Agnitum Outpost Security Suite Pro 2007 Erfahrungen und Tests – Teil 7
In diesem letzten Bericht finden Sie sowohl meine praktischen Erfahrungen mit der Agnitum Outpost Security Suite Pro 2007, als auch Beschreibungen zu den systeminternen Funktionen und Tests.
Die Links zu den bereits erschienen Berichten (Teil 1-6) zu der Installation, den verschiedenen Teilbereichen und Funktionen finden Sie unter --> „Interne Links“.
Themen dieses Berichts (was Sie erwartet):
Allgemeines
Praktische Erfahrungen
Prozesse und Dienste --> Prozess / Dienst
Virenschutz --> Eicars Testfile
Firewall --> Verbindungsversuche / Portscan / Angriffsversuche / Leaktests
Selbstschutz --> Beenden des Prozesses „outpost.exe“ / Manipulation des Dienstes „Agnitum Security Suite Service“ / Manipulation von Dateien / Manipulation von Registryeinträgen / Manipulation der NTFS-Berechtigungen / Ändern von Programmeinstellungen / Fälschen von Programmen
Systeminternas --> Treiber / Kernel Module / Autostart / SPI / SSDT
Systemfunktionen contra RootKit-Funktionen --> Systemfunktionen / Rootkit-Funktionen
Zusammenfassung --> Vorteile / Nachteile / Empfehlung
Interne Links
Externe Links
Allgemeines:
Die Agnitum Outpost Security Suite Pro 2007 ist mehrere Wochen im Einsatz gewesen. An dieser Stelle möchte ich auf die verschiedenen Schutzfunktionen und auch Systeminternas eingehen. Aber auch der praktische Einsatz wird beleuchtet werden.
Ein Flash-Video zur Agnitum Outpost Security Suite 2007 ist verfügbar unter --> „Externe Links“.
Praktische Erfahrungen:
Nach mehreren Wochen im praktischen Einsatz kann ich keine gravierenden Fehler feststellen. Sehr wohl aber fragwürdig und verbesserungswürdige Punkte! Das Ergebniss gestaltet sich wie bei vielen Security Suites als durchwachsen, da immer einige Funktionen sehr ausgereift, andere aber weniger ausgereift sind. Die Punkte im Einzelnen finden Sie in folgendem Bericht.
Prozesse und Dienste:
Die Outpost Agnitum Security Suite Pro 2007 startet einen einzigen Prozess und einen einzigen Dienst.
Prozess:
Der Prozess ist erkennbar an dem Namen „outpost.exe“. Der Prozess läuft unter dem Konto „System“ und verbraucht ca. 47MB Arbeitsspeicher. Die Priorität des Prozesses ist „Normal“.
Dienst:
Der Dienst trägt den Namen „Agnitum Security Suite Service“. Der Starttyp steht natürlich auf „automatisch“. Der Pfad und Parameter lautet „*\outpost.exe /service“, läuft unter dem Konto „lokales Systemkonto“ und zeigt keine Abhängigkeiten an.
Virenschutz:
Der Virenschutz wird von mir nur oberflächlich getestet, da ich kein Anti-Viren Testlabor betreibe. Hier kann nur auf weitere Testberichte gewartet werden, besonders weil es sich um eine recht junge und hier zu Lande recht unbekannte Scan-Engine handelt. Aber nicht nur die eigentlichen Erkennungsraten sind von Bedeutung, auch die Reaktionszeit auf neue Bedrohungen und die Heuristik sind wichtige Parameter!
Eicars Testfile:
Ich habe zum Testen des Anti-Virus-Moduls von VBA32 den „Eicar-Test“ durchgeführt. Eicar ist die „European Expert Group of IT-Security“. Eicar stellt verschiedene Dateien zum Testen von Anti-Viren-Lösungen zur Verfügung. DIESE SIND AUSDRÜCKLICH KEIN VIRUS. Sie dienen lediglich einer Funktionsprüfung!
Zur Prüfung steht sowohl die normale HTTP-Verbindung, wie auch die SSL-verschlüsselte HTTPS-Verbindung zur Verfügung.
Es werden 4 unterschiedliche Testdateien angeboten, die mit steigender Erkennungsschwierigkeit versehen sind. Dabei habe ich folgende Ergebnisse über die HTTP-Verbindung ermittelt:
Normales Eicar-Testfile (Eicar.com) im ASCII-Format: Sofort erkannt (Dateizugriff gesprerrt – kein Download möglich).
Eicar-Testfile (Eicar.com.txt) im ASCII-Format, aber umbenannt: Sofort erkannt (Text wurde aber im Browser angezeigt).
