Agnitum Outpost Firewall Pro 4 Plugins und „ImproveNet“ – Teil 4
In diesem Teil werde ich die verschiedenen Plugins vorstellen und eine Erklärung zu Agnitums „ImproveNet“ geben. Den ersten Teil zur Firewall Komponente der Agnitum Outpost Firewall Pro 4 finden Sie im Teil 3 unter --> „Interne Links“.
Ebenso finden Sie die Teile 1-3 zu dieser Software unter --> „Interne Links“.
Themen dieses Berichts (was Sie erwartet):
Allgemeines --> Plugins / „ImproveNet“
Plugins Allgemein
Plugin Verwaltung
Aktive Inhalte --> Konfiguration
Angriffserkennung --> Warnmeldungen / Ethernet / Erweitert / Liste der Angriffe / Erweiterte Angriffserkennung
DNS Cache
Inhalte
Werbung
Anhänge isolieren --> Tipp – E-Mail Sicherheit
„ImproveNet“
Zusammenfassung
Interne Links
Externe Links
Allgemeines:
Die Agnitum Outpost Firewall Pro 4 bietet ebenfalls wie die Agnitum Outpost Security Suite Pro 2007 die Plugin-Technik und „ImproveNet“ an. Beide Techniken sind innovative und extrem nützliche Entwicklungen!
Plugins:
Plugins sind eine Erweiterung der Funktionalität, welche sich getrennt verwalten und sogar aktivieren bzw. deaktivieren lassen. Die Agnitum Outpost Firewall Pro 4 bringt schon von Hause aus diverse Plugins mit. Es lassen sich aber weitere sinnvolle Plugins von der Herstellerseite laden und einfach integrieren. Die zusätzlichen Plugins sind teilweise Free-, teilweise Shareware.
Da es sich bei der Plugin-Schnittstelle um eine offene Schnittstelle handelt, kann jeder eigene Plugins entwickeln (sofern er die nötigen Kenntnisse hat). Dafür bietet Agnitum das „Outpost Developers Toolkit“ an.
„ImproveNet“:
„ImproveNet“ ist eine Entwicklung von Agnitum, um unerfahrenen Nutzern sichere und geprüfte Regelsätze anzubieten. Somit wird eine Fehlkonfiguration bzw. die Erstellung zu grosszügiger Regeln verhindert.
Plugins Allgemein:
Ich möchte an dieser Stelle nur die im Standard mitgelieferten Plugins vorstellen. Weitere Plugins und Informationen finden Sie auf der Agnitum Seite unter --> „Externe Links“.
Folgende PlugIns lassen sich der Firewall Komponente zuordnen:
Aktive Inhalte
Angriffserkennung
DNS-Cache
Inhalte
Werbung
Die PlugIns finden Sie in dem linken Fenster der Agnitum Outpost Firewall Pro 4.
Alle PlugIns haben folgende Funktionen gemein:
beim Anklicken werden im Hauptfenster weitere Informationen angezeigt
über einen rechtsklick erhält man direkten Zugriff auf prinzipielle Einstellungen (z.B. aktivieren / deaktivieren)
über einen rechtsklick und --> Eigenschaften kommt man auf die erweiterte Konfiguration des PlugIns
Plugin Verwaltung:
Alle Plugins lassen sich über ein zentrales Fenster verwalten. Dieses Fenster erreichen Sie über --> „Optionen“ --> „Plugin Einrichten“. In diesem Fenster erhält man einen Überblick über alle installierten Plugins und deren Status (gestartet / angehalten).
Ausserdem lassen sich hier Erweiterungen installieren, deinstallieren aber auch konfigurieren (über den Schalter „Einstellungen“). Zusätzlich sind Informationen zu dem entsprechenden Plugin ersichtlich:
Name
Hersteller
Beschreibung
Version
Pfad
Aktive Inhalte:
Aktive Inhalte sorgen immer mehr zur Verbreitung von Malware, indem sie Schwachstellen im Browser ausnutzen. Ausserdem haben Aktive Elemente teilweise erhebliche Rechte, was sie sehr gefährlich macht.
Aus diesem Grund sollte mit der Erlaubnis zu Aktiven Elementen sehr restriktiv umgegangen werden! Hier reicht es auch nicht, bestimmten Seiten zu vertrauen, denn gerade in letzter Zeit werden vermehrt Webseiten von mehr oder weniger bekannten Anbietern angegriffen und manipuliert.
