Agnitum outpost 1.0b
Allgemein: Die outpost verfügt über eine Plugin Architektur, mit der sie für zukünftige Erweiterungen offensteht.Zur Zeit verfügt Sie über einen Werbe-, Kontentfilter, einen lokalen DNS Cache, einer Intrusion Detection und einen Attachmentfilter für ankommende e-mails. Das zweigeteilte Menü zeigt die aktiven Verbindungen sowie eine Statistik über erlaubte und geblockte Verbindungen an.

Über Application und System settings können ohne großen Aufwand Regeln modifizieren oder erstellt werden. outpost unterscheidet hier drei gruppen Blocked, Partially Allowed und Trusted Applications. Etwas irritierend ist, daß unter Blocked Applications auch solche aufgelistet werden bei denen ein Teil des Traffics geblockt wird. Die Policy der Firewall kann in mehreren Stufen festgelegt werden, Über trusted IPs können Adressen (zb. HomeLAN).

Einsteigermodus: Es existieren für eine Reihe von Anwendungen Presets, für Unbekanntes werden Kategorien angeboten (Webbrowser, FTPClient). Der Assistent wird gelegentlich nicht aktiv, was aber durch einen Neustart der betroffenen Anwendung behoben werden kann. Insgesamt verläuft die Einrichtung ohne größere Probleme.

Profimodus: Das Erstellen der Regeln erfolgt über eine Verkettung von Textbausteinen. Dabei können Ports, Adressen und ICMP Subtypen genau eingestellt werden, eine Unterscheidung nach Interfaces ist jedoch nicht implementiert. Trifft eine eine Regel zu, kann auch eine Anwendung gestartet werden. Ob diese Funktion potentiell zu einem Exploit taugt (zB Löschen von Eigenen Dateien o.ä.) wird die Zukunft zeigen. Ferner kann der Stealth Modus auch auf Wunsch abgeschaltet werden.
Praxisbetrieb: Trotz vieler Extras belegt die Firewall wenig Festplattenspeicher (2mb) und geht schonend mit den Systemressourcen (keine signifikante CPU last sowie 3-5mb Ram) um. Beim Test bei GRC fiel auf, daß der Port 113 auf closed stand. Auf der Testseite von Sygate ließ der Quickscan alle ports ab 80 auf closed erscheinen. Auch beim Stealth und UDP Scan wurden port 80 113 und der Sourceport zum http server als closed angezeigt. Jedoch waren keinerlei offenen Ports festzustellen.

Der Hardcorescan brachte nach einer Weile die outpost zum Absturz. Nach dem Neustart war keine der erstellten Regeln mehr vorhanden. Nicht den Hauch einer Chance hatte der Leaktest, bereits der Start wurde durch ein Warnhinweis vereitelt. Somit besteht keine Möglichkeit eine Anwendung heimlich zu ersetzen. Ohne Probleme ließ sich im Multiuserbetrieb die Firewall modifizieren oder deaktivieren, allerdings besteht die Möglichkeit, die Konfiguration durch ein Passwort zu schützen.

Fazit: Das fehlerhafte Filtern sowie die Neigung zu Abstürzen im Streßbetrieb untersteichen den derzeitigen Beta Status der Anwendung. Falls es gelingt diese Fehler auszumerzen, läßt Agnitum mit ihrem Produkt auf Zukünftiges hoffen. Bereits jetzt schon wird der Beweis geliefert, daß Funktionsreichtum nicht zwangsläufig mit hoher Systembelastung gekoppelt sein muß.

(c) Ken für Rokop-Security

Nachtest zum RC1 von Vro