Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls
 
 

Tests du Firewall blackice

 
" Tests " Fonctionnalités " Prix " Résultats " Avantages " Inconvénients " Améliorations " Conclusion " Références

A - Description des tests

Les critères de choix pour un firewall personnel sont :

  • Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

  • Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

  • Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

  • Prix.

Comment les tests ont-ils été réalisés ?

  1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

  2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

  3. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR).

  4. Un test utilisant Leaktest [4] a été réalisé.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.

 
B - Fonctionnalités du produit

Le firewall blackice v 2.1cn et v 2.5 cg [3] comporte les fonctionnalités suivantes :

  • Différents niveaux de sécurité : "Trusting" (autorise tout), "Cautious" (bloque certains trafics entrants), "Nervous" (bloque la plupart des trafic entrants) et "Paranoid" (Bloque tous les trafics entrants non autorisés) sont disponibles.

  • La possibilité de définir des adresses autorisées ou refusées systématiquement (à partir de la version 2.5).

  • La possibilité de définir des services (ports) autorisés ou refusés systématiquement (à partir de la version 2.5).

  • Taille du programme à télécharger : 2,8 Mo

C - Tarifs

45 €

 
D - Résultats des tests de sécurité
  1. Ping : possible a tous les niveaux et versions, ce qui est un mauvais résultat.

  2. Test Netbus : Blackice (dans la version 2.x) ne dispose pas de module de détection des logiciels qui utilisent le réseau, il ne détecte donc pas le lancement de Netbus en mode serveur. Par contre le filtrage des connexions de l'extérieur vers Netbus sont clairement détectées et interdites. Le résultat est donc bon.

  3. Test Leaktest : Blackice (dans la version 2.x) ne détecte pas non plus (comme pour Netbus) le lancement de leaktest, la tentative de connexion assimilable à une connexion ftp classique n'est pas filtrée ni tracée, le résultat est donc mauvais pour ce test.

  4. Un scan nmap sans blackice (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) :

    $ nmap
    -sT -O -P0 -v -T5 IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 135 (state open).
    Adding TCP port 1025 (state open).
    Adding TCP port 445 (state open).
    Adding TCP port 139 (state open).
    The TCP connect scan took 0 seconds to scan 1523 ports.

    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable

    Interesting ports on (IP_ADDR):
    (The 1519 ports scanned but not shown below are in state: closed)

    Port State Service
    135/tcp open loc-srv
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open listen

    Too many fingerprints match this host for me to give an accurate OS guess
    TCP/IP fingerprint:
    T1(Resp=N)
    T2(Resp=N)
    T3(Resp=N)
    T4(Resp=N)
    T5(Resp=N)
    T6(Resp=N)
    T7(Resp=N)
    PU(Resp=N)

    Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds


  5. Un scan nmap avec blackice (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) et la configuration Cautious de BlackIce 2.1cn (Allow internet file sharing et Allow Netbios neighborhood invalidés) donne l'enregistrement d'évenements dans la log ce qui est un bon résultat en matière de détection par contre la protection est totalement inefficace :

    $ nmap -sT -O -P0 -v IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 1025 (state open).
    Adding TCP port 445 (state open).
    Adding TCP port 139 (state open).
    Adding TCP port 135 (state open).
    The TCP connect scan took 30 seconds to scan 1523 ports.
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    WARNING: OS didn't match until the 2 try
    Interesting ports on (IP_ADDR):
    (The 1519 ports scanned but not shown below are in state: closed)

    Port State Service
    135/tcp open loc-srv
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open listen


    TCP Sequence Prediction: Class=random positive increments
    Difficulty=13035 (Worthy challenge)
    Sequence numbers: E2E0F47D E2E1D241 E2E28274 E2E361F3 E2E43C2B E2E585A2
    Remote operating system guess: Windows 2000 RC1 through final release

    Nmap run completed -- 1 IP address (1 host up) scanned in 45 seconds

    On obtient la log dans la fenêtre Attack suivants :
    24 TCP port probe
    721 TCP port scan
    3 TCP SYN flood
    156 TCP port scan
    25 TCP SYN flood


    Ce qui signifie qu'au niveau Cautious aucune sécurité n'est garantie !! C'est un très mauvais résultat.

