Firewall Net

tests, installation & configuration

Tests du firewall Bob

• Tests • Fonctionnalités • Prix • Résultats • Avantages • Inconvénients • Améliorations • Conclusion • Références •

A - Description des tests
Les critères de choix pour un firewall personnel sont : Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service. Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses. Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC. Prix. Comment les tests ont-ils été réalisés ? Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR). Un test utilisant Leaktest [4] a été réalisé. Un test avec Leaktest [4] a été réalisé. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où). On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème. Tests (avec nmap [1]) pour savoir si le firewall gère les contextes (statefull) ou est filtrant uniquement (filtering). NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel). Voir les résultats des tests.

B - Fonctionnalités du produit
Le firewall Bob [3] comporte les fonctionnalités suivantes : Blocage par mot de passe, Blocage logiciel du réseau, Taille du fichier à télécharger : 1,3 Mo
C - Tarifs
49 €

D - Résultats des tests de sécurité
AVERTISSEMENT : Comme The Bob est indisponible sous Windows 2000, on ne peut pas confirmer les résultats suivants, comme la plateforme de tests n'est confirmée que sous WIndows 2000, aucune comparaison ne peut être réellement faite avec les résultats des autres logiciels. Il est recommandé la plus grande prudence quant à l'efficacité de ce logiciel. Ping : Impossible. Aucun essai n'est tracé. C'est un bon résultat. Test Netbus : Bob détecte le démarrage du serveur Netbus qui se plaint de ports busy (occupés) et empèche de s'y connecter... C'est un bon résultat. Un scan nmap sans Bob (sur un OS Win98 OSR2) : $ nmap -v -sT -P0 -O IP_ADDR Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Host (IP_ADDR) appears to be up ... good. Initiating Connect() Scan against (IP_ADDR) Adding TCP port 139 (state open). The Connect() Scan took 1 second to scan 1542 ports. For OSScan assuming that port 139 is open and port 1 is closed and neither are firewalled Insufficient responses for TCP sequencing (0), OS detection may be less accurate For OSScan assuming that port 139 is open and port 1 is closed and neither are firewalled Insufficient responses for TCP sequencing (0), OS detection may be less accurate For OSScan assuming that port 139 is open and port 1 is closed and neither are firewalled Insufficient responses for TCP sequencing (0), OS detection may be less accurate Interesting ports on (IP_ADDR): (The 1541 ports scanned but not shown below are in state: closed) Port State Service 139/tcp open netbios-ssn Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint: SInfo(V=2.54BETA22%P=i686-pc-linux-gnu%D=5/8%Time=3AF84907%O=139%C=1) T1(Resp=N) T2(Resp=N) T3(Resp=N) T4(Resp=N) T5(Resp=N) T6(Resp=N) T7(Resp=N) PU(Resp=N) Nmap run completed -- 1 IP address (1 host up) scanned in 27 seconds Oups, il vaudrait mieux avoir un bon firewall pour se protéger ! Un scan nmap TCP avec Bob (sur Win 98 OSR2) : $ nmap -v -sT -P0 -O IP_ADDR Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Host (IP_ADDR) appears to be up ... good. Initiating Connect() Scan against (IP_ADDR) The Connect() Scan took 1809 seconds to scan 1542 ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port All 1542 scanned ports on (IP_ADDR) are: filtered Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint: SInfo(V=2.54BETA22%P=i686-pc-linux-gnu%D=5/8%Time=3AF84550%O=-1%C=-1) T5(Resp=N) T6(Resp=N) T7(Resp=N) PU(Resp=N) Nmap run completed -- 1 IP address (1 host up) scanned in 2039 seconds Tous les ports semblent filtrés avec The Bob mais la log des tentatives d'accès sont inutilisables (d'ailleurs pourquoi fournir de telles log ?). C'est un résultat moyen. Un scan nmap UDP avec Bob (sur un Win 98 OSR2) : $ nmap -v -sU -P0 IP_ADDR Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) All 1453 scanned ports on (IP_ADDR) are: filtered Nmap run completed -- 1 IP address (1 host up) scanned in 1765 seconds Ce qui montre qu'avec Bob , la sécurité semble bonne en UDP mais aucune trace dans la log ! C'est un résultat moyen. Le test Leaktest : Bob détecte le démarrage de Leaktest (idem Netbus) et à moins que vous ne l'y autorisiez, il lui est impossible de se connecter. C'est un bon résultat. Nous ne pouvons faire de mesure réaliste et comparables pour l'utilisation CPU et mémoire car actuellement The Bob n'est pas compatible Windows 2000. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). The Bob ne détecte pas le changement ni la connexion. Le troyen est capable de se connecter. C'est un mauvais résultat. Le test statefull : Non réalisé.
E - Avantages
Simple à configurer (rien à faire). Possibilité de verouiller le firewall avec un mot de passe. Possiblité d'autoriser/interdire à un logiciel l'accès à Internet.

