Firewall.net - Tests du Firewall Tiny Personnal Firewall 2

Firewall Net	tests, installation & configuration

Choix
> Tests
> Installation
> Configuration
> Vérification
> FAQ

Firewall Windows
.	ZoneAlarm
.	Tiny
.	LookNStop
.	Norton
.	Private firewall
.	Sygate
.	WinRoute
.	BlackIce
.	Conseal
.	WinGate
.	AtGuard

Firewall Linux
.	ipchains
.	iptables

Firewall Mac
.	Netbarrier
.	Autres

Divers
.	Nuke
.	Backdoors

• Vérification
• Comparatif
• Annuaire
• Forum
• Remerciements
• Statistiques

Contacter Firewall-net
e-mail


Tests du firewall Tiny Personnal Firewall 2
• Tests • Fonctionnalités • Prix • Résultats • Avantages< • Inconvénients • Améliorations • Conclusion • Références •

A - Description des tests
Les critères de choix pour un firewall personnel sont : Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service. Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses. Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC. Prix. Comment les tests ont-ils été réalisés ? Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR). Un test utilisant Leaktest [4] a été réalisé. Un test avec Leaktest [4] a été réalisé. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où). On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème. Tests (avec nmap [1]) pour savoir si le firewall gère les contextes (statefull) ou est filtrant uniquement (filtering). NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel). Voir les résultats des tests.

B - Fonctionnalités du produit
Le firewall Tiny Personnal Firewall 2.0.12 [3] comporte les fonctionnalités suivantes : Possibilité d'autoriser/interdire à certaines applications de se connecter à Internet. Possibilité d'autoriser/interdire certains services (ports) . Possibilité d'autoriser/interdire certains protocoles. Possibilité de définir des adresses IP de confiance (connectées à votre réseau local). Possibilité de définir des plages horaires pour bloquer le trafic (pendant que vous dormez par exemple) en laison avec une application/règle. Possibilité de définir un mot de passe de protection (comme dansConseal) pour les règles et l'afichage des log. Taille du fichier à télécharger : 1,3 Mo
C - Tarifs
Gratuit pour un usage personnel (à la maison).

