Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls
 
Choix
> Tests
> Installation
> Configuration
> Vérification
> FAQ
 
Firewall Windows
 .  ZoneAlarm
 .  Tiny
 .  LookNStop
 .  Norton
 .  Private firewall
 .  Sygate
 .  WinRoute
 .  BlackIce
 .  Conseal
 .  WinGate
 .  AtGuard
 
Firewall Linux
 .  ipchains
 .  iptables
 
Firewall Mac
 .  Netbarrier
 .  Autres
 
Divers
 .  Nuke
 .  Backdoors
 
Vérification
Comparatif
Annuaire
Forum
Remerciements
Statistiques
 
Contacter Firewall-net
e-mail
 

Tests du firewall Sygate 2
TestsFonctionnalitésPrixRésultatsAvantages< • InconvénientsAméliorationsConclusionRéférences
A - Description des tests

Les critères de choix pour un firewall personnel sont :

  • Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

  • Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

  • Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

  • Prix.

Comment les tests ont-ils été réalisés ?

  1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

  2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

  3. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR).

  4. Un test utilisant Leaktest [4] a été réalisé.

  5. Un test avec Leaktest [4] a été réalisé.

  6. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

  7. On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

  8. Tests (avec nmap [1]) pour savoir si le firewall gère les contextes (statefull) ou est filtrant uniquement (filtering).

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.
B - Fonctionnalités du produit

Le firewall Sygate 2.475 [3] comporte les fonctionnalités suivantes :

  • Possibilité d'autoriser/interdire à certaines applications de se connecter à Internet,

  • Possibilité d'autoriser/interdire certains services (ports).

  • Possibilité d'autoriser/interdire certains protocoles,

  • Possibilité de définir des adresses IP de confiance (de votre réseau local),

  • Possibilité de définir des plages horaires pour bloquer tout le trafic (pendant que vous dormez par exemple).

  • Possibilité de définir un mot de passe de protection (comme dans Conseal)

  • Taille du fichier à télécharger : 2,6 Mo.
C - Tarifs

Gratuit pour un usage personnel (à domicile).
D - Résultats des tests de sécurité

  1. Ping : Impossible si vous avez décoché "Allow ICMP message type" et/ou "Allow Echo Reply" dans "Advanced ICMP Settings". C'est un bon résultat.

  2. Test Netbus : Sygate 2 ne détecte pas le démarrage du serveur Netbus mais empèchera de s'y connecter. C'est un bon résultat.

  3. Un scan nmap sans Sygate 2 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

    $ nmap -v -sT -P0 -O IP_ADDR

    Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 445 (state open).
    Adding TCP port 135 (state open).
    Adding TCP port 1025 (state open).
    Adding TCP port 913 (state open).
    Adding TCP port 139 (state open).

    The TCP connect scan took 0 seconds to scan 1523 ports.

    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled

    Interesting ports on (IP_ADDR):
    (The 1518 ports scanned but not shown below are in state: closed)
    Port State Service
    135/tcp open loc-srv
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    913/tcp open unknown
    1025/tcp open listen

    TCP Sequence Prediction: Class=random positive increments
    Difficulty=6634 (Worthy challenge)

    Sequence numbers: 747E9CE8 747F63FC 74800BF5 7480E3FE 7481BC4F 7482B3B2

    Remote operating system guess: Windows 2000 RC1 through final release

    Nmap run completed -- 1 IP address (1 host up) scanned in 10 seconds

    Oups, il vaudrait mieux avoir un bon firewall pour se protéger !

