Sur lusage des

Pare-feu

O CTY V ERSION 1.0 - 20 SEPTEMBRE 2004 http ://octy.free.fr/

Table des matires

1 Introduction 2 Communiquons 2.1 Une adresse pour changer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Organisons la communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Les pare-feu 3.1 Limitations et rles dun pare-feu . . . . . . . 3.2 Dnition dune zone de conance . . . . . . 3.3 Filtrage par logiciels et apprentissage . . . . . 3.4 Filtrage par les caractristiques de connexion 3.5 Autres fonctionnalits des pare-feu . . . . . . 3.6 Tests et conguration . . . . . . . . . . . . . 4 Conclusion 1 3 3 5 8 8 9 11 15 18 19 23

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

ii

Table des gures

2.1 2.2 2.3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.14 3.13 3.15 3.16 3.17 Rsultats de la commande ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . Interconnexion logiciels/ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rsultats de la commande netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spration de zones . . . . . . . . . . . . . . . . . . . . . . . . Denition de la zone de conance dans le pare-feu Kerio . . . . Rgles de dcision par logiciels . . . . . . . . . . . . . . . . . . Interception dune connexion sortante vers Internet, sans rgle . Interception dune connexion entrante depuis Internet, sans rgle Interception dune connexion sortante . . . . . . . . . . . . . . Dtection de la modication dun logiciel . . . . . . . . . . . . Lancement dun logiciel partir dun autre . . . . . . . . . . . Consultation et modication de la liste de regles de ltrage . . . Ajout dune rgle de ltrage . . . . . . . . . . . . . . . . . . . Slection dun numro de port pour la dnition dune rgle . . Requte ping autorise . . . . . . . . . . . . . . . . . . . . Alarme sur lapplication dune rgle de ltrage . . . . . . . . . Requte ping refuse . . . . . . . . . . . . . . . . . . . . . Test des ports de mon ordinateur . . . . . . . . . . . . . . . . . Test des ports de mon ordinateur aprs ajout de rgles . . . . . . Blocage de Netbios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6 7 10 10 12 12 13 13 14 14 15 16 17 17 17 18 20 20 21

iii

Chapitre 1

Introduction
Lide de rdiger ce modeste guide est ne des ls de discussions rcurents, que lon trouve au dtour des forums sur Internet, autour de lemploi des pare-feu. Nombre dutilisateurs semblent tre perdus face ce type doutils car il est vrai que leur utilisation est parfois droutante. Leur utilisation semble, tort dans la majorit des cas, ncessiter une connaissance approfondie de linformatique actuelle ou des protocoles utiliss sur la toile par les ordinateurs. A lheure ou les systmes de paiement, les services de gestion bancaire en ligne ou la tl-dclaration des rvenus se dmocratisent, souvrir sur Internet ncessite une prise de conscience. De la mme manire que pour ces mcanismes qui utilisent activement Internet, les donnes stockes sur votre ordinateur (photos, comptes bancaires, courrier,. . .) peuvent tre la cible dactes malveillants ds que votre ordinateur est capable dinteragir avec lexterieur. Un certain nombre de composants de scurit sont ncessaires pour ne pas avoir de dconvenue ou de mauvaises surprises (compte en banque allg, donnes personnelles publies,. . .). Le pare-feu en est un, certains systmes (Windows XP muni du Service Pack 2 par exemple -SP2-) disposent dun rewall intgr, dautres ncessitent lajonction dun outil (logiciel ou matriel) ddi. Associ au pare-feu, il est galement un composant primordial : lutilisateur. Une des meilleurs protection est lutilisation intelligente de votre ordinateur et du pare-feu. Le but de ce document est de montrer que cela nest nalement pas si compliqu et que quelques regles de bon sens permettent de sen sortir pas si mal. Pour ce faire il a pour but dexpliquer sur quels principes basiques fonctionne un pare-feu et ce que vous tes en droit den attendre. Avec la dmocratisation dInternet, on dnombre de plus en plus dutilisateurs francophones qui ne sont pas laise avec des guides dutilisation ou manuels rdigs en anglais, jai donc privilgi la rdaction de ce mini guide en franais. Il nest pas rare que les demandes de conseils auxquelles certains utilisateurs avertis rpondent sur les forums de discussions saccompagnent dun critre de francophonie, soit pour le logiciel utiliser soit pour les documents. Je ne suis pas un spcialiste de la technologie utilise par les pare-feu ou de leur dveloppements. Je prsente ici simplement une exprience acquise dans leur utilisation en esprant quelle pourra tre

utile dautres. Je me ddouane galement classiquement, il ne serait en tre question autrement dans le domaine de la scurit informatique :

