firewall(Stéphane Catteau)
If you can't read please download the document
Transcript of firewall(Stéphane Catteau)
====================================================================== Les Firewalls ------------Dernire mise jour : 21 Aot 2001 Auteur : Stphane Catteau ================================================================
Sommaire -------1 - Introduction 1.1 - Objet de cette FAQ 1.2 - Utilisation de cette FAQ 1.3 - Dcharge 2 - Qu'est-ce qu'un firewall ? 2.1 - Cela sert quoi ? 2.2 - Comment a marche ? 2.3 - Quelle est la diffrence entre un firewall logiciel et firewall matriel ? 3 - Quels sont les risques ne pas utiliser de firewall ? 3.1 - Je suis connect en RTC ou en Numris ( Ligne tlphonique "classique" ) 3.2 - J'ai le cable, ou je suis en ADSL 3.3 - J'ai une Ligne Spcialise 3.4 - J'ai une adresse IP fixe 3.5 - J'ai un routeur 3.6 - Je n'ai rien d'important sur mon ordinateur moi ! 3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s) 4 - Comment le configurer ? 4.1 - Mon firewall ne fait qu'autoriser un programme aller sur Internet 4.2 - Mon firewall me parle de services, adresses, etc. 4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ? 4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il fonctionne ? 5 - Au secours, mon firewall, mes logs, disent ... 5.1 - Mon lecteur de courrier/news essaie de se connecter sur un autre port que celui qui est normalement le sien. 5.2 - Mon navigateur Internet essaie de se connecter sur un autre port que celui qui est normalement le sien. 5.3 - Mes programmes n'arrtent pas de se connecter via le port 53. 6 - Questions d'ordre gnral 6.1 - Avoir deux firewalls est-il un plus ? 6.2 - Je suis convaincu, j'installe un firewall ds demain. Ai-je encore besoin d'un Anti-Virus ? 6.3 - "NetBios", j'en entends souvent parler, mais qu'est-ce ? 6.4 - Un firewall ralentit-il la connexion ? 7 - Mini lexique 7.1 - Adresse IP 7.2 - DMZ
7.3 7.4 7.5 7.6 7.7 7.8 7.9 7.10
-
Fournisseur d'Accs Internet ( FAI ) Protocole ICMP Port Service / Serveur Spyware / Espiogiciel Trojan / Troyen Protocole TCP Protocole UDP
8 - Annexes 8.1 - Liste des principaux ports 8.2 - Une configuration standard 8.3 - Webographie 8.4 - Bibliographie 8.5 - Remerciements 8.6 - Conclusion 9 - Conclusion -+-+-+-+-+-+-+-
1 - Introduction ---------------1.1 - Objet de cette FAQ. Ce document a pour but de vous apprendre, dans les grandes lignes, ce qu'est un firewall, pourquoi il est indispensable, et quelle est la dmarche suivre pour le configurer correctement. Autrement dit, il rpond aux questions les plus frquentes concernant les firewalls. Pour autant, il ne vous dispense ni de la lecture du manuel de votre firewall, ni d'un minimum de recherche de votre part pour savoir ce qu'est un rseau TCP/IP et comment il fonctionne. Pour cela, reportez-vous la bibliographie / Webographie situe la fin de ce document.
1.2 - Rutilisation de cette FAQ Vous tes libre d'utiliser de courts extraits de cette FAQ, dans la mesure o vous incluez un lien permettant d'avoir accs l'ensemble du document. Ceci dans le but de permettre vos lecteurs d'obtenir facilement un complment d'information. De mme, vous tes libre de copier la FAQ dans son intgralit, condition cependant d'en avertir l'auteur, et que cette utilisation soit exempte de tout caractre commercial (bannires publicitaires incluses). Cette restriction tant principalement d au plus lmentaire des respects : celui du temps que j'ai consacr la rdaction de cette FAQ. Toute autre utilisation devra faire l'objet d'un accord pralable avec l'auteur.
1.3 - Dcharge
La scurit informatique est un domaine en perptuelle volution, ce qui est vrai un jour peut devenir un mensonge hont ds le lendemain. Par consquent, ce document est prendre comme un recueil de conseils, et non une bible. La responsabilit de l'auteur ne pourra donc tre retenue dans le cas ou vous seriez victime d'une attaque informatique malgr la mise en pratique des thories exposes ci-dessous.
