[FAQ] fr.comp.securite : Les Firewalls
fc.securite@free.fr (Stephane Catteau)
Archive-Name: fr/comp/securite/firewall
================================================================
Les Firewalls
-------------
Dernière mise à jour : 15 décembre 2001
Auteur : Stéphane Catteau <fc.securite@free.fr>
adresse : <http://fr.comp.securite.free.fr/firewall.htm>
================================================================
Les phrases/paragraphes ajoutés et/ou modifiés sont précédés du
caractère "|".
Sommaire
--------
1 - Introduction
1.1 - Objet de cette FAQ
1.2 - Utilisation de cette FAQ
1.3 - Décharge
| 1.4 - Un dernier conseil avant de commencer la lecture.
2 - Qu'est-ce qu'un firewall ?
2.1 - Cela sert à quoi ?
2.2 - Comment ça marche ?
2.3 - Quelle est la différence entre un firewall logiciel et
firewall matériel ?
3 - Quels sont les risques à ne pas utiliser de firewall ?
3.1 - Je suis connecté en RTC ou en Numéris ( Ligne téléphonique
"classique" )
| 3.2 - J'ai le câble, ou je suis en ADSL
3.3 - J'ai une Ligne Spécialisée
3.4 - J'ai une adresse IP fixe
| 3.5 - J'ai un routeur
3.6 - Je n'ai rien d'important sur mon ordinateur moi !
3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s)
4 - Comment le configurer ?
4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur
Internet
| 4.2 - Mon firewall me parle de services, adresses, etc.
4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ?
4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il
fonctionne ?
| 4.5 - Vous dites qu'il faut bloquer tout ce qui rentre sur mon
| ordinateur, mais comment récupérè-je mon courrier dans ce
| cas ?
| 4.6 - Quel est la différence entre un port "closed" (fermé) et un
| port "stealth" (furtif) ou "blocked" (bloqué) ?
| 4.7 - Vaut-il mieux un port "closed" (fermé), ou bien un port
| "stealth" (furtif) ou "blocked" (bloqué) ?
| 4.8 - Comment faire pour tester mon firewall ?
| 4.9 - Comment puis-je configurer mon firewall, les numéros de
| ports sont supérieurs à 1024, et changent à chaque fois !
|5 - Au secours, mon firewall, mes logs, disent ...
5.1 - Mon lecteur de courrier/news essaie de se connecter sur un
autre port que celui qui est normalement le sien.
5.2 - Mon navigateur Internet essaie de se connecter sur un autre
port que celui qui est normalement le sien.
5.3 - Mes programmes n'arrêtent pas de se connecter via le port 53.
| 5.4 - Mon firewall me parle d'alertes concernant l'adresse IP
| 255.255.255.255.
| 5.5 - Grâce à mon firewall, j'ai l'adresse IP de mon assaillant,
| que puis-je en faire ?
| 5.6 - Mon firewall a bloqué un trojan/troyen, comment m'en
| débarrasser ?
6 - Questions d'ordre général
6.1 - Avoir deux firewalls est-il un plus ?
6.2 - Je suis convaincu, j'installe un firewall dès demain. Ai-je
encore besoin d'un Anti-Virus ?
| 6.3 - "NetBios" (port 137, 138 et 139), j'en entends souvent
| parler, mais qu'est-ce ?
6.4 - Un firewall ralentit-il la connexion ?
| 6.5 - Un proxy peut-il faire office de firewall ?
7 - Mini lexique
7.1 - Adresse IP
7.2 - DMZ
7.3 - Fournisseur d'Accès à Internet ( FAI )
7.4 - Protocole ICMP
| 7.5 - Port
7.6 - Service / Serveur
7.7 - Spyware / Espiogiciel
7.8 - Trojan / Troyen
7.9 - Protocole TCP
7.10 - Protocole UDP
8 - Annexes
| 8.1 - Liste des principaux ports
| 8.2 - Une configuration standard
8.3 - Webographie
8.4 - Bibliographie
8.5 - Remerciements
9 - Conclusion
-+-+-+-+-+-+-+-
1 - Introduction
----------------
1.1 - Objet de cette FAQ.
Ce document a pour but de vous apprendre, dans les grandes lignes,
ce qu'est un firewall, pourquoi il est indispensable, et quelle est
la démarche à suivre pour le configurer correctement. Autrement
dit, il répond aux questions les plus fréquentes concernant les
firewalls.
Pour autant, il ne vous dispense ni de la lecture du manuel de
votre firewall, ni d'un minimum de recherche de votre part pour
savoir ce qu'est un réseau TCP/IP et comment il fonctionne. Pour
cela, reportez-vous à la bibliographie / Webographie située à la
fin de ce document.
1.2 - Réutilisation de cette FAQ
Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans
la mesure où vous incluez un lien permettant d'avoir accès à
l'ensemble du document. Ceci dans le but de permettre à vos
lecteurs d'obtenir facilement un complément d'information.
De même, vous êtes libre de copier la FAQ dans son intégralité, à
condition cependant d'en avertir l'auteur, et que cette utilisation
soit exempte de tout caractère commercial (bannières publicitaires
incluses). Cette restriction étant principalement due au plus
élémentaire des respects : celui du temps que j'ai consacré à la
rédaction de cette FAQ.
Toute autre utilisation devra faire l'objet d'un accord préalable
avec l'auteur.
1.3 - Décharge
La sécurité informatique est un domaine en perpétuelle évolution,
ce qui est vrai un jour peut devenir un mensonge éhonté dès le
lendemain. Par conséquent, ce document est à prendre comme un
recueil de conseils, et non une bible. La responsabilité de l'auteur
ne pourra donc être retenue dans le cas ou vous seriez victime d'une
attaque informatique malgré la mise en pratique des théories
exposées ci-dessous.
| 1.4 - Un dernier conseil avant de commencer la lecture.
|
| La sécurité informatique évoluant constamment, cette FAQ va
| suivre ce mouvement perpétuel, et être réactualisée le plus
| souvent possible. Evidement, cela dépendra aussi de mon temps
| libre, mais dans la mesure du possible, j'envisage au moins une
| mise-à-jour tous les deux mois. Par conséquent n'hésitez surtout
| pas à jeter régulièrement un oeil sur ce document. Non seulement
| vous y trouverez des informations précédemment oubliées, mais en
| plus vous rafraîchirez un peu votre mémoire, ce qui n'est jamais
| inutile.
|
| En attendant, bonne lecture.
