Firewall Net	tests, installation & configuration

Choix
• Firewall-Net
• ZoneAlarm Free
• Tests
• Scan Test

Firewall Windows
.	Look'n'Stop
.	Kerio Personal Firewall
.	Outpost Pro
.	McAfee Desktop Firewall
.	Xelios Personal Firewall
.	Zonealarm Pro
.	Norton Personal Firewall
.	ZoneAlarm Free
.	Sygate Personal Firewall
.	Netbarrier 2003
.	Deerfield Personal Firewall
.	Tiny Personal Firewall
.	Private Firewall
.	Atguard
.	Steganos Online Shield

Firewall Linux
.	iptables

Firewall Mac
.	Netbarrier
.	Other

Sécurité, Outils
.	Wingate
.	BlackIce
.	Nuke
.	Backdoors
.	Virus/antivirus

• Vérification
• FAQ
• Comparatif
• Annuaire
• Forum
• Remerciements
• Statistiques

Contacter Firewall-net
• e-mail

Tests de ZoneAlarm Free 3.1.395

• Description des tests • Fonctionnalités • Prix • Résultats • Avantages • Inconvénients • Améliorations • Conclusion • Références •

A - Fonctionnalités du produit

Le firewall ZoneAlarm Free 3.1.395 [3] comporte les fonctionnalités suivantes :

Filtrage applicatif.
Firewall.

B - Tarifs

0 €

C - Résultats des tests de sécurité

Test Ping : Test non réalisé
Test Netbus : ZA Free détecte le lancement de Netbus et vous en averti. Les tentatives d'accès sont bloquées.
Le résultat de ce test est bon.

Un scan nmap sans ZoneAlarm Free 3.1.395 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

$ nmap -sT -O -P0 -v IP_ADDR

Starting nmap V. 2.53 by [email protected] ( www.insecure.org/nmap/ )
Initiating TCP connect() scan against (IP_ADDR)
Adding TCP port 135 (state open).
Adding TCP port 1025 (state open).
Adding TCP port 445 (state open).
Adding TCP port 139 (state open).
The TCP connect scan took 0 seconds to scan 1523 ports.

For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable
For OSScan assuming that port 135 is open and port 1 is closed and neither are firewalled
Insufficient responses for TCP sequencing (0), OS detection will be MUCH less reliable

Interesting ports on (IP_ADDR):
(The 1519 ports scanned but not shown below are in state: closed)

Port	State	Service
135/tcp	open	loc-srv
139/tcp	open	netbios-ssn
445/tcp	open	microsoft-ds
1025/tcp	open	listen

Too many fingerprints match this host for me to give an accurate OS guess
TCP/IP fingerprint:
T1(Resp=N)
T2(Resp=N)
T3(Resp=N)
T4(Resp=N)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Nmap run completed -- 1 IP address (1 host up) scanned in 29 seconds

Un scan TCP avec nmap et ZoneAlarm Free 3.1.395 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

nmap -sT -P0 -O -T4 192.168.85.128

Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
Skipping host 192.168.85.128 due to host timeout

Nmap run completed -- 1 IP address (1 host up) scanned in 300.184 seconds

Aucun port trouvé et détection OS impossible.
Le résultat de ce test est bon.

Un scan nmap UDP avec ZoneAlarm Free 3.1.395 (sur un OS Win 2000 avec une configuration "standard", c'est à dire NetBios actif etc.) :

nmap -sU -P0 192.168.85.128

Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
All 1468 scanned ports on 192.168.85.128 are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 296.961 seconds

Aucun port trouvé.
Le résultat de ce test est bon.
Test Leaktest : Zonealarm free détecte le lancement de Leaktest et le bloque.
Le résultat de ce test est bon.
Test Yalta : Zonealarm free détecte le lancement de Yalta et le bloque.
Le résultat de ce test est bon.
Test Tooleaky : ZoneAlarm Free ne détecte ni ne bloque Tooleaky.
Le résultat de ce test est mauvais.
Test FireHole : ZoneAlarm Free ne détecte ni ne bloque FireHole.
Le résultat de ce test est mauvais.
Test OutBound : Test non réalisé
ZoneAlarm Free 3.1.395 utilise jusqu'à 2 de CPU . Il utilise 1 Mo de mémoire en fonctionnement normal et jusqu'à 2.6 Mo en pointe.
Le test de substitution : (vous pouvez le réaliser vous même par exemple : vous remplacez Iexplorer.exe avec leaktest.exe - celui-là même - en renommant ce dernier et en l'exécutant). ZA Free détecte la substitution et vous en prévient. La connexion du troyen est bloquée.
Le résultat de ce test est bon.
Pour le second test (le troyen remplace son exécutable au lancement) : ZA Free ne détecte pas la substitution et la connexion du troyen est possible.
Le résultat de ce test est mauvais.
Test Performance réseau : Les pertes semblent très importantes (75%), ce test devra être vérifié.
Les pertes en ping sont négligeables.
Le résultat de ce test est mauvais.

D - Avantages

Un produit monolithique assez simple d'abord et plutôt bien conçu.
Une installation ne nécessitant pas de redémarrage (sous windows 2000).

