Les Firewalls

Les Firewalls
1 - Introduction
Ce document a pour but de vous apprendre, dans les grandes lignes, ce qu'est un firewall,
pourquoi il est indispensable, et quelle est la démarche à suivre pour le configurer
correctement. Il répond aux questions les plus fréquentes concernant les firewalls. Pour
autant, il ne vous dispense pas de la lecture du attentive du manuel de votre firewall.
2 - Qu'est-ce qu'un firewall ?
Un firewall, aussi appelé pare-feu ou garde-barrière, est un programme, ou un matériel,
chargé de vous protéger du monde extérieur et de certains programmes malveillants
placés à votre insu sur votre ordinateur. Placé entre vous et Internet, le firewall contrôle
tout ce qui passe, et surtout tout ce qui ne doit pas passer de l'un vers l'autre.
2.1 - Utilité du firewall
Le monde n'est pas rose, et Internet est à son image. Chaque jour, des centaines, voire
des milliers de personnes essaient, pour des raisons diverses, de s'introduire dans les
ordinateurs des autres.
Dans la grande majorité des cas, il ne s'agit que de gens immature qui veulent se prouver
qu'ils sont les plus forts. Internet est leur terrain de jeux. Dans les faits, ils se contentent le
plus souvent d'utiliser des programmes ou des scripts tout prêts, ce qui leur vaut le
surnom de "scripts kiddies". Ceci n'est pas une fatalité, et l'utilisation d'un firewall, même
simpliste, y mettra un terme dans la plupart des cas.
Les cas restants sont le fait de pirates professionnels, si tant est que l'on puisse les
appeler ainsi. Contre eux, seule une politique de sécurité de grande qualité constitue une
protection. Cependant, ils n'ont pas de temps à perdre, et par conséquent ne s'attaquent
qu'aux cibles qui en valent la peine. Donc, à moins de disposer de données confidentielles
de haute importance sur votre ordinateur, vous ne risquez pas grand chose. Néanmoins,
si vous avez une connexion illimitée, et de surcroît à haut débit, munie d'une adresse IP
fixe, ou à faible rythme de changement, vous constituez pour eux une cible
potentiellement utile.
2.2 - Comment ça marche ?
Lorsque vous êtes connecté à Internet, votre ordinateur fait deux choses bien distinctes.
D'une part, il envoie des données en direction de l'extérieur, pour demander à consulter
une page Web par exemple. D'autre part, il reçoit des données en provenance de cet
extérieur, par exemple la page Web que vous avez demandée.
Les firewalls les plus simples se contenteront d'autoriser ou d'interdire l'accès à Internet à
un programme. Cela veut dire que seuls ceux que vous aurez spécifiquement autorisés
auront le droit d'envoyer et/ou de recevoir des données.
Les firewalls plus évolués rajouteront un contrôle au niveau du port,, de l'adresse IP,
domaine, c'est-à-dire une autorisation ou une interdiction liée à un type particulier
données. Ainsi, votre navigateur Internet aura le droit d'accéder au Web, mais pourra
pas être autorisé à faire du FTP, même si cette fonction est présente pour
téléchargement de fichier.
Pour finir, les firewalls les plus évolués traiteront toutes les données au cas par cas.
du
de
ne
le
2.3 - Quelle est la différence entre un firewall logiciel et firewall
matériel ?
Il n'y en a pas , ou si peu.
•
D'un côté, vous avez votre ordinateur, sur lequel tourne un firewall logiciel. Il
existe des distributions de Firewall installables soi-même sur un ancien
ordinateur que l'on peut dédier à cette fonction.
•
De l'autre, vous avez un boîtier, plus ou moins gros, à qui l'on donne le nom de
"firewall matériel" et qui, de par son prix, n'est pas destinée aux particuliers
Seulement, dans cette boîte se cache rien de moins qu'un ordinateur,
généralement réduit à sa plus simple expression et conçu spécifiquement pour
cela. Et sur cet ordinateur, on trouve un firewall logiciel.
