Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls
 
Choix
> Tests
> Installation
> Configuration
> Vérification
> FAQ
 
Firewall Windows
 .  ZoneAlarm
 .  Tiny
 .  LookNStop
 .  Norton
 .  Private firewall
 .  Sygate
 .  WinRoute
 .  BlackIce
 .  Conseal
 .  WinGate
 .  AtGuard
 
Firewall Linux
 .  ipchains
 .  iptables
 
Firewall Mac
 .  Netbarrier
 .  Autres
 
Divers
 .  Nuke
 .  Backdoors
 
Vérification
Comparatif
Annuaire
Forum
Remerciements
Statistiques
 
Contacter Firewall-net
e-mail
 

Tests des Firewalls ZoneAlarm et ZoneAlarm Pro
DescriptionFonctionnalitésPrixTestsAvantagesInconvénientsAméliorationsConclusionRéférences
A - Description des tests


Les critères de choix pour un firewall personnel sont :

  • Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

  • Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

  • Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

  • Prix.

Comment les tests ont-ils été réalisés ?

  1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

  2. Installation d'un troyen bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

  3. Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).

  4. Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).

  5. Un test utilisant Leaktest [4] a été réalisé.

  6. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

  7. Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

  8. Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.

 

B - Fonctionnalités du produit

  • Différents niveaux de sécurité : "low" (bas), "medium" (moyen) et "high" (élevé) sont disponibles, pour les interfaces Internet et locales (donc de confiance).

  • L'interface réseau de confiance (réseau local) peut être choisie (utile pour protéger une interface modem, mais pas son interface Ethernet par exemple). Malgré cela, si vous utilisez votre modem pour à la fois votre accès modem et réseau local, cela pose des problèmes (voir ci-après).

  • Des adresses de confiance peuvent être ajoutées, mais sans pouvoir spécifier les services que vous voulez autoriser.

  • ZoneAlarm détecte les applications réseau en fonctionnement et fourni une liste. Chaque application peut être autorisée à recevoir des connexions entrantes, sur l'une des interfaces (ou toutes). ZoneAlarm contrôle l'en-tête du programme de l'application ainsi que son répertoire.

  • L'interface de configuration permet de modifier les droits des applications a posteriori, pour autoriser/interdire ou demander l'autorisation de se connecter
ZoneAlarm 2.6 ZoneAlarm Pro

Le firewall ZoneAlarm [3] a en outre les fonctionnalités suivantes :

  • Taille du programme à télécharger : 2,8 Mo .

Le firewall ZoneAlarm Pro [4] a en outre les fonctionnalités suivantes :

  • Taille du programme à télécharger : 8,5 Mo .
C - Tarifs
ZoneAlarm ZoneAlarm Pro

Gratuit pour un usage personnel,

19,95 $US pour une utilisation professionnelle.

39,95 $ US
D - Résultats des tests de sécurité


Un scan nmap sans firewall ZoneAlarm ou ZoneAlarm Pro (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) :

$ nmap -sT -O -P0 -v -T5 IP_ADDR

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
Adding TCP port 135 (state open).
Adding TCP port 1025 (state open).
Adding TCP port 445 (state open).
Adding TCP port 139 (state open).
The TCP connect scan took 0 seconds to scan 1523 ports.

For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable

Interesting ports on (IP_ADDR):
(The 1519 ports scanned but not shown below are in state: closed)

Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open listen

Too many fingerprints match this host for me to give an accurate OS guess
TCP/IP fingerprint:
T1(Resp=N)
T2(Resp=N)
T3(Resp=N)
T4(Resp=N)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds
ZoneAlarm ZoneAlarm Pro

  1. Ping : Ne donne aucun résultat si le niveau de sécurité est high. Le ping est loggé. C'est un bon résulat.


  2. Test Netbus : ZoneAlarm détecte le lancement de Netbus et nécessite les droits "server" pour pouvoir être utilisé (à distance). Ces droits ne sont pas proposés par défaut et il est donc difficile de se tromper. S'ils ne sont pas donnés, une tentative d'accès extérieure est détectée et de la même façon l'utilisateur est averti.

  1. Ping : Ne donne aucun résultat si les options adéquates dans l'onglet "Security" bouton "Customize" sont sélectionnées que soit à partir ou vers l'ordinateur protégé. C'est un bon résultat.

  2. Test Netbus : ZoneAlarm Pro détecte le lancement de Netbus et nécessite les droits "server" pour pouvoir être utilisé (à distance). Ces droits ne sont pas proposés par défaut et il est donc difficile de se tromper. S'ils ne sont pas donnés, une tentative d'accès extérieure est détectée et de la même façon l'utilisateur est averti.

3. Un scan nmap avec ZoneAlarm (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) en mode "high" et le même scan donne presque 400 alertes non explicites et nmap n'est capable d'identifier aucun service, ce qui est un excellent résultat en termes de sécurité :

$ nmap -sT -O -P0 -v IP_ADDR

Starting nmap V. 2.54BETA28 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
All 1548 scanned ports on IP_ADDR are: filtered.

