Comment fonctionnent
les pare-feu et savoir paramétrer Kerio
Personal Firewall ?
Dernière mise à jour : 13/01/2006
- Comprendre le fonctionnement
des ports et des protocoles :
Un port est un canal entrant ou sortant de votre système,
permettant d'identifier une terminaison logicielle au travers
d'un réseau utilisant le protocole TCP/IP ou UDP. Certains
ports sont associés à des protocoles réseau
standards. Par exemple, HTTP (Hypertext Transfer Protocol) est
généralement associé au port 80.
Quand à travers une connexion Internet vous tentez d'accéder
à un ordinateur distant (une visite sur une page Internet),
vous ouvrez un ou plusieurs ports sur votre ordinateur. En retour,
l'ordinateur distant enverra les informations que vous avez demandées
(la page Internet) en utilisant un ou plusieurs autres ports.
Votre ordinateur peut ainsi effectuer simultanément différentes
requêtes et recevoir différents types d'informations
: recevoir des messages, opérer un téléchargement,
surfer sur le Web. Nous pouvons donc définir un port comme
une antenne particulière qui permettrait de recevoir et
de traiter un type spécifique d'information. Les numéros
de ports sont compris entre 1 et 65535.
Un protocole est un format normalisé pour l'envoi et la
réception de données. Les protocoles sont utilisés
selon leurs fonctions. Par exemple, SMTP (Simple Mail Transfer
Protocol) est employé pour l'envoi d'emails, tandis que
FTP (File Transfer Protocol) sert à l'envoi de fichiers
volumineux. Chaque protocole est associé à un port
spécifique. Par exemple, les messages FTP sont associés
au port 21. Les protocoles TCP et UDP permettent les transmissions
de données respectivement avec ou sans contrôle d'erreurs.
- Quelles applications
utilisent quel port ?
Un "Freeware" vous permet d'en avoir rapidement une
vue exhaustive : fport v2.0. Il se télécharge à
cette adresse : www.foundstone.com.
Il suffit d'extraire l'archive ZIP à l'emplacement de votre
choix. Un dossier nommé fport sera créé.
1) Cliquez sur Démarrer/Exécuter, puis saisissez
: cmd.
2) En invite de commandes, placez-vous sur le dossier en vous
aidant de la commande cd, puis tapez : fport.
Le tableau qui va s'afficher indique le PID du processus, le nom
du processus, le port qui est utilisé, le protocole ainsi
que l'emplacement du fichier responsable de l'exécution
du processus.
Les commutateurs suivants peuvent être employés :
* /p : les ports utilisés seront classés.
* /a : le classement se fera en fonction des applications.
* /i : la liste sera classée par PID.
* /ap : le classement sera effectué en fonction de l'emplacement
des fichiers exécutables.
Par exemple, au lancement de MSN, il y aura un nom de processus
MSN6 qui utilisera les ports TCP 1126, 1131 et 1156, ainsi que
les ports UDP 138, 1053 et 1900. L'emplacement du programme est
\Program Files\MSN\MSNCoreFiles\MSN6.EXE.
- Installer et utiliser Kerio Personal
Firewall :
C'est devenu l'élément indispensable de la sécurité
d'un ordinateur. On estime en effet qu'une machine non protégée
restant plus de trois minutes sur Internet sera immanquablement
infecté par une dizaine de chevaux de Troie, logiciels
malicieux ou virus. Un certain nombre de programmes gratuits dans
le cadre d'une utilisation personnelle peut remplacer avantageusement
le pare-feu intégré à Windows SP2. nous avons
choisi de vous présenter un des plus populaires d'entre
eux. Kerio peut se télécharger à partir de
cette adresse : www.clubic.com/telecharger-fiche11071-kerio-personal-firewall.html.
Lors de la première installation il vous sera indiqué
si votre interface de connexion réseau ou Internet fait
partie d'une zone sure. répondez par l'affirmative.
1) Dans la liste déroulante Preferred language:, sélectionnez
l'option Français puis cliquez sur le bouton Apply.
2) Une fois le programme installé, cliquez sur le bouton
Aperçu puis l'onglet Préférences et le bouton
Vérifier maintenant : votre pare-feu doit être parfaitement
tenu à jour avant même toute utilisation.
3) Cliquez sur le bouton Sécurité du réseau.
4 Cliquez sur l'onglet Zone.
Vous devez normalement avoir deux à trois interfaces dites
de confiance :
* Loopbak : c'est une adresse de boucle locale nécessaire
au fonctionnement de nombreuses applications.
* Votre interface réseau si vous possédez par exemple
une carte ethernet.
* Votre connexion Internet.
Chacune de ces interfaces est définie par une adresse ou
une plage d'adresses IP et un masque de sous-réseau.
