Tutorial Comodo Firewall Pro 3.0

Comodo Firewall Pro 3.0 est un pare-feu qui permet de filtrer le trafic réseaux entrant et sortant.
Le pare-feu est un dispositif important en matière de sécurisé sur votre ordinateur (se reporter à l'article : Le fonctionnement et l'importance d'un pare-feu

Comodo Firewall Pro 3.0 est gratuit et est disponible en langue anglaise.
(Seul la version 2.4 est disponible en multi-langues).

Installation

Vous pouvez télécharger Comodo Firewall Pro depuis ce lien : Télécharger Comodo Firewall Pro 3.0
L'assistant d'installation se lance
Cliquez sur le bouton Next pour passer à l'étape suivante

Vous devez accepter le contrat d'utilisation.
Cliquez sur le bouton I ACCEPT.

Vous devez choisir le chemin de destination de l'installation du pare-feu.
Par défaut, on vous propose C:\Program Files\COMODO\Firewall, vous pouvez modifier le chemin à partir du bouton Browse
Cliquez sur le bouton Next pour passer à l'étape suivante

L'extraction des fichiers nécessaires à l'installation s'effectue..

Vous devez ensuite choisir le mode de fonctionnement du pare-feu :

Advanced Firewall with Defense+ : active la pare-feu et Defense+, le pare-feu se rapproche d'un IDS (Améliorer la sécurité de votre PC avec les IDS / HIPS), ce mode augmente le nombre de popups d'alerte de Comodo (ce qui peut devenir pénible) et demande une certaine connaissance du fonctionnement de Windows.
Basic Firewall : pare-feu par défaut qui filtre les connexions.

Si vous ne savez pas, je vous conseille de choisir Basic Firewall

Cliquez sur le bouton Next pour passer à l'étape suivante

Comodo vous demande ensuite s'il peut scanner votre ordinateur à la recherche des applications installées afin de rajouter des règles sur le pare-feu, ce qui vous évitera d'être harcelé par des popups d'alerte dès l'activation du pare-feu.
Le scan est à effectuer si vous êtes certains que votre ordinateur n'est pas infecté.
Choisissez alors Yes, do whenever possible
Cliquez sur le bouton Next pour passer à l'étape suivante

Dans le cas où vous avez activé le mode Defense+, la fenêtre ci-dessous appararaît (sinon ce n'est pas le cas), vous devez choisir le paramétrage.

Choisissez Default Settings
Cliquez sur le bouton Next pour passer à l'étape suivante

Comodo vous demande ensuite si vous utilisez des programmes de P2P (Emule, Bittorent etc..).

Si c'est le cas, répondez Yes, I Do
Si ce n'est PAS le cas, répondez No, i don't (Or i amt not sure)
Cliquez sur le bouton Next pour passer à l'étape suivante

Vous devez ensuite communiquer votre adresse email afin de pouvoir enregistrer la version "gratuite" de COMODO
Saisissez votre adresse email, dans le cas où vous souhaitez avoir des news, vous pouvez cocher la case Sign me pour vous y abonner.
Cliquez sur le bouton Next pour passer à l'étape suivante

L'installation est terminée, vous devez redémarrer l'ordinateur.
Laissez l'option Restart The Computer cochée.
Cliquez sur le bouton Terminer pour terminer l'installation.

Premier démarrage de Comodo Firewall

Au premier démarrage, vous pouvez obtenir la fenêtre ci-dessous.
Comodo Firewall détecte les interfaces réseau présentes sur votre ordinateur.

Dans le cas de votre carte réseau, vous devez, dans le step 2, spécifiez si d'autres ordinateurs doivent avoir accès au PC sur cette interface.
Dans le cas où le PC est en réseau et que les dossiers partagés doivent être accessibles :

cochez la case i would like to be fully accessible to the other PCs in this network
sinon cliquez sur OK.

Une icône bouclier blanc a été ajoutée en bas à droite à côté de l'horloge.
En double-cliquant sur cette icône, l'interface du pare-feu s'ouvre.

L'interface se présente avec quatre icône en haut à droite.

Summary (Sommaire) affiche les informations générales sur le statut du pare-feu
Firewall permet de configurer le pare-feu
Defense+ permet de configurer la partie Defense+ du pare-feu
Miscellaneous permet de configurer les options générales du pare-feu.

La partie Summary vous informe si le pare-feu est bien actif.
Vous pouvez aussi visualiser le nombre de connexions entrantes et sortantes dans la partie Network Defense
A droite, la partie Traffic vous informe des applications qui consomment la bande passante.

Enfin la partie en bas Proactive Defense vous affiche le nombre d'application en cours d'exécution sur le PC.

