====================================================================== Les Firewalls ------------- Dernière mise à jour : 21 Août 2001 Auteur : Stéphane Catteau ================================================================ Sommaire -------- 1 - Introduction 1.1 - Objet de cette FAQ 1.2 - Utilisation de cette FAQ 1.3 - Décharge 2 - Qu'est-ce qu'un firewall ? 2.1 - Cela sert à quoi ? 2.2 - Comment ça marche ? 2.3 - Quelle est la différence entre un firewall logiciel et firewall matériel ? 3 - Quels sont les risques à ne pas utiliser de firewall ? 3.1 - Je suis connecté en RTC ou en Numéris ( Ligne téléphonique "classique" ) 3.2 - J'ai le cable, ou je suis en ADSL 3.3 - J'ai une Ligne Spécialisée 3.4 - J'ai une adresse IP fixe 3.5 - J'ai un routeur 3.6 - Je n'ai rien d'important sur mon ordinateur moi ! 3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s) 4 - Comment le configurer ? 4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur Internet 4.2 - Mon firewall me parle de services, adresses, etc. 4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ? 4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il fonctionne ? 5 - Au secours, mon firewall, mes logs, disent ... 5.1 - Mon lecteur de courrier/news essaie de se connecter sur un autre port que celui qui est normalement le sien. 5.2 - Mon navigateur Internet essaie de se connecter sur un autre port que celui qui est normalement le sien. 5.3 - Mes programmes n'arrêtent pas de se connecter via le port 53. 6 - Questions d'ordre général 6.1 - Avoir deux firewalls est-il un plus ? 6.2 - Je suis convaincu, j'installe un firewall dès demain. Ai-je encore besoin d'un Anti-Virus ? 6.3 - "NetBios", j'en entends souvent parler, mais qu'est-ce ? 6.4 - Un firewall ralentit-il la connexion ? 7 - Mini lexique 7.1 - Adresse IP 7.2 - DMZ 7.3 - Fournisseur d'Accès à Internet ( FAI ) 7.4 - Protocole ICMP 7.5 - Port 7.6 - Service / Serveur 7.7 - Spyware / Espiogiciel 7.8 - Trojan / Troyen 7.9 - Protocole TCP 7.10 - Protocole UDP 8 - Annexes 8.1 - Liste des principaux ports 8.2 - Une configuration standard 8.3 - Webographie 8.4 - Bibliographie 8.5 - Remerciements 8.6 - Conclusion 9 - Conclusion -+-+-+-+-+-+-+- 1 - Introduction ---------------- 1.1 - Objet de cette FAQ. Ce document a pour but de vous apprendre, dans les grandes lignes, ce qu'est un firewall, pourquoi il est indispensable, et quelle est la démarche à suivre pour le configurer correctement. Autrement dit, il répond aux questions les plus fréquentes concernant les firewalls. Pour autant, il ne vous dispense ni de la lecture du manuel de votre firewall, ni d'un minimum de recherche de votre part pour savoir ce qu'est un réseau TCP/IP et comment il fonctionne. Pour cela, reportez-vous à la bibliographie / Webographie située à la fin de ce document. 1.2 - Réutilisation de cette FAQ Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans la mesure où vous incluez un lien permettant d'avoir accès à l'ensemble du document. Ceci dans le but de permettre à vos lecteurs d'obtenir facilement un complément d'information. De même, vous êtes libre de copier la FAQ dans son intégralité, à condition cependant d'en avertir l'auteur, et que cette utilisation soit exempte de tout caractère commercial (bannières publicitaires incluses). Cette restriction étant principalement dû au plus élémentaire des respects : celui du temps que j'ai consacré à la rédaction de cette FAQ. Toute autre utilisation devra faire l'objet d'un accord préalable avec l'auteur. 1.3 - Décharge La sécurité informatique est un domaine en perpétuelle évolution, ce qui est vrai un jour peut devenir un mensonge éhonté dès le lendemain. Par conséquent, ce document est à prendre comme un recueil de conseils, et non une bible. La responsabilité de l'auteur ne pourra donc être retenue dans le cas ou vous seriez victime d'une attaque informatique malgré la mise en pratique des théories exposées ci-dessous. 2 - Qu'est-ce qu'un firewall ? ------------------------------ Un firewall, aussi appelé pare-feux ou garde-barrières, est un programme, ou un matériel, chargé de vous protéger du monde extérieur et de certains programmes malveillants placés à votre insu sur votre ordinateur. Placé entre vous et Internet, le firewall contrôle tout ce qui passe, et surtout tout ce qui ne doit pas passer de l'un vers l'autre. 