Différents type de filtrage firewall

[racozoreMembre inscrit sur BFN]

Salut
1-Je voulais savoir quel type de filtrage est réalisé par les box en général?
quelle différence entre les 2 types de filtrage de paquets (stateless et stateful) ?et quelle différence avec le filtrage appllicatif?

2-Concernant les différents type de firewall : je cherchais des informations sur le firewall "bridge"? D 'apres ce que j'ai compris il est totalement transparent et ne possède pas d 'ip mais comment achemine t il les données vers tel ou tel ordinateur ?

4-Quand on parle de firewall matériel , on fait allusion aux box Des FAI par exemple mais quelle grande différence avec un firewall logiciel

Merci

[tounet]

Salut.
Vu le nombre impressionnant de réponses à ton post , il semblerait que tu en "colles" plus d'un , y compris moi.
Peut être une réaction à ma réponse ?

[peper-eliot]

Salut
4-Quand on parle de firewall matériel , on fait allusion aux box Des FAI par exemple mais quelle grande différence avec un firewall logiciel

Merci

Alors là, t'en auras pour un moment

Les Firewalls
-------------

Dernière mise à jour : 21 Août 2001
Auteur : Stéphane Catteau
Sommaire
--------
1 - Introduction
1.1 - Objet de cette FAQ
1.2 - Utilisation de cette FAQ
1.3 - Décharge

2 - Qu'est-ce qu'un firewall ?
2.1 - Cela sert à quoi ?
2.2 - Comment ça marche ?
2.3 - Quelle est la différence entre un firewall logiciel et
firewall matériel ?

3 - Quels sont les risques à ne pas utiliser de firewall ?
3.1 - Je suis connecté en RTC ou en Numéris ( Ligne téléphonique
"classique" )
3.2 - J'ai le cable, ou je suis en ADSL
3.3 - J'ai une Ligne Spécialisée
3.4 - J'ai une adresse IP fixe
3.5 - J'ai un routeur
3.6 - Je n'ai rien d'important sur mon ordinateur moi !
3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s)

4 - Comment le configurer ?
4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur
Internet
4.2 - Mon firewall me parle de services, adresses, etc.
4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ?
4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il
fonctionne ?

5 - Au secours, mon firewall, mes logs, disent ...
5.1 - Mon lecteur de courrier/news essaie de se connecter sur un
autre port que celui qui est normalement le sien.
5.2 - Mon navigateur Internet essaie de se connecter sur un autre
port que celui qui est normalement le sien.
5.3 - Mes programmes n'arrêtent pas de se connecter via le port 53.

6 - Questions d'ordre général
6.1 - Avoir deux firewalls est-il un plus ?
6.2 - Je suis convaincu, j'installe un firewall dès demain. Ai-je
encore besoin d'un Anti-Virus ?
6.3 - "NetBios", j'en entends souvent parler, mais qu'est-ce ?
6.4 - Un firewall ralentit-il la connexion ?

7 - Mini lexique
7.1 - Adresse IP
7.2 - DMZ
7.3 - Fournisseur d'Accès à Internet ( FAI )
7.4 - Protocole ICMP
7.5 - Port
7.6 - Service / Serveur
7.7 - Spyware / Espiogiciel
7.8 - Trojan / Troyen
7.9 - Protocole TCP
7.10 - Protocole UDP

8 - Annexes
8.1 - Liste des principaux ports
8.2 - Une configuration standard
8.3 - Webographie
8.4 - Bibliographie
8.5 - Remerciements
8.6 - Conclusion

9 - Conclusion

-+-+-+-+-+-+-+-
1 - Introduction
----------------

1.1 - Objet de cette FAQ.

Ce document a pour but de vous apprendre, dans les grandes lignes,
ce qu'est un firewall, pourquoi il est indispensable, et quelle est
la démarche à suivre pour le configurer correctement. Autrement dit,
il répond aux questions les plus fréquentes concernant les firewalls.
Pour autant, il ne vous dispense ni de la lecture du manuel de votre
firewall, ni d'un minimum de recherche de votre part pour savoir ce
qu'est un réseau TCP/IP et comment il fonctionne. Pour cela,
reportez-vous à la bibliographie / Webographie située à la fin de ce
document.
1.2 - Réutilisation de cette FAQ

Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans
la mesure où vous incluez un lien permettant d'avoir accès à
l'ensemble du document. Ceci dans le but de permettre à vos lecteurs
d'obtenir facilement un complément d'information.
De même, vous êtes libre de copier la FAQ dans son intégralité, à
condition cependant d'en avertir l'auteur, et que cette utilisation
soit exempte de tout caractère commercial (bannières publicitaires
incluses). Cette restriction étant principalement dû au plus
élémentaire des respects : celui du temps que j'ai consacré à la
rédaction de cette FAQ.
Toute autre utilisation devra faire l'objet d'un accord préalable
avec l'auteur.

