Veiligheidslek of ondoordringbare vesting? 22 firewalls getest. Een firewall moet voorkomen dat onverlaten uw systeem of netwerk binnendringen en zo aan allerlei informatie komen die niet voor hun ogen bestemd is, of uw computer bestoken met een virus. Maar dit werkt natuurlijk alleen als de firewall doet waarvoor hij bedoeld is! En dat is lang niet altijd het geval

"Fabrikanten doen de wildste beloften als het om hun firewalls gaat, maar in ons testlab blijkt dat lang niet alle pakketten doen wat ze op de verpakking verkondigen. Om erachter te komen welke pakketten wél naar behoren functioneren, simuleren we in ons testlab ruim 1800 hackersaanvallen en sturen we trojaanse paarden en andere narigheid op 22 firewalls af. Testmethode Voor deze test komen alle firewalls in aanmerking die gemakkelijk in Nederland verkrijgbaar zijn. Via meer dan 1800 gesimuleerde interne en externe aanvallen van Security-Audits Securityspace.com en met de door spyware verpeste Kazaa Media Desktop, testen we hoe goed de firewalls bescherming bieden tegen hackaanvallen. Aan de hand van verdere tests analyseren we de testresultaten nog nauwkeuriger. Deze tests voeren we uit met drie test-pc's (in de veiligste configuratie) die volledig toegang hebben tot een lokaal netwerk en internet. Wanneer de fabrikant andere instellingen aanraadt, worden ook die getest. Met de simulaties van de trojans Firehole (die zich vermomt als Internet Explorer), Tooleaky en Leaktest bekijken we de beveiliging tegen spionnen in het systeem zelf. Deze simulaties proberen stiekem gegevens uit het systeem naar een webserver te sturen door Internet Explorer op de achtergrond op te starten - een typische werkwijze voor de meeste software waarin trojans en spyware zit ingebakken. Schiet een firewall in een van deze tests tekort, dan kunt u ervan uitgaan dat die brandmuur geen volledige bescherming tegen trojans biedt. Verder bekijken we in hoeverre actuele spyware als Gator, Gain en Cydoor wordt herkend en geblokkeerd. Deze testen - met de trojans en spyware - brengen de meeste problemen aan het licht. Bij elke aanval controleren we hoe gedetailleerd, overzichtelijk en begrijpelijk de firewall de aanval analyseert. Ook belangrijk is hoe compatibel de firewalls zijn met flash-, bank,- shopping- en andere websites, de instant messengers MSN Messenger en Trillian, en de filesharingtools KaZaA Lite en E-mule. Tot slot de snelheidstest: deze voeren we uit via een kabelverbinding waarbij we nagaan of en hoe alle lekken in de beveiliging kunnen worden verholpen en in welke mate dat een negatieve invloed heeft op het dagelijkse pc-gebruik. In dit artikel bespreken we niet alle firewalls apart, maar lichten we de opvallende punten er uit. Uiteraard vindt u in de grafieken en tabellen met specificaties en testresultaten uitgebreide informatie over de afzonderlijke producten. Beveiligingslekken Eén beveiligingslek kan er al voor zorgen dat een hacker gegevens ontdekt, misbruikt of vernietigt. Gebeurt zoiets in het bedrijfsleven, dan kan dit tot enorme schade leiden. Van een firewall is dus veel afhankelijk; je moet er blindelings op kunnen vertrouwen. Veel fabrikanten van firewalls beloven gouden bergen; marktleider Symantec bijvoorbeeld claimt op de verpakking van Norton Personal Firewall 2004 dat het hackers op een afstand houdt, persoonlijke gegevens achter slot en grendel bewaart en dat spywareprogramma's en trojaanse paarden niet stiekem data via internet kunnen versturen. Toch maakt Symantec - net als bijna alle andere pakketten in deze test - die beloften nauwelijks waar. Zelfs het enorm populaire ZoneAlarm blijkt weinig bescherming te bieden: door vijf beveiligingslekken leggen niet-afgeblokte denial-of-service-aanvallen onze test-pc's en netwerk lam. Twee van onze drie leak-tests leveren bovendien een negatief resultaat op; dat betekent dat hackers via