Wieder ein unsinniger Test von Firewall Produkten...

Fragen zu entsprechenden Produkten werden hier beantwortet.
Antworten
thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Wieder ein unsinniger Test von Firewall Produkten...

Beitrag von thbrueck »

Immer wenn Fachmagazine Tests veranstalten, macht das mächtig Eindruck auf sog. DAU's. Für die meisten Anwender steht außer Frage, dass die Redaktionen dieser Fachmagazine in ihrer Kompetenz vollkommen erhaben sind und die Testergebnisse absolut richtig und neutral sind. Diesmal hat sich PC- Welt mal wieder Freeware- Firewalls vorgenommen:

http://www.pcwelt.de/start/sicherheit/f ... index.html

Dass diese Tests aber keineswegs neutral sind noch unbedingt einen durchweg sinnvollen Informationsgehalt bieten, möchte ich hier am obigen Beispiel verdeutlichen.
Auf freigegebene Ordner ließ sich zumindest vom internen Netzwerk aus zugreifen.
Was hier als negatives Testkriterium dargestellt wird, hat zunächst einmal rein gar nichts mit der Funktion einer Firewall zu tun. Dazu muss man weiter ausholen und die Zielvorgabe von "freigegebenen Ordnern" beleuchten. Grundsätzlich sind nämlich gar keine Ordner per default freigegeben, sofern man die administrativen Freigaben hier nicht einbezieht. Man erstellt "Freigaben" eben aus dem Grund, dass diese Resourcen für andere zur Verfügung gestellt werden können. Inwieweit die Nutzung dieser hinterlegten Daten für andere freigegeben werden, kann durch ein Rechtesystem sehr differenziert eingestellt werden. Wir reden also bei "Freigaben" von einem gewollten Feature, das vom Betriebssystem zur Verfügung gestellt wird. Benötigt man keine "Freigaben", dann erstellt man eben keine und niemand hat dann unauthorisierten Zugriff darauf.
Paradox erscheint die Tatsache, dass jemand "Freigaben" erstellt (und sowas macht man gewiss nicht unbewußt), der dann diese "Freigaben" wieder durch den Einsatz einer Firewall- Software sperren möchte. Wer mauert sich schon die geöffnete Haustür zu, wenn es doch soviel einfacher wäre, diese zu schließen ?