1.3 - Décharge

La sécurité informatique est un domaine en perpétuelle évolution,
ce qui est vrai un jour peut devenir un mensonge éhonté dès le
lendemain. Par conséquent, ce document est à prendre comme un recueil
de conseils, et non une bible. La responsabilité de l'auteur ne pourra
donc être retenue dans le cas ou vous seriez victime d'une attaque
informatique malgré la mise en pratique des théories exposées
ci-dessous.


2 - Qu'est-ce qu'un firewall ?
------------------------------

Un firewall, aussi appelé pare-feux ou garde-barrières, est un
programme, ou un matériel, chargé de vous protéger du monde extérieur
et de certains programmes malveillants placés à votre insu sur votre
ordinateur.
Placé entre vous et Internet, le firewall contrôle tout ce qui
passe, et surtout tout ce qui ne doit pas passer de l'un vers l'autre.

2.1 - Cela sert à quoi ?

Le monde n'est pas rose, et Internet est à son image. Chaque jour,
des centaines, voire des milliers, de personnes essaient, pour des
raisons diverses, de s'introduire dans les ordinateurs des autres.

Dans la grande majorité des cas, ils ne s'agit que d'adolescents
boutonneux qui veulent se prouver qu'ils sont les plus forts.
Internet est leur Rock'n'Roll à eux, un moyen de marquer sa révolte
face à la génération qui les a précédé. Dans les faits, ils se
contentent le plus souvent d'utiliser des programmes/scripts tout
prêts, ce qui leur vaut le surnom de "scripts kiddies".
Heureusement, ceci n'est pas une fatalité, et l'utilisation d'un
firewall, même simpliste, y mettra un terme dans la plupart des
cas.

Les cas restants sont le fait de pirates professionnels, si tant
est que l'on puisse les appeler ainsi. Avec eux, seule une
politique de sécurité de grande qualité constitue une protection.
Cependant, ils n'ont pas de temps à perdre, et ne s'attaquent donc
qu'aux cibles qui en valent la peine. Donc, à moins de disposer de
données confidentielles de haute importance sur votre ordinateur,
vous ne risquez pas grand chose. Néanmoins, si vous avez une
connexion illimitée, et de préférence à haut débit, munie d'une
adresse IP fixe, ou faiblement tournante, vous constituez pour eux
une cible potentiellement utile.

Au passage, si vous disposez de données confidentielles sur votre
ordinateur, je vous conseillerais surtout de remplacer la lecture
de cette FAQ par celle des petites annonces, à la rubrique
"conseiller en sécurité informatique".

2.2 - Comment ça marche ?

Décrire le fonctionnement précis d'un firewall à quelqu'un qui n'a
aucune connaissance du fonctionnement d'un réseau est une utopie.
Cependant, il est parfaitement possible de le faire dans les
grandes lignes.

Lorsque vous êtes connecté à Internet, votre ordinateur fait deux
choses bien distinctes. D'une part, il envoie des données en
direction du vaste monde, pour demander à consulter une page Web
par exemple. D'autre part, il reçoit des données en provenance du
vaste monde, par exemple la page Web que vous avez demandé.

Les firewalls les plus simples se contenteront d'autoriser ou
d'interdire l'accès au vaste monde à un programme. Cela veut dire
que seuls ceux que vous aurez spécifiquement autorisés auront le
droit d'envoyer et/ou de recevoir des données.

Les firewalls plus évolués rajouteront un contrôle au niveau du
port, c'est-à-dire une autorisation ou une interdiction liée à un
type particulier de données. Ainsi, votre navigateur Internet aura
le droit d'accéder au Web, mais pourra ne pas être autorisé à faire
du FTP, même si cette fonction est partiellement présente pour le
téléchargement de fichier.

Pour finir, les firewalls les plus évolués traiteront toutes les
données au cas par cas.

2.3 - Quelle est la différence entre un firewall logiciel et firewall
matériel ?

C'est simple, il n'y a pas de différence, ou si peu.

D'un côté, vous avez votre ordinateur, sur lequel tourne un
firewall logiciel. De l'autre, vous avez une boîte, plus ou moins
grosse, à qui l'on donne le doux nom de "firewall matériel" et qui,
de part son prix, n'est absolument pas destiné aux particuliers.
Seulement, dans cette boîte se cache rien de moins qu'un
ordinateur, généralement réduit à sa plus simple expression et
conçu spécifiquement pour cela. Et sur cet ordinateur, on trouve un
firewall logiciel.

