infections PDF

Projet AntiMalware

Le fonctionnement et l'utilité d'un firewall

Lorsque vous êtes connecté à internet, votre ordinateur peut-être à tout moment la cible d'une attaque.
Hormis le mythe du hackeur qui pirate votre ordinateur, sachez que vous pouvez tout simplement infecter votre machine cliquant sur un lien WEB ou en ouvrant un mail.
En règle général, lorsque votre machine est infectée, elle peut servir :
Bref votre PC est un PC Zombi Afin de pallier à ce genre de choses, en plus d'un antivirus à jour, vous pouvez installer un firewall sur votre ordinateur.

Le firewall est un matériel ou une application qui permet de filtrer les connexions entrantes et sortantes qui seront effectuées depuis et vers votre ordinateur.  Le firewall se situe entre l'utilisateur et ses applications et la connexion internet.

Le filtrage peut se faire sur les IP, les ports ou des applications. Le firewall fonctionne avec des règles, concrètement, si vous ne donnez pas explicitement le droit à une application d'accéder à internet, celle-ci sera bloquée.

Quelques Notions sur le fonctionnement des pare-feu et réseau :

Fonctionnement des pare-feu

La notion de port ouvert et la sécurité

Le filtrage sur les ports

Lorsque des connexions sont établies, le firewall va examiner ces dernières. Selon les règles établies, il laissera ou bloquera les connexions. Vous avez la possibilité de créer des règles sur les ports.  Par un exemple, vous pouvez créer une règle qui accepte lesconnexions vers le port 20 et 21 si vous avez un serveur FTP sur votre machine. Ainsi, n'importe qui pourra se connecter à votre serveur FTP.

Vous avez aussi la possibilité de combiner un filtrage sur les ports et sur les IP. Cela peut être interressant si par exemple, vous installez une application sensible comme VNC qui permet de partager son bureau. Ainsi, vous pouvez filtrer les connexions sur le port ET sur l'IP de la personne qui aura accès à votre bureau partagé. Ce qui permet de garder énormément en sécurité puisqu'une seule personne (de confiance!) aura accès à VNC, dès lors même si une faille sur VNC est publiée, le risque de se faire hacker est réduit.

Sous Windows, il est conseillé de bloquer les ports 443 / 135.
Le port 443 est utilisé pour le partage de fichiers, il est très scan à la recherche de machines n'ayant pas de mots de passe ou des mots de passe faibles.
Le port 135 correspond au Service RPC, beaucoup de failles sur ce service existe et sont exploitées par beaucoup de vers. Les machines infectées par ces vers scannent le réseau à la recherche d'autres machines non corrigées pour les infecter à leur tour. Filtrez ce port, dans le cas où d'autres failles sont publiées.

Le filtrage applicatif

En règle générale, le filtrage sur les firewall de Windows se fait sur l'application. C'est-à-dire que vous pouvez empécher telle ou telle application d'accéder à internet ou d'y accéder depuis internet.
Les firewall actuellement accompagnent l'utilisateur pour sélectionner les applications qui peuvent avoir accès à internet :
Sachez aussi qu'une grande majorité des firewall vérifient l'intégrité de l'application (souvent par un checksum MD5) afin de vérifier que celle-ci n'a pas été modifée par un malware.
Ainsi, si vous donnez accès à votre navigateur et que ce dernier a été modifié, par exemple, par un virus. Le firewall vous avertira de la modification ce qui peut vous mettre la puce à l'oreille sur une éventuelle attaque.

IMPORTANT : Il faut bien faire attention lorsque vous donnez accès à internet à une application. En effet, si votre ordinateur est déjà infecté par une backdoor / Vers / Spywares et que ce dernier demande accès à internet et que vous lui donnez, le firewall devient inutile.

Ne donnez pas accès à une application dont vous n'êtes pas sûr de sa provenance ou intégrité!

En Pratique

Nous allons prendre le cas d'un Virus IRC

Vous êtes connecté à IRC, votre ordinateur possède un antivirus à jour et un firewall.
Vous recevez un privé avec une adresse WEB. Naif vous ouvrez la page.
Un virus s'installe soit par une faille de votre navigateur, soit parce que vous ouvrez volontairement le fichier contenant le virus  (ça arrive plus souvent que vous le pensez!).
Malheureusement, ce virus est tout nouveau, et votre antivirus ne le connait pas.

Le virus est installé et a copié un mIRC sur votre machine afin que le pirage puisse contrôler votre machine.
mIRC se lance mais pour se connecter à un serveur IRC, il doit bien sûr avoir accès à internet, le firewall détecte la connexion et vous demande la permission. Le firewall précise que c'est le fichier demandant la connexion  est C:\windows\temp\32\mIRC.exe.
Intriguez par le chemin, vous préférez ne pas donner accès à l'application et préférez supprimer ce "faux" mIRC.
Vous avez bien fait !

Consulter les logs

Les firewalls logguent les connexions qui ont été bloquées dans des journaux, ce qui signifie qu'ils enregistrent les connexions bloquées dans un fichier afin que l'utilisateur puisse les consulter. En général, les firewall windows offrent une interface pour consulter ces logs.

Les firewall ont généralement une interface qui affiche les connexions établies, ceci peut être aussi très utile.

Il est très important de consulter les logs, en effet :
Il est très important de consulter régulièrement ses logs, sans pour autant tomber dans une paranoïa.

Liens utiles

Firewall de Windows XP : Tutorial et Configuration du Firewall de Windows XP
Zone AlarmTutorial et configuration de ZoneAlarm pour Windows
KerioTutorial et configuration de Kerio Firewall pour Windows
Look'n'Stop : Configurer Look'n'Stop
Outpost : Configurer Outpost
Norton firewall : Configurer Norton firewall

Notions sur les firewall
flux rss malekal.com - Sitemap - Geekeden - OxygenePC.com - Les partenaires du site