F - Inconvénients
La log est vraiment mauvaise, il y a confusion entre flood et portscan. Vous ne pouvez pas spécifier un port/protocole à filtrer/autoriser. L'internationalisation est... un peu aléatoire, certaines parties sont traduites d'autres pas, la traduction est pleine de fautes... et la licence n'est pas traduite (même si la traducation n'est pas le document de référence, c'est extrèmement fastidueux à lire pour un non anglophone). Son prix élevé.
G - Améliorations possibles
Vraiment améliorer la log. Fournir un logiciel compatible avec les versions courantes de Windows. Améliorer l'internationalisation du logiciel.

H - Conclusion
Ce produit récemment lancé semblait intéressant, mais il nécessite de nombreuses améliorations. On le retestera dès qu'il y aura un support de Windows 2000 (en espérant au passage que les corrections fondamentales auront été réalisées).

Evaluation : Installation (2) : 10/20 Configuration, Interface graphique (3) : 5/20 Sécurité filtrage (5) : 10/20 Sécurité complémentaire (3) : 5/20 Utilisation mémoire et CPU du logiciel (2) : 0/20 Import/Export de la configuration (2) : 0/20 Aide, FAQ (2) : 10/20 Internationalisation du produit (1) : 10/20 Total : 6,5 / 20 Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

I - Références
Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau - http://www.insecure.org/nmap Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant. http://www.netbus.org/ download The Bob http://www.thegreenbow.com/ download Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups). http://grc.com/ download

Tests du firewall Bob

• Tests • Fonctionnalités • Prix • Résultats • Avantages • Inconvénients • Améliorations • Conclusion • Références •

A - Description des tests

Les critères de choix pour un firewall personnel sont :

Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.
Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.
Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.
Prix.

Comment les tests ont-ils été réalisés ?

Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.
Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.
Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR).
Un test utilisant Leaktest [4] a été réalisé.
Un test avec Leaktest [4] a été réalisé.
On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).
On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.
Tests (avec nmap [1]) pour savoir si le firewall gère les contextes (statefull) ou est filtrant uniquement (filtering).

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.

B - Fonctionnalités du produit

Le firewall Bob [3] comporte les fonctionnalités suivantes :

Blocage par mot de passe,
Blocage logiciel du réseau,
Taille du fichier à télécharger : 1,3 Mo

C - Tarifs

49 €

D - Résultats des tests de sécurité

AVERTISSEMENT : Comme The Bob est indisponible sous Windows 2000, on ne peut pas confirmer les résultats suivants, comme la plateforme de tests n'est confirmée que sous WIndows 2000, aucune comparaison ne peut être réellement faite avec les résultats des autres logiciels. Il est recommandé la plus grande prudence quant à l'efficacité de ce logiciel.

Ping : Impossible. Aucun essai n'est tracé. C'est un bon résultat.
Test Netbus : Bob détecte le démarrage du serveur Netbus qui se plaint de ports busy (occupés) et empèche de s'y connecter... C'est un bon résultat.
Un scan nmap sans Bob (sur un OS Win98 OSR2) :

$ nmap -v -sT -P0 -O IP_ADDR

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host (IP_ADDR) appears to be up ... good.
Initiating Connect() Scan against (IP_ADDR)
Adding TCP port 139 (state open).
The Connect() Scan took 1 second to scan 1542 ports.
For OSScan assuming that port 139 is open and port 1 is closed and neither are firewalled Insufficient responses for TCP sequencing (0), OS detection may be less accurate
For OSScan assuming that port 139 is open and port 1 is closed and neither are firewalled Insufficient responses for TCP sequencing (0), OS detection may be less accurate
For OSScan assuming that port 139 is open and port 1 is closed and neither are firewalled Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on (IP_ADDR):
(The 1541 ports scanned but not shown below are in state: closed)
Port State Service
139/tcp open netbios-ssn

Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint: SInfo(V=2.54BETA22%P=i686-pc-linux-gnu%D=5/8%Time=3AF84907%O=139%C=1)
T1(Resp=N)
T2(Resp=N)
T3(Resp=N)
T4(Resp=N)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Nmap run completed -- 1 IP address (1 host up) scanned in 27 seconds

Oups, il vaudrait mieux avoir un bon firewall pour se protéger !

Un scan nmap TCP avec Bob (sur Win 98 OSR2) :

$ nmap -v -sT -P0 -O IP_ADDR

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host (IP_ADDR) appears to be up ... good.
Initiating Connect() Scan against (IP_ADDR)
The Connect() Scan took 1809 seconds to scan 1542 ports.
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1542 scanned ports on (IP_ADDR) are: filtered
Too many fingerprints match this host for me to give an accurate OS guess
TCP/IP fingerprint: SInfo(V=2.54BETA22%P=i686-pc-linux-gnu%D=5/8%Time=3AF84550%O=-1%C=-1)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Nmap run completed -- 1 IP address (1 host up) scanned in 2039 seconds

Tous les ports semblent filtrés avec The Bob mais la log des tentatives d'accès sont inutilisables (d'ailleurs pourquoi fournir de telles log ?). C'est un résultat moyen.
Un scan nmap UDP avec Bob (sur un Win 98 OSR2) :

$ nmap -v -sU -P0 IP_ADDR

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
All 1453 scanned ports on (IP_ADDR) are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 1765 seconds

Ce qui montre qu'avec Bob , la sécurité semble bonne en UDP mais aucune trace dans la log ! C'est un résultat moyen.
Le test Leaktest : Bob détecte le démarrage de Leaktest (idem Netbus) et à moins que vous ne l'y autorisiez, il lui est impossible de se connecter. C'est un bon résultat.
Nous ne pouvons faire de mesure réaliste et comparables pour l'utilisation CPU et mémoire car actuellement The Bob n'est pas compatible Windows 2000.
Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). The Bob ne détecte pas le changement ni la connexion. Le troyen est capable de se connecter. C'est un mauvais résultat.
Le test statefull : Non réalisé.

E - Avantages

Simple à configurer (rien à faire).
Possibilité de verouiller le firewall avec un mot de passe.
Possiblité d'autoriser/interdire à un logiciel l'accès à Internet.

F - Inconvénients

La log est vraiment mauvaise, il y a confusion entre flood et portscan.
Vous ne pouvez pas spécifier un port/protocole à filtrer/autoriser.
L'internationalisation est... un peu aléatoire, certaines parties sont traduites d'autres pas, la traduction est pleine de fautes... et la licence n'est pas traduite (même si la traducation n'est pas le document de référence, c'est extrèmement fastidueux à lire pour un non anglophone).
Son prix élevé.

G - Améliorations possibles

Vraiment améliorer la log.
Fournir un logiciel compatible avec les versions courantes de Windows.
Améliorer l'internationalisation du logiciel.

H - Conclusion

Ce produit récemment lancé semblait intéressant, mais il nécessite de nombreuses améliorations. On le retestera dès qu'il y aura un support de Windows 2000 (en espérant au passage que les corrections fondamentales auront été réalisées).

Evaluation :

Installation (2) : 10/20
Configuration, Interface graphique (3) : 5/20
Sécurité filtrage (5) : 10/20
Sécurité complémentaire (3) : 5/20
Utilisation mémoire et CPU du logiciel (2) : 0/20
Import/Export de la configuration (2) : 0/20
Aide, FAQ (2) : 10/20
Internationalisation du produit (1) : 10/20

Total : 6,5 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

I - Références

Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
http://www.insecure.org/nmap
Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
http://www.netbus.org/
download
The Bob
http://www.thegreenbow.com/
download
Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
http://grc.com/
download