Parefeu Firewall Tutorial Debutant Kerio FR

5/13/2018 Parefeu Firewall Tutorial Debutant Kerio FR - slidepdf.com

http://slidepdf.com/reader/full/parefeu-firewall-tutorial-debutant-kerio-fr 1/26

Sur l’usage des

Pare-feu

OCTY

VERSION 1.0 - 20 SEPTEMBRE 2004http ://octy.free.fr/



Table des matières

1 Introduction 1

2 Communiquons 3

2.1 Une adresse pour échanger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Organisons la communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Les pare-feu 8

3.1 Limitations et rôles d’un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.2 Définition d’une zone de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.3 Filtrage par logiciels et apprentissage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.4 Filtrage par les caractéristiques de connexion . . . . . . . . . . . . . . . . . . . . . . . 153.5 Autres fonctionnalités des pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.6 Tests et configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4 Conclusion 23

ii



Table des figures

2.1 Résultats de la commande ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Interconnexion logiciels/ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3 Résultats de la commande netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1 Sépration de zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.2 Definition de la zone de confiance dans le pare-feu Kerio . . . . . . . . . . . . . . . . . 10

3.3 Règles de décision par logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123.4 Interception d’une connexion sortante vers Internet, sans règle . . . . . . . . . . . . . . 123.5 Interception d’une connexion entrante depuis Internet, sans règle . . . . . . . . . . . . . 133.6 Interception d’une connexion sortante . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.7 Détection de la modification d’un logiciel . . . . . . . . . . . . . . . . . . . . . . . . . 143.8 Lancement d’un logiciel à partir d’un autre . . . . . . . . . . . . . . . . . . . . . . . . 143.9 Consultation et modification de la liste de regles de filtrage . . . . . . . . . . . . . . . . 153.10 Ajout d’une règle de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.11 Sélection d’un numéro de port pour la définition d’une règle . . . . . . . . . . . . . . . 173.12 Requête «ping» autorisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.14 Alarme sur l’application d’une règle de filtrage . . . . . . . . . . . . . . . . . . . . . . 17

3.13 Requête «ping» refusée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.15 Test des ports de mon ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.16 Test des ports de mon ordinateur après ajout de règles . . . . . . . . . . . . . . . . . . . 203.17 Blocage de Netbios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

iii



Chapitre 1

Introduction

L’idée de rédiger ce modeste guide est née des fils de discussions récurents, que l’on trouve au détourdes forums sur Internet, autour de l’emploi des pare-feu. Nombre d’utilisateurs semblent être perdus

face à ce type d’outils car il est vrai que leur utilisation est parfois déroutante. Leur utilisation semble, àtort dans la majorité des cas, nécessiter une connaissance approfondie de l’informatique actuelle ou desprotocoles utilisés sur la toile par les ordinateurs.

A l’heure ou les systèmes de paiement, les services de gestion bancaire en ligne ou la télé-déclarationdes révenus se démocratisent, s’ouvrir sur Internet nécessite une prise de conscience. De la même ma-nière que pour ces mécanismes qui utilisent activement Internet, les données stockées sur votre ordi-nateur (photos, comptes bancaires, courrier,. . .) peuvent être la cible d’actes malveillants dès que votreordinateur est capable d’interagir avec «l’exterieur».

Un certain nombre de composants de sécurité sont nécessaires pour ne pas avoir de déconvenue oude mauvaises surprises (compte en banque allégé, données personnelles publiées,. . .). Le pare-feu en est

un, certains systèmes (Windows XP muni du Service Pack 2 par exemple -SP2-) disposent d’un firewallintégré, d’autres nécessitent l’ajonction d’un outil (logiciel ou matériel) dédié.Associé au pare-feu, il est également un composant primordial : l’utilisateur. Une des meilleurs

protection est l’utilisation intelligente de votre ordinateur et du pare-feu. Le but de ce document est demontrer que cela n’est finalement pas si compliqué et que quelques regles de bon sens permettent des’en sortir pas si mal. Pour ce faire il a pour but d’expliquer sur quels principes basiques fonctionne unpare-feu et ce que vous êtes en droit d’en attendre.

Avec à la démocratisation d’Internet, on dénombre de plus en plus d’utilisateurs francophones quine sont pas à l’aise avec des guides d’utilisation ou manuels rédigés en anglais, j’ai donc privilégié larédaction de ce mini guide en français. Il n’est pas rare que les demandes de conseils auxquelles certains

utilisateurs avertis répondent sur les forums de discussions s’accompagnent d’un critère de francophonie,soit pour le logiciel à utiliser soit pour les documents.

Je ne suis pas un spécialiste de la technologie utilisée par les pare-feu ou de leur développements.Je présente ici simplement une expérience acquise dans leur utilisation en espérant qu’elle pourra être



2

utile à d’autres. Je me dédouane également classiquement, il ne serait en être question autrement dans ledomaine de la sécurité informatique :

Je decline toute responsabilité quant à la perte de données, d’intégrité du système oude l’ordinateur, suite à l’application des informations contenues dans ce document.Notamment en cas de faille ou de configuration incorrecte du logiciel pare-feu et/oudu système pouvant exposer le système et les données qu’il éberge à des menacesmalveillantes de toute nature que ce soit.