Comprendre les popups d'alerte

Comodo Firewall utilise par défaut le Train with Safe Mode. Le pare-feu crééra une règle automatique pour les applications sûres, pour les applications non sûres une popup d'alerte vous demande si telle ou telle application doit accéder au réseau (voir à la fin du tutorial pour les différents modes de fonctionnement du parefeu).

En général, lorsqu'une nouvelle application tente de se connecter à internet, une alerte s'ouvre vous demandant si l'on doit ou non laisser cette application se connecter.

Dans le cas d'une application connue que vous avez installée et utilisée, vous pouvez lui donner accès à internet.
Dans le cas d'une application inconnue ou suite à une infection, il convient de bloquer l'accès à internet sur le pare-feu.

Pour plus d'informations sur le fonctionnement des parefeu, voir Article sur le fonctionnement des firewall sous Windows
Voici un exemple de popup que vous pouvez obtenir.
En haut vous obtenez des informations sur le nom de l'application, la connexion distante (adresse IP et protocole)

Vous avez alors en bas de la popup, trois choix :

Allow this request permet de laisser la connexion s'effectuer
Block this request permet de bloquer la connexion
Treat this application as permet de rattacher l'application à une catégorie d'application. Il est alors possible de classer les applications selon leur type (Navigateur WEB, Cleient FTP etc.). Des règles prédéfinies seront appliqués à chacune de ces applications selon leur type. Si vous modifiez la règle selon la catégorie, toutes les applications de cette catégorie seront touchées.

Le bouton Remember my answer va créer une règle permantente sur le pare-feu, plus aucune popup n'apparaitra pour cette application.
Si vous ne cochez pas l'option, l'action ne sera effectuée que pour cette instance d'exécution et non pour chaque exécution de l'application, la popup d'alerte reviendra.

Bien entendu, il faut faire très attention et appliquer la règle suivante : ne jamais donner accès à internet sur le pare-feu à une application dont on ne connaît pas la provenance sinon on obtiendra le résultat ci-dessous : un fichier infectieux qui aura accès à internet sur le pare-feu.

Les options du pare-feu

Le menu de configuration du pare-feu est accessible depuis le bouton Firewall en haut à droite.
Les différents menus seront détaillés ci-dessous.

Common Tasks

View Firewall Events
permet de visualiser le journal du pare-feu.
Vous pouvez visualiser les connexions bloquées et les applications qui ont tenté de les initialiser.

Le bouton More, permet de visualiser les logs du jour, de la semaine ou du mois.

Il est possible de filtrer la liste depuis le menu Filter ou exporter au format HTML les logs depuis le menu File / to Export HTML

Define a New trusted application / Define a New Blocked Application
Permet de classer une application comme sûre (trusted)
ou comme non sûre pour la bloquer (blocked).

Les deux options ouvrent une popup ou vous pouvez choisir via le bouton Select un processus en cours d'exécution ou une application sur votre disque.

Stealth Ports Wizard
Permet de définir la politique du pare-feu pour les ports invisibles via un assistant.

Define a new trusted network : Permet de définir un réseau sûr, les ordinateurs des autres réseaux auront comme retour des ports invisibles. Cela peut être utile pour définir votre réseau local comme sûr.
Alert me to incoming connections : ouvre une alerte à chaque connexion entrante.
Block All incoming connections : Bloque toutes les connexions entrantes.

Cette partie est destinée à un public averti, néanmoins la première option reste la meilleur si vous avez un réseau local.

View Active Connections
Permet de visualiser les connexions établies par application avec la source (adresse/port) et la destination ainsi que le nombre d'octets envoyés et reçus.

My Ports Sets
Permet de définir des groupes de ports qui seront utilisés Network Security Policy (voir plus bas).
Par exemple, dans la capture ci-dessous, nous avons ajouté Emule avec le port 4667

My Network Zones
Permet de définir une interface réseau, une machine du réseau, un groupe de machines.
Une fois définie cette zone peut être bloquée (voir plus bas My Blocked Network Zones), utilisée dans la définition d'accès par application etc..

En général, y seront définis la boucle locale (127.0.0.1) et votre réseau local si vous en possédez un.

Le bouton Edit permet de définir les adresses des machines de la zone.

My Blocked Network Zones
Permet de bloquer une interface réseau ou une machine/groupe de machines.
A partir du bouton Add puis Network Zones, on retrouve les zones définies précédemment.

Advanced

Network Security Policy

Permet de gérer les règles du pare-feu.

L'onglet Application Rules permet de définir l'accès par application.

Les applications avec l'icône sont autorisées à transférer des données.
Les applications avec l'icône sont bloquées
La colonne Treat as vous informe si l'application a été rattachée à un type d'application (browser, client FTP etc..).