Dieses Testkriterium, welches die PC- Welt Redaktion als Negativpunkt bei manchen Produkten ins Ergebnis einfliesen läßt, darf durchaus bemängelt werden und ergibt auch eigentlich keinen Sinn. Im Gegenteil, wer ein System auf diese Weise verwaltet, muss sich nicht wundern, wenn Probleme entstehen, die sich nur noch schwer lokalisieren lassen...
Der Windows-Nachrichtendienst war erst nach einem Neustart deaktiviert - nicht tragisch, aber unnötig aufwendig.
Der Nachrichtendienst läßt sich sehr einfach über die Dienste- Steuerung abschalten und in neueren Windows- Versionen ist dies bereits per default so eingestellt. Was bitte ist daran "unnötig aufwendig" bzw. welche Rolle spielt dieses Kriterium in einem Test von Software- Firewalls ?
Ein Schädling, der vor der Installation der Firewall auf dem System war, konnte auch danach weiterhin Daten senden.
Ein sicherheitsbewußter Admin würde niemals solche irrationalen Wege beschreiten, um einen Sicherheitsstandard herzustellen. Ein kompromittiertes System läßt sich nicht durch die nachträgliche Installation einer Software- Firewall in ein sicheres umstellen. Selbst wenn im Test einige Produkte die eingesetzten (bekannten) Backdoor- Programme gehindert wurden, eine Verbindung ins Internet aufzubauen, ist der Ansatz zu einem Sicherheitskonzept in dieser Form geradezu lächerlich. Es spielt keine Rolle, welche Software in dieser Disziplin besser abschneidet, denn soweit darf es gar nicht erst kommen. Wer erwägt, eine Software- Firewall einzusetzen, muss dies auch sinnvollerweise auf einem sauber installiertem System tun, wo jegliche Malwareinfektion ausgeschlossen ist.
Das kann aber nicht freuen, da es sich böse Fehler beim Außenschutz leistete: Unsere Portscanner fanden die Ports 135 und 445 offen.
Port 135 = Microsoft Remote Procedure Call sowie Port 445 = Microsoft- DS habe ich gerade per Online- Portscan (http://www.port-scan.de) überprüfen lassen und wurden nicht als offen angezeigt. Das Kuriose an der Sache ist, dass mein Testsystem ohne jegliche Software- Firewall arbeitet !!! Übrigens lieferte der c't Browsercheck ebenfalls das gleiche Ergebnis.
Somit ist sehr fragwürdig, wie die getesteten Rechner konfiguriert sind, wenn die o.g. Ports offen sind. Man braucht auch im übrigen keine Software- Firewall, um Ports "dicht" zu machen. Mein Testsystem ist ein XP- Professional mit Servicepack 3 und ohne, dass ich da etwas nachträglich konfiguriert hätte, waren die Port- Scans positiv ausgefallen. Nebenbei erwähnt, weisen die Anbieter von Port- Scans immer wieder darauf hin, dass Firewalls die Ergebnisse der Portscans beeinflussen und somit verfälschen können. Man testet somit die Firewall und zusätzlich den Rechner in einer quasi ODER- Verknüfung (Das Ergebnis ist positiv, wenn mindestens eine Bedingung zutrifft). Im Umkehrschluss würde dies bedeuten, dass bei meinem Testrechner, jede Firewall zum gleichen optimalen Ergebnis kommen würde, weil dieser ja bereits entsprechend "sicher" konfiguriert ist, da ja die Online- Portscanner nicht differenzieren. Man kann also genauso gut auf diese Tests in Verbindung mit einem Firewall- Test verzichten.
Im Sicherheitstest blockte die Firewall keine Programme, die mit geklauten Rechten online gehen wollten, da die Funktion fehlt. Außerdem ließ sich die Firewall einfach abschießen.
Man stelle sich nun vor, der Anwender wäre völlig "uncool" und zudem sicherheitsbewußt und würde ohnehin mit einem "Eingeschränkten Benutzeraccount" arbeiten, so würde das "Klauen" dieser Benutzerrechte effektiv gar nichts nützen, es sei denn, man setzt eine Software- Firewall ein, die zum einwandfreien Arbeiten Systemrechte benötigt. Man beachte die Ironie: Verwendet man keine Software- Firewall und verwendet hingegen ein "Eingeschränktes Benutzerkonto" so ergibt sich dieses Bedrohungsszenario erst gar nicht...
Diese schlägt übrigens auch Alarm, wenn ungewöhnlich viele Mails verschickt werden, was auf einen Wurm hindeutet.
Das nervige und altbekannte Problem ist und bleibt ein Sicherheitsrisiko. Fehlalarme und teilweise sogar Falschmeldungen verwirren die Anwender immer wieder, sodass diese Fehler begehen und ungewollt die Sicherheitsfeatures ihrer Firewall aufweichen oder sich selbst von der Onlinewelt ausschließen. Oftmals ist dann der Punkt erreicht, wo der Anwender die Sicherheit über Bord wirft, um überhaupt wieder ins Internet zu kommen.
Zone Alarm zeigte bei der Sicherheit eine Top-Leistung und schaffte es damit auf den ersten Platz.
Als einziges Tool im Test bestand Zone Alarm alle Angriffsversuche in der Kategorie Sicherheit ohne Fehl und Tadel.
Nach diesem Fazit dürfte es also keinen einzigen User im WWW geben, der trotz Zonealarm eine Malwareinfizierung erfahren hätte. Das würde ich allerdings nicht einfach so hinnehmen und vielleicht gibt es in den einschlägigen Malwareforen doch Berichte, dass es solche Fälle gibt. Das würde diesen PC- Welt Test allerdings gegen Absurdum führen...
Die Firewall in Windows Vista bietet wie auch die Firewall in Windows XP keinen Lernmodus. Damit fehlt ihr eine wichtige Funktion.