Je decline toute responsabilit quant la perte de donnes, dintgrit du systme ou de lordinateur, suite lapplication des informations contenues dans ce document. Notamment en cas de faille ou de conguration incorrecte du logiciel pare-feu et/ou du systme pouvant exposer le systme et les donnes quil berge des menaces malveillantes de toute nature que ce soit. Jai tent de minimiser les dtails techniques pour adresser un public le plus large possible. Un utilisateur averti trouvera probablement ce document ennuyeux, cest normal, je nai pas vocation faire un prcis de technologie. Ce document contient des illustrations et exemples bass sur lutilisation de dun systme particulier, et ne constitue en aucun cas un jugement de valeur sur la scurit de ces lments : Microsoft Windows XP Familial SP1 Pare-feu Kerio Personnal Firewall 4 Lobjectif ntant pas de fournir une description dtaille du fonctionnement des principaux outils disponibles sur le march (notamment dans un soucis de stabilit de mon systme dexploitation). Cependant, toute contribution bnvole (au mme titre que celle-ci) visant tendre les illustrations vers dautres systmes dexploitation ou pare-feu (logiciel ou matriel) seront les bienvenues et intgres, sans obligation de temps, ce document. Enn, toute remarque constructive est galement la bienvenue pour assurer une mise jour corrective ou volutive.

La premire partie de ce document dcrit les principes suivants lesquels un ordinateur communique classiquement via Internet. Les bases tant poses, les pare-feu perdrons peu peu de leur mystre mystre, les principes gnraux dutilisation ainsi que des exemples seront prsents dans la deuxime partie.

Chapitre 2

Communiquons
Ce chapitre explique comment votre ordinateur echange des informations avec dautres machines via Internet. Il permet ainsi de xer le vocabulaire que lon retrouve traditionnellement lors de la conguration et lutilisation courante dun pare-feu.

2.1 Une adresse pour changer

Le rseau Internet regroupe des millions dordinateurs, tous techniquement capable de communiquer lun avec lautre, sans ambigut. Pour parvenir ceci votre ordinateur possde une adresse unique cest son adresse IP (Internet Protocol). On peut faire une analogie, en simpliant, avec ladresse postale (sans mention nominative - elle reprsentera un autre service plus tard -). Dans la ralit cest un peu diffrent car les fournisseurs daccs Internet disposent chacun dune plage dadresses limite. Dans la majeur partie des cas les utilisateurs disposent alors dune adresse IP dite dynamique ( loppose dune adresse IP statique ou xe). Lorsque que vous possdez une adresse IP dynamique votre fournisseur daccs Internet vous en attribue une diffrente pour chaque session (entre la connexion Internet et la dconnexion). Si vous ne savez pas quelle type dadresse IP vous possdez il y a de fortes chances que vous soyez en IP dynamique. Laccs une IP statique est souvent un service quil faut demander explicitement et parfois payant, puisque votre fournisseur en a un nombre limit. Cela a un intrt lorsque vous souhaitez que votre ordinateur puisse tre toujours accessible, sans que lon soit oblig de vous chercher. Dans ce cas, lanalogie avec une adresse postale est totale. Cest le cas des personnes qui souhaitent mettre disposition un service sur Internet (serveur, forums,. . .). Bien quil existe aujourdhui des outils permettant de communiquer automatiquement son adresse lorsquelle change. Avoir une adresse IP dynamique nest pas dnu dintrt dun point de vue scurit. En effet une personne qui cherche pentrer votre systme est oblige de rechercher votre ordinateur entre chaque session car vous changez systmatiquement dadresse. Un attaquant digne de ce nom aura dautres moyens pour vous pister, mais cela met dj en place une premire barrire.

2.1 Une adresse pour changer

Une adresse IP est constitue de quatre nombres entiers, chacun tant compris entre 0 et 255. Cela permet donc de fournir des adresses pour 4294967295 ordinateurs, cest le codage adopt depuis des annes par le standard IPv4 (Internet Protocol Version 4, codage des adresses sur 32 bits). Cela peut sembler sufsant pour fournir les adresses tous les ordinateurs existants et cela pour encore plusieurs dizaines dannes. Dans la pratique cela est faux car les adresses ne sont pas attribues de manire anarchique. Elles sont structures en domaines et certaines adresses ne seront jamais utilises. Pour palier cela (entre autre) la communaut scientique travaille depuis plusieurs annes la spcication et au dploiement dIPv6 qui code les adresses IP sur 64 bits offrant ainsi un espace dadressage de 18446744073709551615 possibilits, ce qui devrait nous mettre labri pour un moment. ce jour, la plupart des ordinateurs connects Internet (la trs grande majorit en fait) nutilise que le standard IPv4. Il existe plusieurs mthodes pour connatre ladresse IP de votre ordinateur, notamment en fonction des outils livrs lors de votre abonnement par votre fournisseur daccs. Sous windows XP, la mthode universelle consiste tapper la commande ipconfig dans une fentre de commande (habituellement accessible par le menu Dmarrer/Tous les programmes/Accessoires/Invite de commandes. La gure 2.1 prsente le rsultat, indiquant la prsence dune carte rseau ethernet (ce nest pas forcment le cas) et une connexion au rseau Free ADSL avec une adresse IP attribue de 82.65.56.87. C:\>ipconfig Configuration IP de Windows