2.1 - Cela sert à quoi ? Le monde n'est pas rose, et Internet est à son image. Chaque jour, des centaines, voire des milliers, de personnes essaient, pour des raisons diverses, de s'introduire dans les ordinateurs des autres. Dans la grande majorité des cas, ils ne s'agit que d'adolescents boutonneux qui veulent se prouver qu'ils sont les plus forts. Internet est leur Rock'n'Roll à eux, un moyen de marquer sa révolte face à la génération qui les a précédé. Dans les faits, ils se contentent le plus souvent d'utiliser des programmes/scripts tout prêts, ce qui leur vaut le surnom de "scripts kiddies". Heureusement, ceci n'est pas une fatalité, et l'utilisation d'un firewall, même simpliste, y mettra un terme dans la plupart des cas. Les cas restants sont le fait de pirates professionnels, si tant est que l'on puisse les appeler ainsi. Avec eux, seule une politique de sécurité de grande qualité constitue une protection. Cependant, ils n'ont pas de temps à perdre, et ne s'attaquent donc qu'aux cibles qui en valent la peine. Donc, à moins de disposer de données confidentielles de haute importance sur votre ordinateur, vous ne risquez pas grand chose. Néanmoins, si vous avez une connexion illimitée, et de préférence à haut débit, munie d'une adresse IP fixe, ou faiblement tournante, vous constituez pour eux une cible potentiellement utile. Au passage, si vous disposez de données confidentielles sur votre ordinateur, je vous conseillerais surtout de remplacer la lecture de cette FAQ par celle des petites annonces, à la rubrique "conseiller en sécurité informatique". 2.2 - Comment ça marche ? Décrire le fonctionnement précis d'un firewall à quelqu'un qui n'a aucune connaissance du fonctionnement d'un réseau est une utopie. Cependant, il est parfaitement possible de le faire dans les grandes lignes. Lorsque vous êtes connecté à Internet, votre ordinateur fait deux choses bien distinctes. D'une part, il envoie des données en direction du vaste monde, pour demander à consulter une page Web par exemple. D'autre part, il reçoit des données en provenance du vaste monde, par exemple la page Web que vous avez demandé. Les firewalls les plus simples se contenteront d'autoriser ou d'interdire l'accès au vaste monde à un programme. Cela veut dire que seuls ceux que vous aurez spécifiquement autorisés auront le droit d'envoyer et/ou de recevoir des données. Les firewalls plus évolués rajouteront un contrôle au niveau du port, c'est-à-dire une autorisation ou une interdiction liée à un type particulier de données. Ainsi, votre navigateur Internet aura le droit d'accéder au Web, mais pourra ne pas être autorisé à faire du FTP, même si cette fonction est partiellement présente pour le téléchargement de fichier. Pour finir, les firewalls les plus évolués traiteront toutes les données au cas par cas. 2.3 - Quelle est la différence entre un firewall logiciel et firewall matériel ? C'est simple, il n'y a pas de différence, ou si peu. D'un côté, vous avez votre ordinateur, sur lequel tourne un firewall logiciel. De l'autre, vous avez une boîte, plus ou moins grosse, à qui l'on donne le doux nom de "firewall matériel" et qui, de part son prix, n'est absolument pas destiné aux particuliers. Seulement, dans cette boîte se cache rien de moins qu'un ordinateur, généralement réduit à sa plus simple expression et conçu spécifiquement pour cela. Et sur cet ordinateur, on trouve un firewall logiciel. Dans la pratique, le firewall materiel étant supposé s'exécuter sur un systeme d'exploitation réputé pour sa sécurité, et disposer d'un firewall parfaitement configuré, il est donc potentiellement plus efficace. En contre partie, il offre généralement moins de souplesse, ce qui complique les choses dès qu'il s'agit de lui faire prendre en compte un cas particulier propre à votre société. Par conséquent, sauf à disposer d'une architecture réseau des plus basiques, un responsable informatique compétent en matière de sécurité reste préférable. D'autant plus qu'il saura tirer parti d'un système d'exploitation libre, OpenBSD par exemple, et d'un ordinateur