Le
fonctionnement et l'utilité
d'un firewall
Lorsque
vous êtes connecté à internet,
votre
ordinateur peut-être à tout moment la cible d'une
attaque.
Hormis le mythe du hackeur qui pirate votre ordinateur, sachez que vous
pouvez tout simplement infecter votre machine cliquant sur un
lien WEB ou en ouvrant un mail.
En règle général, lorsque votre
machine est infectée, elle peut servir :
- de relais pour spammer, votre ordinateur de serveur mail pour envoyer des mails commerciaux
- à effectuer des DDOS, votre ordinateur se
connecte
à un serveur IRC d'où le pirate peut
contrôler
votre machine pour attaquer des sites WEB.
Afin de pallier à ce genre de choses, en plus d'un antivirus
à
jour, vous pouvez installer un firewall sur votre
ordinateur.
Le firewall est un matériel ou une application qui permet de
filtrer les connexions
entrantes et sortantes qui seront effectuées depuis et vers
votre ordinateur. Le firewall se situe entre l'utilisateur et
ses applications et la connexion internet.
Le filtrage peut se faire sur les IP, les ports ou des applications. Le
firewall fonctionne avec des règles,
concrètement, si
vous ne donnez pas explicitement le droit à une application
d'accéder à internet, celle-ci sera
bloquée.
Le filtrage sur les ports
Lorsque des connexions sont établies, le
firewall va
examiner ces dernières. Selon les
règles
établies, il laissera ou bloquera les connexions. Vous avez
la
possibilité de créer des règles sur
les ports. Par
un exemple, vous pouvez créer une règle qui
accepte les
connexions vers le port 20 et 21 si vous avez un serveur FTP sur votre
machine. Ainsi, n'importe qui pourra se connecter à votre
serveur FTP.
Vous avez aussi la possibilité de combiner un filtrage sur
les
ports et sur les IP. Cela peut être interressant si par
exemple,
vous installez une application sensible comme VNC qui permet de
partager son bureau. Ainsi, vous pouvez filtrer les connexions sur le
port ET sur l'IP de la personne qui aura accès à
votre
bureau partagé. Ce qui permet de garder
énormément
en sécurité puisqu'une seule personne (de
confiance!)
aura accès à VNC, dès lors
même si une
faille sur VNC est publiée, le risque de se faire hacker est
réduit.
Sous Windows, il est conseillé de bloquer les ports 443 /
135.
Le port 443 est utilisé pour le partage de fichiers, il est
très scan à la recherche de machines n'ayant pas
de mots
de passe ou des mots de passe faibles.
Le port 135 correspond au Service RPC, beaucoup de failles sur ce
service existe et sont exploitées par beaucoup de vers. Les
machines infectées par ces vers scannent le
réseau
à la recherche d'autres machines non corrigées
pour les
infecter à leur tour. Filtrez ce port, dans le cas
où
d'autres failles sont publiées.
Le filtrage applicatif
En règle générale, le
filtrage sur les
firewall de Windows se fait sur l'application. C'est-à-dire
que
vous pouvez empécher telle ou telle
application
d'accéder à internet ou d'y
accéder depuis
internet.
Les firewall actuellement accompagnent l'utilisateur pour
sélectionner les applications qui peuvent avoir
accès
à internet :
- un scan du disque dur de l'ordinateur afin de regrouper par
une
liste les applications suceptibles d'avoir un accès
à
internet, l'utilisateur sélectionne les applications dans la
liste qui auront accès à internet.
- lorsqu'une application demande un accès
à internet,
le firewall prévient l'utilisateur et ce dernier donne oui
ou
non accès à internet à cette
application.
Sachez aussi qu'une grande majorité des firewall
vérifient l'intégrité de l'application
(souvent
par un checksum MD5) afin de vérifier que celle-ci n'a pas
été modifée par un malware.
Ainsi, si vous donnez accès à votre navigateur et
que ce
dernier a été modifié, par exemple,
par un virus.
Le firewall vous avertira de la modification ce qui peut vous mettre la
puce à l'oreille sur une éventuelle attaque.
IMPORTANT
: Il faut bien faire attention lorsque
vous donnez accès à internet à une
application. En effet, si votre
ordinateur est déjà infecté par une backdoor
/ Vers / Spywares
et que ce dernier demande accès à internet et que
vous lui donnez, le firewall devient inutile.
Ne donnez
pas accès à une application dont vous
n'êtes pas sûr de sa provenance ou
intégrité!
|
En Pratique
Nous allons prendre le cas d'un
Virus IRC
Vous êtes connecté à IRC, votre
ordinateur possède un antivirus
à jour
et un firewall.
Vous recevez un privé avec une adresse WEB. Naif vous ouvrez
la page.
Un virus s'installe soit par une faille de votre navigateur, soit
parce que vous ouvrez volontairement le fichier contenant le virus
(ça arrive plus souvent que vous le pensez!).
Malheureusement, ce virus est tout nouveau, et votre antivirus ne le
connait pas.
Le virus est installé et a copié un mIRC sur
votre
machine afin que le pirage puisse contrôler votre machine.
mIRC se lance mais pour se connecter à un serveur IRC, il
doit
bien sûr avoir accès à internet, le
firewall
détecte la connexion et vous demande la permission. Le
firewall
précise que c'est le fichier demandant la connexion
est
C:\windows\temp\32\mIRC.exe.
Intriguez par le chemin, vous préférez ne pas
donner
accès à l'application et
préférez supprimer
ce "faux" mIRC.
Vous avez bien fait !
Consulter les logs
Les firewalls logguent les connexions qui ont
été
bloquées dans des journaux, ce qui signifie qu'ils
enregistrent
les connexions bloquées dans un fichier afin que
l'utilisateur
puisse les consulter. En général, les firewall
windows
offrent une interface pour consulter ces logs.
Les firewall ont généralement une interface qui
affiche
les connexions établies, ceci peut être aussi
très
utile.
Il est très important de consulter les logs, en effet :
- Vous pouvez être averti d'un scan de votre
machine par une personne malveillante.
- Lorsque vous notez des connexions à partir de
machines
différentes vers un port unique, vous pouvez alors consulter
Google pour vérifier à quel service correspond le
port.
Par exemple, vous notez des connexions multiples vers le port 3127, en
utilisant Google, vous vous apercevrez que cela correspond au Trojan
SubSeven, vous pouvez alors vérifier si votre machine n'est
pas
infectée.
- Les logs sont aussi importants dans le cas des
Spywares puisqu'ils peuvent vous permettre de noter une augmentation de
connexions WEB/Mails surtout vers des IP que vous ne connaissez pas.
Il est très important de consulter
régulièrement ses logs, sans pour autant tomber
dans une paranoïa.
Liens utiles
Firewall de Windows
XP :
Tutorial et
Configuration
du Firewall de Windows XP
Zone
Alarm :
Tutorial
et configuration de ZoneAlarm pour Windows
Kerio
:
Tutorial
et configuration de Kerio Firewall pour Windows
Look'n'Stop
:
Configurer
Look'n'Stop
Outpost
:
Configurer Outpost
Norton firewall
:
Configurer Norton firewall
Notions
sur les firewall
