-=<Firewall@Rokop>=-

Norton Personal Firewall 2002

Allgemein: Im Vergleich zur Vorgängerversion wurden einige kosmetische und funktionale Änderungen vorgenommen. Ein umfassender Assistent führt nun zu Beginn durch die Konfiguration. Unter dem Menüpunkt "Application Control" kann die Festplatte nach Anwendugen durchsucht werden, die als Internettauglich betrachtet werden. Dabei tauchen doch einige groteske Stilblüten auf, wie der Windows Explorer, fast das gesamte MS Office 2000 Paket oder der Registrierungsassistent. Am Ende wundert sich der ambitionierte Benutzer über die lange Liste von ausführbaren Dateien, und darf sich den Kopf darüber zerbrechen, was davon auch wirklich notwendig ist.

Bemerkenswert auch die Einschätzung des Sicherheitsrisikos: Audiogalaxy wird als gefährlich eingestuft und sollte laut Assistenten geblockt werden. Es scheint, daß alle Exe-Dateien, welche keine Firmensignatur aufweisen, automatisch als Gefahr eingestuft werden, hier wäre eine größere Differenzierung wünschenswert. Unter Details wird dann argumentiertt, daß Norton Antivirus nicht installiert sei, und deswegen nicht sichergestellt werden könne daß hier kein Risiko vorliege. Daß auf dem Testsystem bereits ein aktiver Virenwächter im Hintergund lief, schien dem Programm nicht ausreichend.

Die Personal Firewall unterscheidet nun IP-Adressen nach unterschiedlichen Zonen, einer Restricted Zone in der IP Adressen dauerhaft geblockt werden können, sowie einer trusted Zone für vertrauenswürdige Hosts.Für jedes Interface im Rechner kann nun ein individuelles Ruleset erstellt werden, es ist sogar eigens für das Home Lan ein eigener Assistent integriert worden. Das klassische Atguardfenster für die Firewallrules ist leider abgeschafft worden. Stattdessen finden sich unter dem Menüpunkt Internet Access Control System Rules, Trojan Rules sowie den Application Scan (s.o.).

Im minimierten Zustand befindet sich am rechten bildschirmrand ein schiebebalken, de regelmäßig statusmeldungen wie automatische regelerstellung oder alarmeldungen von sich gibt. Erfreulicherweise beschränken sich die Alarmmeldungen nur noch auf auffälligere Ereignisse wie zB Portscanning. Geändert hat sich aber nach wie vor nichts an dem reißerischen Vokabular, welches bei einem Scan auf Trojanerports Attacken von Eindringlingen suggeriert. Hier muß sich Symantec den Vorwurf von unseriösem Verhalten gefallen lassen.

Einsteigermodus: Die meisten Regeln werden auf Wunsch automatisch erstellt, teilweise jedoch mit unnötigen oder unvollständigen Rules. Wird eine Anwendung nicht erkannt, so taucht ein Fenster auf, welches nachfragt wie mit der Anwendung verfahren werden soll. Gerade beim Blocken können allzu leicht Probleme auftauchen, die den Einsteiger entmutigen könnten. Der Versuch das Werbebanner von Getright blocken zu lassen, endete damit, daß der gesamte Traffic für den Downloadmanager auf port 80 geblockt wurde.

Profimodus: Regeln können individuell für mehrere Interfaces erstellt werden. Es können die gängigen ICMP Typen eingestellt werden, auch der Stealthmodus läßt sich deaktivieren. Allerdings gibt es keine Möglichkeit den Assistenten zu umgehen. Endlos klickt man sich durch Menüs und Erklärungen durch, die Erläuterungen in den einzelnen Menüunterpunkten dürften kaum den Vorgang transparenter machen. Durch das Fehlen eines einheitlichen Rulefensters wird sowohl die Erstellung als auch das Troubleshooting erheblich erschwert, die Kontrolle des Loopbacks bei lokalen Proxy ist damit unmöglich geworden, weil die Regel dafür als Vorletztes verarbeitet werden müsste. Durch die Dreiteilung werden die Systemregeln aber stets vor den Anwendungsregeln ausgewertet, womit diese ungehindert über den Proxy Phonehome betreiben können.

Praxisbetrieb: Geblockter Applikationen können sogar lokal keine Ports öffnen. Die GRC Testseite besteht die Firewall ohne Beanstandung. Bei Sygate sah es anfänglich ebenfalls gut aus, bis der UDP Scan Probleme mit der Verarbeitung solcher Pakete zeigte. Alle gescannten Ports wurden als offen angezeigt. Keine Chance hatte der Leaktest, jedoch wurde der Austausch der iexplore.exe nicht bemerkt. Im Hardcorescannen erwartete einem statt einer Unzahl von Alarmfenstern ein hinweis der Angreifer würde für 30 minuten blockiert werden. Dieses Feature ist jedoch angreifbar: Werden gespoofte IP Pakete mit dem DNS Server des Opfers als Absender verschickt, so würde dieser für 30 Minuten geblockt werden und eine Namensauflösung unmöglich machen (Credits an Dr Prantl :)).

Der Speicherverbrauch ist rekordverdächtig: 38-41mb im minimierten Zustand. Bei geöffneten Bedienfenster erhöht sich der Betrag uml 13-18mb. Ganze sechs Prozesse werden laut Taskmanager für die Firewall benötigt. Rätselhaft auch daß sich der Installationsordner auf inzwischen 9,1 MB aufgebläht hat. Beim Hardcorescan schnellt die Cpu Last auf 90-95% an und der Rechner reagiert fast nicht mehr auf Eingaben, jedoch erfolgt kein Absturz. Im Multiuserbetrieb offenbahren sich weitere Schwächen: Ein normaler Benutzer kann ohne Probleme die Firewall deaktivieren, und es fehlt eine Möglichkeit, die Konfiguration vor Veränderungen zu schützen.

Fazit: Die Firewall hinterläßt einen stark zwiespältigen Eindruck: Einerseits mit lobenswerten Konfigurationsmöglichkeiten für mehrere Adapter andererseits das zerteilte Ruleset mit dem umständlichen Assistenten und dem horrenden Ressourcenverbrauch. Kleinere Fehler machen das System sowohl von innen als auch von außen angreifbar, so daß die Firewall keinen ernsthaften Schutz bieten kann. Es erscheint fraglich wie ältere Systeme mit dieser Firewall noch bedienbar sein sollen.