Tests de Steganos Online Shield 1.52

Le firewall Steganos Online Shield 1.52 [3] comporte les fonctionnalités suivantes :

• Sécurité accrue.

30 €

1. Test Ping : Pas bloqué en mode "Sécurité normale". Il faut passer en 'Haute Sécurité' pour le bloquer.Le résultat de ce test est moyen.

2. Test Netbus : Steganos détecte bien Netbus et bloque (!) les accès à Netbus.Le résultat de ce test est bon.

3. Un scan nmap sans Steganos Online Shield 1.52 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :
   
   $ nmap -sT -O -P0 -v IP_ADDR
   
   Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
   Initiating TCP connect() scan against (IP_ADDR)
   Adding TCP port 135 (state open).
   Adding TCP port 1025 (state open).
   Adding TCP port 445 (state open).
   Adding TCP port 139 (state open).
   The TCP connect scan took 0 seconds to scan 1523 ports.
   
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
   Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
   
   Interesting ports on (IP_ADDR):
   (The 1519 ports scanned but not shown below are in state: closed)

   Port	State	Service
   135/tcp	open	loc-srv
   139/tcp	open	netbios-ssn
   445/tcp	open	microsoft-ds
   1025/tcp	open	listen

   
   Too many fingerprints match this host for me to give an accurate OS guess
   TCP/IP fingerprint:
   T1(Resp=N)
   T2(Resp=N)
   T3(Resp=N)
   T4(Resp=N)
   T5(Resp=N)
   T6(Resp=N)
   T7(Resp=N)
   PU(Resp=N)
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds
   

   Un scan TCP avec nmap et Steganos Online Shield 1.52 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) en "Sécurité Normale" :
   nmap -sT -O -T4 192.168.85.130
   
   
   Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
   Interesting ports on 192.168.85.130:
   (The 1600 ports scanned but not shown below are in state: closed)
   Port State Service
   135/tcp open loc-srv
   139/tcp open netbios-ssn
   445/tcp open microsoft-ds
   1025/tcp open NFS-or-IIS
   1720/tcp filtered H.323/Q.931
   Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 3.459 seconds
   
   
   Bref "Sécurité Normale" = pas de sécurité du tout... en TCP...
   
   En "Sécurité Haute " on obtient :
   
   nmap -sT -O -T4 192.168.85.130
   
   Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
   Interesting ports on 192.168.85.130:
   (The 1597 ports scanned but not shown below are in state: closed)
   Port State Service
   53/tcp filtered domain
   135/tcp open loc-srv
   137/tcp filtered netbios-ns
   138/tcp filtered netbios-dgm
   139/tcp filtered netbios-ssn
   445/tcp filtered microsoft-ds
   1025/tcp open NFS-or-IIS
   1720/tcp filtered H.323/Q.931
   Remote OS guesses: Windows Millennium Edition (Me), Win 2000, or WinXP, MS Windows2000 Professional RC1/W2K Advance Server Beta3
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 4.692 seconds
   
   Bref pas mieux...
   Il faut pousser jusqu'en 'Très haute sécurité' :
   nmap -sT -O -T4 192.168.85.130
   
   Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
   Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
   All 1605 scanned ports on 192.168.85.130 are: filtered
   Too many fingerprints match this host for me to give an accurate OS guess
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 188.088 seconds
   
   Pour obtenir des résultats efficaces...
   La recommandation : en dehors de "Très haute sécurité" point de salut.
   Le résultat de ce test est moyen.

4. Un scan nmap UDP avec Steganos Online Shield 1.52 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) en "Sécurité Normale" :
   
   nmap -sU -T4 192.168.85.130
   
   Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
   Interesting ports on 192.168.85.130:
   (The 1463 ports scanned but not shown below are in state: closed)
   Port State Service
   135/udp open loc-srv
   137/udp open netbios-ns
   138/udp open netbios-dgm
   445/udp open microsoft-ds
   500/udp open isakmp
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 5.168 seconds
   
   
   Bref "Sécurité Normale" = pas de sécurité du tout... là aussi...
   NB en 'Sécurité Haute' on obtient :
   
   nmap -sU -T4 192.168.85.130
   
   Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
   Interesting ports on 192.168.85.130:
   (The 1463 ports scanned but not shown below are in state: closed)
   Port State Service
   135/udp open loc-srv
   137/udp open netbios-ns
   138/udp open netbios-dgm
   445/udp open microsoft-ds
   500/udp open isakmp
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 5.139 seconds
   
   Bref pas mieux là non plus...
   
