Tests du Firewall Looknstop v2.03 beta3

• Contrôle de l'accès aux ressources réseau : contrôle complet sur les critères d'adresse IP, service, interface réseau, sens du trafic. Vous pouvez par exemple autoriser toutes les connexions FTP entrantes pour seulement quelques adresses IP prédéfinies (critères de masque etc.).

• Filtrage de tous les services : filtre le partage fichiers et imprimantes, les protocoles qui utilisent les winsock (exemple : SMTP, HTTP), les services systèmes (exemple : ping, rip, FTP, Telnet).

• Vous n'avez pas besoin d'installer des outils spécifiques ou de complément (plugin) logiciel pour permettre aux applications de traverser le firewall.

• Monitoring continu : travaille en silence dans l'arrière plan de votre système.

• Possibilité d'exporter ou d'échanger les jeux de règles de sécurité ce qui permet notamment de sauvegarder ou de généraliser des règles de sécurité.

• Service de log : les fichiers de log enregistrent toute activité réseau , vous permettant de rechercher les événements importants.

• Possibilité de définir des règles au niveau le plus bas (Ethernet) des règles associées à une adresse MAC (physique), utile pour des particularités locales.

• Filtrage des applications qui utilisent le réseau.

Win 98/Me et XP-Home : 30 Euros
Win 2000 et XP-Pro : 40 Euros

1. Test Ping : Bloqué . C'est un bon résultat.

2. Test Netbus : Attention : Le firewall est testé avec le filtrage logiciel activé !
   Looknstop (dans la version 2.x) détecte le lancement de Netbus en mode serveur, si vous ne l'autorisez pas à accèder au réseau, Netbus se plaindra de ports occupés (busy ports). Les connexions de l'extérieur vers Netbus sont clairement détectées et interdites. Le résultat est bon.

3. Un scan nmap sans Looknstop v2.03 beta3 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
   
   $ nmap -sT -O -P0 -v IP_ADDR
   
   Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
   Initiating TCP connect() scan against (IP_ADDR)
   Adding TCP port 135 (state open).
   Adding TCP port 1025 (state open).
   Adding TCP port 445 (state open).
   Adding TCP port 139 (state open).
   The TCP connect scan took 0 seconds to scan 1523 ports.
   
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   
   Interesting ports on (IP_ADDR):
   (The 1519 ports scanned but not shown below are in state: closed)

   Port	State	Service
   135/tcp	open	loc-srv
   139/tcp	open	netbios-ssn
   445/tcp	open	microsoft-ds
   1025/tcp	open	listen

   
   Too many fingerprints match this host for me to give an accurate OS guess
   TCP/IP fingerprint:
   T1(Resp=N)
   T2(Resp=N)
   T3(Resp=N)
   T4(Resp=N)
   T5(Resp=N)
   T6(Resp=N)
   T7(Resp=N)
   PU(Resp=N)
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds
   

   Un scan TCP avec nmap et Looknstop v2.03 beta3 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) et le jeu de règles standard et le même scan donne quelques milliers d'alertes et nmap ne détecte qu'un seul port ouvert (idem à la version 1), ce qui est un bon résultat en termes de détaction et de protection :
   
   
   Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
   
   Host (IP_ADDR) appears to be up ... good.
   Initiating Connect() Scan against (IP_ADDR)
   Adding TCP port 1025 (state open).
   The Connect() Scan took 148 seconds to scan 1542 ports.
   
   For OSScan assuming that port 1025 is open and port 113 is closed and neither are firewalled Insufficient responses for TCP sequencing
   Interesting ports on (IP_ADDR):
   (The 1174 ports scanned but not shown below are in state: filtered)
   Port State Service
   113/tcp closed auth
   1024/tcp closed kdm
   1025/tcp open listen
   1026/tcp closed nterm
   1030/tcp closed iad1
   1031/tcp closed iad2
   1032/tcp closed iad3
   ...
   4672/tcp closed rfa
   5000/tcp closed fics
   
   Remote OS guesses: Windows Me or Windows 2000 RC1 through final release, Windows Millenium Edition v4.90.3000
   TCP Sequence Prediction: Class=random positive increments
   Difficulty=12640 (Worthy challenge)
   IPID Sequence Generation: Incremental
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 147 seconds
   
   
   Ce qui signifie qu'une sécurité relativement efficace et très précise est possible avec Loonkstop, si le logiciel est configuré correctement.
   

4. Un scan nmap UDP avec Looknstop v2.03 beta3 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) et le jeu de règles par défaut :
   
   $ nmap -sU -P0 IP_ADDR
   
   Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
   All 1453 scanned ports on (IP_ADDR) are: filtered
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 1765 seconds
   
   
   Ce qui montre qu'avec Loonstop les ports ouverts semblent inexistants et que les tentatives d'accès sont tracées, C'est un bon résultat.
   

5. Test Leaktest : Looknstop détecte (comme pour Netbus) le lancement de Leaktest, la tentative de connexion est filtrée, si vous ne l'autorisez pas à se connecter, e résultat est donc bon .

6. Test Yalta : Looknstop détecte le lancement du test Yalta, la tentative de connexion est filtrée, si vous ne l'autorisez pas à se connecter, e résultat est donc bon .

