Les Firewalls
Transcription
Les Firewalls
Les Firewalls 1 - Introduction Ce document a pour but de vous apprendre, dans les grandes lignes, ce qu'est un firewall, pourquoi il est indispensable, et quelle est la démarche à suivre pour le configurer correctement. Il répond aux questions les plus fréquentes concernant les firewalls. Pour autant, il ne vous dispense pas de la lecture du attentive du manuel de votre firewall. 2 - Qu'est-ce qu'un firewall ? Un firewall, aussi appelé pare-feu ou garde-barrière, est un programme, ou un matériel, chargé de vous protéger du monde extérieur et de certains programmes malveillants placés à votre insu sur votre ordinateur. Placé entre vous et Internet, le firewall contrôle tout ce qui passe, et surtout tout ce qui ne doit pas passer de l'un vers l'autre. 2.1 - Utilité du firewall Le monde n'est pas rose, et Internet est à son image. Chaque jour, des centaines, voire des milliers de personnes essaient, pour des raisons diverses, de s'introduire dans les ordinateurs des autres. Dans la grande majorité des cas, il ne s'agit que de gens immature qui veulent se prouver qu'ils sont les plus forts. Internet est leur terrain de jeux. Dans les faits, ils se contentent le plus souvent d'utiliser des programmes ou des scripts tout prêts, ce qui leur vaut le surnom de "scripts kiddies". Ceci n'est pas une fatalité, et l'utilisation d'un firewall, même simpliste, y mettra un terme dans la plupart des cas. Les cas restants sont le fait de pirates professionnels, si tant est que l'on puisse les appeler ainsi. Contre eux, seule une politique de sécurité de grande qualité constitue une protection. Cependant, ils n'ont pas de temps à perdre, et par conséquent ne s'attaquent qu'aux cibles qui en valent la peine. Donc, à moins de disposer de données confidentielles de haute importance sur votre ordinateur, vous ne risquez pas grand chose. Néanmoins, si vous avez une connexion illimitée, et de surcroît à haut débit, munie d'une adresse IP fixe, ou à faible rythme de changement, vous constituez pour eux une cible potentiellement utile. 2.2 - Comment ça marche ? Lorsque vous êtes connecté à Internet, votre ordinateur fait deux choses bien distinctes. D'une part, il envoie des données en direction de l'extérieur, pour demander à consulter une page Web par exemple. D'autre part, il reçoit des données en provenance de cet extérieur, par exemple la page Web que vous avez demandée. Les firewalls les plus simples se contenteront d'autoriser ou d'interdire l'accès à Internet à un programme. Cela veut dire que seuls ceux que vous aurez spécifiquement autorisés auront le droit d'envoyer et/ou de recevoir des données. Les firewalls plus évolués rajouteront un contrôle au niveau du port,, de l'adresse IP, domaine, c'est-à-dire une autorisation ou une interdiction liée à un type particulier données. Ainsi, votre navigateur Internet aura le droit d'accéder au Web, mais pourra pas être autorisé à faire du FTP, même si cette fonction est présente pour téléchargement de fichier. Pour finir, les firewalls les plus évolués traiteront toutes les données au cas par cas. du de ne le 2.3 - Quelle est la différence entre un firewall logiciel et firewall matériel ? Il n'y en a pas , ou si peu. • D'un côté, vous avez votre ordinateur, sur lequel tourne un firewall logiciel. Il existe des distributions de Firewall installables soi-même sur un ancien ordinateur que l'on peut dédier à cette fonction. • De l'autre, vous avez un boîtier, plus ou moins gros, à qui l'on donne le nom de "firewall matériel" et qui, de par son prix, n'est pas destinée aux particuliers Seulement, dans cette boîte se cache rien de moins qu'un ordinateur, généralement réduit à sa plus simple expression et conçu spécifiquement pour cela. Et sur cet ordinateur, on trouve un firewall logiciel. Dans la pratique, le firewall matériel étant supposé s'exécuter sur un système d'exploitation réputé pour sa sécurité, et disposer d'un firewall parfaitement configuré, il est donc potentiellement plus efficace. Par conséquent, sauf à disposer d'une architecture réseau des plus basiques, un responsable informatique compétent en matière de sécurité reste préférable. D'autant plus qu'il saura tirer parti d'un système d'exploitation libre, Linux par exemple, et d'un ordinateur inutilisé, pour vous installer, à moindre frais, un firewall efficace et parfaitement adapté à vos besoins. 