J’ai tenté de minimiser les détails techniques pour adresser un public le plus large possible. Un utili-sateur averti trouvera probablement ce document ennuyeux, c’est normal, je n’ai pas vocation à faire unprécis de technologie.

Ce document contient des illustrations et exemples basés sur l’utilisation de d’un système particulier,

et ne constitue en aucun cas un jugement de valeur sur la sécurité de ces éléments :– Microsoft Windows XP Familial SP1– Pare-feu Kerio Personnal Firewall 4

L’objectif n’étant pas de fournir une description détaillée du fonctionnement des principaux outils dis-ponibles sur le marché (notamment dans un soucis de stabilité de mon système d’exploitation).

Cependant, toute contribution bénévole (au même titre que celle-ci) visant à étendre les illustra-tions vers d’autres systèmes d’exploitation ou pare-feu (logiciel ou matériel) seront les bienvenues etintégrées, sans obligation de temps, à ce document.

Enfin, toute remarque constructive est également la bienvenue pour assurer une mise à jour correctiveou évolutive.

La première partie de ce document décrit les principes suivants lesquels un ordinateur communiqueclassiquement via Internet. Les bases étant posées, les pare-feu perdrons peu à peu de leur mystèremystère, les principes généraux d’utilisation ainsi que des exemples seront présentés dans la deuxièmepartie.



Chapitre 2

Communiquons

Ce chapitre explique comment votre ordinateur echange des informations avec d’autres machinesvia Internet. Il permet ainsi de fixer le vocabulaire que l’on retrouve traditionnellement lors de la confi-

guration et l’utilisation courante d’un pare-feu.

2.1 Une adresse pour échanger

Le réseau Internet regroupe des millions d’ordinateurs, tous techniquement capable de communiquerl’un avec l’autre, sans ambiguïté. Pour parvenir à ceci votre ordinateur possède une adresse unique c’estson adresse IP (Internet Protocol).

On peut faire une analogie, en simplifiant, avec l’adresse postale (sans mention nominative - ellereprésentera un autre service plus tard -). Dans la réalité c’est un peu différent car les fournisseursd’accès à Internet disposent chacun d’une plage d’adresses limitée. Dans la majeur partie des cas lesutilisateurs disposent alors d’une adresse IP dite dynamique (à l’opposée d’une adresse IP statique ou

fixe).

Lorsque que vous possédez une adresse IP dynamique votre fournisseur d’accès à Internet vous enattribue une différente pour chaque session (entre la connexion à Internet et la déconnexion).

Si vous ne savez pas qu’elle type d’adresse IP vous possédez il y a de fortes chances que vous soyezen IP dynamique. L’accès à une IP statique est souvent un service qu’il faut demander explicitement etparfois payant, puisque votre fournisseur en a un nombre limité.

Cela a un intérêt lorsque vous souhaitez que votre ordinateur puisse être toujours accessible, sans quel’on soit obligé de vous «chercher». Dans ce cas, l’analogie avec une adresse postale est totale. C’est lecas des personnes qui souhaitent mettre à disposition un service sur Internet (serveur, forums,. . .). Bienqu’il existe aujourd’hui des outils permettant de communiquer automatiquement son adresse lorsqu’elle

change.

Avoir une adresse IP dynamique n’est pas dénué d’intérêt d’un point de vue sécurité. En effet unepersonne qui cherche à penétrer votre système est obligée de rechercher votre ordinateur entre chaquesession car vous changez systématiquement d’adresse. Un attaquant digne de ce nom aura d’autresmoyens pour vous pister, mais cela met déjà en place une première barrière.



2.1 Une adresse pour échanger 4

Une adresse IP est constituée de quatre nombres entiers, chacun étant compris entre 0 et 255. Celapermet donc de fournir des adresses pour 4294967295 ordinateurs, c’est le codage adopté depuis desannées par le standard IPv4 (Internet Protocol Version 4, codage des adresses sur «32 bits»).

Cela peut sembler suffisant pour fournir les adresses à tous les ordinateurs existants et cela pour en-

core plusieurs dizaines d’années. Dans la pratique cela est faux car les adresses ne sont pas attribuées demanière anarchique. Elles sont structurées en domaines et certaines adresses ne seront jamais utilisées.Pour palier à cela (entre autre) la communauté scientifique travaille depuis plusieurs années à la

spécification et au déploiement d’IPv6 qui code les adresses IP sur «64 bits» offrant ainsi un espaced’adressage de 18446744073709551615 possibilités, ce qui devrait nous mettre à l’abri pour un moment.

À ce jour, la plupart des ordinateurs connectés à Internet (la très grande majorité en fait) n’utilise quele standard IPv4.