2 - Qu'est-ce qu'un firewall ?
------------------------------
Un firewall, aussi appelé pare-feu ou garde-barrière, est un
programme, ou un matériel, chargé de vous protéger du monde extérieur
et de certains programmes malveillants placés à votre insu sur votre
ordinateur.
Placé entre vous et Internet, le firewall contrôle tout ce qui
passe, et surtout tout ce qui ne doit pas passer de l'un vers
l'autre.
2.1 - Cela sert à quoi ?
Le monde n'est pas rose, et Internet est à son image. Chaque jour,
des centaines, voire des milliers de personnes essaient, pour des
raisons diverses, de s'introduire dans les ordinateurs des autres.
Dans la grande majorité des cas, il ne s'agit que d'adolescents
boutonneux qui veulent se prouver qu'ils sont les plus forts.
Internet est leur Rock'n'Roll à eux, un moyen de marquer sa révolte
face à la génération qui les a précédés. Dans les faits, ils se
contentent le plus souvent d'utiliser des programmes/scripts tout
prêts, ce qui leur vaut le surnom de "scripts kiddies".
Heureusement, ceci n'est pas une fatalité, et l'utilisation d'un
firewall, même simpliste, y mettra un terme dans la plupart des
cas.
Les cas restants sont le fait de pirates professionnels, si tant
est que l'on puisse les appeler ainsi. Avec eux, seule une
politique de sécurité de grande qualité constitue une protection.
Cependant, ils n'ont pas de temps à perdre, et par conséquent ne
s'attaquent qu'aux cibles qui en valent la peine. Donc, à moins de
disposer de données confidentielles de haute importance sur votre
ordinateur, vous ne risquez pas grand chose. Néanmoins, si vous
avez une connexion illimitée, et de surcroît à haut débit, munie
d'une adresse IP fixe, ou faiblement tournante, vous constituez
pour eux une cible potentiellement utile.
Au passage, si vous disposez de données confidentielles sur votre
ordinateur, je vous conseillerais surtout de remplacer la lecture
de cette FAQ par celle des petites annonces, à la rubrique
"conseiller en sécurité informatique".
2.2 - Comment ça marche ?
Décrire le fonctionnement précis d'un firewall à quelqu'un qui n'a
aucune connaissance du fonctionnement d'un réseau est une utopie.
Cependant, il est parfaitement possible de le faire dans les
grandes lignes.
Lorsque vous êtes connecté à Internet, votre ordinateur fait deux
choses bien distinctes. D'une part, il envoie des données en
direction du vaste monde, pour demander à consulter une page Web
par exemple. D'autre part, il reçoit des données en provenance de
ce vaste monde, par exemple la page Web que vous avez demandée.
Les firewalls les plus simples se contenteront d'autoriser ou
d'interdire l'accès au vaste monde à un programme. Cela veut dire
que seuls ceux que vous aurez spécifiquement autorisés auront le
droit d'envoyer et/ou de recevoir des données.
Les firewalls plus évolués rajouteront un contrôle au niveau du
port, c'est-à-dire une autorisation ou une interdiction liée à un
type particulier de données. Ainsi, votre navigateur Internet aura
le droit d'accéder au Web, mais pourra ne pas être autorisé à faire
du FTP, même si cette fonction est partiellement présente pour le
téléchargement de fichier.
Pour finir, les firewalls les plus évolués traiteront toutes les
données au cas par cas.
2.3 - Quelle est la différence entre un firewall logiciel et firewall
matériel ?
C'est simple, il n'y a pas de différence, ou si peu.
D'un côté, vous avez votre ordinateur, sur lequel tourne un
firewall logiciel. De l'autre, vous avez une boîte, plus ou moins
grosse, à qui l'on donne le doux nom de "firewall matériel" et qui,
de par son prix, n'est absolument pas destinée aux particuliers.
Seulement, dans cette boîte se cache rien de moins qu'un
ordinateur, généralement réduit à sa plus simple expression et
conçu spécifiquement pour cela. Et sur cet ordinateur, on trouve un
firewall logiciel.
Dans la pratique, le firewall matériel étant supposé s'exécuter
sur un système d'exploitation réputé pour sa sécurité, et disposer
d'un firewall parfaitement configuré, il est donc potentiellement
plus efficace. En contrepartie, il offre généralement moins de
souplesse, ce qui complique les choses dès qu'il s'agit de lui
faire prendre en compte un cas particulier propre à votre société.
Par conséquent, sauf à disposer d'une architecture réseau des plus
basiques, un responsable informatique compétent en matière de
sécurité reste préférable. D'autant plus qu'il saura tirer parti
d'un système d'exploitation libre, OpenBSD par exemple, et d'un
ordinateur inutilisé, pour vous installer, à moindre frais, un
firewall efficace et parfaitement adapté à vos besoins.
Enfin, si vous ne disposez ni d'un responsable informatique, ni
des moyens financiers suffisants pour vous équiper d'un firewall
matériel, il vous reste quand même une solution. Celle-ci consiste
à former l'un de vos employés à la sécurité informatique. Mais,
attention, on ne s'improvise pas administrateur réseau et, à moins
d'une vocation naissante, cette solution ne peut qu'être
transitoire, et précédée d'une étude complète du sujet.
A noter aussi que l'utilisation d'un firewall matériel ne
dispense en aucune façon d'une formation préalable.
3 - Quels sont les risques à ne pas utiliser de firewall ?
----------------------------------------------------------
Tout dépend du type de connexion qui vous relie à Internet et de vos
habitudes. En effet, les risques ne sont pas les mêmes selon que vous
disposiez d'un modem poussif et dépassé, relié par une banale ligne
de téléphone, ou d'une ligne à haut débit avec un ordinateur connecté
en permanence.
Bien sûr, si vous y tenez, vous pouvez très bien vivre sans
firewall.
Tout ira bien, jusqu'au jour où quelqu'un aura profité d'une faille
de votre ordinateur (ils en ont tous ou presque, alors ne vous croyez
pas à l'abri) pour placer un petit programme de 50 Ko à peine. Une
petite manipulation supplémentaire, et ce programme s'exécutera
automatiquement à chaque démarrage de votre ordinateur. A partir de
maintenant, et pour chaque fichier que vous enregistrerez, un octet
sur vingt (voir un sur cent, la différence étant minime) sera
aléatoirement modifié par le programme.
