Le fonctionnement et l’utilité d’un firewall

Lorsque vous êtes connecté à internet, votre ordinateur peut-être à tout moment la cible d’une attaque.
Hormis le mythe du hackeur qui pirate votre ordinateur, sachez que vous pouvez tout simplement infecter votre machine cliquant sur un lien WEB ou en ouvrant un mail.
En règle général, lorsque votre machine est infectée, elle peut servir :

  • de relais pour spammer, votre ordinateur de serveur mail pour envoyer des mails commerciaux
  • à effectuer des DDOS, votre ordinateur se connecte à un serveur IRC d’où le pirate peut contrôler votre machine pour attaquer des sites WEB.

Bref votre PC est un PC Zombi Afin de pallier à ce genre de choses, en plus d’un antivirus à jour, vous pouvez installer un firewall sur votre ordinateur.

Le firewall est un matériel ou une application qui permet de filtrer les connexions entrantes et sortantes qui seront effectuées depuis et vers votre ordinateur.  Le firewall se situe entre l’utilisateur et ses applications et la connexion internet.

Le filtrage peut se faire sur les IP, les ports ou des applications. Le firewall fonctionne avec des règles, concrètement, si vous ne donnez pas explicitement le droit à une application d’accéder à internet, celle-ci sera bloquée.

Quelques Notions sur le fonctionnement des pare-feu et réseau :

Fonctionnement des pare-feu

La notion de port ouvert et la sécurité

Le filtrage sur les ports

Lorsque des connexions sont établies, le firewall va examiner ces dernières. Selon les règles établies, il laissera ou bloquera les connexions. Vous avez la possibilité de créer des règles sur les ports.  Par un exemple, vous pouvez créer une règle qui accepte les connexions vers le port 20 et 21 si vous avez un serveur FTP sur votre machine. Ainsi, n’importe qui pourra se connecter à votre serveur FTP.

Vous avez aussi la possibilité de combiner un filtrage sur les ports et sur les IP. Cela peut être intéressant si par exemple, vous installez une application sensible comme VNC qui permet de partager son bureau. Ainsi, vous pouvez filtrer les connexions sur le port ET sur l’IP de la personne qui aura accès à votre bureau partagé. Ce qui permet de garder énormément en sécurité puisqu’une seule personne (de confiance!) aura accès à VNC, dès lors même si une faille sur VNC est publiée, le risque de se faire hacker est réduit.

Sous Windows, il est conseillé de bloquer les ports 443 / 135.
Le port 443 est utilisé pour le partage de fichiers, il est très scan à la recherche de machines n’ayant pas de mots de passe ou des mots de passe faibles.
Le port 135 correspond au Service RPC, beaucoup de failles sur ce service existe et sont exploitées par beaucoup de vers. Les machines infectées par ces vers scannent le réseau à la recherche d’autres machines non corrigées pour les infecter à leur tour. Filtrez ce port, dans le cas où d’autres failles sont publiées.

Le filtrage applicatif

En règle générale, le filtrage sur les firewall de Windows se fait sur l’application. C’est-à-dire que vous pouvez empêcher telle ou telle application d’accéder à internet ou d’y accéder depuis internet.
Les firewall actuellement accompagnent l’utilisateur pour sélectionner les applications qui peuvent avoir accès à internet :

  • un scan du disque dur de l’ordinateur afin de regrouper par une liste les applications susceptibles d’avoir un accès à internet, l’utilisateur sélectionne les applications dans la liste qui auront accès à internet.
  • lorsqu’une application demande un accès à internet, le firewall prévient l’utilisateur et ce dernier donne oui ou non accès à internet à cette application.

Sachez aussi qu’une grande majorité des firewall vérifient l’intégrité de l’application (souvent par un checksum MD5) afin de vérifier que celle-ci n’a pas été modifiée par un malware.
Ainsi, si vous donnez accès à votre navigateur et que ce dernier a été modifié, par exemple, par un virus. Le firewall vous avertira de la modification ce qui peut vous mettre la puce à l’oreille sur une éventuelle attaque.

IMPORTANT : Il faut bien faire attention lorsque vous donnez accès à internet à une application. En effet, si votre ordinateur est déjà infecté par une backdoor / Vers / Spywares et que ce dernier demande accès à internet et que vous lui donnez, le firewall devient inutile.

Ne donnez pas accès à une application dont vous n’êtes pas sûr de sa provenance ou intégrité!


En Pratique

Nous allons prendre le cas d’un vers IRC.

Vous êtes connecté à IRC, votre ordinateur possède un antivirus à jour et un firewall.
Vous recevez un privé avec une adresse WEB. Naïf vous ouvrez la page.
Un virus s’installe soit par une faille de votre navigateur, soit parce que vous ouvrez volontairement le fichier contenant le virus  (ça arrive plus souvent que vous le pensez!).
Malheureusement, ce virus est tout nouveau, et votre antivirus ne le cannait pas.

Le virus est installé et a copié un mIRC sur votre machine afin que le pirate puisse contrôler votre machine.
mIRC se lance mais pour se connecter à un serveur IRC, il doit bien sûr avoir accès à internet, le firewall détecte la connexion et vous demande la permission. Le firewall précise que c’est le fichier demandant la connexion  est C:windowstemp32mIRC.exe.
Intriguez par le chemin, vous préférez ne pas donner accès à l’application et préférez supprimer ce « faux » mIRC.
Vous avez bien fait !

Consulter les logs

Les firewalls enregistrent les connexions qui ont été bloquées dans des journaux, ce qui signifie qu’ils enregistrent les connexions bloquées dans un fichier afin que l’utilisateur puisse les consulter. En général, les firewall windows offrent une interface pour consulter ces logs.

Les firewall ont généralement une interface qui affiche les connexions établies, ceci peut être aussi très utile.

Il est très important de consulter les logs, en effet :

  • Vous pouvez être averti d’un scan de votre machine par une personne malveillante.
  • Lorsque vous notez des connexions à partir de machines différentes vers un port unique, vous pouvez alors consulter Google pour vérifier à quel service correspond le port. Par exemple, vous notez des connexions multiples vers le port 3127, en utilisant Google, vous vous apercevrez que cela correspond au Trojan SubSeven, vous pouvez alors vérifier si votre machine n’est pas infectée.
  • Les logs sont aussi importants dans le cas des Spywares puisqu’ils peuvent vous permettre de noter une augmentation de connexions WEB/Mails surtout vers des IP que vous ne connaissez pas.

Il est très important de consulter régulièrement ses logs, sans pour autant tomber dans une paranoïa.