Eicar-Testfile (Eicar.com.zip) ist ein einfach gepacktes Testfile: Nicht sofort erkannt (Download möglich – entpacken möglich – ausführen gesperrt – Datei wurde nicht in die Quarantäne verschoben).
Eicar-Testfile (Eicarcom2.zip) ist ein mehrfach gepacktes Testfile: Nicht sofort erkannt (Download möglich – 2 mal entpacken möglich – ausführen gesperrt – Datei wurde nicht in die Quarantäne verschoben).
Die Ergebnisse über die HTTPS-Verbindung sind identisch mit der HTTP-Verbindung.
Verwirrend finde ich den Umgang mit Archiven! Wie ich schon im Teil 3 erwähnt habe, vermisse ich die gesonderten Einstellungen bei Archiven. Dieses Beispiel zeigt, das Archive nicht konform zu den gewählten Einstellungen behandelt werden. Sowohl der Wächter, als auch der Scanner wurden angewiesen erkannte Malware in Quarantäne zu verschieben. Das funktioniert offensichtlich nicht mit Archiven. Erst wenn im Warnfenster „Blockierte Malware“ die Funktion „Dieses Objekt überprüfen“ gewählt wird, wird die Datei in Quarantäne verschoben.
Firewall:
Die Firewall wurde von mir auf diverse Schwachstellen, Verbindungsversuche und Angriffe hin getestet.
Für diesen Test habe ich temporär die Funktion „Angreifer blockieren für X Minuten“ deaktiviert, um ein korrektes Testergebnis für alle Tests zu erhalten. Diese Einstellung ist natürlich für den normalen Gebrauch nicht zu empfehlen!
Verbindungsversuche:
Folgende Verbindungsversuche wurden durchgeführt. In Klammern sehen Sie das Ergebniss. Hierbei werden folgende Begriffe unterschieden:
„Stealth“, der Rechner ist nicht sichtbar, d.h. alle Pakete werden verworfen (bestes Ergebnis)
„Closed“: der Port ist geschlossen, nimmt also keine Pakete an. Trotzdem ist der Rechner durch entsprechende Antwortpakete für den Angreifer sichtbar
„Open“: der Port ist offen und nimmt Pakete von aussen an
Hier die Ergebnisse im Einzelnen:
TCP-Ping: Stealth
TCP-Null Angriff: Stealth
TCP-FIN Angriff: Stealth
TCP-XMAS Angriff: Stealth
UDP Verbindungsversuch: Stealth
Portscan:
Bei diesem Test wurden diverse Ports, welche für Verbindungsversuche und Angriffe bekannt sind getestet. Das Ergebniss:
Alle Ports: Stealth
Angriffsversuche:
Bei diesem Test wurden spezielle Angriffe auf die Firewall gefahren. Die Tests werden nicht im Einzelnen aufgezählt, ein paar Beispiele sind IGMPSYN, SSPING, NUKE, TEARDROP, NESTEA, LAND, OPENTEAR, RFPOISON, REDIR, usw.
Alle Angriffe wurden erfolgreich abgewehrt!
Leaktests:
Leaktests sind Versuche, die Firewall durch spezielle lokale Programme zu tunneln – also Verbindungen an der Firewall vorbei aufzubauen. Diese Versuche sind relativ fragwürdig, trotzdem möchte ich sie erwähnen.
Einen Test dazu habe ich nicht durchgeführt, aber auf der Seite von Agnitum wird ein Testergebnis beschrieben, bei dem 19 verschiedene Leaktests erfolgreich erkannt wurden. Den Link finden Sie unter --> „Externe Links“.
Selbstschutz:
Der Selbstschutz von Desktop-Firewalls und Security Suites ist ein viel diskutiertes Thema! In Bezug auf Security Suites macht der Selbstschutz aber durchaus Sinn, schliesslich setzt Malware gerne lokale Sicherheitslösungen ausser Kraft bzw. versucht diese zu deaktivieren. Die System- und Schutzfunktionen habe ich im Teil 2 bereits näher erklärt. Nun soll versucht werden, den Selbstschutz zu umgehen.
Die wichtigsten Funktionen des Selbstschutzes der Agnitum Outpost Security Suite Pro 2007 sind:
Selbstschutz
Passwortschutz
Für die folgenden Tests waren beide Funktionen aktiviert!