Dans la pratique, le firewall materiel étant supposé s'exécuter
sur un systeme d'exploitation réputé pour sa sécurité, et disposer
d'un firewall parfaitement configuré, il est donc potentiellement
plus efficace. En contre partie, il offre généralement moins de
souplesse, ce qui complique les choses dès qu'il s'agit de lui
faire prendre en compte un cas particulier propre à votre société.
Par conséquent, sauf à disposer d'une architecture réseau des plus
basiques, un responsable informatique compétent en matière de
sécurité reste préférable. D'autant plus qu'il saura tirer parti
d'un système d'exploitation libre, OpenBSD par exemple, et d'un
ordinateur inutilisé, pour vous installer, à moindre frais, un
firewall efficace et parfaitement adapté à vos besoins.

Enfin, si vous ne disposez ni d'un responsable informatique, ni
des moyens financiers suffisants pour vous équiper d'un firewall
matériel, il vous reste quand même une solution. Celle-ci consiste
à former l'un de vos employés à la sécurité informatique. Mais,
attention, on ne s'improvise pas administrateur réseau et, à moins
d'une vocation naissante, cette solution ne peu qu'être
transitoire, et précédée d'une étude complète du sujet.
A noter aussi que l'utilisation d'un firewall materiel ne
dispense en aucune façon d'une formation préalable.


3 - Quels sont les risques à ne pas utiliser de firewall ?
----------------------------------------------------------

Tout dépend du type de connexion qui vous relie à Internet et de vos
habitudes. En effet, les risques ne sont pas les mêmes selon que vous
disposiez d'un modem poussif et dépassé, relié par une banale ligne
de téléphone, ou d'une ligne à haut débit avec un ordinateur connecté
en permanence.

Bien sûr, si vous y tenez, vous pouvez très bien vivre sans
firewall.
Tout ira bien jusqu'au jour où quelqu'un aura profité d'une faille
de votre ordinateur (ils en ont tous ou presque, alors ne vous croyez
pas à l'abri) pour placer un petit programme de 50 Ko à peine. Une
petite manipulation supplémentaire, et ce programme s'exécutera
automatiquement à chaque démarrage de votre ordinateur. A partir de
maintenant, et pour chaque fichier que vous enregistrerez, un octet
sur vingt (voir un sur cent, la différence étant minime) sera
aléatoirement modifié par le programme.
La question est donc, combien de temps vous faudra-t-il pour vous en
rendre compte, et quel pourcentage de données seront irrémédiablement
perdues car déjà corrompues lors du dernier Backup ?

Et puis, rien ne peut vous assurer que le pirate n'en aura pas
profité pour consulter cette lettre, si importante que vous avez tenu
à l'écrire en utilisant Word, dans laquelle vous expliquiez à votre
banquier que votre compte N°xxxxx était certes à découvert de xxxx
Francs, mais que cela était dû à l'achat de votre nouvelle maison,
située à l'adresse xxxxx, et que votre banquier serait bien aimable
de vous autoriser à dépenser encore xxxx Francs pour vous permettre
de changer la porte qui ne ferme toujours pas, et d'installer une
alarme pour protéger votre collection de pierres précieuses d'une
valeur inestimable.


3.1 - Je suis connecté en RTC ou en Numéris ( Ligne téléphonique
"classique" )

Si, comme la plupart des gens, vous vous connectez à Internet via
votre ligne téléphonique, alors vous êtes soit en RTC, soit en
numéris. Dans ce cas, le risque n'est pas bien grand, à moins que
vous ne passiez beaucoup de temps sur internet.

Cependant, ce n'est pas une raison suffisante pour ne pas utiliser
de firewall. En effet, les scripts kiddies se moquent bien du
facteur temps. La seule chose qui les intéressent étant de rentrer
sur votre ordinateur.
D'ailleurs, rien ne vous assure que demain ne sera pas le jour où,
oubliant toute prudence, vous allez rester connecté plus d'une
demi-heure d'affilée, captivé que vous serez par ce site si
intéressant que vous venez de trouver.
Et comme le risque augmente avec le temps...

3.2 - J'ai le cable, ou je suis en ADSL

Dans ce cas, inutile de se poser des questions, le firewall est de
rigueur. En effet, le cable, et plus encore l'ADSL, vous permettent
de rester connecté des heures entières, et cela, les pirates de
tout poil le savent très bien.
Par conséquent, vous attirerez les scripts kiddies aussi sûrement
que le miel attire les abeilles. Imaginez l'aubaine que vous
représentez pour eux. Ils vont avoir des heures entières pour
essayer tous les programmes qu'ils ont trouvés, les comparer entre
eux, et surtout s'entraîner à les utiliser.

Seulement, ce n'est pas le seul risque que vous encourrez. Pour
les pirates professionnels aussi, vous représentez une cible
intéressante.
Pour eux, vous n'êtes qu'une étape sur la voie du succès, une
sorte de point d'appui qui, pour commencer, fera le travail à leur
place. Par exemple, il suffit de placer un programme sur votre
ordinateur, et vous testerez à votre insu, les failles de leur
cible véritable. Un autre programme, et vous voilà transformés en
relais. C'est votre adresse IP, ce nombre magique et unique qui
permet de savoir que c'est vous qui "parlez" et personne d'autre,
qui sera visible depuis la cible. Le pirate sera donc à l'abri,
pendant que vous subirez les assauts du service juridique de la
société qui a été attaquée.