2 - Qu'est-ce qu'un firewall ? -----------------------------Un firewall, aussi appel pare-feux ou garde-barrires, est un programme, ou un matriel, charg de vous protger du monde extrieur et de certains programmes malveillants placs votre insu sur votre ordinateur. Plac entre vous et Internet, le firewall contrle tout ce qui passe, et surtout tout ce qui ne doit pas passer de l'un vers l'autre.
2.1 - Cela sert quoi ? Le monde n'est pas rose, et Internet est son image. Chaque jour, des centaines, voire des milliers, de personnes essaient, pour des raisons diverses, de s'introduire dans les ordinateurs des autres. Dans la grande majorit des cas, ils ne s'agit que d'adolescents boutonneux qui veulent se prouver qu'ils sont les plus forts. Internet est leur Rock'n'Roll eux, un moyen de marquer sa rvolte face la gnration qui les a prcd. Dans les faits, ils se contentent le plus souvent d'utiliser des programmes/scripts tout prts, ce qui leur vaut le surnom de "scripts kiddies". Heureusement, ceci n'est pas une fatalit, et l'utilisation d'un firewall, mme simpliste, y mettra un terme dans la plupart des cas. Les cas restants sont le fait de pirates professionnels, si tant est que l'on puisse les appeler ainsi. Avec eux, seule une politique de scurit de grande qualit constitue une protection. Cependant, ils n'ont pas de temps perdre, et ne s'attaquent donc qu'aux cibles qui en valent la peine. Donc, moins de disposer de donnes confidentielles de haute importance sur votre ordinateur, vous ne risquez pas grand chose. Nanmoins, si vous avez une connexion illimite, et de prfrence haut dbit, munie d'une adresse IP fixe, ou faiblement tournante, vous constituez pour eux une cible potentiellement utile. Au passage, si vous disposez de donnes confidentielles sur votre ordinateur, je vous conseillerais surtout de remplacer la lecture de cette FAQ par celle des petites annonces, la rubrique "conseiller en scurit informatique".
2.2 - Comment a marche ?
Dcrire le fonctionnement prcis d'un firewall quelqu'un qui n'a aucune connaissance du fonctionnement d'un rseau est une utopie. Cependant, il est parfaitement possible de le faire dans les grandes lignes. Lorsque vous tes connect Internet, votre ordinateur fait deux choses bien distinctes. D'une part, il envoie des donnes en direction du vaste monde, pour demander consulter une page Web par exemple. D'autre part, il reoit des donnes en provenance du vaste monde, par exemple la page Web que vous avez demand. Les firewalls les plus simples se contenteront d'autoriser ou d'interdire l'accs au vaste monde un programme. Cela veut dire que seuls ceux que vous aurez spcifiquement autoriss auront le droit d'envoyer et/ou de recevoir des donnes. Les firewalls plus volus rajouteront un contrle au niveau du port, c'est--dire une autorisation ou une interdiction lie un type particulier de donnes. Ainsi, votre navigateur Internet aura le droit d'accder au Web, mais pourra ne pas tre autoris faire du FTP, mme si cette fonction est partiellement prsente pour le tlchargement de fichier. Pour finir, les firewalls les plus volus traiteront toutes les donnes au cas par cas.
2.3 - Quelle est la diffrence entre un firewall logiciel et firewall matriel ? C'est simple, il n'y a pas de diffrence, ou si peu. D'un ct, vous avez votre ordinateur, sur lequel tourne un firewall logiciel. De l'autre, vous avez une bote, plus ou moins grosse, qui l'on donne le doux nom de "firewall matriel" et qui, de part son prix, n'est absolument pas destin aux particuliers. Seulement, dans cette bote se cache rien de moins qu'un ordinateur, gnralement rduit sa plus simple expression et conu spcifiquement pour cela. Et sur cet ordinateur, on trouve un firewall logiciel. Dans la pratique, le firewall materiel tant suppos s'excuter sur un systeme d'exploitation rput pour sa scurit, et disposer d'un firewall parfaitement configur, il est donc potentiellement plus efficace. En contre partie, il offre gnralement moins de souplesse, ce qui complique les choses ds qu'il s'agit de lui faire prendre en compte un cas particulier propre votre socit. Par consquent, sauf disposer d'une architecture rseau des plus basiques, un responsable informatique comptent en matire de scurit reste prfrable. D'autant plus qu'il saura tirer parti d'un systme d'exploitation libre, OpenBSD par exemple, et d'un ordinateur inutilis, pour vous installer, moindre frais, un firewall efficace et parfaitement adapt vos besoins. Enfin, si vous ne disposez ni d'un responsable informatique, ni des moyens financiers suffisants pour vous quiper d'un firewall matriel, il vous reste quand mme une solution. Celle-ci consiste former l'un de vos employs la scurit informatique. Mais, attention, on ne s'improvise pas administrateur rseau et, moins
d'une vocation naissante, cette solution ne peu qu'tre transitoire, et prcde d'une tude complte du sujet. A noter aussi que l'utilisation d'un firewall materiel ne dispense en aucune faon d'une formation pralable.
