Réussite chez Matousec. Pare-feu ou HIPS?

Discussion in 'LnS French Forum' started by Sacles, Nov 4, 2009.

Thread Status:
Not open for further replies.
  1. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour,

    Testez vos protections: http://www.testmypcsecurity.com/securitytests/firewall_test_suite.html

    Programme à télécharger (cliquer sur Download en bas de la page indiquée) et à décompresser. Ensuite vous lancez clt.exe.

    Mes résultats (mon antivirus est chaque fois désactivé):
    • DefenseWall + Look 'n' Stop : 330/340
    • Look 'n' Stop désactivé. DefenseWall uniquement actif: 300/340
    • DefenseWall désactivé. Look 'n' Stop uniquement actif: 70/340.
    • Sans protection (sans pare-feu, sans HIPS): 30/340.
    Ceux qui utilisent par exemple OnlineArmor ou Comodo, constateront qu'en désactivant le HIPS embarqué, les tests ne donnent pas de bons résulats.

    Sur le forum de Malekal ( http://forum.malekal.com/tests-protection-t21613.html ), des membres ont essayé Comodo et OnlineArmor sans leur HIPS. Voici les résultats obtenus dans leur configuration:
    Comodo: 70/340
    OnlineArmor: 50/340.
    Avec Look 'n' Stop seul, j'obtiens 70/340.

    Si ces scores sont confirmés, ils montrent que pour ce test. Comodo, OnlineArmor et sans doute d'autres très bien classés chez Matousec, se situent dans la même zone que Look 'n' Stop.

    Je vois par exemple que ma combinaison Look 'n' Stop + HIPS est tout aussi performante, pour ce test que d'autres "deux en un".

    Encore faudrait-il connaître la résistance des pare-feux aux intrusions!

    Conclusion: Les résultats et donc le classement chez Matousec mélangent des pommes et des poires.

    Notes:
    - Le test raté avec DefenseWall + Look 'n' Stop c'est FileDrop qualifié comme ceci par un spécialiste en protection: "FileDrop is not a test, it's a ********."
    - J'ai dû intervenir une seule fois (un clic pour mon pare-feu) lors du test DW + Look 'n' Stop. DefenseWall protège "silencieusement".

    Salut.
     
    Last edited by a moderator: Dec 2, 2009
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Merci Sacles pour ces informations.
    Je rajoute cet article dans la liste des articles à lire ;)

    Frédéric
     
  3. Spiedbot

    Spiedbot Guest

    Bizarrement LNS a disparu du classement de MATOUSEC, ou alors c'est un oubli passager, pourtant des parfaits inconnus y figurent.

    Tous ces pare feu/HIPS, on peut quand même se demander à quoi peut bien servir dorénavant un HIPS si on a WINDOWS 7 64 bits, PATCH GUARD + UAC c'est bien assez.
     
  4. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour,

    Tu as fait les tests avec l'UAC comme seule protection?

    Mon PC tourne sous XP, je n'ai donc pas la possibilité de faire le test.

    >>>>>>>>>>>>>

    Résultats de tests sur la protection "zéro day": http://translate.google.at/translat...malware.ru/antivirus_test_zero-day_protection

    >>>>>>>>>>>>>

    Pour ceux qui aiment les tests:

    Petit test à faire soi-même (sans aucun danger bien sûr): Testez la résistance de votre système aux keyloggers (enregistreurs de frappe).

    Télécharger le petit programme ici: http://www.snapfiles.com/get/antikeyloggertester.html

    Vous avez 9 tests à votre disposition.

    Pour les 7 premiers:

    1. Lancez le test, écrivez quelques lettres dans Word par exemple (ou pour rédiger une réponse à un message du forum, ou...).

    2. Observez le résultat:
    a) Keystrokes intercepted > vos défenses sont prises en défaut.
    b) Nothing intercepted until now > vos défenses ont bien bloqué le keylogger.

    Pour les 2 derniers:
    Aucune image ne devrait apparaître après avoir cliqué sur le message qui apparaît après le lancement du test.

    Salut.
     
  5. Spiedbot

    Spiedbot Guest

    Salut et merci pour les tests,

    Je viens de faire le test keyloggers avec AVIRA, LNS et WINDOWS DEFENDER comme protection en temps réel, tout est "vert" sauf un arrêt par l'UAC en position par défaut pour le "JournalRecord hook"..
     
  6. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Re,

    Tu as fait les tests successivement protection par protection (donc avec seule protection activée à la fois) ou une seule fois avec toutes les protections actives?

    Salut.
     
  7. Spiedbot

    Spiedbot Guest

    Rectification,
    Après une meilleure compréhension du test, toutes les protections ensemble, 2/3 d'échecs à ce test...
     
