Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls
 
 

Tests de Look'n'Stop 2.04

 
Description des testsFonctionnalitésPrixRésultatsAvantagesInconvénientsAméliorationsConclusionRéférences

A - Fonctionnalités du produit

Le firewall Look'n'Stop 2.04 [3] comporte les fonctionnalités suivantes :

  • Un contrôle complet des ressources réseau : vous pouvez filtrer par adresse IP, service, carte et direction (paquets entrant et/ou sortant). Par exemple : vous pouvez autoriser les connexions FTP sur une carte Ethernet pour quelques adresses IP (en utilsant un masque ou autre).

  • Filtre les services notamment de partage de fichiers et imprimantes utilisant les Winsock (par exemple SMTP, HTTP), les services système (ex: ping, rip, FTP, Telnet).

  • Vous n'avez pas besoin d'installer ni plugin ni extension pour vous connecter au travers de ce firewall.

  • Une surveillance constante du trafic entrant et sortant, travaillant en tâche de fond sans vous déranger pendant que vous utilisez votre machine.

  • Les jeux de règles peuvent être exportés puis importés sur d'autre machines sans aucune modification nécessaire ou bien sauvegardés, ce qui vous permet de créer des jeux de règles pour un réseau ou pour une entreprise.

  • Des log complètes : qui enregistrent toute l'activité réseau et vous permet de de surveiller l'activité.

  • Les règles de filtrage de bas niveau sont même possible au niveau MAC.

B - Tarifs

39 €


C - Résultats des tests de sécurité
  1. Test Ping : Bloqué.Le résultat de ce test est bon.

  2. Test Netbus : LNS détecte le démarrage de Netbus et si vous l'interdisez, Netbus se pmplaint de "port busy". Les connexions sont impossibles.Le résultat de ce test est bon.

  3. Un scan nmap sans Look'n'Stop 2.04 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

    $ nmap -sT -O -P0 -v IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 135 (state open).
    Adding TCP port 1025 (state open).
    Adding TCP port 445 (state open).
    Adding TCP port 139 (state open).
    The TCP connect scan took 0 seconds to scan 1523 ports.

    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable

    Interesting ports on (IP_ADDR):
    (The 1519 ports scanned but not shown below are in state: closed)

    Port State Service
    135/tcp open loc-srv
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open listen

    Too many fingerprints match this host for me to give an accurate OS guess
    TCP/IP fingerprint:
    T1(Resp=N)
    T2(Resp=N)
    T3(Resp=N)
    T4(Resp=N)
    T5(Resp=N)
    T6(Resp=N)
    T7(Resp=N)
    PU(Resp=N)

    Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds

    Un scan TCP avec nmap et Look'n'Stop 2.04 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) avec le statefull packet inspection activé :
    nmap -v -sT -P0 -O 192.168.85.130

    Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )

    Host 192.168.85.130 appears to be up ... good.
    Initiating Connect() Scan against 192.168.85.130
    The Connect() Scan took 1773 seconds to scan 1605 ports.

    Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
    All 1605 scanned ports on 192.168.85.130 are: filtered
    Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint:
    SInfo(V=3.10ALPHA4%P=i586-pc-linux-gnu%D=12/11%Time=3DF75FC2%O=-1%C=-1)
    T5(Resp=N)
    T6(Resp=N)
    T7(Resp=N)
    PU(Resp=N)

    Nmap run completed -- 1 IP address (1 host up) scanned in 2028.526 seconds


    Aucun port ouvert n'a pu être trouvé !
    Note : Pendant le scan, si l'on consulte la log, la charge CPU s'élève jusqu'à 60 %...Le résultat de ce test est bon.

  4. Un scan nmap UDP avec Look'n'Stop 2.04 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
    nmap -sU -P0 192.168.85.130

    Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
    All 1468 scanned ports on 192.168.85.130 are: filtered

    Nmap run completed -- 1 IP address (1 host up) scanned in 297.029 seconds


    Aucun port ouvert.Le résultat de ce test est bon.

  5. Test Leaktest : LNS bloque le Leaktest.Le résultat de ce test est bon.

  6. Test Yalta : LNS bloque le test Yalta.Le résultat de ce test est bon.

  7. Test Tooleaky : Looknstop bloque le test Tooleaky !!Le résultat de ce test est bon.

  8. Test FireHole : Looknstop bloque le test FireHole !!!Le résultat de ce test est bon.

  9. Test OutBound : Test non réalisé

  10. Look'n'Stop 2.04 utilise jusqu'à 2 de CPU . Il utilise 3 Mo de mémoire en fonctionnement normal et jusqu'à 7.6 Mo en pointe.

  11. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Une petite déception : looknstop ne détecte pas la substitution. Le troyen arrive à se connecter.Le résultat de ce test est mauvais.