3 - Quels sont les risques ne pas utiliser de firewall ? ---------------------------------------------------------Tout dpend du type de connexion qui vous relie Internet et de vos habitudes. En effet, les risques ne sont pas les mmes selon que vous disposiez d'un modem poussif et dpass, reli par une banale ligne de tlphone, ou d'une ligne haut dbit avec un ordinateur connect en permanence. Bien sr, si vous y tenez, vous pouvez trs bien vivre sans firewall. Tout ira bien jusqu'au jour o quelqu'un aura profit d'une faille de votre ordinateur (ils en ont tous ou presque, alors ne vous croyez pas l'abri) pour placer un petit programme de 50 Ko peine. Une petite manipulation supplmentaire, et ce programme s'excutera automatiquement chaque dmarrage de votre ordinateur. A partir de maintenant, et pour chaque fichier que vous enregistrerez, un octet sur vingt (voir un sur cent, la diffrence tant minime) sera alatoirement modifi par le programme. La question est donc, combien de temps vous faudra-t-il pour vous en rendre compte, et quel pourcentage de donnes seront irrmdiablement perdues car dj corrompues lors du dernier Backup ? Et puis, rien ne peut vous assurer que le pirate n'en aura pas profit pour consulter cette lettre, si importante que vous avez tenu l'crire en utilisant Word, dans laquelle vous expliquiez votre banquier que votre compte Nxxxxx tait certes dcouvert de xxxx Francs, mais que cela tait d l'achat de votre nouvelle maison, situe l'adresse xxxxx, et que votre banquier serait bien aimable de vous autoriser dpenser encore xxxx Francs pour vous permettre de changer la porte qui ne ferme toujours pas, et d'installer une alarme pour protger votre collection de pierres prcieuses d'une valeur inestimable.
3.1 - Je suis connect en RTC ou en Numris ( Ligne tlphonique "classique" ) Si, comme la plupart des gens, vous vous connectez Internet via votre ligne tlphonique, alors vous tes soit en RTC, soit en numris. Dans ce cas, le risque n'est pas bien grand, moins que vous ne passiez beaucoup de temps sur internet. Cependant, ce n'est pas une raison suffisante pour ne pas utiliser de firewall. En effet, les scripts kiddies se moquent bien du facteur temps. La seule chose qui les intressent tant de rentrer sur votre ordinateur. D'ailleurs, rien ne vous assure que demain ne sera pas le jour o, oubliant toute prudence, vous allez rester connect plus d'une demi-heure d'affile, captiv que vous serez par ce site si
intressant que vous venez de trouver. Et comme le risque augmente avec le temps...
3.2 - J'ai le cable, ou je suis en ADSL Dans ce cas, inutile de se poser des questions, le firewall est de rigueur. En effet, le cable, et plus encore l'ADSL, vous permettent de rester connect des heures entires, et cela, les pirates de tout poil le savent trs bien. Par consquent, vous attirerez les scripts kiddies aussi srement que le miel attire les abeilles. Imaginez l'aubaine que vous reprsentez pour eux. Ils vont avoir des heures entires pour essayer tous les programmes qu'ils ont trouvs, les comparer entre eux, et surtout s'entraner les utiliser. Seulement, ce n'est pas le seul risque que vous encourrez. Pour les pirates professionnels aussi, vous reprsentez une cible intressante. Pour eux, vous n'tes qu'une tape sur la voie du succs, une sorte de point d'appui qui, pour commencer, fera le travail leur place. Par exemple, il suffit de placer un programme sur votre ordinateur, et vous testerez votre insu, les failles de leur cible vritable. Un autre programme, et vous voil transforms en relais. C'est votre adresse IP, ce nombre magique et unique qui permet de savoir que c'est vous qui "parlez" et personne d'autre, qui sera visible depuis la cible. Le pirate sera donc l'abri, pendant que vous subirez les assauts du service juridique de la socit qui a t attaque. Vous l'aurez compris, non seulement un firewall est une ncessit pour vous, mais en plus, il vaut mieux qu'il soit performant et bien configur. Et si vous pensez ne pas tre capable de le configurer comme il faut, choisissez un firewall disposant d'une bonne ergonomie, quitte perdre un peu en efficacit.