  8. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
  9. Spiedbot

    Spiedbot Guest

    Je vais peut être dire quelque chose de simpliste, mais si l'UAC empêche d'installer un keylogger, et ça semble être le cas puisque toute atteinte du système le fait réagir, ce genre de tests peut être sujet à caution voire inutile.
     
  10. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour,

    Les tests sont toujours sujets à caution, ils ne sont cependant pas inutiles si on sait les exploiter (ex: mon antivirus, NOD 32, bloque le lancement de ce test. Cependant si je le laisse passer, il ne se réveille que pour le deuxième screenshot sans pour autant le bloquer. Il en va de même pour l'UAC).

    Pour en revenir au sujet, l'amalgame chez Matousec est regrettable. De bons logiciels dédiés (j'entend par la pare-feu ou HIPS/IDS "purs") se retrouvent en bas de classement, alors que couplés comme ils le devraient à l'image des solutions 2 en 1 les résultats seraient sans doute différent (comme l'a montré l'exemple de Sacles) et le classement plus valable. Evidemment, le travail est alors plus conséquent (résultats pour chacun des tests afin d'éviter les redondances et ainsi pouvoir "additionner" deux solutions...). Cela dit l'information du type de solution (pare-feu, 2 en 1 etc) devrait être apparente pour plus de clarté...

    Sacles, étant ancien utilisateur de SSM (comme tu le sais le développement de ce soft n'est plus à l'ordre du jour) je recherche un nouveau compagnon pour LnS, ce qui écarte les solutions 2 en 1 dont le pare-feu est d'après mes essais la faiblesse (et d'après beaucoup la pièce de sécurité la plus importantes), et me pousse à poster sur ce forum.
    Renseignements cherchés DefenseWall apparait comme performant mais en as-tu testé d'autre (SSM me permettait de réellement contrôler les applis ce qui n'a pas l'air d'être le cas de DW) ?


    Cordialement,
     
  11. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour,

    Dans l'état actuel des choses, le HIPS que je conseillerais est bien DefenseWall.

    Assez simple d'utilisation, DW s'en sort haut la main de tous les tests qu'il passe. En voici deux:

    http://translate.google.at/translat...malware.ru/antivirus_test_zero-day_protection

    http://www.av-comparatives.org/comparativesreviews/single-product-reviews

    A noter qu'une nouvelle version (la 3) est sur le point de sortir et que cette version a la possibilité d'embarquer aussi un pare-feu d'une conception nouvelle et qui est compatible avec tout pare-feu "classique". J'utilise cette version de DW (HIPS + Pare-feu) depuis plusieurs semaines en même temps que Look 'n' Stop et cela en harmonie parfaite.

    Le principe du HIPS de DW est, en résumé: ce qui vient de l'extérieur du PC est classé "Untrusted" et ne peut pas nuire au système. Libre bien sûr à l'utilisateur de changer ce statut Untrusted > Trusted s'il sait être en présence d'un fichier sain.

    Site officiel de DefenseWall: http://www.softsphere.com/

    Essai, correction de bugs et présentation de la version 3 en beta: http://gladiator-antivirus.com/forum/index.php?showtopic=97701

    Salut.
     
  12. Spiedbot

    Spiedbot Guest

    "Les tests sont toujours sujets à caution, ils ne sont cependant pas inutiles si on sait les exploiter"

    Est ce que les leaktests sont des malwares? voilà déjà la question à se poser, non évidemment, puisque nous les installons nous même et pour la plupart sans intervention de l'antivirus.
    Avec les leaktests ce qui est tapé n'est pas intercepté... pas grave! si par inadvertance on télécharge un vrai keylogger l'antivirus va ou devrait se réveiller, si ce n'est pas le cas l'UAC s'en chargera ou le pare feu bloquera en sortie.
    Ceux qui en doutent devraient demander à MATOUSEC de faire des tests, en 64 bits surtout...

    Pour ma part je pense que les tests HIPS sont du domaine 32 bits, ce qui veut dire que le temps leur est compté, à moins de s'obstiner à intégrer dans son système de défense un logiciel HIPS aux possibilités techniquement limitées par le patchguard, comme c'est expliqué sur ce lien:

    http://translate.google.fr/translate?u=http%3A//www.wilderssecurity.com/showthread.php%3Ft%3D250126&hl=fr&langpair=auto|fr&tbb=1&ie=ISO-8859-1
     
    Last edited by a moderator: Feb 17, 2010
  13. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    J'aimerais bien connaitre les résultats sous Vista et Win7 aussi (en 32 bits).
    Il me semble que les tests sont faits sous XP-SP3 seulement.