Dans la pratique, le firewall matériel étant supposé s'exécuter sur un système
d'exploitation réputé pour sa sécurité, et disposer d'un firewall parfaitement configuré, il
est donc potentiellement plus efficace.
Par conséquent, sauf à disposer d'une architecture réseau des plus basiques, un
responsable informatique compétent en matière de sécurité reste préférable. D'autant
plus qu'il saura tirer parti d'un système d'exploitation libre, Linux par exemple, et d'un
ordinateur inutilisé, pour vous installer, à moindre frais, un firewall efficace et parfaitement
adapté à vos besoins.
3 - Points particuliers:
3.1 - J'ai une adresse IP fixe
L'adresse IP étant ce qui vous identifie sur Internet, avoir une IP fixe signifie que vous
serez toujours au même endroit. D'ailleurs, c'est probablement quelque chose que vous
appréciez, car tout le monde sait où vous trouver sur le réseau. Et, évidemment, tout le
monde ne désigne pas que vos amis, mais aussi les pirates et vous êtes donc plus
vulnérables...
3.2 - J'ai un routeur
Ne vous croyez surtout pas à l'abri. Un routeur se contente de router, c'est-à-dire diriger
les données là où elles doivent aller. Certes, ils permettent, de par leur nature, de limiter
les ports accessibles. Certains routeurs vont même jusqu'à offrir des options de filtrage
élémentaires. Pour autant, ils ne vous protégeront pas aussi efficacement qu'un vrai
firewall.
4 - Comment configurer le Firewall?
Avant toute chose, il faut que vous gardiez bien en mémoire le fait que, quoi que vous
fassiez, le meilleur firewall c'est vous.
Par conséquent, ne vous considérez jamais à l'abri, et lorsque votre firewall vous
demande la marche à suivre, réfléchissez bien avant d'agir. La meilleure sécurité étant
obtenue lorsque rien ne passe de votre ordinateur vers le réseau (et inversement),
commencez par interdire les connexions.
Ensuite, en cas de blocage de votre application, il ne vous reste qu'à autoriser l'ouverture
de la connexion. Au pire, vous aurez perdu quelques secondes, peut-être une minute au
maximum. Au mieux, vous vous serez évité de gros ennuis. D'ailleurs, à moins de savoir
exactement ce que vous faites, préférez toujours une autorisation temporaire, quitte à la
transformer en autorisation définitive lorsque vous en aurez appris plus à son propos.
C'est certes une contrainte supplémentaire, mais c'est aussi une sécurité supplémentaire.
Enfin, comme il n'existe aucune solution miracle pour bien configurer un firewall, il faut
commencer par se renseigner sur les faiblesses de son système d'exploitation. De cette
façon, vous connaîtrez les ports/services à ne pas ouvrir à la légère, et cela vous sera fort
utile par la suite.
4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur
Internet
Bien qu'il s'agisse des firewalls les plus simplistes, ils sont suffisants pour les personnes
ne restant pas connectées très longtemps, et ne disposant pas d'une IP fixe. D'autant plus
que leur simplicité de fonctionnement ne veut pas dire qu'ils ne remplissent pas leur rôle.
Ces firewalls sont les plus simples à configurer. A chaque fois qu'un programme qu'ils ne
connaissent pas essaie de se connecter, le firewall vous demandera si vous autorisez la
connexion ou non. Ce sera donc à vous de voir s'il s'agit du programme que vous êtes en
train d'utiliser ou d'un autre programme.
4.2 - Mon firewall me parle de services, adresses, ports, etc...
Ces firewalls ne sont pas aussi difficiles à configurer qu'il n'y paraît à première vue. Tout
d'abord, vous devez connaître la liste des ports correspondant aux principaux services
dont vous aurez besoin (voir annexe 1).
Ensuite, prévoyez dès maintenant les programmes que vous utiliserez pour ces services.