3 - Points particuliers: 3.1 - J'ai une adresse IP fixe L'adresse IP étant ce qui vous identifie sur Internet, avoir une IP fixe signifie que vous serez toujours au même endroit. D'ailleurs, c'est probablement quelque chose que vous appréciez, car tout le monde sait où vous trouver sur le réseau. Et, évidemment, tout le monde ne désigne pas que vos amis, mais aussi les pirates et vous êtes donc plus vulnérables... 3.2 - J'ai un routeur Ne vous croyez surtout pas à l'abri. Un routeur se contente de router, c'est-à-dire diriger les données là où elles doivent aller. Certes, ils permettent, de par leur nature, de limiter les ports accessibles. Certains routeurs vont même jusqu'à offrir des options de filtrage élémentaires. Pour autant, ils ne vous protégeront pas aussi efficacement qu'un vrai firewall. 4 - Comment configurer le Firewall? Avant toute chose, il faut que vous gardiez bien en mémoire le fait que, quoi que vous fassiez, le meilleur firewall c'est vous. Par conséquent, ne vous considérez jamais à l'abri, et lorsque votre firewall vous demande la marche à suivre, réfléchissez bien avant d'agir. La meilleure sécurité étant obtenue lorsque rien ne passe de votre ordinateur vers le réseau (et inversement), commencez par interdire les connexions. Ensuite, en cas de blocage de votre application, il ne vous reste qu'à autoriser l'ouverture de la connexion. Au pire, vous aurez perdu quelques secondes, peut-être une minute au maximum. Au mieux, vous vous serez évité de gros ennuis. D'ailleurs, à moins de savoir exactement ce que vous faites, préférez toujours une autorisation temporaire, quitte à la transformer en autorisation définitive lorsque vous en aurez appris plus à son propos. C'est certes une contrainte supplémentaire, mais c'est aussi une sécurité supplémentaire. Enfin, comme il n'existe aucune solution miracle pour bien configurer un firewall, il faut commencer par se renseigner sur les faiblesses de son système d'exploitation. De cette façon, vous connaîtrez les ports/services à ne pas ouvrir à la légère, et cela vous sera fort utile par la suite. 4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur Internet Bien qu'il s'agisse des firewalls les plus simplistes, ils sont suffisants pour les personnes ne restant pas connectées très longtemps, et ne disposant pas d'une IP fixe. D'autant plus que leur simplicité de fonctionnement ne veut pas dire qu'ils ne remplissent pas leur rôle. Ces firewalls sont les plus simples à configurer. A chaque fois qu'un programme qu'ils ne connaissent pas essaie de se connecter, le firewall vous demandera si vous autorisez la connexion ou non. Ce sera donc à vous de voir s'il s'agit du programme que vous êtes en train d'utiliser ou d'un autre programme. 4.2 - Mon firewall me parle de services, adresses, ports, etc... Ces firewalls ne sont pas aussi difficiles à configurer qu'il n'y paraît à première vue. Tout d'abord, vous devez connaître la liste des ports correspondant aux principaux services dont vous aurez besoin (voir annexe 1). Ensuite, prévoyez dès maintenant les programmes que vous utiliserez pour ces services. Par exemple Internet Explorer pour le service HTTP (port 80 et 443). Lorsque vous avez tout ceci sous la main, vous pourrez commencer à saisir vos propres règles : Avant toute chose, vous allez interdire toute connexion, quel que soit le programme, le port (entre 1 et 65535) ainsi que le sens; entrée ou sortie. Cette règle permettant de tout interdire, elle est généralement désignée sous le nom de "deny all". Avec elle, vous serez assuré de ne pas avoir laissé une seule porte ouverte par erreur. Attention cependant, si votre firewall dispose d'un mode dit "d'apprentissage", celui-ci ne pourra plus fonctionner, puisqu'il existera une règle applicable à tous les cas. Pour que le mode "d'apprentissage" fonctionne lorsque vous en avez besoin, il vous faudra préalablement désactiver cette règle. Ensuite, vous allez ouvrir les ports au fur et à mesure, en partant du service ayant le numéro de port le plus petit (en général le FTP, port 20 et 21). De cette façon, vous serez sûr de ne pas en avoir oublié. Pour chaque port vous allez indiquer le programme que vous souhaitez utiliser, le numéro du port correspondant, le sens (sortie/Outbound), et dire au firewall d'autoriser la connexion. Si vous changez de logiciel ou décidez d'en utiliser plusieurs suivant le cas, modifiez la règle en conséquence ou rajoutez-en une. Lorsque vous aurez passé toute votre liste en revue, vous pourrez accéder à Internet l'esprit plus tranquille. Cependant, si vous n'êtes pas sûr de vous, il vaut mieux activer le mode "apprentissage" (et donc désactiver la règle "Deny All") les premiers temps. Cela vous permettra de voir directement les éventuels problèmes, et de bénéficier des informations données par votre firewall pour les régler. Attention, cependant, certains firewalls, surtout sous Windows, s'arrêtent à la première règle correspondant à la connexion qui essaie de se faire. Par conséquent, la règle destinée à fermer tous les ports ne devra pas se trouver au début, mais à la fin. En tout état de cause, la documentation de votre firewall saura vous dire s'il doit ou non en être ainsi. 