Tests du Firewall Looknstop

Les critères de choix pour un firewall personnel sont :

• Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

• Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

• Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

• Prix.

Comment les tests ont-ils été réalisés ?

1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

3. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR).

4. Un test utilisant Leaktest [4] a été réalisé.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.

• Contrôle de l'accès aux ressources réseau : contrôle complet sur les critères d'adresse IP, service, interface réseau, sens du trafic. Vous pouvez par exemple autoriser toutes les connexions FTP entrantes pour seulement quelques adresses IP prédéfinies (critères de masque etc.).

• Filtrage de tous les services : filtre le partage fichiers et imprimantes, les protocoles qui utilisent les winsock (exemple : SMTP, HTTP), les services systèmes (exemple : ping, rip, FTP, Telnet).

• Vous n'avez pas besoin d'installer des outils spécifiques ou de complément (plugin) logiciel pour permettre aux applications de traverser le firewall.

• Monitoring continu : travaille en silence dans l'arrière plan de votre système.

• Possibilité d'exporter ou d'échanger les jeux de règles de sécurité ce qui permet notamment de sauvegarder ou de généraliser des règles de sécurité.

• Service de log : les fichiers de log enregistrent toute activité réseau , vous permettant de rechercher les événements importants.

• Possibilité de définir des règles au niveau le plus bas (Ethernet) des règles associées à une adresse MAC (physique), utile pour des particularités locales.

Gratuit !!!

1. Ping : bloqué.

2. Test Netbus : Looknstop (dans la version 1.x) ne dispose pas de module de détection des logiciels qui utilisent le réseau, il ne détecte donc pas le lancement de Netbus en mode serveur. Par contre le filtrage des connexions de l'extérieur vers Netbus sont clairement détectées et interdites. Le résultat est donc bon.

3. Test Leaktest : Looknstop ne détecte pas non plus (comme pour Netbus) le lancement de leaktest, la tentative de connexion assimilable à une connexion ftp classique n'est pas filtrée, le résultat est donc mauvais pour ce test. Toutefois il est possible d'empêcher les tentatives similaires à celles utilisées par Leaktest en utilisant le jeu de règles proposé ici. Vous pouvez lancer vous même le leaktest avec cette évolution et bloquer ce test. Cependant, il faut préciser qu'il s'agit là d'une méthode peu orthodoxe, ayant le mérite avec Looknstop d'être à la fois possible (en termes de filtrage) et visible, il s'agit pourtant d'un contournement. Gageons que les auteurs de looknstop feront de leur mieux pour corriger cela dans la prochaine version !

4. Un scan nmap sans Looknstop (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
   
   $ nmap -sT -O -P0 -v IP_ADDR
   
   Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
   Initiating TCP connect() scan against (IP_ADDR)
   Adding TCP port 135 (state open).
   Adding TCP port 1025 (state open).
   Adding TCP port 445 (state open).
   Adding TCP port 139 (state open).
   The TCP connect scan took 0 seconds to scan 1523 ports.
   
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   
   Interesting ports on (IP_ADDR):
   (The 1519 ports scanned but not shown below are in state: closed)
   

   Port	State	Service
   135/tcp	open	loc-srv
   139/tcp	open	netbios-ssn
   445/tcp	open	microsoft-ds
   1025/tcp	open	listen

   
   Too many fingerprints match this host for me to give an accurate OS guess
   TCP/IP fingerprint:
   T1(Resp=N)
   T2(Resp=N)
   T3(Resp=N)
   T4(Resp=N)
   T5(Resp=N)
   T6(Resp=N)
   T7(Resp=N)
   PU(Resp=N)
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds
   
   

5. Un scan nmap avec Looknstop (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) et le jeu de règles standard et le même scan donne quelques milliers d'alertes et nmap n'est capable d'identifier aucun service, ce qui est un excellent résultat en termes de protection :
   
