Documente Academic
Documente Profesional
Documente Cultură
Pare-feu
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
ii
iii
Chapitre 1
Introduction
Lide de rdiger ce modeste guide est ne des ls de discussions rcurents, que lon trouve au dtour des forums sur Internet, autour de lemploi des pare-feu. Nombre dutilisateurs semblent tre perdus face ce type doutils car il est vrai que leur utilisation est parfois droutante. Leur utilisation semble, tort dans la majorit des cas, ncessiter une connaissance approfondie de linformatique actuelle ou des protocoles utiliss sur la toile par les ordinateurs. A lheure ou les systmes de paiement, les services de gestion bancaire en ligne ou la tl-dclaration des rvenus se dmocratisent, souvrir sur Internet ncessite une prise de conscience. De la mme manire que pour ces mcanismes qui utilisent activement Internet, les donnes stockes sur votre ordinateur (photos, comptes bancaires, courrier,. . .) peuvent tre la cible dactes malveillants ds que votre ordinateur est capable dinteragir avec lexterieur. Un certain nombre de composants de scurit sont ncessaires pour ne pas avoir de dconvenue ou de mauvaises surprises (compte en banque allg, donnes personnelles publies,. . .). Le pare-feu en est un, certains systmes (Windows XP muni du Service Pack 2 par exemple -SP2-) disposent dun rewall intgr, dautres ncessitent lajonction dun outil (logiciel ou matriel) ddi. Associ au pare-feu, il est galement un composant primordial : lutilisateur. Une des meilleurs protection est lutilisation intelligente de votre ordinateur et du pare-feu. Le but de ce document est de montrer que cela nest nalement pas si compliqu et que quelques regles de bon sens permettent de sen sortir pas si mal. Pour ce faire il a pour but dexpliquer sur quels principes basiques fonctionne un pare-feu et ce que vous tes en droit den attendre. Avec la dmocratisation dInternet, on dnombre de plus en plus dutilisateurs francophones qui ne sont pas laise avec des guides dutilisation ou manuels rdigs en anglais, jai donc privilgi la rdaction de ce mini guide en franais. Il nest pas rare que les demandes de conseils auxquelles certains utilisateurs avertis rpondent sur les forums de discussions saccompagnent dun critre de francophonie, soit pour le logiciel utiliser soit pour les documents. Je ne suis pas un spcialiste de la technologie utilise par les pare-feu ou de leur dveloppements. Je prsente ici simplement une exprience acquise dans leur utilisation en esprant quelle pourra tre
utile dautres. Je me ddouane galement classiquement, il ne serait en tre question autrement dans le domaine de la scurit informatique :
Je decline toute responsabilit quant la perte de donnes, dintgrit du systme ou de lordinateur, suite lapplication des informations contenues dans ce document. Notamment en cas de faille ou de conguration incorrecte du logiciel pare-feu et/ou du systme pouvant exposer le systme et les donnes quil berge des menaces malveillantes de toute nature que ce soit. Jai tent de minimiser les dtails techniques pour adresser un public le plus large possible. Un utilisateur averti trouvera probablement ce document ennuyeux, cest normal, je nai pas vocation faire un prcis de technologie. Ce document contient des illustrations et exemples bass sur lutilisation de dun systme particulier, et ne constitue en aucun cas un jugement de valeur sur la scurit de ces lments : Microsoft Windows XP Familial SP1 Pare-feu Kerio Personnal Firewall 4 Lobjectif ntant pas de fournir une description dtaille du fonctionnement des principaux outils disponibles sur le march (notamment dans un soucis de stabilit de mon systme dexploitation). Cependant, toute contribution bnvole (au mme titre que celle-ci) visant tendre les illustrations vers dautres systmes dexploitation ou pare-feu (logiciel ou matriel) seront les bienvenues et intgres, sans obligation de temps, ce document. Enn, toute remarque constructive est galement la bienvenue pour assurer une mise jour corrective ou volutive.
La premire partie de ce document dcrit les principes suivants lesquels un ordinateur communique classiquement via Internet. Les bases tant poses, les pare-feu perdrons peu peu de leur mystre mystre, les principes gnraux dutilisation ainsi que des exemples seront prsents dans la deuxime partie.