Par ailleurs, le logiciel fait la distinction entre deux zones
:
* Connexions depuis et vers la zone sécurisée ("confiante")
: couvre toutes les actions initiées par une application
ou un processus localement.
* Connexions depuis et vers la zone Internet : recense toutes
les actions sortantes et entrantes vers et depuis l'extérieur.
Si une application lance une autre application nous restons dans
les strictes limites de la zone locale tandis que si elle essaye
de communiquer avec un site web elle sort des limites de votre
machine pour accéder au réseau.
Pour vous en rendre compte suivez cette procédure :
1) Cliquez sur le bouton Intrusions.
Le système de prévention d'intrusions réseau
(NIPS) scanne le réseau afin de bloquer les attaques et
ce en s'appuyant sur une liste de signatures.
2) Cochez la case Activer le blocage comportemental des applications.
3) Cliquez sur le bouton Avancé… placé dans
la même rubrique.
Un certain nombre d'applications prédéfinies seront
listées avec à chaque fois le paramètre défini
pour chaque action qu'il est possible d'initier : Démarrage,
Modification et Exécution.
Vous pouvez soit :
* Autoriser l'application : elle s'exécutera sans boîte
de confirmation.
* Demander : il vous sera demander de confirmer l'action initiée.
* Refuser : il sera interdit à l'application d'initiée
l'action définie.
4) Lancez n'importe quelle application.
Une boîte de dialogue vous demande si vous souhaitez autoriser
ou refuser le lancement de l'application.
5 ) Afin d'éviter l'apparition de cette même boîte
de dialogue au prochain lancement de l'application cochez la case
Créer une règle pour cette communication et ne plus
me demander.
Elle viendra s'afficher dans la liste des applications autorisées
à se lancer… Rappelons que vous aurez le même
type de demande quant cette application lancera un autre programme
ou tentera d'accéder à Internet. Afin de ne pas
surcharger les listes des applications ne cochez cette case que
dans le cas des applications que vous utilisez couramment. Il
est par exemple inutile de le faire systématiquement pour
l'ensemble des actions initiées par la simple installation
d'un logiciel.
Lors des premiers jours d'utilisation de Kerio vous serez dans
ce qu'il est courant d'appeler la phase d'apprentissage. Une fois
que vous aurez défini les règles nécessaires
au fonctionnement de vos principaux programmes les boîtes
de dialogue se feront de plus en plus rares…
6) Cliquez sur l'onglet Prédéfinis.
Là encore, un certain nombre de protocoles ou de ports
sont paramétrés par défaut. Nous signalons
simplement les plus importants :
* Internet Group Management Protocol : désigne un protocole
utilisé pour accéder à une connexion réseau
multipoint afin, par exemple, de transmettre simultanément
le même flux multimédia à de différents
destinataires.
* Ping and Tracert in, Ping and Tracert out : permet de tracer
le cheminement d'un paquet IP et de détecter une réponse
de la part d'une machine distante.
* Other ICMP packets : regroupe les autres messages ICMP comme
les redirections.
* Dynamic Host Configuration Protocol : autorise le service DHCP
à s'exécuter sur la machine cliente.
* Domain Name System : autorise le service DNS à s'exécuter
sur la machine cliente.
* Virtual Private Network : autorise le fonctionnement d'un VPN
ou réseau privé virtuel.
* Broadcasts : désigne un ensemble de rêgles pour
les paquets adressés à de multiples destinataires.
- Tester son "firewall"
:
Vous pouvez tester votre sécurité en vous rendant
à cette adresse : http://check.sdv.fr.
Cliquez simplement sur le bouton Tester mon poste. Si vous avez
un logiciel pare-feu, il devrait vous rapporter des tentatives
d'intrusion en provenance de 212.95.66.6. Après avoir installé
Kerio Personal Firewall, nous obtenons ce résultat :
msrpc ouvert 135/tcp Microsoft RPC services
netbios-ssn ouvert 139/tcp NETBIOS Session Service
microsoft-ds ouvert 445/tcp SMB directly over IP
NFS-or-IIS ouvert 1025/tcp IIS, NFS, or listener RFS remote_file_sharing
ms-term-serv ouvert 3389/tcp Microsoft Remote Display Protocol
UPnP ouvert 5000/tcp Universal PnP, also Free Internet Chess Server
Une correction possible consiste à fermer ces ports en
vous servant des possibilités de configuration de votre
pare-feu de connexion Internet.
1) Dans Kerio, cliquez sur le bouton Sécurité du
réseau, puis sur le bouton Filtrage.
2) Saisissez un nom pour votre règle dans la zone de texte
Description, puis cliquez sur le bouton Ajouter.