4.3 - S'il faut bloquer tout ce qui rentre sur mon ordinateur, comment récupérer son courrier par exemple ? "Entrer sur votre ordinateur", "sortir de votre ordinateur", tout ceci n'est en fait qu'un abus de langage, destiné à simplifier les explications. Au bout du compte, il y a deux sortes de connexions : 1) Les "connexions entrantes" : C'est-à-dire les connexions qui sont initiées par un ordinateur situé quelque part à l'extérieur de votre réseau à destination de votre ordinateur. 2) Les "connexions sortantes" :sont les connexions qui sont initiées par votre ordinateur, à destination des réseaux extérieurs. Lorsque vous relevez votre courrier, par exemple, il s'agit d'une "connexion sortante", car c'est vous qui demandez au serveur de courrier de vous envoyez les messages que vous avez reçu. Par conséquent, lorsque vous autorisez un logiciel à sortir en direction d'un port, vous autorisez aussi les données en provenance de ce port à entrer sur votre ordinateur. 5 - Comment tester mon firewall ? Vous voudriez vérifier que votre firewall est bien configuré. Utilisez l'un des tests "en ligne" suivants, et regardez les résultats. http://scan.sygatetech.com Le site de Sygate est, à mon sens un des meilleurs. Il est sobre sans publicités et propose six tests différents, qui durent de quelques secondes à plusieurs minutes, selon le test. http://www.dslreports.com/scan Ce test se concentre sur les ports les plus fréquents, en TCP autant qu'en UDP. https://grc.com/x/ne.dll?bh0bkyd2 Avec sa petite vingtaine de ports testés, le scanner de gibson vaut ce qu'il vaut, cependant il est très rapide, et permet de vérifier en quelques secondes l'état des principaux ports. http://security1.norton.com/us/lunavbrk.asp?scantype=1 Ne fonctionne pas avec tous les navigateurs et on ne peut qu'être dépité devant la tendance de symantec à en profiter pour faire la pub de ses produits... 6 - Les logs Selon sa sophistication, votre firewall enregistrera plus ou moins d'informations sur ce qui entre et sort de votre réseau. S'il ne garde une trace que des connexions interdites, il est inutile de vous inquiéter, c'est la preuve qu'il fait bien ce que vous lui avez demandé. Pour autant, vous gagneriez probablement à affiner un peu ses règles de filtrage, pour qu'il ne vous avertisse plus des connexions "parasites". Par contre, s'il garde une trace de l'ensemble des connexions, vous devrez analyser en détail le traffic de façon à bien comprendre ce que raconte votre firewall pour affiner les règles de filtrage. Quoi qu'il en soit, si votre firewall vous indique qu'un programme a essayé de sortir de votre ordinateur, il est temps de faire appel à un anti-virus et/ou un anti-spyware et/ou anti-troyen. 7 - Questions d'ordre général 7.1 - Mon navigateur Internet essaie de se connecter sur un autre port que celui qui est normalement le sien. Ne paniquez pas trop vite. Vouliez-vous aller sur un site sécurisé? Si oui, c'est probablement pour cette raison que vous ne reconnaissez pas le port indiqué par votre firewall. Commencez par bloquer la connexion, et si votre navigateur signale une erreur, recommencez, en autorisant la connexion cette fois. 7.2 - Mes programmes n'arrêtent pas de se connecter via le port 53. Il n'y a rien, ou presque, de plus normal que cela. Ce port étant utilisé pour les requêtes DNS, dès qu'un programme doit faire le lien entre une adresse web (http://zzz.tld) et une adresse IP (123.123.123.123), il contacte le DNS de votre FAI. De plus, certains DNS sont configurés "avec les pieds", et envoient de nombreuses connexions parasites qui n'ont d'autres conséquences que de surcharger votre connexion. 7.3 - Mon firewall me parle d'alertes concernant l'adresse IP 255.255.255.255. |Il s'agit d'une adresse de broadcast, utilisée par les machines lorsque par exemple, elles cherchent un serveur DCHP pour se faire attribuer une adresse IP par celui-ci. Dans ce cas, le port d'origine doit être le port 68, et celui de destination le port 67. A moins que votre ordinateur ne soit un serveur DCHP, auquel cas vous le sauriez, vous pouvez interdire cela sans remords. 