Firewall Net tests, installation & configuration
FireWall Net - Guide installation et configuration des Firewalls
 
Choix
Firewall-Net
Private Firewall
Tests
Scan Test
 
Firewall Windows
 .  Look'n'Stop
 .  Kerio Personal Firewall
 .  Outpost Pro
 .  McAfee Desktop Firewall
 .  Xelios Personal Firewall
 .  Zonealarm Pro
 .  Norton Personal Firewall
 .  ZoneAlarm Free
 .  Sygate Personal Firewall
 .  Netbarrier 2003
 .  Deerfield Personal Firewall
 .  Tiny Personal Firewall
 .  Private Firewall
 .  Atguard
 .  Steganos Online Shield
 
Firewall Linux
 .  iptables
 
Firewall Mac
 .  Netbarrier
 .  Other
 
Sécurité, Outils
 .  Wingate
 .  BlackIce
 .  Nuke
 .  Backdoors
 .  Virus/antivirus
 
Vérification
FAQ
Comparatif
Annuaire
Forum
Remerciements
Statistiques
 
Contacter Firewall-net
e-mail
 

Tests de Private Firewall 3.0.0.0
 
Description des testsFonctionnalitésPrixRésultatsAvantagesInconvénientsAméliorationsConclusionRéférences
A - Fonctionnalités du produit

Le firewall Private Firewall 3.0.0.0 [3] comporte les fonctionnalités suivantes :

  • Analyse de la sécurité du système

  • Filtrage applicatif

  • Firewall
B - Tarifs

30 €
C - Résultats des tests de sécurité

  1. Test Ping : Bloqué.
    Le résultat de ce test est bon.

  2. Test Netbus : PF ne détecte pas le lancement de Netbus, mais les tentatives d'accès sont détectées et bloquées.
    Le résultat de ce test est bon.

  3. Un scan nmap sans Private Firewall 3.0.0.0 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

    $ nmap -sT -O -P0 -v IP_ADDR

    Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
    Initiating TCP connect() scan against (IP_ADDR)
    Adding TCP port 135 (state open).
    Adding TCP port 1025 (state open).
    Adding TCP port 445 (state open).
    Adding TCP port 139 (state open).
    The TCP connect scan took 0 seconds to scan 1523 ports.

    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
    For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
    Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable

    Interesting ports on (IP_ADDR):
    (The 1519 ports scanned but not shown below are in state: closed)

    Port State Service
    135/tcp open loc-srv
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open listen

    Too many fingerprints match this host for me to give an accurate OS guess
    TCP/IP fingerprint:
    T1(Resp=N)
    T2(Resp=N)
    T3(Resp=N)
    T4(Resp=N)
    T5(Resp=N)
    T6(Resp=N)
    T7(Resp=N)
    PU(Resp=N)

    Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds

    Un scan TCP avec nmap et Private Firewall 3.0.0.0 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
    nmap -v -sT -P0 -O 192.168.85.128

    Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
    Host 192.168.85.128 appears to be up ... good.
    Initiating Connect() Scan against 192.168.85.128
    Adding open port 1025/tcp
    Adding open port 135/tcp
    The Connect() Scan took 233 seconds to scan 1605 ports.
    For OSScan assuming that port 135 is open and port 1067 is closed and neither are firewalled
    Interesting ports on 192.168.85.128:
    (The 1601 ports scanned but not shown below are in state: filtered)
    Port State Service
    135/tcp open loc-srv
    1025/tcp open NFS-or-IIS
    1067/tcp closed instl_boots
    1068/tcp closed instl_bootc
    Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP
    TCP Sequence Prediction: Class=random positive increments
    Difficulty=15174 (Worthy challenge)
    IPID Sequence Generation: Incremental

    Nmap run completed -- 1 IP address (1 host up) scanned in 237.422 seconds

    Deux ports restent ouverts !!!! et deux autres apparaissent pour une raison mystérieuse comme "closed" (fermés).
    Et il est possible d'identifier le système ...Le résultat de ce test est mauvais.

  4. Un scan nmap UDP avec Private Firewall 3.0.0.0 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
    nmap -sU -P0 192.168.85.128

    Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
    All 1468 scanned ports on 192.168.85.128 are: filtered

    Nmap run completed -- 1 IP address (1 host up) scanned in 1766.898 seconds


    Aucun port ouvert.
    La consultation des logs pendant les tests a fait augmenter la consommation CPU à 86% !
    Le résultat de ce test est mauvais.