Par exemple Internet Explorer pour le service HTTP (port 80 et 443). Lorsque vous avez
tout ceci sous la main, vous pourrez commencer à saisir vos propres règles :
Avant toute chose, vous allez interdire toute connexion, quel que soit le programme, le
port (entre 1 et 65535) ainsi que le sens; entrée ou sortie.
Cette règle permettant de tout interdire, elle est généralement désignée sous le nom de
"deny all".
Avec elle, vous serez assuré de ne pas avoir laissé une seule porte ouverte par erreur.
Attention cependant, si votre firewall dispose d'un mode dit "d'apprentissage", celui-ci ne
pourra plus fonctionner, puisqu'il existera une règle applicable à tous les cas. Pour que le
mode "d'apprentissage" fonctionne lorsque vous en avez besoin, il vous faudra
préalablement désactiver cette règle.
Ensuite, vous allez ouvrir les ports au fur et à mesure, en partant du service ayant le
numéro de port le plus petit (en général le FTP, port 20 et 21). De cette façon, vous serez
sûr de ne pas en avoir oublié. Pour chaque port vous allez indiquer le programme que
vous souhaitez utiliser, le numéro du port correspondant, le sens (sortie/Outbound), et
dire au firewall d'autoriser la connexion. Si vous changez de logiciel ou décidez d'en
utiliser plusieurs suivant le cas, modifiez la règle en conséquence ou rajoutez-en une.
Lorsque vous aurez passé toute votre liste en revue, vous pourrez accéder à Internet
l'esprit plus tranquille. Cependant, si vous n'êtes pas sûr de vous, il vaut mieux activer le
mode "apprentissage" (et donc désactiver la règle "Deny All") les premiers temps. Cela
vous permettra de voir directement les éventuels problèmes, et de bénéficier des
informations données par votre firewall pour les régler.
Attention, cependant, certains firewalls, surtout sous Windows, s'arrêtent à la première
règle correspondant à la connexion qui essaie de se faire. Par conséquent, la règle
destinée à fermer tous les ports ne devra pas se trouver au début, mais à la fin. En tout
état de cause, la documentation de votre firewall saura vous dire s'il doit ou non en être
ainsi.
4.3 - S'il faut bloquer tout ce qui rentre sur mon ordinateur, comment récupérer son
courrier par exemple ?
"Entrer sur votre ordinateur", "sortir de votre ordinateur", tout ceci n'est en fait qu'un abus
de langage, destiné à simplifier les explications. Au bout du compte, il y a deux sortes de
connexions :
1) Les "connexions entrantes" : C'est-à-dire les connexions qui sont initiées par un
ordinateur situé quelque part à l'extérieur de votre réseau à destination de votre
ordinateur.
2) Les "connexions sortantes" :sont les connexions qui sont initiées par votre ordinateur, à
destination des réseaux extérieurs.
Lorsque vous relevez votre courrier, par exemple, il s'agit d'une "connexion sortante", car
c'est vous qui demandez au serveur de courrier de vous envoyez les messages que vous
avez reçu. Par conséquent, lorsque vous autorisez un logiciel à sortir en direction d'un
port, vous autorisez aussi les données en provenance de ce port à entrer sur votre
ordinateur.
5 - Comment tester mon firewall ?
Vous voudriez vérifier que votre firewall est bien configuré. Utilisez l'un des tests "en ligne"
suivants, et regardez les résultats.
http://scan.sygatetech.com
Le site de Sygate est, à mon sens un des meilleurs. Il est sobre sans publicités et
propose six tests différents, qui durent de quelques secondes à plusieurs minutes,
selon le test.
http://www.dslreports.com/scan
Ce test se concentre sur les ports les plus fréquents, en TCP autant qu'en UDP.
https://grc.com/x/ne.dll?bh0bkyd2
Avec sa petite vingtaine de ports testés, le scanner de gibson vaut ce qu'il vaut,
cependant il est très rapide, et permet de vérifier en quelques secondes l'état des
principaux ports.
http://security1.norton.com/us/lunavbrk.asp?scantype=1
Ne fonctionne pas avec tous les navigateurs et on ne peut qu'être dépité devant la
tendance de symantec à en profiter pour faire la pub de ses produits...