3) Dans la rubrique Local, cliquez sur le bouton Ajouter, puis
sur Ajouter un port.
4) Dans la zone de texte Numéro, entrez le numéro
du port qui est ouvert : 135, et validez par OK.
5) Dans la zone Direction, cochez le bouton radio Les deux, puis
dans la zone Action, cochez le bouton Refuser.
6) Refaites la même opération pour les autres numéros
de port.
7) Cliquez sur les boutons OK et Appliquer.
Refaites un test. Attention, votre sécurité n'est
assurée que de manière simplement correcte !
- Effectuer un test
approfondi de son "firewall" :
Rendez-vous à cette adresse : www.pcflank.com.
Dans la rubrique Test Your System, il est possible d'effectuer
des tests en ligne en fonction des types d'attaques envisagées.
La mention Closed vous indique que le port est fermé. La
mention Stealth signifie que le port scanné est invisible.
Si un port est marqué comme étant Ouvert (Open),
vous devez prendre immédiatement les mesures préventives
qui s'imposent. Il est alors nécessaire de définir
un système de règles permettant de n'ouvrir que
les ports strictement indispensables. Des exemples de règles
expertes sont proposés sur le site officiel de l'éditeur
Kerio.
- Créer des règles
de filtrage dans Kerio Personal Firewall :
Le principe consiste à fermer tous les ports puis à
n'ouvrir que le strict nécessaire en fonction de votre
activité sur Internet.
1) Cliquez sur le bouton Sécurité du réseau
puis sur Filtrage...
Les règles sont lues de haut en bas. Nous allons créer
une première règle qui fera de votre ordinateur
un cube complètement hermétique à la moindre
sollicitation de l'extérieur puis les règles permettant
d'aller sur Internet ou d'ouvrir sa messagerie que nous placerons
en début de liste. En bref, les autorisations devront être
lues avant les interdictions.
Trois rubriques sont disponibles :
* Protocole : vous permet de spécifier un ou plusieurs
de ces 4 protocoles : UDP, TCP, ICMP et IGMP.
* Local : vous permet de définir le ou les ports qui seront
paramétrés sur votre machine
* Distant : vous permet de définir les ports ou/et les
adresses IP qui seront paramétrés sur la machine
distante.
Par défaut, si vous ne complétez pas une rubrique
c'est l'ensemble des possibilités offertes par cette section
qui seront paramétrées. Par exemple, si vous ne
renseignez pas la rubrique Protocole, ce sont les quatre protocoles
qui seront concernés par la règle que vous allez
créer. De la même façon, si vous laissez vide
la rubrique Distant, la règle instituée concernera
tous les ports de la machine distante : de 1 à 65535 et
toutes les adresses IP possibles : de 0.0.0.0 à 255.0.0.0
À l'inverse, dès que, par exemple, vous spécifiez
une adresse IP, l'ensemble des autres adresses IP ne sera plus
concerné par la règle.
Vous pouvez spécifier une règle pour une application
en particulier ou, par exemple, ouvrir un port pour l'ensemble
des applications installées sur votre machine ("any
application").
Il faut donc être le plus précis possible concernant
la règle que vous créez afin de laisser le moins
de brèches possibles.
2) Cliquez sur le bouton Ajouter.
3) Saisissez, dans la zone de texte Description, Tous.
4) Dans la rubrique Direction, cliquez sur le bouton radio Les
deux.
5) Dans la rubrique Action, cliquez sur le bouton radio Refuser.
Cette règle sera placée par la suite en dernier.
Nous interdisons pour l'ensemble des protocoles toutes communications
quel que soit le port sollicité en local et quel que soit
le port ou l'adresse IP qui sera utilisé en distant. Ce
type de règle est appelé règle de blocage.
Rappelez-vous que les règles qui sont paramétrées
dans cette rubrique prédominent sur toutes les autres y
compris les règles prédéfinies.
Nous allons maintenant paramétrer les "autorisations".
Par défaut, quand aucune application n'est précisée,
laissez la liste déroulante Application sur any. Quand
vous saisissez le chemin pointant vers l'emplacement du fichier
exécutable, remplacez ..\ par la lettre de votre lecteur.
Par exemple : c:\
6) Description : Boucle locale
* Protocole : [6] TCP - [17] UDP
* Distant : Address : 127.0.0.1
* Direction : Les deux
* Action : Autoriser
Cette règle nous permet de surfer à une allure normale
sur Internet.
7) Description : DHCP
* Protocole : [6] TCP
* Local : Port : [68] dhcpc
* Direction : Les deux
* Action : Autoriser
Cette règle va permettre à votre fournisseur d'accès
Internet de vous attribuer une adresse IP temporaire.
