Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls firewall_15off_468X60
 
Choix
Firewall-Net
Winroute
Test
Install
Config
Réseau
FAQ
Vérification
Scan Test
 
Firewall Windows
 .  Look'n'Stop
 .  Kerio Personal Firewall
 .  Outpost Pro
 .  McAfee Desktop Firewall
 .  Xelios Personal Firewall
 .  Zonealarm Pro
 .  Norton Personal Firewall
 .  ZoneAlarm Free
 .  Sygate Personal Firewall
 .  Netbarrier 2003
 .  Deerfield Personal Firewall
 .  Tiny Personal Firewall
 .  Private Firewall
 .  Atguard
 .  Steganos Online Shield
 
Firewall Linux
 .  iptables
 
Firewall Mac
 .  Netbarrier
 .  Other
 
Sécurité, Outils
 .  Wingate
 .  BlackIce
 .  Nuke
 .  Backdoors
 .  Virus/antivirus
 
Vérification
FAQ
Comparatif
Annuaire
Forum
Remerciements
Statistiques
 
Contacter Firewall-net
e-mail
 

Tests du Firewall Kerio Winroute Pro 4.2.1
 
" Description des tests " Fonctionnalités " Prix " Résultats " Avantages " Inconvénients " Améliorations " Conclusion " Références "
A - Fonctionnalités du produit

Le firewall Kerio Winroute Pro 4.2.1 [3] comporte les fonctionnalités suivantes :

  • Fonctions de filtrage packets et protocoles, entrant et sortant, paramétrable par interface réseau (possibilité de définir des règles communes et des règles particulières).

  • Gestion de la priorité des règles (en faisant monter ou descendre une règle.

  • Fonction utiles pour les réseaux locaux :

    • NAT : Translation d'adresse

    • Proxy : Alternatif du NAT en général

    • Serveur DHCP (possibilité d'être serveur DHCP pour son propre réseau local)

    • Serveur DNS (forwarder + DNS local)

    • Gestion de filtrage centralisable pour plusieurs ordinateurs

  • Définition de plages horaires (utiles pour un réseau permanent ou semi-permanent)

  • Plusieurs niveaux d'administration avec une gestion utilisateur/mot de passe, pouvant être combinée à un domaine NT
B - Tarifs

Version Pro : 5 utilisateurs : 150 $ US - 30 jours d'essais gratuits
C - Résultats des tests de sécurité

  1. Test Ping : Bloqué (avec les règles fournies sur ce site) . C'est un bon résultat.

  2. Test Netbus : Kerio Winroute Pro ne détecte pas le lancement de Netbus en mode serveur, mais bloque les tentatives de connexion les connexions de l'extérieur vers Netbus sont clairement bloquées. Le résultat est bon.

  3. Un scan nmap sans Kerio Winroute Pro 4.2.1 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

    $ nmap -sT -O -P0 -v IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 135 (state open).
    Adding TCP port 1025 (state open).
    Adding TCP port 445 (state open).
    Adding TCP port 139 (state open).
    The TCP connect scan took 0 seconds to scan 1523 ports.

    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable

    Interesting ports on (IP_ADDR):
    (The 1519 ports scanned but not shown below are in state: closed)

    Port State Service
    135/tcp open loc-srv
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open listen

    Too many fingerprints match this host for me to give an accurate OS guess
    TCP/IP fingerprint:
    T1(Resp=N)
    T2(Resp=N)
    T3(Resp=N)
    T4(Resp=N)
    T5(Resp=N)
    T6(Resp=N)
    T7(Resp=N)
    PU(Resp=N)

    Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds

    Un scan TCP avec nmap et Kerio Winroute Pro 4.2.1 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) et le jeu de règles fourni sur ce site :


    Starting nmap V. 2.54BETA32 ( www.insecure.org/nmap/ )
    Host (IP_ADDR) appears to be up ... good.
    Initiating Connect() Scan against (IP_ADDR)
    The Connect() Scan took 770 seconds to scan 1554 ports.
    Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    Interesting ports on (IP_ADDR):
    (The 1553 ports scanned but not shown below are in state: filtered)
    Port State Service
    113/tcp closed auth

    Too many fingerprints match this host for me to give an accurate OS guess
    TCP/IP fingerprint:
    SInfo(V=2.54BETA32%P=i586-pc-linux-gnu%D=5/10%Time=3CDBD622%O=-1%C=113)
    T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
    T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
    T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
    PU(Resp=N)


    Nmap run completed -- 1 IP address (1 host up) scanned in 805 seconds



    Kerio Winroute Pro ne détecte pas le port scan. Cependant les tentatives de connexion sont bloquées avec ce jeu de règles. Ce qui signifie qu'une sécurité relativement efficace et très précise est possible avec Kerio Winroute Pro, C'est un bon résultat.

  4. Un scan nmap UDP avec Kerio Winroute Pro 4.2.1 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) et le jeu de règles fournies sur ce site :


    Starting nmap V. 2.54BETA32 ( www.insecure.org/nmap/ )
    All 1459 scanned ports on (IP_ADDR) are: filtered

    Nmap run completed -- 1 IP address (1 host up) scanned in 1755 seconds



    Ce qui montre qu'avec Kerio Winroute Pro les ports ouverts semblent inexistants et que les tentatives d'accès sont bloquées, C'est un bon résultat.