Chapitre 2
Communiquons
Ce chapitre explique comment votre ordinateur echange des informations avec dautres machines via Internet. Il permet ainsi de xer le vocabulaire que lon retrouve traditionnellement lors de la conguration et lutilisation courante dun pare-feu.
Une adresse IP est constitue de quatre nombres entiers, chacun tant compris entre 0 et 255. Cela permet donc de fournir des adresses pour 4294967295 ordinateurs, cest le codage adopt depuis des annes par le standard IPv4 (Internet Protocol Version 4, codage des adresses sur 32 bits). Cela peut sembler sufsant pour fournir les adresses tous les ordinateurs existants et cela pour encore plusieurs dizaines dannes. Dans la pratique cela est faux car les adresses ne sont pas attribues de manire anarchique. Elles sont structures en domaines et certaines adresses ne seront jamais utilises. Pour palier cela (entre autre) la communaut scientique travaille depuis plusieurs annes la spcication et au dploiement dIPv6 qui code les adresses IP sur 64 bits offrant ainsi un espace dadressage de 18446744073709551615 possibilits, ce qui devrait nous mettre labri pour un moment. ce jour, la plupart des ordinateurs connects Internet (la trs grande majorit en fait) nutilise que le standard IPv4. Il existe plusieurs mthodes pour connatre ladresse IP de votre ordinateur, notamment en fonction des outils livrs lors de votre abonnement par votre fournisseur daccs. Sous windows XP, la mthode universelle consiste tapper la commande ipconfig dans une fentre de commande (habituellement accessible par le menu Dmarrer/Tous les programmes/Accessoires/Invite de commandes. La gure 2.1 prsente le rsultat, indiquant la prsence dune carte rseau ethernet (ce nest pas forcment le cas) et une connexion au rseau Free ADSL avec une adresse IP attribue de 82.65.56.87. C:\>ipconfig Configuration IP de Windows
Carte Ethernet Connexion au rseau local: Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Passerelle par dfaut . Carte PPP Free ADSL : Suffixe DNS propre la Adresse IP. . . . . . . Masque de sous-rseau . Passerelle par dfaut . C:\> F IG . 2.1 Rsultats de la commande ipconfig connexion . . . . . . . . . . . . . . . : : 82.65.56.87 : 255.255.255.255 : 82.65.56.87 connexion . . . . . . . . . . . . . . . : : 10.0.0.10 : 255.255.255.0 :
Pour faciliter la mmorisation dadresses, il est possible pour certaines dutiliser une forme plus littrale. Par exemple www.google.fr reprsente celle dun serveur Web bien connu. Si vous saisissez cette adresse dans votre navigateur il ne sera pas capable de former des messages destination du serveur avec une adresse sous cette forme. La premire action execute par votre navigateur est donc de demander sa traduction en une reprsentation plus classique pour lui (sous la forme dune srie de quatre nombres). Cest le rle des serveurs DNS (Domaine Name serveur). Dans tous les cas lorsque votre pare-feu emettera une alarme concernant une connexion sortante ou entrante, il vous indiquera au moins ladresse IP sous forme de nombres.
A retenir Sur Internet les ordinateurs sont identis par une adresse IP compose de quatre nombres entre 0 et 255 (souvent reprsents spars par des points). Exemple : 82.65.56.87. Cette adresse peut tre soit dynamique soit xe.
