Biodata Sphinx 2.0
Das Hauptfenster
Allgemein/Einsteiger: Biodata präsentiert mit der Sphinx eine Firewall, die dem User im Standardmodus keinerlei Rulesets anzeigt. Die Installation erfolgt problemlos, auffällig ist hier die Warnmeldung von Win2k daß ein nicht signierter Treiber installiert würde. Dieser findet sich nach dem Neustart in den Netzwerkeigenschaften als "Biodata Packet Processing Engine" wieder und kann wie ein Protokoll an und abgewählt werden. Der erstmalige Aufruf des Programmes befremdet mit einem Interface, welches eher an die Lautstärkereglung der Soundkarte erinnert und den User im Unklaren läßt, wie die Wall fertig konfiguriert wird. Als Menüpunkt kann ein Assistent aufgerufen werden, der dann mit Fragen zu dem Verwendungszweck des Rechners versucht, ein geeignetes Ruleset zusammenzustellen.

Applikationen spielen hier keine Rolle, da die Sphinx nur auf Systemebene filtert und keine Modifikation von seiten des Anwenders ohne weiteres zuläßt.
DEr Konfigurations Assistent
Entsprechend ist man den vorgefertigten portfreigaben recht hilflos ausgeliefert. Die Benutzerfeindlichkeit setzt sich jedoch fort: Eine mit dem Assistenten erstellte Konfiguration ist entgegen der Texteinblendung nicht einsatzbereit, weil sie extra noch mal aktiviert werden muß. Somit ist bei unerfahrenen Anwendern Frust vorprogrammiert. Im Menüpunkt "Internet Kontolle" kann für die einzelnen Regeln auf einer Weiß/Schwarzliste festgelegt werden, welche IP-Adressen geblockt oder akzeptiert werden, zumindest bei DNS und E-mail ein nützliches feature um die Rules einzuschränken.
Der Internetfilter

Profimodus: Im Expertenmodus können zusätzlich noch die Eigenschaften unterstützter Adapter und Protokolle festgelegt werden und ein Display erlaubt sogar einen Blick auf die sonst verborgenen Firewall Rules, welche vom Format an IP-tables unter Unix erinnern. Als weiteres Feature bietet die Sphinx eine Statistische Aufbereitung der verarbeiteten Pakete als Balkendiagramme.

Versteckte Anzeige der Rules
Praxisbetrieb: Unter Win2k macht sich ein verheerender Bug bemerkbar: Die oben bereits erwähnte "Biodata Packet Processing Engine" legt sich bei einer DSL Verbindung auch auf die Lan Verbindung anstatt nur den fürs Internet relevanten Wan Adapters des PPPoE Klienten zu filtern. Als Folge davon sorgt das Preset der Wall dafür, daß PPPoE, das Protokoll, welches bei einer DSL Verbindung zwischen Netzwerkkarte und Modem/Router aktiv ist, geblockt wird.
Somit kann keine Verbindung zur Vermittlungsstelle aufgebaut werden und der User wird stattdessen mit einem Timeout abgespeist. Tückisch ist hier, daß dafür nicht einmal die Firewall gestartet sein braucht, da ja der Filter als Kerneltreiber bereits beim Systemstart aktiv ist.
Statistik im Powerpoint Stil
Ein Einsteiger ist hier mit dem Troubleshooting überfordert und immensen Frustrationen ausgeliefert. Erst das Abwählen des "Protokolls" für die Lan-Verbindung ermöglichte die Einwahl. Doch das sollte nicht die einzige Tortur bleiben. Auch wenn der Assistent eine Regel für ICQ parat hatte, sorgte diese dafür, daß das Programm beim Start kommentarlos abstürzte. Genauso wie auch das Systemprogramm Nslookup, welches für DNS Queries verwendet wird. Der Seitenaufbau im Internet Explorer gelang ein einziges Mal beim Windowsupdate von Microsoft, ansonsten gab es statt sicheres Surfen einen Timeout nach den anderen. Auch der Versuch mit Netscape scheiterte, so daß es unmöglich war, den Test für Windows2000 durchzuführen.
Filteroptionen im Expertenmodus

Unter Windows98 hingegen verrichtete die Firewall klaglos ihren Dienst. Der Stealthmode wird einmal mehr nicht konsequent durchgehalten: Grc meldet den ident (TCP 113) als closed, was auf eine Rule hindeutet welche auf diesem port den Traffic generell passieren und den Rechner mit "Port unreachable" beantworten läßt. Beim Standardscan bei Sygate wurde ICMP, sowie die Ports 22 (SSH), 23 (Telnet), 53 (DNS), 79 (Finger), 139 (nbsession) und 445 (microsoft-ds) stealth angezeigt, alle anderen Ports als closed. Bei den anderen Scanmethoden wird die Wall durchgehend als Stealth gekennzeichnet. Durch die fehlende Möglichkeit Anwendungen zu kontrollieren gelangt der Leaktest ohne Probleme nach draußen, was die Firewall im Zusammenhang mit Trojanern zu einem Risikofaktor macht. Positiv ist anzumerken, daß Veränderungen an den Einstellungen der Firewall nur mit Eingabe des Administratorkennwortes möglich sind und der Filter auch dann aktiv bleibt, wenn das interface beendet wird.

Ein neues "protokoll" in den DFÜ Eigenschaften

Fazit: Trotz bemerkenswerter Filtereigenschaften eine insgesamt gesehen sehr spröde unflexible Firewall mit einem ausgesprochen bedienungsfeindlichem Interface. Aufgrund der fehlenden Kontrollmöglichkeit für Anwendungen scheint uns der Nutzen als Desktopfirewall zweifelhaft, und wenn sie auch unter windows98 funktioniert so können wir nur eindringlich von diesem Produkt abraten, daß in der uns vorliegenden Version nicht sein Geld wert ist.

(c) Ken und Vro für Rokop-Security