inutilisé, pour vous installer, à moindre frais, un firewall efficace et parfaitement adapté à vos besoins. Enfin, si vous ne disposez ni d'un responsable informatique, ni des moyens financiers suffisants pour vous équiper d'un firewall matériel, il vous reste quand même une solution. Celle-ci consiste à former l'un de vos employés à la sécurité informatique. Mais, attention, on ne s'improvise pas administrateur réseau et, à moins d'une vocation naissante, cette solution ne peu qu'être transitoire, et précédée d'une étude complète du sujet. A noter aussi que l'utilisation d'un firewall materiel ne dispense en aucune façon d'une formation préalable. 3 - Quels sont les risques à ne pas utiliser de firewall ? ---------------------------------------------------------- Tout dépend du type de connexion qui vous relie à Internet et de vos habitudes. En effet, les risques ne sont pas les mêmes selon que vous disposiez d'un modem poussif et dépassé, relié par une banale ligne de téléphone, ou d'une ligne à haut débit avec un ordinateur connecté en permanence. Bien sûr, si vous y tenez, vous pouvez très bien vivre sans firewall. Tout ira bien jusqu'au jour où quelqu'un aura profité d'une faille de votre ordinateur (ils en ont tous ou presque, alors ne vous croyez pas à l'abri) pour placer un petit programme de 50 Ko à peine. Une petite manipulation supplémentaire, et ce programme s'exécutera automatiquement à chaque démarrage de votre ordinateur. A partir de maintenant, et pour chaque fichier que vous enregistrerez, un octet sur vingt (voir un sur cent, la différence étant minime) sera aléatoirement modifié par le programme. La question est donc, combien de temps vous faudra-t-il pour vous en rendre compte, et quel pourcentage de données seront irrémédiablement perdues car déjà corrompues lors du dernier Backup ? Et puis, rien ne peut vous assurer que le pirate n'en aura pas profité pour consulter cette lettre, si importante que vous avez tenu à l'écrire en utilisant Word, dans laquelle vous expliquiez à votre banquier que votre compte N°xxxxx était certes à découvert de xxxx Francs, mais que cela était dû à l'achat de votre nouvelle maison, située à l'adresse xxxxx, et que votre banquier serait bien aimable de vous autoriser à dépenser encore xxxx Francs pour vous permettre de changer la porte qui ne ferme toujours pas, et d'installer une alarme pour protéger votre collection de pierres précieuses d'une valeur inestimable. 3.1 - Je suis connecté en RTC ou en Numéris ( Ligne téléphonique "classique" ) Si, comme la plupart des gens, vous vous connectez à Internet via votre ligne téléphonique, alors vous êtes soit en RTC, soit en numéris. Dans ce cas, le risque n'est pas bien grand, à moins que vous ne passiez beaucoup de temps sur internet. Cependant, ce n'est pas une raison suffisante pour ne pas utiliser de firewall. En effet, les scripts kiddies se moquent bien du facteur temps. La seule chose qui les intéressent étant de rentrer sur votre ordinateur. D'ailleurs, rien ne vous assure que demain ne sera pas le jour où, oubliant toute prudence, vous allez rester connecté plus d'une demi-heure d'affilée, captivé que vous serez par ce site si intéressant que vous venez de trouver. Et comme le risque augmente avec le temps... 3.2 - J'ai le cable, ou je suis en ADSL Dans ce cas, inutile de se poser des questions, le firewall est de rigueur. En effet, le cable, et plus encore l'ADSL, vous permettent de rester connecté des heures entières, et cela, les pirates de tout poil le savent très bien. Par conséquent, vous attirerez les scripts kiddies aussi sûrement que le miel attire les abeilles. Imaginez l'aubaine que vous représentez pour eux. Ils vont avoir des heures entières pour essayer tous les programmes qu'ils ont trouvés, les comparer entre eux, et surtout s'entraîner à les utiliser. Seulement, ce n'est pas le seul risque que vous encourrez. Pour les pirates professionnels aussi, vous représentez une cible intéressante. Pour eux, vous n'êtes qu'une étape sur la voie du succès, une sorte de point d'appui qui, pour commencer, fera le travail à leur place. Par exemple, il suffit de placer un programme sur votre ordinateur, et vous testerez à votre insu, les