Das Agnitum Plugin „Aktive Elemente“ lässt eine sehr feine Regelerstellung zu, so dass unterschiedliche Regeln für unterschiedliche Webseiten erstellt werden können. Dazu gibt es ähnlich der Firewall einen Regelassistenten, über welchen man einmalige Aktionen oder auch dauerhafte Regeln erstellen kann.
Ausserdem integriert sich das Plugin in den Internet Explorer. Alternative Browser (Firefox, Opera usw.) werden leider nicht unterstützt.
Konfiguration:
Die Konfiguration des Plugins „Aktive Inhalte“ erreichen Sie über einen „rechtsklick“ --> Eigenschaften.
In diesem Konfigurationsfenster können Sie Einstellungen zu allen aktiven Elementen (Scripten) als auch zu Elementen, die die Privatsphäre betreffen vornehmen.
Die möglichen Einstellungen sind:
zulassen
nachfragen
blockieren
Diese Einstellungen sind getrennt für „Webseiten“ oder auch „E-Mail und News“ einstellbar. Ausserdem gibt es die Möglichkeit Ausnahmen zu definieren – also Inhalte, die nicht den erstellten Regeln entsprechen sollen.
Angriffserkennung:
Über das Plugin „Angriffserkennung“ lassen sich umfangreiche Einstellungen rund um Angriffe und Zugriffe aus dem Netzwerk und dem Internet vornehmen. Die Angriffserkennung ist mit nur einer Aussnahme immer aktiv, auch wenn Sie als Sicherheitsstufe „Fast alles zulassen“ wählen, oder in den LAN-Einstellungen ein Netzwerksegment als „vertrauenswürdig“ definieren. Die Angriffserkennung ist nur inaktiv, wenn die Firewall „deaktiviert“ ist.
Diese Erweiterung bietet mit Sicherheit die umfangreichsten Konfigurationsmöglichkeiten aller Plugins!
Warnmeldungen:
Im ersten Fenster können Sie die Empfindlichkeit der Angriffserkennung einstellen. Dies geschieht in 3 Stufen:
Hoch
Normal (Standard)
Niedrig (nicht empfohlen)
In diesem Fenster lassen sich auch die Warnmeldungen und die Reaktionen der Firewall einstellen. Die Standardeinstellungen sind bereits vernünftig und benötigen unter normalen Umständen keine Nacharbeit.
Ethernet:
Im Bereich „Ethernet“ geht es vornehmlich um „Spoofing-Angriffe“, also um das Fälschen. Darunter fallen:
ARP-Spoofing: Address Resolution Protocol – Zuordnung von Netzwerkadressen (IP-Adresse) zu Hardwareadressen (MAC-Adresse)
IP-Spoofing: Fälschung der IP-Adresse
MAC-Spoofing: Fälschung der eindeutigen Hardware-Adresse einer Netzwerkkarte (MAC-Adresse)
Hier sollten alle Möglichkeiten aktiviert werden!
Erweitert:
Im Reiter „Erweitert“ lassen sich noch sehr viele Feineinstellungen vornehmen.
Hier lassen sich besonders zu überwachende Ports definieren, oder auch Hosts bzw. Ports in eine Ausnahmeliste aufnehmen. Besonders interessant ist aber der Bereich „Liste der Angriffe“.
Liste der Angriffe:
Über den Schalter „Bearbeiten“ kommt man auf die verschiedensten Angriffstechniken, die die Firewall Komponente erkennt. Hier sollten alle Angriffe aktiviert (mit einem Haken markiert) sein!
Darunter – im beigefarbenen Feld – erhält man eine Erklärung zu der jeweiligen Angriffstechnik.
Betätigt man hier wiederum den Schalter „Erweitert“, kommt man zu den Parametern der Angriffserkennung.
Erweiterte Angriffserkennung:
Hier finden sich die genauen Parameter, welche die Firewall als Grundlage zur Erkennung eines Angriffs nimmt. Diese Einstellungen sollten nicht verändert werden, ausser Sie verfügen über die entsprechenden Kenntnisse.