3.3 - J'ai une Ligne Spcialise Dans ce cas, il est surprennant que vous n'ayez pas, de vous mme, install de firewall. En effet, vous disposez d'une ligne trs haut dbit et IP fixe, et surtout, vous tes connects en permanence ou presque. De plus, vous utilisez assrement cette connexion pour faire tellement de choses, que vous ne verrez mme pas l'augmentation de charge, de vos ordinateurs autant que celle de votre connexion. A titre d'exemple, c'est en piratant les ordinateurs d'une socit disposant d'une ligne spcialise, que des petits malins ont innonds certains forums Usenet de messages usurpants diffrentes identites et de spams. Entre autres consquences, la socit, pourtant victime en premier lieu, n'ayant pas remplie sa part du contrat (qui stipulait que le client tait responsable de sa scurit et de tout ce qui passait par ses ordinateurs) a vue son compte ferme par son FAI.
3.4 - J'ai une adresse IP fixe
L'adresse IP tant ce qui vous identifie sur Internet, avoir une IP fixe signifie que vous serez toujours au mme endroit. D'ailleurs, c'est probablement quelque chose que vous apprciez, car tout le monde sait o vous trouvez sur le rseau. Et, videment, tout le monde ne dsigne pas que vos amis, mais aussi les pirates de tout poil...
3.5 - J'ai un routeur Ne vous croyez surtout pas l'abri. Un routeur se contente de router, c'est--dire diriger les donnes l o elles doivent aller. Certes, certains routeurs offrent des options de filtrage et permettent, de part leur nature, de limiter les ports accessibles. Pour autant, ils ne vous protgeront pas aussi efficacement qu'un firewall, laissant par exemple passer le nouveau trojan la mode, simplement parce qu'il s'est plac au bon endroit.
3.6 - Je n'ai rien d'important sur mon ordinateur moi ! Moi non plus, et pourtant, cela ne m'empche pas d'tre victime de plusieurs tentatives d'intrusion par jour. Ce qu'il faut bien comprendre, c'est que le script kiddie, non seulement ne sait pas que vous n'avez rien sur votre ordinateur, mais en plus il s'en contre-fiche. La seule chose qui l'intresse est de rentrer chez vous. Et s'il est dans un bon jour, pour lui, rien ne peut vous garantir qu'il n'en profitera pas pour supprimer, ou modifier, quelques fichiers. Pire, pourquoi n'utiliserait-il pas votre connexion pour envoyer un nombre important de spams, dont vous serez alors, aux yeux de tous et surtout de votre FAI, le seul et unique auteur, avec les consquences que cela implique (notament la fermeture de votre compte par votre FAI).
3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s) Donc, vous permettez quelqu'un de connaitre votre adresse IP (indispensable au logiciel de chat et au serveur IRC). En plus de cela, vous lui permettez d'en savoir plus sur vous, notament le prnom de votre femme, de vos enfants, et toutes ces petites choses que les gens utilisent le plus souvent comme mot de passe. Ne vous tonnez donc pas s'il relance souvent la conversation, ce n'est que pour s'assurer que vous restez connect, le temps qu'il finisse de regarder vos fichiers. Evidement, ceci n'est pas systmatique. Pour autant, ma plus grande victoire en matire de scurit survint le jour o ma femme m'a dit "Tiens, j'ai rencontr quelqu'un sur le chat de xxxxx, et il m'a propos de me passer un petit jeu amusant pour Sylvain. Je crois que j'ai bien fait de refuser, puisqu'il est parti tout de suite aprs."
