Unabhängige Testergebnisse – Internet-Firewall

Zurück zur Startseite

Firewall – effektiver Zweiwegeschutz

Eine persönliche Firewall muss in der Lage sein, Sie nicht nur vor eingehenden Bedrohungen wie Hackern zu schützen, sondern auch vor ausgehenden Attacken wie Trojanern, die persönliche Daten nach außen zu übertragen versuchen. Die folgenden 20 Tests wurden mit Firewall Leak Tester durchgeführt, einem unabhängigen, frei erhältlichen Freeware-Programm.

Im Gegensatz zu den Produkten von Norton, McAfee und Microsoft war die ZoneAlarm-Firewall die einzige persönliche Firewall, die alle 20 Angriffe stoppte.

Firewall-Testergebnisse vergleichen

Tests
(für mehr Infos auf Testnamen klicken)
ZoneAlarm
Norton®
McAfee®
Microsoft®
X
X
 
 
TooLeaky öffnet den Standardbrowser mit einer Befehlszeile. Wenn der Webbrowser auf Port 80 zugreifen darf, können sämtliche Daten an eine Remote-Adresse übertragen werden, darunter möglicherweise auch Kennwörter oder Kreditkartennummern. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie Anwendungen, die andere Anwendungen starten, nicht überprüft.
X
 
X
 
FireHole verwendet Ihren Webbrowser, um Daten an einen Remote-Host zu übertragen. Zu diesem Zweck wird eine DLL-Datei im gleichen Prozessraum wie eine sichere, autorisierte Anwendung auf Ihrem Computer installiert. Auf diese Weise kann FireHole von Ihnen unbemerkt auf das Internet zugreifen. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie Anwendungen, die andere Anwendungen starten, nicht überprüft und außerdem einer DLL-Injektion gegenüber anfällig ist.
Leaktest prüft, ob durch einfaches Umbenennen eines bösartigen Programms in den Namen einer autorisierten Anwendung das Überwinden der Firewall möglich ist. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie als Kriterium zur Autorisierung von Anwendungen deren Namen (Zeichen) verwendet anstelle eines verschlüsselten Fingerabdrucks wie z. B. MD5 (Message-Digest-Algorithmus 5), eine gängige kryptografische Hash-Funktion mit einem 128 Bit langen Hash-Wert.
X
 
 
 
Unter Windows XP werden alle DNS-Anforderungen von Anwendungen an den DNS-Client (SVCHOST.EXE) übertragen. Dieses Verhalten kann ausgenutzt werden, um Daten an einen Remote-Computer zu übertragen, indem von der Firewall unbemerkt eine spezielle DNS-Anforderung erstellt wird. DNStester verwendet diese Art rekursiver DNS-Anforderung, um Ihre Firewall zu umgehen. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie DNS-Anforderungen zu spät überprüft.
X
 
 
 
Wenn eine Anwendung auf das Internet zugreift, verwendet Ihre Firewall generell die Windows-API, um die übergeordnete PID abzurufen. Ghost ändert die PID, indem es sich selbst herunterfährt und dann neu startet, um Daten zu senden. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass die Parent-/Child-Netzwerkzugriffsüberwachung der Firewall die Überprüfung zu spät durchführt.
X
 
 
 
Viele Firewalls fangen ShellExecute- oder CreateProcess-Funktionen beim Aufruf von Internet Explorer und der Übergabe von Parametern ab. Um das zu vermeiden, erstellt Surfer einen versteckten Desktop und startet IE ohne URL von dort aus ohne Netzwerkzugriff. Anschließend ruft Surfer eine weitere Instanz von sich selbst auf und schließt die erste Instanz. Dann verwendet Surfer das DDE-Protokoll (Direct Data Exchange), ein altes Protokoll für den Datenaustausch zwischen Prozessen (ähnlich wie OLE). Netscape hat eine DDE-Schnittstelle für den Netscape-Browser sowie für alle gängigen Browser (einschließlich IE) entwickelt. Die Parameter werden also über DDE an IE nicht übergeben, nicht über Direktaufruf während des Starts.
Yalta bietet einen klassischen und einen erweiterten Test. Im klassischen Test wird versucht, UDP-Pakete an Ports zu senden, die häufig zugelassen sind, z. B. 53 (DNS) oder 21 (FTP). Im erweiterten Test sendet ein Treiber Pakete direkt an die Netzwerkschnittstelle, und zwar unterhalb der TCP/IP-Ebene. Wenn Ihre Firewall diesen Test nicht besteht, lässt sie möglicherweise auf vorkonfigurierten Ports Verkehr zu, der nicht von Ihnen initiiert wurde.
X
X
 
