BullGuard Internet Security – Testbericht
Hier finden Sie einen ausführlichen Testbericht zur BullGuard Internet Security.
Themen dieses Berichts (was Sie erwartet):
Einleitung
Installation
Erste Schritte
Funktionen --> Hauptprogramm / Virenscanner / Anti-Spyware / Firewall / Spamfilter / Backup / Support
Supportleistung --> Chat-Funktion
Besonderheit Benutzerverwaltung
Systeminternes --> BullGuard Prozesse / Anti-Virus PlugIns im Einzelnen / Firewall Internas
Penetrationstests --> BullGuard Prozesse / Anti-Virus Test / Firewall Test
Erfahrungen aus der Praxis --> Verbesserungswünsche
Interne Links
Externe Links
Einleitung:
In meinem ersten Bericht habe ich wichtige Grundlageninformationen zu folgenden Themen beschrieben:
Probleme des Sicherheitsmarktes, insbesondere aber Vor- und Nachteile von Security-Suites im Allgemeinen
Vorstellung des Unternehmens BullGuard
Vorstellung der Programmteile von BullGuard
Lizenzbedingungen von BullGuard
Diesen wichtigen einleitenden Bericht finden Sie unter --> „Interne Links“.
Installation:
Die Installation von BullGuard habe ich auf einem virtuellen PC vorgenommen. Das Betriebssystem ist dabei Windows XP Professional mit Service Pack 2 und allen aktuellen Updates und Patchen.
Die Installation verlief völlig problemlos und windowstypisch. Sie war innerhalb von wenigen Augenblicken abgeschlossen. Während der Installation wird automatisch „Windows C++ 2005“ installiert.
Im Gegensatz zu einer Einzelinstallation von z.B. der Outpost-Firewall ist diese absolut unkompliziert und verlangt nur die Angabe des Installationsordners. Der Support bietet ausserdem ein spezielles Entfernung-Tool an, wenn während der Installation die Fehlermeldung erscheint, das die Outpost Firewall schon auf dem System installiert ist.
Nach der Installation ist ein Neustart erforderlich. Ausserdem verlangt die Software eine Online-Registrierung mit E-Mail-Adresse und Passwort. Ansonsten werden keinerlei private Daten abgefragt.
Erste Schritte:
Nach dem Neustart muss man sich mit einer E-Mail-Adresse und Passwort zum Starten der Software anmelden. Dies erscheint anfangs sehr gewöhnungsbedürftig, allerdings lassen sich diese Daten speichern, sodass keine erneute Abfrage kommt, wenn die Option „Automatisch anmelden“ nach der Registrierung aktiviert wird.
Nach dem bestätigen eines Fensters, welches nur in der Trail-Version angezeigt wird, startet die Programmoberfläche.
Diese zeigt sich sehr übersichtlich in dunkelroter Farbe und verweist direkt auf die auszuführenden Jobs, welche entsprechend markiert werden:
Funktionen:
Auf jede Funktion im Einzelnen einzugehen, würde den Umfang dieses Berichts sprengen. Deshalb möchte ich nur auf positive und negative Punkte eingehen. Positive Punkte sind dabei GRÜN markiert, negative in ROT und neutrale in SCHWARZ.
Die Bewertungen sind dabei natürlich von meinen persönlichen Erfahrungen geprägt und behandeln immer die STANDARDEINSTELLUNGEN – trotzdem achte ich natürlich auf „gebräuchliche“ Emfehlungen!
Hauptprogramm:
Übersicht über alle Programmteile und dessen Status (Update, Malware-Funde, Firewall-Angriffe, Spam-Eingang und Backup)
Konto: Übersicht über das Konto, Laufzeit der Lizenz, Versionsprüfung und Aktionen
Grundeinstellungen zu BullGuard (Autostart, Proxy-Einstellungen)
Programmoberfläche in deutscher Sprache, wenn Deutsch als Installierungssprache gewählt wurde.
Keine Versionsnummer-Information der einzelnen Komponenten (z.B. Outpost Version 4.0.x usw). Die Versionsnummer von Bullguard wird aber angezeigt, wenn man die Maus einen Moment auf dem Tray-Icon belässt.