Il existe plusieurs méthodes pour connaître l’adresse IP de votre ordinateur, notamment en fonctiondes outils livrés lors de votre abonnement par votre fournisseur d’accès. Sous windows XP, la méthode

«universelle» consiste à tapper la commande ipconfig dans une fenêtre de commande (habituel-lement accessible par le menu «Démarrer/Tous les programmes/Accessoires/Invite

de commandes». La figure 2.1 présente le résultat, indiquant la présence d’une carte réseau ethernet(ce n’est pas forcément le cas) et une connexion au réseau Free ADSL avec une adresse IP attribuée de82.65.56.87.

C:\>ipconfig

Configuration IP de Windows

Carte Ethernet Connexion au réseau local:

Suffixe DNS propre à la connexion :

Adresse IP. . . . . . . . . . . . : 10.0.0.10

Masque de sous-réseau . . . . . . : 255.255.255.0

Passerelle par défaut . . . . . . :

Carte PPP Free ADSL :

Suffixe DNS propre à la connexion :

Adresse IP. . . . . . . . . . . . : 82.65.56.87

Masque de sous-réseau . . . . . . : 255.255.255.255

Passerelle par défaut . . . . . . : 82.65.56.87

C:\>

FIG . 2.1 – Résultats de la commande ipconfig



2.2 Organisons la communication 5

Pour faciliter la mémorisation d’adresses, il est possible pour certaines d’utiliser une forme pluslittérale. Par exemple www.google.fr représente celle d’un serveur Web bien connu. Si vous saisis-sez cette adresse dans votre navigateur il ne sera pas capable de former des messages à destination duserveur avec une adresse sous cette forme. La première action executée par votre navigateur est donc

de demander sa traduction en une représentation plus classique pour lui (sous la forme d’une série dequatre nombres). C’est le rôle des serveurs DNS (Domaine Name serveur).Dans tous les cas lorsque votre pare-feu emettera une alarme concernant une connexion sortante ou

entrante, il vous indiquera au moins l’adresse IP sous forme de nombres.

A retenir

Sur Internet les ordinateurs sont identifiés par une adresse IP composée de quatrenombres entre 0 et 255 (souvent représentés séparés par des points). Exemple :82.65.56.87. Cette adresse peut être soit dynamique soit fixe.

2.2 Organisons la communication

Pour présenter les adresses IP nous avons évoqué les communications entre odrinateurs. Dans lapratique ce n’est pas tout a fait exact, en fait se sont les programmes, qui s’executent sur les ordinateurs,qui communiquent entre eux.

Par exemple lorsque vous ouvrez un navigateur Web et que vous saisissez l’adresse d’un serveur(www.free.fr par exemple), le navigateur va communiquer avec le serveur correspondant en utilisantles ressources logiciels et matérielles de votre ordinateur.

Sur les systèmes d’exploitations actuels (Windows XP, Linux, MacOS,. . .) qui nous permettent d’uti-liser les ressources des ordinateurs il s’execute plusieurs logiciels «simultanéments». Chacun d’entre

eux à la possibilité de communiquer avec d’autres logiciels via Internet.Étant donné que votre ordinateur possède une adresse IP unique il a fallu mettre en place un système

permettant à chaque logiciel de ne pas interférer dans la communication des autres. C’est le système desports.

En reprenant l’analogie postale, le port serait le nom d’une personne particulière résidant à l’adressedonnée. Il est représenté par un nombre positif.

Lorsqu’un logiciel a besoin de communiquer sur Internet il s’attribut un port, on dit alors qu’il ouvre

un port. Par la suite, le logiciel s’attend alors à ce que toutes les informations qui lui sont destinéesarrivent par ce port, on dit qu’il écoute un port.

Dans la pratique c’est votre système d’exploitation qui reçoit ou émet l’ensemble des données enprovenance ou à destination d’Internet. Ces informations sont découpées en paquets élémentaires ayantun format standardisé compréhensible par les autres ordinateurs. Les formats les plus connus (proto-coles) sont TCP («Transmission Control Protocol») et UDP («User Datagram Protocol»).

Dans la plupart des cas, tous ces paquets élémentaires contiennent non seulement l’information quitransite mais également une entête indiquant entre autre :




FIG . 2.2 – Interconnexion logiciels/ports

– l’adresse IP de l’émetteur– l’adresse IP du destinataire

– le port du destinataireÀ la réception d’un paquet le système d’exploitation, qui maintient une liste de tous les ports ouvertspar vos applications, détermine à quel logiciel sont destinés les informations. Le logiciel qui est norma-lement à l’écoute du port dont il a demandé l’ouverture est informé de l’arrivée de données, qu’il peutpar la suite lire et interpréter. La figure 2.2 schématise ce principe.

Le nombre de ports ouvrable simultanément est limité par ordinateur, notamment en fonction descapacités du système d’exploitation. De plus le codage des numéros de de port dans les paquets élemen-taires limite les numéros de 1 à 65535. Un logiciel peut ouvrir plusieurs ports simultanément.

Certains numéros de port sont implicitement réservés à des usages particuliers. Par exemple, les log-

ciels serveurs Web sont classiquement associé au port 80 pour recevoir des requêtes de pages.Si vous saisissez www.voila.fr dans votre navigateur il formulera une demande qui contiendral’adresse IP de destination correspondante (récupérée sur un serveur DNS) et le port 80.