7. Test Tooleaky :

8. Test FireHole : Looknstop détecte le lancement de FireHole, la tentative de connexion est filtrée, si vous ne l'autorisez pas à se connecter, e résultat est donc bon .

9. Test OutBound : Looknstop détecte la tentative de connexion de Outbound, qui est filtréen si vous ne l'autorisez pas à se connecter, le résultat est donc bon .

10. Looknstop v2.03 beta3 utilise jusqu'à 2 à 6% de CPU . Il utilise 2 Mo Mo de mémoire en fonctionnement normal et jusqu'à 4 Mo Mo en pointe.

11. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Looknstop ne détecte pas le changement. C'est un mauvais résultat.
    
    

12. Pour le second test (le troyen remplace son exécutable au lancement) : Looknstop ne détecte pas le changement. C'est un mauvais résultat.
    

1. On apprécie la mise en place de la protection optionnelle par mot de passe (inexistante dans la version prcédemment testée).

2. On apprécie l'option qui permet de dissocier le module d'administration (l'interface graphique) du module de filtrage, notamment de garder le firewall actif lorsque l'interface est fermée.

3. On apprécie la possiblité de créer une règle basée sur les adresses MAC (utile pour gérer certains cas particuliers sur un réseau local avec des adresses dynamiques).
   Un des rares Firewalls sous Windows à offrir cette capacité.

4. Les règles peuvent être appliquées spécialement sur la connexion modem ou liée au modem.

5. La fenêtre de log est utile. Elle fourni une analyse complete du paquet et d'analyse de son entête, ainsi que la règle ayant généré le blocage bref tout ce que l'on peut réver de mieux en la matière. Le paramétrage du contenu de la log est complet

6. Les règles peuvent être sauvegardées, chargées et exportées !!!

7. La taille : 450 Ko à télécharger (download) !! 650 Ko Installé , un record !

8. Interface, site et aide intégralement en français et très bien faite !!!!!!!!!!

9. Une détection des logiciels réseau.

10. Produit internationalisé (existe en anglais).

1. Le contenu du fichier log est nettement plus pauvre que l'affichage... un peu dommage pour une analyse a posteriori.

2. Les règles ne peuvent êtres appliquées qu'à une seule interface réseau à la fois (sauf en lançant plusieurs instances de Looknstop).

3. La détection d'intrusion pourrait éventuellement être enrichie :

   • d'une appréciation de sévérité, aucun commentaire ne peut y être associé (information enregistrée dans une règle par exemple),

   • les scans de ports ne sont pas détectés et analysés comme tels, seul un reporting port par port est effectué (long et lourd mais cependant manifeste et complet),

   • aucune option de tracking de la source n'est proposée (franchement c'est vraiment la cerise sur le gateau),

4. L'installation et la désinstallation des drivers reste hasardeuse sous Windows 2000.

5. Son prix.

• Fournir une fonction d'apprentissage de règles.

• Fournir un ensemble de règles que l'utilisateur puisse ajouter ou enlever. Des règles simples à comprendre pour un utilisateur comme : "Autorise l'ordinateur à être visible dans le voisinage réseau", "Autorise les autres ordinateurs à connaître votre présence (ping)","Autorise le partage de fichiers","Autorise l'accès au partage de fichiers à distance", etc.
  Cependant il est à noter qu'une liste d'exemples est explicitée sur le site !

• Pouvoir importer/exporter une ou des règles (et pas forcément tout le jeu de règles).

• Améliorer l'installation et la désinstallation (notamment du driver de win 2000).

• Marquer les logiciels réseau détectés avec une clé MD5 (ou similaire), ou signaler cette fonctionnalité (confirmer son existence).

Un outil puissant, paramétrable que les utilisateurs expérimentés pourront apprécier.

Il possède tout ce que Conseal n'a pas et fonctionne probablement mieux que Conseal !!!!

Encore en progrès depuis la précédente version , il ne manque plus grand chose à ce logiciel qui s'est hissé au niveau de ses concurrents.

Evaluation :

• Installation (2) : 15/20

• Configuration, Interface graphique (3) : 15/20

• Sécurité filtrage (5) : 15/20

• Sécurité complémentaire (3) : 20/20

• Utilisation mémoire et CPU du logiciel (2) : 12/20

• Import/Export de la configuration (2) : 15/20

• Performance réseau (3) : 13,5/20

• Aide, FAQ (2) : 15/20

• Internationalisation du produit (1) : 18/20

Total : 15,3 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
   http://www.insecure.org/nmap

2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
   http://www.netbus.org/
   download

3. Looknstop v2.03 beta3
   http://www.looknstop.com/
   download

4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
   http://grc.com/
   download

Les critères de choix pour un firewall personnel sont :

• Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

• Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

• Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

• Prix.

Comment les tests ont-ils été réalisés ?

1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

3. Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).

4. Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).

5. Un test utilisant Leaktest [4] a été réalisé.

6. Nouveau : Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
   Yalta Tooleaky FireHole Outbound
   

7. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

8. Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

9. Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.

10. Nouveau : A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
    Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.