Firewall.net - Tests du Firewall Norton Internet Security

Firewall Net	tests, installation & configuration

Choix
> Tests
> Installation
> Configuration
> Vérification
> FAQ

Firewall Windows
.	ZoneAlarm
.	Tiny
.	LookNStop
.	Norton
.	Private firewall
.	Sygate
.	WinRoute
.	BlackIce
.	Conseal
.	WinGate
.	AtGuard

Firewall Linux
.	ipchains
.	iptables

Firewall Mac
.	Netbarrier
.	Autres

Divers
.	Nuke
.	Backdoors

• Vérification
• Comparatif
• Annuaire
• Forum
• Remerciements
• Statistiques

Contacter Firewall-net
e-mail


Tests du firewall Norton Internet Security
" Tests " Fonctionnalités " Prix " Résultats " Avantages " Inconvénients " Améliorations " Conclusion " Références "

A - Description des tests
Les critères de choix pour un firewall personnel sont : Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service. Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses. Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC. Prix. Comment les tests ont-ils été réalisés ? Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant. Un scan nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap ST -P0 -O IP_ADDR). Un test utilisant Leaktest [4] a été réalisé. Un test avec Leaktest [4] a été réalisé. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où). On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème. Tests (avec nmap [1]) pour savoir si le firewall gère les contextes (statefull) ou est filtrant uniquement (filtering). NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel). Voir les résultats des tests.

B - Fonctionnalités du produit
Le firewall Norton Internet Security [3] comporte les fonctionnalités suivantes : Blocage des publicités, Gestion des cookies, Antivirus, Possibilité de définir des règles spécifiques (ports/ protocoles), Taille du fichier à télécharger : 30 Mo pour Win 2000 / NT , 40 Mo pour Win 9x
C - Tarifs
Norton Internet Security 2001 2.5 : 44 $ ( 64 $ avec une remise additionnelle de 20 $ par Symantec) Norton Personal Firewall 2001 2.5 : 40 $ ( 50$ avec une remise additionnelle de 10 $ par Symantec)