Das Fenster hat eine feste Grösse und kann nicht verändert werden
Kein Passwortschutz für die individuellen Einstellungen
Keine Import- / Export-Funktion von Einstellungen zwischen den verschiedenen Benutzerkonten
Virenscanner:
Es werden alle Programme geprüft – lokale und entfernte
Hintergrundwächter ist aktiviert
Mails werden sowohl ein-, als auch ausgehend geprüft
Archive prüfen deaktiviert (ist aber aktivierbar)
Gepackte Dateien prüfen aktiviert
Heuristik deaktiviert (ist aber aktivierbar)
Erste und zweite Massnahme bei einem Fund kann definiert werden (z.B. erst Reinigung, wenn nicht möglich in Quarantäne verschieben)
Update-Intervall einstellbar (Minimum stündlich)
Warnen, wenn Signaturen älter als X Tage sind (Minimum 1 Tag)
Erfahrungsgemäss werden alle ein bis zwei Stunden neue Signaturen geladen
Vordefinierte Prüfjobs vorhanden (Arbeitsplatz, eigene Dateien, E-Mails und Schnellprüfung). Weiter Jobs können frei definiert werden.
Ausnahmen definierbar
Anti-Spyware:
Das Antispyware-Modul bietet keine getrennten Einstellmöglichkeiten. Es ist mit dem Virenscanner-Modul unter einer Oberfläche vereint. Hier kann man lediglich das Suchen nach Spyware aktivieren.
Das Anti-Spyware-Modul ist ebenfalls eine BitDefender Technologie Integration
Firewall:
Sehr übersichtlicher Aufbau
Einsteiger und Fortgeschrittenen-Modus
Automatische Regelerstellung bei bekannten Programmen
Drei vordefinierte Modi: Alles erlauben, alles verbieten, nachfragen – weitere Profile erstellbar
Anwendungsregeln sehr übersichtlich gestaltet und farblich markiert
Regelung über: Beschreibung (frei definierbar), Richtlinie (erlauben, blockieren, nachfragen), Protokoll (TCP/UDP), Richtung, lokaler und entfernter Port, entfernte IP-Adresse, Pakettyp, gleiche Ports und Anwendungspfad
Erstellen von Programm unabhängigen Systemregeln
ICMP-Regeln getrennt aufgeführt
Net-Bios-Verkehr für jeden Netzwerkadapter getrennt einstellbar
Sehr umfangreiche Einstellmöglichkeiten zu der Protokollierung
Sehr feine Justage der Angriffserkennung
Definieren von besonders zu überwachenden Ports
Definieren von vertrauenswürdigen Remote-Hosts
Sehr umfangreiche Einstellmöglichkeiten zu Warnungen (inkl. Warnton) und Warnfenster
Warnfenster geben umfangreiche Informationen und können direkt zur Regelerstellung genutzt werden
Anwendungen können direkt aus dem Regelfenster zur Analyse an BullGuard gesendet werden
Firewall Regel für komplexere Tasks (Ports öffnen zum Beispiel) können direkt vom Support entwickelt werden, via Email gesendet und direkt in die Firewall der Benutzer importiert werden.
Funktion zur Prüfung von „Anwendungs Hijacking“ (vergleichbar mit der Prozesskontrolle der Outpost-Firewall Pro-Version)
Funktion zur Prüfung von „Geänderte Anwendungen“ (vergleichbar mit der Komponentenkontrolle der Outpost-Firewall Pro-Version)
Absolut mangelhaftes Log! Nur in reiner Textform schlecht lesbar – insbesondere durch die feste Fenstergrösse!
Statusbehaftete Inspektion (Stateful Inspection) nicht definierbar
Im Gegensatz zur Vollversion bzw. Einzelplatzlizenz der Outpost Pro ergeben sich aber folgende Unterschiede / Nachteile:
Kein Einstellmöglichkeit des Stealth-Modus (dieser ist aber in der Standardeinstellung aktiviert)
Bis auf die Angriffserkennung (IPS) sind keine Plug-Ins vorhanden!
Fehlende Einstellmöglichkeiten zu aktiven Inhalten (Scripten)
Fehlende Einstellmöglichkeiten zu DNS-Verkehr
Fehlende Einstellmöglichkeiten zum Umgang mit E-Mail-Anhängen
Keine Einstellung für Werbung oder sonstige Inhalte
Keine Einstellmöglichkeiten zur Komponentenkontrolle (MD5-Checksumme wird aber gebildet)
Keine Einstellmöglichkeiten zur Verhinderung von Prozess-Injektionen
Screenshot zur Firewall-Oberfläche:
Spamfilter:
Spamfilter unterstützt nur Outlook und Outlook Express
Nur White- / Blacklisting möglich (keine weiteren Filter)
Filterung von ganzen Domains, indem man diese komplett weiss/blacklistet, da es dem unerfahrene Benutzer schwer fallen würde, einen fortgeschrittener Filter zu konfigurieren und zu benutzen.