F IG . 2.2 Interconnexion logiciels/ports ladresse IP de lmetteur ladresse IP du destinataire le port du destinataire la rception dun paquet le systme dexploitation, qui maintient une liste de tous les ports ouverts par vos applications, dtermine quel logiciel sont destins les informations. Le logiciel qui est normalement lcoute du port dont il a demand louverture est inform de larrive de donnes, quil peut par la suite lire et interprter. La gure 2.2 schmatise ce principe. Le nombre de ports ouvrable simultanment est limit par ordinateur, notamment en fonction des capacits du systme dexploitation. De plus le codage des numros de de port dans les paquets lementaires limite les numros de 1 65535. Un logiciel peut ouvrir plusieurs ports simultanment. Certains numros de port sont implicitement rservs des usages particuliers. Par exemple, les logciels serveurs Web sont classiquement associ au port 80 pour recevoir des requtes de pages. Si vous saisissez www.voila.fr dans votre navigateur il formulera une demande qui contiendra ladresse IP de destination correspondante (rcupre sur un serveur DNS) et le port 80. Il est possible de forcer ladressage vers un port particulier en spciant le numro la suite dune adresse, spars par deux points. Par exemple les adresses www.voila.fr et www.voila.fr :80 saisies dans votre navigateur aboutirons au mme rsultat alors que www.voila.fr :1563 ne don-
nera rien. Lordinateur dont ladresse est www.voila.fr nayant probablement pas de logiciel en cours dexecution qui ait ouvert le port 1563. Vous avez probablement entendu parler de scan de ports. Il sagit dun attaquant la recherche dune victime. Une fois une adresse IP choisie (alatoirement gnralement) lattaquant balaie lensemble des ports de la machine pour dtecter ceux qui sont ouverts, cest dire ceux derrire lesquels un logiciel est capable de recevoir et dinterprter des informations. Cest la phase prliminaire un type dattaque. La seconde phase consiste identier le logiciel qui est lcoute dun des ports ouvert pour ventuellement en exploiter les faiblesses. Un scan de ports est difcilement exploitable pour un attaquant si les logiciels qui ont ouvert les ports nont pas de faiblesses identies. Il est primordial de maintenir ses logiciels jour avec les diffrents correctifs proposs par les diteurs (la fonctionnalit Windows Update disponible sous Windows XP par exemple). La commande netstat, toujours dans la fentre dinvite de commandes donne la liste des connexions actives sur votre ordinateur. La gure 2.3 reprsente ltat des connexions lors dun accs au serveur Web adsl.free.fr, lextension des adresses avec le sufxe :htpp signie implicitement le port 80. C:\>netstat Connexions actives Proto TCP TCP TCP Adresse locale pcperso-home:1138 pcperso-home:1139 pcperso-home:1140 Adresse distante dgroup.proxad.net:http 80.15.238.18:http dgroup.proxad.net:http Etat ESTABLISHED ESTABLISHED ESTABLISHED
F IG . 2.3 Rsultats de la commande netstat La mme commande utilise avec une option (netstat -a) fournie la liste des toutes les connexions TCP actives et les ports TCP et UDP actuellement utiliss en coute. Pour rappel TCP et UDP sont les principaux protocoles utiliss sur Internet, ces standards dnissent comment et sous quelles formes les informations sont changes entre les ordinateurs.
A retenir Les logiciels qui sexecutent sur votre ordinateur ouvrent et coutent des ports, ce qui permet au systme dexploitation de leur transmettre sans ambigut des informations en provenance dInternet. Ces informations ont ts achemines jusqua votre ordinateur grce son adresse IP unique.
Chapitre 3
Les pare-feu
Les pare-feu peuvent prendre plusieurs formes : celle dun logiciel indpendant sexecutant sur votre ordinateur ; celle dun logiciel ou service mis en uvre dans votre systme dexploitation (cest le cas dans Windows XP SP2) ; celle dun rmware implant dans un matriel spcique. Cest le cas des routeurs disposant dun module pare-feu. Dans la premire catgorie on trouve des produits proposs gratuitement (gnralement sous une forme limite) pour un usage non commercial. Par exemple, par ordre alphabtique : Kerio Personal Firewall 4, http ://www.kerio.com ZoneAlarm, http ://www.zonelabs.com Le premier (Kerio Personal Firewall) servira illustrer mes propos en prsentant leur mise en uvre.
dnition dune liste de logiciels suceptibles de communiquer des informations vers lune des zones dnies. Pour chaque logiciel il est possible dautoriser ou refuser ltablissement dun canal de communication ; dnition dune liste de ports et protocoles autoriser ou refuser ; dnition dune liste dadresse IP autoriser ou refuser pour ltablissement dune communication ; la tenue dun journal dans lequel le pare-feu va rpertorier certains vnements que vous lui aurez demander de surveiller ; la surveillance de lintgrit des logiciels ; ltrage de certaines adresses Internet littrales ; blocage des cookies ; emmission dalarmes sur certains vnements congurables ; ... En aucun cas un pare-feu nest un outil de dtection ou dradication de virus, chevaux de troie ou autres codes malicieux, contrairement aux anti-virus qui peuvent les detecter avant quils ne deviennent actifs. Un pare-feu correctement utilis et congur pourra cependant en bloquer les consquences en interceptant une tentative de connexion illgitime en provenance ou a destination de votre ordinateur. Un pare-feu na dautre choix que de suivre des rgles pour dcider du caractre lgitime ou non dune communication. Ces rgles sont issues de sa conguration. En gnral, en cas dambigut le pare-feu vous notie un problme ncessitant une intervention de votre part. Cependant, la majeur partie des pare-feu grand public et usage personnel disposent dune interface simplie permettant de xer le niveau de scurit requi (souvent traduit par faible, moyen ou fort). Ce niveau est utilis pour activer ou dsactiver un ensemble de rgles plus ou moins restricives et prdnies par lditeur du logiciel.