Vous l'aurez compris, non seulement un firewall est une nécessité
pour vous, mais en plus, il vaut mieux qu'il soit performant et
bien configuré. Et si vous pensez ne pas être capable de le
configurer comme il faut, choisissez un firewall disposant d'une
bonne ergonomie, quitte à perdre un peu en efficacité.

3.3 - J'ai une Ligne Spécialisée

Dans ce cas, il est surprennant que vous n'ayez pas, de vous même,
installé de firewall. En effet, vous disposez d'une ligne à très
haut débit et IP fixe, et surtout, vous êtes connectés en
permanence ou presque. De plus, vous utilisez assûrement cette
connexion pour faire tellement de choses, que vous ne verrez même
pas l'augmentation de charge, de vos ordinateurs autant que celle
de votre connexion.
A titre d'exemple, c'est en piratant les ordinateurs d'une société
disposant d'une ligne spécialisée, que des petits malins ont
innondés certains forums Usenet de messages usurpants différentes
identitées et de spams. Entre autres conséquences, la société,
pourtant victime en premier lieu, n'ayant pas remplie sa part du
contrat (qui stipulait que le client était responsable de sa
sécurité et de tout ce qui passait par ses ordinateurs) a vue son
compte fermée par son FAI.

3.4 - J'ai une adresse IP fixe

L'adresse IP étant ce qui vous identifie sur Internet, avoir une
IP fixe signifie que vous serez toujours au même endroit.
D'ailleurs, c'est probablement quelque chose que vous appréciez,
car tout le monde sait où vous trouvez sur le réseau. Et,
évidement, tout le monde ne désigne pas que vos amis, mais aussi
les pirates de tout poil...

3.5 - J'ai un routeur

Ne vous croyez surtout pas à l'abri. Un routeur se contente de
router, c'est-à-dire diriger les données là où elles doivent aller.
Certes, certains routeurs offrent des options de filtrage et
permettent, de part leur nature, de limiter les ports accessibles.
Pour autant, ils ne vous protègeront pas aussi efficacement qu'un
firewall, laissant par exemple passer le nouveau trojan à la mode,
simplement parce qu'il s'est placé au bon endroit.

3.6 - Je n'ai rien d'important sur mon ordinateur moi !

Moi non plus, et pourtant, cela ne m'empêche pas d'être victime de
plusieurs tentatives d'intrusion par jour.

Ce qu'il faut bien comprendre, c'est que le script kiddie, non
seulement ne sait pas que vous n'avez rien sur votre ordinateur,
mais en plus il s'en contre-fiche. La seule chose qui l'intéresse
est de rentrer chez vous. Et s'il est dans un bon jour, pour lui,
rien ne peut vous garantir qu'il n'en profitera pas pour supprimer,
ou modifier, quelques fichiers. Pire, pourquoi n'utiliserait-il pas
votre connexion pour envoyer un nombre important de spams, dont
vous serez alors, aux yeux de tous et surtout de votre FAI, le seul
et unique auteur, avec les conséquences que cela implique (notament
la fermeture de votre compte par votre FAI).


3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s)

Donc, vous permettez à quelqu'un de connaitre votre adresse IP
(indispensable au logiciel de chat et au serveur IRC). En plus de
cela, vous lui permettez d'en savoir plus sur vous, notament le
prénom de votre femme, de vos enfants, et toutes ces petites choses
que les gens utilisent le plus souvent comme mot de passe. Ne vous
étonnez donc pas s'il relance souvent la conversation, ce n'est que
pour s'assurer que vous restez connecté, le temps qu'il finisse de
regarder vos fichiers.
Evidement, ceci n'est pas systématique. Pour autant, ma plus
grande victoire en matière de sécurité survint le jour où ma femme
m'a dit "Tiens, j'ai rencontré quelqu'un sur le chat de xxxxx, et
il m'a proposé de me passer un petit jeu amusant pour Sylvain. Je
crois que j'ai bien fait de refuser, puisqu'il est parti tout de
suite après."

4 - Comment le configurer ?
---------------------------

Avant toute chose, il faut que vous gardiez bien en mémoire le fait
que, quoi que vous fassiez, le meilleur firewall c'est vous.

Par conséquent, ne vous considérez jamais à l'abri, et lorsque votre
firewall vous demande la marche à suivre, réfléchissez bien avant
d'agir. La meilleure sécurité étant obtenue lorsque rien ne passe de
votre ordinateur vers le réseau (et inversement), commencez par
interdire la connexion. Ensuite, si tout s'arrête, il ne vous reste
qu'à recommencer, mais en autorisant la connexion cette fois. Au
pire, vous aurez perdu quelques secondes, peut-être une minute grand
maximum. Au mieux, vous vous serez évité de gros ennuis.
D'ailleurs, à moins de savoir exactement ce que vous faites,
préférez toujours une autorisation temporaire, quitte à la
transformer en autorisation définitive lorsque vous en aurez appris
plus à son propos. C'est certes une contrainte supplémentaire, mais
c'est aussi une sécurité supplémentaire.