Nmap run completed -- 1 IP address (1 host up) scanned in 75 seconds

Exemples d'alertes visibles dans la log :

FWIN,2001/02/17,19:10:48 +1:00 GMT,IP_ADDR_ORIGIN:4073,IP_ADDR:584,TCP
FWIN,2001/02/17,19:10:48 +1:00 GMT,IP_ADDR_ORIGIN:4074,IP_ADDR:6969,TCP

3. Un scan nmap avec ZoneAlarm Pro (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) en mode "high" et le même scan donne presque 400 alertes non explicites et nmap n'est capable d'identifier aucun service, ce qui est un excellent résultat en termes de sécurité :

$ nmap -sT -O -P0 -v IP_ADDR

Starting nmap V. 2.54BETA28 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
All 1548 scanned ports on IP_ADDR are: filtered.

Nmap run completed -- 1 IP address (1 host up) scanned in 75 seconds

Exemples d'alertes visibles dans la log :

FWIN,2001/03/17,19:20:38 +1:00 GMT,IP_ADDR_ORIGIN:4073,IP_ADDR:584,TCP (flags:S)
FWIN,2001/03/17,19:20:38 +1:00 GMT,IP_ADDR_ORIGIN:4074,IP_ADDR:6969,TCP (flags:S)

4. Un scan nmap avec ZoneAlarm (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) en mode "high" et le même scan donne presque 400 alertes non explicites et nmap n'est capable d'identifier aucun service, ce qui est un excellent résultat en termes de sécurité et moyen en terme d'alerte (ne détecte pas le portscan) :

$ nmap -sU -P0 IP_ADDR
Starting nmap V. 2.54BETA28 by fyodor@insecure.org ( www.insecure.org/nmap/ )
All 1453 scanned ports on IP_ADDR are: filtered.

Nmap run completed -- 1 IP address (1 host up) scanned in 1755 seconds

4. Un scan nmap avec ZoneAlarm Pro (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) en mode "high" et le même scan donne presque 400 alertes non explicites et nmap n'est capable d'identifier aucun service, ce qui est un excellent résultat en termes de sécurité et moyen en terme d'alerte (ne détecte pas le portscan) :

$ nmap -sU -P0 IP_ADDR
Starting nmap V. 2.54BETA28 by fyodor@insecure.org ( www.insecure.org/nmap/ )
All 1453 scanned ports on IP_ADDR are: filtered.

Nmap run completed -- 1 IP address (1 host up) scanned in 1755 seconds

5. Test Leaktest : ZoneAlarm détecte le lancement de Leaktest. Celui-ci ne peut se connecter s'il n'y est pas autorisé.

5. Test Leaktest : ZoneAlarm Pro détecte le lancement de Leaktest. Celui-ci ne peut se connecter s'il n'y est pas autorisé.

6. Zonealarm utilise jusqu'à 2 % de CPU . Il utilise 9 Mo de mémoire en fonctionnement normal et jusqu'à 10 Mo en pointe.

6. ZA Pro utilise jusqu'à 2 % de CPU . Il utilise 9 Mo de mémoire en fonctionnement normal et jusqu'à 10 Mo en pointe.

7. Le premier test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). ZoneAlarm détecte le changement (lorsque le logiciel n'est pas déjà en cours d'exécution). C'est un bon résultat.

7. Le premier test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Zonealarm Pro détecte le changement (lorsque le logiciel n'est pas déjà en cours d'exécution). C'est un bon résultat.

8. Le second test de substitution : ZoneAlarm ne détecte pas le changement (lorsque le logiciel est déjà en cours d'exécution). C'est un mauvais résultat.

8. Le second test de substitution : ZoneAlarm Pro ne détecte pas le changement (lorsque le logiciel est déjà en cours d'exécution). C'est un mauvais résultat.

 
 
E - Avantages 

  • Ferme tous les ports inutilisés.

  • Gère des règles différentes pour l'interface réseau local et Internet.

  • Arrête en vous interrogeant avant de permettre à une application d'accèder au réseau, la première fois ou à chaque fois.

  • Souple.

  • Bouton pour interrompre le réseau temporairement (qui peut être utilisé si vous suspectez un troyen, que vous ouvrez un programme d'une source peu sûre, ou que vous vous absentez pour un moment...). Les programmes configurés en "Pass Lock" continue à être autorisés à communiquer.

  • Très apprécié des utilisateurs pour sa simplicité d'usage.
ZoneAlarm ZoneAlarm Pro

  1. Prix : gratuit pour un usage personnel.

  2. Download assez rapide (2,8 Mo).

  1. Fonctionnalités avancées par rapport à la version de base qui permettent par exemple de limiter les droit d'une application en termes de ressource réseau (port/protocole et adresse).

  2. Des options de sécurité nettement plus efficaces que la version de base, permettant notamment de paramétrer UDP , ICMP de façon générale.
F - Inconvénients 

  • Si beaucoup d'applications sont utilisées, les questions posées à l'utilisateur peuvent être désagréables ou confuses et l'utilisateur peut se retrouver avec plus d'applications autorisées que souhaité.