En double-cliquant sur le chemin de l'application dans la liste, par exemple C:\Program Files\Internet Explorer\IEXPORE.exe
vous pouvez redéfinir les accès de cette application via la fenêtre ci-dessous.

Vous pouvez alors utiliser des règles prédéfinies via l'option Use a Predefined Policy pour bloquer l'application ou la catégoriser dans un type d'application (Navigateur WEB, client FTP etc..). Internet Explorer étant un navigateur WEB, on pourrait très bien le rattacher au type d'application Browser/Navigateur WEB.

Vous pouvez aussi créer vos propres règles Custom Policy. En utilisant le bouton Add vous pouvez ajouter de nouvelles règles, ou éditer des règles existantes via le bouton Edit.

Notez que vous pouvez ranger les règles dans l'ordre de priorité via les boutons Move Up et Move Down.

La création des règles se présente via la fenêtre ci-dessous.

Vous définissez l'action :

Bloquer : Block
Allouer : Allow
Ask : Ouvre une popup d'alerte.

Protocol : définit le protocole réseau de la règle (TCP, UDP, ICMP etc..).
Direction de la connexion. Out pour une connexion sortante, IN pour une connexion entrante, IN/OUT pour définir une règle dans les deux sens.
Description : permet d'ajouter une description.
Source Adresse : Vous devez définir la source de la connexion : n'importe quelle source, une adresse IP, une classe d'adresse, une zone définie My Network Zones etc..
Destination Address : De même pour la destination.
Source/Destination Port : définit les ports source et de destination de la connexion.

L'onglet Global Rules permet de définir les règles globales (pas par application) sur le pare-feu.

Vous retrouvez les mêmes boutons à droite pour créer/éditer de nouvelles règles.

Predefined Firewall Polices

Permet de gérer les règles prédéfinies sur le pare-feu.
Vous pouvez en ajouter de nouvelles règles à partir du bouton Add ou éditer des règles existantes depuis le bouton Edit..

On retrouve alors la fenêtre d'édition de règles vue ci-dessus.

Le bouton Add permet d'ajouter de nouvelles règles.
Le bouton Edit permet d'éditer des règles existantes.
Le bouton Remove permet de supprimer une règle.
Les boutons Move Up/Move Down permettent de déplacer les règles vers le haut ou vers le bas.

Attack Detection

Permet de régler la sensibilité du pare-feu contre les attaques floods, port scan etc..
En outre l'onglet Miscellaneous permet d'activer certaines autres fonctionnalités.

Cette partie est destinée à un public averti, il est déconseillé de rendre le pare-feu plus sensible.

Firewall Behavior Settings

Permet de définir le niveau général du pare-feu

Block All Mode: le pare-feu bloque tout le trafic entrant et sortant. Le parefeu bloque les connexions depuis n'importe quel réseau.
Custom Policy Mode : Le pare-feu n'applique QUE les règles définies par l'utilisateur. Aucune règle automatique ne sera créée pour n'importe quelle application. Vous recevrez une alerte à chaque tentative de connexion d'une application sauf si celle-ci est dans les applications sûres (Trusted Applications). Ce mode est pour les utilisateurs avertis.
Train with Safe Mode : Le pare-feu va créer des règles automatiques pour les applications certifiées. Pour les applications non certifiées, vous recevrez une alerte afin de définir si l'application doit avoir ou non accès au réseau.
Training Mode : Le pare-feu va créer automatiquement les règles, aucune alerte ne va apparaître. Vous devez activer ce mode seulement si vous êtes sûr que votre ordinateur n'est pas infecté et si vous souhaitez que toutes les applications aient accès au réseau.
Disabled: Le pare-feu est désactivé.

A noter qu'un clic droit sur l'icône de Comodo en bas à droite à côté de l'horloge vous permet de changer de mode à tout moment à partir du menu Firewall Security Level

L'onglet Alert Settings permet de définir le niveau etla fréquence des alertes.

Very High: Le pare-feu montre séparément les connexions entrantes et sortantes pour les protocoles TCP et UDP sur certains ports, adresse IP. Cela augmente le nombre d'alertes, vous pouvez avoir une alerte pour chaque page visitée.
High: Le pare-feu montre séparément les connexions entrantes et sortantes pour les protocoles TCP et UDP sur certains ports.
Medium: Le pare-feu montre les connexions entrantes et sortantes des protocoles TCP et UDP effectués par les applications.
Low: Le pare-feu montre les alertes pour les connexions entrantes et sortantes demandées par les applications.
Very Low: Le pare-feu montre seulement les alertes par applications.