Tests du Firewall Conseal

Les critères de choix pour un firewall personnel sont :

• Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

• Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

• Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

• Prix.

Comment les tests ont-ils été réalisés ?

1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

3. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR).

4. Un test utilisant Leaktest [4] a été réalisé.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.

Le firewall Conseal v 2.09 [3] comporte les fonctionnalités suivantes :

• Filtrage de tous les paquets. Par exemple vous pouvez interdire le trafic web sortant sur l'interface ethernet 1 et toutes les connexions mail entrantes d'un réseau X sur l'interface modem seulement.

• Contrôle de l'accès aux ressources réseau : contrôle complet sur les critères d'adresse IP, service, interface réseau, sens du trafic. Vous pouvez par exemple autoriser toutes les connexions FTP entrantes sur l'interface Ethernet n°1 pour seulement trois adresses IP prédéfinies.

• Avoir des règles de filtrage applicables seulement pour certains logiciels.

• Filtrage de tous les types de paquets au niveau interface (couche physique) y compris IP (TCP, UDP, etc.), NetBEUI, IPX, ARP, etc.

• Filtrage de tous les services : filtre le partage fichiers et imprimantes, les protocoles qui utilisent les winsock (exemple : SMTP, HTTP), les services systèmes (exemple : ping, rip, FTP, Telnet).

• Vous n'avez pas besoin d'installer des outils spécifiques ou de complément (plugin) logiciel pour permettre aux applications de traverser le firewall.

• Monitoring continu : travaille en silence dans l'arrière plan de votre système.

• Protection optionnelle par mot de passe.

• Possibilité d'exporter ou d'échanger les jeux de règles de sécurité ce qui permet notamment de sauvegarder ou de généraliser des règles de sécurité.

• Service de log : les fichiers de log enregistrent toute activité réseau , vous permettant de rechercher les événements importants.

Extraits du site de Conseal :

Fonctionne comme un service sur Win NT (ce qui signifie qu'il est actif avant l'authentification utilisateur).

1. Ping : bloqué.

2. Test Netbus : Conseal n'empêche pas le serveur Netbus d'être lancé et n'en informe pas l'utilisateur. Cependant la tentative d'accès au serveur Netbus est soit rejetée (avec les règles de sécurité standard fournies sur ce site, tracées dans leur version verbose), soit déclenche l'ouverture d'une fenêtre de dialogue dans la version d'installation de base demandant à l'utilisateur si le port en question doit être autorisé ou rejeté.

3. Test Leaktest : Conseal ne détecte pas non plus (comme pour Netbus) le lancement de Leaktest, la tentative de connexion assimilable à une connexion ftp classique n'est pas filtrée, le résultat est donc mauvais pour ce test.

4. Un scan nmap sans Conseal (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) :
   
   $ nmap -sT -O -P0 -v -T5 IP_ADDR
   
   Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
   Initiating TCP connect() scan against (IP_ADDR)
   Adding TCP port 135 (state open).
   Adding TCP port 1025 (state open).
   Adding TCP port 445 (state open).
   Adding TCP port 139 (state open).
   The TCP connect scan took 0 seconds to scan 1523 ports.
   
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   
   Interesting ports on (IP_ADDR):
   (The 1519 ports scanned but not shown below are in state: closed)

   Port	State	Service
   135/tcp	open	loc-srv
   139/tcp	open	netbios-ssn
   445/tcp	open	microsoft-ds
   1025/tcp	open	listen

   
   Too many fingerprints match this host for me to give an accurate OS guess
   TCP/IP fingerprint:
   T1(Resp=N)
   T2(Resp=N)
   T3(Resp=N)
   T4(Resp=N)
   T5(Resp=N)
   T6(Resp=N)
   T7(Resp=N)
   PU(Resp=N)
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds
   
   

5. Un scan nmap avec Conseal (sur un OS Win 2000 SP1 avec une configuration "standard", c'est-à-dire NetBios actif etc.) et le jeu de règles "Cable/DSL" et le même scan ne donne aucune alerte nmap n'est capable d'identifier aucun service, ce qui est un excellent résultat en termes de protection mais pas forcément souhaité en termes d'alarmes. Deuxième effet de bord, le jeu de règles proposé par Signal9 (Conseal) a une facheuse tendance à être incompatible avec un accès DSL ou câble modem, c'est-à-dire qu'immédiatement après être mis en service on est systématiquement déconnecté (pas de renouvellement du jeton DHCP), comme sécurité on ne fait pas mieux qu'être déconnecté du réseau effectivement... :
   
   $ nmap -sT -O -P0 -v -T5 IP_ADDR
   
   Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
   Initiating TCP connect() scan against (IP_ADDR)
   Skipping host (IP_ADDR) due to host timeout
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 75 seconds
   
   

6. Un scan nmap avec Conseal (sur un OS Win 2000 SP1 avec une configuration "standard", c'est-à-dire NetBios actif etc.) donne :

   • aucun résultat efficace dans le cas du jeu de règle de sécurité fourni ici,

   • aucun résultat non plus, mais étant tous tracés et l'utilisateur averti en verbose,

   • une centaine d'événement tracés et de fenêtres de dialogue ouvertes avec les règles par défaut.