Ist diese Funktion tatsächlich so wichtig ? Für die PC- Welt Redaktion offensichtlich schon, doch ist ein Lernmodus bei Vista überhaupt notwendig ? Klares NEIN - Ein Vista- System mit aktuellen Patchlevel, aktivierter UAC und Protected Mode beim Internet Explorer ist auf die hauseigene Firewall bereits angepasst. Third Party Software, die nachträglich installiert wird, soll ja auch alles machen können und dürfen, weshalb der Anwender sie schließlich installiert. Microsoft geht richtigerweise nicht davon aus, dass ein Anwender sich Software installiert, deren Funktion dieser nachhaltig einschränken möchte. Natürlich könnte der Anwender dies im Prinzip trotzdem tun, doch eben nicht durch einen Lernmodus, wie er von Fremd- Firewalls benötigt wird, um hauptsächlich die Windows- Dienste entsprechend zu überwachen.
Fazit: Die Firewall in Windows Vista ist besser als kein Firewall-Schutz, bietet aber verglichen mit den anderen Desktop-Tools zu wenig.
Auch das ist falsch. Es scheint so, als hätten die Tester noch nie was von Group Policies gehört und welch mächtige Instrumente dadurch dem Anwender oder vielmehr dem Admin zur Verfügung gestellt werden. In allen Belangen wo es auf Sicherheit ankommt, kann die Vista- Firewall mit ihren Third Party Konkurrenten mithalten, die Bedienung ist eben nur völlig anders. Die Vorteile hingegen werden ohne ersichtlichen Grund unterschlagen. So ist es unstrittig, dass die Vista- Firewall als integraler Bestandteil des Betriebssystems gegenüber den Fremdprodukten keine zusätzlichen Performanceeinbußen einschleppt. Während bei den Fremdprodukten ein geringes Aufkommen an Meldungen als positiver Aspekt gewertet wird, wird es bei der Vista- Firewall von den Testern eher als Manko angesehen...

Der gesamte Test ist sehr zweifelhaft und vielleicht konnte ich dies etwas vermitteln...

Gruß,
Thomas
Bild

Tux390
Supermoderator
Supermoderator
Beiträge: 258
Registriert: Do 13. Sep 2007, 21:03
Wohnort: Graz (Österreich)
Kontaktdaten:

Re: Wieder ein unsinniger Test von Firewall Produkten...

Beitrag von Tux390 »

Da kann man nur LOL sagen,und du hast vollkommen recht, fest steht allerdings das man sich nicht zu 100% auf sowas verlassen kann, es allerdings als sehr kleiner Leitfaden zu gebrauchen ist um sich einen sehr groben Überblick zu verschaffen.
Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste; mit Spielen, das ist das Schnellste; mit Computern, das ist das Sicherste.
http://2rad.kfz-fischer.at / http://www.kfz-fischer.at

Cash&Carry
Crewman 1st Class
Crewman 1st Class
Beiträge: 69
Registriert: Mi 26. Nov 2008, 04:25

Re: Wieder ein unsinniger Test von Firewall Produk

Beitrag von Cash&Carry »

ich bin in diesem forum gelandet, weil ich es mich nervt & ich generell thbrueck zustimme !
hat lange gedauert, aber ....ich sehe es mittlerweile genauso so....

ewig wird einem durch die "populären" medien suggeriert, daß man etwas für die sicherheit seines pcs unternehmen soll.
heute war ich bei einem bekannten, der hatte seit zig zeiten seinen antivirus nicht aktualsisiert....
habe es ihm upgedated

er hatte auch die ganze zeit keine firewall aktiviert...

...und.........nichts....

und ewig diese programme, die einem sonstwas versprechen....

das schlimmste in letzter zeit war der "pc-security-test-2008"

suggeriert, daß der pc unsicher ist....blabla

und dann diese programme, die etwas melden...

und im endeffekt resultiert es aus einer inkompabilität mit anderen programmen...

...aber der anwender ist verunsichert...

besucht keine "schmutzigen" seiten,

glaubt nicht alles,

ladet nicht alles herunter....

..........und es läuft......

