration lassen sich mehrere vor- und selbst definierte Sandboxen zu einem Regelwerk kombinieren und automatisch Benutzerprofilen zuordnen. Die einzelnen Filter entwickeln dabei kumulative Wirkung, je nach Konfiguration erlernt das Sandboxmodul durch Benutzung auch die Zugriffsrechte bislang unbekannter Applikationen. Ergänzend zum Sandboxing überwacht die System-Protection-Funktion des eSafe Desktop wichtige Ressourcen wie Boot- und Systemfiles, die Registry und diverse Sicherheitssettings. Verändern Programme diese Einstellungen, erfolgt in jedem Fall ein Alarm. Optional kann eSafe Desktop die Modifikationen auch unterbinden.
Aladdin: Fazit
Alles in allem liefert Aladdin eSafe Desktop als Firewall keine besonders überzeugende Vorstellung. Um Zugriffe auf den Rechner zuverlässig zu unterbinden, müsste man aufgrund der Eigenheiten des Tools schon vorher präzise wissen, über welche Ports die Attacke erfolgt. Das ist nun nicht direkt Sinn einer Firewall. Im Test erkennt eSafe Desktop 3.1 im Gegensatz zu Versionen vor 3.0 zwar über die Application Firewall das eingesetzte BackOrifice 2000. Portscanner kann es allerdings noch immer nicht zuverlässig aushebeln. So erkennt etwa nmap unabhängig von der Firewall-Einstellung die Windows-Netzwerk-Ports 137/udp, 138/udp und 139/tcp.
Auch als Virenscanner bekleckert sich eSafe Desktop nicht mit Ruhm. Lediglich in seiner Funktion als Sandbox kann es richtig punkten. Sind Sie also gezwungen, gelegentlich Code zweifelhafter Provinienz auf Ihren Rechner loszulassen, liegen Sie mit eSafe Desktop richtig. Suchen Sie dagegen eine zuverlässig wirkende Firewall, sollten Sie sich nach anderen Alternativen umsehen.
Produkt | eSafe Desktop 3.1.36 |
|---|---|
| |
Hersteller | |
Preis | 59 Euro |
Download | http://www.eSafeDesktop.com (10,5 Mbyte, 30-Tage-Testversion) |
Systemvoraussetzungen | |
Hardware | min. 32 MByte RAM, min. 15 MByte Platz auf der Festplatte |
Betriebssystem | Windows 9x, Me, NT, 2000,XP |
Sonstiges | enthält Sandbox, Firewall, Virenscanner, URL-Blocker |
Die ausführliche Wertung zu eSafe Desktop 3.1.36 finden Sie in der tecDaten-Tabelle.
Neu: Lockdown Millenium Pro v8.1.8
Als "Standardschutz gegen Hackerangriffe" positioniert die in Neuengland beheimatete Lockdown Corp. ihr Produkt Lockdown Millenium Pro. Vor allem gegen Trojaner soll das Programm mittels der Firewall-Funktion sowie eines signaturbasierten Scanners schützen.
Zudem zählt Lockdown die Überwachung der lokalen Freigaben sowie der darauf zugreifenden entfernten Rechner zu seinen Fähigkeiten. So lässt sich jederzeit feststellen, wer lokale Shares gerade nutzt. Per Ausschlussliste können bestimmte Rechner vom Zugriff ausgesperrt werden, unliebsame Benutzer entfernt der Administrator bei Bedarf per Mausklick direkt. Auch eine automatische Trennung bei Benutzung bestimmter Programme oder nach definierbarer Idle Time der Connection beherrscht das Tool.
Des weiteren überwacht Lockdown wichtige Systemdateien und Registry-Einstellungen auf Veränderungen und lässt diese nur nach Bestätigung durch den Benutzer zu. Ein Connection Monitor überwacht und protokolliert Verbindungsstatus der IP-Ports. Darüber hinaus bietet Lockdown ein grafisches Frontend für Echo-, Finger-, Nslookup-, Traceroute- und Whois-Abfragen.
Lockdown: Firewall-/Anti-Trojan-Funktionen
In frei definierbaren Zeitabständen sowie alternativ auf direkte Aufforderung scannt Lockdown Millenium Pro den Rechnern nach Trojanern. Dazu benutzt es eine Signaturliste, die sich via Internet regelmäßig aktualisieren lässt. Allerdings arbeitet der Scanner äußerst langsam - die Überprüfung einer halbvollen 2-GByte-Partition nahm im Test knapp 30 Minuten in Anspruch. Daher macht im praktischen Einsatz nur die Abtastung einzelner, potenziell gefährdeter Verzeichnisse Sinn.
Einen regulären Firewall-Betrieb auf Basis von Port- oder Protokollfilterung bietet Lockdown Millenium Pro nicht. Es lassen sich lediglich bestimmte Gegenstellen über die IP-Adresse ganz von der Kommunikation ausschließen. Dagegen offeriert das Tool eine ganze Reihe von Funktionen zur Überwachung der Ports. Dazu lassen sich über Positiv- oder Negativlisten bestimmte Anschlussnummern angeben. Treffen auf den überwachten Ports zu viele Anfragen ein, schließt Lockdown sie vorübergehend. Die entsprechenden Schwellwerte und die Sperrdauer kann der Anwender frei definieren.