Ce qui signifie qu'une sécurité relativement efficace et très précise est possible avec Conseal si le logiciel est configuré correctement.

1. Des règles peuvent être appliquées spécialement sur la connexion modem.

2. Les règles peuvent être protégées par mot de passe.

3. Le mode "learning" devrait faciliter la tache de l'utilisateur pour définir les règles dont il a besoin initialement. Ce mode peut être interactif ou automatique.

4. La fenêtre de log est utile. La taille maximale d'un fichier log peut être paramètrée ainsi que son répertoire de stockage (mais pas le nom du fichier lui-même).

5. Les règles peuvent être sauvegardées, chargées et exportées, y compris au format texte.

6. La taille : 900 Ko à télécharger (download)

1. Prix élevé pour les utilisateurs NT/Win2000.

2. L'interface graphique n'est pas très simple d'usage :

   • Les Netmasks et intervalles de port pourraient être mieux présentés.

   • La définition des priorités peut être complexes, car les règles ne sont pas affichées dans l'ordre de priorité.

   • Le nombre de règles peut être important (notamment dans le cadre d'un apprentissage au coup par coup) et ingérable.

   • Créer des règles permettant de gérer le broadcasting est complexe.

   • La fenêtre de dialogue qui demande à l'utilisateur de créer de nouvelles règles (en mode learning) nécessite des améliorations. Si une communication peut être autorisée une fois ou pour toujours, il n'est pas possible de définir des intervalles de ports ou d'adresses IP, d'associer un logiciel ou une interface, d'autoriser tous le trafic UDP ou TCP à partir de cette adresses, etc. Les fenêtres de dialogue détaillées sont utiles mais perverses. Le trafic UDP sur les ports élevés (notamment utilisé pour le protocole RTP ou les jeux) peut en effet la rendre très malaisée.

   • L'association d'une règle avec un logiciel pourrait être simplifiée et renforcée aucun détail n'est affiché, jute une recherche dans une liste de noms de taches en cours d'exécution est possible. Comme seul le nom du programme est validé (ni le répertoire, ni une clé associée à l'application), un troyen se faisant passer pour l'application ne peut être détecté (utilisant le même nom de programme).

3. Les règles ne peuvent pas êtres appliquées à une interface réseau dans la version NT Workstation (ce n'est pas le cas des éditions Win 9x et NT server).

4. Le bip (très désagréable) qui s'entend lors des attaques n'est pas simple a désactiver (mais possible).

5. Il n'existe pas de concept d'adresses de confiance (duquel tout le trafic peut être accepté), cependant on peut créer un jeu de règles permettant une fonctionnalité similaire (moins facile).

6. La détection d'intrusion est pauvre :

   • les événement enregistrés ne bénéficient d'aucune appréciation de sévérité, aucun commentaire ne peut y être associé (information enregistrée dans une règle par exemple),

   • les scans de ports ne sont pas détectés et analysés comme tels, seul un reporting port par port est effectué (long et lourd),

   • aucune option de tracking de la source n'est proposée,

   • il est très difficile pour des utilisateurs non-experts de comprendre ce que les enregistrements dans les logs signifient (et donc de les analyser , les comprendre et réagir !).

7. Problèmes connus :

   • La version pour Windows 2000 (Win2k) ne fonctionne pas avec un modem et ne doit jamais être installée sur une version ICS de Windows 2000.

   • L'installation d'un version sur Windows 2000 pose parfois de gros problèmes dans le cas d'une mise à jour, jusqu'à une incompatibilité (liée probablement à la mise en oeuvre de la protection logicielle qui supporte mal la mise à jour)

• Améliorer l'interface de gestion des règles et les fenêtres de dialogue qui s'ouvrent en mode learning (apprentissage des règles).

• Permettre à l'utilisateur de changer l'ordre des colonnes affichées dans la fenêtre de gestion des règles.

• Fournir un ensemble de règles que l'utilisateur puisse ajouter ou enlever. Des règles simples à comprendre pour un utilisateur comme : "Autorise l'ordinateur à être visible dans le voisinage réseau", "Autorise les autres ordinateurs à connaître votre présence (ping)","Autorise le partage de fichiers","Autorise l'accès au partage de fichiers à distance", etc.
  Une liste de regèle est disponible sur le site de conseal :
  http://www.consealfirewall.com/buildblk3.htm

• Il serait pratique de pouvoir changer la priorité en utilisant le glissé/déplacé (drag and drop).

• Une unique fenêtre pour l'édition d'une règle serait plus pratique que l'usage de l'actuel "new rule wizard".

• Une internationalisation du produit (permettant l'affichage en langue française notamment) serait très appréciable.

Un outil puissant, paramétrable que les utilisateur expérimentés pourront apprécier. Il pourrait cependant être plus simple d'usage.

1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
   http://www.insecure.org/nmap

2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
   http://www.netbus.org/
   download

3. Conseal PC Firewall
   http://www.consealfirewall.com/

4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
   http://grc.com/
   download