| Firewall Net oo | tests, installation & configuration |
|---|---|
|
|
Firewall Net  Firewall Netbarrier Tests de la v 1.1.2 build r03 (Windows) |
Le firewall Netbarrier 2003 1.1.2 build r03 (Windows) [3] comporte les fonctionnalités suivantes :
Le Firewall Personnel: * Contrôle du trafic TCP/IP entrant * Contrôle du trafic TCP/IP sortant * Contrôle total des données entrantes et sortantes * Protection contre les chevaux de Troie
L'Antivandale : * Protection contre les pirates * Traçage des alertes * Protection contre les intrusions * Nombreuses stratégies de défense * Détection des mauvais mots de passe * Protection contre les attaques de réseaux * Protection contre le ping of death
* Protection contre le ping flooding * Protection contre le SYN flooding * Protection contre les port scans * Détecte les attaques Code Red et nimda * Arrêt des paquets inconnus * Contrôle des ressources système * Contrôle des applications
Le Filtre Internet : * Aide au contrôle des cookies * Blocage des bandeaux publicitaires * Cache du dernier site web visité * Cache des informations de navigateur et de plate-forme * Protection des informations privées * Filtrage des piles TCP/IP * Protection contre les voleurs de données, les applets Java hostiles, les plug-ins néfastes * Contrôle avancé des cookies
La fonction de protection des informations liées à la vie privée
Divers : * Mode furtif * NetUpdate * Tableau de bord NetUpdate * 10 Compteurs d'activité * Surveillance de l'utilisation de TCP/IP * Historiques multiples
60 €
Test Ping : Possible par défaut, les ICMP (donc les ping) peuvent être bloqués avec l'option "Mode furtif" (utilisée pour le reste des tests).
Il serait plus judicieux que ce mode soit activé par défaut... Le résultat de ce test est moyen.
Test Netbus : Netbarrier détecte le démarrage de Netbus et le bloque. Ce dernier se plaint de "Port busy". Le résultat de ce test est bon.
Un scan nmap sans Netbarrier 2003 1.1.2 build r03 (Windows) (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
$ nmap -sT -O -P0 -v IP_ADDR
Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
Adding TCP port 135 (state open).
Adding TCP port 1025 (state open).
Adding TCP port 445 (state open).
Adding TCP port 139 (state open).
The TCP connect scan took 0 seconds to scan 1523 ports.
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
Interesting ports on (IP_ADDR):
(The 1519 ports scanned but not shown below are in state: closed)
| Port | State | Service |
| 135/tcp | open | loc-srv |
| 139/tcp | open | netbios-ssn |
| 445/tcp | open | microsoft-ds |
| 1025/tcp | open | listen |
Un scan TCP avec nmap et Netbarrier 2003 1.1.2 build r03 (Windows) (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
nmap -sT -P0 -O 192.168.85.130
Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on 192.168.85.130:
(The 1596 ports scanned but not shown below are in state: filtered)
Port State Service
56/tcp closed xns-auth
186/tcp closed kis
251/tcp closed unknown
538/tcp closed gdomap
796/tcp closed unknown
814/tcp closed unknown
968/tcp closed unknown
1018/tcp closed unknown
9991/tcp closed issa
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 182.519 seconds
Ce résultat montre que les ports sont biens bloqués, pourtant ils confirment l'existence de la machine, malgré le mode "stealth" activé...
Netbarrier détecte et analyse bien le port scan et propose immédiatement de bloquer l'adresse de l'auteur. Par contre si l'on choisi d'ignorer on est inlassablement interrogé par Netbarrier.
Le résultat de ce test est bon.
Un scan nmap UDP avec Netbarrier 2003 1.1.2 build r03 (Windows) (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
nmap -sU -P0 192.168.85.130
Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
All 1468 scanned ports on 192.168.85.130 are: filtered
Nmap run completed -- 1 IP address (1 host up) scanned in 297.176 seconds
Aucun port ouvert détecté. Le résultat de ce test est bon.