failles de leur cible véritable. Un autre programme, et vous voilà transformés en relais. C'est votre adresse IP, ce nombre magique et unique qui permet de savoir que c'est vous qui "parlez" et personne d'autre, qui sera visible depuis la cible. Le pirate sera donc à l'abri, pendant que vous subirez les assauts du service juridique de la société qui a été attaquée. Vous l'aurez compris, non seulement un firewall est une nécessité pour vous, mais en plus, il vaut mieux qu'il soit performant et bien configuré. Et si vous pensez ne pas être capable de le configurer comme il faut, choisissez un firewall disposant d'une bonne ergonomie, quitte à perdre un peu en efficacité. 3.3 - J'ai une Ligne Spécialisée Dans ce cas, il est surprennant que vous n'ayez pas, de vous même, installé de firewall. En effet, vous disposez d'une ligne à très haut débit et IP fixe, et surtout, vous êtes connectés en permanence ou presque. De plus, vous utilisez assûrement cette connexion pour faire tellement de choses, que vous ne verrez même pas l'augmentation de charge, de vos ordinateurs autant que celle de votre connexion. A titre d'exemple, c'est en piratant les ordinateurs d'une société disposant d'une ligne spécialisée, que des petits malins ont innondés certains forums Usenet de messages usurpants différentes identitées et de spams. Entre autres conséquences, la société, pourtant victime en premier lieu, n'ayant pas remplie sa part du contrat (qui stipulait que le client était responsable de sa sécurité et de tout ce qui passait par ses ordinateurs) a vue son compte fermée par son FAI. 3.4 - J'ai une adresse IP fixe L'adresse IP étant ce qui vous identifie sur Internet, avoir une IP fixe signifie que vous serez toujours au même endroit. D'ailleurs, c'est probablement quelque chose que vous appréciez, car tout le monde sait où vous trouvez sur le réseau. Et, évidement, tout le monde ne désigne pas que vos amis, mais aussi les pirates de tout poil... 3.5 - J'ai un routeur Ne vous croyez surtout pas à l'abri. Un routeur se contente de router, c'est-à-dire diriger les données là où elles doivent aller. Certes, certains routeurs offrent des options de filtrage et permettent, de part leur nature, de limiter les ports accessibles. Pour autant, ils ne vous protègeront pas aussi efficacement qu'un firewall, laissant par exemple passer le nouveau trojan à la mode, simplement parce qu'il s'est placé au bon endroit. 3.6 - Je n'ai rien d'important sur mon ordinateur moi ! Moi non plus, et pourtant, cela ne m'empêche pas d'être victime de plusieurs tentatives d'intrusion par jour. Ce qu'il faut bien comprendre, c'est que le script kiddie, non seulement ne sait pas que vous n'avez rien sur votre ordinateur, mais en plus il s'en contre-fiche. La seule chose qui l'intéresse est de rentrer chez vous. Et s'il est dans un bon jour, pour lui, rien ne peut vous garantir qu'il n'en profitera pas pour supprimer, ou modifier, quelques fichiers. Pire, pourquoi n'utiliserait-il pas votre connexion pour envoyer un nombre important de spams, dont vous serez alors, aux yeux de tous et surtout de votre FAI, le seul et unique auteur, avec les conséquences que cela implique (notament la fermeture de votre compte par votre FAI). 3.7 - Je passe du temps sur IRC ou sur un/plusieurs chat(s) Donc, vous permettez à quelqu'un de connaitre votre adresse IP (indispensable au logiciel de chat et au serveur IRC). En plus de cela, vous lui permettez d'en savoir plus sur vous, notament le prénom de votre femme, de vos enfants, et toutes ces petites choses que les gens utilisent le plus souvent comme mot de passe. Ne vous étonnez donc pas s'il relance souvent la conversation, ce n'est que pour s'assurer que vous restez connecté, le temps qu'il finisse de regarder vos fichiers. Evidement, ceci n'est pas systématique. Pour autant, ma plus grande victoire en matière de sécurité survint le jour où ma femme m'a dit "Tiens, j'ai rencontré quelqu'un sur le chat de xxxxx, et il m'a proposé de me passer un petit jeu amusant pour Sylvain. Je crois que j'ai bien fait de refuser, puisqu'il est parti tout de suite après." 