Le fonctionnement et l’utilité d’un firewall

Voici quelques explications sur le pourquoi des pare-feu (firewall) et leurs utilités.
Cet article donne les idées généralement, sur la nécessité du pare-feu.

Sur le forum existe déjà un article : Fonctionnement des pare-feu

Introduction

Le firewall est un équipement physique ou une application qui permet de filtrer les connexions entrantes et sortantes qui seront effectuées depuis et vers votre ordinateur.  Le firewall se situe entre l’utilisateur et ses applications et la connexion internet.

Le filtrage peut se faire sur les IP, les ports ou des applications. Le firewall fonctionne avec des règles, concrètement, si vous ne donnez pas explicitement le droit à une application d’accéder à internet, celle-ci sera bloquée.

Le Pare-feu peut alors aider à trois choses :

  • Bloquer les attaques et les infections en amont, notamment, le firewall peut bloquer les Trojans-Downloader, empêchant ainsi d’installer la charge utile.
  • Bloquer les connexions établies par un Trojan et potentiellement les connexions vers le serveur de contrôle. Sans ordre le malware/virus ne pourra effectuer les opérations malicieuses. Dans le cas d’un Trojan Stealer ou Trojan Banker, ces derniers ne pourront envoyer les informations volées au serveur de contrôle protégeant ainsi les données.
  • Bloquer les infections automatiques provenant de machines infectées (vers) qui visent des services réseaux potentiellement vulnérables sur l’ordinateur.

En résumé, le pare-feu / Firewall peut aider à bloquer les logiciels malveillants mais aussi bloquer leurs fonctionnement.

Firewall et virus

Lorsque vous êtes connecté à internet, votre ordinateur peut-être à tout moment la cible d’une attaque.
Hormis le mythe du hackeur qui pirate votre ordinateur, sachez que vous pouvez tout simplement infecter Windows en cliquant sur un lien WEB ou en visitant un site WEB, mais aussi en ouvrant une pièce jointe d’un mail :

En règle générale, lorsque Windows est infecté, ce dernier peut servir :

  • de relais pour spammer, votre ordinateur de serveur mail pour envoyer des mails commerciaux
  • à effectuer des attaques DDOS, votre ordinateur se connecte à un serveur IRC d’où le pirate peut contrôler votre machine pour attaquer des sites WEB.
  • Se connecter au serveur de contrôle dans le cas d’un Trojan.

Bref votre ordinateur devient un PC Zombi. C’est à dire qu’il est contrôlé par des pirates pour en faire ce qu’il veut.

Afin de pallier à ce genre de choses, en plus d’un antivirus, vous pouvez installer un firewall sur votre ordinateur.

 

Le filtrage sur les ports

Lorsque des connexions sont établies, le firewall va examiner ces dernières. Selon les règles établies, il laissera ou bloquera les connexions. Vous avez la possibilité de créer des règles sur les ports.  Par un exemple, vous pouvez créer une règle qui accepte les connexions vers le port 20 et 21 si vous avez un serveur FTP sur votre machine. Ainsi, n’importe qui pourra se connecter à votre serveur FTP.

Vous avez aussi la possibilité de combiner un filtrage sur les ports et sur les IP. Cela peut être intéressant si par exemple, vous installez une application sensible comme VNC qui permet de partager son bureau. Ainsi, vous pouvez filtrer les connexions sur le port ET sur l’IP de la personne qui aura accès à votre bureau partagé. Ce qui permet de garder énormément en sécurité puisqu’une seule personne (de confiance!) aura accès à VNC, dès lors même si une faille sur VNC est publiée, le risque de se faire hacker est réduit.
VNC étant un protocole très attaqué.

En clair, pour le filtrage de port, en ce qui concerne les connexions entrantes, cela peut permettre de filtrer les accès à certains services réseaux.

En outre, en sortant, vous pouvez aussi faire de même.
Par exemple, dans le cas du processus système svchost.exe, ce dernier est utilisé pour se connecter à d’autres ordinateurs mais aussi télécharger les mises à jour de Windows. Vous pouvez donc autoriser svchost.exe sur une plage d’IP de votre réseau et normalement sur les adresses Microsoft et Akaimai qui servent à distribuer les mises à jour de Windows.
Enumérer ces adresses n’est pas forcément simple. Ainsi donc, mettre en place un tel filtrage n’est pas donné à tout le monde.