Test Leaktest : Netbarrier détecte et bloque le Leaktest. Le résultat de ce test est mauvais.
Test Yalta : Netbarrier ne détecte pas le test Yalta et le troyen réussi à se connecter.Le résultat de ce test est mauvais.
Test Tooleaky : Netbarrier ne détecte pas le test Tooleaky et le troyen réussi à se connecter.Le résultat de ce test est mauvais.
Test FireHole : Netbarrier ne détecte pas le test FireHole et le troyen réussi à se connecter.
Le résultat de ce test est mauvais.
Test OutBound : Test non réalisé
Netbarrier 2003 1.1.2 build r03 (Windows) utilise jusqu'à 2 de CPU . Il utilise 6.2 Mo de mémoire en fonctionnement normal et jusqu'à 10.2 Mo en pointe.
Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Netbarrier détecte la substitution et vous en averti. Le troyen est bloqué.Le résultat de ce test est bon.
Pour le second test (le troyen remplace son exécutable au lancement) : Netbarrier ne semble pas détecter la substitution, cependant le troyen ne peut se connecter.Le résultat de ce test est moyen.
Test Performance réseau : Le résultat de ce test est bon.
On apprécie le jeu de règles de filtrage disponibles par défaut (mode serveur, mode client, mode avancé,...) que l'on peut modifier, et l'ensemble de règles prédéfinies mises à la disposition de l'utilisateur.
D'autre part plusieurs configurations sont possibles et il est aisé pour l'utilisateur de changer de mode.
L'interface est relativement claire.
L'interface a parfois des lenteurs étranges et un peu surprenantes qui semblent disparaitre si on décoche les serveurs whois.
Parfois la fenêtre principale se plante pour des raisons inconnues...
Les avertissements sont tous présentés de la même façon quelque soit leur origine ce qui peut amener l'utilisateur à faire des confusions.
Les logs ne sont pas complètes (le motif de l'avertissement ou du blocage mérite à laisser des traces).
On regrette l'absence d'aide en ligne sur la plupart des écrans.
La version testée n'efface pas les fichiers d'installation qui occupent quelques Mo sur le disque...
Le manuel fourni au format PDF serait plus lisible si l'on dispose d'Acrobat Reader (pas par défaut sous windows).
La fenêtre d'historique n'est pas redimensionnable, selon sa configuration écran/police cela peut rendre la lecture... difficile.
On ne dispose d'aucun moyen pour arrêter facilement le firewall en cas de besoin.
La génération des logs (texte ou html) n'a jamais été possible (de même que l'enregistrement de trafic).
L'interface doit être améliorée tant en performances qu'en stabilité.
Le filtrage anti-troyen mérite quelques améliorations pour intégrer les failles spécifique à Windows.
Une aide en ligne serait bienvenue.
Améliorer les performances réseau !
Un produit prometteur déjà efficace, méritant encore quelques améliorations.
Evaluation :
Installation (2) : 8/20
Configuration, Interface graphique (3) : 9.5/20
Import/Export de la configuration (3) : 10/20
Création et gestion des règles de sécurité (1) : 15/20
Protection contre les troyens (3) : 9.5/20
Sécurité filtrage (5) : 14/20
Utilisation mémoire et CPU du logiciel (2) : 12.9/20
Performance réseau (3) : 0/20
Internationalisation du produit (1) : 5/20
Aide, FAQ (2) : 6/20
Total : 9.232 / 20
Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
http://www.insecure.org/nmap
Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
http://www.netbus.org/
download
Netbarrier 2003 1.1.2 build r03 (Windows)
http://www.intego.com/
http://www.intego.com/
Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
http://grc.com/
download
Les critères de choix pour un firewall personnel sont :
Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.
Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.
Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.
Prix.
Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.
Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.
Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).
Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).
Un test utilisant Leaktest [4] a été réalisé.
Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
Yalta Tooleaky FireHole Outbound
On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).
Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.
Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.
A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.
NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).