4 - Comment le configurer ? --------------------------- Avant toute chose, il faut que vous gardiez bien en mémoire le fait que, quoi que vous fassiez, le meilleur firewall c'est vous. Par conséquent, ne vous considérez jamais à l'abri, et lorsque votre firewall vous demande la marche à suivre, réfléchissez bien avant d'agir. La meilleure sécurité étant obtenue lorsque rien ne passe de votre ordinateur vers le réseau (et inversement), commencez par interdire la connexion. Ensuite, si tout s'arrête, il ne vous reste qu'à recommencer, mais en autorisant la connexion cette fois. Au pire, vous aurez perdu quelques secondes, peut-être une minute grand maximum. Au mieux, vous vous serez évité de gros ennuis. D'ailleurs, à moins de savoir exactement ce que vous faites, préférez toujours une autorisation temporaire, quitte à la transformer en autorisation définitive lorsque vous en aurez appris plus à son propos. C'est certes une contrainte supplémentaire, mais c'est aussi une sécurité supplémentaire. Enfin, comme il n'existe aucune solution miracle pour bien configurer un firewall, il faut commencer par se renseigner sur les faiblesses de son système d'exploitation. De cette façon, vous connaitrez les ports/services à ne pas ouvrir à la légère, et cela vous sera fort utile par la suite. 4.1 - Mon firewall ne fait qu'autoriser un programme à aller sur Internet Bien qu'il s'agisse des firewalls les plus simplistes, ils sont suffisants pour les personnes ne restant pas connectées très longtemps, et ne disposant pas d'une IP fixe. D'autant plus que leur simplicité de fonctionnement ne veut pas dire qu'ils ne remplissent pas leur rôle. Ces firewalls sont les plus simples à configurer. A chaque fois qu'un programme qu'ils ne connaissent pas essaie de se connecter, le firewall vous demandera si vous autorisez la connexion, ou non. Ce sera donc à vous de voir s'il s'agit du programme que vous êtes en train d'utiliser, ou d'un autre programme. 4.2 - Mon firewall me parle de services, adresses, etc. Ces firewalls ne sont pas aussi difficiles à configurer qu'il n'y paraît à première vue. Tout d'abord, vous devez connaître la liste des ports correspondant aux principaux services dont vous aurez besoin (voir annexe). Ensuite, prévoyez dès maintenant les programmes que vous utiliserez pour ces services. Par exemple Internet Explorer pour surfer (port 80 et 443). Lorsque vous avez tout ceci sous la main, vous pourrez commencer à saisir vos propres règles : - Avant toute chose, vous allez interdire toute connexion, quelque soit le programme, le port (entre 1 et 65535), et le sens. Ainsi, vous serez assuré de ne pas avoir laissé une porte ouverte par erreur. - Ensuite, vous allez ouvrir les ports au fur et à mesure, en partant du service ayant le numéro de port le plus petit (en général le FTP, port 20 et 21). De cette façon, vous serez sûr de ne pas en avoir oublié. Pour chaque ports vous allez indiquer le programme que vous souhaitez utiliser, le numéro du port correspondant, le sens (sortie/Outbound), et dire au firewall d'autoriser la connexion. Si vous changez de logiciel, ou décidez d'en utiliser plusieurs suivant le cas, modifiez la règle en conséquence, ou rajoutez en une. Lorsque vous aurez passé toute votre liste en revue, il ne vous restera plus qu'à activer le mode "apprentissage" de votre firewall, s'il existe, et vous pourrez surfer l'esprit plus tranquille. Attention, cependant, certains firewalls, surtout sur Windows, s'arrêtent à la première règle correspondant à la connexion qui essaie de se faire. Par conséquent, la règle destinée à fermer tous les ports ne devra pas se trouver au début, mais à la fin. En tout état de cause, la documentation de votre firewall saura vous dire s'il doit ou non en être ainsi. 