Il est possible de forcer l’adressage vers un port particulier en spécifiant le numéro à la suite d’uneadresse, séparés par deux points. Par exemple les adresses www.voila.fr et www.voila.fr :80

saisies dans votre navigateur aboutirons au même résultat alors que www.voila.fr :1563 ne don-




nera rien. L’ordinateur dont l’adresse est www.voila.fr n’ayant probablement pas de logiciel encours d’execution qui ait ouvert le port 1563.

Vous avez probablement entendu parler de «scan de ports». Il s’agit d’un attaquant à la re-

cherche d’une victime. Une fois une adresse IP choisie (aléatoirement généralement) l’attaquant balaiel’ensemble des ports de la machine pour détecter ceux qui sont ouverts, c’est à dire ceux derrière les-quels un logiciel est capable de recevoir et d’interpréter des informations. C’est la phase préliminaire àun type d’attaque. La seconde phase consiste à identifier le logiciel qui est à l’écoute d’un des ports ou-vert pour éventuellement en exploiter les faiblesses. Un scan de ports est difficilement exploitable pourun attaquant si les logiciels qui ont ouvert les ports n’ont pas de faiblesses identifiées. Il est primordialde maintenir ses logiciels à jour avec les différents correctifs proposés par les éditeurs (la fonctionnalitéWindows Update disponible sous Windows XP par exemple).

La commande netstat, toujours dans la fenêtre d’invite de commandes donne la liste des con-nexions actives sur votre ordinateur. La figure 2.3 représente l’état des connexions lors d’un accès au

serveur Web adsl.free.fr, l’extension des adresses avec le suffixe :htpp signifie implicitementle port 80.

C:\>netstat

Connexions actives

Proto Adresse locale Adresse distante Etat

TCP pcperso-home:1138 dgroup.proxad.net:http ESTABLISHED

TCP pcperso-home:1139 80.15.238.18:http ESTABLISHED

TCP pcperso-home:1140 dgroup.proxad.net:http ESTABLISHED

FIG . 2.3 – Résultats de la commande netstat

La même commande utilisée avec une option (netstat -a) fournie la liste des toutes les con-nexions TCP actives et les ports TCP et UDP actuellement utilisés en écoute. Pour rappel TCP et UDPsont les principaux protocoles utilisés sur Internet, ces standards définissent comment et sous quellesformes les informations sont échangées entre les ordinateurs.

A retenir

Les logiciels qui s’executent sur votre ordinateur ouvrent et écoutent des ports, cequi permet au systéme d’exploitation de leur transmettre sans ambiguïté des infor-mations en provenance d’Internet. Ces informations ont étés acheminées jusqu’avotre ordinateur grâce à son adresse IP unique.



Chapitre 3

Les pare-feu

Les pare-feu peuvent prendre plusieurs formes :– celle d’un logiciel indépendant s’executant sur votre ordinateur ;

– celle d’un logiciel ou service mis en œuvre dans votre système d’exploitation (c’est le cas dansWindows XP SP2) ;– celle d’un «firmware» implanté dans un matériel spécifique. C’est le cas des routeurs disposant

d’un module pare-feu.

Dans la première catégorie on trouve des produits proposés gratuitement (généralement sous uneforme limitée) pour un usage non commercial. Par exemple, par ordre alphabétique :

– Kerio Personal Firewall 4, http ://www.kerio.com

– ZoneAlarm, http ://www.zonelabs.com

Le premier (Kerio Personal Firewall) servira à illustrer mes propos en présentant leur mise

en œuvre.

3.1 Limitations et rôles d’un pare-feu

Le rôle de base d’un pare-feu et de contrôler les communications qui sont établies entre les logicielss’executant sur votre ordinateur et ceux des machines distantes visibles à travers un réseau (Internet ouautre). Par contrôler on entend autoriser ou refuser les connexions mais aussi les répertorier dans un

journal d’activité si nécessaire.

En général, mais il y a des exceptions que nous présenterons par la suite, le contrôle ne s’effectue passur le contenu mais sur le contenant. Plus précisément sur les caractéristiques de la connexion.

Parmi les fonctionnalités les plus courantes des pare-feu, et que l’on détaillera avec un exemple, ontrouve souvent :

– définition d’une zone de confiance, constituée d’éléments pour lesquels les communications nesont pas suspectes (votre ordinateur par exemple) ;



3.2 Définition d’une zone de confiance 9

– définition d’une liste de logiciels suceptibles de communiquer des informations vers l’une deszones définies. Pour chaque logiciel il est possible d’autoriser ou refuser l’établissement d’uncanal de communication ;

– définition d’une liste de ports et protocoles à autoriser ou refuser ;

– définition d’une liste d’adresse IP à autoriser ou refuser pour l’établissement d’une communica-tion;– la tenue d’un journal dans lequel le pare-feu va répertorier certains évènements que vous lui aurez

demander de surveiller ;– la surveillance de l’intégrité des logiciels ;– filtrage de certaines adresses Internet «littérales» ;– blocage des «cookies» ;– emmission d’alarmes sur certains évènements configurables ;– . . .

