Vote utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

macro

 

 

 

ATTENTION Note aux experts : je ne vais parler ici que des pare-feu basés sur TCP/IP, le protocole d'Internet pour ne pas embrouiller les explications.

 

Un firewall - littéralement "mur de feu" - est un ordinateur (ou un programme) qui filtre ce qui se passe entre un réseau et un autre :

 

01

 

 

 

On s'en sert pour sécuriser les réseaux et les ordinateurs, c'est-à-dire contrôler les accès et bloquer ce qui est interdit.

Souvent, on utilise un firewall pour protéger un réseau local du réseau internet:

 

02

 

Typiquement, il va :

  • autoriser les ordinateurs du réseau local à se connecter à Internet;
  • bloquer les tentatives de connexion provenant d'Internet vers les ordinateurs du réseau local.

 

Firewall logiciel / Firewall matériel

 

On entend parfois parler de firewalls matériels.
Ils sont sous la forme de boîtiers compacts.
En réalité, se sont de simples ordinateurs possédant leur propre système d'exploitation et leur propre logiciel firewall.
Mais ils n'ont rien de différent d'un simple firewall installé sur un ordinateur.

Le seul avantage des firewalls "matériels" est qu'ils sont moins encombrants qu'un ordinateur. Mais ils coûtent généralement cher.

firewallmat_01 firewallmat_02 firewallmat_03

 

Si vous avez un vieux PC qui traîne, on peut très bien le transformer en firewall avec quelques logiciels gratuit !

Par exemple, il existe des disquettes ou CD comme CoyoteLinux ou Smoothwall qui transforment n'importe quel vieux PC (même un simple 386 sans disque dur !) en firewall digne de ce nom.

C'est un moyen de se faire un firewall fiable au meilleur prix.

Voici quelques logiciels qui permettent de transformer n'importe quel PC en firewall gratuitement:

Lien
Lien

 

 

Firewall et couche OSI

 

La plupart des firewalls travaillent au niveau des couches 4 (TCP, UDP...), 3 (IP...) et 2 (Ethernet...).

Ils ne comprennent rien aux protocoles au-dessus (ils sont incapables de filtrer HTTP, SMTP, POP3...).

Voir le cours sur le modèle en couches, le modèle OSI pour en savoir plus.

Certains firewalls sont capables de travailler au niveau de la couche 7 (applicative). Ils sont généralement plus lents, plus lourds et plus complexes à configurer mais permettent de filtrer certains protocoles comme HTTP, SMTP, POP3, FTP,...

Par exemple, c'est utile pour bloquer le téléchargement de virus, interdire certains sites, filtrer les cookies...

 

 

Mais comment ça marche alors un firewall ?

 

Un firewall, c'est une liste ordonnée de la forme:

- (règle 1, action 1)
- (règle 2, action 2)
- (règle 3, action 3)
- etc.

 

Chaque fois qu'un paquet de données arrive, le firewall compare ce paquet à chaque règle (dans l'ordre) jusqu'à en trouver une qui corresponde au paquet. Il exécute alors l'action correspondante à la règle.

Les règles peuvent être: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc.

Les actions peuvent être: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre réseau, modifier les entêtes du paquet...

 

 

Firewall personnel

 

Il y a quelques temps, un nouveau type de firewall est apparu: les firewalls dits "personnels". Ils sont destinés aux particuliers qui n'ont pas les moyens d'acheter un ordinateur séparé uniquement pour faire un firewall.

Au lieu d'être une machine séparée, le firewall personnel est un logiciel qui fonctionne directement sur l'ordinateur à protéger.

03

 

Il a quelques inconvénients:

Si un hacker parvient à s'introduire sur l'ordinateur, il pourra facilement désactiver le firewall. (C'est beaucoup plus difficile quand le firewall est un ordinateur séparé)

Comme il fonctionne en même que les autres logiciels, il ralentit légèrement l'ordinateur.
Mais il a aussi un avantage : le firewall personnel est capable de contrôler quels logiciels vont se connecter sur Internet (ce que ne sait pas faire un firewall séparé).