Enfin, comme il n'existe aucune solution miracle pour bien
configurer un firewall, il faut commencer par se renseigner sur les
faiblesses de son système d'exploitation. De cette façon, vous
connaitrez les ports/services à ne pas ouvrir à la légère, et cela
vous sera fort utile par la suite.

4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur
Internet

Bien qu'il s'agisse des firewalls les plus simplistes, ils sont
suffisants pour les personnes ne restant pas connectées très
longtemps, et ne disposant pas d'une IP fixe. D'autant plus que
leur simplicité de fonctionnement ne veut pas dire qu'ils ne
remplissent pas leur rôle.

Ces firewalls sont les plus simples à configurer. A chaque fois
qu'un programme qu'ils ne connaissent pas essaie de se connecter,
le firewall vous demandera si vous autorisez la connexion, ou non.
Ce sera donc à vous de voir s'il s'agit du programme que vous êtes
en train d'utiliser, ou d'un autre programme.


4.2 - Mon firewall me parle de services, adresses, etc.

Ces firewalls ne sont pas aussi difficiles à configurer qu'il n'y
paraît à première vue.
Tout d'abord, vous devez connaître la liste des ports
correspondant aux principaux services dont vous aurez besoin (voir
annexe). Ensuite, prévoyez dès maintenant les programmes que vous
utiliserez pour ces services. Par exemple Internet Explorer pour
surfer (port 80 et 443). Lorsque vous avez tout ceci sous la main,
vous pourrez commencer à saisir vos propres règles :

- Avant toute chose, vous allez interdire toute connexion,
quelque soit le programme, le port (entre 1 et 65535), et le
sens. Ainsi, vous serez assuré de ne pas avoir laissé une porte
ouverte par erreur.
- Ensuite, vous allez ouvrir les ports au fur et à mesure, en
partant du service ayant le numéro de port le plus petit (en
général le FTP, port 20 et 21). De cette façon, vous serez sûr
de ne pas en avoir oublié. Pour chaque ports vous allez indiquer
le programme que vous souhaitez utiliser, le numéro du port
correspondant, le sens (sortie/Outbound), et dire au firewall
d'autoriser la connexion. Si vous changez de logiciel, ou
décidez d'en utiliser plusieurs suivant le cas, modifiez la
règle en conséquence, ou rajoutez en une.

Lorsque vous aurez passé toute votre liste en revue, il ne vous
restera plus qu'à activer le mode "apprentissage" de votre
firewall, s'il existe, et vous pourrez surfer l'esprit plus
tranquille.

Attention, cependant, certains firewalls, surtout sur Windows,
s'arrêtent à la première règle correspondant à la connexion qui
essaie de se faire. Par conséquent, la règle destinée à fermer tous
les ports ne devra pas se trouver au début, mais à la fin. En tout
état de cause, la documentation de votre firewall saura vous dire
s'il doit ou non en être ainsi.

4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ?

Parce que ces programmes, en plus d'être de véritables trous de
sécurité pour certains, ne se contentent pas d'utiliser un seul
port. Par conséquent, à un moment où un autre, ils se heurtent à
votre firewall.

Néanmoins, la situation n'est pas desespérée, et des solutions
existent. Commencez par relire la documentation de votre firewall,
pour voir s'il est possible de lui adjoindre des modules propres à
tel ou tel programme. Si c'est le cas, il ne vous reste plus qu'à
partir sur le web à la recherche de du module adapté à vos désirs.

Dans le cas contraire, il va falloir vous résigner à ne plus
utiliser le programme, ou à voir votre firewall vous demandez votre
avis plus souvent qu'à l'habitude. Pour cela, commencez par étudier
le programme que vous souhaitez utiliser.
S'il n'utilise qu'un certain nombre de ports bien précis, modifiez
la règle d'interdiction totale pour qu'elle ne bloque pas ces
ports. De même si le programme permet de préciser l'intervale des
ports qu'il est autorisé à utiliser. Par la suite, vous n'aurez
qu'à agir au cas par cas à chaque demande de votre firewall. C'est
plus contraignant, et demande une plus grande vigilance de votre
part, mais c'est le seul moyen à votre disposition.

4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il
fonctionne ?

Il suffit de procéder comme pour les autres programmes, sauf que
la règle que vous devrez ouvrir le port en entrée/inbound.