Zudem speichert Lockdown 2000 nach einem erkannten Angriff entsprechende Log-Informationen und versucht, den Weg der Attacke bis zum Verursacher zurückzuverfolgen. Zusätzliche Informationen über den Angreifer lassen sich über ein auf der Lockdown-Website bereitgestelltes, direkt im Programm verlinktes Abfragetool namens Hacker Tracker gewinnen. Dessen Nutzung schlägt allerdings mit 8,20 US-Dollar monatlicher Abo-Gebühr zusätzlich zum Kaufpreis zu Buche.
Schließlich erfasst ein Application Level Gateway alle Anwendungen, die auf lokalen Ports nach Verbindungsanforderungen lauschen. Der Anwender hat die Möglichkeit, diese Aktivität einmalig oder dauerhaft zu genehmigen respektive zu verbieten
Lockdown: Weitere Funktionen
Neben dem Hauptprogramm stellt Lockdown Millenium Pro noch eine Reihe weiterer, gesondert aufzurufender externer Module zur Verfügung. So erfasst der Program Auditor beispielsweise bei der Installation alle auf dem Rechner installierten Anwendungen. Das Einrichten neuer Verzeichnisse oder Applikationen auf dem Rechner meldet er per E-Mail an beliebige Adressaten.
Der Network Monitor prüft über regelmäßige Pings den Status beliebig definierbarer IP-Gegenstellen. Eventuelle Ausfälle meldet er auf Wunsch per E-Mail. Eine verwandte Aufgabe übernimmt der Web Monitor für Internet-Seiten: Sobald sich ihre Größe um eine frei definierbare Byte-Anzahl ändert, alarmiert das Tool den Anwender per blinkendem Tray-Icon oder Popup-Fenster.
Alle über Internet Explorer oder den Netscape-Browser eingehenden Cookies protokolliert der Cookie Monitor. Er zeigt bei Bedarf jeweils ein Warnungsfenster mit den Daten des entsprechenden Päckchens an, das sich dann gegebenenfalls sofort entsorgen lässt. Alternativ lassen sich einzelne Cookies jederzeit löschen oder beim Beenden der Sitzung in Bausch und Bogen verwerfen. Der VBS Interceptor schließlich warnt den Anwender, wenn ein Visual-Basic-Script zur Ausführung ansteht, und erlaubt bei Bedarf dessen Abbruch.
Lockdown: Wirksamkeit
Im Praxistest kann Lockdown Millenium Pro nicht einmal annähernd halten, was der Hersteller vollmundig verspricht. Portscans auf den "geschützten" Rechner bemerkt das Tool generell nur in der höchsten Sicherheitsstufe zuverlässig. Zwar identifiziert Lockdown den Angreifer richtig, falls es seine Aktivitäten überhaupt registriert. Dauerhaft vom weiteren Zugriff ausschließen lässt er sich aber nicht - es sei denn, er benutzt eine feste IP-Adresse. Eine Filterung einzelner Ports erlaubt das Tool generell nicht.
Beim Test mit dem manuell konfigurierten BO2K versagt Lockdown Millenium Pro im Gegensatz zu seinem Vorläufer Lockdown 2000 nicht mehr: Es erkennt den Trojaner spätestens bei eventuellen Kontaktversuchen nach außen. Aber auch der auf Signaturbasis arbeitende Plattenscanner erweist sich als verlässliches Sicherheitswerkzeug. Wer ihn nutzen will, muss allerdings aufgrund der mangelnden Performance des Tools reichlich Geduld aufbringen.
Lockdown: Fazit
Während Lockdown Millenium Pro als Internet- und Windows-Networking-Utility immerhin einige nützliche Tools mitbringt, tendiert seine Schutzwirkung als Firewall deutlich gegen Null. Portscans erkennt Lockdown nicht zuverlässig, die Möglichkeit zur Definition von port- oder protokollbasierten Filterregeln bleibt gänzlich außen vor.
Für ein derartig eingeschränktes Werkzeug einen Preis von über 200 Euro einzufordern, zeugt von einem gesunden Selbstbewusstsein des Herstellers. Für Benutzer, die sich auf die vermeintliche Schutzwirkung von Lockdown 2000 verlassen, folgt allzu leicht ein böses Erwachen. Daher ist in diesem Fall nur eine Empfehlung angebracht: Finger weg!
Produkt | Lockdown Millenium v8.1.8 |
|---|---|
| |
Hersteller | |
Preis | 199 US-Dollar (216 Euro) |
Download | http://www.lockdowncorp.com (4,6 MByte, 30-Tage-Testversion) |
Systemvoraussetzungen | |
Hardware | keine Herstellerangabe |
Betriebssystem | Windows 9x, Me, NT, 2000,XP |
Sonstiges | enthält rudimentäre Firewall, Trojaner-Scanner, IP- und NetBIOS-Tools |
Die ausführliche Wertung zu Lockdown Millenium Pro v8.1.8 finden Sie in der tecDaten-Tabelle.
Norman Personal Firewall 1.01b
Als preiswerte Firewall-Lösung für kleine Unternehmen und Privatanwender positioniert der durch seine Antivirenlösung bestens bekannte norwegische Hersteller Norman seine Personal Firewall. Die Norman Personal Firewall alias NPF lässt sich auf Rechnern unter allen Windows-Varianten einsetzen. Neben der eigentlichen Firewall umfasst das Produkt auch weborientierte Privacykomponenten zur Kontrolle von Cookies und Scripts sowie einen Ad-Blocker.