4 - Comment le configurer ? --------------------------Avant toute chose, il faut que vous gardiez bien en mmoire le fait que, quoi que vous fassiez, le meilleur firewall c'est vous. Par consquent, ne vous considrez jamais l'abri, et lorsque votre firewall vous demande la marche suivre, rflchissez bien avant d'agir. La meilleure scurit tant obtenue lorsque rien ne passe de votre ordinateur vers le rseau (et inversement), commencez par interdire la connexion. Ensuite, si tout s'arrte, il ne vous reste qu' recommencer, mais en autorisant la connexion cette fois. Au pire, vous aurez perdu quelques secondes, peut-tre une minute grand maximum. Au mieux, vous vous serez vit de gros ennuis. D'ailleurs, moins de savoir exactement ce que vous faites, prfrez toujours une autorisation temporaire, quitte la transformer en autorisation dfinitive lorsque vous en aurez appris plus son propos. C'est certes une contrainte supplmentaire, mais c'est aussi une scurit supplmentaire. Enfin, comme il n'existe aucune solution miracle pour bien configurer un firewall, il faut commencer par se renseigner sur les faiblesses de son systme d'exploitation. De cette faon, vous connaitrez les ports/services ne pas ouvrir la lgre, et cela vous sera fort utile par la suite.
4.1 - Mon firewall ne fait qu'autoriser un programme aller sur Internet Bien qu'il s'agisse des firewalls les plus simplistes, ils sont suffisants pour les personnes ne restant pas connectes trs longtemps, et ne disposant pas d'une IP fixe. D'autant plus que leur simplicit de fonctionnement ne veut pas dire qu'ils ne remplissent pas leur rle. Ces firewalls sont les plus simples configurer. A chaque fois qu'un programme qu'ils ne connaissent pas essaie de se connecter, le firewall vous demandera si vous autorisez la connexion, ou non. Ce sera donc vous de voir s'il s'agit du programme que vous tes en train d'utiliser, ou d'un autre programme.
4.2 - Mon firewall me parle de services, adresses, etc. Ces firewalls ne sont pas aussi difficiles configurer qu'il n'y parat premire vue. Tout d'abord, vous devez connatre la liste des ports correspondant aux principaux services dont vous aurez besoin (voir annexe). Ensuite, prvoyez ds maintenant les programmes que vous utiliserez pour ces services. Par exemple Internet Explorer pour surfer (port 80 et 443). Lorsque vous avez tout ceci sous la main, vous pourrez commencer saisir vos propres rgles : - Avant toute chose, vous allez interdire toute connexion, quelque soit le programme, le port (entre 1 et 65535), et le sens. Ainsi, vous serez assur de ne pas avoir laiss une porte
ouverte par erreur. - Ensuite, vous allez ouvrir les ports au fur et mesure, en partant du service ayant le numro de port le plus petit (en gnral le FTP, port 20 et 21). De cette faon, vous serez sr de ne pas en avoir oubli. Pour chaque ports vous allez indiquer le programme que vous souhaitez utiliser, le numro du port correspondant, le sens (sortie/Outbound), et dire au firewall d'autoriser la connexion. Si vous changez de logiciel, ou dcidez d'en utiliser plusieurs suivant le cas, modifiez la rgle en consquence, ou rajoutez en une. Lorsque vous aurez pass toute votre liste en revue, il ne vous restera plus qu' activer le mode "apprentissage" de votre firewall, s'il existe, et vous pourrez surfer l'esprit plus tranquille. Attention, cependant, certains firewalls, surtout sur Windows, s'arrtent la premire rgle correspondant la connexion qui essaie de se faire. Par consquent, la rgle destine fermer tous les ports ne devra pas se trouver au dbut, mais la fin. En tout tat de cause, la documentation de votre firewall saura vous dire s'il doit ou non en tre ainsi.