  5. Test Leaktest : PF détecte le leaktest et le bloque.
    Le résultat de ce test est bon.

  6. Test Yalta : PF ne détecte pas Yalta.
    Le résultat de ce test est mauvais.

  7. Test Tooleaky : PF ne bloque pas Tooleaky.
    Le résultat de ce test est mauvais.

  8. Test FireHole : PF ne bloque pas le test Firehole.
    Le résultat de ce test est mauvais.

  9. Test OutBound : Test non réalisé

  10. Private Firewall 3.0.0.0 utilise jusqu'à 2 de CPU . Il utilise 3 Mo de mémoire en fonctionnement normal et jusqu'à 4 Mo en pointe.

  11. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). PF détecte la substitution et vous en prévient. La tentative est bloquée.Le résultat de ce test est bon.

  12. Pour le second test (le troyen remplace son exécutable au lancement) : PF ne détecte pas la substitution. La connexion du troyen est possible.Le résultat de ce test est mauvais.

  13. Test Performance réseau : Les pertes sont de l'ordre de 10% (9966 Ko/s contre 11000 Ko/s en fonctionnement normal). Les pertes en ping sont négligeables (<10ms).
    Le résultat de ce test est bon.
D - Avantages 

  • L'analyse de la sécurité du système recommande des actions sur les services notamment (arrêt des services et des partages inutiles mais dangereux pour la sécurité)
E - Inconvénients

  • La protection TCP est inefficace par défaut.

  • Protection un peu légère contre les troyens.

  • Les logs ne sont accessible que par le biais d'une génération manuelle ce qui empêche par exemple un analyse automatique ou une centralisation des logs.

  • L'affichage des log consomme énormément de ressources CPU

  • L'interface ne permet pas facilement de savoir si une application est autorisée ou bloquée (il faut utiliser la fenêtre de configuration).

  • L'article 4 ("You may not modify, or create derivative works based upon, the Software in whole or in part.") normalement n'autorisee pas la publication de l'analyse des tests (work) basé sur ce firewall, néanmoins PWI (l'editeur) a autorisé Firewall-Net a les publier.
F - Améliorations possibles

  • Améliorer la protection TCP.

  • Simplifier l'interface (accès aux éléments par le clic droit sur les objets est un peu abscon).

  • Une meilleure protection contre les troyens

  • Résoudre le problème de la licence !!!

  • Améliorer la gestion des logs
G - Conclusion 

Un énorme ressemblance avec Deerfield Personal Firewall.
Quoiqu'il en soit, il ne vous protège pas assez pour l'utiliser, les dysfonctionnements et les améliorations de base doivent être réalisés d'abord !

Evaluation :

  • Installation (2) : 11/20

  • Configuration, Interface graphique (3) : 13.5/20

  • Import/Export de la configuration (3) : 0/20

  • Création et gestion des règles de sécurité (1) : 12.5/20

  • Protection contre les troyens (3) : 8/20

  • Sécurité filtrage (5) : 0/20

  • Utilisation mémoire et CPU du logiciel (2) : 0.8/20

  • Performance réseau (3) : 15/20

  • Internationalisation du produit (1) : 2.5/20

  • Aide, FAQ (2) : 10/20

Total : 6.724 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.
H - Références

  1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
    http://www.insecure.org/nmap

  2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
    http://www.netbus.org/
    download

  3. Private Firewall 3.0.0.0
    http://www.privacyware.com/
    download

  4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
    http://grc.com/
    download
 
I - Description des tests

Les critères de choix pour un firewall personnel sont :

  • Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

  • Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

  • Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

  • Prix.

Comment les tests ont-ils été réalisés ?

  1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

  2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

  3. Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).

  4. Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).

  5. Un test utilisant Leaktest [4] a été réalisé.

  6. Nouveau : Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
    Yalta Tooleaky FireHole Outbound

  7. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

  8. Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

  9. Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.

  10. Nouveau : A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
    Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.
 
Valid HTML 4.01!Valid CSS! Ce site est copyright © Chryjs 1999-2001, toute reproduction interdite.