Auf einem WindowsXP System mit normaler Konfiguration und der Desktop Firewall OutPost von Agnitum, haben wir einen kleinen Test durchgeführt um die Firewall auf die Stabilität zu prüfen.
Gegen zufällig erstellte Datenpakete (kurze oder kleine IGMP oder ICMP Pakete) kann man sagen, daß die Outpost Firewall recht stabil ist und diese "Angriffe" erkennt jedoch im gesamten Arbeitsverhalten schwer abbremst.
Die Outpost arbeitet nicht mehr in gewohnter Schnelligkeit und kann die Datenpakete nicht eindeutig verarbeiten.
Diese Datenpakete wurden per Zufallsgenerator eindeutig definiert und können dazu führen, daß bei einem sehr lang andauernden "Angriff" dieser Art, die Firewall die Arbeit aufgibt.
Im Einzelfall bedeutet es, daß man von einer Angriffszeit von mehr als 10 Minuten ausgehen, innerhalb eines Netzwerkes (LAN) dürfte diese Zeit bei ca. 2-3 Minuten liegen.
Anschliessend wurden eine Menge von ACK Paketen auf eine IP geschickt, die von der Outpost Firewall geschützt werden sollte. Diese Datenpakete (ACK) sind in der Regel reine Bestätigungspakete innerhalb existierender Verbindungen. (ACK bedeutet einfach: das hier Datenpaketreansfer über ACK lediglich quittiert werden)
Bei einem sogenannten Stream-Angriff werden Datenpakte generiert, die eigentlich nicht zu einer bestehenden Verbindung gehören. Da die Outpost Firewall überprüft, welche Pakete zur bestehenden Verbindung gehören um Portscanns zu entdecken, wurde die Outpost allein durch diese Überprüfung während der Attacke so stark überlastet, sodaß vorübergehend das System zum Stillstand kam.
Folge daraus: Das Betriebssystem hat über die Zeit des Angriffes totalen Stillstand, da die Outpost Firewall fast die gesamten Rescourcen für die Berechnung benötigt.
Wird der Angriff jedoch aber abgebrochen, kann es in einzelnen Fällen auftreten, daß die Outpost Firewall anschliessend nicht mehr sauber arbeitet und neu gestartet werden muß.
Das System ist dann ungeschützt und ist aber in dieser Form stabil gegen die Angriffe geblieben und arbeitete weiter.
Ein Bluescreen konnte jedoch nicht erzeugt werden, lediglich hat die Firewall Outpost die Arbeit verweigert.

Was das interne IDS (Intrusion Detection System) anbelangt kann man sagen, daß es nicht 100% zuverlässig reagierte auf ankommende Angriffe wie oben beschrieben.
Das IDS hatte zunehmend Probleme die tatsächliche Subnetmaske zu blockieren oder gar die Verbindung zum Internet oder zum LAN zu blockieren.
Daher ist das IDS bei massivem Angriff fast nutzlos, da es kaum reagieren kann.

Die Outpost Firewall ist aber dennoch eine saubere Firewall für den Windows Nutzer, der ein wenig mehr sehen möchte was tatsächlich im Netzwerk geschieht.
Die Chance, dass eine solcher Attacken tatsächlich ausgeführt wird ist sehr gering. Das Verständnis dieser Angriffstechniken ist schon sehr fachspezifisch und kann nicht auf die schnelle ausgeführt werden.
Durch den Test kann man abschliessend sagen, die Firewall Outpost macht einen recht interessanten und durchaus stabilen Eindruck.

Der Test wurde mit einem WindowsXP System durchgeführt und das angreifende System war ein RedHat Linux System.
Was nicht vergessen werden darf, das für Attacken auf eine Firewall wie die Outpost eine IP Adresse konkret erforderlich ist.
Schwer ist es aber eine IP Adresse zu erhalten, wenn man nicht auffällig ist durch unachtsames Surfverhalten.
Die Chance einer zufälligen IP Folge ist sehr gering, da nicht eindeutig erkennbar ist was für ein Firewallsystem dort wirklich auf das System achtet.
Vielleicht sollte erwähnt werden, dass die Updates von Outpost auf jeden Fall einmal wöchentlich geprüft werden sollten, um sicher zu gehen immer die neueste Version zu haben.
Das Team von Agnitum arbeitet recht fieberhaft an Verbesserungen und an Neuerungen, um Fehler und Schwächen zu beseitigen.
Nach dem Test der durch Mixter und mich durchgeführt wurde, haben wir umgehend das Team von Agintum informiert und über die augetretenen Schwächen informiert.
Am 29.12.2001 durchgeführt und erstellt.

Marko Rogge
in Kooperation mit
Mixtersecurity
In diesem Sinne ein Danke an Mixter.

Dieser Test sowie Auszüge daraus dürfen nicht ohne Genehmigung vervielfältigt werden!
©2001 by M.Rogge, Mixter & German-Secure.