En aucun cas un pare-feu n’est un outil de détection ou d’éradication de virus, chevaux de troie ou

autres codes malicieux, contrairement aux anti-virus qui peuvent les detecter avant qu’ils ne deviennentactifs.Un pare-feu correctement utilisé et configuré pourra cependant en bloquer les conséquences en in-

terceptant une tentative de connexion illégitime en provenance ou a destination de votre ordinateur.Un pare-feu n’a d’autre choix que de suivre des règles pour décider du caractère légitime ou non

d’une communication. Ces règles sont issues de sa configuration. En général, en cas d’ambiguïté lepare-feu vous notifie un problème nécessitant une intervention de votre part.

Cependant, la majeur partie des pare-feu grand public et à usage personnel disposent d’une interfacesimplifiée permettant de fixer le niveau de sécurité requi (souvent traduit par faible, moyen ou fort). Ceniveau est utilisé pour activer ou désactiver un ensemble de règles plus ou moins restricives et prédéfinies

par l’éditeur du logiciel.

3.2 Définition d’une zone de confiance

Une fois installé le pare-feu va scruter le fonctionnement de votre ordinateur et notamment toutesles connexions qui seront établies par les logiciels.

Les règles qui seront définies ultérieurement seront faites pour contrôler ce qu’il va rentrer ou sortirde la zone de confiance. Elle peut être symbolisée comme une zone de libre échange ou il existe deuxniveaux de contrôle, un aux frontières externes et un à l’intérieur.

La figure 3.1 schématise cette séparation opérée par le pare-feu, entre la zone de confiance que vous

créez et Internet.

La zone de confiance est généralement formée des composants constituant votre système et sucep-tibles d’emettre ou recevoir des communications. Par exemple si vous disposez de deux ordinateurs enréseau, chacun des deux peut avoir confiance en l’autre. Il est alors possible de définir une zone deconfiance contenant ces deux ordinateurs (identifiés par leur adresse IP).



3.2 Définition d’une zone de confiance 10

FIG . 3.1 – Sépration de zones

Il est évident que cette zone ne doit pas contenir d’éléments non contrôlés (des adresse IP d’ordina-teurs sur Internet par exemple). Pour un usage domestique classique (un ordinateur connecté à Internet),la zone de confiance ne contient que le matériel lié à l’odinateur.

Par exemple :– l’ordinateur lui même car les logiciels fonctionnant sur un même ordinateur peuvent utiliser des

ports pour communiquer entre eux. Votre ordinateur est identifié par l’adresse IP 127.0.0.1. C’estl’adresse IP «loopback», elle n’est pas interprétée comme une adresse IP d’une machine sur unréseau, mais comme étant l’ordinateur émetteur lui même.

– éventuellement une carte réseau.

FIG . 3.2 – Definition de la zone de confiance dans le pare-feu Kerio

La figure 3.2 présente la fenêtre de configuration de la zone de confiance (dite zone de sécurité dansKerio Personal Firewall 4), disponible par l’onglet gauche «Sécurité du réseau» puis l’ongletsuppérieur «Zone sécurisé».



3.3 Filtrage par logiciels et apprentissage 11

Les pare-feu grand public ne gère généralement qu’une zone de confiance la deuxième zone étantconstituée de tout ce qui n’est pas dans la première. Cela reste suffisant pour la plupart des utilisationsclassiques. De plus pratiquement tous les pare-feu detectent automatiquement votre matériel à l’instal-lation et créent une zone de confiance. Il vous suffit donc, après l’installation, de vérifier son contenu et

l’adapter à vos besoins (ajouter ou supprimer des composants).

A retenir

Le pare-feu s’intercalle entre les logiciels de votre ordinateur et Internet. Il définigénéralement deux zones (dont une de confiance) et contrôle les échanges entre lesdeux zones et les activités dans la zone de confiance.

3.3 Filtrage par logiciels et apprentissage

A la suite de son installation, des pare-feu tels que ZoneAlarm ou Kerio Personal Firewall

4 ne connaissent rien de vos habitudes et logiciels favoris et donc des connexions légitimes qui font suiteà une utilisation classique de votre ordinateur.

Les pare-feu maintiennent une liste des logiciels ayant fait une demande de connexion par le passé etl’action qui en a découlé :

– autorisation systématique ;– refus systématique ;– demande à l’utilisateur.La figure 3.3 présente la configuration par logiciels du pare-feu de Kerio, accessible par l’onglet

gauche «Sécurité du réseau» puis l’onglet suppérieur «Applications». On y retrouve pour chaque logi-ciel (les noms sont floutés dans la capture d’écran) les actions à tenir en cas de connexion entrante ou

sortante, dans la zone de confiance ou Internet. Ce pare-feu offre également la possibilité de tracer dansun journal les requêtes de connexions des logiciels ainsi que d’émettre une alarme quand certains d’entreeux ont une telle activité.

En l’absence de règles explicites, chaque logiciel qui tentera de mettre en œuvre une connexion serabloqué par le pare-feu qui vous informera de cette tentative et attendra une décision de votre part.

