| Firewall Net oo | tests, installation & configuration |
|---|---|
|
|
Firewall Net  Firewall Norton Personal Firewall Tests de la version 2003 |
Le firewall Norton Personal Firewall 2003 [3] comporte les fonctionnalités suivantes :
Blocage des publicités,
Gestion des cookies,
Possibilité de définir des règles spécifiques (ports/ protocoles),
Support annoncé de : Win 98/Me, XP, 2000, NT4
60 €
Test Ping : Impossible (en niveau High avec la configuration par défaut).Le résultat de ce test est bon.
Test Netbus : NPF détecte le lancement de Netbus en mode serveur.
Les connexions de l'extérieur vers Netbus sont détectées.Le résultat de ce test est bon.
Un scan nmap sans Norton Personal Firewall 2003 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
$ nmap -sT -O -P0 -v IP_ADDR
Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
Adding TCP port 135 (state open).
Adding TCP port 1025 (state open).
Adding TCP port 445 (state open).
Adding TCP port 139 (state open).
The TCP connect scan took 0 seconds to scan 1523 ports.
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
Interesting ports on (IP_ADDR):
(The 1519 ports scanned but not shown below are in state: closed)
| Port | State | Service |
| 135/tcp | open | loc-srv |
| 139/tcp | open | netbios-ssn |
| 445/tcp | open | microsoft-ds |
| 1025/tcp | open | listen |
Un scan TCP avec nmap et Norton Personal Firewall 2003 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) scan donne une alerte , NPF dtecte le scan ignore immdiatement et automatique l'adresse IP source du scan , ce qui est un bon résultat en termes de détection et de protection :
nmap -sT -P0 192.168.85.130
Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
All 1605 scanned ports on 192.168.85.130 are: filtered
Nmap run completed -- 1 IP address (1 host up) scanned in 1773.502 seconds
Ce qui montre qu'avec NPF les ports actifs semblent inexistants et que les tentatives d'accès sont tracées, Norton PF détecte le scan et indique qu'il bloque l'attaquant pendant 30 minutes !
Le résultat de ce test est bon.
Un scan nmap UDP avec Norton Personal Firewall 2003 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
nmap -sU -P0 192.168.85.130
Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
All 1468 scanned ports on 192.168.85.130 are: filtered
Nmap run completed -- 1 IP address (1 host up) scanned in 296.950 seconds
Aucun port ouvert détecté, le scan port est détecté et l'utilisateur est prévenu.Le résultat de ce test est bon.
Test Leaktest : Norton Personnal Firewall détecte la tentative de connexion de Leaktest, qui est filtrée si vous ne l'autorisez pas à se connecter.
Le résultat de ce test est mauvais.
Test Yalta : NPF détecte le lancement de Yalta et le bloque.Le résultat de ce test est bon.
Test Tooleaky : NPF, à condition d'avoir activé le filtrage ('Program content monitoring' et 'Program Launch monitoring') dans le menu options, bloque ce test.Le résultat de ce test est moyen.
Test FireHole : NPF, à condition d'avoir activé le filtrage dans le menu options, bloque ce test.Le résultat de ce test est moyen.
Test OutBound : Le résultat de ce test est mauvais.
Norton Personal Firewall 2003 utilise jusqu'à 2 de CPU . Il utilise 5 Mo de mémoire en fonctionnement normal et jusqu'à 6 Mo en pointe.
Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Norton Personnal Firewall ne détecte pas le changement.
Le résultat de ce test est mauvais.
Pour le second test (le troyen remplace son exécutable au lancement) : Norton Personnal Firewall ne détecte pas le changement.
Le résultat de ce test est mauvais.
Test Performance réseau : Le résultat de ce test est moyen.
Norton Personnal Firewall peut être configuré pour bloquer la plupart du trafic entrant.
Vous pouvez faire un scan sur vos programmes utilisant le réseau et leur appliquer des règles spécifiques.
Une énorme machinerie (36 Mo) pour des résultats encore trop moyens.
Les logs mériteraient d'être générées dans un format lisible et complet (les informations utiles ne sont pas stockées : règle bloquante, nature du paquet, etc.) systématiquement afin de pouvoir les coupler à un système externe par exemple.
La gestion de la taille des log est possible mais on ne sait pas à quoi elle s'applique (fichier binaire, texte ?)...
Les règles de protection contre les troyens mériteraient d'être actives par défaut et améliorées.
Aucun controle sur l'intégrité des programmes autorisés à se connecter.
Simplifier le pocessus d'installation (trop long), pas moins d'une 30aine fenêtres à valider avant le premier démarrage !!!!!!!! Le plus difficile, reste de ne pas cliquer trop vite tellement c'est ennuyeux !!
Simplifier l'interface graphique : fenêtre non redimensionnable, difficile de comprendre à quoi s'applique chaque critère de sécurité, etc.
Réduire la taille du logiciel : 30 Mo à télécharger, et 25 Mo une fois installé
Améliorer la protection par identification les logiciels reconnus afin de les protéger contre un troyen.
Enfin pour finir, les effets sur les vitesses de transfert sont non négligeables puisqu'on assiste à une dégradation de l'ordre de 30% des performances en taux de transfert.
Améliorer les logs
Mettre une vrai protection efficace contre les troyens...
Un outil très lourd, vraiment cher et avec une sécurité moyenne.
On apprécie les améliorations (en taille et en sécurité) apportées depuis deux an, mais elles sont insuffisantes et loin de la concurrence.
Etes vous sûrs de vouloir dépenser autant d'argent pour un outil lourd, lent et dépassé ?
Evaluation :
Installation (2) : 0/20
Configuration, Interface graphique (3) : 16/20
Import/Export de la configuration (3) : 0/20
Création et gestion des règles de sécurité (1) : 7.5/20
Protection contre les troyens (3) : 8/20
Sécurité filtrage (5) : 15/20
Utilisation mémoire et CPU du logiciel (2) : 16.4/20
Performance réseau (3) : 8.5/20
Internationalisation du produit (1) : 5/20
Aide, FAQ (2) : 17/20
Total : 10.072 / 20
Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
http://www.insecure.org/nmap
Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
http://www.netbus.org/
download
Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
http://grc.com/
download
Les critères de choix pour un firewall personnel sont :
Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.
Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.
Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.
Prix.
Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.
Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.
Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).
Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).
Un test utilisant Leaktest [4] a été réalisé.
Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
Yalta Tooleaky FireHole Outbound
On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).
Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.
Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.
A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.
NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).