 
OutBound versucht, TCP-Pakete, bei denen bestimmte Flags aktiviert sind, unter Umgehung Ihrer Firewall direkt an das Netzwerk zu senden. Um CPU- und Systemressourcen zu sparen, führen zahlreiche Firewalls keine Filterung für diese Art von Paketen durch. Wenn Ihre Firewall diesen Test nicht besteht, führt sie keine Überprüfung unterhalb der Windows-IP-Ebene durch und/oder überprüft nur neue Verbindungen.
X
 
 
 
Copycat führt eine direkte Codeinjektion (ohne Erstellung eines zusätzlichen Threads) in einem Webbrowser durch, um eine Erkennung durch die Firewall zu vermeiden. Wenn Ihre Firewall diesen Test nicht besteht, ist sie gegenüber Prozessinjektionen anfällig.
X
 
X
 
Thermite injiziert seinen Code direkt in den Zielprozess, indem innerhalb dieses Prozesses ein zusätzlicher bösartiger Thread erstellt wird, der von einigen Firewalls nicht erkannt werden kann. Wenn Ihre Firewall diesen Test nicht besteht, ist sie gegenüber Prozessinjektionen anfällig.
PCAudit verwendet DLL-Injektion, um seinen Code als DLL in autorisierte Anwendungen einzuschleusen. Wenn Ihre Firewall diesen Test nicht besteht, ist sie gegenüber DLL-Injektionen anfällig.
X
X
 
 
PCAudit2 verwendet eine andere DLL-Injektionsmethode als die erste Version von PCAudit, um Firewalls zu umgehen, die PCAudit blockieren könnten. Wenn Ihre Firewall diesen Test nicht besteht, ist sie entweder gegenüber DLL-Injektionen anfällig oder weist unzureichenden Schutz vor DLL-Injektionen auf.
Wallbreaker greift über explorer.exe auf das Internet zu. Das Tool enthält einen Variantentest, der cmd.exe startet, wodurch wiederum explorer.exe gestartet wird. In einem weiteren Test plant Wallbreaker unter Verwendung von AT.exe eine Aufgabe. AT.exe führt die Aufgabe dann über svchost aus, wodurch eine Batchdatei (Erweiterung .bat) mit einem beliebigen Dateinamen in Ihrem Verzeichnis erstellt wird.
MBtest sendet Pakete direkt an den Netzwerkadapter (NIC), um zu versuchen, die Firewall zu umgehen. Zu diesem Zweck werden alle möglichen Arten von Paketen ausgesendet, die sich im Hinblick auf Größe, Protokoll und Typ unterscheiden. Theoretisch könnte MBtest die erforderlichen Dateien von selbst und ohne Neustart kopieren. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie möglicherweise nur High-Level-Netzwerkverkehr überwacht und dabei Low-Level-Verkehr übersieht.
X
 
X
X
AWFT weist 10 Tests auf, darunter die folgenden: 1) Versuch, eine Kopie des Standardbrowsers zu laden und vor der Ausführung im Speicher zu „patchen“, wodurch ein Thread in einer geladenen Kopie des Standardbrowsers erstellt wird. 2) Erstellen eines Threads in Windows Explorer. 3) Versuch, eine Kopie des Standardbrowsers von Windows Explorer aus zu laden und vor der Ausführung im Speicher zu patchen. 4) Durchführen einer heuristischen Suche nach Proxys und anderen Softwareprogrammen, die zum Zugriff auf das Internet über Port 80 berechtigt sind; anschließend Laden einer Kopie und Patchen im Speicher vor der Ausführung von einem Thread in Windows Explorer aus. (5) Durchführen einer heuristischen Suche nach Proxys und anderen Softwareprogrammen, die zum Zugriff auf das Internet über Port 80 berechtigt sind; anschließend Auffordern des Benutzers, eines dieser Programme auszuwählen, um einen Thread im betreffenden Prozess zu erstellen.
X
 