Zum Test erhalten wir von Norman keine Box, sondern eine schlichte CD im Pappschuber ohne jegliches Zubehör. Das Programm selbst erweist sich als deutschsprachig, jedoch schlecht lokalisiert. Beim Einsatz gilt es grammatikalisch beide Augen zugedrückt zu halten. Die in elektronischer Form beiliegende Dokumentation - eine Hilfedatei und ein PDF - sind komplett in Englisch gehalten.
Schon bei der Installation der Firewall fordert ein Assistent grundlegende Konfigurationsangaben ein. Dazu zählen neben dem gewünschten Sicherheitslevel von Hoch bis Niedrig auch Browser, E-Mail-Client und andere Internet-Anwendungen, für die der Zugriff gleich freigeschaltet wird.
Norman: Firewall
Zur Grobeinstellung offeriert NPF die drei Sicherheitsstufen Hoch, Mittel und Niedrig. Bei hoher Sicherheit sperrt das Tool ICMP sowie das Windows-File/Print-Sharing komplett. Die Modi Mittel und Niedrig erlauben ICMP-Pakete sowie Sharing und unterscheiden sich lediglich durch die Behandlung von Skripts, Applets und Cookies. In allen Sicherheitsebenen lässt sich die Konfiguration zusätzlich durch eigene Einstellungen zur Behandlung der wichtigsten Netzwerkprotokolle ergänzen.
Zur einfachen Konfiguration individueller Filterregeln dient in allen Stufen der sogenannte Firewall-Assistent. Treten Zugriffe auf, für die keine expliziten Filterregeln vorliegen, meldet er sich zu Wort. Der Benutzer kann dann die anstehende Aktion entweder generell erlauben respektive verbieten oder einen einmaligen Zugriff gestatten. Dabei offeriert der Assistent die Option, die getroffene Einstellung für zukünftige Zugriffe als Filterregel zu übernehmen. Auf diesem Weg baut sich innerhalb kurzer Zeit automatisch ein umfassendes Regelwerk auf. Da sich NPF auch als Application Level Firewall betätigt, entsteht ein fein abgestuftes Netz von Berechtigungen.
Zur Modifikation dieser Filter und der Definition eigener Regeln offeriert NPF einen in drei Teile gegliederten Filtereditor. Im Bereich System, der nur von Benutzern mit tiefer gehenden Kenntnissen modifiziert werden sollte, finden sich Einstellungen für Loopback sowie grundlegende Dienste wie BOOTP und DNS . Unter NetBIOS /ICMP lassen sich die zugelassenen Kommunikationspartner für die entsprechenden Protokolle definieren. Hier erlaubt das Tool allerdings nur die Angabe einzelner Gegenstellen oder die Generalisierung für alle IP-Adressen. Die Möglichkeit zur Definition von Adressbereichen oder Trusted IPs fehlt.
In der Hauptsektion des Filtereditors lassen sich für TCP - und UDP -Pakete nahezu beliebig nach Kommunikationsrichtung, Portnummer und Gegenstelle definierbare Regeln aufsetzen. Auch hier können zwar keine Adressbereiche, immerhin aber Adresslisten angegeben werden. Zudem erlaubt das Tool, die Gültigkeit der Filter auf einzelne Applikationen einzuschränken. Als Aktionsoptionen stellt NPF für jede Regel Blockieren, Zulassen, Ignorieren sowie die Nachfrage beim Anwender zur Verfügung.
Norman: Weitere Funktionen
Die eingestellte Sicherheitsstufe beeinflusst nicht nur die Arbeitsweise der Firewall, sondern auch die Behandlung von Cookies, Javascript, ActiveX und Java-Applets . Nur in der niedrigsten Sicherheitsstufe werden die entsprechenden Funktionen ohne Nachfrage zugelassen. In den Leveln Mittel und hoch dagegen tritt per Default stets der Assistent in Aktion. Ähnlich wie bei der Firewall offeriert er als Optionen Zulassen, Verwerfen und Nur für die Session zulassen sowie die optionale Speicherung der getroffenen Einstellung.
Der Basismodus lässt sich jederzeit über das Kontextmenü des NPF-Logos im Systemtray modifizieren. Dabei stehen - für Javascript, ActiveX, Applets und Cookies getrennt - die Optionen Zulassen, Verwerfen und Nachfragen zur Auswahl. Zudem erlaubt NPF, für alle vier Komponenten auch manuell Behandlungsregeln zu definieren und abzuspeichern. Sie gelten wahlweise nur für einzelne Domänen oder das gesamte Web. Bei Cookies unterscheidet die Firewall zudem nach ein- und ausgehenden Codeblöcken und kann die Gültigkeit sogar auf namentlich angegebene Cookies einschränken.
NPF ergänzt die Privacyfunktionen noch durch einen Werbeblocker. Er durchforstet die zu ladenden URLs nach Sperrstrings. Wird er fündig, blockiert er den Download des entsprechenden Elements. Die von Norman mitgelieferte Ausschlussliste funktioniert auch auf deutschen Sites recht zuverlässig. Zudem kann der Anwender sie bei Bedarf manuell ergänzen.