4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ? Parce que ces programmes, en plus d'tre de vritables trous de scurit pour certains, ne se contentent pas d'utiliser un seul port. Par consquent, un moment o un autre, ils se heurtent votre firewall. Nanmoins, la situation n'est pas desespre, et des solutions existent. Commencez par relire la documentation de votre firewall, pour voir s'il est possible de lui adjoindre des modules propres tel ou tel programme. Si c'est le cas, il ne vous reste plus qu' partir sur le web la recherche de du module adapt vos dsirs. Dans le cas contraire, il va falloir vous rsigner ne plus utiliser le programme, ou voir votre firewall vous demandez votre avis plus souvent qu' l'habitude. Pour cela, commencez par tudier le programme que vous souhaitez utiliser. S'il n'utilise qu'un certain nombre de ports bien prcis, modifiez la rgle d'interdiction totale pour qu'elle ne bloque pas ces ports. De mme si le programme permet de prciser l'intervale des ports qu'il est autoris utiliser. Par la suite, vous n'aurez qu' agir au cas par cas chaque demande de votre firewall. C'est plus contraignant, et demande une plus grande vigilance de votre part, mais c'est le seul moyen votre disposition.
4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il fonctionne ? Il suffit de procder comme pour les autres programmes, sauf que la rgle que vous devrez ouvrir le port en entre/inbound. Attention cependant, ces programmes sont autant de failles potentielles dans votre scurit, et votre firewall n'y peut rien.
Par consquent la rgle que vous ajouterez votre firewall devra tre la plus contraignante possible (limite l'adresse du serveur de votre FAI pour le cas d'un serveur de news par exemple). Pour autant, je vous conseille fortement d'ajouter cela un suivit rgulier du site de l'diteur du serveur, et des principaux sites parlant de scurit, de manire procder le plus rapidement possible aux corrections mme de combler une faille nouvellement dcouverte.
5 - Au secours, mon firewall, mes logs, disent ... --------------------------------------------------Votre firewall est bavard, et passe son temps vous dire que quelqu'un a essay de se connecter sur votre ordinateur ? S'il ne garde une trace que des connexions interdites, il est inutile de vous inquiter, c'est la preuve qu'il fait bien ce que vous lui avez demand. Pour autant, vous gagneriez probablement affiner un peu ses rgles de filtrage, pour qu'il ne vous avertisse plus des connexions "parasites". Par contre, s'il garde une trace de l'ensemble des connexions, vous n'y couperez pas, et devrez commencer par apprendre comment fonctionne le rseau, de faon bien comprendre ce que raconte votre firewall. Quoi qu'il en soit, si votre firewall vous indique qu'un programme a essay de sortir de votre ordinateur, il est temps de faire appel un anti-virus et/ou un anti-spyware et/ou anti-troyen. Cependant, ne vous alarmez pas trop vite pour autant, certains cas tant parfaitement normaux.
5.1 - Mon lecteur de courrier/news essaie de se connecter sur un autre port que celui qui est normalement le sien. Avant de l'accuser d'tre un spyware, ou de rechercher partout un trojan/troyen, demandez-vous si cela n'est pas normal. Qu'tiez-vous en train de faire ? Vous regardiez un message en HTML ? Il est probable que ce soit lui le responsable. Tous les lments composant la page HTML n'ont peut-tre pas t inclus dans le message, et votre programme s'est donc connect au web pour les trouver.
5.2 - Mon navigateur Internet essaie de se connecter sur un autre port que celui qui est normalement le sien. Ne paniquez pas trop vite. Vouliez-vous aller sur un site scuris ? Si oui, c'est probablement pour cette raison que vous ne reconnaissez pas le port indiqu par votre firewall. Commencez par bloquer la connexion, et si votre navigateur signale une erreur, recommencez, en autorisant la connexion cette fois. Le cas ce prsente aussi lorsque la page que vous tes en train de regarder contient des vidos, ou d'autres lments la mode. L
encore, commencez par bloquer la connexion, et si la page semble incomplte, recommencez.
5.3 - Mes programmes n'arrtent pas de se connecter via le port 53. Il n'y a rien, ou presque, de plus normal que cela. Ce port tant utilis pour les requtes DNS, ds qu'un programme doit faire le lien entre une adresse web (http://zzz.tld) et une adresse IP (123.123.123.123), il contacte le DNS de votre FAI. De plus, certains DNS sont configurs "avec les pieds", et envoient de nombreuses connexions parasites qui n'ont d'autres consquences que de surcharger votre connexion.
6 - Questions d'ordre gnral ----------------------------6.1 - Avoir deux firewalls est-il un plus ? Au contraire. Tout d'abord, vous ne savez pas comment ils vont interfrer entre eux, crant peut-tre une brche dans votre scurit. Ensuite, et surtout, vous aurez tendance vous reposer sur eux, et manquer de vigilance. Or, le meilleur firewall est plac entre la chaise et le clavier, c'est--dire vous. Cependant, cela n'est vrai que dans la mesure o ils sont tous deux placs sur le mme ordinateur. Dans le cas d'un rseau d'entreprise, ou d'association/club/autre, il peut tre utile d'utiliser deux firewalls, de part et d'autre de la DMZ. Mais cela dpasse le cadre de cette FAQ.