Carte Ethernet Connexion au rseau local: Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Passerelle par dfaut . Carte PPP Free ADSL : Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Passerelle par dfaut . C:\> F IG . 2.1 Rsultats de la commande ipconfig connexion . . . . . . . . . . . . . . . : : 82.65.56.87 : 255.255.255.255 : 82.65.56.87 connexion . . . . . . . . . . . . . . . : : 10.0.0.10 : 255.255.255.0 :

2.2 Organisons la communication

Pour faciliter la mmorisation dadresses, il est possible pour certaines dutiliser une forme plus littrale. Par exemple www.google.fr reprsente celle dun serveur Web bien connu. Si vous saisissez cette adresse dans votre navigateur il ne sera pas capable de former des messages destination du serveur avec une adresse sous cette forme. La premire action execute par votre navigateur est donc de demander sa traduction en une reprsentation plus classique pour lui (sous la forme dune srie de quatre nombres). Cest le rle des serveurs DNS (Domaine Name serveur). Dans tous les cas lorsque votre pare-feu emettera une alarme concernant une connexion sortante ou entrante, il vous indiquera au moins ladresse IP sous forme de nombres.

A retenir Sur Internet les ordinateurs sont identis par une adresse IP compose de quatre nombres entre 0 et 255 (souvent reprsents spars par des points). Exemple : 82.65.56.87. Cette adresse peut tre soit dynamique soit xe.

2.2 Organisons la communication

Pour prsenter les adresses IP nous avons voqu les communications entre odrinateurs. Dans la pratique ce nest pas tout a fait exact, en fait se sont les programmes, qui sexecutent sur les ordinateurs, qui communiquent entre eux. Par exemple lorsque vous ouvrez un navigateur Web et que vous saisissez ladresse dun serveur (www.free.fr par exemple), le navigateur va communiquer avec le serveur correspondant en utilisant les ressources logiciels et matrielles de votre ordinateur. Sur les systmes dexploitations actuels (Windows XP, Linux, MacOS,. . .) qui nous permettent dutiliser les ressources des ordinateurs il sexecute plusieurs logiciels simultanments. Chacun dentre eux la possibilit de communiquer avec dautres logiciels via Internet. tant donn que votre ordinateur possde une adresse IP unique il a fallu mettre en place un systme permettant chaque logiciel de ne pas interfrer dans la communication des autres. Cest le systme des ports. En reprenant lanalogie postale, le port serait le nom dune personne particulire rsidant ladresse donne. Il est reprsent par un nombre positif. Lorsquun logiciel a besoin de communiquer sur Internet il sattribut un port, on dit alors quil ouvre un port. Par la suite, le logiciel sattend alors ce que toutes les informations qui lui sont destines arrivent par ce port, on dit quil coute un port. Dans la pratique cest votre systme dexploitation qui reoit ou met lensemble des donnes en provenance ou destination dInternet. Ces informations sont dcoupes en paquets lmentaires ayant un format standardis comprhensible par les autres ordinateurs. Les formats les plus connus (protocoles) sont TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). Dans la plupart des cas, tous ces paquets lmentaires contiennent non seulement linformation qui transite mais galement une entte indiquant entre autre :

2.2 Organisons la communication

F IG . 2.2 Interconnexion logiciels/ports ladresse IP de lmetteur ladresse IP du destinataire le port du destinataire la rception dun paquet le systme dexploitation, qui maintient une liste de tous les ports ouverts par vos applications, dtermine quel logiciel sont destins les informations. Le logiciel qui est normalement lcoute du port dont il a demand louverture est inform de larrive de donnes, quil peut par la suite lire et interprter. La gure 2.2 schmatise ce principe. Le nombre de ports ouvrable simultanment est limit par ordinateur, notamment en fonction des capacits du systme dexploitation. De plus le codage des numros de de port dans les paquets lementaires limite les numros de 1 65535. Un logiciel peut ouvrir plusieurs ports simultanment. Certains numros de port sont implicitement rservs des usages particuliers. Par exemple, les logciels serveurs Web sont classiquement associ au port 80 pour recevoir des requtes de pages. Si vous saisissez www.voila.fr dans votre navigateur il formulera une demande qui contiendra ladresse IP de destination correspondante (rcupre sur un serveur DNS) et le port 80. Il est possible de forcer ladressage vers un port particulier en spciant le numro la suite dune adresse, spars par deux points. Par exemple les adresses www.voila.fr et www.voila.fr :80 saisies dans votre navigateur aboutirons au mme rsultat alors que www.voila.fr :1563 ne don-