Attention cependant, ces programmes sont autant de failles
potentielles dans votre sécurité, et votre firewall n'y peut rien.
Par conséquent la règle que vous ajouterez à votre firewall devra
être la plus contraignante possible (limitée à l'adresse du serveur
de votre FAI pour le cas d'un serveur de news par exemple).
Pour autant, je vous conseille fortement d'ajouter à cela un
suivit régulier du site de l'éditeur du serveur, et des principaux
sites parlant de sécurité, de manière à procéder le plus rapidement
possible aux corrections à même de combler une faille nouvellement
découverte.

5 - Au secours, mon firewall, mes logs, disent ...
---------------------------------------------------

Votre firewall est bavard, et passe son temps à vous dire que
quelqu'un a essayé de se connecter sur votre ordinateur ?

S'il ne garde une trace que des connexions interdites, il est
inutile de vous inquiéter, c'est la preuve qu'il fait bien ce que
vous lui avez demandé. Pour autant, vous gagneriez probablement à
affiner un peu ses règles de filtrage, pour qu'il ne vous avertisse
plus des connexions "parasites".
Par contre, s'il garde une trace de l'ensemble des connexions, vous
n'y couperez pas, et devrez commencer par apprendre comment
fonctionne le réseau, de façon à bien comprendre ce que raconte votre
firewall.

Quoi qu'il en soit, si votre firewall vous indique qu'un programme a
essayé de sortir de votre ordinateur, il est temps de faire appel à
un anti-virus et/ou un anti-spyware et/ou anti-troyen. Cependant, ne
vous alarmez pas trop vite pour autant, certains cas étant
parfaitement normaux.

5.1 - Mon lecteur de courrier/news essaie de se connecter sur un
autre port que celui qui est normalement le sien.

Avant de l'accuser d'être un spyware, ou de rechercher partout un
trojan/troyen, demandez-vous si cela n'est pas normal.
Qu'étiez-vous en train de faire ? Vous regardiez un message en
HTML ? Il est probable que ce soit lui le responsable. Tous les
éléments composant la page HTML n'ont peut-être pas été inclus dans
le message, et votre programme s'est donc connecté au web pour les
trouver.

5.2 - Mon navigateur Internet essaie de se connecter sur un autre
port que celui qui est normalement le sien.

Ne paniquez pas trop vite. Vouliez-vous aller sur un site
sécurisé ? Si oui, c'est probablement pour cette raison que vous ne
reconnaissez pas le port indiqué par votre firewall. Commencez par
bloquer la connexion, et si votre navigateur signale une erreur,
recommencez, en autorisant la connexion cette fois.

Le cas ce présente aussi lorsque la page que vous êtes en train de
regarder contient des vidéos, ou d'autres éléments à la mode. Là
encore, commencez par bloquer la connexion, et si la page semble
incomplète, recommencez.


5.3 - Mes programmes n'arrêtent pas de se connecter via le port 53.

Il n'y a rien, ou presque, de plus normal que cela. Ce port étant
utilisé pour les requêtes DNS, dès qu'un programme doit faire le
lien entre une adresse web (http://zzz.tld) et une adresse IP
(123.123.123.123), il contacte le DNS de votre FAI.
De plus, certains DNS sont configurés "avec les pieds", et
envoient de nombreuses connexions parasites qui n'ont d'autres
conséquences que de surcharger votre connexion.

6 - Questions d'ordre général
-----------------------------

6.1 - Avoir deux firewalls est-il un plus ?

Au contraire. Tout d'abord, vous ne savez pas comment ils vont
interférer entre eux, créant peut-être une brèche dans votre
sécurité. Ensuite, et surtout, vous aurez tendance à vous reposer
sur eux, et à manquer de vigilance. Or, le meilleur firewall est
placé entre la chaise et le clavier, c'est-à-dire vous.

Cependant, cela n'est vrai que dans la mesure où ils sont tous
deux placés sur le même ordinateur. Dans le cas d'un réseau
d'entreprise, ou d'association/club/autre, il peut être utile
d'utiliser deux firewalls, de part et d'autre de la DMZ. Mais cela
dépasse le cadre de cette FAQ.

6.2 - Je suis convaincu, j'installe un firewall dès demain. Ai-je
encore besoin d'un Anti-Virus ?

Oui, évidemment. Même s'ils sont parfois complémentaires, l'Anti-
Virus éliminant les trojans/Troyens avant même que votre firewall
n'ait à les bloquer, ils ne font pas le même travail pour autant.

6.3 - "NetBios", j'en entends souvent parler, mais qu'est-ce ?

NetBios est le nom de l'interface développée par Microsoft pour le
partage de fichier et d'imprimante. Donc, si vous n'utilisez pas
Windows, vous ne craignez rien de ce côté là. Attention toutefois,
/samba/ offrant aux systèmes d'exploitation Unix une interface
avec le monde Windows, il dispose des mêmes failles.

