Agnitum Outpost Security Suite Pro 2007 Anti-Spyware und Log Viewer – Teil 5
Dieser Teil der Serie über die neue Agnitum Outpost Firewall Pro 4 wird sich den letzten beiden verbleibenden Funktionen widmen, dem Anti-Spyware Plugin und dem Log Viewer.
In den bisher erschienen 4 Teilen habe ich die Installation, den System- und Selbstschutz, die Firewall-Komponente und „ImproveNet“ erklärt. Am Ende des Berichts finden Sie alle Teile einzeln verlinkt unter --> „Interne Links“.
Themen dieses Berichts (was Sie erwartet):
Allgemein --> Anti-Spyware Plugin / Log Viewer
Anti-Spyware Plugin --> Funktionen / Update / Tipp – Update Berechtigungen / On-Demand Scan / Hintergrundwächter / ID-Blockierung / Tipp – ID-Blockierung / Schutz von Systemobjekten
Log Viewer --> Oberfläche / Funktionen / Einsatzzweck / Fehlersuche / Tipp zu den Berechtigungen / Tipp Datenschutz
Zusammenfassung --> Vorteile / Nachteile
Interne Links
Allgemein:
Anti-Spyware Plugin:
Das Anti-Spyware Plugin enthält momentan ca. 94.000 Signaturen in der Datenbank. Dieses Plugin enthält einige Funktionen, die auf die speziellen Aufgaben einer Firewall angepasst sind.
Log Viewer:
Der Log Viewer bietet Ihnen eine sehr umfangreiche Übersicht über alle Aktivitäten rund um die Agnitum Outpost Firewall Pro 4 an. Der Log Viewer ist dabei von der Übersichtlichkeit, der Anpassbarkeit und dem Informationsgehalt konkurrenzlos in dieser Klasse!
Anti-Spyware Plugin:
Beim Anklicken des Anti-Spyware Plugin erhalten Sie in dem Hauptfenster der Agnitum Outpost Firewall Pro 4 weitere Informationen und Statistiken rund um das Plugin.
Über einen „Rechtsklick“ und Wahl der „Eigenschaften“ kommen Sie zur Konfiguration und den Funktionen des Anti-Spyware Plugin.
Funktionen:
Das Anti-Spyware Plugin bietet folgende Funktionen:
Update
„On-Demand“ Scan (Prüfung nach manueller Aufforderung
Prozesse, die Netzwerkzugriff anfordern, scannen (On-Access Scan)
Objekte vor dem Entfernen isolieren
Spyware-Schutz in Echtzeit
Ignorierliste
ID-Blockierung (Blockierung von Privatdaten)
Schutz von Systemobjekten
Update:
Das Update erfolgt periodisch, nach einem festgelegten Zeitplan (siehe Pfeil). Man kann aber auch manuell ein Update der Anti-Spyware Datenbank einleiten. Dies geschieht über: Werkzeuge --> „Jetzt nach Spyware-Datenbank Update suchen“ (siehe Kasten).
Tipp - Update Berechtigungen:
Um ein Update der Signaturen auch unter einem eingeschränkten Benutzerkonto durchführen zu können, müssen die NTFS-Berechtigungen geändert werden!
Gehen Sie dazu wie folgt vor:
Deaktivierung der „Einfachen Dateifreigabe“ unter --> Explorer --> „Extras“ --> „Ordneroptionen“ --> Reiter „Ansicht“ --> „Einfache Dateifreigabe verwenden (empfohlen) DEAKTIVIEREN
Deaktivierung des Selbstschutzes der Agnitum Outpost Security Suite Pro 2007
Über den Explorer folgende Ordner mit einem „rechts-klick“ --> Eigenschaften --> Reiter „Sicherheit“ entweder der Gruppe „Benutzer“ oder einem einzelnen Benutzer die Rechte „Ändern“ geben:
C:\Programme\Agnitum\Outpost Firewall\Plugins\AntiSpyware
C:\Programme\Gemeinsame Dateien\Agnitum Shared\aupdate
On-Demand Scan:
Man kann auf Anforderung das System auf Spyware prüfen lassen. Dazu gibt es zwei Möglichkeiten (siehe Pfeil und Kasten):
Wählt man „Systemprüfung durchführen...“ erhält man 3 verschiedene Möglichkeiten, die sich in Umfang und Dauer unterscheiden:
Schnelle Überprüfung
Vollständige Überprüfung
Stichprobenartige Überprüfung
Hintergrundwächter:
Der Hintergrundwächter ist perfekt an das Aufgabengebiet einer Firewall angepasst. D.h. es werden primär nur Prozesse geprüft, die Netzwerkverkehr verlangen. Dies ist ein erheblicher Unterschied zu Virenscannern, die jeden Dateizugriff prüfen. Da eine Firewall aber als letzte Instanz zum Netzwerk tätig ist, ist es durchaus sinnvoll hier noch einen zusätzlichen Schutz einzubauen. Dies ist wichtig, um einerseits das System zu entlasten und auf der anderen Seite vor Datendiebstahl und der Übertragung von Daten in das Netzwerk zu schützen.