6.2 - Je suis convaincu, j'installe un firewall ds demain. Ai-je encore besoin d'un Anti-Virus ? Oui, videmment. Mme s'ils sont parfois complmentaires, l'AntiVirus liminant les trojans/Troyens avant mme que votre firewall n'ait les bloquer, ils ne font pas le mme travail pour autant.
6.3 - "NetBios", j'en entends souvent parler, mais qu'est-ce ? NetBios est le nom de l'interface dveloppe par Microsoft pour le partage de fichier et d'imprimante. Donc, si vous n'utilisez pas Windows, vous ne craignez rien de ce ct l. Attention toutefois, /samba/ offrant aux systmes d'exploitation Unix une interface avec le monde Windows, il dispose des mmes failles. Dans le scurit NetBios, utiliser cas contraire, sachez qu'il s'agit d'une faille de au coeur mme de votre systme. Par l'intermdiaire de n'importe qui peut s'introduire dans votre ordinateur, et votre/vos disques durs, comme s'il s'agissait des siens.
Il faut donc imprativement bloquer les ports 137, 138 et 139 en UDP et TCP, et dans les deux sens (entre et sortie). Attention, Windows ayant ceci de particulier que l'on ne sait pas toujours ce qu'il fait, ne pensez pas qu'il suffise de dsactiver NetBios pour tre l'abri. En effet, Windows pourrait bien dcider qu'il en a besoin, et le ractiver sans que vous ne vous en rendiez compte.
6.4 - Un firewall ralentit-il la connexion ? Oui, et non. Un firewall contrlant tout ce qui entre et sort de votre ordinateur, il ralentira forcment la connexion. Maintenant, tout dpend de votre ordinateur (plus il est puissant mieux c'est), et de ce que fait votre firewall. Pour autant, il est rare que ce ralentissement ait des consquences visibles, mais si tel tait le cas, le mieux reste encore de changer de firewall.
7 - Mini lexique ---------------7.1 - Adresse IP L'adresse IP est un numro, unique, qui permet de savoir o se situe, et donc comment joindre, votre ordinateur. C'est grce elle qu'un site web, par exemple, sait o il doit envoyer les pages qu'il contient. Dans la majorit des cas, l'adresse vous est attribue par votre FAI.
7.2 - DMZ Ce terme un peu barbare dsigne la partie d'un rseau volontairement isol du reste, et qui contient les diffrents serveurs ncessaires au rseau. Sa prsence permet d'accroitre le niveau de scurit car elle constitue une zone tampon qu'il faudra traverser avant de pntrer rellement dans le rseau.
7.3 - Fournisseur d'Accs Internet ( FAI ) Il s'agit du prestataire de service par l'intermdiaire duquel vous accdez Internet.
7.4 - Protocole ICMP Derrire cet acronyme, signifiant "Internet Control Message Protocol" (Protocole Internet de messages de contrle), se cache un protocole destin grer les informations relatives aux erreurs
pouvant survenir sur le rseau.
7.5 - Port Il s'agit d'un numro dsignant un service particulier. C'est par son intermdaire que les logiciels savent de quels types de donnes il s'agit.
7.6 - Service / Serveur Il s'agit d'un programme permettant de proposer des donnes (du contenu) sur le rseau. Un serveur Web, par exemple, est un service, au mme titre qu'un serveur FTP.
7.7 - Spyware / Espiogiciel Il s'agit de programme, gnralement freeware, qui en plus de leur fonction de base (aide au tlchargement par exemple), font de l'espionnage commercial votre insu. Par exemple, ils rcuprent la liste des programmes prsents sur votre ordinateur, et l'envoient une adresse donne, ce qui permet de savoir l'utilisation que vous faites de votre ordinateur.
7.8 - Trojan / Troyen Un trojan/troyen est un programme ouvrant, votre insu et pour vous nuire, un service particulier sur votre ordinateur. C'est grce ces programmes qu'un pirate peut accder plus facilement votre ordinateur.