La question est donc de savoir combien de temps il vous faudra pour
vous en rendre compte, et quel pourcentage de données seront
irrémédiablement perdues car déjà corrompues lors du dernier Backup ?
Et puis, rien ne peut vous assurer que le pirate n'en aura pas
profité pour consulter cette lettre, si importante que vous aviez
tenu à l'écrire en utilisant Word, dans laquelle vous expliquiez à
votre banquier que votre compte N°xxxxx était certes à découvert de
xxxx Francs, mais que cela était dû à l'achat de votre nouvelle
maison, située à l'adresse xxxxx, et que votre banquier serait bien
aimable de vous autoriser à dépenser encore xxxx Francs pour vous
permettre de changer la porte qui ne ferme toujours pas, et
d'installer une alarme pour protéger votre collection de pierres
précieuses d'une valeur inestimable.
3.1 - Je suis connecté en RTC ou en Numéris ( Ligne téléphonique
"classique" )
Si, comme la plupart des gens, vous vous connectez à Internet via
votre ligne téléphonique, alors vous êtes soit en RTC, soit en
numéris. Dans ce cas, le risque n'est pas bien grand, à moins que
vous ne passiez beaucoup de temps sur internet.
Cependant, ce n'est pas une raison suffisante pour ne pas utiliser
de firewall. En effet, les scripts kiddies se moquent bien du
facteur temps, la seule chose qui les intéresse étant de rentrer
sur votre ordinateur.
D'ailleurs, rien ne vous assure que demain ne sera pas le jour où,
oubliant toute prudence, vous allez rester connecté plus d'une
demi-heure d'affilée, captivé que vous serez par ce site si
intéressant que vous venez de trouver.
Et comme le risque augmente avec le temps...
3.2 - J'ai le câble ou je suis en ADSL
Dans ce cas, inutile de se poser des questions, le firewall est de
rigueur. En effet, le câble, et plus encore l'ADSL, vous permettent
de rester connecté des heures entières, et cela, les pirates de
tout poil le savent très bien.
Par conséquent, vous attirerez les scripts kiddies aussi sûrement
que le miel attire les abeilles. Imaginez l'aubaine que vous
représentez pour eux. Ils vont avoir des heures entières pour
essayer tous les programmes de piratage qu'ils ont trouvés, les
comparer entre eux, et surtout s'entraîner à les utiliser.
Seulement, ce n'est pas le seul risque que vous encourrez. Pour
les pirates professionnels aussi, vous représentez une cible
intéressante.
Pour eux, vous n'êtes qu'une étape sur la voie du succès, une
sorte de point d'appui qui, pour commencer, fera le travail à leur
place. Par exemple, il suffit de placer un programme sur votre
ordinateur, et vous testerez, à votre insu, les failles de leur
cible véritable. Un autre programme, et vous voilà transformé en
relais. C'est votre adresse IP, ce nombre magique et unique qui
permet de savoir que c'est vous qui "parlez" et personne d'autre,
qui sera visible depuis la cible. Le pirate sera donc à l'abri,
pendant que vous subirez les assauts du service juridique de la
société qui a été attaquée.
Vous l'aurez compris, non seulement un firewall est une nécessité
pour vous, mais en plus, il vaut mieux qu'il soit performant et
| bien configuré. Et si vous pensez ne pas être capable de le
| configurer comme il faut, choisissez un firewall disposant plutôt
| d'une bonne ergonomie. Vous y perdrez un peu en efficacité et en
| souplesse, mais vous y gagnerez en sécurité.
3.3 - J'ai une Ligne Spécialisée
Dans ce cas, il est surprenant que vous n'ayez pas, de vous-même,
installé de firewall. En effet, vous disposez d'une ligne à très
haut débit et IP fixe, et surtout, vous êtes connecté en
permanence ou presque. De plus, vous utilisez assurément cette
connexion pour faire tellement de choses que vous ne verrez même
pas l'augmentation de charge de vos ordinateurs, ni celle de votre
connexion.
A titre d'exemple, c'est en piratant les ordinateurs d'une société
disposant d'une ligne spécialisée que des petits malins ont
inondé certains forums Usenet de messages usurpant différentes
identités, et de spams. Entre autres conséquences, la société,
pourtant victime en premier lieu, n'ayant pas rempli sa part du
contrat (qui stipulait que le client était responsable de sa
sécurité et de tout ce qui passait par ses ordinateurs) a vu son
compte fermé par son FAI.
3.4 - J'ai une adresse IP fixe
L'adresse IP étant ce qui vous identifie sur Internet, avoir une
IP fixe signifie que vous serez toujours au même endroit.
D'ailleurs, c'est probablement quelque chose que vous appréciez,
car tout le monde sait où vous trouver sur le réseau. Et,
évidemment, tout le monde ne désigne pas que vos amis, mais aussi
les pirates de tout poil...
3.5 - J'ai un routeur
Ne vous croyez surtout pas à l'abri. Un routeur se contente de
router, c'est-à-dire diriger les données là où elles doivent aller.
| Certes, ils permettent, de par leur nature, de limiter les ports
| accessibles. Certains routeurs vont même jusqu'à offrir des options
| de filtrage. Pour autant, ils ne vous protégeront pas aussi
efficacement qu'un firewall, laissant par exemple passer le nouveau
trojan à la mode, simplement parce qu'il s'est placé au bon
endroit.
3.6 - Je n'ai rien d'important sur mon ordinateur moi !
Moi non plus, et pourtant cela ne m'empêche pas d'être victime de
plusieurs tentatives d'intrusion par jour.
Ce qu'il faut bien comprendre, c'est que le script kiddie, non
seulement ne sait pas que vous n'avez rien sur votre ordinateur,
mais en plus il s'en contrefiche. La seule chose qui l'intéresse
est de rentrer chez vous. Et s'il est dans un bon jour, pour lui,
rien ne peut vous garantir qu'il n'en profitera pas pour supprimer,
ou modifier, quelques fichiers. Pire, pourquoi n'utiliserait-il pas
votre connexion pour envoyer un nombre important de spams, dont
vous serez alors, aux yeux de tous et surtout de votre FAI, le seul
et unique auteur, avec les conséquences que cela implique
(notamment la fermeture de votre compte par votre FAI).