DNS-Cache:
Das Plugin „DNS-Cache“ behandelt die Verhaltensweise rund um das Domain Name Service-Protokoll. DNS ist für die Namensauflösung zuständig (Adressname --> IP-Adresse und umgekehrt). Auch das DNS-Protokoll bietet einige Angriffsmöglichkeiten. Aus diesem Grund enthält die Firewall einen erweiterten DNS-Cache, um DNS-Spoofing (DNS-Fälschungen) zu verhindern.
Ausserdem wird so bei einer bekannten Adresse nicht erneut der DNS-Server befragt, was wiederum eine Zeitersparniss bringt. Jedes Betriebssystem hält zwar ebenfalls einen DNS-Cache, die Speicherdauer ist aber erheblich geringer (von Betriebssystem zu Betriebssystem unterschiedlich).
Auch hier empfiehlt sich jede Funktion zu aktivieren!
Inhalte:
Das Plugin „Inhalte“ ist als Inhaltsfilter zu verstehen. Hier lassen sich Internetadressen (URL`s), als auch Schlagworte definieren, welche gefiltert (blockiert) werden sollen. Folgende Funktionen werden im Einzelnen geboten:
Blockierung von URL`s
Blockierung von bestimmten Worten
Konfiguration einer Meldung bei Blockierung
Konfiguration einer Ausnahmeliste
Im- und Export der Filterliste
Werbung:
Über das Plugin „Werbung“ lassen sich in erster Linie Werbebanner und -bilder unterdrücken. Diese werden entweder nach Name und / oder nach Grösse definiert. Die Filterung nach Grösse ist aber recht unzuverlässig, da es doch vermehrt zu „False Positives“ kommt – d.h. gewünschte Bilder gefiltert werden.
Dieses Plugin bietet folgende Funktionen:
Filter nach Schlüsselworten
Filter nach Bildgrössen
Ersetzen der Werbegrafik durch individuelle Texte oder transparente Grafiken
Liste mit vertrauenswürdigen Seiten
Blockierung von Werbeobjekten (z.B. Flash-Animationen) nach Schlüsselworten
Im- und Export der Filterliste
Anhänge isolieren:
Dieses Plugin ist in der Lage E-Mail Anhänge etwas sicherer zu machen, indem es Dateien nach bestimmten Dateiendungen umbenennt. Dieses Plugin finden Sie hier:
Durch einen „rechtsklick“ kommen Sie zu den Eigenschaften. Dort werden folgende Funktionen geboten:
Vorgegebene Dateinamen umbenennen
Warnung ausgeben
eigene Dateiendungen definieren
Diese Funktion ist durchaus sinnvoll, können doch somit potentiell gefährliche Dateien nicht mehr direkt aus dem E-Mail Programm heraus geöffnet werden! Auch die häufig missbrauchte „Vorschaufunktion“ kann nun nicht mehr greifen. Die Dateien müssen erst lokal gespeichert, umbenannt und dann geöffnet werden. Durch diese Vorgänge werden die Dateien aber schon durch den „On-Access“ Virenwächter geprüft. Ausserdem erhöht es den kritischen Umgang mit E-Mail Anhängen.
Auch wenn dadurch der Komfort leidet, sollten diese Funktionen unbedingt aktiviert werden!
Durch die eigene Definition von Dateiendungen ist dieser Schutz durchaus flexibel, auch auf neue missbrauchbare Dateien zu reagieren.
Weitere Berichte zum Thema E-Mail Sicherheit finden Sie in meiner UM-Serie unter --> „Interne Links“.
Tipp - E-Mail Sicherheit:
Um die E-Mail Sicherheit zu erhöhen, kann die kostenlos erhältliche Software „Spam Terrier“ von Agnitum natürlich zusätzlich installiert werden. Weitere Informationen zu „Spam Terrier“ finden Sie unter --> „Externe Links“.
„ImproveNet“:
„ImproveNet“ ist eine Entwicklung von Agnitum, die vor allem der automatischen aber sicheren Verteilung von Firewall-Regeln dienen soll. Man hat bei Agnitum erkannt, das die Kommunikationsbeziehungen zwischen den verschiedenen Betriebssystemkomponenten und den Anwendungen nach aussen immer komplizierter und damit schwieriger zu konfigurieren sind.
