Keine Chance für Angreifer: Acht Firewalls im Test

Zunächst wurde jede Firewall mit den Werkseinstellungen beziehungsweise den vom Hersteller empfohlenen Standard-/Grundeinstellungen eingerichtet und dann getestet.

Als Testgerät musste ein generischer Intel-PC herhalten, auf dem Microsoft Windows 2000 Professional SP4 installiert war. Diesem wurde eine öffentlich völlig frei zugängliche IP-Adresse zugeordnet und anschließend wurden drei Tests über diesen PC ausgeführt, um einige Grundwerte zu erhalten, anhand derer sich später die Auswirkungen der Firewall in diesem System erkennen ließen.

Zusätzlich wurden zwei angreifende Rechner aufgestellt. Auf dem einem lief Knoppix, die Linux-Distribution mit Sicherheitstools, und auf dem anderen Microsoft Windows 2000 Professional. Nachdem die Firewall zwischen Außenwelt und den Zielrechner gesetzt wurde, wurde versucht, an allen möglichen Stellen die Nutzung von Network Address Translation (NAT) zu umgehen, um die Sicherheitstests direkt an diesen Zielrechner richten zu können. Einige Firewalls verfügten über vordefinierte Regeln, welche die Einrichtung statischer Routen zur Umgehung dieser beiden getrennten Netzwerkbereiche nicht erlaubten. NAT sorgt eigentlich für einen zusätzlichen Schutz und selbst wenn eine Organisation ausreichend öffentlich zugängliche IP-Adressen besitzt, die sie jedem einzelnen Netzwerkrechner zuordnen könnte, wäre dies eine sehr unvorsichtige Maßnahme.

Als Test wurde NMAP v3.10 Alpha4 benutzt, der in einer Linux-Umgebung ausgeführt wurde. NMAP verfügt über ein praktisches Tool für Port-Scans und Berichterstattung. Außerdem besitzt NMAP einen Stealth-Modus, in dem die individuellen Datenpakete, die ausgesendet werden, zufällig angeordnet werden. Dadurch lassen sich einige der intelligenteren Firewalls überlisten, die das sequenzielle Port-Sniffing normalerweise als von der externen Quelle stammend erkennen und es einfach abblocken würden. Port-Scanning ist eines der ersten Tools, die ein Hacker einsetzen würde, um die auf einem System geöffneten Ports zu erkennen und somit die potenziellen Schwachpunkte in diesem System zu identifizieren. Für die Zwecke dieses Tests wurden die Tests nur über die 1605 einfachen “common“ Ports durchgeführt.

Im zweiten Test wurde LeakTest v.1.2 vom Zielrechner ausgeführt und wieder zu diesem zurückgeleitet. Diese Anwendung startet selbsttätig auf dem Zielrechner, simuliert dort einen Trojaner und versucht, Informationen zurück an sich selbst zu senden.

Der dritte Test verläuft von außen nach innen und verwendet ein Online-Tool zur Sicherheitsüberprüfung mit dem Namen SecuritySpace. Die Prozentangabe im Ergebnis basiert auf einer Beurteilung der Sicherheit des Rechners im Vergleich zu anderen Überprüfungen, die SecuritySpace im letzten Jahr durchgeführt hat. Beträgt das Testergebnis für eine Firewall in diesem Test 65 Prozent, so heißt dies, dass sie besser abgeschnitten hat, als 65 Prozent der von SecuritySpace durchgeführten Überprüfungen.

Fazit

Bei der Menge der verfügbaren Produkte und unterschiedlichen Anwendungen sieht die Redaktion davon ab eine Empfehlung auszusprechen. Organisationen, die derzeit nach einer passenden Firewall suchen, sollten eine Wunschliste mit den benötigten Funktionen und den voraussichtlichen Einsatzgebieten aufstellen und eine Reihe von Anbietern kontaktieren, deren Produkte diesen Anforderungen entsprechen. Somit lässt sich eine an die jeweilige Umgebung angepasste Evaluierung durchführen.

Trotzdem seien an dieser Stelle zwei Produkte ehrenvoll erwähnt: Zunächst das Trend Micro Gatelock, das es versteht, pure Benutzerfreundlichkeit und hervorragendes Design mit bereits standardmäßig guten Sicherheitseinstellungen zu kombinieren. Die zweite ehrenvolle Erwähnung geht an Lucent, nicht direkt für die getestete Brick 80, sondern für die gesamte Brick-Produktfamilie. Diese Produktfamilie gibt Großunternehmen mit zahlreichen Zweigniederlassungen die Möglichkeit, die passenden Firewall-Steuerungen an jedem beliebigen Punkt im Netzwerk einzusetzen und zentral zu verwalten.