Le filtrage applicatif

En règle générale, le filtrage sur les firewall de Windows se fait sur l’application. C’est-à-dire que vous pouvez empêcher telle ou telle application d’accéder à internet ou d’y accéder depuis internet.
Les firewall actuellement accompagnent l’utilisateur pour sélectionner les applications qui peuvent avoir accès à internet :

  • un scan du disque dur de l’ordinateur afin de regrouper par une liste les applications susceptibles d’avoir un accès à internet, l’utilisateur sélectionne les applications dans la liste qui auront accès à internet.
  • lorsqu’une application demande un accès à internet, le firewall prévient l’utilisateur et ce dernier donne oui ou non accès à internet à cette application.

Sachez aussi qu’une grande majorité des firewall vérifient l’intégrité de l’application (souvent par un checksum MD5) afin de vérifier que celle-ci n’a pas été modifiée par un malware.
Ainsi, si vous donnez accès à votre navigateur et que ce dernier a été modifié, par exemple, par un virus. Le firewall vous avertira de la modification ce qui peut vous mettre la puce à l’oreille sur une éventuelle attaque.

IMPORTANT : Il faut bien faire attention lorsque vous donnez accès à internet à une application. En effet, si votre ordinateur est déjà infecté par une backdoor / Vers / Spywares et que ce dernier demande accès à internet et que vous lui donnez, le firewall devient inutile.
Ne donnez pas accès à une application dont vous n’êtes pas sûr de sa provenance ou intégrité!

Le Pare-feu de Windows

Le pare-feu de Windows est surtout basé sur des noms d’exécutables que vous pouvez autoriser ou non.
En clair, il s’agit avant tout d’une liste d’application que vous autorisez ou non.
Vous pouvez donc bloquer des noms d’exécutables.

Les options avancées du pare-feu de Windows permettent aussi de créer des règles sur les ports et protocole.

En Pratique

Nous allons prendre un cas pratique, relaté notamment sur la page : Firewall Windows : les bon réglages

Prenons le cas de ce mail malicieux…. Vous n’êtes pas bien réveillé ou avez la tête ailleurs.
Vous ouvrez le zip et exécuter le contenu.

A l’intérieur du zip, se trouve un fichier .JS
Le but de ce .JS est de télécharger un autre programme malveillant, il s’agit donc d’un Trojan-Downloader.
Pour pouvoir s’exécuter, Windows va utiliser wscript.exe (Windows Script Host), interpréter le code, qui contient des instructions avec le lien du virus à télécharger et exécuter.

Heureusement, vous avez créé une règle spécifique pour interdire les connexions sortantes sur wscript.exe
Ainsi, wscript.exe n’aura pas la permissions de se connecter au site où est hébergé le programme malveillant.
Le télécharger et l’exécution est impossible. Windows ne va donc pas être infecté.

Consulter les logs

Les firewall enregistrent les connexions qui ont été bloquées dans des journaux, ce qui signifie qu’ils enregistrent les connexions bloquées dans un fichier afin que l’utilisateur puisse les consulter. En général, les firewall windows offrent une interface pour consulter ces logs.

Les firewall ont généralement une interface qui affiche les connexions établies, ceci peut être aussi très utile.

Il est très important de consulter les logs, en effet :

  • Vous pouvez être averti d’un scan de votre machine par une personne malveillante.
  • Lorsque vous notez des connexions à partir de machines différentes vers un port unique, vous pouvez alors consulter Google pour vérifier à quel service correspond le port. Par exemple, vous notez des connexions multiples vers le port 3127, en utilisant Google, vous vous apercevrez que cela correspond au Trojan SubSeven, vous pouvez alors vérifier si votre machine n’est pas infectée.
  • Les logs sont aussi importants dans le cas des Spywares puisqu’ils peuvent vous permettre de noter une augmentation de connexions WEB/Mails surtout vers des IP que vous ne connaissez pas.

Il est très important de consulter régulièrement ses logs, sans pour autant tomber dans une paranoïa.

(Visité 1 117 fois, 2 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel ComodoTutoriel fonctionnement firewall

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com