    Un scan nmap TCP avec Sygate 2.475 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) avec les options de sécurité à Medium donne des évènements dans la log, ce qui est un bon résultat en matière de détection (Medium car au niveau supérieur vous ne pouvez pas faire fonctionner correctement IE, Outlook, ou autres) :

    $ nmap -v -sT -P0 -O IP_ADDR

    Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 1025 (state open).
    The TCP connect scan took 122 seconds to scan 1523 ports.
    For OSScan assuming that port 1025 is open and port 1000 is closed and neither are firewalled
    Interesting ports on (IP_ADDR):
    (The 999 ports scanned but not shown below are in state: filtered)
    Port State Service
    1000/tcp closed cadlock
    1001/tcp closed unknown
    1002/tcp closed unknown
    1003/tcp closed unknown
    [...] plusieurs centaines de ports distants fermés détectés
    32787/tcp closed sometimes-rpc27
    43188/tcp closed reachout
    47557/tcp closed dbbrowse
    65301/tcp closed pcanywhere

    TCP Sequence Prediction: Class=random positive increments
    Difficulty=8711 (Worthy challenge)

    Sequence numbers: B5119B54 B5122941 B512EEDE B51399E4 B51479E0 B5156457

    Remote operating system guess: Windows 2000 RC1 through final release

    Nmap run completed -- 1 IP address (1 host up) scanned in 123 seconds

    Ce qui montre qu'avec Sygate 2 trop de ports restent visibles même si les tentatives sont tracées et il reste possible de déterminer de qule OS il s'agit ! C'est un mauvais résultat.

  4. Un scan nmap UDP avec Sygate 2 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) donne des évènements enregistrés dans la log, ce qui est un bon résultat en matière de détection :

    $ nmap -v -sU -P0 IP_ADDR

    Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
    Initiating FIN,NULL, UDP, or Xmas stealth scan against (IP_ADDR)
    The UDP or stealth FIN/NULL/XMAS scan took 90 seconds to scan 1448 ports.
    Interesting ports on (IP_ADDR):
    (The 455 ports scanned but not shown below are in state: closed)
    Port State Service
    1/udp open tcpmux
    2/udp open compressnet
    3/udp open compressnet
    4/udp open unknown
    [...] thousand of remote ports detected
    996/udp open vsinet
    997/udp open maitrd
    998/udp open puparp
    999/udp open applix

    Nmap run completed -- 1 IP address (1 host up) scanned in 90 seconds

    Ce qui montre qu'avec Sygate 2 la sécurité en UDP semble complèetement inefficace au niveau High et Medium. C'est un mauvais résultat.

  5. Le test Leaktest : Sygate 2 bloque Leaktest au niveau High (niveau auquel aucun logiciel ne peut se connecter d'ailleurs), mais échoue au niveau Medium (ou inférieur). C'est un mauvais résultat.

  6. Sygate 2.475 utilise jusqu'à 70 % de CPU pendant les scan intensifs :-). En fonctionnement normal il utilise jusqu'à 4% maximum. L'utilisation mémoire est de 9,1 Mo et jusqu'à 11,8 Mo en pointe.

  7. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Sygate 2 autorise le cheval de troie à se connecter, le résultat de ce test est mauvais.
E - Avantages 

  1. Sygate 2 peut être configuré pour bloquer les pings (de toutes les sources).

  2. Permet de spécifier quelques règles spécifiques pour un port/protocole.

  3. Vous permet de configurer l'envoi d'alertes via email.

 
F - Inconvénients

  1. Sygate 2 ne fait pas de différence entre le réseau local et la connexion internet. En fait il semble impossible de spécifier quelle interface protéger.

  2. La sécurité semble soit difficile à configurer ou trop faible.
G - Améliorations possibles

  • Améliorer la sécurité !

  • Internationalisation du produit.

 
H - Conclusion 

Un bon départ mais qui requiert plus de sécurité et d'améliorations pour être vraiment utile.

Evaluation :

  • Installation (2) : 15/20

  • Configuration, Interface graphique (3) : 5/20

  • Sécurité filtrage (5) : 0/20

  • Sécurité complémentaire (3) : 0sss/20

  • Utilisation mémoire et CPU du logiciel (2) : 12/20

  • Import/Export de la configuration (2) : 0/20

  • Aide , FAQ (2) : 10/20

  • Internationalisation du produit (1) : 0/20

Total : 4,45 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
I - Références

  1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
    http://www.insecure.org/nmap

  2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
    http://www.netbus.org/
    download

  3. Sygate 2 firewall
    http://www.sygate.com

  4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
    http://grc.com/
    download

Valid HTML 4.01!Valid CSS! Ce site est copyright © Chryjs 1999-2001, toute reproduction interdite.