Parmi les firewalls "personnels", citons : Kerio Personal Firewall, Sygate Personal Firewall, ZoneAlarm, Agnitum Outpost, Look'n Stop,... (La plupart de ces firewalls sont gratuits pour une utilisation non-professionnelle : profitez-en !)

On peut parfaitement imaginer d'avoir les 2 types de firewalls en même temps : un firewall séparé pour protéger le réseau, et un firewall personnel pour protéger chaque ordinateur.

 

 

Comment fermer un port ouvert ?

 

Pour comprendre ce que sont les ports, je vous recommande de lire d'abord le cours sur TCP/IP en cliquant ici)

Un port ne s'ouvre jamais tout seul.
C'est toujours un logiciel précis qui ouvre un port.

Fermer un port, c'est donc fermer le logiciel qui a ouvert ce port.

(Si vous ne pouvez/voulez pas fermer ce logiciel, il vous reste alors à installer un firewall personnel qui bloquera les tentatives de connexion à ce port. Nous verrons cela plus loin.)

Prenons un exemple:

04

 

Comme vous le voyez, sur cet ordinateur il y a 3 logiciels en mémoire:

- Le navigateur utilise 4 ports, connectés à un serveur web externe, pour aller chercher des pages HTML et des images. Ces ports sont ouverts en mode client : ils ne reçoivent pas de connexion, mais sont connectés à l'extérieur pour échanger des données.

- Le traitement de texte n'a aucun besoin d'aller sur internet : il n'a ouvert aucun port.

- Le logiciel de chat a ouvert le port 2074 en mode serveur : il attend des connexions venant de l'extérieur (par exemple quelqu'un sur internet qui voudrait discuter avec vous).

Si quelqu'un sur internet essaie de se connecter sur votre ordinateur :

- sur le port 2068 : Sans effet. La connexion sera rejetée, puisque ce port est déjà utilisé par le navigateur, et il n'est pas ouvert en écoute.

- sur le port 7777 : Sans effet. La connexion sera rejetée, puisque ce port n'est même pas ouvert sur l'ordinateur.

- sur le port 2074 : La connexion est établie. Le logiciel de chat pourra recevoir des commandes, auxquelles il pourra décider de répondre ou non.

Donc pour fermer le port 2074, il suffit de fermer le logiciel de chat.

Dans 99% des cas, le danger sur internet vient des bugs ou de la mauvaise configuration des logiciels qui se mettent en écoute sur un port.

(Ici : le logiciel de chat)

 

ATTENTION Il est donc très important :

  • de ne pas lancer n'importe quel programme sur votre ordinateur;
  • de bien choisir quel logiciel utiliser pour une tâche donnée;
  • de bien configurer ce logiciel;
  • de mettre à jour régulièrement vos logiciels ainsi que votre système d'exploitation;
  • de fermer tous les logiciels dont vous n'avez pas besoin;
  • de vérifier que les logiciels que vous avez choisis ne font pas de choses étranges (par exemple, un traitement de texte n'a théoriquement aucune raison de demander un accès sortant vers Internet).

 

 

Comment savoir quels ports sont ouverts ?

 

Ouvrez une fenêtre MS-Dos (ou un terminal Unix) et tapez la commande : netstat -a


Vous verrez la liste des ports ouverts.

Les ports ouverts en mode serveur (en écoute) sont notés " LISTENING ".

06

 

Et pour savoir quel logiciel a ouvert tel ou tel port :

 

La plupart des firewalls personnels (comme Kerio Personal Firewall) sont également capable d'afficher ces informations (également sous 95/98/ME).

Il vous suffira alors d'arrêter le programme en question (avec le gestionnaire de tâches), de l'empêcher de démarrer au démarrage de Windows (avec un programme comme AutoStart Manager) et éventuellement supprimer le programme en question.

 

 

Comment fonctionne le firewall personnel ?

 

Il va se placer entre les logiciels et le réseau, et intercepter tout ce qui passe, aussi bien en entrée qu'en sortie :

05

 

Ainsi le firewall personnel va intercepter la tentative de connexion au logiciel de chat (port 2074). Si le firewall possède une règle qui interdit cela, la connexion sera rejetée, et le logiciel de chat ne verra même pas la tentative de connexion.

En établissant vos propres règles, vous pourrez décider quels logiciels pourront se connecter sur internet ou recevoir des connexions, et de qui.