Spam kann direkt aus Outlook und Outlook Express an BullGuard gemeldet werden
Backup:
Sehr guter Assistent, der bereits wichtige Ordner kennt
Es sind bereits wichtige Profile vorkonfiguriert
Eigene Profile (Dateien, Ordner) lassen sich frei definieren
Anzeige des verbrauchten / freien Speicherplatzes
Backup auch auf CD/DVD oder lokales- / Netzlaufwerk möglich
Frei definierbarer Backup-Plan
Synchronisationsmodus (nicht mehr vorhandene Dateien werden auch auf dem Ziellaufwerk gelöscht)
Nur geänderte Daten werden übertragen
Daten können auch über einen Browser „online“ geprüft werden
Verschlüsselung der Datenübertragung
Onlineprüfung nur mit dem Internet Explorer voll funktionsfähig
Systembedingt durch A-DSL (asynchron DSL) relativ langsamer Dateiupload
Support:
Der Support hat in dieser Lösung einen eigenen Bereich. Dies ist auch gerechtfertigt, da hier wirklich erheblicher Wert auf Kundennähe und schnelle Erreichbarkeit gelegt wird!!
Online-Chat in deutscher Sprache 7 Tage die Woche von jeweils 5.00 – 21.00 Uhr
Online-Chat in englischer Sprache rund um die Uhr (24/7)
E-Mail Support – auch in Deutsch
Garantierte Antwort innerhalb einer Stunde
Umfangreiches und gepflegtes Support-Forum
Supportleistung:
Auf die Supportleistungen möchte ich näher eingehen, da ich diese natürlich getestet habe.
Eine Anfrage fand dabei sowohl per eigenem E-Mailprogramm, der BullGuard „Chat-Funktion“, als auch per BullGuard E-Mail-Funktion statt. Die Ergebnisse sind dabei perfekt gewesen!! Die garantierten Antwortzeiten von einer Stunde wurden sogar noch unterschritten!
Aber auch die Antworten waren absolut fundiert und direkt! Sie waren höflich, leicht verständlich und in perfektem Deutsch geschrieben.
Chat-Funktion:
Die Online-Chat-Funktion wurde aber nach einem kurzen Austausch unterbrochen. Ich konnte danach zwar die Chat-Funktion fortsetzen, ein Senden meiner Antworten war aber auf Grund von „Verbindungsproblemen“ nicht möglich. Diese Probleme wurden mir auch vom Support bestätigt. Ich vermute der Fehler lag hier nicht bei BullGuard, da das Programm weiterhin funktionierte und auf Anweisungen reagierte. Ich kann auch nicht ausschliessen, das dieser Fehler an mir lag, da ich mit „Online-Chat“ keinerlei Erfahrungen habe.
Zusammenfassend kann man aber sagen, das die Supportleistung an Qualität und Schnelligkeit nicht zu übertreffen ist!
Hier auch speziell ein besonderer Dank an Frau Ivascu vom BullGuard-Support, für die sehr freundliche und hilfreiche Unterstützung mit Informationen und Tips!!
Besonderheit Benutzerverwaltung:
Als ich BullGuard unter einem Administratorkonto eingerichtet habe, und dann auf ein eingeschränktes Konto gewechselt habe, war ich erstmal überrascht, das keinerlei Einstellungen übernommen wurden.
Dies betraf sowohl Programmeinstellungen, als auch Firewall-Regeln, Backup-Jobs usw.
Obwohl dies einen grösseren administrativen Aufwand darstellt, ist es meiner Meinung nach ein Gewinn an Sicherheit! Schliesslich lassen sich so z.B. unterschiedliche Richtlinien für die einzelnen Benutzer einstellen. Dies kann z.B. die Einstellungen der Firewall betreffen:
Für bestimmte Benutzer die Funktion „alles verbieten ausser..“, für andere „Nachfragen“ um so unnötige Nachrichten und die damit verbundenen Fehlkonfigurationen zu vermeiden
Netzwerkkommunikation bestimmter Anwendungen für einzelne Benutzer freigeben / verbieten
Allerdings wäre dann in diesem Zusammenhang ein Passwortschutz der Einstellungen wünschenswert und sinnvoll! Ausserdem würde eine „Import-“ oder „Export-Funktion“ sehr helfen, wenn man viele lokale Konten zu konfigurieren hat (z.B. eine ganze Familie).