Norman: Fazit
Alle Portscans weist die Norman Personal Firewall im Test zuverlässig ab. Entgegen der Werbeaussage von Norman realisiert NPF dabei jedoch in keiner Einstellung einen kompletten Stealth-Modus. In jedem Fall - auch bei geblocktem Windows-Sharing - erkennen einschlägige Programme wie Nmap die NetBIOS -Ports 137 bis 139. Zugriffsversuche auf den manuell konfigurierten BO2K-Server registriert und unterbindet NPF.
Als Schwachpunkt der Firewall erweisen sich Alarmierung und Protokollierung. Zugriffe, für die keine explizite Filterregel existiert, blockt die Software zwar ab - kann sie jedoch nicht protokollieren. Dementsprechend unterbleibt auch die Alarmierung des Benutzers. Von Portscans etwa bekommt dieser also nichts mit. Dieses Manko sollte Norman schleunigst bereinigen und gleichzeitig für eine übersichtlichere Protokollierung samt Filterunterstützung sorgen.
Sieht man von dieser Einschränkung ab, eignet sich Norman Personal Firewall mit seiner übersichtlichen Bedienung und weitgehend automatischen Funktion gerade für Firewalleinsteiger recht gut. Zudem bringt es mit seinen Privacyfunktionen nützliche Zusatztools für Surfer mit. Unter diesem Aspekt erscheint der Preis von 79 Mark als angemessen.
Produkt | Norman Personal Firewall 1.01b |
|---|---|
| |
Hersteller | |
Preis | 43 Euro |
Download | http://www.norman.no (3,11 MByte, 30-Tage-Testversion) |
Systemvoraussetzungen | |
Betriebssystem | Windows 9x, Me, NT, 2000, XP |
Hardware | ab Pentium, min. 7 MByte Platz auf der Festplatte |
Betriebssystem | Windows 9x, Me, NT, 2000 |
Sonstiges | enthält port/adressbasierte Firewall, Application Level Firewall, Ad-Blocker, Cookie-Blocker, Privacyfunktionen |
Die ausführliche Wertung zu Norman Personal Firewall 1.01b finden Sie in der tecDaten-Tabelle.
Neu: Sygate Personal Firewall 5.0
Die frühere Sybergen Networks aus dem kalifornischen Fremont firmiert seit Ende August 2000 als Sygate Technologies. Auch die Produkte des Unternehmens wurden teilweise umbenannt: So heißt die für den privaten Einsatz kostenlose Desktop-Firewall des Unternehmens jetzt nicht mehr SyShield, sondern Sygate Personal Firewall (SPF).
Mit der Version 4.0 löste ein völlig neues Produkt den auf reinem Portfiltering basierenden und entsprechend knifflig zu konfigurierenden Vorgänger 2.1.x ab. Die neue Sygate Personal Firewall operiert als Application Level Firewall, wobei sich zu jeder Anwendung zusätzlich adress- und portbasierte Filterregeln aufstellen lassen. Die Version 5.0 bringt in dieser Hinsicht nichts Neues, wartet jedoch mit einer überarbeiteten Oberfläche und Detailverbesserungen auf.
Sygate: Default-Konfiguration
In der Grundkonfiguration fungiert die Sygate Personal Firewall als Port Listener und Application Level Firewall. Die Standardeinstellung schottet alle Ports des Systems ab, lediglich ausgehende LAN -Verbindungen sind per Default zugelassen. Über Diagramme im Hauptfenster signalisiert SPF den ein- und ausgehenden Verkehr sowie geblockte Pakete. Gleichzeitig überwacht die Firewall, welche auf dem Rechner installierte Applikationen - dazu zählen auch Systemdienste wie RPC - auf das Netzwerk zugreifen wollen. Beim ersten Zugriffsversuch präsentiert sie ein Meldungsfenster, über das der Anwender die Verbindungsaufnahme erlauben oder verbieten kann.
Die getroffene Einstellung gilt auch für alle künftigen Netzzugriffe der Applikation, lässt sich jedoch über das Menü Applications nachträglich modifizieren. In jedem Fall erfasst SPF die fragliche Applikation samt einer Prüfsumme zur Identifizierung für weitere Auswertungen in einer Liste. Parallel präsentiert die Firewall im Hauptfenster die momentan mit Netzzugriff arbeitenden Systemkomponenten und Programme. Eine optional darstellbare Nachrichtenkonsole informiert über sicherheitsrelevante Ereignisse, wie etwa laufende Portscans.
Sygate Personal Firewall protokolliert alle Vorgänge in drei Logdateien. Im System Log finden sich die Daten zu Start und Stop der Firewall sowie Rekonfigurationen. Im Traffic Log notiert die Firewall alle ein- und ausgehenden Verbindungen. Das Security Log hält Daten über alle abgelehnten Pakete, den Grund der Ablehnung sowie eine Bewertung der Sicherheitsrelevanz des jeweiligen Ereignisses vor.
Mutmaßliche Attacken signalisiert SPF per Default lediglich über das Blinken des Anwendungslogos im Systemtray. Eine handgreiflichere Alarmierung des Benutzers - etwa per Sound oder über ein Meldungsfenster - beherrscht das Tool nicht. Dagegen benachrichtigt die Firewall optional einen beliebigen Adressaten per E-Mail über sicherheitsrelevante Ereignisse.