4.3 - ICQ, Napster, Quake, etc. ne marchent pas, pourquoi ? Parce que ces programmes, en plus d'être de véritables trous de sécurité pour certains, ne se contentent pas d'utiliser un seul port. Par conséquent, à un moment où un autre, ils se heurtent à votre firewall. Néanmoins, la situation n'est pas desespérée, et des solutions existent. Commencez par relire la documentation de votre firewall, pour voir s'il est possible de lui adjoindre des modules propres à tel ou tel programme. Si c'est le cas, il ne vous reste plus qu'à partir sur le web à la recherche de du module adapté à vos désirs. Dans le cas contraire, il va falloir vous résigner à ne plus utiliser le programme, ou à voir votre firewall vous demandez votre avis plus souvent qu'à l'habitude. Pour cela, commencez par étudier le programme que vous souhaitez utiliser. S'il n'utilise qu'un certain nombre de ports bien précis, modifiez la règle d'interdiction totale pour qu'elle ne bloque pas ces ports. De même si le programme permet de préciser l'intervale des ports qu'il est autorisé à utiliser. Par la suite, vous n'aurez qu'à agir au cas par cas à chaque demande de votre firewall. C'est plus contraignant, et demande une plus grande vigilance de votre part, mais c'est le seul moyen à votre disposition. 4.4 - J'ai un serveur web/news/ftp, comment faire pour qu'il fonctionne ? Il suffit de procéder comme pour les autres programmes, sauf que la règle que vous devrez ouvrir le port en entrée/inbound. Attention cependant, ces programmes sont autant de failles potentielles dans votre sécurité, et votre firewall n'y peut rien. Par conséquent la règle que vous ajouterez à votre firewall devra être la plus contraignante possible (limitée à l'adresse du serveur de votre FAI pour le cas d'un serveur de news par exemple). Pour autant, je vous conseille fortement d'ajouter à cela un suivit régulier du site de l'éditeur du serveur, et des principaux sites parlant de sécurité, de manière à procéder le plus rapidement possible aux corrections à même de combler une faille nouvellement découverte. 5 - Au secours, mon firewall, mes logs, disent ... --------------------------------------------------- Votre firewall est bavard, et passe son temps à vous dire que quelqu'un a essayé de se connecter sur votre ordinateur ? S'il ne garde une trace que des connexions interdites, il est inutile de vous inquiéter, c'est la preuve qu'il fait bien ce que vous lui avez demandé. Pour autant, vous gagneriez probablement à affiner un peu ses règles de filtrage, pour qu'il ne vous avertisse plus des connexions "parasites". Par contre, s'il garde une trace de l'ensemble des connexions, vous n'y couperez pas, et devrez commencer par apprendre comment fonctionne le réseau, de façon à bien comprendre ce que raconte votre firewall. Quoi qu'il en soit, si votre firewall vous indique qu'un programme a essayé de sortir de votre ordinateur, il est temps de faire appel à un anti-virus et/ou un anti-spyware et/ou anti-troyen. Cependant, ne vous alarmez pas trop vite pour autant, certains cas étant parfaitement normaux. 5.1 - Mon lecteur de courrier/news essaie de se connecter sur un autre port que celui qui est normalement le sien. Avant de l'accuser d'être un spyware, ou de rechercher partout un trojan/troyen, demandez-vous si cela n'est pas normal. Qu'étiez-vous en train de faire ? Vous regardiez un message en HTML ? Il est probable que ce soit lui le responsable. Tous les éléments composant la page HTML n'ont peut-être pas été inclus dans le message, et votre programme s'est donc connecté au web pour les trouver. 5.2 - Mon navigateur Internet essaie de se connecter sur un autre port que celui qui est normalement le sien. Ne paniquez pas trop vite. Vouliez-vous aller sur un site sécurisé ? Si oui, c'est probablement pour cette raison que vous ne reconnaissez pas le port indiqué par votre firewall. Commencez par bloquer la connexion, et si votre navigateur signale une erreur, recommencez, en autorisant la connexion cette fois. Le cas ce présente aussi lorsque la page que vous êtes en train de regarder contient des vidéos, ou d'autres éléments à la mode. Là encore, commencez par bloquer la connexion, et si la page semble incomplète, recommencez. 5.3 - Mes programmes n'arrêtent pas de se connecter via le port 53. Il n'y a rien, ou presque, de plus normal que cela. Ce port étant utilisé pour les requêtes DNS, dès qu'un programme doit faire le lien entre une adresse web (http://zzz.tld) et une adresse IP (123.123.123.123), il contacte le DNS de votre FAI. De plus, certains DNS sont configurés "avec les pieds", et envoient de nombreuses connexions parasites qui n'ont d'autres conséquences que de surcharger votre connexion. 