Die Arbeit unter einem eingeschränkten Benutzerkonto ergab keinerlei funktionelle Probleme. Auch die „Schnelle Benutzerumschaltung“ funktionierte. Wurde die „Schnelle Benutzerumschaltung“ genutz, kam es beim Abmelden zu der Nachricht, das „BullGuard.exe“ nicht reagiere. Diese Meldung verschwand aber selbständig, bevor der Zeitbalken durchgelaufen war. Ich vermute BullGuard braucht zum Beenden etwas länger, wenn die schnelle Benutzerumschaltung genutzt wird. Dieser kleine Schönheitsfehler ist aber absolut unkritisch!
Die Nutzung der „schnellen Benutzerumschaltung“ ist aber generell nicht zu empfehlen!!
Systeminternes:
BullGuard Prozesse:
Wird BullGuard ausgeführt, laufen lediglich zwei Prozesse – zumindest auf den ersten Blick:
BullGuard.exe mit 74 Megabyte Speicherauslastung
BullGuardUpdate.exe mit 4 Megabyte Speicherauslastung
Es werden aber diverse Dienste geladen, die unter dem Vaterprozess „svchost.exe“ mit dem Parameter „-k“ laufen:
BullGuard Email Monitoring Service
BullGuard File Scan Service
BullGuard Firewall Service
BullGuard Main Service
Weiterhin ist das „BullGuard LiveUpdate“ zu nennen, welches eigenständig läuft.
Alle Dienste laufen natürlich als „Starttyp – Automatisch“, jeweils unter dem „lokalen Systemkonto“ und zeigen keine Abhängigkeiten von anderen Diensten an.
Anti-Virus PlugIns im Einzelnen:
Im BullGuard-Ordner unter der Datei „plugins.htm“ findet man die recht umfangreichen Scan-Plugins der BitDefender-Engine. So sind unter anderem folgende Engines installiert:
eine ADS-Engine
diverse Pack-Engines (7Zip, SfX, Rar, ACE, Arj, Tar, BZip2, gzip, ISO, Rpm,cab)
diverse "Installer-Engines"
PDF-Engine
The-Bat-Engine
Java-Engine
Macro-Engine
Cookies-Engine
JPEG-Engine
Registry-Engine
usw.
Firewall Internas:
In der Datei „fwengine\knap.xml" bekommt man einen Einblick auf alle Programme, für die die Firewall vordefinierte Regeln hat.
Penetrationstest:
BullGuard Prozesse:
Die BullGuard.exe konnte unter einem eingeschränkten Benutzerkonto „abgeschossen“ werden. Alle anderen Prozesse und Dienste verweigerten diesen Zugriff erfolgreich. Die BullGuard.exe scheint nur der Konfigurationsoberfläche zu dienen. Der Schutz war trotz beendeter BullGuard.exe – soweit ich dies prüfen konnte - gegeben. So wurden unbekannte Netzwerkzugriffe verhindert – allerdings erwartungsgemäss nun ohne Frage zu einer Regelerstellung.
Anti-Virus Test:
Ich habe zum Testen des Anti-Virus-Moduls von BitDefender den „Eicar-Test“ durchgeführt. Eicar ist die „European Expert Group of IT-Security“. Eicar stellt verschiedene Dateien zum Testen von Anti-Viren-Lösungen zur Verfügung. DIESE SIND AUSDRÜCKLICH KEIN VIRUS. Sie dienen lediglich einer Funktionsprüfung!
Es werden 4 unterschiedliche Testdateien angeboten, die mit steigender Erkennungsschwierigkeit versehen sind. Dabei habe ich folgende Ergebnisse ermittelt:
Normales Eicar-Testfile (Eicar.com) im ASCII-Format: Sofort erkannt (Dateizugriff gesprerrt – kein Download möglich).
Eicar-Testfile (Eicar.com.txt) im ASCII-Format, aber umbenannt: Sofort erkannt (Dateizugriff gesperrt – kein Download möglich).
Eicar-Testfile (Eicar.com.zip) ist ein einfach gepacktes Testfile: Sofort erkannt (Dateizugriff gesprerrt – kein Download möglich).
Eicar-Testfile (Eicarcom2.zip) ist ein mehrfach gepacktes Testfile: Sofort erkannt (Dateizugriff gesperrt – kein Download möglich).