2.2 Organisons la communication

nera rien. Lordinateur dont ladresse est www.voila.fr nayant probablement pas de logiciel en cours dexecution qui ait ouvert le port 1563. Vous avez probablement entendu parler de scan de ports. Il sagit dun attaquant la recherche dune victime. Une fois une adresse IP choisie (alatoirement gnralement) lattaquant balaie lensemble des ports de la machine pour dtecter ceux qui sont ouverts, cest dire ceux derrire lesquels un logiciel est capable de recevoir et dinterprter des informations. Cest la phase prliminaire un type dattaque. La seconde phase consiste identier le logiciel qui est lcoute dun des ports ouvert pour ventuellement en exploiter les faiblesses. Un scan de ports est difcilement exploitable pour un attaquant si les logiciels qui ont ouvert les ports nont pas de faiblesses identies. Il est primordial de maintenir ses logiciels jour avec les diffrents correctifs proposs par les diteurs (la fonctionnalit Windows Update disponible sous Windows XP par exemple). La commande netstat, toujours dans la fentre dinvite de commandes donne la liste des connexions actives sur votre ordinateur. La gure 2.3 reprsente ltat des connexions lors dun accs au serveur Web adsl.free.fr, lextension des adresses avec le sufxe :htpp signie implicitement le port 80. C:\>netstat Connexions actives Proto TCP TCP TCP Adresse locale pcperso-home:1138 pcperso-home:1139 pcperso-home:1140 Adresse distante dgroup.proxad.net:http 80.15.238.18:http dgroup.proxad.net:http Etat ESTABLISHED ESTABLISHED ESTABLISHED

F IG . 2.3 Rsultats de la commande netstat La mme commande utilise avec une option (netstat -a) fournie la liste des toutes les connexions TCP actives et les ports TCP et UDP actuellement utiliss en coute. Pour rappel TCP et UDP sont les principaux protocoles utiliss sur Internet, ces standards dnissent comment et sous quelles formes les informations sont changes entre les ordinateurs.

A retenir Les logiciels qui sexecutent sur votre ordinateur ouvrent et coutent des ports, ce qui permet au systme dexploitation de leur transmettre sans ambigut des informations en provenance dInternet. Ces informations ont ts achemines jusqua votre ordinateur grce son adresse IP unique.

Chapitre 3

Les pare-feu
Les pare-feu peuvent prendre plusieurs formes : celle dun logiciel indpendant sexecutant sur votre ordinateur ; celle dun logiciel ou service mis en uvre dans votre systme dexploitation (cest le cas dans Windows XP SP2) ; celle dun rmware implant dans un matriel spcique. Cest le cas des routeurs disposant dun module pare-feu. Dans la premire catgorie on trouve des produits proposs gratuitement (gnralement sous une forme limite) pour un usage non commercial. Par exemple, par ordre alphabtique : Kerio Personal Firewall 4, http ://www.kerio.com ZoneAlarm, http ://www.zonelabs.com Le premier (Kerio Personal Firewall) servira illustrer mes propos en prsentant leur mise en uvre.

3.1 Limitations et rles dun pare-feu

Le rle de base dun pare-feu et de contrler les communications qui sont tablies entre les logiciels sexecutant sur votre ordinateur et ceux des machines distantes visibles travers un rseau (Internet ou autre). Par contrler on entend autoriser ou refuser les connexions mais aussi les rpertorier dans un journal dactivit si ncessaire. En gnral, mais il y a des exceptions que nous prsenterons par la suite, le contrle ne seffectue pas sur le contenu mais sur le contenant. Plus prcisment sur les caractristiques de la connexion. Parmi les fonctionnalits les plus courantes des pare-feu, et que lon dtaillera avec un exemple, on trouve souvent : dnition dune zone de conance, constitue dlments pour lesquels les communications ne sont pas suspectes (votre ordinateur par exemple) ;

3.2 Dnition dune zone de conance

dnition dune liste de logiciels suceptibles de communiquer des informations vers lune des zones dnies. Pour chaque logiciel il est possible dautoriser ou refuser ltablissement dun canal de communication ; dnition dune liste de ports et protocoles autoriser ou refuser ; dnition dune liste dadresse IP autoriser ou refuser pour ltablissement dune communication ; la tenue dun journal dans lequel le pare-feu va rpertorier certains vnements que vous lui aurez demander de surveiller ; la surveillance de lintgrit des logiciels ; ltrage de certaines adresses Internet littrales ; blocage des cookies ; emmission dalarmes sur certains vnements congurables ; ... En aucun cas un pare-feu nest un outil de dtection ou dradication de virus, chevaux de troie ou autres codes malicieux, contrairement aux anti-virus qui peuvent les detecter avant quils ne deviennent actifs. Un pare-feu correctement utilis et congur pourra cependant en bloquer les consquences en interceptant une tentative de connexion illgitime en provenance ou a destination de votre ordinateur. Un pare-feu na dautre choix que de suivre des rgles pour dcider du caractre lgitime ou non dune communication. Ces rgles sont issues de sa conguration. En gnral, en cas dambigut le pare-feu vous notie un problme ncessitant une intervention de votre part. Cependant, la majeur partie des pare-feu grand public et usage personnel disposent dune interface simplie permettant de xer le niveau de scurit requi (souvent traduit par faible, moyen ou fort). Ce niveau est utilis pour activer ou dsactiver un ensemble de rgles plus ou moins restricives et prdnies par lditeur du logiciel.