    Frédéric
     
  14. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour,

    Ce fil m'amène cependant à me poser quelques questions sur les pare-feu.
    Pour les curieux qui ont essayé les différents tests pare feu (PC flank, shield up, etc) tout les ports apparaissent en "stealth", cependant si ils ont effectué ces tests avec ou sans LnS activé ne changent rien aux résultats puisque le pare-feu matériel de nos box (qui sont aujourd'hui dans tout les foyer ne serait-ce que pour profiter du tel et éventuellement de la télé) s'occupe de tout.
    Dans mon cas, je suis chez SFR, je ne peux pas désactiver ce filtrage... Tout au plus j'accepte les ping entrant ce qui me rend visible au "ping echo".

    Finalement mon magnifique pare-feu que j'enrichis en règles depuis de longues années voit son intérêt fortement réduit pour ce qui est des attaques venant de l'extérieurs, ne reste que le contrôle des connexions et particulièrement l'applicatif.

    Dans ce domaine qui inclut notamment les fameux "leaktest", la logique et différents résultats de test comme ceux ici même de Sacles :
    ainsi que sur le forum de Malekal :
    (soit le même résultat que DefenseWall + pare-feu) montrent que les HIPS permettent d'obtenir de bien meilleurs résultats.

    Mon interrogation est donc la suivante : les HIPS sont-ils l'avenir des pare-feu ?

    P.S. Sacles, DW que j'essaye en ce moment me parait pour l'instant effectivement très bien. Cela dit je vais égallement tenter de voir du coté de ProcessGuard qui est en version 3.5 (peu d'infos sur ce qu'il vaut), je ne sait pas si le soft bénéficie encore d'un réel développement. DW est très automatisé et j'aime bien mettre "les mains dans le cambouis". Bon, pour moi la sécu est plus un passe-temps qu'autre chose :rolleyes:

    Aimablement,
     
    Last edited: Feb 24, 2010
  15. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour,

    Petites précisions,
    - la version 3 de DefenseWall comprend aussi un pare-feu;
    - les tests dont je parle sont des leaktests, pas des tests de résistance aux intrusions (qui, à ma connaissance n'existent pas).

    Salut.
     
  16. Spiedbot

    Spiedbot Guest

    «*Mon interrogation est donc la suivante : les HIPS sont-ils l'avenir des pare-feu ?*»

    D'après ce que j'ai compris de l'affaire, les HIPS seraient plutôt du passé, puisque le 64 bits va devenir la norme (en 64 bits les pilotes doivent être signés, donc un plus pour la sécurité), et parce que WINDOWS a musclé son système avec W7 et un PATCHGUARD renforcé protégeant le noyau (très ennuyeux pour les rootkits), en outre l'UAC (VISTA – 7) joue le rôle du HIPS, inutile d'en rajouter.
    Tant que le PATCHGUARD demeurera inviolé, et d'après WINDOWS quand ce sera le cas une petite MAJ suffira, il sera inutile de mettre une surcouche aux vertus bien douteuses, puisque d'après cette discussion entre trois ténors du genre (DEFENSEWALL, SANDBOXIE et PREVX)

    http://translate.google.fr/translate?u=http%3A//www.wilderssecurity.com/showthread.php%3Ft%3D250126&hl=fr&langpair=auto|fr&tbb=1&ie=ISO-8859-1

    les quelques pare feu/HIPS qui se risquent à faire de la protection sous W7 64 bits le font en utilisant des crochets en mode utilisateur, ce qui n'est pas, paraît il, idéal.
     
  17. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonsoir,

    Hum, tout ceci ne répond pas vraiment à la question que je me posais cependant il est toujours intéressant d'y répondre.
    Concernant ce fameux PatchGuard, je ne suis clairement pas du même avis que toi Spiebot, le fait est que cela reste une discussion "anonyme" sur un forum auquel je peux en opposer d'autre telle que :
    http://www.generation-nt.com/micros...noyau-windows-vista-avet-actualite-17936.html (tu noteras que les personnes sont nommés, et l'une d'entre-elle fait parti de Microsoft Security...).
    Maintenant mon avis sur la "protection ultime" de Microsoft est évidemment que comme d'habitude ce sera une question de temps avant que celle-ci soit craquée (comme dit dans le lien précédant), les fameuses mises à jours reprendront typiquement (et au mieux) la course virus/antivirus. Personnellement j'ai beaucoup de mal à croire à la toute puissance de PatchGuard et UAC même si c'est sans doute mieux que rien pour un utilisateur lambda, d'autant plus de la part d'un OS qui a été craqué avant même sa sortie officielle en france (comme tout les autres OS Microsoft depuis l'explosion internet d'ailleur, soyons gentils disons post-windows 90+huit, problème de smiley auto pour le huit).