Aus diesem Grund wird - nach entsprechender Zustimmung während der Installation – Daten zu den Kommunikationsbeziehungen gesammelt und an Agnitum gesendet. Agnitum erstellt hieraus Regeln und verteilt diese wieder an ihre Kunden.
In der Agnitum Outpost Firewall Pro 4 kommt wie auch in der Agnitum Outpost Security Suite Pro 2007 die erweiterte „ImproveNet“-Funktionalität zum Einsatz. Die neueste Version von „ImproveNet“ analysiert sowohl den aus- und eingehenden Verkehr von Anwendungen, als auch die Kommunikation unterhalb der verschiedenen Anwendungen. Aus diesen Erfahrungen können Angriffsversuche und Manipulationen erkannt und verhindert werden.
So werden von Agnitum folgende Punkte erfasst:
Erkennung neuer Netzwerkdienste und Regelerstellung
Erkennung neuer Anwendungen durch neue SHA256 Hash-Werte und Erstellung entsprechender Regeln
Weitere Informationen finden Sie unter --> „Externe Links“. Dort gibt es umfangreiche Erklärungen und Statistiken zu dieser Technik.
Zusammenfassung:
Die Funktion „Plugins“ ist einmalig bei Desktop-Firewalls und kann ohne Einschränkungen als Vorteil angesehen werden. Diese Technik erlaubt es die Firewall-Komponente einfach mit zusätzlichen Funktionen zu erweitern und gibt auch Drittherstellern die Möglichkeit eigene Ideen zu verwirklichen, die die Sicherheit erhöhen. Zusätzlich sind die verschiedenen Plugins einfach und einheitlich zu konfigurieren.
Der Service „ImproveNet“ ist eine sehr anwenderfreundliche Entwicklung und steigert die Sicherheit der Firewall enorm! Ausserdem kann der Hersteller so neue Angriffstechniken oder schädliche Prozesse schneller erkennen und dem Anwender entsprechende Lösungen und Regeln anbieten. Auch diese Technik ist als Vorteil zu werten!
Bei beiden Techniken sind mir während meiner mehrjährigen Erfahrungen keinerlei Nachteile aufgefallen!
Interne Links:
Agnitum Outpost Firewall Pro 4 Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_1.html
Agnitum Outpost Firewall Pro 4 Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_2.html
Agnitum Outpost Firewall Pro 4 Firewall Grundlagen und Regeln – Teil 3: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_3.html
Agnitum Outpost Firewall Pro 4 Plugins und „ImproveNet“ - Teil 4: dieser Bericht
Agnitum Outpost Firewall Pro 4 Anti-Spyware und Log Viewer – Teil 5: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_5.html
Agnitum Outpost Firewall Pro 4 Erfahrungen und Tests – Teil 6: folgt in Kürze
Agnitum Outpost Security Suite Pro 2007 Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_1.html
Agnitum Outpost Security Suite Pro 2007 Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_2.html
Agnitum Outpost Security Suite Pro 2007 Anti-Malware und Anti-Spyware – Teil 3: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_3.html
Agnitum Outpost Security Suite Pro 2007 Firewall Grundlagen und Regeln – Teil 4: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_4.html
Agnitum Outpost Security Suite Pro 2007 Firewall PlugIns und „ImproveNet“ – Teil 5: dieser Bericht
Agnitum Outpost Security Suite Pro 2007 Anti-Spam und Log Viewer – Teil 6: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_6.html
Agnitum Outpost Security Suite Pro 2007 praktische Tests und Informationen – Teil 7: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_7.html
Teil 1 – UM-Grundlagen zu E-Mail Gefahren: http://www.security-dome.eu/UM-Spamgrundlagen_Teil_1.html
Teil 2 – UM–Techniken zur Spam-Erkennung: http://www.security-dome.eu/UM-Spamerkennung_Teil_2.html
Teil 3 – UM: folgt in Kürze
Externe Links:
Agnitum Outpost PlugIns Informationen: http://www.agnitum.de/products/outpost/plugins.php
Agnitum „ImproveNet“ Informationen: http://www.agnitum.de/support/improvenet/description.php
Agnitum „Spam Terrier“: http://www.agnitum.de/products/spam-terrier/index.php
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 08.11.07
Letzte Aktualisierung: 08.11.07