D - Résultats des tests de sécurité
Ping : Impossible (en niveau High avec les rgèles par défaut modifiées pour protéger votre ordinateur). C'est un bon résultat. Test Netbus : Norton Internet Security détecte le serveur Netbus lors du démarrage et empèchera de s'y connecter si vous avez corrigé les règles par défaut. C'est un bon résultat. Un scan nmap sans Norton Internet Security (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) : $ nmap -v -sT -P0 -O IP_ADDR Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ ) Initiating TCP connect() scan against (IP_ADDR) Adding TCP port 445 (state open). Adding TCP port 135 (state open). Adding TCP port 1025 (state open). Adding TCP port 913 (state open). Adding TCP port 139 (state open). The TCP connect scan took 0 seconds to scan 1523 ports. For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled Interesting ports on (IP_ADDR): (The 1518 ports scanned but not shown below are in state: closed) Port State Service 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 913/tcp open unknown 1025/tcp open listen TCP Sequence Prediction: Class=random positive increments Difficulty=6634 (Worthy challenge) Sequence numbers: 747E9CE8 747F63FC 74800BF5 7480E3FE 7481BC4F 7482B3B2 Remote operating system guess: Windows 2000 RC1 through final release Nmap run completed -- 1 IP address (1 host up) scanned in 10 seconds Oups, il vaudrait mieux avoir un bon firewall pour se protéger ! Un scan nmap TCP avec Norton Internet Security (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) avec les options de sécurité à High et les règles permissives supprimées donne des évènements dans la log, le scan est détecté, ce qui est un bon résultat en matière de détection : $ nmap -v -sT -P0 -O IP_ADDR Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Host (IP_ADDR) appears to be up ... good. Initiating Connect() Scan against (IP_ADDR) The Connect() Scan took 1694 seconds to scan 1542 ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port All 1542 scanned ports on (IP_ADDR) are: filtered Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint: SInfo(V=2.54BETA22%P=i686-pc-linux-gnu%D=4/6%Time=3ACDD693%O=-1%C=-1) T5(Resp=N) T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=N) Nmap run completed -- 1 IP address (1 host up) scanned in 1950 seconds Ce qui montre qu'avec Norton Internet Security les ports actifs semblent inexistants et que les tentatives d'accès sont tracées, Norton IS détecte le scan et indique qu'il bloque l'attaquant pendant 30 minutes ! C'est un bon résultat. Un scan nmap UDP avec Norton Internet Security (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) donne des évènements enregistrés dans la log, ce qui est un bon résultat en matière de détection : $ nmap -v -sU -P0 IP_ADDR Starting nmap V. 2.54BETA22 by [email protected] ( www.insecure.org/nmap/ ) Host (IP_ADDR) appears to be up ... good. Initiating UDP Scan against (IP_ADDR) The UDP Scan took 1754 seconds to scan 1453 ports. (no udp responses received -- assuming all ports filtered) All 1453 scanned ports on (IP_ADDR) are: filtered Nmap run completed -- 1 IP address (1 host up) scanned in 1755 seconds Ce qui montre qu'avec Norton Internet Security semblent efficace en UDP et que les tentatives d'accès sont tracées, Norton IS détecte le scan et indique qu'il bloque l'attaquant pendant 30 minutes ! C'est un bon résultat. Le test Leaktest : Norton Internet Security détecte le démarrage de Leaktest (idem Netbus), la tentative de connexion simulant une connexion ftp n'est absolument pas filtrée. C'est un mauvais résultat. Norton Internet Security utilise jusqu'à 2 % de CPU en fonctionnement normal. L'utilisation mémoire est de 8,4 Mo, et jusqu'à 8,9 Mo en pointe. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Norton Internet Security autorise au cheval de troie de se connecter, le résultat de ce test est mauvais. Le test statefull : Norton Internet Security n'est pas statefull, il est donc filtrant uniquement : $ nmap -v -sA -P0 IP_ADDR Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Host (IP_ADDR) appears to be up ... good. Initiating ACK Scan against (IP_ADDR) The ACK Scan took 6 seconds to scan 1542 ports. All 1542 scanned ports on (IP_ADDR) are: UNfiltered Nmap run completed -- 1 IP address (1 host up) scanned in 6 seconds
E - Avantages
Norton Internet Security peut être configuré pour bloquer la plupart du trafic entrant. Vous pouvez faire un scan sur vos programmes utilisant le réseau et leur appliquer des règles spécifiques.

F - Inconvénients
Norton Internet Security ne fait pas de différence entre le réseau local et la connexion internet. Les règles de sécurité ne sont pas librement paramétrables. Tous les filtrages n'apparaissent pas explicitement dans la liste des règles.
G - Améliorations possibles
Simplifier le pocessus d'installation (trop long). Simplifier l'interface graphique : fenêtre non redimensionnable, difficile de comprendre à quoi s'applique chaque critère de sécurité, etc. Améliorer les rgèles par défaut qui sont beaucoup trop permissives.

H - Conclusion
Un outil très lourd, vraiment cher et avec une faible sécurité si vous ne le reconfigurez pas les règles par défaut. Etes vous surs de vouloir dépenser de l'argent pour rien ?

Evaluation : Installation (2) : 5/20 Configuration, Interface graphique (3) : 5/20 Sécurité filtrage (5) : 15/20 Sécurité complémentaire (3) : 5/20 Utilisation mémoire et CPU du logiciel (2) : 8/20 Import/Export de la configuration (2) : 0/20 Aide , FAQ (2) : 10/20 Internationalisation du produit (1) : 10/20 Total : 8,05 / 20 Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

I - Références
Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau - http://www.insecure.org/nmap Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant. http://www.netbus.org/ download Norton Internet Security firewall Norton Internet Security 2001 2.5 (le package complet) Norton Personal Firewall 2001 2.5 (le firewall seulement) Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups). http://grc.com/ download

Tests du firewall Norton Internet Security