3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s)
Donc, vous permettez à quelqu'un de connaître votre adresse IP
(indispensable au logiciel de chat et au serveur IRC). En plus de
cela, vous lui permettez d'en savoir plus sur vous, notamment le
prénom de votre femme, de vos enfants, et toutes ces petites choses
que les gens utilisent le plus souvent comme mot de passe. Ne vous
étonnez donc pas s'il relance souvent la conversation, ce n'est que
pour s'assurer que vous restez connecté, le temps qu'il finisse de
regarder vos fichiers.
Évidemment, ceci n'est pas systématique. Pour autant, ma plus
grande victoire en matière de sécurité survint le jour où ma femme
m'a dit "Tiens, j'ai rencontré quelqu'un sur le chat de xxxxx, et
il m'a proposé de me passer un petit jeu amusant pour Sylvain. Je
crois que j'ai bien fait de refuser, puisqu'il est parti tout de
suite après."
4 - Comment le configurer ?
---------------------------
Avant toute chose, il faut que vous gardiez bien en mémoire le fait
que, quoi que vous fassiez, le meilleur firewall c'est vous.
Par conséquent, ne vous considérez jamais à l'abri, et lorsque votre
firewall vous demande la marche à suivre, réfléchissez bien avant
d'agir. La meilleure sécurité étant obtenue lorsque rien ne passe de
votre ordinateur vers le réseau (et inversement), commencez par
interdire la connexion. Ensuite, si tout s'arrête, il ne vous reste
qu'à recommencer, mais en autorisant la connexion cette fois. Au
pire, vous aurez perdu quelques secondes, peut-être une minute grand
maximum. Au mieux, vous vous serez évité de gros ennuis.
D'ailleurs, à moins de savoir exactement ce que vous faites,
préférez toujours une autorisation temporaire, quitte à la
transformer en autorisation définitive lorsque vous en aurez appris
plus à son propos. C'est certes une contrainte supplémentaire, mais
c'est aussi une sécurité supplémentaire.
Enfin, comme il n'existe aucune solution miracle pour bien
configurer un firewall, il faut commencer par se renseigner sur les
faiblesses de son système d'exploitation. De cette façon, vous
connaîtrez les ports/services à ne pas ouvrir à la légère, et cela
vous sera fort utile par la suite.
4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur
Internet
Bien qu'il s'agisse des firewalls les plus simplistes, ils sont
suffisants pour les personnes ne restant pas connectées très
longtemps, et ne disposant pas d'une IP fixe. D'autant plus que
leur simplicité de fonctionnement ne veut pas dire qu'ils ne
remplissent pas leur rôle.
Ces firewalls sont les plus simples à configurer. A chaque fois
qu'un programme qu'ils ne connaissent pas essaie de se connecter,
le firewall vous demandera si vous autorisez la connexion ou non.
Ce sera donc à vous de voir s'il s'agit du programme que vous êtes
en train d'utiliser ou d'un autre programme.
4.2 - Mon firewall me parle de services, adresses, etc.
Ces firewalls ne sont pas aussi difficiles à configurer qu'il n'y
paraît à première vue.
Tout d'abord, vous devez connaître la liste des ports
correspondant aux principaux services dont vous aurez besoin (voir
annexe). Ensuite, prévoyez dès maintenant les programmes que vous
utiliserez pour ces services. Par exemple Internet Explorer pour
surfer (port 80 et 443). Lorsque vous avez tout ceci sous la main,
vous pourrez commencer à saisir vos propres règles :
| - Avant toute chose, vous allez interdire toute connexion, quel
| que soit le programme, le port (entre 1 et 65535) et le sens.
| Cette règle permettant de tout interdire, elle est généralement
| désignée (notamment dans ce document) sous le nom de "deny all".
| Avec elle, vous serez assuré de ne pas avoir laissé une porte
| ouverte par erreur. Attention cependant, si votre firewall
| dispose d'un mode dit "d'apprentissage", celui-ci ne pourra
| plus fonctionner, puisqu'il existera une règle applicable à
| tous les cas. Pour que le mode "d'apprentissage" fonctionne
| lorsque vous en avez besoin, il vous faudra préalablement
| désactiver cette règle.
- Ensuite, vous allez ouvrir les ports au fur et à mesure, en
partant du service ayant le numéro de port le plus petit (en
général le FTP, port 20 et 21). De cette façon, vous serez sûr
de ne pas en avoir oublié. Pour chaque port vous allez indiquer
le programme que vous souhaitez utiliser, le numéro du port
correspondant, le sens (sortie/Outbound), et dire au firewall
d'autoriser la connexion. Si vous changez de logiciel ou
décidez d'en utiliser plusieurs suivant le cas, modifiez la
règle en conséquence ou rajoutez-en une.
| Lorsque vous aurez passé toute votre liste en revue, vous pourrez
| surfer l'esprit plus tranquille. Cependant, si vous n'êtes pas sûr
| de vous, il vaut mieux activer le mode "apprentissage" (et donc
| désactiver la règle "Deny All") les premières semaines. Cela vous
| permettra de voir directement les éventuels problèmes, et de
| bénéficier des informations données par votre firewall pour les
| régler.
Attention, cependant, certains firewalls, surtout sur Windows,
s'arrêtent à la première règle correspondant à la connexion qui
essaie de se faire. Par conséquent, la règle destinée à fermer tous
les ports ne devra pas se trouver au début, mais à la fin. En tout
état de cause, la documentation de votre firewall saura vous dire
s'il doit ou non en être ainsi.
4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ?
Parce que ces programmes, en plus d'être de véritables trous de
sécurité pour certains, ne se contentent pas d'utiliser un seul
port. Par conséquent, à un moment où un autre, ils se heurtent à
votre firewall.
Néanmoins, la situation n'est pas désespérée, et des solutions
existent. Commencez par relire la documentation de votre firewall,
pour voir s'il est possible de lui adjoindre des modules propres à
tel ou tel programme. Si c'est le cas, il ne vous reste plus qu'à
partir sur le web à la recherche du module adapté à vos désirs.