6 - Les logs
Selon sa sophistication, votre firewall enregistrera plus ou moins d'informations sur ce qui
entre et sort de votre réseau.
S'il ne garde une trace que des connexions interdites, il est inutile de vous inquiéter, c'est
la preuve qu'il fait bien ce que vous lui avez demandé. Pour autant, vous gagneriez
probablement à affiner un peu ses règles de filtrage, pour qu'il ne vous avertisse plus des
connexions "parasites".
Par contre, s'il garde une trace de l'ensemble des connexions, vous devrez analyser en
détail le traffic de façon à bien comprendre ce que raconte votre firewall pour affiner les
règles de filtrage.
Quoi qu'il en soit, si votre firewall vous indique qu'un programme a essayé de sortir de
votre ordinateur, il est temps de faire appel à un anti-virus et/ou un anti-spyware et/ou
anti-troyen.
7 - Questions d'ordre général
7.1 - Mon navigateur Internet essaie de se connecter sur un autre
port que celui qui est normalement le sien.
Ne paniquez pas trop vite. Vouliez-vous aller sur un site sécurisé? Si oui, c'est
probablement pour cette raison que vous ne reconnaissez pas le port indiqué par votre
firewall. Commencez par bloquer la connexion, et si votre navigateur signale une erreur,
recommencez, en autorisant la connexion cette fois.
7.2 - Mes programmes n'arrêtent pas de se connecter via le port 53.
Il n'y a rien, ou presque, de plus normal que cela. Ce port étant utilisé pour les requêtes
DNS, dès qu'un programme doit faire le lien entre une adresse web (http://zzz.tld) et une
adresse IP (123.123.123.123), il contacte le DNS de votre FAI. De plus, certains DNS
sont configurés "avec les pieds", et envoient de nombreuses connexions parasites qui
n'ont d'autres conséquences que de surcharger votre connexion.
7.3 - Mon firewall me parle d'alertes concernant l'adresse IP
255.255.255.255.
|Il s'agit d'une adresse de broadcast, utilisée par les machines lorsque par exemple, elles
cherchent un serveur DCHP pour se faire attribuer une adresse IP par celui-ci. Dans ce
cas, le port d'origine doit être le port 68, et celui de destination le port 67. A moins que
votre ordinateur ne soit un serveur DCHP, auquel cas vous le sauriez, vous pouvez
interdire cela sans remords.
6.3 - "NetBios" (port 137, 138 et 139)
NetBios est le l'interface développée par Microsoft pour le partage de fichier et
d'imprimante. Donc, si vous n'utilisez pas Windows, vous ne craignez rien de ce côté là.
Attention toutefois, Samba offrant aux systèmes d'exploitation Unix une interface avec le
monde Windows, il dispose des mêmes failles (en plus de celles qui lui sont propres).
Dans le cas contraire, sachez qu'il s'agit d'une faille de sécurité au coeur même de votre
système. Par l'intermédiaire de NetBios, n'importe qui peut s'introduire dans votre
ordinateur, et utiliser votre/vos disques durs, comme s'il s'agissait des siens.
Il faut donc impérativement bloquer les ports 137, 138 et 139 en UDP et TCP, et dans les
deux sens (entrée et sortie). Attention, Windows ayant ceci de particulier que l'on ne sait
pas toujours ce qu'il fait, ne pensez pas qu'il suffise de désactiver NetBios pour être à
l'abri. En effet, Windows pourrait bien décider qu'il en a besoin, et le réactiver sans que
vous ne vous en rendiez compte.
6.4 - Un firewall ralentit-il la connexion ?