10
F IG . 3.1 Spration de zones Il est vident que cette zone ne doit pas contenir dlments non contrls (des adresse IP dordinateurs sur Internet par exemple). Pour un usage domestique classique (un ordinateur connect Internet), la zone de conance ne contient que le matriel li lodinateur. Par exemple : lordinateur lui mme car les logiciels fonctionnant sur un mme ordinateur peuvent utiliser des ports pour communiquer entre eux. Votre ordinateur est identi par ladresse IP 127.0.0.1. Cest ladresse IP loopback, elle nest pas interprte comme une adresse IP dune machine sur un rseau, mais comme tant lordinateur metteur lui mme. ventuellement une carte rseau.
F IG . 3.2 Denition de la zone de conance dans le pare-feu Kerio La gure 3.2 prsente la fentre de conguration de la zone de conance (dite zone de scurit dans Kerio Personal Firewall 4), disponible par longlet gauche Scurit du rseau puis longlet supprieur Zone scuris.
11
Les pare-feu grand public ne gre gnralement quune zone de conance la deuxime zone tant constitue de tout ce qui nest pas dans la premire. Cela reste sufsant pour la plupart des utilisations classiques. De plus pratiquement tous les pare-feu detectent automatiquement votre matriel linstallation et crent une zone de conance. Il vous suft donc, aprs linstallation, de vrier son contenu et ladapter vos besoins (ajouter ou supprimer des composants).
A retenir Le pare-feu sintercalle entre les logiciels de votre ordinateur et Internet. Il dni gnralement deux zones (dont une de conance) et contrle les changes entre les deux zones et les activits dans la zone de conance.
12
F IG . 3.4 Interception dune connexion sortante vers Internet, sans rgle 195.139.120.94 port 15098. Demande refuse. Cette phase pendant laquelle le pare-feu ncessite votre intervention est une phase dapprentissage, chaque rponse pouvant gnrer, si vous le souhaitez, une nouvelle entre dans la table des autorisations/refus systmatiques. A tout moment, en cas derreur, vous pouvez changer la rgle de dcision pour un logiciel grce la fentre reprsente gure 3.3 (ou son quivalente pour un autre logiciel). Il nest pas toujours facile de prendre une dcision dautorisation ou de refus dans le cas dune connexion sortante. Quand la connexion remonte par le pare-feu est sans ambigut par rapport au logiciel que lon est en train dutiliser et laction que lon vient deffectuer, il est facile de choisir. Par exemple lorsque lon veut consulter ces courriels (avec le logiciel Outlook par exemple), il ne faut pas stonner davoir une alerte, telle que reprsente gure 3.6, qui correspond une requte de rcupration de courrier lectronique (pop3 est un protocole spcialis pour la rcupration de courriel et associ
13
F IG . 3.6 Interception dune connexion sortante par dfault au port 110). Il est moins vident de prendre position sur des connexions qui sont effectues automatiquement soit par le systme dexploitation soit par dautres logiciels. Certains peuvent effectivement scanner rgulirement des serveurs la recherche de mise jour ou pour des applications instantannes (du type de MSN Messenger par exemple). Il ne faut pas hsiter faire des tests, un par un, an de pouvoir revenir facilement en arrire en cas de problme. Aprs la cration dune rgle, il est toujours possible de la modier. Certains pare-feu disposent galement dune possibilit de sauvegarde et restauration des rgles. Une fois quune rgle a t denie pour un logiciel il ne faut pas que celui-ci soit mo (par un virus ou un attaquant). Si vous accordez votre conance un navigateur Web et crez une rgle dautorisation
14
F IG . 3.7 Dtection de la modication dun logiciel systmatique, il ne faut pas que celui-ci soit infect par un virus et commence mettre des informations personnelle destination dun ordinateur sur Internet. Tous les pare-feu disposent donc dun systme de serveillance des logiciels et bloquent leur execution si un changement a t dtect, comme le montre la gure 3.7. De la mme manire lorsquun logiciel en execute un autre, le processus est intercept pour en informer lutilisateur, comme le montre la gure 3.8. Dans cet exemple, jai fais la demande dune mise jour du logiciel Firefox qui lance alors le programme permettant de leffectuer (setup).