Die Konfiguration des Hintergrundwächters erfolgt in folgendem Fenster:
ID-Blockierung:
Diese Funktion der Firewall soll vor dem versenden von privaten Daten schützen. Hier können individuelle Zeichenkombinationen definiert werden. Dazu wird der Datenverkehr nach den definierten Zeichen durchsucht und bei übereinstimmung eine Warnung ausgegeben. Dies soll unter anderem vor „Key Loggern“ schützen. Eine Definition zu Key Loggern finden Sie unter --> „Interne Links“.
Tipp - ID-Blockierung:
Ich sehe die Funktion „ID-Blockierung“ kritisch an! Dies hat folgende Gründe:
Die Speicherung von persönlichen Daten (wie z.B. Kreditkartennummern, Passwörtern usw.) ist schon eine Sicherheitslücke, egal wo dies geschieht
Viele Keylogger übertragen die gesammelten Daten verschlüsselt, weshalb sie durch die Firewall auch nicht erkannt werden können
Es sollte also jeder selber beurteilen, ob er diese Funktion nutzen möchte oder nicht!
Schutz von Systemobjekten:
Diese Funktion überwacht kritische Systemoperationen, wie sie gerne von Malware genutzt wird. Diese Funktion ist vergleichbar mit dem „Host-Schutz“ in der Agnitum Outpost Security Suite Pro 2007, wenn auch nicht ganz so umfangreich.
Folgende Systemobjekte werden überwacht (mit einer verständlichen Erklärung zu dem Objekt):
Log Viewer:
Der Log Viewer informiert über alle relevanten Daten rund um:
den Netzwerkverkehr
angewandte Regeln
interne Funktionen der Agnitum Outpost Firewall Pro 4
Plugins
Schutzfunktionen der Agnitum Outpost Firewall Pro 4
Wie eingangs schon erwähnt, ist der Log Viewer ein sehr mächtiges Werkzeug, welches in dieser Preisklasse ein absolutes Novum darstellt!
Oberfläche:
Der Log Viewer startet als eigenständiges Programm aus der Agnitum Outpost Firewall Pro 4. Die Oberfläche ist in 4 Bereiche unterteilt:
Befehlszeile
Icon-Leiste
Rechter Bereichsbaum (oder wahlweise Favoriten)
Hauptfenster
Funktionen:
Wie Sie dem Screenshot entnehmen können, bietet der Log Viewer Zugriff auf alle Informationen der Agnitum Outpost Firewall Pro 4.
Die eigentlichen Funktionen (neben der Anzeige und Ansicht der Log-Dateien) sind:
Export der Datenbank
Reparatur der Datenbank
Bereinigungseinstellungen (maximale Grösse, Löschen nach X Tagen usw.)
Einzelne Einträge kopieren, exportieren oder löschen
Hinzufügen / entfernen von Spalten
Anpassung der Anzeige
Automatische Aktualisierung der Anzeige
Eigene Favoriten-Verwaltung
Einsatzzweck:
Der Log Viewer bietet eine Reihe von sinnvollen Zwecken:
Überprüfung und Kontrolle der Funktionen
Kontrolle und Analyse von Verkehrsdaten
Analyse von Zugriffen und / oder Angriffen
Kontrolle der Effizienz der Firewallregeln
Fehlersuche bei Netzwerkproblemen
Kontrolle und Analyse der Verbindungsdaten
Fehlersuche:
Der Log Viewer ist ein unentbehrliches Hilfsmittel bei der Fehlersuche! Bestehen z.B. Verbindungsprobleme, können Sie im Log Viewer genau nachvollziehen, warum eine Verbindung erlaubt oder verboten wurde. Zusätzlich zu dieser Information erhalten Sie noch die Regel, die für die entsprechende Aktion angewandt wurde bzw. verantwortlich ist.