   La cerise sur le gateau : en 'Très haute sécurité' :
   
   nmap -sU -T4 192.168.85.130
   
   Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
   Interesting ports on 192.168.85.130:
   (The 1463 ports scanned but not shown below are in state: closed)
   Port State Service
   135/udp open loc-srv
   137/udp open netbios-ns
   138/udp open netbios-dgm
   445/udp open microsoft-ds
   500/udp open isakmp
   
   Nmap run completed -- 1 IP address (1 host up) scanned in 4.953 seconds
   
   Idem... ce n'est pas mieux...
   Le résultat de ce test est mauvais.

5. Test Leaktest : Steganos détecte et vous permet de bloquer le Leaktest.Le résultat de ce test est bon.

6. Test Yalta : Steganos détecte et vous permet de bloquer le test Yalta.Le résultat de ce test est bon.

7. Test Tooleaky : Steganos ne détecte pas le test Tooleaky et ne le bloque pas.Le résultat de ce test est mauvais.

8. Test FireHole : Steganos ne détecte pas le test FireHole et ne le bloque pas.Le résultat de ce test est mauvais.

9. Test OutBound : Test non réalisé

10. Steganos Online Shield 1.52 utilise jusqu'à 1 de CPU . Il utilise 5 Mo de mémoire en fonctionnement normal et jusqu'à 9 Mo en pointe.

11. Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). Steganos ne détecte pas la substitution laissant le troyen se connecter.Le résultat de ce test est mauvais.
    

12. Pour le second test (le troyen remplace son exécutable au lancement) : Steganos ne détecte pas la substitution laissant le troyen se connecter.Le résultat de ce test est mauvais.

13. Test Performance réseau : Le problème est que visiblement le bloque nos tests de transfert... (ftp mode actif). Pas de pertes en ping constatées.Le résultat de ce test est mauvais.

• Une interface ultra simplifiée.

• Un produit très léger.

• Une protection trop faible surtout dans la configuration de base.

• L'installation sous windows 2000 pose des problèmes avec l'enregistrement du driver non certifié (une dizaine de confirmations) non sans rappeler les problèmes similaires rencontrés avec d'anciennes versions de look'n'stop.

• L'interface est d'une présentation discutable, nécessite d'avoir une bonne vue pour la consulter. Daltoniens s'abstenir...

• Revoir la sécurité et le filtrage de façon complète. Les autres améliorations potentielles sont mineur en regard de la sécurité.

Firewall-net est très déçu par les résultats obtenus par ce produit...
Ce produit doit faire l'objet d'améliorations urgentes pour être au niveau de la concurrence. En cas d'utilisation passez directement en configuration "Très Haute sécurité".

Evaluation :

• Installation (2) : 3/20

• Configuration, Interface graphique (3) : 13.5/20

• Import/Export de la configuration (3) : 0/20

• Création et gestion des règles de sécurité (1) : 5/20

• Protection contre les troyens (3) : 8/20

• Sécurité filtrage (5) : 0/20

• Utilisation mémoire et CPU du logiciel (2) : 15.1/20

• Performance réseau (3) : 0/20

• Internationalisation du produit (1) : 10/20

• Aide, FAQ (2) : 14/20

Total : 5.748 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

1. Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
   http://www.insecure.org/nmap

2. Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
   http://www.netbus.org/
   download

3. Steganos Online Shield 1.52
   Steganos
   Steganos
   

4. Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
   http://grc.com/
   download

Les critères de choix pour un firewall personnel sont :

• Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.

• Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.

• Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.

• Prix.

Comment les tests ont-ils été réalisés ?

1. Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.

2. Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.

3. Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).

4. Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).

5. Un test utilisant Leaktest [4] a été réalisé.

6. Nouveau : Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
   Yalta Tooleaky FireHole Outbound
   

7. On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).

8. Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.

9. Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.

10. Nouveau : A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
    Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.