Ainsi, même si vous n'arrivez pas à fermer certains ports, vous pourrez établir des règles pour interdire les connexions sur ces ports. Mais il vaut bien mieux fermer les logiciels qui ouvrent ces ports. C'est plus sûr que de bloquer les connexions vers ces ports.
(Il vaut mieux avoir une bassine en bon état plutôt qu'une passoire dont on essaie de boucher tous les trous ;-)

Et pour établir la liste de règles de votre firewall, il y a une règle à suivre: tout est interdit, sauf ce qui est strictement nécessaire.

Donc, ne vous posez plus la question "Quels ports fermer ?"
La réponse est évidente: tous !

La plupart des firewalls personnels ont un mode "apprentissage" où ils vous affichent des messages d'alerte et vous demandent quoi faire. Cela permet d'établir progressivement un ensemble de règles pour vos logiciels courants. (Vous donnez des autorisations à vos logiciels au cas par cas, et le firewall s'en souvient.)

Quelques exemples :

- votre navigateur pourra se connecter où il veut sur les ports 80 (HTTP) et 443 (HTTPS);

- votre logiciel d'email ne doit se connecter que sur le serveur de mail de votre fournisseur d'accès (par exemple: smtp.free.fr sur le port 25 et pop.free.fr sur le port 110). Tout le reste lui est interdit;

- votre antivirus peut se connecter uniquement au site de l'éditeur pour se mettre à jour;

- votre logiciel de FTP peut se connecter où il veut, mais uniquement sur le port 21. Il peut recevoir des connexions sur le port 20;

- votre jeu en réseau à recevoir des connexions sur le port qui lui est dédié, et aller se connecter sur le serveur central de jeu;

- etc.  (Ce ne sont que quelques exemples.)

 

AMPOULE Par la suite, il suffit de désactiver ce mode apprentissage pour ne plus voir les fenêtres d'alerte et travailler en sérénité.

 

 

Un firewall n'est pas une arme absolue !

 

Ne pensez pas que votre ordinateur est protégé à 100% parce que vous avez un firewall fiable et bien configuré.

Certains chevaux de Troie sont capables de désactiver les firewalls personnels, ou même se faire passer pour votre navigateur pour aller sur Internet sans que le firewall ne s'en aperçoive.

Même avec un firewall "matériel", il est possible de tunneller du trafic TCP/IP chiffré dans de simples requêtes HTTP. Pour parler plus simplement, ça permet de percer des trous gigantesques dans le plus blindé des firewalls.

Bref, vous le voyez, la sécurité n'est jamais assurée à 100%.

 

 

Idées reçues

 

sous_puce_bleue Alors, avoir un firewall est inutile ?

Sûrement pas ! Il est absolument indispensable à partir du moment vous allez sur Internet.
C'est un peu comme la ceinture de sécurité: ça n'empêche pas d'avoir des accidents, mais dans la majorité des cas, ça sauve des vies !

 

sous_puce_bleue Internet est un repaire de pirate ?

Non. Internet regorge de personnes sympathiques et pleines de bonne volonté. Je suis sincère, croyez-moi, j'en rencontre tous les jours.
Mais il y a des cons partout. Et Internet n'échappe pas à la règle.
Il est donc nécessaire de se protéger contre cet infime pourcentage de connards et les firewalls les arrêteront dans 99% des cas.

 

sous_puce_bleue Mon firewall personnel dit que je suis attaqué par un cheval de Troie !

Non. Un cheval de Troie n'attaque pas. Un cheval de Troie est un simple serveur. Pour cela, il fait exactement comme un logiciel de chat ou un serveur web: il ouvre un port en écoute (LISTENING) et il attend des commandes venant de l'extérieur.

L'alerte que vous avez vue, c'est votre firewall qui vous prévient que quelqu'un sur Internet essaie de se connecter sur votre ordinateur sur un port qui est habituellement utilisé par un cheval de Troie bien précis.
C'est sans danger si le cheval de Troie n'est pas présent sur votre ordinateur. Pour vous en assurer, installez un antivirus et un détecteur de cheval de Troie

 

 

 

passez_le_test

 

 

 

greg

 

 

1000 caractères restants