8) Description : DNS
* Protocole : [17] UDP
* Address: l'adresse DNS de votre serveur
* Direction : Les deux
* Action : Autoriser
Cette règle va vous permettre de vous connecter au serveur
DNS de votre fournisseur d'accès Internet. Vous pouvez
les obtenir de cette manière :
* Cliquez sur Démarrer/Exécuter puis saisissez :
cmd
* En Invite de commandes saisissez : ipconfig /all
9) Description : Internet Explorer
* Application : \program files\internet explorer\iexplore.exe
* Protocole : [6] TCP - [17] UDP
* Direction : Sortant
* Action : Autoriser
Cela suffira pour vous autoriser à lancer votre navigateur.
10) Description : Outlook Express
* Protocole : [17] UDP - [6] TCP
* Distant : Port : [110] POP3 - Port: [25] SMTP
* Direction : Les deux
* Action : Autoriser
C'est simplement pour vous permettre d'envoyer et de recevoir
vos mails.
11) Description : FTP
* Application : le nom et l'emplacement de l'application servant
au transfert FTP
* Direction : Les deux
* Action : Autoriser
Si vous avez un doute ouvrez la règle de blocage "Tous"
puis cochez la case Afficher une alerte. Vous saurez en temps
réel les ports nécessaires et les applications lancées
quand vous exécutez une action. Sinon, cochez la case Journaliser
(réseau). Un journal sera visible en cliquant sur le menu
Journaux & Alertes.
Rappelons qu'il vous faut mettre la règle "Boucle
locale" en premier et la règle "Tous" en
dernier. Bien entendue, vous pouvez ajouter à tout moment
d'autres règles à condition de la placer avant la
règle de blocage et après la règle "Boucle
locale". Vous pouvez changer l'emplacement d'une règle
en cliquant sur les flèches de direction placées
sur le côté droit de la fenêtre. En voici quelques
autres :
Description : Windows Update
* Application : \windows\system32\svchost.exe
* Protocole : Protocol: [6] TCP - Protocol: [17] UDP
* Direction : Sortant
* Action : Autoriser
Concernant les requêtes Ping, Tracert et autres
:
Description : ICMP sortant
* Protocole : Protocol: [1] (0,8) ICMP
* Direction : Sortant
* Action : Autoriser
Description : ICMP entrant
* Protocole : Protocol: [1] (0,11) ICMP
* Direction : Entrant
* Action : Autoriser
Description : mIRC
* Application : mirc32.exe, mirc.exe
* Protocole : Protocol: [6] TCP
* Distant : Port range: [6660 - 6670]
* Direction : Sortant
* Action : Autoriser
Description : mIRC
* Application : mirc32.exe, mirc.exe
* Protocole : Protocol: [6] TCP
* Distant : Port: [113]
* Direction : Entrant
* Action : Autoriser
Description : NetMeeting
* Application : conf.exe
* Protocole : Protocol: [6] TCP
* Protocol: [17] UDP
* Direction : Sortant
* Action : Autoriser
Description : Client ICQ
* Application : icq.exe
* Protocole : Protocol: [6] TCP
* Direction : Sortant
* Action : Autoriser
Description : Symantec LiveUpdate
* Application : lucomserver.exe
* Protocole : Protocol: [6] TCP
* Direction : Sortant
* Action : Autoriser
Description : Windows Media Player
* Application : mplayer2.exe, wmplayer.exe
* Protocole : Protocol: [6] TCP
* Distant : Port: [80] HTTP
* Port: [3128]
* Port: [8080]
* Port: [1755]
* Port range: [8000 - 8001]
* Direction : Sortant
* Action : Autoriser
Description : Mozilla
* Application : mozilla.exe
* Protocole : Protocol: [6] TCP
* Distant : Port range: [80 - 83]
* Port: [443] https
* Direction : Sortant
* Action : Autoriser
Description : MSN Messenger
* Application : msmsgs.exe
* Protocole : Protocol: [6] TCP
* Distant : Port: [1863]
* Port: [6901]
* Direction : Sortant
* Action : Autoriser
Description : MSN Transfert de fichiers
* Application : msmsgs.exe
* Protocole : Protocol: [6] TCP
* Distant : Port range: [6891 - 6900]
* Direction : Les deux
* Action : Autoriser
Description : MSN Assistance à distance et Tableau
blanc
* Application : msmsgs.exe
* Protocole : Protocol: [6] TCP
* Distant : Port: [3389]
* Port: [1503]
* Direction : Sortant
* Action : Autoriser
Description : Tranfert FTP
* Application : iexplore.exe
* Protocole : Protocol: [6] TCP
* Distant : Port: [20] FTP-data
* Port: [21] FTP-control
* Port range: [1024-65535]
* Direction : Les deux
* Action : Autoriser |
|