    Mon avis, pour l'avoir testée, sur l'UAC est que cette protection est dépassée. C'est d'ailleurs l'avis général... Évidemment une protection est mieux qu'aucune mais même un défenseur de l'UAC (Malekal par exemple) ne prétendrais pas que cette protection vaut un HIPS.

    De plus, PatchGuard concerne les modifications du noyaux, qui ne sont certainement pas utilisé systématiquement par tout les malwares (j'entend par la tout ce qui peux nuire à nos machines).
    Partant de là, le constat est très simple à mon sens, les logiciels protégeant nos PC ont besoin de réagir avec le noyaux pour être pleinement efficaces et d'un autre coté les "malwares" n'ont pas forcement besoin de cet accès noyau pour être nuisible, je te laisse conclure...

    Concernant l'intervention de Sacles, je suis bien conscient que DefenseWall possède son pare-feu interne. Cela dit je n'ai pas évoqué de résistance aux intrusions mais bien de Leaktest et du contrôle des connexions des applications PC>>Extérieur soit en générale les connexion PC>>Extérieur, les connexions dans l'autre sens étant filtrées au niveau matériel par le modem/box/routeur.

    Aimablement,
     
    Last edited: Feb 24, 2010
  18. Spiedbot

    Spiedbot Guest

    "Hum, tout ceci ne répond pas vraiment à la question que je me posais"
    Pas vraiment mon avis.

    "Concernant ce fameux PatchGuard, je ne suis clairement pas du même avis que toi Spiebot, le fait est que cela reste une discussion "anonyme" sur un forum auquel je peux en opposer d'autre telle que :
    http://www.generation-nt.com/microso...ite-17936.html"
    L'article en question, qui date... du 13/10/2006 et du temps de VISTA, existence courte?...
    "Si l'on en croit Aleksander Czarnowski, qui exerce ses talents chez le spécialiste polonais AVET Information and Network Security, la couche de protection ajoutée par Microsoft autour du noyau de Windows Vista, et baptisée PatchGuard, connaîtra une existence courte et mouvementée."
    Rappelons quand même que W7 a un PATCHGUARD renforcé.

    "De plus, PatchGuard concerne les modifications du noyaux, qui ne sont certainement pas utilisé systématiquement par tout les malwares (j'entend par la tout ce qui peux nuire à nos machines"
    Les HIPS non plus ne peuvent pas tout bloquer, concernant DEFENSEWALL celui ci laisse entrer les malwares, au moins dans certains cas, mais les empêchent de nuire.
    Dans le lien très intéressant mais long (12 pages) cité plus haut, ces HIPS dans un contexte W7 64 bits sont comparés à des forces de police qui essayeraient de mal protéger une banque dans des rues adjacentes (crochets en mode utilisateur), alors que la rue principale où se trouve le coffre de la banque est hautement sécurisée.
    Pas mal comme image.
     
  19. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour,

    DW n'a jamais prétendu qu'il ne laissait pas entrer les malwares. Le principe de DW est: tout ce qui vient de l'extérieur ne peut pas nuire au système (sauf autorisation de l'utilisateur).

    Salut.
     
  20. Galaadan

    Galaadan Registered Member

    Joined:
    Feb 21, 2008
    Posts:
    20
    Bonjour,

    Sans vouloir polémiquer, non, ma question n'était pas "PatchGuard est-il le nouveau messie qui sauvera nos PC à condition qu'il soit sous Win 7 et en 64 bits ?". A titre perso j'ai toujours un de mes systèmes en 32 bits pour les applis incompatibles 64 bits, et ça m'intéresse beaucoup de le protéger...
    Libre à toi bien sur de te connecter sans protection au net avec ton Win 7 64bits.

    Puisque le sujet était les tests de chez Matousec, je me demandais si les pare-feu ne devaient pas évoluer dans le sens contrôle des connexions et applications PC>>Extérieur (puisque nos box/modem nous protègent dans l'autre sens via leurs pare-feu matériels). Ce qui correspond en partie à l'usage d'un HIPS...

    Aimablement,
     
  21. monsieur N

    monsieur N Registered Member

    Joined:
    Aug 2, 2010
    Posts:
    5
     
  22. Sacles

    Sacles Registered Member

    Joined:
    Dec 8, 2004
    Posts:
    372
    Location:
    Belgique
    Bonjour,

    Tu dois évidemment permettre au programme CLT de s'exécuter.

    Salut.
     
Thread Status:
Not open for further replies.