3.2 Dnition dune zone de conance

Une fois install le pare-feu va scruter le fonctionnement de votre ordinateur et notamment toutes les connexions qui seront tablies par les logiciels. Les rgles qui seront dnies ultrieurement seront faites pour contrler ce quil va rentrer ou sortir de la zone de conance. Elle peut tre symbolise comme une zone de libre change ou il existe deux niveaux de contrle, un aux frontires externes et un lintrieur. La gure 3.1 schmatise cette sparation opre par le pare-feu, entre la zone de conance que vous crez et Internet. La zone de conance est gnralement forme des composants constituant votre systme et suceptibles demettre ou recevoir des communications. Par exemple si vous disposez de deux ordinateurs en rseau, chacun des deux peut avoir conance en lautre. Il est alors possible de dnir une zone de conance contenant ces deux ordinateurs (identis par leur adresse IP).

3.2 Dnition dune zone de conance

10

F IG . 3.1 Spration de zones Il est vident que cette zone ne doit pas contenir dlments non contrls (des adresse IP dordinateurs sur Internet par exemple). Pour un usage domestique classique (un ordinateur connect Internet), la zone de conance ne contient que le matriel li lodinateur. Par exemple : lordinateur lui mme car les logiciels fonctionnant sur un mme ordinateur peuvent utiliser des ports pour communiquer entre eux. Votre ordinateur est identi par ladresse IP 127.0.0.1. Cest ladresse IP loopback, elle nest pas interprte comme une adresse IP dune machine sur un rseau, mais comme tant lordinateur metteur lui mme. ventuellement une carte rseau.

F IG . 3.2 Denition de la zone de conance dans le pare-feu Kerio La gure 3.2 prsente la fentre de conguration de la zone de conance (dite zone de scurit dans Kerio Personal Firewall 4), disponible par longlet gauche Scurit du rseau puis longlet supprieur Zone scuris.

3.3 Filtrage par logiciels et apprentissage

11

Les pare-feu grand public ne gre gnralement quune zone de conance la deuxime zone tant constitue de tout ce qui nest pas dans la premire. Cela reste sufsant pour la plupart des utilisations classiques. De plus pratiquement tous les pare-feu detectent automatiquement votre matriel linstallation et crent une zone de conance. Il vous suft donc, aprs linstallation, de vrier son contenu et ladapter vos besoins (ajouter ou supprimer des composants).

A retenir Le pare-feu sintercalle entre les logiciels de votre ordinateur et Internet. Il dni gnralement deux zones (dont une de conance) et contrle les changes entre les deux zones et les activits dans la zone de conance.

3.3 Filtrage par logiciels et apprentissage

A la suite de son installation, des pare-feu tels que ZoneAlarm ou Kerio Personal Firewall 4 ne connaissent rien de vos habitudes et logiciels favoris et donc des connexions lgitimes qui font suite une utilisation classique de votre ordinateur. Les pare-feu maintiennent une liste des logiciels ayant fait une demande de connexion par le pass et laction qui en a dcoul : autorisation systmatique ; refus systmatique ; demande lutilisateur. La gure 3.3 prsente la conguration par logiciels du pare-feu de Kerio, accessible par longlet gauche Scurit du rseau puis longlet supprieur Applications. On y retrouve pour chaque logiciel (les noms sont outs dans la capture dcran) les actions tenir en cas de connexion entrante ou sortante, dans la zone de conance ou Internet. Ce pare-feu offre galement la possibilit de tracer dans un journal les requtes de connexions des logiciels ainsi que dmettre une alarme quand certains dentre eux ont une telle activit. En labsence de rgles explicites, chaque logiciel qui tentera de mettre en uvre une connexion sera bloqu par le pare-feu qui vous informera de cette tentative et attendra une dcision de votre part. Les gures 3.4 et 3.5 reprsentent les tablissements de connexions pour lesquelles le pare-feu na pas de rgle de dcision : la gure 3.4 est linterception dune communication destination dInternet, demande par le logiciel latex (excellent compilateur de texte avec lequel je rdige ce document) et destination de lordinateur 195.83.118.1 sur son port 59912. Cette connexion fait suite une action de ma part sur le logiciel, qui ncessite de tlcharger une extension. Il ny a donc pas dambigut et je peux donc autoriser cette communication. De plus, ayant moi mme install ce logiciel en connaissance de cause, je peux galement cocher loption crer une rgle pour cette communication et ne plus me demander pour autoriser les futures connexions ; la gure 3.5 quant elle indique que le logiciel Kerio (le pare-feu lui mme) a reu une demande de connection en provenance dInternet, et plus prcisment de la part de lordinateur

