Fazit

Die Firewall von Windows XP SP2 muss in der Betrachtung eine Sonderstellung einnehmen, da sie von Microsoft als zusätzliches Feature gedacht ist, und im Kontext mit den anderen Erweiterungen - wie dem neuen Ad-Blocker im Internet-Explorer - zu sehen ist. Als Grundschutz ist sie zwar ausreichend, weist aber Schwächen auf, die bei ihren kommerziellen Kollegen in dieser Form nicht zu finden sind. Insbesondere fehlen die Kontrolle des ausgehenden Datenverkehrs und ein vernünftiges Reporting.

Ja allgemein bezogen, weiß ich denn was die da Getestet haben und wie(Detailliert), für die Allgemeinheit reicht es ja aber nicht für jemanden der da mehr wissen will.

Da Teste ich lieber Selber, um mir ein bild zu machen, auch wenn das zeit in Anspruch nimmt.

Testverfahren

Als Referenz-Betriebssystem dient ein unverändertes und voll gepatchtes Windows XP Pro mit installiertem Service Pack 2. Jeder Test findet auf einem frisch aufgesetzen System statt, um Wechselwirkungen zu vorher installierten Programmen auszuschließen.

Zunächst installieren wir ICQ-Lite, um das Verhalten der Firewall bei der Installation, der ersten Kontaktaufnahme zum Internet und im laufenden Betrieb zu beobachten.

Als Nächstes folgt ein einfacher Portscan mit nmap. Da die Firewalls in fast allen Fällen eingehende Echo Requests verhindern, führen wir den Scan ohne vorherige Ping-Abfrage (nmap -P0) durch. Ziel ist es dabei, offene Ports zu dokumentieren und das Verhalten der Firewalls zu beobachten.

externer Link Welche Ports sind erreichbar?
externer Link Wird der Portscan als solcher bemerkt?
externer Link Wenn ja, mit welcher Reaktion (Warnhinweis, Log-Eintrag, Block der IP-Adresse)?

Im nächsten Test simulieren wir eine Backdoor mit dem Netzwerk-Tool Netcat, das die Ports 80 und 31337 öffnet. Ersterer repräsentiert einen Well Known Port (HTTP), Letzterer einen Backdoor Port (Back Orifice 2000). Beobachtet und bewertet werden dabei folgende Kriterien:

externer Link Wird der Start des Programms bemerkt?
externer Link Wird das Öffnen des Sockets bemerkt?
externer Link Wird der Backdoor-Port bemerkt?
externer Link Kann das Programm von außen erreicht werden?

Um festzustellen, ob die Firewall den Austausch einer zuvor legitimierten Applikation gegen eine Backdoor bemerkt, tauschen wir das Executable von ICQ-Lite mit dem von Netcat aus.

externer Link Wird die Veränderung bemerkt?
externer Link Wird das Öffnen eines anderen als des für ICQ-Lite freigeschalteten Sockets erkannt?
externer Link Ist das Programm von außen erreichbar?

Als letzte Maßnahme versuchen wir, den Firewall-Prozess zu beenden. Interessant ist dabei, ob das Programm terminierbar ist (also auch durch eine böswillige Applikation oder einen unerfahrenen Benutzer) und ob danach noch ein Schutz für das System besteht.