15
F IG . 3.9 Consultation et modication de la liste de regles de ltrage Lajout de nouvelles rgles se fait partir de la fentre de dialogue reprsente gure 3.10. Elle permet de composer, de manire intuitive, des rgles de ltrage en fonction des logiciels et/ou des ports et/ou des adresses IP des ordinateurs distant. La gure 3.11 prsente la saisie dun numro de port pour
16
la cration dune rgle. Le port peut tre dni soit directement par son numro soit par le protocole couremment utilis sur ce port.
A titre dexemple et dentranement vous pouvez essayer de crer une rgle pour bloquer un protocole et voir les consquences sur une commande qui lutilise. Par exemple, la commande ping ( partir dune invite de commande) permet de savoir si un ordinateur distant est bien connect et peut vous rpondre. Cette commande nutilise pas de port dni, elle est un peu particulire et est en fait caractrise par lemploi du protocole ICMP (Internet Control Message Protocol). En labsence de rgle, un ping sur le serveur Web de la socit Free donne le rsultat reprsente gure 3.12. Essayez maintenant de ltrer ce protocole, il suft pour cela (dans la fentre reprsente gure 3.10 dajouter le protocole ICMP et de le bloquer (dans les deux sens par exemple). Valider vos modications par une srie de Ok jusqu la fermeture de la fentre principale de conguration. En executant nouveau la mme commande vous devriez obtenir le rsultat prsent gure 3.13.
17
F IG . 3.11 Slection dun numro de port pour la dnition dune rgle C:\>ping www.free.fr Envoi dune requte ping sur www.free.fr [213.228.0.42] avec 32 octets de donnes : Rponse Rponse Rponse Rponse de de de de 213.228.0.42 213.228.0.42 213.228.0.42 213.228.0.42 : : : : octets=32 octets=32 octets=32 octets=32 temps=262 ms TTL=62 temps=187 ms TTL=62 temps=296 ms TTL=62 temps=62 ms TTL=62
Statistiques Ping pour 213.228.0.42: Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%), Dure approximative des boucles en millisecondes : Minimum = 62ms, Maximum = 296ms, Moyenne = 201ms F IG . 3.12 Requte ping autorise Si de plus, vous avez activ une alarme sur le dclanchement de cette rgle (dans la fentre de cration de rgles, gure 3.10) vous aurez une notication visuelle du bloquage, telle que reprsente gure 3.14.
3.5 Autres fonctionnalits des pare-feu C:\>ping www.free.fr Envoi dune requte ping sur www.free.fr [213.228.0.42] avec 32 octets de donnes : Dlai Dlai Dlai Dlai dattente dattente dattente dattente de de de de la la la la demande demande demande demande dpass. dpass. dpass. dpass.
18
Statistiques Ping pour 213.228.0.42: Paquets : envoys = 4, reus = 0, perdus = 4 (perte 100%),
F IG . 3.13 Requte ping refuse Si vous laissez quelques rgles de ltrage associes des alarmes vous serez prvenu en temps rel des ns de non recevoir effectues par votre pare-feu. Une simple alarme sur les requtes ping permet de prendre conscience que votre machine est constamment sollicite de lexterieur. Pendant la rdaction de ce simple paragraphe lalarme que jai active pour illutrer mes propos avec des captures dcran cest declanche trois fois. Toutes pour des requtes consistant vrier si mon ordinateur est prsent sur le rseau Internet et toutes en provenance dadresse IP inconnues. Cela permet, si cela tait encore ncessaire, de se convaincre de la ncessit dinstaller un pare-feu.