Dans le cas contraire, il va falloir vous résigner à ne plus
utiliser le programme, ou à voir votre firewall vous demander votre
avis plus souvent qu'à l'habitude. Pour cela, commencez par étudier
le programme que vous souhaitez utiliser.
S'il n'utilise qu'un certain nombre de ports bien précis, modifiez
la règle d'interdiction totale pour qu'elle ne bloque pas ces
ports. De même, si le programme permet de préciser l'intervalle des
ports qu'il est autorisé à utiliser. Par la suite, vous n'aurez
qu'à agir au cas par cas à chaque demande de votre firewall. C'est
plus contraignant, et demande une plus grande vigilance de votre
part, mais c'est le seul moyen à votre disposition.
4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il
fonctionne ?
Il suffit de procéder comme pour les autres programmes, sauf que
la règle que vous allez écrire devra ouvrir le port en
entrée/inbound.
Attention cependant, ces programmes sont autant de failles
potentielles dans votre sécurité, et votre firewall n'y peut rien.
Par conséquent, la règle que vous ajouterez à votre firewall devra
être la plus contraignante possible (limitée à l'adresse du serveur
de votre FAI pour le cas d'un serveur de news par exemple).
Pour autant, je vous conseille fortement d'ajouter à cela un
suivi régulier du site de l'éditeur du serveur, et des principaux
sites parlant de sécurité, de manière à procéder le plus rapidement
possible aux corrections à même de combler une faille nouvellement
découverte.
| 4.5 - Vous dites qu'il faut bloquer tout ce qui rentre sur mon
| ordinateur, mais comment récupérè-je mon courrier dans ce cas ?
|
| "Entrer sur votre ordinateur", "sortir de votre ordinateur", tout
| ceci n'est en fait qu'un abus de langage, destiné à simplifier les
| explications. Au bout du compte, il y a deux sortes de
| connexions :
|
| 1) Les "connexions entrantes" : C'est-à-dire les connexions qui
| sont initiées par un ordinateur situé quelque part dans le
| vaste monde, à destination de votre ordinateur.
|
| 2) Les "connexions sortantes" : C'est-à-dire les connexions qui
| sont initiées par votre ordinateur, à destination du vaste
| monde.
|
| Lorsque vous relevez votre courrier, par exemple, il s'agit d'une
| "connexion sortante", car c'est vous qui demandez au serveur de
| courrier de vous envoyez les messages que vous avez reçu. Par
| conséquent, lorsque vous autorisez un logiciel à sortir en
| direction d'un port, vous autorisez aussi les données en
| provenance de ce port à entrer sur votre ordinateur.
| 4.6 - Quel est la différence entre un port "closed" (fermé) et un
| port "stealth" (furtif) ou "blocked" (bloqué) ?
|
| Lorsqu'un port est "fermé", cela signifie que votre firewall
| répond à la tentative de connexion par un message indiquant que la
| connexion n'est pas possible. Lorsqu'il est "furtif", votre
| firewall ne renvoie rien.
| 4.7 - Vaut-il mieux un port "closed" (fermé), ou bien un port
| "stealth" (furtif) ou "blocked" (bloqué) ?
|
| Cela dépend des personnes qui vous répondront, et de l'importance
| que votre assaillant porte à votre ordinateur.
| Ce qu'il faut savoir, c'est qu'il n'y a pas de réelle différence
| entre un port "fermé", et un port "ouvert" derrière lequel il n'y
| aurait pas de serveur. Mais, dans le même temps, le message
| renvoyé donne des indications sur votre ordinateur, et peut donc
| servir au pirate pour trouver d'autres moyens lui susceptibles de
| lui permettre d'entrer.
| 4.8 - Comment faire pour tester mon firewall ?
|
| Vous vous êtes laissé convaincre, et maintenant vous voudriez
| vérifier que votre firewall est bien configuré. Rien de plus
| facile, utilisez l'un des tests "en ligne" suivants, et regardez
| les résultats. Ces derniers vous paraîtront probablement obscurs,
| mais ce n'est pas très important. En effet, seuls comptent les
| ports, et leur état lors du test. Pour mieux les interpréter,
| reportez-vous aux deux points précédents (4.6 et 4.7)
|
|
| <http://scan.sygatetech.com>
| Le site de Sygate est, de tout ceux que je connais, celui que je
| préfère. Sobre, certains diront trop, il propose six tests
| différents, qui durent de quelques secondes à plusieurs minutes,
| suivant le test. Et en prime, l'accent est mis sur les tests,
| Sygate se contentant de trois ou quatre petites lignes
| discrètes, pour la promotion de ses produits.
|
| <http://hackyourself.com/startdemo.dyn>
| En anglais. Attention, vous devez indiquer votre adresse IP, et
| donc la connaître.
|
| <http://www.dslreports.com/scan>
| Assez intéressant, ce test se concentre sur les ports les plus
| fréquents, en TCP autant qu'en UDP. De plus, il inclura vos
| résultats (sans indiquer votre adresse IP) s'ils sont trop
| catastrophiques ;-)
|
| <http://check.sdv.fr/>
| Largement modifié depuis sa première version, ce test est
| concluant et présente l'avantage d'être en langue française.
|
| <https://grc.com/x/ne.dll?bh0bkyd2>
| Probablement le plus connu de tous. Avec sa petite vingtaine de
| ports testés, le scanner de gibson vaut ce qu'il vaut. Cependant,
| il est très rapide, et permet de vérifier en quelques secondes
| l'état des principaux ports.
|
| <http://security1.norton.com/us/lunavbrk.asp?scantype=1>
| Bien que restreint à une quinzaine de ports "traditionnels",
| comme le scanner de Gibson, ce test s'attache aussi à vérifier
| cent dix neufs ports traditionnellement utilisé par des
| trojans/troyens. Cependant, on ne peut qu'être dépité devant la
| tendance de symantec à en profiter pour faire la pub de ses
| produits...
|
| <http://www.nessus.org>
| Bien qu'il ne s'agisse pas d'un test en ligne, et qu'il ne
| concerne pas vraiment les particuliers, Nessus est
| incontournable dès qu'il s'agit de tester la vulnérabilité d'un
| réseau.
| 4.9 - Comment puis-je configurer mon firewall, les numéros de ports
| sont supérieurs à 1024, et changent à chaque fois !
|
| Pas de panique, tout ceci est parfaitement normal, et tant votre
| ordinateur que votre firewall savent le gérer.
|
| Ce qu'il faut savoir, c'est qu'il y a deux types de ports bien
| distincts lors d'une connexion :
|
| a) Le port d'entrée. C'est celui vers lequel se connecte votre
| ordinateur, et c'est lui qui détermine le serveur qui
| répondra à la demande de connexion. La plupart du temps,
| le numéro de ce port est compris entre 1 et 1024 (ports
| "privilégiés). Les autres fois son numéro est plus
| important, mais cela ne change rien au principe.
|
| b) Le port de sortie. C'est celui par lequel la connexion sort
| de votre ordinateur. Comme les ports inférieurs à 1024 sont
| utilisés pour se connecter à un serveur, et correspondent
| donc à quelque chose de bien précis, la connexion va
| utiliser un port "non-privilégié", c'est-à-dire un port
| dont le numéro est compris entre 1025 et 65535.