Sygate: Feintuning
Über das Optionsmenü lässt sich das Verhalten der Sygate Personal Firewall in einigen Punkten modifizieren. Hier legt der Anwender beispielsweise fest, ob die Firewall automatisch startet, im Screensaver-Modus der Netzzugriff abgeschaltet wird oder zum Zugriff auf SPF ein Passwort nötig ist. Daneben kann er - auch für mehrere Netzwerkinterfaces getrennt - angeben, ob über die jeweilige Schnittstelle ein- und ausgehende Windows-Netzwerkverbindungen erfolgen dürfen.
Ausführliche Settings für die Logfiles legen deren maximale Größe und Vorhaltezeit fest. Neben den bereits erwähnten Protokolldateien (System, Traffic, Security) lässt sich hier eine weiter aktivieren: Im Packet Log sammelt die Firewall auf Anforderung den Inhalt aller ein- und ausgehenden Pakete. Zu deren Analyse dient ein einfacher Protokolldekoder. Er erlaubt auch ein Backtrace der Pakete sowie das Einholen von DNS -Informationen über den fraglichen Rechner. Im Falle einer Attacke nützt das zwar recht wenig - die Absenderadresse ist dann fast immer gespooft. Das Tool erweist sich jedoch als nützlich, um der Herkunft weniger aggressiver Paket auf den Grund zu gehen.
Wer genauere Zugriffsregeln für die Netzanwendungen festlegen möchte, findet im Applikationsmenü einen Advanced-Button. Dieser ruft ein Fenster auf, in dem man zu jeder Anwendung Trusted-IP-Adressen sowie die zulässigen lokalen und Remote-Portnummern für TCP und UDP angeben kann. SPF erleichtert dabei die Arbeit, indem es sowohl für Adressen als auch Ports die Angabe von kompletten Bereichen erlaubt. Zusätzlich lässt sich die Gültigkeit der getroffenen Einstellungen auf bestimmte Zeitspannen einschränken.
Sygate: Fazit
Schon in der Basiskonfiguration direkt nach der Installation erweist sich Sygate Personal Firewall als probates Mittel, unautorisierte Zugriffe auf den Rechner scheitern zu lassen. Bis zu Kontaktversuche zwischen einem zum Test installierten BO2K-Server und dessen Client lässt es das Tool gar nicht erst kommen: Es erkennt und terminiert schon beim Systemstart den korrekt erkannten Back Orifice.
Mit ihrer gradlinigen Konzeption und weitgehenden automatisierten Arbeitsweise eignet sich die aktuelle Sygate Personal Firewall 5.0 im Gegensatz den früheren 2.x-Versionen auch für Firewall-Neulinge. Gerade Einsteiger können zudem aufgrund der ausführlichen und gut kommentierten Protokollierung durch den Betrieb von SPF einiges über die Arbeitsweise ihres Rechners im Netz lernen.
Alte TCP/IP -Hasen und erfahrene Netzwerker werden dagegen die detaillierten, portbasierten Konfigurationsmöglichkeiten der Version 2.1 vermissen. Auch sie dürften jedoch die exzellenten Protokollierungsoptionen der SPF 5 schätzen. Ihnen offeriert Sygate im Rahmen des Sygate Office Network obendrein einen Management Server, über den sich zentral Client-Konfigurationen der Personal Firewall erzeugen und im Netz verteilen lassen.
Produkt | Sygate Personal Firewall 5.0 |
|---|---|
| |
Hersteller | |
Preis | kostenlos für nichtkommerzielle Nutzung, sonst 19,95 US-Dollar (22 Euro) |
Download | http://soho.sygate.com (4,6 MByte) |
Systemvoraussetzungen | |
Hardware | Ab Pentium-133, min. 32 MByte RAM, min. 10 MByte Platz auf der Festplatte |
Betriebssystem | Windows 9x, Me, NT, 2000, XP |
Sonstiges | enthält Application Level Firewall mit Port/Adress-Filterung, |
Die ausführliche Wertung zu Sygate Personal Firewall 5.0 finden Sie in der tecDaten-Tabelle.
Neu: Tiny Software Personal Firewall 2.0.15A
In Netzwerkkreisen ist die kalifornische Tiny Software Inc. keine Unbekannte: Die Firma stellt unter anderem Winroute Pro her, eine Router/Firewall-Software für kleine und mittlere Unternehmen. Auch eine Securitylösung namens CDMS (Centrally Managed Desktop Security) findet sich im Portfolio der Kalifornier. Sie besteht aus einer zentralen Management- und Konfigurationskonsole sowie auf Clients und Servern verteilten Firewallagenten.
Letztere offeriert Tiny unter der Bezeichnung Tiny Personal Firewall (TinyPF) auch als Einzelplatzlösung. Anwender im kommerziellen Bereich müssen 39 US-Dollar Lizenzgebühren für TinyPF bezahlen. Für den Privatbereich und zur Evaluation stellt Tiny Software seine Firewall dagegen zum kostenlosen Download zur Verfügung.