E - Inconvénients

Une protection anti-troyen assez légère.
La gestion et l'usage des logs est limité.
Il n'est pas possible de sauvegarder sa configuration.
Les pertes en réseau.
Aucune règle de filtrage IP n'est possible , filtrage applicatif exclusivement.
La licence , §1 (ii) ne permet théoriquement pas d'analyser ZoneAlarm (' you may not (ii) modify, or create derivative works based upon, the Software in whole or in part;").
Produit fourni en anglais seulement.

F - Améliorations possibles

Fournir un système de sauvegarde et restauration de la configuration.
Améliorer la sécurité.
Améliorer les logs (les fournir complètes et permettre de les limiter en taille).
Fournir un filtrage IP.
Internationaliser le produit.

G - Conclusion

Un produit de milieu de gamme et de grande diffusion, qui comporte encore des défauts notoires...

Evaluation :

Installation (2) : 11/20
Configuration, Interface graphique (3) : 16/20
Import/Export de la configuration (3) : 0/20
Création et gestion des règles de sécurité (1) : 12.5/20
Protection contre les troyens (3) : 11/20
Sécurité filtrage (5) : 12/20
Utilisation mémoire et CPU du logiciel (2) : 15.7/20
Performance réseau (3) : 0/20
Internationalisation du produit (1) : 2.5/20
Aide, FAQ (2) : 20/20

Total : 9.976 / 20

Note : Ce résultat peu être modifié selon la version logicielle, lors de l'ajout de nouveaux critère, la modification de leur importance ou de leur contenu et mode d'évaluation.

H - Références

Nmap - Network mapper, un outil très efficace pour scanner et tester l'activité réseau -
http://www.insecure.org/nmap
Netbus Pro - Programme de contrôle à distance souvent utilisé comme outil d'attaque pour contrôler un PC distant.
http://www.netbus.org/
download
ZoneAlarm Free 3.1.395
Editeur de ZoneAlarm (Zonelabs)
Obtenir Zonealarm
Autre site
download.com
Leaktest - Petit logiciel de test réalisé par Steve Gibson afin d'éprouver les firewalls les plus répandus (et les autres). Il fait une simple connection ftp standard censée simuler l'envoi d'informations personnelles à votre insu, voire un mécanisme simple de prise de contrôle à distance en mode opposé (oups).
http://grc.com/
download

I - Description des tests

Les critères de choix pour un firewall personnel sont :

Efficacité des protections : pénétration, troyens, surveillance des points faibles, dénis de service.
Efficacité de la détection d'intrusion : minimum d'identification positives erronées, alertes sur les attaques dangereuses.
Interface utilisateur : facilité d'utilisation, simplicité, qualité de l'aide en ligne, complémentarité de l'interface avec votre façon d'utiliser votre PC.
Prix.

Comment les tests ont-ils été réalisés ?

Simple ping et tentative d'utilisation des partages réseau de et à partir de l'ordinateur de test.
Installation d'un outil utilisé comme troyen, bien connu et performant (Netbus Pro v2.1 [2]) sur un port non standard de l'ordinateur de test et tentatives d'accès à partir d'un système distant.
Un scan TCP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sT -P0 -O IP_ADDR).
Un scan UDP nmap [1] a été réalisé et comparé au scan nmap fait sans firewall (nmap -sU -P0 IP_ADDR).
Un test utilisant Leaktest [4] a été réalisé.
Nouveau : Les tests avec les autres utilitaires inspirés de Leaktest, sont dorénavant effectués.
Yalta Tooleaky FireHole Outbound
On vérifie les ressources système utilisées par le firewall pendant les tests (au cas où).
Le premier test de subsitution : On essaie de lancer une version modifiée de IEXPLORE.EXE (C:\Program Files\Internet Explorer\IEXPLORE.EXE ) pour vérifier si le firewall détecte le problème.
Le second test de substitution : (vous pouvez le réaliser vous même par exemple : vous lancez iexplorer.exe, vous renommez iexplorer.exe en iexplorer.old et renommez leaktest.exe en iexplorer.exe puis vous le lancez, attention le système va l'écraser assez rapidement). On lance une version modifiée de IEXPLORER.EXE pendant qu'il est déjà en cours d'exécution et on teste pour savoir si le firewall détecte le problème.
Nouveau : A la suite de nombreuses remarques, un test d'impact sur les performances réseau est réalisé. Pour le moment la méthodologie est simple : une mesure comparative sur la même plateforme sans firewall, de transfert d'un fichier de taille respectable (50 Mo) sur un réseau local à 100 M/s. Sans firewall, on atteint un taux aux environs de 90 Mb/s très proche de la capacité nominale sur ce type de réseau.
Un bon firewall ne doit pas dégrader ces performances, ou tout au moins elles doivent rester négligeables.

NB : Ces tests n'ont pas vocation à être exhaustifs bien au contraire. Cependant l'objectif reste de vérifier que le logiciel testé offre un minimum (ou non) de sécurité pour un usage personnel (à ne pas confondre avec l'usage professionnel).

Voir les résultats des tests.