5 - Au secours, mon firewall, mes logs, disent ...
---------------------------------------------------
Votre firewall est bavard, et passe son temps à vous dire que
quelqu'un a essayé de se connecter sur votre ordinateur ?
| Rassurez-vous, le mien aussi. Si cela peut vous aider à vous
| faire une idée, en ce moment mon firewall bloque en moyenne une
| "attaque" toutes les deux minutes et demi.
S'il ne garde une trace que des connexions interdites, il est
inutile de vous inquiéter, c'est la preuve qu'il fait bien ce que
vous lui avez demandé. Pour autant, vous gagneriez probablement à
affiner un peu ses règles de filtrage, pour qu'il ne vous avertisse
plus des connexions "parasites".
Par contre, s'il garde une trace de l'ensemble des connexions, vous
n'y couperez pas, et devrez commencer par apprendre comment
fonctionne le réseau, de façon à bien comprendre ce que raconte votre
firewall.
Quoi qu'il en soit, si votre firewall vous indique qu'un programme a
essayé de sortir de votre ordinateur, il est temps de faire appel à
un anti-virus et/ou un anti-spyware et/ou anti-troyen. Cependant, ne
vous alarmez pas trop vite pour autant, certains cas étant
parfaitement normaux.
5.1 - Mon lecteur de courrier/news essaie de se connecter sur un
autre port que celui qui est normalement le sien.
Avant de l'accuser d'être un spyware ou de rechercher partout un
trojan/troyen, demandez-vous si cela n'est pas normal.
Qu'étiez-vous en train de faire ? Vous regardiez un message en
HTML ? Il est probable que ce soit lui le responsable. Tous les
éléments composant la page HTML n'ont peut-être pas été inclus dans
le message, et votre programme s'est donc connecté au web pour les
trouver.
5.2 - Mon navigateur Internet essaie de se connecter sur un autre
port que celui qui est normalement le sien.
Ne paniquez pas trop vite. Vouliez-vous aller sur un site
sécurisé ? Si oui, c'est probablement pour cette raison que vous ne
reconnaissez pas le port indiqué par votre firewall. Commencez par
bloquer la connexion, et si votre navigateur signale une erreur,
recommencez, en autorisant la connexion cette fois.
Le cas se présente aussi lorsque la page que vous êtes en train de
regarder contient des vidéos, ou d'autres éléments à la mode. Là
encore, commencez par bloquer la connexion, et si la page semble
incomplète, recommencez.
5.3 - Mes programmes n'arrêtent pas de se connecter via le port 53.
Il n'y a rien, ou presque, de plus normal que cela. Ce port étant
utilisé pour les requêtes DNS, dès qu'un programme doit faire le
lien entre une adresse web (http://zzz.tld) et une adresse IP
(123.123.123.123), il contacte le DNS de votre FAI.
De plus, certains DNS sont configurés "avec les pieds", et
envoient de nombreuses connexions parasites qui n'ont d'autres
conséquences que de surcharger votre connexion.
| 5.4 - Mon firewall me parle d'alertes concernant l'adresse IP
| 255.255.255.255.
|
| Il s'agit d'une adresse de broadcast, utilisée par les machines
| lorsqu'elles cherchent un serveur DCHP pour se faire attribuer une
| adresse IP par celui-ci. Dans ce cas, le port d'origine doit être
| le port 68, et celui de destination le port 67. A moins que votre
| ordinateur ne soit un serveur DCHP, auquel cas vous le sauriez,
| vous pouvez interdire cela sans remords. Attention cependant, si
| vous êtes sur un réseau câblé, et que vous n'êtes pas en PPPoE
| (Comme cela commence à être le cas sur le réseau câble de
| Wanadoo), vous aurez normalement à laisser sortir des paquets à
| destination de cette adresse.
| 5.5 - Grâce à mon firewall, j'ai l'adresse IP de mon assaillant,
| que puis-je en faire ?
|
| En théorie, plein de choses, en pratique, rien. Vous pouvez faire
| un /whois/ sur cette adresse, pour envoyer un message au service
| abuse de son FAI. Mais, cela reviendrait à perdre votre temps (des
| alertes, vous en avez des dizaines par jour) pour pas grand chose.
| Vous pouvez aussi attaquer la personne à votre tour, mais
| attention, il pourrait choisir la première solution. Et là, allez
| expliquer à votre FAI qu'il a commencé en premier.
| Mais, même si tout cela est bien tentant, il vaut mieux éviter.
| En effet, qui vous garantit que votre assaillant est bien celui que
| vous croyez ? Il pourrait tout aussi bien s'agir en fait de
| l'adresse IP d'un proxy mal configuré, et utilisé par un tiers à
| des fins malveillantes. Tout comme il pourrait s'agir d'une
| adresse IP spoofée (usurpée). Dans un cas comme dans l'autre, vous
| aurez puni ou fait punir une personne qui est aussi victime que
| vous.
| 5.6 - Mon firewall a bloqué un trojan/troyen, comment m'en
| débarrasser ?
|
| En elle-même, la réponse à cette question dépasse le cadre de
| cette FAQ, et même du forum <news:fr.comp.securite>. Cependant,
| il y a une chose importante que vous devez comprendre : *Non*,
| votre firewall n'a pas bloqué un trojan/troyen.
| En regardant les logs de votre firewall de plus près, vous vous
| apercevrez qu'il n'a fait que bloquer une *tentative* de
| connexion sur un port généralement utilisé par tel ou tel
| trojan/troyen. C'est tout, et c'est normal. Comme votre attaquant
| ne sait pas ce que contient votre ordinateur, il le "scanne" à
| la recherche d'une éventuelle porte dérobée (backdoor). Et c'est
| ce "scanne", et lui seul, qui vous est signalé par votre
| firewall.