Firewall Test:
Ich habe die Firewall folgenden Prüfungen unterzogen – jeweils in der Standardeinstellung:
Ping Test: wurde nicht beantwortet, da ICMP Typ 0 (Echo Replay) deaktiviert ist
Weiterhin habe ich diverse verschiedene Portscan-Typen durchgeführt. Alle wurden erfolgreich verhindert und die Firewall hat den „Angreifer“ für die in den Einstellungen definierten Zeitraum komplett blockiert.
Ausserdem wurden 3 Leaktests gegen die Firewall durchgeführt, wobei 2 erfolgreich erkannt und verhindert wurden, eine aber erfolgreich war. Hierbei ist aber wichtig zu wissen, das alle 3 Leaktests von der Anti-Virus Scan-Engine von BullGuard als Malware erkannt wurden und eine Ausführung in der Standardkonfiguration nicht möglich war! Somit ist auch eine erfolgreiche Penetration der Firewall nicht möglich – ausser man ignoriert diese Warnungen der Anti-Viren-Lösung von BitDefender.
Erfahrungen aus der Praxis:
Die BullGuard Internet Security kann bisher voll überzeugen!! Sie stellt für mich momentan das „Non plus ultra“ der „Security Suites“ dar.
Die Installation ist für eine Lösung dieses Umfangs absolut leicht durchführbar!
Die Bedienung dürfte dem Anfänger keine Probleme bereiten – der Profi hat aber genügend Spielraum.
Alle Programmteile wurden sauber unter einer Oberfläche vereint und integriert.
Die Antivirenlösung wird nach meinen bisherigen Erkenntnissen sehr häufig aktualisiert (meist stündlich)!
Die Firewall konnte allen bekannten Netzwerkangriffen ohne Probleme widerstehen! Allerdings wird der „Outpost-Kenner“ einige Funktionen vermissen, wenngleich er auch mit der geänderten Oberfläche schnell zu Recht kommen wird.
Die Backup-Funktion ist wirklich sehr sinnvoll – und komplettiert den Anspruch an eine Sicherheitslösung.
Die Supportfunktion ist konkurrenzlos – auch wenn die integrierte „Chat-Funktion“ bei mir nicht vollständig funktionierte.
Die Lizenzbedingungen erscheinen mir sehr fair, auch die Preise sind im Bezug auf die Funktionen wirklich nicht übertrieben.
Die Zukunftssicherheit scheint auch gegeben zu sein. Das Programm wird regelmässig gepflegt und momentan laufen sogar Beta-Test für Windows Vista und Windows XP 64bit.
Verbesserungswünsche:
Nacharbeiten sollte BullGuard lediglich an der mangelhaften Log-Funktion der Firewall und dem statischen Programmfenster!
Wünschenswert wäre:
Passwortschutz für die Einstellungen
Import- / Export-Funktion für Benutzerspezifische Einstellungen
Mich wundert, dass ich von dieser Lösung noch nie etwas gehört habe.
Aus diesem Grund mein herzlichster Dank an meine Kollegen „Braveheart“ und „DonMuErte“ für Ihre Tips und Unterstützung!!
Interne Links:
BullGuard Internet Security – Vorstellung: http://www.security-dome.eu/BullGuard-Internet_Security_Vorstellung.html
Externe Links:
BullGuard: http://www.bullguard.com/productinfo_html.aspx
BullGuard 64bit Beta Download: http://download.bullguard.com/64beta/BullGuard.exe
BullGuard Anleitung Backup: http://www.bullguard.com/support/tip_backup-de.aspx
AV-Test: http://www.av-test.org/index.php?lang=1
PCWorld - Anti-Viren-Software Test: http://www.pcworld.com/article/id,124163-page,1/article.html
PCWorld – Anti-Viren-Software Testergebnisse: http://www.pcworld.com/article/id,124475-page,1/article.html
Chip – Test Internet Security Suiten - aktuell: http://www.chip.de/c1_navseite_17955338.html?tid1=33656&tid2=0
Chip – Test Internet Security Suiten Februar 2006: http://www.chip.de/artikel/c1_artikelunterseite_18192548.html
PC-Welt – Test Trojaner-Erkennung: http://www.pcwelt.de/news/sicherheit/59058/index.html
Agnitum Outpost-Firewall: http://www.agnitum.de/
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 01.12.06
Letzte Aktualisierung: 01.12.06