Tipp zu den Berechtigungen:
Der Log Viewer ist erstmal durch ein Passwort geschützt (wenn Sie den Passwortschutz aktiviert haben – siehe Teil 2). Zum Zweiten ist der Log Viewer nur unter einem Administratorkonto aufrufbar. D.h. eingeschränkte Benutzer haben (auch ohne Passwortschutz) keine Möglichkeit den Log Viewer zu starten.
Diese Einstellung ist durchaus sinnvoll, da der Log Viewer sehr viele Detailinformationen preisgibt, die ein eingeschränkter Benutzer nicht kennen muss! Schliesslich lassen sich Verbindungsdaten und persönliche Adressnutzungen ersehen. Zusätzlich werden Informationen preisgegeben, die Rückschlüsse auf die Netzwerktopologie, Server, Router usw. möglich machen.
Tipp Datenschutz:
Der Log Viewer kann unter Umständen datenschutzrechtlich kritische Daten preisgeben!
So können folgende Daten ausgelesen werden:
Komponentenkontrolle: Ausgeführte Anwendungen mit Datum und Uhrzeit
DNS-Cache: Verbindungen zu IP-Adressen / Hostnamen mit Datum und Uhrzeit
Inhalte: Blockierte Webseiten mit Datum und Uhrzeit
E-Mail Verlauf: Gesendete und empfangene E-Mails mit Datum und Uhrzeit
Web Verlauf: Aufgerufene Webseiten mit Datum und Uhrzeit
Dies ist nur ein Hinweis von meiner Seite! Diesen Sachverhalt sollten Sie aber wissen und mit Ihrem Rechtsbeistand abklären!
Zusammenfassung:
Das Anti-Spyware Modul bietet durchaus seinen sinnvollen Platz in einer Firewall und ist als letzte Schutzwand zu verstehen. Nach meinen praktischen Erfahrungen wird die Signaturdatenbank konsequent und regelmässig gepflegt. Die Funktion „ID-Blockierung“ sehe ich persönlich als kritisch an, da ich die Speicherung von persönlichen Daten auf dem Rechner ablehne. Wer dies allerdings praktiziert erhält zumindest einen gewissen (wenn auch nicht vollständigen) Schutz. Nur das Update ist zu bemängeln, siehe auch „Tipp – Update Berechtigungen“ oder Teil 2 unter --> „Interne Links“!
Der Log Viewer bietet in dieser Klasse einmalige Möglichkeiten! Er ist dabei sehr umfangreich, aber trotzdem sehr informativ und einfach zu handhaben. Die Informationen sind in ihrer Tiefe individuell anpassbar und bieten zusätzlich noch eine Favoriten-Funktion. Auch die restriktive Rechtevergabe ist angemessen und durchaus sinnvoll! Es empfiehlt sich aber eine datenschutzrechtliche Prüfung.
Vor- und Nachteile:
Somit sind beide Funktionen durchaus voller Vorteile!
Nachteile hat lediglich das Anti-Spyware Modul, da zum Update unter einem eingeschränkten Benutzer die NTFS-Berechtigungen angepasst werden müssen, damit das Update funktioniert. Hier sollte Agnitum endlich nacharbeiten!
Interne Links:
Agnitum Outpost Firewall Pro 4 Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_1.html
Agnitum Outpost Firewall Pro 4 Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_2.html
Agnitum Outpost Firewall Pro 4 Firewall Grundlagen und Regeln – Teil 3: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_3.html
Agnitum Outpost Firewall Pro 4 Plugins und „ImproveNet“ - Teil 4: http://www.security-dome.eu/Agnitum_Outpost_Firewall_Pro_4_Test_4.html
Agnitum Outpost Firewall Pro 4 Anti-Spyware und Log Viewer – Teil 5: dieser Bericht
Agnitum Outpost Firewall Pro 4 Erfahrungen und Tests – Teil 6: folgt in Kürze
Agnitum Outpost Security Suite 2007 Pro Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_1.html
Agnitum Outpost Security Suite 2007 Pro Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_2.html
Agnitum Outpost Security Suite Pro 2007 Anti-Malware und Anti-Spyware – Teil 3: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_3.html
Agnitum Outpost Security Suite Pro 2007 Firewall Grundlagen und Regeln – Teil 4: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_4.html
Agnitum Outpost Security Suite Pro 2007 Firewall PlugIns und „ImproveNet“ – Teil 5: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_5.html
Agnitum Outpost Security Suite Pro 2007 Anti-Spam und Log Viewer – Teil 6: dieser Bericht
Agnitum Outpost Security Suite Pro 2007 praktische Tests und Informationen – Teil 7: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_7.html
Begriffserklärung Key Logger: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 26.11.07
Letzte Aktualisierung: 26.11.07