   $ nmap -sT -O -P0 -v -T5 IP_ADDR
   
   Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
   Initiating TCP connect() scan against (IP_ADDR)
   Adding TCP port 1025 (state open). (*)
   Skipping host (IP_ADDR) due to host timeout
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 75 seconds
   
   On obtient la log suivante :
   
   17/02/01 23:05:28 D 79 'TCP : Bloque tous les au' IP_ADDR_ORIGIN TCP Ports Dest:nntp=119 Src:2780
   17/02/01 23:05:28 D 80 'TCP : Bloque tous les au' IP_ADDR_ORIGIN TCP Ports Dest:tnETOS=377 Src:2781
   17/02/01 23:05:28 D 81 'TCP : Bloque tous les au' IP_ADDR_ORIGIN TCP Ports Dest:687 Src:2782
   17/02/01 23:05:28 D 82 'TCP : Bloque tous les au' IP_ADDR_ORIGIN TCP Ports Dest:5713 Src:2783
   
   Ce qui signifie qu'une sécurité relativement efficace et très précise est possible avec Loonkstop, si le logiciel est configuré correctement.

   (*) Règle n° 4 ("Autorise les services internet standard") peut être un peu trop "lâche" par défaut...

1. Les règles peuvent être appliquées spécialement sur la connexion modem ou liée au modem.

2. La fenêtre de log est utile. Elle fourni une analyse complete du paquet et d'analyse de son entête, ainsi que la rgèle ayant généré le blocage bref tout ce que l'on peut réver de mieux en la matière. Le paramétrage du contenu de la log est complet

3. Les règles peuvent être sauvegardées, chargées et exportées !!!

4. La taille : 368 Ko à télécharger (download) !!

5. Interface, site et aide intégralement en français et très bien faite !!!!!!!!!!

6. Produit internationalisé (existe en anglais).

7. Il est gratuit !

Franchement j'ai eu beaucoup de mal a en trouver, donc pour chercher la "petite bête", en voilà quelques uns :

1. Le contenu du fichier log est nettement plus pauvre que l'affichage... un peu dommage pour une analyse a posteriori.

2. Ne bloque que les protocoles IP .

3. Les règles ne peuvent êtres appliquées qu'à une seule interface réseau à la fois sur Windows 2000.

4. La détection d'intrusion pourrait éventuellement être enrichie :

   • d'une appréciation de sévérité, aucun commentaire ne peut y être associé (information enregistrée dans une règle par exemple),

   • les scans de ports ne sont pas détectés et analysés comme tels, seul un reporting port par port est effectué (long et lourd mais cependant manifeste et complet),

   • aucune option de tracking de la source n'est proposée (franchement c'est vraiment la cerise sur le gateau),

• Fournir une fonction d'apprentissage de règles.

• Permettre à l'utilisateur de changer l'ordre des colonnes affichées dans la fenêtre de gestion des règles.

• Fournir un ensemble de règles que l'utilisateur puisse ajouter ou enlever. Des règles simples à comprendre pour un utilisateur comme : "Autorise l'ordinateur à être visible dans le voisinage réseau", "Autorise les autres ordinateurs à connaître votre présence (ping)","Autorise le partage de fichiers","Autorise l'accès au partage de fichiers à distance", etc.
  Cependant il est à noter qu'une liste d'exemples est explicitée sur le site !

• Pouvoir importer/exporter une ou des règles (et pas forcément tout le jeu de règles).

• Avoir des règles de filtrage applicables seulement pour certains logiciels et donc détecter les logiciels faisant usage du réseau.

• Protection optionnelle par mot de passe.

• Dissocier le module d'administration (l'interface graphique) du module de filtrage.

Un outil puissant, paramétrable que les utilisateurs expérimentés pourront apprécier.

Il possède tout ce que Conseal n'a pas et fonctionne probablement mieux que Conseal !!!! Avec l'inestimable qualité de son prix et de son origine !

1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
   http://www.insecure.org/nmap

2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
   http://www.netbus.org/
   download

3. Looknstop
   http://www.looknstop.com/

4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
   http://grc.com/
   download