19
ordinateur. Ils peuvent tre relu par la suite lors dun accs ultrieur la mme page Web. Ils permettent donc (en saffranchissant du problme des adresse IP dynamiques) de garder une mmoire de votre passage et ventuellement de ce que vous avez dj fait sur le site en question. Ils permettent beaucoup de socits de faire du data-mining, cest dire de collecter des informations sur vos habitudes pour ensuite raliser un marketing cibl et vous proposer des produits correspondant votre prol ; la mise jour automatique du pare-feu. Cela nest pas systmatique mais est pourtant un point essentiel. La scurit informatique est une course permanente entre les dfenseurs et les attaquant. Il est primordial que les logiciels sexecutant sur votre ordinateur soient tenus jour. Il en va de mme pour votre pare-feu ; la detection dintrusions, ralise sur des attaques classiques et rpertoires ou sur des vnements inconsistants. Essentiel galement mon sens.
20
F IG . 3.15 Test des ports de mon ordinateur Le premier de ces sites met un rapport tel que prsent gure 3.15. On peut alors remarquer que trois ports sont ouverts sur ma machine. En ce qui me concerne, ces protocoles ne me sont pas utiles, mais il est parfois difcile de prendre une dcision. Une des possibilit est de faire une rgle de ltrage sur chacun des ports, dont on souponne quils sont utiles, avec notication dune alarme. Dans ce cas, si un logiciel a besoin douvrir et communiquer par lun de ces ports vous en serez averti. Vous pourrez alors garder ou supprimer cette rgle en fonction du logiciel qui rclame lusage de ce port. Pour a part, aprs trois nouvelles rgles et un nouveau test, jobtiens la gure 3.16
21
Le deuxime site de test scanne votre ordinateur et sattache en retrouver le nom et les services (logiciels lcoute dau moins un port et susceptible de rpondre une sollicitation externe) qui sexecutent. Le nom de votre ordinateur et donc potentiellement votre identit peut tre accessible depuis Internet avec le service Netbios (disponible au moins sur Windows). Si ce site arrive extraire votre nom, vous pouvez raliser une rgle pour bloquer Netbios, comme prsent gure 3.17 (ce service utilise plusieurs ports et protocoles).
F IG . 3.17 Blocage de Netbios Un second test viendra conrmer que le nom de votre ordinateur nest alors plus accessible via Internet. Le troisime test scanne les ports entre 0 et 1056, ceux rservs pour des services classiques. Ce test reprsente, sous forme de tableau, les ports qui sont vris en indiquant par couleur leur tat : rouge, ouvert ; bleu, ferm ; vert, furtif. Le meilleur tant furtif, en effet si lensemble de vos ports ne trahissent aucune activit alors votre ordinateur est invisible depuis Internet. Cest une excellente protection contre les attaquants (automa-
22
tiques ou humains) qui recherchent des cibles. Un port ferm a refus une connexion mais a trahi sa prsence en donnant une rponse. Un port furtif ne prend mme pas la peine de rpondre. Enn le dernier exemple est un site trs complet proposant diffrents types de tests. Il propose galement une base de connaissance dans laquelle il rpertorie les rgles dnir en fonction de certains logiciels connus. Il dipose galement dune base de connaissance sur lutilisation des ports (indispensable lorsque lon commence congurer son pare-feu). Le site est en anglais ce qui peut rendre difcile linterprtation des rsultats des tests mais il nest pas insurmontable dobtenir la liste des rgles pour son logiciels favori (menu Firewall rulesets) ou la descritpion de lusage courant dun port (menu Ports database).
Chapitre 4
Conclusion
Jespre que ce document aura permis de dmistier lusage des pare-feu et vous fournira un point de dpart pour aller plus loin. Le rseau Internet contient de nombreux sites sur le sujet comme par exemple : http ://www.firewall-net.com/fr/, en franais ; http ://www.pcflank.com/, en anglais ; ... A vous maintenant de congurer votre pare-feu favori, pour vous faire la main et amliorer vos connaissances avant de pouvoir choisir de vous mme un logiciel payant ou non, il existe de nombreux pare-feu gratuits ou utilisables temporairement (par ordre alphabtique) : LooknStop ; Kerio Personal Firewall 4 ; Outpost Firewall ; Zone Alarm ; ...