6 - Questions d'ordre général
-----------------------------
6.1 - Avoir deux firewalls est-il un plus ?
Au contraire. Tout d'abord, vous ne savez pas comment ils vont
interférer entre eux, créant peut-être une brèche dans votre
sécurité. Ensuite, et surtout, vous aurez tendance à vous reposer
sur eux, et à manquer de vigilance. Or, le meilleur firewall est
placé entre la chaise et le clavier, et c'est *vous*.
Cependant, cela n'est vrai que dans la mesure où ils sont tous
deux placés sur le même ordinateur. Dans le cas d'un réseau
d'entreprise, ou d'association/club/autre, il peut être utile
d'utiliser deux firewalls, de part et d'autre de la DMZ. Mais cela
dépasse le cadre de cette FAQ.
6.2 - Je suis convaincu, j'installe un firewall dès demain. Ai-je
encore besoin d'un Anti-Virus ?
Oui, évidemment. Même s'ils sont parfois complémentaires, l'Anti-
Virus éliminant les trojans/Troyens avant même que votre firewall
n'ait à les bloquer, ils ne font pas le même travail pour autant.
6.3 - "NetBios" (port 137, 138 et 139), j'en entends souvent parler,
mais qu'est-ce ?
NetBios est le nom de l'interface développée par Microsoft pour le
partage de fichier et d'imprimante. Donc, si vous n'utilisez pas
| Windows, vous ne craignez rien de ce côté là. Attention toutefois,
| /samba/ offrant aux systèmes d'exploitation Unix une interface
| avec le monde Windows, il dispose des mêmes failles (en plus de
| celles qui lui sont propres).
Dans le cas contraire, sachez qu'il s'agit d'une faille de
sécurité au coeur même de votre système. Par l'intermédiaire de
NetBios, n'importe qui peut s'introduire dans votre ordinateur, et
utiliser votre/vos disques durs, comme s'il s'agissait des siens.
Il faut donc impérativement bloquer les ports 137, 138 et 139 en
UDP et TCP, et dans les deux sens (entrée et sortie).
Attention, Windows ayant ceci de particulier que l'on ne sait pas
toujours ce qu'il fait, ne pensez pas qu'il suffise de désactiver
NetBios pour être à l'abri. En effet, Windows pourrait bien décider
qu'il en a besoin, et le réactiver sans que vous ne vous en rendiez
compte.
6.4 - Un firewall ralentit-il la connexion ?
Oui, et non. Un firewall contrôlant tout ce qui entre et sort de
votre ordinateur, il ralentira forcément la connexion.
Maintenant, tout dépend de votre ordinateur (plus il est puissant
mieux c'est), et de ce que fait votre firewall. Pour autant, il est
rare que ce ralentissement ait des conséquences visibles, mais si
tel était le cas, le mieux reste encore de changer de firewall.
| 6.5 - Un proxy peut-il faire office de firewall ?
|
| Oui, mais très rudimentaire. De par sa nature, un proxy protège
| assez bien, en empêchant les données non désirées d'entrer sur
| votre ordinateur. Mais, il n'empêchera pas les données de sortir,
| et c'est pour cela qu'il ne faut surtout pas le considérer comme
| une protection suffisante. De plus, il ne peut filtrer que ce
| qu'il connait, et pour peu que certaines de vos connexions ne
| passent pas par le proxy, pour diverses raisons telles qu'une
| incompatibilité d'humeur, il ne vous protègera plus.
| Enfin, vous devez bien garder à l'esprit qu'un proxy peut être
| une arme pour votre attaquant. Une fois maître de celui-ci, il
| pourra faire ce qu'il veut, vos programmes seront persuadés d'avoir
| à faire à votre proxy, et donc à des données légitimes.
7 - Mini lexique
----------------
7.1 - Adresse IP
L'adresse IP est un numéro, unique, qui permet de savoir où se
situe, et donc comment joindre, votre ordinateur. C'est grâce à
elle qu'un site web, par exemple, sait où il doit envoyer les pages
qu'il contient.
Dans la majorité des cas, l'adresse vous est attribuée par votre
FAI.
7.2 - DMZ
Ce terme un peu barbare désigne la partie d'un réseau
volontairement isolée du reste, et qui contient les différents
serveurs nécessaires au réseau. Sa présence permet d'accroître le
niveau de sécurité car elle constitue une zone tampon qu'il faudra
traverser avant de pénétrer réellement dans le réseau.
7.3 - Fournisseur d'Accès à Internet ( FAI )
Il s'agit du prestataire de service par l'intermédiaire duquel
vous accédez à Internet.
7.4 - Protocole ICMP
Derrière cette abbréviation, signifiant "Internet Control Message
Protocol" (Protocole Internet de messages de contrôle), se cache un
protocole destiné à gérer les informations relatives aux erreurs
pouvant survenir sur le réseau.
7.5 - Port
Il s'agit d'un numéro désignant un service particulier. C'est par
son intermédiaire que les logiciels savent de quels types de
| données il s'agit. Il existe deux types de port.
| D'une part les ports dits "privilégiés", dont le numéro va de 0 à
| 1024. Ces ports sont clairement définis comme étant utilisés par
| un type précis de serveur, et uniquement lui.
| D'autre part, on trouve les ports "non-privilégiés", dont le
| numéro est compris entre 1025 et 65535. Ces ports sont appelés
| ainsi car, contrairement aux autres, ils n'ont pas d'attribution
| propre, et peuvent servir à un peu tout. Cependant, les ports
| privilégiés étant quasiment tous attribués, les nouveaux
| protocoles se voient attribuer des ports dont le numéro est
| supérieur à 1024. On parle alors de ports "enregistrés".
7.6 - Service / Serveur
Il s'agit d'un programme permettant de proposer des données (du
contenu) sur le réseau. Un serveur Web, par exemple, est un
service, au même titre qu'un serveur FTP.