Tiny: Grundfunktionen
Bereits bei der Installation konfiguriert die kompakte TinyPF auf Wunsch alle NetBIOS-Verbindungen über den Netzwerkadapter ins lokale Subnetz als vertrauenswürdig. Die entsprechende Trusted-Adressgruppe kann alternativ aus einzelne IPs sowie als Bereich oder per Netzmaske angegebene IP-Gruppen zusammen gesetzt werden. Dies lässt zwar eine gewisse Sicherheitlücke offen, vermeidet aber Schwierigkeiten beim Zugriff auf windowsbasierte LANs. Daneben lässt sich parallel im Reiter Miscellaneous eine sogenannte Custom Address Group aus IPs, IP-Bereichen und Netzen bilden. Diese dient bei Bedarf als Trusted-Address-Gruppe für reine IP-Verbindungen.
Für den gesamten nicht über diese Regeln abgedeckten ein- und ausgehenden Verkehr offeriert TinyPF drei Sicherheitsstufen. In der Einstellung Minimal lässt die Firewall jeglichen nicht explizit durch manuell erstellte Filterregeln untersagten Datenverkehr passieren. In der Stufe Medium überwacht TinyPF den gesamten ein- und ausgehenden IP-Verkehr auf die Konformität zu existierenden Filterregeln. Existiert für eine Verbindung keine Regel, fragt die Firewall beim Anwender nach. Der hat nun die Möglichkeit, die fraglichen Daten einmalig passieren zu lassen oder alternativ eine dauerhafte Filterregel für die Verbindung aufzustellen. Dabei kann der Anwender über einen Wizard die erlaubten lokalen und entfernten Ports sowie die möglichen Verbindungspartner einschränken.
In der Einstellung Maximal Security schließlich blockiert TinyPF jeglichen nicht explizit über Filterregeln freigegebenen Verkehr. Laut Handbuch sollte das Tool in diesem Modus den Zugriff unbekannter Applikationen nach außen in jedem Fall ohne Nachfrage unterbinden. Im Test ließ sich die Firewall allerdings durch das Setzen der entsprechenden Einstellung ("Ask for action when no rule is found") doch zum Aufruf des Regel-Wizards bewegen.
Tiny: Feintuning
Die über den Regel-Wizard im Selbstlernmodus der Firewall getroffenen Einstellungen können über einen zusätzlichen Editor noch verfeinert und ergänzt werden. Hier stellt TinyPF eine beachtliche Bandbreite an möglichen Parameter zur Verfügung.
So lassen sich im Einzelnen:
die Protokolle TCP, UDP (einzeln oder kombiniert) sowie ICMP Echo ansteuern
die Verbindungsrichtung auf eingehend und/oder ausgehend festlegen
einzelne Ports, Portbereiche oder Portlisten für den lokale und entfernten Host festlegen
die Verbindungsaufnahme auf bestimmte Applikationen begrenzen
die Gegenstelle auf einzelne Hosts, IP-Adressbereiche oder per Netzwerkmaske definierte Gruppen einschränken
und die Gültigkeitsdauer der Regel auf bestimmte Zeiträume eingrenzen
Daneben protokolliert TinyPF optional die Anwendung der Regel in einem eigenen Logfile oder dem Systemlog. Auch eine Alarmierung des Anwenders über eine Popupbox beim Zutreffen der Regel kann konfiguriert werden.
Zudem sorgt TinyPF bei der Beschränkung der Regeln auf bestimmte Applikationen durch die Generierung und Überwachung einer MD5-Prüfsumme dafür, dass sich kein Trojaner unter dem Namen einer freigegebenen Anwendung in die Verbindung mogelt.
Tiny: Fazit
Trotz seiner mächtigen Filterfunktionen gibt sich TinyPF im Test stellenweise noch unausgegoren. So blockt es zwar sämtliche Portscans, alarmiert den Anwender aber nicht über FIN-Scans. Auch im Logfile finden sich anschließend keinerlei Hinweise auf den Angreifer. Ähnlich gestaltet sich die Reaktion auf den Einsatz von BO2K: Die Firewall unterrichtet zwar den Anwender von den Aktionen der Backdoor auf Applikations- und Portebene, erkennt den Trojaner jedoch nicht als solchen. Der Anwender muss also über genug Hintergrundwissen verfügen, um Schadprogramme an ihrem Verhalten auch als solche erkennen zu können.
Im Großen und Ganzen erfüllt die Tiny Personal Firewall ihre Aufgabe jedoch zufriedenstellend. Schon in der auch für Anfänger problemlos zu bewältigenden Basiskonfiguration wehrt sie eine Vielzahl unberechtigter Zugriffe verlässlich ab. Ihr voller Leistungsumfang allerdings erschließt sich erst jenen Anwendern, die mit den umfangreichen Möglichkeiten zur individuellen Filtererstellung umzugehen wissen.
Produkt | Tiny Personal Firewall 2.0.15A |
|---|---|
| |
Hersteller | |
Preis | kostenlos für nichtkommerzielle Nutzung, sonst 39 US-Dollar |
Download | http://www.tinysoftware.com (1,4 MByte) |
Systemvoraussetzungen | |
Hardware | ab i586, min. 16 MByte RAM, min. 1 MByte Platz auf der Festplatte |
Betriebssystem | Windows 9x, Me, NT, 2000 |
Sonstiges | enthält port/adressbasierte Firewall, Application Level Firewall, protokollbasierte Firewall |
Die ausführliche Wertung zu Tiny Personal Firewall 2.0.15A finden Sie in der tecDaten-Tabelle.