Les figures 3.4 et 3.5 représentent les établissements de connexions pour lesquelles le pare-feu n’apas de règle de décision :

– la figure 3.4 est l’interception d’une communication à destination d’Internet, demandée par lelogiciel «latex» (excellent «compilateur» de texte avec lequel je rédige ce document) et à des-tination de l’ordinateur 195.83.118.1 sur son port 59912. Cette connexion fait suite à une

action de ma part sur le logiciel, qui nécessite de télécharger une extension. Il n’y a donc pasd’ambiguïté et je peux donc autoriser cette communication. De plus, ayant moi même installé celogiciel en connaissance de cause, je peux également cocher l’option créer une règle pour cette

communication et ne plus me demander pour autoriser les futures connexions ;– la figure 3.5 quant à elle indique que le logiciel Kerio (le pare-feu lui même) a reçu une de-

mande de connection en provenance d’Internet, et plus précisément de la part de l’ordinateur




FIG . 3.3 – Règles de décision par logiciels

FIG . 3.4 – Interception d’une connexion sortante vers Internet, sans règle

195.139.120.94 port 15098. Demande refusée.

Cette phase pendant laquelle le pare-feu nécessite votre intervention est une phase d’apprentissage,chaque réponse pouvant générer, si vous le souhaitez, une nouvelle entrée dans la table des autorisa-tions/refus systématiques. A tout moment, en cas d’erreur, vous pouvez changer la règle de décisionpour un logiciel grâce à la fenêtre représentée figure 3.3 (ou son équivalente pour un autre logiciel).

Il n’est pas toujours facile de prendre une décision d’autorisation ou de refus dans le cas d’uneconnexion sortante. Quand la connexion remontée par le pare-feu est sans ambiguïté par rapport aulogiciel que l’on est en train d’utiliser et l’action que l’on vient d’effectuer, il est facile de choisir. Parexemple lorsque l’on veut consulter ces courriels (avec le logiciel Outlook par exemple), il ne faut pass’étonner d’avoir une alerte, telle que représentée figure 3.6, qui correspond à une requête de récupéra-tion de courrier électronique (pop3 est un protocole spécialisé pour la récupération de courriel et associé




FIG . 3.5 – Interception d’une connexion entrante depuis Internet, sans règle

FIG . 3.6 – Interception d’une connexion sortante

par défault au port 110).

Il est moins évident de prendre position sur des connexions qui sont effectuées automatiquementsoit par le système d’exploitation soit par d’autres logiciels. Certains peuvent effectivement scannerrégulièrement des serveurs à la recherche de mise à jour ou pour des applications «instantannées» (dutype de MSN Messenger par exemple).

Il ne faut pas hésiter à faire des tests, un par un, afin de pouvoir revenir facilement en arrière en cas

de problème. Après la création d’une règle, il est toujours possible de la modifier. Certains pare-feudisposent également d’une possibilité de sauvegarde et restauration des régles.

Une fois qu’une règle a été definie pour un logiciel il ne faut pas que celui-ci soit mofifié (par un virusou un attaquant). Si vous accordez votre confiance à un navigateur Web et créez une règle d’autorisation




FIG . 3.7 – Détection de la modification d’un logiciel

systèmatique, il ne faut pas que celui-ci soit infecté par un virus et commence à émettre des informationspersonnelle à destination d’un ordinateur sur Internet. Tous les pare-feu disposent donc d’un système deserveillance des logiciels et bloquent leur execution si un changement a été détecté, comme le montre lafigure 3.7.

De la même manière lorsqu’un logiciel en execute un autre, le processus est intercepté pour eninformer l’utilisateur, comme le montre la figure 3.8. Dans cet exemple, j’ai fais la demande d’une miseà jour du logiciel Firefox qui lance alors le programme permettant de l’effectuer (setup).

FIG . 3.8 – Lancement d’un logiciel à partir d’un autre



3.4 Filtrage par les caractéristiques de connexion 15

3.4 Filtrage par les caractéristiques de connexion

Filtrer les établissements de communications par le logiciel qui en fait la demande n’est pas toujourssuffisant. Il peut être nécessaire par exemple de bloquer un numéro de port quelque soit le logiciel, ou

pour un logiciel particulier bloquer qu’un seul numéro de port ou protocole. Toutes les combinaisonssont possibles.Ce type type de filtrage est maintenant proposé par tous les pare-feu et peut être généralement confi-

guré (en connexion entrante ou sortante) pour :– un port ou une plage de port ;– une adresse IP ou une plage d’adresse ;– un protocole.Cette possibilité d’affiner le filtrage permet de limiter les ports ouverts sur votre ordinateur et de

limiter les risques d’intrusions.

La figure 3.9 (accessible à partir de la fenêtre de configuration du filtrage par logiciel - figure 3.3 - par

le bouton inférieur «Filtrage. . .») permet de consulter et ajouter des règles de filtrage (la liste des portsfiltrés sur mon ordinateur est floutée pour des raisons évidentes de sécurité).