Beenden des Prozesses „outpost.exe“:
Versuch den Prozess „outpost.exe“ über den Taskmanager zu beenden:
Eingeschränkter Benutzer: Fehlermeldung „Zugriff verweigert“
Administrator: Fehlermeldung „Zugriff verweigert“
Versuch das Programm über das Tray-Icon zu beenden:
Eingeschränkter Benutzer: Passwortabfrage
Administrator: Passwortabfrage
Manipulation des Dienstes „Agnitum Security Suite Service“:
Beenden des Dienstes:
Eingeschränkter Benutzer: Fehlermeldung „Zugriff verweigert“
Administrator: Passwortabfrage
Verändern der Dienst-Parameter:
Eingeschränkter Benutzer: Fehlermeldung „Zugriff verweigert“
Administrator: Fehlermeldung „Zugriff verweigert“
Manipulation von Dateien:
Manipulation von Outpost Systemdateien:
Eingeschränkter Benutzer: Fehlermeldung „Zugriff verweigert“
Administrator: Fehlermeldung „Zugriff verweigert“
Manipulation von Registryeinträgen:
Eingeschränkter Benutzer: Fehlermeldung „Wert kann nicht geschrieben werden“
Administrator: Fehlermeldung „Wert kann nicht geschrieben werden“
Manipulation der NTFS-Berechtigungen:
Reiter zum Bearbeiten der Berechtigungen wird unterdrückt und ist nicht sichtbar
Ändern von Programmeinstellungen:
Eingeschränkter Benutzer: Passwortabfrage
Administrator: Passwortabfrage
Fälschen von Programmen:
Anwendungsberechtigungen einer bereits erlaubten Anwendung auf eine andere Anwendung übertragen:
Regelassistent startet erneut und erkennt dies Anwendung als neue Anwendung
Manipulation einer bereits erlaubten Anwendung:
Erkennung des Starts einer netzwerkfähigen Anwendung mit Parametern
Komponentenkontrolle erkennt geänderte Datei
Sind alle Schutzmechanismen aktiv, besteht unter normalen Umständen keine Möglichkeit den Selbstschutz der Agnitum Outpost Security Suite 2007 Pro zu umgehen. Jegliche Manipulationsversuche endeten in einer Fehlermeldung oder einer Passwortabfrage. Dabei spielt es keine Rolle ob man über lokale Administratorrechte verfügt oder nicht.
Systeminternas:
Treiber:
Es werden keine „Nicht PnP-Treiber“ angezeigt.
Kernel Module:
Folgende Kernel Module sind erkannt worden (keine Garantie für Vollständigkeit):
FILTNT.SYS
SECRET.DLL
HTMLFILT.DLL
ADBLOCK.DLL
DNSCACHE.DLL
MAILFILT.DLL
CONTENT.DLL
FTPFILT.DLL
PROTECT.DLL
HTTPFILT.DLL
ARP.DLL
Autostart:
Es werden folgende Einträge für den automatischen Start verwendet:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outpost Security Suite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OutpostFeedBack
SPI:
Es werden diverse SPI-Filter (Service Provider Interface – Erweiterungsschnittstelle des WinSock2 Netzwerkstack von Windows) für den TCP/IP (TCP, UDP und RAW-Filter) eingesetzt. Hierfür ist die „lspfilt.dll“ zuständig.
SSDT:
Folgende System Service Discriptor Table werden eingesetzt, um den Selbstschutz zu realisieren:
FILTNT.SYS
SandBox.sys
Systemfunktionen contra RootKit-Funktionen:
In letzter Zeit werden leider Schutzlösungen immer wieder mit Rootkit-Funktionen betitelt. Diese Wortwahl ist nicht nur wenig ziel führend, sondern sogar gefährlich und falsch!
Das Wort Rootkit hat eine erhebliche Negativwirkung – liest dies nun ein Anwender wird er völlig irritiert und weiss nicht was er von einer solchen Aussage halten soll. Hat vielleicht eine Schutzlösung schadhafte Funktionen?
Deshalb hier eine Klarstellung des Sachverhalts!
Systemfunktionen:
Systemfunktionen, welche von Betriebssystemen zur Verfügung gestellt werden, sind Schnittstellen für Anwendungen um mit den verschiedenen Betriebssystemebenen zu kommunizieren. Diese Schnittstellen werden API (Application Programming Interface) genannt.
Diese Schnittstellen zu Systemfunktionen sind so alt wie das Betriebssystem und wurden / werden von den verschiedensten Anwendungen genutzt.
Gerade bei Schutzprogrammen, durch die allgemeine Forderung nach immer besserem Selbstschutz vor schadhaften Manipulationen, setzen die Entwickler von Schutzlösungen Funktionen ein, die sehr tief in die Systemfunktionen eingreifen. Ausserdem setzen auch Angreifer immer tiefer im System an, um Schutzsoftware auszuhebeln oder zu manipulieren.