Neu: Zone Labs ZoneAlarm 2.6.362
Für private und nichtkommerzielle Nutzer bietet Zone Labs seine Personal Firewall ZoneAlarm zum kostenlosen Download an. Das in Minutenschnelle installierte Tool überwacht sämtliche Zugriffe auf TCP- und UDP-Ports. Dabei erlaubt oder verbietet es den Zugriff nach Filterregeln, die sich für Rechner im lokalen Netz beziehungsweise im Internet getrennt konfigurieren lassen.
Daneben überwacht ZoneAlarm auch die Netzwerkaktivität aller auf dem Rechner installierten Applikationen. Nach Maßgabe des Benutzers lässt sich deren Kommunikation mit Servern im LAN oder dem Internet bei Bedarf gezielt einschränken. Eine MailSafe-Funktion isoliert potenziell gefährlichen VB-Script-Code aus E-Mail-Attachments.
In der Version 2.6 hat ZoneLabs der Firewall vor allem kosmetische Updates angedeihen lassen. So gewichtet ZoneAlarm etwa Verletzungen der Filterregeln und gibt entsprechend farbcodierte und mit Erläuterungen versehene Warnungsfenster aus. Daneben bringt ZoneLabs einen gerade für Einsteiger sehr nützliches Quickstart-Tutorial sowie eine starke erweiterte und verbesserte Hilfefunktion mit.
ZoneAlarm: Schutzstufen
Für die beiden Netzwerkzonen Lokal und Internet stehen die drei vorkonfigurierten Sicherheitslevel Low, Medium und High zur Auswahl. Die Stufe High blockiert jeden nicht explizit vom Anwender erlaubten LAN- und WAN-Verkehr. Dadurch macht ZoneAlarm den geschützten Rechner nach außen praktisch unsichtbar. Nachteil des Stealth Mode: Auch im lokalen Netz ist der Computer bei entsprechender Einstellung weder zu erkennen noch zu erreichen.
Der mittlere Schutzlevel dagegen lässt lokalen Datenverkehr ungehindert passieren, so dass Zugriffe via LAN weiter möglich bleiben. Welche Rechner oder Subnetze dabei als lokal gelten, kann der Anwender über die Advanced-Einstellungen des Security-Settings-Dialogs definieren. Im niedrigsten Schutzlevel überwacht ZoneAlarm für beide Sicherheitszonen nur die Programme, die nach außen Verbindung aufnehmen wollen. In allen Modi steht zusätzlich die Möglichkeit zur Verfügung, nach einer definierten Zeit ohne Netzaktivität - oder manuell über einen Not-Ausschalter - Zugriffe ins oder aus dem Internet komplett abzuriegeln (Internet Lock).
ZoneAlarm: Application Firewall
ZoneAlarm betätigt sich nicht nur als Port Listener und Blocker, sondern stellt auch eine Application Level Firewall zur Verfügung. Die auf dem Rechner installierten Programme erhalten nur dann Zugriff auf LAN und Internet, wenn der Benutzer dies vorher ausdrücklich erlaubt. Dazu registriert ZoneAlarm jede Applikation bei derem ersten Versuch, auf das Netzwerk zuzugreifen. Der User kann nun über ein Meldungsfenster den aktuellen Zugriff erlauben oder verbieten und optional diese Einstellung für zukünftige Zugriffe generalisieren.
Zudem findet sich im Programs-Abschnitt von ZoneAlarm eine Liste der registrierten Anwendungen, die ein Feintuning der Rechtevergabe erlaubt. Für jede Applikation kann hier - nach lokaler und Internet-Zone getrennt - festgelegt werden, ob und wie sie mit dem Netz kommunizieren darf. Hier ist etwa zu definieren, ob Programme auch als Server Daten nach außen weitergeben dürfen.
Beim Einsatz unter Windows NT/2000 ergibt sich allerdings eine Einschränkung: Da alle von 16-Bit-Anwendungen angeforderten Verbindungen über ntvdm.exe laufen, gelten die für dieses Programm getroffenen Einstellungen gemeinsam für alle Applikationen dieser Gruppe.
ZoneAlarm: Fazit
Im Test lässt sich ZoneAlarm weder durch Portscanner noch durch Trojaner aus der Ruhe bringen. Zuverlässig unterbindet es unerwünschte Netzzugriffe und blockiert Backdoor-Clients. FIN-Scans über nmap führen zwar zu keinem verwertbaren Ergebnis, werden von der Firewall jedoch nicht registriert. Ansonsten protokolliert ZoneAlarm alle Vorfälle und unterstützt auf diese Weise den Nachweis möglicher Attacken und das manuelle Feintuning der Firewall .
Mit seiner Kombination aus intuitiver Bedienbarkeit und detaillierten Konfigurationsmöglichkeiten eignet sich ZoneAlarm gut als Firewall-Basisschutz für Desktop-Rechner. Auch Einsteiger kommen problemlos mit dem Tool klar, wozu nicht zuletzt die quasi selbst lernende Application Level Firewall beiträgt. Einen Virenschutz bringt ZoneAlarm nicht mit. Auch die MailSafe-Funktion ist eher als rudimentär zu betrachten.
