Test Firewall

Discussion in 'LnS French Forum' started by jpc, Jan 20, 2004.

Thread Status:
Not open for further replies.
  1. jpc

    jpc Registered Member

    Joined:
    Jan 17, 2004
    Posts:
    45
    Location:
    France
    Sur le site suivant "http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/index.html" j'ai trouvé
    plusieurs outils pour tester son firewall.
    Je les ai effectués et pour les tests 11 (WallBreaker) et 13 (Ghost) les 2 programmes arrivent à se connecter sur internet sans que Looknstop ne les détectent. Ceci révèle t'il un mauvais paramétrage ou une faille du firewall ? :doubt:
     
  2. jpc

    jpc Registered Member

    Joined:
    Jan 17, 2004
    Posts:
    45
    Location:
    France
    Attention, certains de ces tests sont identifiés par KAV comme porteurs de virus,
    dont Ghost (virus Exploit.win32.firehost) et Copycat (virus Hacktool.Win32.injecter)
    Ceci ne change rien cependant à mon interrogation : virus ou pas, looknstop peut-il être trompé ?
     
  3. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Tous les antivirus sans exceptions identifiants les leaktests comme des virus sont a coté de la plaque, c'est une betise marketting.
    Je suis l'auteur de Wallbreaker et Ghost, et ce ne sont pas des virus, tout comme Copycat, le code source est d'ailleurs fournis pour la plupart des leaktests.

    Wallbreaker n'est bloqué par aucun firewall, donc pas de soucis particulier pour Look'n'Stop.
    Ghost est bloqué par ZA et NPF, mais ceux là meme ne passent pas Thermite que Look'n'Stop lui passe.

    Donc ne pas faire l'erreur de juger un firewall uniquement sur les leaktests, meme si ceux ci demontre la résistance du filtrage du firewall ;)

    D'un point de vue strict du filtrage applicatif sortant, Look'n'Stop a le meilleur score des firewalls testés.
     
  4. MickeyTheMan

    MickeyTheMan Security Expert

    Joined:
    Feb 9, 2002
    Posts:
    1,016
    Ce n'est pas juste une question de firewall.
    Je peux vous dire que ni Ghost ni wallBreaker ne passent ici.
    Config: LNS, Naviscope, MyIe et pacfile. Dans tous les cas de tentative d'ouvrir une page, le pacfile (spyblocker software)intervient
    RegRun intercepte meme le 3e test de wallbreaker.
    PCAudit est par ailleurs bloqué par Naviscope.

    Il s'agit donc d'avoir plus d'un outil dans son arsenal.
     
  5. jpc

    jpc Registered Member

    Joined:
    Jan 17, 2004
    Posts:
    45
    Location:
    France
    Merci pour ces réponses instructives et de qualité
     
  6. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    @Mickey The MAn

    Je vais prochainement ecrire un "paper" a propos de tout ca (leaktests et Co).
    Pour passer "l'idée" d'un leaktest, le firewall doit le voir et le bloquer.
    Maintenant, comme aucun firewall est 100% infaillible et ont tous des vulnerabilités, on est obligé de rajouté des mesures de sécurité pour se prémunir de tels "exploits".

    Mais bien faire la difference entre "passer un leaktest" et "empecher le test de s'executer".

    Les leaktests n'ont jamais eu la prétention d'outrepasser une solution de sécurité globale, juste a démontrer (outrepasser) le filtrage logiciel des firewalls.

    Donc dire mon SSM ou AP passes tous les leaktests par ex est totalement faux, ils empechent le test de s'executer, mais ds ce cas recourir a ces methodes (que je conseil par ailleurs sur mon site) c'est reconnaitre la vulnerabilité de son firewall.

    Je ne vais pas plus m'etendre ici, je vais de toute façon tout ecrire dans un condensé que je publierai, mais je tenais juste a souligner la nuance ;)
     
  7. MickeyTheMan

    MickeyTheMan Security Expert

    Joined:
    Feb 9, 2002
    Posts:
    1,016
    Parfaitement d'accord.
    Il serait illusoire de prendre pour acquis que seul un firewall serait la panacée à tous les problèmes.
    Ce n'est qu'un outil parmi tant d'autres.
     
Thread Status:
Not open for further replies.