 
 
Breakout überträgt über die SendMessage-Windows-API eine URL in die Adressleiste des Internet Explorer, um sie aufzurufen. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie die an Anwendungsfenster gesendeten Nachrichten nicht überwacht.
X
 
 
 
Breakout2 erstellt lokal eine HTML-Seite, die auf die gewünschte Ziel-URL verweist. Anschließend wird Active Desktop aktiviert und die HTML-Seite als Desktop-Hintergrund eingestellt. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie keine Prüfung auf missbräuchliche Verwendung von Active Desktop durchführt.
X
 
 
 
CPIL versucht, explorer.exe zu finden und im Speicher zu „patchen“. Mit der infizierten explorer.exe versucht CPIL dann, Daten über den Standardbrowser an einen Remote-Server zu senden. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie möglicherweise verdächtige Codeinjektionen nicht erkennt.
X
 
X
 
Statt den Zielprozessspeicher direkt zu modifizieren, sorgt Jumper dafür, dass das Ziel die fremde DLL von sich aus lädt. Zu diesem Zweck nimmt Jumper Änderungen am Registry-Eintrag „AppInit_DLLs“ vor und stoppt dann den Prozess explorer.exe, der automatisch von Windows neu geladen wird. Die Jumper-DLL modifiziert anschließend den Registry-Eintrag für die Internet Explorer-Startseite (IE) mit allen Daten, die übertragen werden sollen, und startet dann IE. Wenn Ihre Firewall diesen Test nicht besteht, bedeutet dies, dass sie keine kritischen Registry-Einträge überwacht.
X
X
 
 
PCFlank verwendet die OLE-Automatisierung, um zu testen, was Ihre Firewall tut, wenn ein Programm das Verhalten eines anderen (sicheren) Programms auszunutzen versucht. Wenn Ihre Firewall diesen Test nicht besteht, ist sie durchlässig und Sie sollten weitere Maßnahmen zum Schutz Ihres Computers ergreifen.

Hinweis: Diese Tests wurden unter Verwendung unabhängiger und frei erhältlicher Freeware durchgeführt. Folgende Produktversionen wurden verwendet: ZoneAlarm® Internet Security Suite 7.0 Beta 1, Norton Internet Security Suite v7.1, McAfee Internet Security v9 (Testversion), MS Windows Live OneCare v1.1.1067.8 mit Windows Defender. Die Tests wurden in der Woche vom 26.10.2006 durchgeführt. Zu diesem Zeitpunkt waren die Informationen akkurat; die Liste der Leaktests ist jedoch keineswegs vollständig. Die Tests wurden unter Windows XP SP2 mit allen verfügbaren Microsoft-Updates durchgeführt. Die ZoneAlarm®-Programmeinstellung war auf „Maximal“ gestellt – dies ist die von den meisten Benutzern verwendete Einstellung, entweder von vorneherein oder nach kurzer Lernphase

Um bei den Firewall-Leaktests genaue Ergebnisse zu erzielen, wurde bei allen Sicherheitsprodukten der Antivirus-Schutz deaktiviert. Bei einigen Produkten hätte andernfalls die Antivirus-Komponente die Leaktests für bestimmte Bedrohungen deaktiviert, ohne diese Bedrohungen zu blockieren, was zu ungenauen Testergebnissen geführt hätte.

Weitere Infos

Stoppt Bedrohungen, die andere Programme übersehen
Stoppschild So schützt ZoneAlarm Sie vor den gefährlichsten Bedrohungen.

Weitere Infos

Auszeichnungen für ZoneAlarm
Auszeichnung ZoneAlarm-Produkte haben von zahlreichen Veröffentlichungen, die eigene Tests, Bewertungen und Rezensionen durchführen, Auszeichnungen erhalten.

Weitere Infos

ZoneAlarm Internet Security Suite 2009
Internet Security Suite 2009 Bietet mehrere Schutzebenen, um zu verhindern, dass sich bösartige Software auf Ihrem Computer einnistet.

Weitere Infos