6 - Questions d'ordre général ----------------------------- 6.1 - Avoir deux firewalls est-il un plus ? Au contraire. Tout d'abord, vous ne savez pas comment ils vont interférer entre eux, créant peut-être une brèche dans votre sécurité. Ensuite, et surtout, vous aurez tendance à vous reposer sur eux, et à manquer de vigilance. Or, le meilleur firewall est placé entre la chaise et le clavier, c'est-à-dire vous. Cependant, cela n'est vrai que dans la mesure où ils sont tous deux placés sur le même ordinateur. Dans le cas d'un réseau d'entreprise, ou d'association/club/autre, il peut être utile d'utiliser deux firewalls, de part et d'autre de la DMZ. Mais cela dépasse le cadre de cette FAQ. 6.2 - Je suis convaincu, j'installe un firewall dès demain. Ai-je encore besoin d'un Anti-Virus ? Oui, évidemment. Même s'ils sont parfois complémentaires, l'Anti- Virus éliminant les trojans/Troyens avant même que votre firewall n'ait à les bloquer, ils ne font pas le même travail pour autant. 6.3 - "NetBios", j'en entends souvent parler, mais qu'est-ce ? NetBios est le nom de l'interface développée par Microsoft pour le partage de fichier et d'imprimante. Donc, si vous n'utilisez pas Windows, vous ne craignez rien de ce côté là. Attention toutefois, /samba/ offrant aux systèmes d'exploitation Unix une interface avec le monde Windows, il dispose des mêmes failles. Dans le cas contraire, sachez qu'il s'agit d'une faille de sécurité au coeur même de votre système. Par l'intermédiaire de NetBios, n'importe qui peut s'introduire dans votre ordinateur, et utiliser votre/vos disques durs, comme s'il s'agissait des siens. Il faut donc impérativement bloquer les ports 137, 138 et 139 en UDP et TCP, et dans les deux sens (entrée et sortie). Attention, Windows ayant ceci de particulier que l'on ne sait pas toujours ce qu'il fait, ne pensez pas qu'il suffise de désactiver NetBios pour être à l'abri. En effet, Windows pourrait bien décider qu'il en a besoin, et le réactiver sans que vous ne vous en rendiez compte. 6.4 - Un firewall ralentit-il la connexion ? Oui, et non. Un firewall contrôlant tout ce qui entre et sort de votre ordinateur, il ralentira forcément la connexion. Maintenant, tout dépend de votre ordinateur (plus il est puissant mieux c'est), et de ce que fait votre firewall. Pour autant, il est rare que ce ralentissement ait des conséquences visibles, mais si tel était le cas, le mieux reste encore de changer de firewall. 7 - Mini lexique ---------------- 7.1 - Adresse IP L'adresse IP est un numéro, unique, qui permet de savoir où se situe, et donc comment joindre, votre ordinateur. C'est grâce à elle qu'un site web, par exemple, sait où il doit envoyer les pages qu'il contient. Dans la majorité des cas, l'adresse vous est attribuée par votre FAI. 7.2 - DMZ Ce terme un peu barbare désigne la partie d'un réseau volontairement isolé du reste, et qui contient les différents serveurs nécessaires au réseau. Sa présence permet d'accroitre le niveau de sécurité car elle constitue une zone tampon qu'il faudra traverser avant de pénétrer réellement dans le réseau. 7.3 - Fournisseur d'Accès à Internet ( FAI ) Il s'agit du prestataire de service par l'intermédiaire duquel vous accédez à Internet. 7.4 - Protocole ICMP Derrière cet acronyme, signifiant "Internet Control Message Protocol" (Protocole Internet de messages de contrôle), se cache un protocole destiné à gérer les informations relatives aux erreurs pouvant survenir sur le réseau. 7.5 - Port Il s'agit d'un numéro désignant un service particulier. C'est par son intermédaire que les logiciels savent de quels types de données il s'agit. 7.6 - Service / Serveur Il s'agit d'un programme permettant de proposer des données (du contenu) sur le réseau. Un serveur Web, par exemple, est un service, au même titre qu'un serveur FTP. 7.7 - Spyware / Espiogiciel Il s'agit de programme, généralement freeware, qui en plus de leur fonction de base (aide au téléchargement par exemple), font de l'espionnage commercial à votre insu. Par exemple, ils récupèrent la liste des programmes présents sur votre ordinateur, et l'envoient à une adresse donnée, ce qui permet de savoir l'utilisation que vous faites de votre ordinateur. 