trojans probleemloos gegevens kunnen achterhalen - in dergelijke gevallen is de beveiliging van ZoneAlarm uiterst gebrekkig. Een firewall die er wel uitspringt is Personal Firewall 5.5 Pro van Sygate, maar in de testen gebruiken we dan ook wel de complete (betaal)versie inclusief Intrusion Detection en spoofing-beveiliging. Spyware: onoverkomelijk? Niet alleen hackers en trojans hebben het gemunt op uw systeem. Een goede firewall moet ook tegen elke vorm van spyware gewapend zijn. Zogenoemde 'malware' à la Gator bijvoorbeeld, brengt het Windows-besturingssysteem niet alleen onherstelbare schade toe, maar wordt ook regelmatig ingezet om persoonlijke gegevens te achterhalen die vervolgens via internet naar de internationale reclamewereld worden verstuurd. Deze gegevens kunnen misbruikt worden om mensen te bestoken met spam, dialers en aantrekkelijke maar misleidende aanbiedingen. Het vervelende is dat spyware onoverkomelijk lijkt: het grote verschil in benadering van spyware en virussen is namelijk dat anti-virusprogramma's ad- en spyware niet als virussen herkennen en uitschakelen; en aangezien spywaretooltjes vaak in andere software verwerkt zijn, is het heel goed mogelijk dat die programma's niet meer werken nadat u de spyware hebt verwijderd. Daarom moet u voor ad- en spyware steeds aangeven of u de gedetecteerde spionnen daadwerkelijk wilt verwijderen. Wel bieden specifieke tools als PestPatrol bescherming, en hoewel er zelfs degelijke freeware-toepassingen zoals Ad-Aware en SpyBot Search& Destroy bestaan, zetten nog veel te weinig pc-gebruikers ze in om hun pc tegen extern onheil te beschermen. We vinden dat firewalls op zijn minst moeten voorkomen dat Gator, Cydoor, Gain en dergelijke spionnen de achterhaalde gegevens via internet naar hun mannetjes op de achtergrond versturen. Wees gewaarschuwd Alleen firewall Armor 2 Net (die verder niet erg overtuigend presteert) heeft een spyblocker aan boord, wijst ons erop dat het om schadelijke spyware gaat en verwijdert de vier spionnen die in de test zitten. Zeven andere firewalls herkennen probleemloos Gator en Gain: de producten van Sygate, Norman, Zero Knowledge, Kaspersky, Internet Security Alliance en Surfsecret. Zorgwekkend vinden we echter wel dat de firewalls via een neutrale boodschap vragen of we het programma Gator toegang tot internet willen verlenen - Gator en Gain zijn gevaarlijke programma's waarvoor de gebruiker wel wat duidelijker gewaarschuwd mag worden! Sygate geeft wél uitvoerige informatie, maar die krijgen we pas wanneer we in het dialoogvenster de optie Details selecteren. Bij de simulatie met de trojan Tooleaky zien we bijvoorbeeld ná het klikken op Details pas dat het Tooleaky-proces het bestand iexplore.exe oproept en zo online gaat. Gevorderden leiden daaruit af dat ze daar een stokje voor moeten steken, maar voor de minder ervaren gebruikers zou Sygate wel met een gebruiksvriendelijkere oplossing mogen komen. Niettemin vinden we de interface en de bediening van de Sygate-firewall verreweg het meest gebruiksvriendelijk, samen met die van Kerio en Symantec. Norman Personal Firewall is een stuk minder intu'tief. De enige echt gevaarlijke aanval die Norman niet tegenhoudt, heeft het gemunt op poort 53. De enige manier om daar een mouw aan te passen is door tussen de vele menuutjes op zoek te gaan naar de filteroptie waarin we een regel kunnen definiëren om binnenkomende udp's voor poort 53 te blokkeren. Wat de evaluatie van netwerkverkeer betreft kunnen overigens alle fabrikanten iets opsteken van Agnitums Outpost Firewall Pro. Waar Sygate en Norman niet altijd even duidelijk zijn met hun informatie, is het bij Hackersmacker juist het tegenovergestelde: de firewall waaschuwt voortdurend om de gebruiker op potentiële gevaren te wijzen. Dit is nogal storend, maar de oplossing is om het venster meteen op de achtergrond open te