Oui, et non. Un firewall contrôlant tout ce qui entre et sort de votre ordinateur, ralentira
forcément la connexion. Maintenant, tout dépend de votre ordinateur (plus il est puissant
mieux c'est), et de ce que fait votre firewall. Pour autant, il est rare que ce ralentissement
ait des conséquences visibles.
6.5 - Un proxy peut-il faire office de firewall ?
Oui, mais très rudimentaire. De par sa nature, un proxy protège assez bien, en
empêchant les données non désirées d'entrer sur votre ordinateur. Mais, il n'empêchera
pas les données de sortir,et c'est pour cela qu'il ne faut surtout pas le considérer comme
une protection suffisante. De plus, il ne peut filtrer que ce qu'il connait, et pour peu que
certaines de vos connexions ne passent pas par le proxy, pour diverses raisons, il ne vous
protègera plus.
Enfin, vous devez bien garder à l'esprit qu'un proxy peut être une arme pour votre
attaquant. Une fois maître de celui-ci, il pourra faire ce qu'il veut, vos programmes
seront persuadés d'avoir à faire à votre proxy, et donc à des données légitimes.
Annexe 1 - Liste des principaux ports
Attention, cette liste ne se veut pas exhaustive, et se contente de présenter les ports que
vous rencontrerez dans une utilisation basique de votre connexion Internet.
Pour une description détaillée des ports TCP et UDP, référez vous au site d'Ixus à
l'adresse suivante:
http://www.fr.ixus.net/modules.php?name=Ixus_Nettools&d_op=PortsIP1
Port 20 Ce port est utilisé lors des connexions FTP dynamiques.
Port 21 Ce port est utilisé pour les connexions FTP (téléchargement de logiciels).
Port 25
Ce port est utilisé pour les connexions SMTP (envoie de votre courrier vers le
serveur de votre FAI).
Port 53 Ce port est utilisé pour les requêtes DNS. Celles-ci permettent, entre autres, de
trouver l'adresse correspondant au site que vous cherchez à atteindre.
Port 80
Ce port est utilisé pour les connexions HTTP, autrement dit à chaque fois que
vous surfez.
Port 110 Ce port est utilisé pour les connexions POP3 (téléchargement de votre courrier
depuis le serveur de votre FAI).
Port 119 Ce port est utilisé pour les connexions NNTP. C'est-à-dire la lecture des forums
Usenet.
Port 143 Ce port est utilisé pour les connexions IMAP (téléchargement de votre courrier
depuis le serveur de votre FAI).
Port 443
Ce port est utilisé pour les connexions HTTPS, à savoir les connexions vers
des sites web "sécurisés".
Port 8080 Ce port est utilisé par les proxy HTTP.
ANNEXE 2 - Une configuration standard
- Fermez tous les ports, en entrée comme en sortie, et en TCP comme en UDP ;
- Interdisez tous les paquets ICMP à entrer ou sortir de votre ordinateur ;
- Autorisez les paquets ICMP "Echo Request" à sortir de votre ordinateur ;
- Autorisez les paquets ICMP : "Destination Unreachable" et "Time Exceeded for a
Datagram" à rentrer ;
- Ouvrez le port 53 en sortie ;
- Autorisez votre navigateur Internet à sortir vers les ports 80, 443 et 8080;
- Autorisez votre lecteur de courrier à sortir vers les ports 25 et 110 (si vous relevez
le courrier en POP3) ;
- Autorisez votre lecteur de courrier à sortir vers les ports 25 et 143 (si vous relevez
le courrier en IMAP) ;
- Autorisez votre lecteur de news à sortir vers le port 119 ;
- Autorisez votre lecteur de news à sortir vers le port 25 ;
- Autorisez votre logiciel de FTP à sortir vers le port 21 ;
- Autorisez votre logiciel de FTP à recevoir des données en provenance du port 20 ;
A noter que selon votre firewall, les deux premières règles (celle interdisant toute
connexion en TCP et UDP, et celle bloquant tous les paquets ICMP) peuvent être à
placer après toutes les autres règles.