Rootkit-Funktionen:
Rootkits nutzen ebenfalls Systemfunktionen, um schädliche Funktionen vor dem Anwender und seinen Schutzprogrammen zu verbergen, allerdings nennt man sie aufgrund ihrer Schädigungsabsichten Rootkit-Funktion.
Da also die Basis bei beiden gleich sind, muss man nach den Absichten differenzieren! Weil ein Virenscanner (oder ein anderes Schutzprogramm) kein Rootkit ist, nutzt er auch keine Rootkit-Funktionen, sondern Systemfunktionen!
Somit bleibt die zweifelhafte Ehre, Rootkit-Funktionen zu nutzen einzig bei den Rootkits!
Zusammenfassung:
Die Agnitum Outpost Security Suite Pro 2007 war von der Installation über die Konfiguration bis hin zum täglichen Einsatz absolut problemlos! Es wurden weder Abstürze, Fehlverhalten noch Systembeeinträchtigungen festgestellt. Alles in allem eine Runde und zuverlässige Schutzlösung, die allerdings ihren wahren Schutz im Malware-Bereich noch unter Beweis stellen muss. Ohne den einzelnen Testbericht von AV-Test, noch die verschiedenen Auszeichnungen und Zertifikate der Scan-Engine „VBA32“ über zu bewerten, entstehen doch gewisse Zweifel am Schutzumfang.
Die Firewall Komponente ist aber als ausgereift und sicher zu betrachten! Neben dieser Sicherheit überzeugt die Firewall durch eine relativ einfache Konfiguration (im Verhältnis zu dem sehr komplexen Thema „Netzwerkschutz“). Insbesondere die Technik „ImproveNet“ bietet ein hohes Mass an Schutz, bei gleichzeitig einfacher Konfiguration.
Vorteile:
Als Vorteile bzw. sogar als Referenz kann man alle Funktionen rund um die Firewall-Komponente nennen! Auch die Schutzfunktionen inkl. Hostschutz stufe ich als Referenz ein! Ebenso der Log Viewer ist als Referenz zu nennen. Die neue Technik „ImproveNet“ ist eine sehr anwenderfreundliche Entwicklung. Ausserdem zeichnet sich die Software durch eine sehr gute Stabilität, Konfiguration und Transparenz aus.
Nachteile:
Der Nachteil bzw. Schwachpunkt der Agnitum Outpost Security Suite Pro 2007 liegt meiner Meinung nach in der Anti-Malware Engine. Obwohl diese sauber in die Konfiguration eingebunden wurde, fehlen doch diverse Einstellungen und die nötige Transparenz für den Anwender.
Mir ist dabei klar, das eine Security Suite immer eine extreme Herausforderung zwischen Benutzerfreundlichkeit, Einfachheit und Funktionsintegration ist.
Trotzdem ist die Anti-Malware Funktion meiner Meinung nach nicht perfekt – und im Vergleich zur Konkurrenz fehlen doch einige Funktionen bzw. die Transparenz für den Nutzer. Diese Probleme betreffen folgende Punkte:
Behandlung von Archiven
Regelung für die Quarantäne
Heuristik-Funktion
Transparente Unterteilung zwischen Scanner und Hintergrundwächter
Empfehlung:
Aus diesen Gründen kann die momentane Empfehlung nur wie folgt lauten: Agnitum Outpost Firewall Pro 4.0 (als Referenz) in Verbindung mit einem externen Anti-Malware Scanner. Diese Kombination stellt meiner Meinung nach das Optimum an Systemschutz im Bereich Firewall und Malware-Erkennung dar.
Interne Links:
Agnitum Outpost Security Suite Pro 2007 Vorstellung – Teil 1: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_1.html
Agnitum Outpost Security Suite Pro 2007 Systemfunktionen und Systemschutz – Teil 2: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_2.html
Agnitum Outpost Security Suite Pro 2007 Anti-Malware und Anti-Spyware – Teil 3: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_3.html
Agnitum Outpost Security Suite Pro 2007 Firewall Grundlagen und Regeln – Teil 4: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_4.html
Agnitum Outpost Security Suite Pro 2007 Firewall PlugIns und „ImproveNet“ - Teil 5: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_5.html
Agnitum Outpost Security Suite Pro 2007 Anti-Spam und Log Viewer – Teil 6: http://www.security-dome.eu/Agnitum_Outpost_Security_Suite_2007_Test_6.html
Agnitum Outpost Security Suite Pro 2007 praktische Tests und Informationen – Teil 7: dieser Bericht
Externe Links:
Agnitum: http://www.agnitum.de/products/outpost/index.php
Flash-Video zu Agnitum Outpost Securtity Suite 2007 von Agnitum: www.agnitum.de/news/securityinsight/video.php
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 02.07.07
Letzte Aktualisierung: 02.07.07