7.7 - Spyware / Espiogiciel
Il s'agit de programmes, généralement freeware, qui en plus de
leur fonction de base (aide au téléchargement par exemple), font
de l'espionnage commercial à votre insu. Par exemple, ils
récupèrent la liste des programmes présents sur votre ordinateur,
et l'envoient à une adresse donnée, ce qui permet de savoir
l'utilisation que vous faites de votre ordinateur.
7.8 - Trojan / Troyen
Un trojan/troyen est un programme ouvrant, à votre insu et pour
vous nuire, un service particulier sur votre ordinateur. C'est
grâce à ces programmes qu'un pirate peut accéder plus facilement à
votre ordinateur.
7.9 - Protocole TCP
Derrière cette abbréviation de "Transmission Control Protocol"
(Protocole de Contrôle de Transmission), se cache le protocole le
plus utilisé pour les échanges de données sur Internet. Et comme
Internet est une suite continue d'échanges de données...
7.10 - Protocole UDP
A l'inverse du protocole TCP, le protocole UDP (User Datagram
Protocol) n'est utilisé que ponctuellement sur Internet. Ceci tient
notamment au fait qu'il n'y a aucun contrôle, et donc aucune
assurance que les données soient bien parvenues à destination.
8 - Annexes
-----------
8.1 - Liste des principaux ports
| Attention, cette liste ne se veut pas exhaustive, et se contente
| de présenter les ports que vous rencontrerez dans une utilisation
| basique de votre connexion Internet.
Port 20 Ce port est utilisé lors des connexions FTP dynamiques.
Port 21 Ce port est utilisé pour les connexions FTP
(téléchargement de logiciels).
Port 25 Ce port est utilisé pour les connexions SMTP (envoie de
votre courrier vers le serveur de votre FAI).
Port 53 Ce port est utilisé pour les requêtes DNS. Celles-ci
permettent, entre autres, de trouver l'adresse
correspondant au site que vous cherchez à atteindre.
Port 80 Ce port est utilisé pour les connexions HTTP, autrement
dit à chaque fois que vous surfez.
Port 110 Ce port est utilisé pour les connexions POP3
(téléchargement de votre courrier depuis le serveur de
votre FAI).
Port 119 Ce port est utilisé pour les connexions NNTP.
C'est-à-dire la lecture des forums Usenet.
Port 143 Ce port est utilisé pour les connexions IMAP
(téléchargement de votre courrier depuis le serveur de
votre FAI).
Port 443 Ce port est utilisé pour les connexions HTTPS, à savoir
les connexions vers des sites web "sécurisés".
| Port 8080 Ce port est utilisé par les proxy HTTP.
8.2 - Une configuration standard
- Fermez tous les ports, en entrée comme en sortie, et en TCP comme
en UDP ;
- Interdisez tous les paquets ICMP à entrer ou sortir de votre
ordinateur ;
- Autorisez les paquets ICMP "Echo Request" à sortir de votre
ordinateur ;
- Autorisez les paquets ICMP "Echo Reply", "Destination
Unreachable" et "Time Exceeded for a Datagram" à rentrer ;
| - Ouvrez le port 53 en sortie ;
- Autorisez votre navigateur Internet à sortir vers les ports 80,
443 et 8080;
| - Autorisez votre lecteur de courrier à sortir vers les ports 25
| et 110 (si vous relevez le courrier en POP3) ;
| - Autorisez votre lecteur de courrier à sortir vers les ports 25
| et 143 (si vous relevez le courrier en IMAP) ;
- Autorisez votre lecteur de news à sortir vers le port 119 ;
- Autorisez votre lecteur de news à sortir vers le port 25 ;
- Autorisez votre logiciel de FTP à sortir vers le port 21 ;
- Autorisez votre logiciel de FTP à recevoir des données en
provenance du port 20 ;
A noter que selon votre firewall, les deux premières règles (celle
interdisant toute connexion en TCP et UDP, et celle bloquant tous
les paquets ICMP) peuvent être à placer après toutes les autres
règles.
8.3 - Webographie
- "Comment Ca Marche" section Internet :
<http://www.commentcamarche.net/internet/internet.php3>
- La FAQ non officielle et politiquement incorrecte de
fr.comp.securite :
<http://faqnopi.da.ru/>
- Ressources en français sur le thème de la sécurité informatique :
<http://www.isecurelabs.com>
- La section sécurité informatique et réseau du Comité Réseau des
Universités :
<http://www.cru.fr/securite/>
- Le site du CERT (en anglais) :
<http://www.cert.org/>
- Liste officielle des ports privilégiés (numéros inférieurs à
1024 ) et enregistrés (numéros supérieurs à 1023 ) (en
anglais) :
<http://www.iana.org/assignments/port-numbers>
- liste des ports utilisés par des trojans/troyens connus (en
anglais) :
<http://www.simovits.com/nyheter9902.html>
8.4 - Bibliographie
a) Lecteurs profanes :
- "Firewall et sécurité Internet"
De Steve Bellovin et Bill cheswick
Aux éditions Addison Wesley
b) Lecteurs confirmés :
- "Firewalls: la sécurité sur Internet"
De D. Brent Chapman et Elizabeth D. Zwicky
Aux éditions O'Reilly
8.5 - Remerciements
Merci à ceux sans qui cette FAQ n'aurait pas vu le jour. A
commencer par Brina qui m'a convaincu de la rédiger, et par ma
femme qui m'a aidé à en faire un document compréhensible par le
plus grand nombre, tant dans sa forme (orthographe surtout) que
dans son contenu.
Merci aussi à tous ceux qui ont participé à cette FAQ : Cyril
Guibourg, David Delon, Pascal Cabaud, Patrice Labracherie, Serge
Lefranc, Stephane T., Thierry, Thierry Schollier, Colin Leroy,
Pierre Lotigie-Laurent, etc.
9 - Conclusion
--------------
J'ai fait de mon mieux pour limiter les fautes d'orthographe, et me
montrer exhaustif autant que pédagogue. Pour autant, je ne suis pas
infaillible. Toute correction, qu'elle porte sur la forme ou sur
le fond, sera donc la bienvenue, ainsi que toutes les suggestions
que vous pourriez avoir.
Traduit en HTML par faq2html.pl le Wed Nov 3 05:42:13 2010 pour le site Web Usenet-FR.