3.3 Filtrage par logiciels et apprentissage

12

F IG . 3.3 Rgles de dcision par logiciels

F IG . 3.4 Interception dune connexion sortante vers Internet, sans rgle 195.139.120.94 port 15098. Demande refuse. Cette phase pendant laquelle le pare-feu ncessite votre intervention est une phase dapprentissage, chaque rponse pouvant gnrer, si vous le souhaitez, une nouvelle entre dans la table des autorisations/refus systmatiques. A tout moment, en cas derreur, vous pouvez changer la rgle de dcision pour un logiciel grce la fentre reprsente gure 3.3 (ou son quivalente pour un autre logiciel). Il nest pas toujours facile de prendre une dcision dautorisation ou de refus dans le cas dune connexion sortante. Quand la connexion remonte par le pare-feu est sans ambigut par rapport au logiciel que lon est en train dutiliser et laction que lon vient deffectuer, il est facile de choisir. Par exemple lorsque lon veut consulter ces courriels (avec le logiciel Outlook par exemple), il ne faut pas stonner davoir une alerte, telle que reprsente gure 3.6, qui correspond une requte de rcupration de courrier lectronique (pop3 est un protocole spcialis pour la rcupration de courriel et associ

3.3 Filtrage par logiciels et apprentissage

13

F IG . 3.5 Interception dune connexion entrante depuis Internet, sans rgle

F IG . 3.6 Interception dune connexion sortante par dfault au port 110). Il est moins vident de prendre position sur des connexions qui sont effectues automatiquement soit par le systme dexploitation soit par dautres logiciels. Certains peuvent effectivement scanner rgulirement des serveurs la recherche de mise jour ou pour des applications instantannes (du type de MSN Messenger par exemple). Il ne faut pas hsiter faire des tests, un par un, an de pouvoir revenir facilement en arrire en cas de problme. Aprs la cration dune rgle, il est toujours possible de la modier. Certains pare-feu disposent galement dune possibilit de sauvegarde et restauration des rgles. Une fois quune rgle a t denie pour un logiciel il ne faut pas que celui-ci soit mo (par un virus ou un attaquant). Si vous accordez votre conance un navigateur Web et crez une rgle dautorisation

3.3 Filtrage par logiciels et apprentissage

14

F IG . 3.7 Dtection de la modication dun logiciel systmatique, il ne faut pas que celui-ci soit infect par un virus et commence mettre des informations personnelle destination dun ordinateur sur Internet. Tous les pare-feu disposent donc dun systme de serveillance des logiciels et bloquent leur execution si un changement a t dtect, comme le montre la gure 3.7. De la mme manire lorsquun logiciel en execute un autre, le processus est intercept pour en informer lutilisateur, comme le montre la gure 3.8. Dans cet exemple, jai fais la demande dune mise jour du logiciel Firefox qui lance alors le programme permettant de leffectuer (setup).

F IG . 3.8 Lancement dun logiciel partir dun autre

3.4 Filtrage par les caractristiques de connexion

15

3.4 Filtrage par les caractristiques de connexion

Filtrer les tablissements de communications par le logiciel qui en fait la demande nest pas toujours sufsant. Il peut tre ncessaire par exemple de bloquer un numro de port quelque soit le logiciel, ou pour un logiciel particulier bloquer quun seul numro de port ou protocole. Toutes les combinaisons sont possibles. Ce type type de ltrage est maintenant propos par tous les pare-feu et peut tre gnralement congur (en connexion entrante ou sortante) pour : un port ou une plage de port ; une adresse IP ou une plage dadresse ; un protocole. Cette possibilit dafner le ltrage permet de limiter les ports ouverts sur votre ordinateur et de limiter les risques dintrusions. La gure 3.9 (accessible partir de la fentre de conguration du ltrage par logiciel - gure 3.3 - par le bouton infrieur Filtrage. . .) permet de consulter et ajouter des rgles de ltrage (la liste des ports ltrs sur mon ordinateur est oute pour des raisons videntes de scurit).

F IG . 3.9 Consultation et modication de la liste de regles de ltrage Lajout de nouvelles rgles se fait partir de la fentre de dialogue reprsente gure 3.10. Elle permet de composer, de manire intuitive, des rgles de ltrage en fonction des logiciels et/ou des ports et/ou des adresses IP des ordinateurs distant. La gure 3.11 prsente la saisie dun numro de port pour

3.4 Filtrage par les caractristiques de connexion

16

la cration dune rgle. Le port peut tre dni soit directement par son numro soit par le protocole couremment utilis sur ce port.