  • Si vous utilisez votre modem, quelques fois pour accèder à votre intranet quelques fois pour accèder à Internet, ZoneAlarm utilisera toujours les mêmes règles. Par exemple : pour un accès intranet , l'accès au partage NetBios des fichiers, RPC etc. sont souhaitables, mais ils ne le sont (surtout) pas sur Internet. Il est très ennuyeux de changer ces règles chaque fois que vous vousc onnectez à l'un ou à l'autre.

  • La désinstallation pourrait être plus "propre". Un répertoire ZoneAlarm vide est laissé dans C:\Program Files\ et surtout les clés restent dans la table des registres.

  • Il n'existe pas d'interface pour analyser les attaques. Cependant un logiciel tiers existe [5].

  • La log \windows\Internet Logs\ZALog.txt n'est pas assez détaillée. Elle indique les numéros de port, mais pas d'autres informations (pourquoi le paquet a été bloqué, aucune information sur le contenu du paquet, aucune information d'état).
ZoneAlarm ZoneAlarm Pro

  1. L'interface graphique pourrait être (encore) plus simple d'usage et notamment utiliser moins de surface d'écran, la fenêtre pourrait être minimisé dans le systray systématiquement (et pas uniquement en cliquant sur la croix).

  2. Cela ne vous indique pas non plus exactement ce qu'une application fait, ni si elle est de confiance ou pas.
    Par exemple, en utilisant Internet Explorer, ZoneAlarm m'averti en signalant que IE nécessitait des droits "server" pour accèder à Internet, mais sans détail comme à quel port, si c'est dangereux, etc. j'ai donc refusé l'accès server et IE a continué à fonctionner correctement (Netscape ne pose pas ce type de problème).

  3. ZoneAlarm ne peut être configuré pour ignorer les ping de sources inconnues.

  4. Il serait utile que les utilisateurs avancés puissent adapter les règles un peu plus : il n'est pas possible d'autoriser/interdire des ports/protocoles spécifiques en entrée ou sortie.

  5. La log ne peut pas être paramétrée (nom du fichier, rotation pour éviter une taille ingérable etc.)

  1. L'interface est plus riche mais comporte encore le défaut de ne pas être redimensionnable.

G - Améliorations possibles 

  • Améliorer l'interface pour ne plus avoir de fenêtre non redimensionnable.

  • Avoir des logs de meilleures qualité.

  • Il serait pratique de pouvoir changer la priorité en utilisant le glissé/déplacé (drag and drop).

  • Une internationalisation du produit (permettant l'affichage en langue française notamment) serait très appréciable.

  • Il serait tres utile de pouvoir sauvegarder la configuration, l'importer et l'exporter.
ZoneAlarm ZoneAlarm Pro

  • Permettre à l'utilisateur de définir des règles particulière

  • Rien de particulier à ajouter !!!
H - Conclusion 
ZoneAlarm ZoneAlarm Pro

Un outil simple, efficace adapté aux utilisateurs classiques et non expérimentés, il pourrait cependant bénéficier de quelques fonctionnalités plus spécialisées.

Une version nettement plus complète que la version allégée. Avec un grande partie des fonctionnalités souhaitables intégrées. Bénéficie des fonctionnalités les plus efficaces, ce qui lui donne notre faveur.

Evaluation :
ZoneAlarm ZoneAlarm Pro

  • Installation (2) : 18/20

  • Configuration, Interface graphique (3) : 15/20

  • Sécurité filtrage (5) : 15/20

  • Sécurité complémentaire (3) : 15/20

  • Utilisation mémoire et CPU du logiciel (2) : 15/20

  • Import/Export de la configuration (2) : 0/20

  • Aide, FAQ (2) : 10/20

  • Internationalisation du produit (1) : 0/20

Total : 12,55 / 20

  • Installation (2) : 18/20

  • Configuration, Interface graphique (3) : 15/20

  • Sécurité filtrage (5) : 16/20

  • Sécurité complémentaire (3) : 17/20

  • Utilisation mémoire et CPU du logiciel (2) : 15/20

  • Import/Export de la configuration (2) : 0/20

  • Aide, FAQ (2) : 10/20

  • Internationalisation du produit (1) : 0/20

Total : 13,60 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
I - Références 

  1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
    http://www.insecure.org/nmap

  2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
    http://www.netbus.org/
    download

  3. ZoneAlarm - Version light du firewall
    http://www.zonelabs.com/

  4. ZoneAlarm Pro - Version complète du firewall
    http://www.zonelabs.com/

  5. Firewall Log Analyzers - De Brady & Associates, LLC, pour BlackIce, ZoneAlarm et Winroute. Il coûte 25 $US pour BlackIce : ClearIce , et 20 $US pour ZoneAlarm . ClearZone Report Utility.
    http://www.firewallreporting.com
    download

  6. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
    http://grc.com/
    download

Valid HTML 4.01!Valid CSS! Ce site est copyright © Chryjs 1999-2001, toute reproduction interdite.