| Firewall Net oo | tests, installation & configuration |
|---|---|
|
|
Firewall Net  Firewall ZoneAlarm Pro Tests de la v 3.5.166 |
Le firewall Zonealarm Pro 3.5.166 [3] comporte les fonctionnalités suivantes :
Firewall
Ads
Cookie protection
Différents niveaux de sécurité : "low" (bas), "medium" (moyen) et "high" (élevé) sont disponibles, pour les interfaces Internet et locales (donc de confiance).
L'interface réseau de confiance (réseau local) peut être choisie (utile pour protéger une interface modem, mais pas son interface Ethernet par exemple). Malgré cela, si vous utilisez votre modem pour à la fois votre accès modem et réseau local, cela pose des problèmes (voir ci-après).
Des adresses de confiance peuvent être ajoutées, mais sans pouvoir spécifier les services que vous voulez autoriser.
ZoneAlarm détecte les applications réseau en fonctionnement et fourni une liste. Chaque application peut être autorisée à recevoir des connexions entrantes, sur l'une des interfaces (ou toutes). ZoneAlarm contrôle l'en-tête du programme de l'application ainsi que son répertoire.
L'interface de configuration permet de modifier les droits des applications a posteriori, pour autoriser/interdire ou demander l'autorisation de se connecter.
60 €
Test Ping : Impossible avec le niveau de sécurité High et la configuration par défaut.Le résultat de ce test est bon.
Test Netbus : ZA Pro détecte le lancement de netbus et à moins que vous ne l'autorisiez, bloque les tentatives d'accès.Le résultat de ce test est bon.
Un scan nmap sans Zonealarm Pro 3.5.166 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
$ nmap -sT -O -P0 -v IP_ADDR
Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
Adding TCP port 135 (state open).
Adding TCP port 1025 (state open).
Adding TCP port 445 (state open).
Adding TCP port 139 (state open).
The TCP connect scan took 0 seconds to scan 1523 ports.
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
Interesting ports on (IP_ADDR):
(The 1519 ports scanned but not shown below are in state: closed)
| Port | State | Service |
| 135/tcp | open | loc-srv |
| 139/tcp | open | netbios-ssn |
| 445/tcp | open | microsoft-ds |
| 1025/tcp | open | listen |
Un scan TCP avec nmap et Zonealarm Pro 3.5.166 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.)
nmap -sT -O -P0 192.168.85.130
Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1605 scanned ports on 192.168.85.130 are: filtered
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 1994.040 seconds
Le résultat de ce test est bon.
Un scan nmap UDP avec Zonealarm Pro 3.5.166 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.)
nmap -sU -P0 192.168.85.130
Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
All 1468 scanned ports on 192.168.85.130 are: filtered
Nmap run completed -- 1 IP address (1 host up) scanned in 1767.356 seconds
Des pointes en consommation CPU très élevées pendant ce test (92%) sur le process vsmon.exe...Le résultat de ce test est bon.
Test Leaktest : ZA Pro détecte le lancement de Leaktest.Le résultat de ce test est mauvais.
Test Yalta : ZA Pro détecte le lancement de Yalta.Le résultat de ce test est bon.
Test Tooleaky : ZA Pro bloque le test de tooleaky.Le résultat de ce test est bon.
Test FireHole : ZA Pro ne détecte pas ce test.Le résultat de ce test est mauvais.
Test OutBound : Test non réalisé
Zonealarm Pro 3.5.166 utilise jusqu'à 10 de CPU . Il utilise 6 Mo de mémoire en fonctionnement normal et jusqu'à 10.2 Mo en pointe.
Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). ZA Pro détecte le changement de programme, et vous demande de confirmer.Le résultat de ce test est bon.
Pour le second test (le troyen remplace son exécutable au lancement) : Lorsque IE est en activité et que la substitution a lieu en parallèle, il est possible au troyen de contourner ZA Pro.Le résultat de ce test est mauvais.
Test Performance réseau : Le résultat de ce test est bon.
Ferme tous les ports inutilisés.
Gère des règles différentes pour l'interface réseau local et Internet.
Arrête en vous interrogeant avant de permettre à une application d'accèder au réseau, la première fois ou à chaque fois.
Souple.