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Re: Wieder ein unsinniger Test von Firewall Produkten...

Beitrag von thbrueck »

So be it - Cash&Carry seit 6 Monaten benutze ich auf meinem Produktivrechner und auf meinem Server (Mail, SQL, VPN, FTP, HTTP) keinerlei Schutzsoftware. Gelegentlich scanne ich dann mal mit Clamwin (arbeitet nur nach Start ohne Hintergrundwächter und evt. sogar von USB- Stick) und finde dann die üblichen Verdächtigen:
  • Fehlalarm 1 - cmdow.exe
  • Fehlalarm 2 - bluescreen.scr
  • Fehlalarm 3 - mein eigenes Logonscript, wenn ich mal wieder eine automatische Deinstallation eines Virenscanners eingebaut habe o.ä.
Im laufenden Betrieb stören diese Fehlalarme mehr als dass die Gefahr bestünde, dass ich mir eine Schadsoftware installieren könnte. Mehr noch, das Logonscript liefert zeitweise wichtige sicherheitsrelevante Änderungen an die Clients aus, die ansonsten vom vermeintlichen Sicherheitsprodukt geblockt würden.

Die Panikmache um Viren und Malware kurbelt das Geschäft an für die Hersteller von Sicherheitssoftware. Ein aktueller Antivirenscanner ist sicher nicht unnütz, besonders wenn ein sicherheitsrelevanter Patch auf sich warten läßt. Mit "Eingeschränkten Benutzerrechten" braucht aber auch das keine großen Kopfschmerzen zu erzeugen. Für mich ist ein Antivirenscanner nicht mehr als ein Kontrollprogramm, ob mein Sicherheitskonzept erfolgreich ist.

Die PC's befinden sich hinter einem DSL- Router. Ohne diesen Umstand würde die Sache etwas anders aussehen.

Gruß,
thbrueck
Bild

Cash&Carry
Crewman 1st Class
Crewman 1st Class
Beiträge: 69
Registriert: Mi 26. Nov 2008, 04:25

Re: Wieder ein unsinniger Test von Firewall Produk

Beitrag von Cash&Carry »

...mag sein mit "eingeschränkten" benutzerrechten...
aber es wird einem ja auch immer wieder "suggeriert" man sollte auch z.b. "virtuell" surfen....

mein bekannter geht ohne firewall & ging bis vor kurzem ohne aktualisierte antivir-software ins netz...
ohne sp3 & nicht aktualisierter sonstiger sw....

ok...er hat nichts vertrauliches auf seinem pc gespeichert & macht auch kein online-banking....

und wenn ich selber mal ein security programm anwende, dann werden mir dinge im ordner system volume...
angezeigt....

...und....

ich mach auch ständig keine systemwiederherstellung.... :D :D :D

habe aber auch einen router.... :D

Tux390
Supermoderator
Supermoderator
Beiträge: 258
Registriert: Do 13. Sep 2007, 21:03
Wohnort: Graz (Österreich)
Kontaktdaten:

Re: Wieder ein unsinniger Test von Firewall Produkten...

Beitrag von Tux390 »

Naja virtuell Surfen auf VMs hat wie ich finde schon Sinn, der PC ist sicherlich bei weitem nicht ganz soo anfällig wie normal, wenn man dort allerdings ein Verzeichnis vom Host PC eingebunden hat ist der Host PC genauso ein Opfer wie der VPC :geek:
Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste; mit Spielen, das ist das Schnellste; mit Computern, das ist das Sicherste.
http://2rad.kfz-fischer.at / http://www.kfz-fischer.at

ayin
Master Chief Petty Officer
Master Chief Petty Officer
Beiträge: 670
Registriert: Do 13. Sep 2007, 17:37

Re: Wieder ein unsinniger Test von Firewall Produkten...

Beitrag von ayin »

Virtuell surfen macht extrem viel Sinn, weil man dadurch sein Produktivsystem nicht kompromiert. Und mit dem Unitymode vieler Virtualisierer mittlerweile kann man Programme sogar im Haupt-OS als Fenster laufen lassen.

Antworten