  6. Un scan nmap avec blackice (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) et la configuration Nervous de BlackIce 2.1 cn (Allow internet file sharing et Allow Netbios neighborhood invalidés) donne l'enregistrement d'évenements dans la log ce qui est un bon résultat en matière de détection et dans ce cas la protection paraît efficace :

    $ nmap -sT -O -P0 -v IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Skipping host (IP_ADDR) due to host timeout

    Nmap run completed -- 1 IP address (1 host up) scanned in 75 seconds

    On obtient les événements log dans la fenêtre Attack suivants :
    51 TCP SYN flood
    2582 TCP port scan


    Ce qui signie qu'à ce niveau (Nervous) de configuration , la sécurité semble efficace.

  7. Un scan nmap avec blackice (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) et la configuration Cautious de BlackIce 2.5cg (Allow internet file sharing et Allow Netbios neighborhood invalidés, Enable autoblocking activé) donne l'enregistrement d'évenements dans la log ce qui est un bon résultat en matière de détection :

    $ nmap -sT -O -P0 -v -T5 IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 1025 (state open).
    The TCP connect scan took 30 seconds to scan 1523 ports.
    Interesting ports on (IP_ADDR):
    (The 1519 ports scanned but not shown below are in state: closed)

    Nmap run completed -- 1 IP address (1 host up) scanned in 45 seconds


    On obtient la log dans la fenêtre Attack suivants :
    6 TCP port probe
    1 TCP SYN flood
    143 TCP port scan
    33 TCP SYN flood
    4340 TCP port scan


    Ce qui signifie qu'au niveau Cautious la sécurité est correcte, la détection paraît meilleure que dans la version 2.1cn !

  8. Un scan nmap avec blackice (sur un OS Win 2000 SP1 avec une configuration "standard", c'est à dire NetBios actif etc.) et la configuration Nervous de BlackIce 2.5 cg (Allow internet file sharing et Allow Netbios neighborhood invalidés, Autoblocking validé ) donne l'enregistrement d'évenements dans la log ce qui est un bon résultat en matière de détection et dans ce cas la protection paraît efficace :

    $ nmap -sT -O -P0 -v IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Skipping host (IP_ADDR) due to host timeout

    Nmap run completed -- 1 IP address (1 host up) scanned in 75 seconds


    On obtient les événements log dans la fenêtre Attack suivants :
    56 TCP SYN flood
    6456 TCP port scan


    Ce qui signie qu'à ce niveau (Nervous) de configuration , la sécurité semble vraiment plus efficace.

E - Avantages 
  • Ferme les ports inutilisés à condition de valider l'option Autoblocking .

  • Permet règles différentes pour certaines adresses IP ou services (ports).

  • De grosses améliorations dans la version 2.5 cg qui rendent la version 2.1 cn obsolète.

F - Inconvénients
  1. Blackice ne peut être configuré pour ignorer les ping de sources inconnues.

  2. L'interface graphique pourrait être (encore) plus simple d'usage (à l'image de celle de ZoneAlarm).

  3. La log est illisble sans utiliser un programme tiers.

 

G - Améliorations possibles
  • Améliorer l'interface.

  • Avoir des logs de meilleures qualité.

  • Une internationalisation du produit (permettant l'affichage en langue française notamment) serait très appréciable.

H - Conclusion 

Un outil simple, qui nécessite de l'attention pour être efficace . Il est adapté aux utilisateurs classiques et non expérimentés, il reste cependant un peu obscur et son interface n'est pas très intuitive notamment.

 
I - Références
  1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
    http://www.insecure.org/nmap

  2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
    http://www.netbus.org/
    download

  3. blackice
    http://www.networkice.com

  4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection TCP (ftp) standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
    http://grc.com/
    download

Valid HTML 4.01!Valid CSS!