  5. Test Leaktest : Kerio Winroute Pro ne détecte pas le lancement de Leaktest, la tentative de connexion n'est pas filtrée. C'est donc un mauvais résultat.

  6. Test Yalta : Kerio Winroute Pro ne détecte pas le lancement du test Yalta, la tentative de connexion n'est pas filtrée. Le résultat est donc mauvais .

  7. Test Tooleaky : Kerio Winroute Pro ne détecte pas le lancement du test Tooleaky, la tentative de connexion n'est pas filtrée, le résultat est donc mauvais .

  8. Test FireHole : Kerio Winroute Pro ne détecte pas le lancement de FireHole, la tentative de connexion n'est pas filtrée, le résultat est donc mauvais .

  9. Test OutBound : Kerio Winroute Pro ne détecte pas le lancement de Outbound, la tentative de connexion n'est pas filtrée, le résultat est donc mauvais .

  10. Kerio Winroute Pro 4.2.1 utilise jusqu'à 79% de CPU . Il utilise 5,7 Mo Mo de mémoire en fonctionnement normal et jusqu'à 7 Mo Mo en pointe.

  11. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Kerio Winroute Pro ne détecte rien. C'est un mauvais résultat.

  12. Pour le second test (le troyen remplace son exécutable au lancement) : Kerio Winroute Pro ne détecte rien. C'est un mauvais résultat.
D - Avantages 

  1. Gère des règles différentes pour l'interface réseau local et Internet... et pour chaque interface !

  2. Permet de gérer un module de translation d'adresses (NAT) puissant et performant. Assez simple à configurer (il faut quand même lire la documentation !).

  3. Permet une fonction DNS forwarding (complémentaire de la translation d'adresse) et une fonction DHCP.

  4. Fourni un module proxy de base qui peut se révéler utile...

  5. Permet de séparer les log fonctionnelles diverses : sécurité, proxy, etc. dans différentes fenêtres et fichiers.

  6. Existe en version française. Il existe une documentation en français ce qui n'est le cas pour aucun concurrent à l'exception de Netbarrier (Mac) et Looknstop (d'origine française !).
E - Inconvénients

  1. L'une des principales problématique concerne les performances : du point de vue réseau on a constaté jusqu'à 75% de pertes, du point de vue système jusqu'à 80 % de CPU utilisé pendant les transferts importants. C'est innacceptable pour une solution qualifiée de professionnelle.

  2. Difficile de savoir la précédence des règles surtout quand on combine des règles opposées sur une interface et sur l'ensemble des interfaces à la fois !

  3. Très long et fastidueux d'ajouter de nouvelles règles, il est impossible de sauvegarder, d'importer ou de restaurer une configuration !

  4. Les logs de filtrage (sécurité) sont vraiment peu explicites. Pas de gestion avancée des logs (lieu de stockages, taille, nom).

  5. Son prix !
F - Améliorations possibles

  • Améliorer l'interface notamment de gestion du packet filter :

    • l'affichage des règles doit être plus explicite,

    • l'ajout d'une règle doit être simplifié,

    • permettre la définition d'un Host = localhost,

    • permettre la création de règles permettant de gérer les broadcast (type 192.168.1.255 et 255.255.255.255),

    • l'ajout d'un mode d'apprentissage des règles peut être très utile,

    • pouvoir ajouter une description associée à chaque règle et pouvoir nommer une règle,

    • l'ajout de règles ayant comme critère supplémentaire le fonctionnement d'un programme (valable localement seulement).

  • Permettre à l'utilisateur de gérer ses règles :

    • pouvoir les exporter et de les importer, ce qui est très utile dans le cadre d'un réseau !!!!

    • pouvoir sélectionner sur quelle interface appliquer la règle à importer

  • Avoir des logs de meilleures qualité, associant notamment la règle qui a bloqué un packet (ce qui nécessitera un numérotage des règles et/ou la gestion d'un descriptif à chaque règle) et le motif ou l'explication associées.
G - Conclusion 

Un outil complet, efficace adapté aux utilisateurs avancés ayant notamment des besoins en réseau local (translation d'adresse/ NAT / masquerading, proxy), il pourrait cependant bénéficier de quelques améliorations fondamentales , notamment en termes de performances.

Evaluation :

  • Installation (2) : 14/20

  • Configuration, Interface graphique (3) : 10/20

  • Sécurité filtrage (5) : 14/20

  • Sécurité complémentaire (3) : 5/20

  • Utilisation mémoire et CPU du logiciel (2) : 0/20

  • Import/Export de la configuration (2) : 5/20

  • Performance réseau (3) : 0/20

  • Aide, FAQ (2) : 15/20

  • Internationalisation du produit (1) : 15/20

Total : 9,48 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
H - Références

  1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
    http://www.insecure.org/nmap

  2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
    http://www.netbus.org/
    download

  3. Kerio Winroute Pro 4.2.1
    Kerio
    download

  4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
    http://grc.com/
    download
 
I - Description des tests

Les critères de choix pour un firewall personnel sont :

  • Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

  • Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

  • Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

  • Prix.

Comment les tests ont-ils été réalisés ?

  1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

  2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

  3. Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).

  4. Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).

  5. Un test utilisant Leaktest [4] a été réalisé.

  6. Nouveau : Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
    Yalta Tooleaky FireHole Outbound

  7. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

  8. Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

  9. Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.

  10. Nouveau : A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
    Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.
 
Valid HTML 4.01!Valid CSS! Ce site est copyright © Chryjs 1999-2001, toute reproduction interdite.