D - Résultats des tests de sécurité
Ping : Impossible à moins que vous ne l'autorisiez. C'est un bon résultat. Test Netbus : Tiny Personnal Firewall 2 ne détecte pas le serveur Netbus lors du démarragemais à moins que vous ne l'autorisiez, il est impossible d'établir une connexion à partir de l'extérieur vers ce serveur. C'est un bon résultat. Un scan nmap sans Tiny Personnal Firewall 2 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) : $ nmap -v -sT -P0 -O IP_ADDR Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Initiating TCP connect() scan against (IP_ADDR) Adding TCP port 445 (state open). Adding TCP port 135 (state open). Adding TCP port 1025 (state open). Adding TCP port 913 (state open). Adding TCP port 139 (state open). The TCP connect scan took 0 seconds to scan 1523 ports. For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled Interesting ports on (IP_ADDR): (The 1518 ports scanned but not shown below are in state: closed) Port State Service 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 913/tcp open unknown 1025/tcp open listen TCP Sequence Prediction: Class=random positive increments Difficulty=6634 (Worthy challenge) Sequence numbers: 747E9CE8 747F63FC 74800BF5 7480E3FE 7481BC4F 7482B3B2 Remote operating system guess: Windows 2000 RC1 through final release Nmap run completed -- 1 IP address (1 host up) scanned in 10 seconds Oups, il vaudrait mieux avoir un bon firewall pour se protéger ! Un scan nmap TCP avec Tiny Personnal Firewall 2 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) avec l'options "Ask me first" (demandes moi d'abord) ou "Don't bother me" (ne m'ennuie pas) donne des évènements enregistrés dans la log (à moins que vous ne le spécifiez) mais bloque le trafic, ce qui est un bon résultat : $ nmap -v -sT -P0 -O IP_ADDR Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Initiating TCP connect() scan against (IP_ADDR) The TCP connect scan took 2334 seconds to scan 1523 ports. Warning: No TCP ports found open on this machine, OS detection will be MUCH less reliable Interesting ports on (IP_ADDR): (The 1522 ports scanned but not shown below are in state: filtered) Port State Service 1032/tcp closed iad3 Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint: T5(Resp=N) T6(Resp=N) T7(Resp=N) PU(Resp=N) Nmap run completed -- 1 IP address (1 host up) scanned in 2652 seconds Ce qui montre qu'avec Tiny Personnal Firewall 2 les ports actifs semblent inexistants et que les tentatives d'accès sont tracées. C'est un bon résultat. Cependant, je ne comprend pas pourquoi ils ont laissé le port 1032 apparrent. Ce scan est loggé dans la log du Firewall comme "NMAP blocked attempt" (tentative NMAP bloquée)... étrange puisqu'aucune règle listée ne parles de NMAP. Ce qui signifie qu'il existe des règles internes qui le font et je ne pense pas que ce soit une bonne idée de cacher des règles... Un scan nmap UDP avec Tiny Personnal Firewall 2 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) ne donne pas d'évènement enregistré dans la log, mais bloque les tentatives, ce qui est un bon résultat : $ nmap -v -sU -P0 IP_ADDR Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ ) Initiating FIN,NULL, UDP, or Xmas stealth scan against (IP_ADDR) The UDP or stealth FIN/NULL/XMAS scan took 90 seconds to scan 1448 ports. (no udp responses received -- assuming all ports filtered) All 1448 scanned ports on (IP_ADDR) are: filtered Nmap run completed -- 1 IP address (1 host up) scanned in 1755 seconds Ce qui montre qu'avec Tiny Personnal Firewall 2 la sécurité semble efficace en UDP. Le test Leaktest : Tiny Personnal Firewall 2 ne détecte pas le démarrage de Leaktest (comme pour Netbus), et si vous ne l'autorisez pas à se connecter, la tentative de connexion est impossible. C'est un bon résultat. Tiny Personnal Firewall 2 utilise jusqu'à 1 % de CPU en fonctionnement normal. L'utilisation mémoire est de 5 Mo, et jusqu'à 5,6 Mo en pointe. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Tiny Personnal Firewall 2 autorise au cheval de troie à se connecter, le résultat de ce test est mauvais. Le résultat de ce test m'a surpris car bien que le checksum (somme de contrôle) MD5 soit activé, Tiny Personnal Firewall 2 ne l'a pas bloqué... très étrange... j'espère que le calcul MD5 n'est pas fait à partir du nom du programme exécutable !! Le test statefull : Le test n'a pas été effectué avec Tiny Personnal Firewall 2.
E - Avantages
Tiny Personnal Firewall peut être configuré pour bloquer tout trafic. Vous pouvez spécifier des ports associés à une application autorisée (cela ne bloque pas le test de substituion mais c'est utile) Permet l'envoi d'alertes par email.

F - Inconvénients
Tiny Personnal Firewall ne fournit pas par défaut la configuration pour certains services standards comme DHCP par exemple. Le checksum MD5 ne fonctionne pas correctement. Pas assez d'évènements (et d'informations) loggés.
G - Améliorations possibles
Corriger le problème MD5... Ne plus cacher des règles spécifiques (comme la détection NMAP), et les fournir par défaut dans la liste. Fournir la configuration pour les protocoles standards (par ex : DHCP) dans la liste des règles par défaut.. Autoriser l'iimport / export des règles. Ne pas demander de redémarrer à la fin de l'installation. Améliorer le système de log. Internationalisation du logiciel.

H - Conclusion
Un très bon firewall, avec une interface graphique très simple et très efficace.

Evaluation : Installation (2) : 15/20 Configuration, Interface graphique (3) : 16/20 Sécurité filtrage (5) : 18/20 Sécurité complémentaire (3) : 15/20 Utilisation mémoire et CPU du logiciel (2) : 16/20 Import/Export de la configuration (2) : 0/20 Aide , FAQ (2) : 10/20 Internationalisation du produit (1) : 0/20 Total : 13,25 / 20 Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

I - Références
Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau - http://www.insecure.org/nmap Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant. http://www.netbus.org/ download Tiny Personnal Firewall 2 http://www.tinysoftware.com Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups). http://grc.com/ download

Tests du firewall Tiny Personnal Firewall 2