Bouton pour interrompre le réseau temporairement (qui peut être utilisé si vous suspectez un troyen, que vous ouvrez un programme d'une source peu sûre, ou que vous vous absentez pour un moment...). Les programmes configurés en "Pass Lock" continue à être autorisés à communiquer.
Très apprécié des utilisateurs pour sa simplicité d'usage.
Fonctionnalités avancées par rapport à la version de base qui permettent par exemple de limiter les droit d'une application en termes de ressource réseau (port/protocole et adresse).
Des options de sécurité nettement plus efficaces que la version de base, permettant notamment de paramétrer UDP , ICMP de façon générale.
Si beaucoup d'applications sont utilisées, les questions posées à l'utilisateur peuvent être désagréables ou confuses et l'utilisateur peut se retrouver avec plus d'applications autorisées que souhaité.
Si vous utilisez votre modem, quelques fois pour accèder à votre intranet quelques fois pour accèder à Internet, ZoneAlarm utilisera toujours les mêmes règles. Par exemple : pour un accès intranet , l'accès au partage NetBios des fichiers, RPC etc. sont souhaitables, mais ils ne le sont (surtout) pas sur Internet. Il est très ennuyeux de changer ces règles chaque fois que vous vousc onnectez à l'un ou à l'autre.
La désinstallation pourrait être plus "propre". Un répertoire ZoneAlarm vide est laissé dans C:\Program Files\ et surtout les clés restent dans la table des registres.
Il n'existe pas d'interface pour analyser les attaques. Cependant un logiciel tiers existe [5].
La log \windows\Internet Logs\ZALog.txt n'est pas assez détaillée. Elle indique les numéros de port, mais pas d'autres informations (pourquoi le paquet a été bloqué, aucune information sur le contenu du paquet, aucune information d'état).
L'interface est plus riche mais comporte encore le défaut de ne pas être redimensionnable.
Si beaucoup d'applications sont utilisées, les questions posées à l'utilisateur peuvent être désagréables ou confuses et l'utilisateur peut se retrouver avec plus d'applications autorisées que souhaité.
Si vous utilisez votre modem, quelques fois pour accèder à votre intranet quelques fois pour accèder à Internet, ZoneAlarm utilisera toujours les mêmes règles. Par exemple : pour un accès intranet , l'accès au partage NetBios des fichiers, RPC etc. sont souhaitables, mais ils ne le sont (surtout) pas sur Internet. Il est très ennuyeux de changer ces règles chaque fois que vous vousc onnectez à l'un ou à l'autre.
La désinstallation pourrait être plus "propre". Un répertoire ZoneAlarm vide est laissé dans C:\Program Files\ et surtout les clés restent dans la table des registres.
Il n'existe pas d'interface pour analyser les attaques. Cependant un logiciel tiers existe [5].
La log \windows\Internet Logs\ZALog.txt n'est pas assez détaillée. Elle indique les numéros de port, mais pas d'autres informations (pourquoi le paquet a été bloqué, aucune information sur le contenu du paquet, aucune information d'état).
L'interface est plus riche mais comporte encore le défaut de ne pas être redimensionnable.
Une version nettement plus complète que la version allégée. Avec un grande partie des fonctionnalités souhaitables intégrées. Bénéficie des fonctionnalités les plus efficaces, ce qui lui donne notre faveur.
Evaluation :
Installation (2) : 15/20
Configuration, Interface graphique (3) : 14.5/20
Import/Export de la configuration (3) : 0/20
Création et gestion des règles de sécurité (1) : 10/20
Protection contre les troyens (3) : 14/20
Sécurité filtrage (5) : 16/20
Utilisation mémoire et CPU du logiciel (2) : 0/20
Performance réseau (3) : 4.5/20
Internationalisation du produit (1) : 20/20
Aide, FAQ (2) : 17/20
Total : 10.92 / 20
Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
http://www.insecure.org/nmap
Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
http://www.netbus.org/
download
Zonealarm Pro 3.5.166
Site de l'éditeur : Zonelabs
Obtenir Zonealarm Pro
Autre site
download.com
Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
http://grc.com/
download
Les critères de choix pour un firewall personnel sont :
Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.
Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.
Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.
Prix.
Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.
Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.
Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).
Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).
Un test utilisant Leaktest [4] a été réalisé.
Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
Yalta Tooleaky FireHole Outbound
On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).
Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.
Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.
A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.
NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).