FIG . 3.9 – Consultation et modification de la liste de regles de filtrage

L’ajout de nouvelles règles se fait à partir de la fenêtre de dialogue représentée figure 3.10. Ellepermet de composer, de manière intuitive, des règles de filtrage en fonction des logiciels et/ou des portset/ou des adresses IP des ordinateurs distant. La figure 3.11 présente la saisie d’un numéro de port pour




la création d’une règle. Le port peut être défini soit directement par son numéro soit par le protocolecouremment utilisé sur ce port.

FIG . 3.10 – Ajout d’une règle de filtrage

A titre d’exemple et d’entraînement vous pouvez essayer de créer une règle pour bloquer un protocoleet voir les conséquences sur une commande qui l’utilise. Par exemple, la commande ping (à partir d’uneinvite de commande) permet de savoir si un ordinateur distant est bien connecté et peut vous répondre.

Cette commande n’utilise pas de port défini, elle est un peu particulière et est en fait caractérisée parl’emploi du protocole ICMP («Internet Control Message Protocol»). En l’absence de règle, un «ping»

sur le serveur Web de la société Free donne le résultat représente figure 3.12.

Essayez maintenant de filtrer ce protocole, il suffit pour cela (dans la fenêtre représentée figure 3.10d’ajouter le protocole ICMP et de le bloquer (dans les deux sens par exemple). Valider vos modificationspar une série de «Ok» jusqu’à la fermeture de la fenêtre principale de configuration.

En executant à nouveau la même commande vous devriez obtenir le résultat présenté figure 3.13.




FIG . 3.11 – Sélection d’un numéro de port pour la définition d’une règle

C:\>ping www.free.fr

Envoi d’une requête ’ping’ sur www.free.fr [213.228.0.42]

avec 32 octets de données :

Réponse de 213.228.0.42 : octets=32 temps=262 ms TTL=62




Statistiques Ping pour 213.228.0.42:

Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),

Durée approximative des boucles en millisecondes :

Minimum = 62ms, Maximum = 296ms, Moyenne = 201ms

FIG . 3.12 – Requête «ping» autorisée

Si de plus, vous avez activé une alarme sur le déclanchement de cette règle (dans la fenêtre decréation de règles, figure 3.10) vous aurez une notification visuelle du bloquage, telle que représentéefigure 3.14.

FIG . 3.14 – Alarme sur l’application d’une règle de filtrage



3.5 Autres fonctionnalités des pare-feu 18

C:\>ping www.free.fr

Envoi d’une requête ’ping’ sur www.free.fr [213.228.0.42]

avec 32 octets de données :

Délai d’attente de la demande dépassé.




Statistiques Ping pour 213.228.0.42:

Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

FIG . 3.13 – Requête «ping» refusée

Si vous laissez quelques règles de filtrage associées à des alarmes vous serez prévenu en tempsréel des fins de non recevoir effectuées par votre pare-feu. Une simple alarme sur les requêtes « ping»permet de prendre conscience que votre machine est constamment sollicitée de l’exterieur. Pendant larédaction de ce simple paragraphe l’alarme que j’ai activée pour illutrer mes propos avec des capturesd’écran c’est declanchée trois fois. Toutes pour des requêtes consistant à vérifier si mon ordinateur estprésent sur le réseau Internet et toutes en provenance d’adresse IP inconnues.

Cela permet, si cela était encore nécessaire, de se convaincre de la nécessité d’installer un pare-feu.

3.5 Autres fonctionnalités des pare-feu

Les fonctionnalités décrites précédemment constituent le minimum pour un pare-feu efficace et cor-rectement configurable.

Pour augmenter l’efficacité de leurs outils, les éditeurs les dotent d’autres fonctionnalités améliorantsoit la sécurité, soit le confort d’utilisation. Vous pourrez les découvrir en parcourant les différents menuset options de votre pare-feu préféré ainsi que le manuel d’utilisation.

On peut y trouver :– pour les sytèmes plus complexe, l’ajout de la notion d’heure et date dans la création des règles.

On peut ainsi ouvrir certains ports à des moments précis ou l’on a programmé une mise à jour par

exemple ;– un système d’analyse du contenu des requêtes Web. Permettant de filtrer l’accès à des sites Interneten fonction de mot-clefs contenus dans leur adresse littérale. Cela permet entre autre de filtrer lesbannières publicitaires contenues dans certaines pages Web ;

– un système de bloquage de «cookies». Ce sont des petits fichiers texte enregistré sur votre ordi-nateur à la demande d’une page Web. Ces fichiers peuvent contenir des informations sur votre



3.6 Tests et configuration 19

ordinateur. Ils peuvent être relu par la suite lors d’un accès ultérieur à la même page Web. Ilspermettent donc (en s’affranchissant du problème des adresse IP dynamiques) de garder une «mé-moire» de votre passage et éventuellement de ce que vous avez déjà fait sur le site en question. Ilspermettent à beaucoup de sociétés de faire du «data-mining», c’est à dire de collecter des infor-

mations sur vos habitudes pour ensuite réaliser un marketing ciblé et vous proposer des produitscorrespondant à votre profil ;– la mise à jour automatique du pare-feu. Cela n’est pas systématique mais est pourtant un point

essentiel. La sécurité informatique est une course permanente entre les défenseurs et les attaquant.Il est primordial que les logiciels s’executant sur votre ordinateur soient tenus à jour. Il en va demême pour votre pare-feu ;

– la detection d’intrusions, réalisée sur des attaques classiques et répertoirées ou sur des évènementsinconsistants. Essentiel également à mon sens.