F IG . 3.10 Ajout dune rgle de ltrage

A titre dexemple et dentranement vous pouvez essayer de crer une rgle pour bloquer un protocole et voir les consquences sur une commande qui lutilise. Par exemple, la commande ping ( partir dune invite de commande) permet de savoir si un ordinateur distant est bien connect et peut vous rpondre. Cette commande nutilise pas de port dni, elle est un peu particulire et est en fait caractrise par lemploi du protocole ICMP (Internet Control Message Protocol). En labsence de rgle, un ping sur le serveur Web de la socit Free donne le rsultat reprsente gure 3.12. Essayez maintenant de ltrer ce protocole, il suft pour cela (dans la fentre reprsente gure 3.10 dajouter le protocole ICMP et de le bloquer (dans les deux sens par exemple). Valider vos modications par une srie de Ok jusqu la fermeture de la fentre principale de conguration. En executant nouveau la mme commande vous devriez obtenir le rsultat prsent gure 3.13.

3.4 Filtrage par les caractristiques de connexion

17

F IG . 3.11 Slection dun numro de port pour la dnition dune rgle C:\>ping www.free.fr Envoi dune requte ping sur www.free.fr [213.228.0.42] avec 32 octets de donnes : Rponse Rponse Rponse Rponse de de de de 213.228.0.42 213.228.0.42 213.228.0.42 213.228.0.42 : : : : octets=32 octets=32 octets=32 octets=32 temps=262 ms TTL=62 temps=187 ms TTL=62 temps=296 ms TTL=62 temps=62 ms TTL=62

Statistiques Ping pour 213.228.0.42: Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%), Dure approximative des boucles en millisecondes : Minimum = 62ms, Maximum = 296ms, Moyenne = 201ms F IG . 3.12 Requte ping autorise Si de plus, vous avez activ une alarme sur le dclanchement de cette rgle (dans la fentre de cration de rgles, gure 3.10) vous aurez une notication visuelle du bloquage, telle que reprsente gure 3.14.

F IG . 3.14 Alarme sur lapplication dune rgle de ltrage

3.5 Autres fonctionnalits des pare-feu C:\>ping www.free.fr Envoi dune requte ping sur www.free.fr [213.228.0.42] avec 32 octets de donnes : Dlai Dlai Dlai Dlai dattente dattente dattente dattente de de de de la la la la demande demande demande demande dpass. dpass. dpass. dpass.

18

Statistiques Ping pour 213.228.0.42: Paquets : envoys = 4, reus = 0, perdus = 4 (perte 100%),

F IG . 3.13 Requte ping refuse Si vous laissez quelques rgles de ltrage associes des alarmes vous serez prvenu en temps rel des ns de non recevoir effectues par votre pare-feu. Une simple alarme sur les requtes ping permet de prendre conscience que votre machine est constamment sollicite de lexterieur. Pendant la rdaction de ce simple paragraphe lalarme que jai active pour illutrer mes propos avec des captures dcran cest declanche trois fois. Toutes pour des requtes consistant vrier si mon ordinateur est prsent sur le rseau Internet et toutes en provenance dadresse IP inconnues. Cela permet, si cela tait encore ncessaire, de se convaincre de la ncessit dinstaller un pare-feu.

3.5 Autres fonctionnalits des pare-feu

Les fonctionnalits dcrites prcdemment constituent le minimum pour un pare-feu efcace et correctement congurable. Pour augmenter lefcacit de leurs outils, les diteurs les dotent dautres fonctionnalits amliorant soit la scurit, soit le confort dutilisation. Vous pourrez les dcouvrir en parcourant les diffrents menus et options de votre pare-feu prfr ainsi que le manuel dutilisation. On peut y trouver : pour les sytmes plus complexe, lajout de la notion dheure et date dans la cration des rgles. On peut ainsi ouvrir certains ports des moments prcis ou lon a programm une mise jour par exemple ; un systme danalyse du contenu des requtes Web. Permettant de ltrer laccs des sites Internet en fonction de mot-clefs contenus dans leur adresse littrale. Cela permet entre autre de ltrer les bannires publicitaires contenues dans certaines pages Web ; un systme de bloquage de cookies. Ce sont des petits chiers texte enregistr sur votre ordinateur la demande dune page Web. Ces chiers peuvent contenir des informations sur votre

3.6 Tests et conguration

19

ordinateur. Ils peuvent tre relu par la suite lors dun accs ultrieur la mme page Web. Ils permettent donc (en saffranchissant du problme des adresse IP dynamiques) de garder une mmoire de votre passage et ventuellement de ce que vous avez dj fait sur le site en question. Ils permettent beaucoup de socits de faire du data-mining, cest dire de collecter des informations sur vos habitudes pour ensuite raliser un marketing cibl et vous proposer des produits correspondant votre prol ; la mise jour automatique du pare-feu. Cela nest pas systmatique mais est pourtant un point essentiel. La scurit informatique est une course permanente entre les dfenseurs et les attaquant. Il est primordial que les logiciels sexecutant sur votre ordinateur soient tenus jour. Il en va de mme pour votre pare-feu ; la detection dintrusions, ralise sur des attaques classiques et rpertoires ou sur des vnements inconsistants. Essentiel galement mon sens.