7.8 - Trojan / Troyen Un trojan/troyen est un programme ouvrant, à votre insu et pour vous nuire, un service particulier sur votre ordinateur. C'est grâce à ces programmes qu'un pirate peut accéder plus facilement à votre ordinateur. 7.9 - Protocole TCP Cet acronyme de Transmission Control Protocol (Protocole de Contrôle de Transmission), se cache le protocole le plus utilisé pour les échanges de données sur Internet. Et comme Internet est une suite continue d'échanges de données... 7.10 - Protocole UDP A l'inverse du protocole TCP, le protocole UDP (User Datagram Protocol) n'est utilisé que ponctuellement sur Internet. Ceci tient notament au fait qu'il n'y a aucun contrôle, et donc aucune assurance que les données soient bien parvenues à destination. 8 - Annexes ----------- 8.1 - Liste des principaux ports Port 20 Ce port est utilisé lors des connexions FTP dynamiques. Port 21 Ce port est utilisé pour les connexions FTP (téléchargement de logiciels). Port 25 Ce port est utilisé pour les connexions SMTP (envoie de votre courrier vers le serveur de votre FAI). Port 53 Ce port est utilisé pour les requêtes DNS. Celles ci permettent, entre autre, de trouver l'adresse correspondant au site que vous cherchez à atteindre. Port 80 Ce port est utilisé pour les connexions HTTP, autrement dit à chaque fois que vous surfez. Port 110 Ce port est utilisé pour les connexions POP3 (téléchargement de votre courrier depuis le serveur de votre FAI). Port 119 Ce port est utilisé pour les connexions NNTP. C'est-à-dire la lecture des forums Usenet. Port 443 Ce port est utilisé pour les connexions HTTPS, à savoir les connexions vers des sites web "sécurisés". 8.2 - Une configuration standard - Fermez tous les ports, en entrée comme en sortie, et en TCP comme en UDP ; - Interdisez tous les paquets ICMP à entrer ou sortir de votre ordinateur ; - Autorisez les paquets ICMP "Echo Request" à sortir de votre ordinateur ; - Autorisez les paquets ICMP "Echo Reply", "Destination Unreachable" et "Time Exceeded for a Datagram" à rentrer ; - Ouvrez le port 53 dans les deux sens ; - Autorisez votre navigateur Internet à sortir vers les ports 80 et 443 ; - Autorisez votre lecteur de courrier à sortir vers les port 25 et 110 ; - Autorisez votre lecteur de news à sortir vers le port 119 ; - Autorisez votre lecteur de news à sortir vers le port 25 ; - Autorisez votre logiciel de FTP à sortir vers le port 21 ; - Autorisez votre logiciel de FTP à recevoir des données en provenance du port 20 ; A noter que selon votre firewall, les deux premières règles (celle interdisant toute connexion en TCP et UDP, et celle bloquant tous les paquets ICMP) peuvent être à placer après toutes les autres règles. 8.3 - Webographie - "Comment Ca Marche" section Internet : - La FAQ non officielle et politiquement incorrecte de fr.comp.securite : - Ressources en Francais sur le thème de la sécurité informatique : - La section sécurité informatique et réseau du Comité Réseau des Universités : - Le site du CERT (en anglais) : - Liste officiels des ports privilégiés ( numéros inférieurs à 1024 ) et enregistrés ( numéros supérieurs à 1023 ) (en anglais) : - liste des ports utilisés par des trojans/troyens connus (en anglais) : 8.4 - Bibliographie a) Lecteurs profanes : - "Firewall et securite Internet" De Steve Bellovin et Bill cheswick Aux éditions Addison Wesley b) Lecteurs confirmés : - "Firewalls: la securite sur Internet" De D. Brent Chapman et Elizabeth D. Zwicky Aux éditions O'Reilly 8.5 - Remerciements Merci à ceux sans qui cette FAQ n'aurait pas vu le jour. A commencer par Brina qui m'a convaincu de la rédiger, et par ma femme qui m'a aidé à en faire un document compréhensible par le plus grand nombre, tant dans sa forme (orthographe surtout) que dans son contenu. Merci aussi à tous ceux qui ont participé à cette FAQ : Cyril Guibourg, David Delon, Pascal Cabaud, Patrice Labracherie, Serge Lefranc, Stephane T., Thierry, etc. 9 - Conclusion -------------- J'ai fait de mon mieux pour limiter les fautes d'orthographe, et me montrer exhaustif autant que pédagogue. Pour autant, je ne suis pas infaillible. Toute correction, qu'elle porte sur la forme ou sur le fond, sera donc la bienvenue, ainsi que toutes les suggestions que vous pourriez avoir.