6.3 - "NetBios" (port 137, 138 et 139) NetBios est le l'interface développée par Microsoft pour le partage de fichier et d'imprimante. Donc, si vous n'utilisez pas Windows, vous ne craignez rien de ce côté là. Attention toutefois, Samba offrant aux systèmes d'exploitation Unix une interface avec le monde Windows, il dispose des mêmes failles (en plus de celles qui lui sont propres). Dans le cas contraire, sachez qu'il s'agit d'une faille de sécurité au coeur même de votre système. Par l'intermédiaire de NetBios, n'importe qui peut s'introduire dans votre ordinateur, et utiliser votre/vos disques durs, comme s'il s'agissait des siens. Il faut donc impérativement bloquer les ports 137, 138 et 139 en UDP et TCP, et dans les deux sens (entrée et sortie). Attention, Windows ayant ceci de particulier que l'on ne sait pas toujours ce qu'il fait, ne pensez pas qu'il suffise de désactiver NetBios pour être à l'abri. En effet, Windows pourrait bien décider qu'il en a besoin, et le réactiver sans que vous ne vous en rendiez compte. 6.4 - Un firewall ralentit-il la connexion ? Oui, et non. Un firewall contrôlant tout ce qui entre et sort de votre ordinateur, ralentira forcément la connexion. Maintenant, tout dépend de votre ordinateur (plus il est puissant mieux c'est), et de ce que fait votre firewall. Pour autant, il est rare que ce ralentissement ait des conséquences visibles. 6.5 - Un proxy peut-il faire office de firewall ? Oui, mais très rudimentaire. De par sa nature, un proxy protège assez bien, en empêchant les données non désirées d'entrer sur votre ordinateur. Mais, il n'empêchera pas les données de sortir,et c'est pour cela qu'il ne faut surtout pas le considérer comme une protection suffisante. De plus, il ne peut filtrer que ce qu'il connait, et pour peu que certaines de vos connexions ne passent pas par le proxy, pour diverses raisons, il ne vous protègera plus. Enfin, vous devez bien garder à l'esprit qu'un proxy peut être une arme pour votre attaquant. Une fois maître de celui-ci, il pourra faire ce qu'il veut, vos programmes seront persuadés d'avoir à faire à votre proxy, et donc à des données légitimes. Annexe 1 - Liste des principaux ports Attention, cette liste ne se veut pas exhaustive, et se contente de présenter les ports que vous rencontrerez dans une utilisation basique de votre connexion Internet. Pour une description détaillée des ports TCP et UDP, référez vous au site d'Ixus à l'adresse suivante: http://www.fr.ixus.net/modules.php?name=Ixus_Nettools&d_op=PortsIP1 Port 20 Ce port est utilisé lors des connexions FTP dynamiques. Port 21 Ce port est utilisé pour les connexions FTP (téléchargement de logiciels). Port 25 Ce port est utilisé pour les connexions SMTP (envoie de votre courrier vers le serveur de votre FAI). Port 53 Ce port est utilisé pour les requêtes DNS. Celles-ci permettent, entre autres, de trouver l'adresse correspondant au site que vous cherchez à atteindre. Port 80 Ce port est utilisé pour les connexions HTTP, autrement dit à chaque fois que vous surfez. Port 110 Ce port est utilisé pour les connexions POP3 (téléchargement de votre courrier depuis le serveur de votre FAI). Port 119 Ce port est utilisé pour les connexions NNTP. C'est-à-dire la lecture des forums Usenet. Port 143 Ce port est utilisé pour les connexions IMAP (téléchargement de votre courrier depuis le serveur de votre FAI). Port 443 Ce port est utilisé pour les connexions HTTPS, à savoir les connexions vers des sites web "sécurisés". Port 8080 Ce port est utilisé par les proxy HTTP. ANNEXE 2 - Une configuration standard - Fermez tous les ports, en entrée comme en sortie, et en TCP comme en UDP ; - Interdisez tous les paquets ICMP à entrer ou sortir de votre ordinateur ; - Autorisez les paquets ICMP "Echo Request" à sortir de votre ordinateur ; - Autorisez les paquets ICMP : "Destination Unreachable" et "Time Exceeded for a Datagram" à rentrer ; - Ouvrez le port 53 en sortie ; - Autorisez votre navigateur Internet à sortir vers les ports 80, 443 et 8080; - Autorisez votre lecteur de courrier à sortir vers les ports 25 et 110 (si vous relevez le courrier en POP3) ; - Autorisez votre lecteur de courrier à sortir vers les ports 25 et 143 (si vous relevez le courrier en IMAP) ; - Autorisez votre lecteur de news à sortir vers le port 119 ; - Autorisez votre lecteur de news à sortir vers le port 25 ; - Autorisez votre logiciel de FTP à sortir vers le port 21 ; - Autorisez votre logiciel de FTP à recevoir des données en provenance du port 20 ; A noter que selon votre firewall, les deux premières règles (celle interdisant toute connexion en TCP et UDP, et celle bloquant tous les paquets ICMP) peuvent être à placer après toutes les autres règles.