7.9 - Protocole TCP Cet acronyme de Transmission Control Protocol (Protocole de Contrle de Transmission), se cache le protocole le plus utilis pour les changes de donnes sur Internet. Et comme Internet est une suite continue d'changes de donnes...
7.10 - Protocole UDP A l'inverse du protocole TCP, le protocole UDP (User Datagram Protocol) n'est utilis que ponctuellement sur Internet. Ceci tient notament au fait qu'il n'y a aucun contrle, et donc aucune assurance que les donnes soient bien parvenues destination.
8 - Annexes ----------8.1 - Liste des principaux ports Port 20 Port 21 Port 25 Port 53 Ce port est utilis lors des connexions FTP dynamiques. Ce port est utilis pour les connexions FTP (tlchargement de logiciels). Ce port est utilis pour les connexions SMTP (envoie de votre courrier vers le serveur de votre FAI). Ce port est utilis pour les requtes DNS. Celles ci permettent, entre autre, de trouver l'adresse correspondant au site que vous cherchez atteindre. Ce port est utilis pour les connexions HTTP, autrement dit chaque fois que vous surfez. Ce port est utilis pour les connexions POP3 (tlchargement de votre courrier depuis le serveur de votre FAI). Ce port est utilis pour les connexions NNTP. C'est--dire la lecture des forums Usenet. Ce port est utilis pour les connexions HTTPS, savoir les connexions vers des sites web "scuriss".
Port 80 Port 110
Port 119 Port 443
8.2 - Une configuration standard - Fermez tous les ports, en entre comme en sortie, et en TCP comme en UDP ; - Interdisez tous les paquets ICMP entrer ou sortir de votre ordinateur ; - Autorisez les paquets ICMP "Echo Request" sortir de votre ordinateur ; - Autorisez les paquets ICMP "Echo Reply", "Destination Unreachable" et "Time Exceeded for a Datagram" rentrer ; - Ouvrez le port 53 dans les deux sens ; - Autorisez votre navigateur Internet sortir vers les ports 80 et 443 ; - Autorisez votre lecteur de courrier sortir vers les port 25 et 110 ; - Autorisez votre lecteur de news sortir vers le port 119 ; - Autorisez votre lecteur de news sortir vers le port 25 ; - Autorisez votre logiciel de FTP sortir vers le port 21 ; - Autorisez votre logiciel de FTP recevoir des donnes en provenance du port 20 ; A noter que selon votre firewall, les deux premires rgles (celle interdisant toute connexion en TCP et UDP, et celle bloquant tous les paquets ICMP) peuvent tre placer aprs toutes les autres rgles.
8.3 - Webographie - "Comment Ca Marche" section Internet : - La FAQ non officielle et politiquement incorrecte de fr.comp.securite : - Ressources en Francais sur le thme de la scurit informatique : - La section scurit informatique et rseau du Comit Rseau des Universits : - Le site du CERT (en anglais) : - Liste officiels des ports privilgis ( numros infrieurs 1024 ) et enregistrs ( numros suprieurs 1023 ) (en anglais) : - liste des ports utiliss par des trojans/troyens connus (en anglais) :
8.4 - Bibliographie a) Lecteurs profanes : - "Firewall et securite Internet" De Steve Bellovin et Bill cheswick Aux ditions Addison Wesley b) Lecteurs confirms : - "Firewalls: la securite sur Internet" De D. Brent Chapman et Elizabeth D. Zwicky Aux ditions O'Reilly
8.5 - Remerciements Merci ceux sans qui cette FAQ n'aurait pas vu le jour. A commencer par Brina qui m'a convaincu de la rdiger, et par ma femme qui m'a aid en faire un document comprhensible par le plus grand nombre, tant dans sa forme (orthographe surtout) que dans son contenu. Merci aussi tous ceux qui ont particip cette FAQ : Cyril Guibourg, David Delon, Pascal Cabaud, Patrice Labracherie, Serge Lefranc, Stephane T., Thierry, etc.
9 - Conclusion -------------J'ai fait de mon mieux pour limiter les fautes d'orthographe, et me montrer exhaustif autant que pdagogue. Pour autant, je ne suis pas infaillible. Toute correction, qu'elle porte sur la forme ou sur le fond, sera donc la bienvenue, ainsi que toutes les suggestions que vous pourriez avoir.