Dans le cas contraire, sachez qu'il s'agit d'une faille de
sécurité au coeur même de votre système. Par l'intermédiaire de
NetBios, n'importe qui peut s'introduire dans votre ordinateur, et
utiliser votre/vos disques durs, comme s'il s'agissait des siens.
Il faut donc impérativement bloquer les ports 137, 138 et 139 en
UDP et TCP, et dans les deux sens (entrée et sortie).
Attention, Windows ayant ceci de particulier que l'on ne sait pas
toujours ce qu'il fait, ne pensez pas qu'il suffise de désactiver
NetBios pour être à l'abri. En effet, Windows pourrait bien décider
qu'il en a besoin, et le réactiver sans que vous ne vous en rendiez
compte.

6.4 - Un firewall ralentit-il la connexion ?

Oui, et non. Un firewall contrôlant tout ce qui entre et sort de
votre ordinateur, il ralentira forcément la connexion.
Maintenant, tout dépend de votre ordinateur (plus il est puissant
mieux c'est), et de ce que fait votre firewall. Pour autant, il est
rare que ce ralentissement ait des conséquences visibles, mais si
tel était le cas, le mieux reste encore de changer de firewall.

7 - Mini lexique
----------------

7.1 - Adresse IP

L'adresse IP est un numéro, unique, qui permet de savoir où se
situe, et donc comment joindre, votre ordinateur. C'est grâce à
elle qu'un site web, par exemple, sait où il doit envoyer les pages
qu'il contient.
Dans la majorité des cas, l'adresse vous est attribuée par votre
FAI.

7.2 - DMZ

Ce terme un peu barbare désigne la partie d'un réseau
volontairement isolé du reste, et qui contient les différents
serveurs nécessaires au réseau. Sa présence permet d'accroitre le
niveau de sécurité car elle constitue une zone tampon qu'il faudra
traverser avant de pénétrer réellement dans le réseau.

7.3 - Fournisseur d'Accès à Internet ( FAI )

Il s'agit du prestataire de service par l'intermédiaire duquel
vous accédez à Internet.


7.4 - Protocole ICMP

Derrière cet acronyme, signifiant "Internet Control Message
Protocol" (Protocole Internet de messages de contrôle), se cache un
protocole destiné à gérer les informations relatives aux erreurs
pouvant survenir sur le réseau.

7.5 - Port

Il s'agit d'un numéro désignant un service particulier. C'est par
son intermédaire que les logiciels savent de quels types de données
il s'agit.

7.6 - Service / Serveur

Il s'agit d'un programme permettant de proposer des données (du
contenu) sur le réseau. Un serveur Web, par exemple, est un
service, au même titre qu'un serveur FTP.

7.7 - Spyware / Espiogiciel

Il s'agit de programme, généralement freeware, qui en plus de leur
fonction de base (aide au téléchargement par exemple), font de
l'espionnage commercial à votre insu. Par exemple, ils récupèrent
la liste des programmes présents sur votre ordinateur, et
l'envoient à une adresse donnée, ce qui permet de savoir
l'utilisation que vous faites de votre ordinateur.

7.8 - Trojan / Troyen

Un trojan/troyen est un programme ouvrant, à votre insu et pour
vous nuire, un service particulier sur votre ordinateur. C'est
grâce à ces programmes qu'un pirate peut accéder plus facilement à
votre ordinateur.

7.9 - Protocole TCP

Cet acronyme de Transmission Control Protocol (Protocole de
Contrôle de Transmission), se cache le protocole le plus utilisé
pour les échanges de données sur Internet. Et comme Internet est
une suite continue d'échanges de données...

7.10 - Protocole UDP

A l'inverse du protocole TCP, le protocole UDP (User Datagram
Protocol) n'est utilisé que ponctuellement sur Internet. Ceci tient
notament au fait qu'il n'y a aucun contrôle, et donc aucune
assurance que les données soient bien parvenues à destination.


8 - Annexes
-----------

8.1 - Liste des principaux ports

Port 20 Ce port est utilisé lors des connexions FTP dynamiques.

Port 21 Ce port est utilisé pour les connexions FTP
(téléchargement de logiciels).

Port 25 Ce port est utilisé pour les connexions SMTP (envoie de
votre courrier vers le serveur de votre FAI).

Port 53 Ce port est utilisé pour les requêtes DNS. Celles ci
permettent, entre autre, de trouver l'adresse
correspondant au site que vous cherchez à atteindre.

Port 80 Ce port est utilisé pour les connexions HTTP, autrement
dit à chaque fois que vous surfez.

Port 110 Ce port est utilisé pour les connexions POP3
(téléchargement de votre courrier depuis le serveur de
votre FAI).

Port 119 Ce port est utilisé pour les connexions NNTP.
C'est-à-dire la lecture des forums Usenet.

Port 443 Ce port est utilisé pour les connexions HTTPS, à savoir
les connexions vers des sites web "sécurisés".