3.6 Tests et configuration

Comment configurer son pare-feu dans la pratique ?

Il existe un certain nombre de protocoles et de ports attribués, et donc a priori légitimes. De nombreuxlogiciels utilisent quant à eux des numéros de ports quelconques. Difficile alors de faire des règles defiltrage et bien configurer son pare-feu.

Il existe cependant quelques outils (gratuits) qui permettent de réaliser un test rapide de votre ordina-teur afin d’éliminer les failles les plus évidentes (la liste n’est évidemment pas exaustive) :

– http ://check.sdv.fr/

– http ://scan.sygate.com/

– https ://grc.com/x/ne.dll?bh0bkyd2

– http ://www.pcflank.com/

– . . .Ces outils automatiques vont générer des requêtes à destination de votre ordinateur pour contrôler les

ports ouverts. Ces tentatives seront donc normalement détectées par votre pare-feu qui vous demanderade prendre position : toujours refuser l’accès à ces test pour que les résultats soient significatifs.




FIG . 3.15 – Test des ports de mon ordinateur

Le premier de ces sites émet un rapport tel que présenté figure 3.15. On peut alors remarquer que troisports sont ouverts sur ma machine. En ce qui me concerne, ces protocoles ne me sont pas utiles, mais ilest parfois difficile de prendre une décision.

Une des possibilité est de faire une règle de filtrage sur chacun des ports, dont on soupçonne qu’ilssont utiles, avec notification d’une alarme. Dans ce cas, si un logiciel a besoin d’ouvrir et communiquerpar l’un de ces ports vous en serez averti. Vous pourrez alors garder ou supprimer cette règle en fonctiondu logiciel qui réclame l’usage de ce port.

Pour a part, après trois nouvelles régles et un nouveau test, j’obtiens la figure 3.16

FIG . 3.16 – Test des ports de mon ordinateur après ajout de règles




Le deuxième site de test scanne votre ordinateur et s’attache à en retrouver le nom et les services(logiciels à l’écoute d’au moins un port et susceptible de répondre à une sollicitation externe) qui s’exe-cutent.

Le nom de votre ordinateur et donc potentiellement votre identité peut être accessible depuis Internet

avec le service Netbios (disponible au moins sur Windows). Si ce site arrive à extraire votre nom, vouspouvez réaliser une règle pour bloquer Netbios, comme présenté figure 3.17 (ce service utilise plusieursports et protocoles).

FIG . 3.17 – Blocage de Netbios

Un second test viendra confirmer que le nom de votre ordinateur n’est alors plus accessible viaInternet.

Le troisième test scanne les ports entre 0 et 1056, ceux «réservés» pour des services classiques. Ce

test représente, sous forme de tableau, les ports qui sont vérifiés en indiquant par couleur leur état :– rouge, ouvert ;– bleu, fermé ;– vert, furtif.Le meilleur étant «furtif», en effet si l’ensemble de vos ports ne trahissent aucune activité alors votre

ordinateur est invisible depuis Internet. C’est une excellente protection contre les attaquants (automa-




tiques ou humains) qui recherchent des cibles. Un port fermé a refusé une connexion mais a trahi saprésence en donnant une réponse. Un port furtif ne prend même pas la peine de répondre.

Enfin le dernier exemple est un site très complet proposant différents types de tests. Il propose éga-

lement une base de connaissance dans laquelle il répertorie les règles à définir en fonction de certainslogiciels connus.

Il dipose également d’une base de connaissance sur l’utilisation des ports (indispensable lorsque l’oncommence à configurer son pare-feu).

Le site est en anglais ce qui peut rendre difficile l’interprétation des résultats des tests mais il n’estpas insurmontable d’obtenir la liste des règles pour son logiciels favori (menu « Firewall rulesets») oula descritpion de l’usage courant d’un port (menu «Ports database»).



Chapitre 4

Conclusion

J’espère que ce document aura permis de démistifier l’usage des pare-feu et vous fournira un pointde départ pour aller plus loin. Le réseau Internet contient de nombreux sites sur le sujet comme par

exemple :– http ://www.firewall-net.com/fr/, en français ;– http ://www.pcflank.com/, en anglais ;– . . .

A vous maintenant de configurer votre pare-feu favori, pour vous faire la main et améliorer vosconnaissances avant de pouvoir choisir de vous même un logiciel payant ou non, il existe de nombreuxpare-feu gratuits ou utilisables temporairement (par ordre alphabétique) :

– Look’n’Stop ;– Kerio Personal Firewall 4 ;– Outpost Firewall ;

– Zone Alarm;– . . .

Parefeu Firewall Tutorial Debutant Kerio FR

Documents

Transcript of Parefeu Firewall Tutorial Debutant Kerio FR