3.6 Tests et conguration

Comment congurer son pare-feu dans la pratique ? Il existe un certain nombre de protocoles et de ports attribus, et donc a priori lgitimes. De nombreux logiciels utilisent quant eux des numros de ports quelconques. Difcile alors de faire des rgles de ltrage et bien congurer son pare-feu. Il existe cependant quelques outils (gratuits) qui permettent de raliser un test rapide de votre ordinateur an dliminer les failles les plus videntes (la liste nest videmment pas exaustive) : http ://check.sdv.fr/ http ://scan.sygate.com/ https ://grc.com/x/ne.dll ?bh0bkyd2 http ://www.pcflank.com/ ... Ces outils automatiques vont gnrer des requtes destination de votre ordinateur pour contrler les ports ouverts. Ces tentatives seront donc normalement dtectes par votre pare-feu qui vous demandera de prendre position : toujours refuser laccs ces test pour que les rsultats soient signicatifs.

3.6 Tests et conguration

20

F IG . 3.15 Test des ports de mon ordinateur Le premier de ces sites met un rapport tel que prsent gure 3.15. On peut alors remarquer que trois ports sont ouverts sur ma machine. En ce qui me concerne, ces protocoles ne me sont pas utiles, mais il est parfois difcile de prendre une dcision. Une des possibilit est de faire une rgle de ltrage sur chacun des ports, dont on souponne quils sont utiles, avec notication dune alarme. Dans ce cas, si un logiciel a besoin douvrir et communiquer par lun de ces ports vous en serez averti. Vous pourrez alors garder ou supprimer cette rgle en fonction du logiciel qui rclame lusage de ce port. Pour a part, aprs trois nouvelles rgles et un nouveau test, jobtiens la gure 3.16

F IG . 3.16 Test des ports de mon ordinateur aprs ajout de rgles

3.6 Tests et conguration

21

Le deuxime site de test scanne votre ordinateur et sattache en retrouver le nom et les services (logiciels lcoute dau moins un port et susceptible de rpondre une sollicitation externe) qui sexecutent. Le nom de votre ordinateur et donc potentiellement votre identit peut tre accessible depuis Internet avec le service Netbios (disponible au moins sur Windows). Si ce site arrive extraire votre nom, vous pouvez raliser une rgle pour bloquer Netbios, comme prsent gure 3.17 (ce service utilise plusieurs ports et protocoles).

F IG . 3.17 Blocage de Netbios Un second test viendra conrmer que le nom de votre ordinateur nest alors plus accessible via Internet. Le troisime test scanne les ports entre 0 et 1056, ceux rservs pour des services classiques. Ce test reprsente, sous forme de tableau, les ports qui sont vris en indiquant par couleur leur tat : rouge, ouvert ; bleu, ferm ; vert, furtif. Le meilleur tant furtif, en effet si lensemble de vos ports ne trahissent aucune activit alors votre ordinateur est invisible depuis Internet. Cest une excellente protection contre les attaquants (automa-

3.6 Tests et conguration

22

tiques ou humains) qui recherchent des cibles. Un port ferm a refus une connexion mais a trahi sa prsence en donnant une rponse. Un port furtif ne prend mme pas la peine de rpondre. Enn le dernier exemple est un site trs complet proposant diffrents types de tests. Il propose galement une base de connaissance dans laquelle il rpertorie les rgles dnir en fonction de certains logiciels connus. Il dipose galement dune base de connaissance sur lutilisation des ports (indispensable lorsque lon commence congurer son pare-feu). Le site est en anglais ce qui peut rendre difcile linterprtation des rsultats des tests mais il nest pas insurmontable dobtenir la liste des rgles pour son logiciels favori (menu Firewall rulesets) ou la descritpion de lusage courant dun port (menu Ports database).

Chapitre 4

Conclusion
Jespre que ce document aura permis de dmistier lusage des pare-feu et vous fournira un point de dpart pour aller plus loin. Le rseau Internet contient de nombreux sites sur le sujet comme par exemple : http ://www.firewall-net.com/fr/, en franais ; http ://www.pcflank.com/, en anglais ; ... A vous maintenant de congurer votre pare-feu favori, pour vous faire la main et amliorer vos connaissances avant de pouvoir choisir de vous mme un logiciel payant ou non, il existe de nombreux pare-feu gratuits ou utilisables temporairement (par ordre alphabtique) : LooknStop ; Kerio Personal Firewall 4 ; Outpost Firewall ; Zone Alarm ; ...