Produkt | Zone Labs ZoneAlarm 2.6.362 |
|---|---|
| |
Hersteller | |
Preis | kostenlos für nichtkommerzielle Nutzung, sonst 19,95 US-Dollar (22 Euro) |
Download | http://www.zonelabs.com (2,9 MByte) |
Systemvoraussetzungen | |
Hardware | ab i486, min. 8 MByte RAM, min. 3 MByte Platz auf der Festplatte |
Betriebssysteme | Windows 9x, Me, NT, 2000;XP |
Sonstiges | enthält portbasierte Firewall, Application Level Firewall, einfacher E-Mail-Schutz |
Die ausführliche Wertung zu ZoneAlarm 2.6.362 finden Sie in der tecDaten-Tabelle.
Update: Fazit
Zwar gestaltet sich der Einsatz moderner Desktop-Firewalls deutlich benutzerfreundlicher als der ihrer Vorgänger oder der hardwarebasierten Vettern im Profi-Bereich. Ohne intime Kenntnisse der TCP/IP-Protokollsuite allerdings lässt sich auch heute ein Rechner kaum wasserdicht gegen unerwünschte Besucher aus dem Netz abschotten.
Eine rühmliche Ausnahme stellen da die obendrein für den Privatgebrauch kostenlosen Tools Sygate Personal Firewall und ZoneAlarm dar. In LAN und Internet gleichermaßen zu Hause, konfigurieren sich diese Firewalls durch den bloßen Gebrauch nahezu von alleine. Eine übersichtliche Oberfläche und intuitive Bedienung bieten beide. Durch ihre erstklassigen Protokollierungsfunktionen und die umfangreichen Möglichkeiten zur individuellen Konfiguration sticht die Sygate Personal Firewall jedoch die ZoneLabs-Konkurrenz letztlich klar aus. Nicht ganz so übersichtlich wie SPF und ZA, aber ebenso selbstkonfigurierend und zum Nulltarif präsentiert sich die Tiny Personal Firewall. Sie eignet sich mit ihren umfassenden Möglichkeiten zur Definition eigener Filterregeln speziell für erfahrene Anwender.
Ein Tipp zum Schluss: Vernachlässigen Sie bei der Konfiguration Ihrer Firewall die ausgehenden Ports nicht. Jeder im LAN oder WAN eingebundene Rechner unterliegt aus verschiedensten Gründen - die im Regelfall nichts mit Attacken zu tun haben - häufigen Scans seiner IP-Ports. Viel interessanter ist es inzwischen, genau zu kontrollieren, welche Daten über die Ports nach außen wandern. (jlu)
Update: Testkonfiguration
Als Testsystem dient ein Pentium III/650 mit 128 MByte Hauptspeicher und 20,5-GByte-EIDE-Festplatte. Als Betriebssystem kommt Microsoft Windows 98SE (v4.10.2222A) zum Einsatz. Auf der Festplatte des Rechners befindet sich eine manuell konfigurierte Kopie der BackOrifice-2000-Backdoor (BO2K), die im Stealth-Mode auf einem manuell eingestellten Port (20961) operiert.
Nach der Installation erfolgt eine - je nach den Fähigkeiten der untersuchten Firewall - möglichst restriktive Konfiguration, die jedoch den Parallelbetrieb von Internetzugriff und Microsoft-Windows-Netzwerk ermöglichen muss. Anschließend nehmen wir die Firewall-Konfiguration von einem unter Red Hat Linux 7.2 laufenden Testrechner aus mit Hilfe des Portscanners nmap-2.54beta22 näher unter die Lupe. Dazu setzen wir Scans der Typen TCP connect(), UDP, SYN Stealth und FIN ein, um nach offenen Ports und Informationen über das Betriebssystem zu suchen.
Die durch das Tool ausgelösten, zahlreichen Portscans sollte die Personal Firewall idealerweise blocken, auf jeden Fall aber protokollieren und den Anwender alarmieren. Des weiteren sollte der Scanner keine verwertbaren Informationen über offene Ports und Betriebssystem erlangen können ("Stealth").
Zu guter Letzt versuchen wir, den Testrechner über BO2K zu manipulieren. Auch hier sollte die Firewall den unautorisierten Zugriff auf den Port vermerken und blockieren sowie den Anwender unverzüglich alarmieren.
Komponente | Daten |
|---|---|
| |
Mainboard | ASUS P3B-F Rev. 1004 |
Sonstiges | Slot 1, BX-Chipsatz |
Prozessor | Pentium III/650 |
Sonstiges | 100 MHz FSB |
RAM | 128 MByte PC100 SDRAM |
Sonstiges | --- |
Festplatte | IBM DPTA-372050 |
Sonstiges | 20,5 GByte UltraDMA/66 |
CD-ROM | Toshiba DVD-ROM SD-M1402 |
Sonstiges | 40x, UltraDMA/33 |
Grafikkarte | ELSA Erazor III Pro |
Sonstiges | AGP, Riva TNT2, 32 MByte |
Netzwerkkarte | 3Com 3C905C-TX |
Sonstiges | PCI, 10/100 MBit/s |
Soundkarte | Ensoniq ES-1371 Rev.8 |
Sonstiges | PCI |