  12. Pour le second test (le troyen remplace son exécutable au lancement) : looknstop ne détecte pas non plus cette substitution. Le troyen arrive à se connecter.Le résultat de ce test est mauvais.

  13. Test Performance réseau : Les pertes en temps de réponse sont quasi nulles (11 273 Ko/s contre 11 273 Ko/s).Pas de perte en ping (<10ms).Le résultat de ce test est bon.

D - Avantages 
  • Un firewall ultra léger (taille, interface etc.) et performant.

  • On apprécie la protection optionnelle par mot de passe.

  • Une option permet de dissocier le module d'administration (l'interface graphique) du module de filtrage, notamment de garder le firewall actif lorsque l'interface est fermée.

  • Il est possible de créer une règle basée sur les adresses MAC (utile pour gérer certains cas particuliers sur un réseau local avec des adresses dynamiques). Un des rares Firewalls sous Windows à offrir cette capacité.

  • Les règles peuvent être appliquées spécialement sur la connexion modem ou liée au modem.

  • La fenêtre de log est utile. Elle fourni une analyse complete du paquet et d'analyse de son entête, ainsi que la règle ayant généré le blocage bref tout ce que l'on peut rêver de mieux en la matière. Le paramétrage du contenu de la log est complet.

  • Les règles peuvent être sauvegardées, chargées et exportées !!!

  • La taille : 490 Ko à télécharger (download) !! 650 Ko Installé , un record !

  • Interface, site et aide intégralement en français et très bien faite !!!!!!!!!!

  • Une détection des logiciels réseau.

  • Produit internationalisé (existe en anglais).

  • Une option de tracking de la source est proposée (franchement c'est vraiment la cerise sur le gateau).

E - Inconvénients
  • Mieux gérer la liste des softs autorisés (clé MD5 ou autre mécanismes) serait bienvenue.

  • Une gestion des logs moins consommatrice ou séparée de la fenêtre principale.

  • Une meilleure gestion de la mémoire notamment pendant les scans , il est cependant possible que ce soit lié à la fonctionnalité 'statefull'. Ceci dit cela fait beaucoup de mémoire pour gérer le contexte de paquets IP...

  • Note : A l'installation une bonne suprise, plus de problème avec le driver looknstop ! Par contre la fenêtre d'avertissement notifiant le redémarrage nécessaire semble avoir disparu (à confirmer).

  • Le mode stateful bloque le ftp en mode 'actif'...

  • Les règles ne peuvent êtres appliquées qu'à une seule interface réseau à la fois (sauf en lançant plusieurs instances de Looknstop).

  • La détection d'intrusion pourrait éventuellement être enrichie d'une appréciation de sévérité, aucun commentaire ne peut y être associé (information enregistrée dans une règle par exemple). Peut être dans une prochaine version ?

  • les scans de ports ne sont pas détectés et analysés comme tels, seul un reporting port par port est effectué (long et lourd mais cependant manifeste et complet),

  • Son prix.

F - Améliorations possibles
  • Ajouter un mécanisme de protection (en cas de modifications des softs autorisés notamment)

  • Une meilleure gestion de la mémoire.

  • Améliorer la gestion stateful.

  • Fournir une fonction d'apprentissage des règles (IP).

G - Conclusion 

Une agréable surprise est la correction de ce "vieux" problème de driver à l'installation (et à la désinstallation). Looknstop résiste à presque tous les tests de troyens réalisés ce qui est un excellent résultat. Looknstop atteint presque nos notes maxi !!!


Evaluation :

  • Installation (2) : 15/20

  • Configuration, Interface graphique (3) : 19/20

  • Import/Export de la configuration (3) : 20/20

  • Création et gestion des règles de sécurité (1) : 17.5/20

  • Protection contre les troyens (3) : 14/20

  • Sécurité filtrage (5) : 18/20

  • Utilisation mémoire et CPU du logiciel (2) : 15/20

  • Performance réseau (3) : 20/20

  • Internationalisation du produit (1) : 10/20

  • Aide, FAQ (2) : 20/20

Total : 17.46 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

H - Références
  1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
    http://www.insecure.org/nmap

  2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
    http://www.netbus.org/
    download

  3. Look'n'Stop 2.04
    http://www.looknstop.com/
    download

  4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
    http://grc.com/
    download

 
I - Description des tests

Les critères de choix pour un firewall personnel sont :

  • Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

  • Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

  • Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

  • Prix.

Comment les tests ont-ils été réalisés ?

  1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

  2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

  3. Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).

  4. Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).

  5. Un test utilisant Leaktest [4] a été réalisé.

  6. Nouveau : Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
    Yalta Tooleaky FireHole Outbound

  7. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

  8. Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

  9. Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.

  10. Nouveau : A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
    Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.

 
Valid HTML 4.01!Valid CSS!