laten staan. Verder is Hackersmacker zeer duidelijk. Een speciaal geval is de firewall van NT Kernel: deze draait in de Microsoft Management Console en weert hackeraanvallen nagenoeg perfect af. Tegen trojans en spyware helpt NT Kernel niet, omdat een toegangsfilter ontbreekt. Het zou handig zijn als Microsoft deze tool meelevert in plaats van de firewall Windows XP want deze laat zes uiterst gevaarlijke en nog elf andere hackeraanvallen door in de test. Probleemloos surfen Een van de grote ergernissen van firewall-gebruikers blijft vooralsnog dat de software het surfen enorm bemoeilijkt. Zo is het van oudere versies van Sygate, Symantec en Zonelabs bekend dat ze bij online-banking-toepassingen, eBay-transacties en flash-animaties met cookies gedeeltelijk of zelfs helemaal vastlopen. In dat geval raden we u aan om een nieuwe versie te installeren - dergelijke storende bugs zijn in de recente versies meestal wel opgelost. Alleen Firewall 5.0 van Tiny geeft noemenswaardige problemen met flash-sites met cookies: veel pagina's kunnen niet worden weergegeven wanneer de firewall geactiveerd is (Na het afronden van het artikel (dus te laat voor de test) bood Tiny de ingrijpend gewijzigde versie 5.5 aan.) Uiteraard is geen enkel product zaligmakend. Het is dan ook verstandig om een trialversie van de firewall van uw keuze uit te proberen om er achter te komen of uw eigen homebanking-site en favoriete websites goed door de firewall komen. De meeste firewalls in deze test hebben wel een gratis probeerversie van het programma online staan. De snelheidsmetingen die we met alle firewalls hebben uitgevoerd, vormen geen reden tot klachten: in vergelijking met een onbeveiligd systeem vertragen de geteste pakketten onze kabelverbinding gemiddeld slechts met 0,6 tot 2 Kbyte/s. Omdat ons systeem zonder firewall 92,25 Kbyte/s haalt, gaat er zelfs in het slechtste geval maar 2 procent aan bandbreedte verloren. Conclusie Hoewel de meeste firewalls beloven dat zij trojans tegenhouden, ontmaskeren alleen Sygate, Kerio en Tiny deze aanvallen tijdens de test. De tools van Norman, Internet Security Alliance en Agnitum vallen maar bij één van de drie aanvallen door de mand. Alle overige tools - waaronder grote namen als McAfee, Norton Personal Firewall 2004 en Zone Alarm - laten minstens twee van deze aanvallen door. Hoe goed de firewalls aan hackers weerstand bieden, blijkt uit de test met 1800 aanvallen in verschillende gevarenklasses. Bijna de helft van de firewalls legt alle inbraaktests met de hoogste gevarenklasse foutloos af (Sygate, Hackersmacker, Freedom Firewall, NT Kernel, Kaspersky, Internet Security Alliance, Omniquad, ISS en Deerfield). Met slechts één fout bij de gevaarlijkste aanvallen bieden Norman, McAfee en Symantec nog verregaande bescherming tegen hackers. Onaanvaardbaar wordt het echter wanneer de firewall vijf of meer gevaarlijke aanvallen doorlaat: een rode kaart dus voor Kerio, Tiny, Agnitum, Zonelabs, Armor 2 Net, Software Appliance, Surfsecret en Secure Up. Omdat Firewall 5.5 Pro van Sygate als enige geen enkele kans biedt aan de ruim 1800 hackerinbraken en trojans, krijgt deze firewall van ons het predikaat Beste Product. ***kader Wat testen we? We testen alleen firewalls die onder Windows XP draaien. Daarom ontbreekt software als Bitguard, Look N Stop, Preventon, Privatefirewall 3.0 en Sillico Seringa. De firewall van Webroot ontbreekt omdat deze identiek is aan Sygate. Hetzelfde geldt voor EZ Firewall van Computer Associates, dat identiek is aan Zone Alarm. Ook hele security suites met een virusscanners aan boord zoals Aladdin Esafe, F-Secure Internet Security 2004 en Trend Micro PC-Cillin 11 zijn niet in de test opgenomen. ***/kader ***kader Op het Web Op PCMweb.nl vindt u het artikel 'Pest control', met daarin de beste remedies tegen pests en spyware. "

Deel dit artikel
Voeg toe aan favorieten