8.2 - Une configuration standard

- Fermez tous les ports, en entrée comme en sortie, et en TCP comme
en UDP ;
- Interdisez tous les paquets ICMP à entrer ou sortir de votre
ordinateur ;
- Autorisez les paquets ICMP "Echo Request" à sortir de votre
ordinateur ;
- Autorisez les paquets ICMP "Echo Reply", "Destination
Unreachable" et "Time Exceeded for a Datagram" à rentrer ;
- Ouvrez le port 53 dans les deux sens ;
- Autorisez votre navigateur Internet à sortir vers les ports 80
et 443 ;
- Autorisez votre lecteur de courrier à sortir vers les port 25
et 110 ;
- Autorisez votre lecteur de news à sortir vers le port 119 ;
- Autorisez votre lecteur de news à sortir vers le port 25 ;
- Autorisez votre logiciel de FTP à sortir vers le port 21 ;
- Autorisez votre logiciel de FTP à recevoir des données en
provenance du port 20 ;

A noter que selon votre firewall, les deux premières règles (celle
interdisant toute connexion en TCP et UDP, et celle bloquant tous
les paquets ICMP) peuvent être à placer après toutes les autres
règles.

8.3 - Webographie

- "Comment Ca Marche" section Internet :




- La FAQ non officielle et politiquement incorrecte de
fr.comp.securite :




- Ressources en Francais sur le thème de la sécurité informatique :



- La section sécurité informatique et réseau du Comité Réseau des
Universités :



- Le site du CERT (en anglais) :



- Liste officiels des ports privilégiés ( numéros inférieurs à
1024 ) et enregistrés ( numéros supérieurs à 1023 ) (en
anglais) :




- liste des ports utilisés par des trojans/troyens connus (en
anglais) :



8.4 - Bibliographie

a) Lecteurs profanes :

- "Firewall et securite Internet"
De Steve Bellovin et Bill cheswick
Aux éditions Addison Wesley


b) Lecteurs confirmés :

- "Firewalls: la securite sur Internet"
De D. Brent Chapman et Elizabeth D. Zwicky
Aux éditions O'Reilly

8.5 - Remerciements

Merci à ceux sans qui cette FAQ n'aurait pas vu le jour. A
commencer par Brina qui m'a convaincu de la rédiger, et par ma
femme qui m'a aidé à en faire un document compréhensible par le
plus grand nombre, tant dans sa forme (orthographe surtout) que
dans son contenu.
Merci aussi à tous ceux qui ont participé à cette FAQ : Cyril
Guibourg, David Delon, Pascal Cabaud, Patrice Labracherie, Serge
Lefranc, Stephane T., Thierry, etc.

9 - Conclusion
--------------
J'ai fait de mon mieux pour limiter les fautes d'orthographe, et me
montrer exhaustif autant que pédagogue. Pour autant, je ne suis pas
infaillible. Toute correction, qu'elle porte sur la forme ou sur
le fond, sera donc la bienvenue, ainsi que toutes les suggestions
que vous pourriez avoir.

[tofoo93]

en faite y doit en coller certains mais je me suis abstenu de lui répondre directement de faire une recherche sur google et dans les wiki... il aurait pas posté

[racozoreMembre inscrit sur BFN]

merci de vos réponses

mais en fait j'ai lu divers documentations , ce que je ne comprends pas c'est comment se réalisait ce filtrage au niveau tcp /ip

[peper-eliot]

en faite y doit en coller certains mais je me suis abstenu de lui répondre directement de faire une recherche sur google et dans les wiki... il aurait pas posté

ben moi j'ai collé le résultat de la recherche

merci de vos réponses

mais en fait j'ai lu divers documentations , ce que je ne comprends pas c'est comment se réalisait ce filtrage au niveau tcp /ip

c'est toujours le cas ?
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
http://www.commentcamarche.net/contents/protect/firewall.php3
mon paquet IP est une enveloppe avec du contenu
Le FW détecte QUI envoit (c'est le nom de l'expéditeur) OU (sur port N) et POUR QUOI (Service X)
Et après applique des règles d'autorisation totale, partielle ou alors de rejet

Voilà pourquoi tu as du entendre que certains FW bloquaient tel ou tel service de mise a jour et qu'il fallait explicitement déclarer tel "intrusion" comme autorisée pour que ça marche, ou alors "ouvrir" tel ou tel port pour que l'appli puisse fonctionner

[racozoreMembre inscrit sur BFN]

Oui mais dans une box ou firewall personnel , c'est du filtrage au niveau applicatif ou un filtrage stateful ?ou les deux .

merci

[peper-eliot]

un peu des 2
c'est un routeur, donc avec un fw materiel
mais faut pas pousser quand même
tu peux aussi t'amuser (compléter...) avec le pare feu logiciel de ton pc sous vista ou 7 (c'est inclu avec l'os)

[Contenu sponsorisé]