Pour configurer un parefeu personnel (firewall), et prendre la bonne décision lors de nouvelles communications, trois notions sont à connaître : adresse IP, port de communication et nom de domaine. Comment décider si une communication entrante ou sortante est à autoriser ou non ? Cet article est la suite de : à quoi sert un pare feu sur Internet ?
Un parefeu personnel est indispensable pour renforcer vos défenses sur Internet. Dans un réseau local, il doit être sur l’ordinateur branché au modem.
Son réglage consiste à enregistrez vos décisions sur deux points :
- qui autorisez-vous sur Internet à se connecter chez vous et par quelle voie ?
- quels programmes autorisez-vous à se connecter, vers qui et comment ?
Il est fourni avec des règles de filtrage qui y répondent en partie. Vous allez lui apprendre, au fur et à mesure, à répondre au second point. Le premier est un peu plus délicat car on ne sait pas toujours de qui vient la demande de connexion. Je vais vous expliquer comment procéder de la manière la plus simple possible.
Les trois notions à connaître
Adresse IP
Quand votre machine veut dialoguer avec une autre, il doit connaître son adresse IP sous la forme 245.121.15.172 . C’est exactement comme pour vous rendre chez quelqu’un, il vous faut connaître son adresse postale.
Port de communication
Arrivé au pied de l’immeuble ( IP ), il vous faut connaître le numéro de l’appartement : cela correspond au numéro de port. Sur un même ordinateur, plusieurs logiciels peuvent tourner en même temps : chacun utilise un numéro de port différent pour aiguiller facilement les communications vers l’un ou l’autre.
Certains ports peuvent être ouverts en permanence et donc constituer des failles de sécurité, exploitables de bien des manières. Un parefeu ferme ces ports ou au moins controle les transmissions.
Il faut au moins que vous connaissiez les numéros de port les plus utilisés parmi les 65.536 numéros possibles ( 0 à 65.535 ).
Les programmes courants utilisent ces ports distants ( du serveur ) :
- surfer sur le Web
- 80 : le plus courant
- 443 : utilisé par les sites sécurisés
- 8080 ou 3128 : si vous passez par le relai d’un serveur proxy
- les emails
- 110 : utilisé pour télécharger les courriers
- 25 : pour envoyer votre courrier
- les newsgroups (usenet) : 119
- télécharger des fichiers (par ftp) : 20 et 21
Les numéros de port distants inférieurs à 1024 sont réservés aux logiciels officiels ( sites, email, newsgroups, etc … ) et respectés universellement.
Chaque logiciel distant non officiel utilise un numéro supérieur à 1024 ( chat, jeux etc … ), et toujours le même numéro.
Sur votre machine, les numéros de port utilisés sont toujours supérieurs à 1024 et augmentent de 1 à chaque connection. Pour afficher une page Web contenant des images par exemple, plusieurs ports locaux sont utilisés ( un pour le texte et un par fichier image ).
Attention : ce n’est pas parce qu’une demande de connexion est faite vers un port local officiel, qu’il s’agit forcément d’une tentative de piratage. Par exemple les serveurs des FAI scannent le réseau sur le port 80 pour récupérer les sites dans leur cache.
Inversement, ce n’est pas parce qu’une demande de connection est faite vers un port local non officiel, qu’il ne s’agit pas d’une tentative de piratage.
Nom de domaine
C’est la traduction textuelle d’une adresse IP (numérique), et permet de savoir rapidement à quel type de service on a affaire.
Il est formaté de la même manière en fonction de son origine :
- les sites Web : www.machintruc.com
- les emails entrants : pop.fai.xyz ou pop3.fai.xyz,
- les emails sortants : smtp.fai.xyz
- les newsgroups : nntp.usenet.xyz
- les ordinateurs individuels ont des noms tarabiscotés du style dsl092-009-215.sfo1.dsl.speakeasy.net
Un parefeu doit filtrer dans les deux sens
Les transmissions sortantes
Après son installation, la première fois que vous vous connectez sur Internet, deux cas de figure se présentent. Si les règles pré-définies correspondent à ces communications, alors il sait s’il faut les autoriser ou les refuser.
Sinon il vous demande de décider en affichant :
- le fichier du programme demandant la connexion
- l’IP de l’ordinateur destinataire et parfois son nom de domaine
- le port du destinataire.
Si le fichier du logiciel ne permet pas d’identifier explicitement le programme ( par exemple « netscp6.exe » ), cherchez le répertoire ( dossier ) qui le contient. La fonction de recherche de votre système d’exploitation donnerait « c:……Netscape » dans l’exemple.
Le port de communication sera le même pour un programme donné ( le plus souvent ).
Avec ces trois informations vous pouvez décider dans la plupart des cas. Par exemple si votre programme email ( « foxmail.exe » ) cherche à communiquer avec www.bidule.net sur le port distant 119 ( réservé aux news ), refusez la connection. Par contre s’il cherche à dialoguer avec pop.fai.com sur le port 110, vous pouvez l’autoriser.
Quand vous n’arrivez pas à décider, refusez sans l’enregistrer dans les règles. Si votre logiciel ne fonctionne pas, faites-le redemander une connexion et autorisez-la. Sinon votre décision est la bonne. Enregistrez cette nouvelle règle une fois pour toutes.
Les transmissions entrantes
Le comportement de votre firewall est le même mais les informations affichées sont différentes :
- l’adresse IP de la machine demandant la connection chez vous ou son nom de domaine
- le port de communication distant
- votre port local avec lequel il souhaite dialoguer.
Le port local doit être supérieur à 1024 ( à moins que votre ordinateur héberge un serveur ).
Le port distant correspond à un programme sur votre machine, et doit toujours être le même. Pour les programmes officiels, il est connu d’avance. Pour les autres, il est supérieur à 1024 et ne changera pas, le plus souvent.
Un firewall est plus efficace avec des logiciels dédiés
Avec trois programmes distincts pour surfer, lire vos courriers et vos news, chacun est autorisé à se connecter au port qui lui correspond : ainsi vos logiciels email et de news n’ont pas à accéder à des sites ( port 80 ) réservés au navigateur.
Généralisez à tous vos programmes : chacun est ainsi autorisé à dialoguer avec un seul port ( et si possible une seule IP ).
Accepter les connexions vers tous les sites ( port 80 ou port du proxy ) représente un risque. Mais autoriser le port 80 site par site est impraticable. La solution consiste à activer en plus le moniteur antiviral pour le Web.
Conclusion
Prenez soin de bien définir vos règles de filtrage, importantes pour son efficacité et votre confort :
- un réglage trop restrictif gênera le fonctionnement de vos logiciels
- un réglage permissif laissera des portes grandes ouvertes sur l’extérieur
- ne pas compléter les règles par défaut vous sortira des alertes trop souvent.
Un paramétrage correct n’est pas difficile si vous passez un peu de temps à lire la documentation et à lui apprendre à les types de transmission que vous autorisez.
Même si ça vous paraît un peu fastidieux au départ, vous vous y ferez vite et vous augmenterez nettement vos défenses en l’activant à chaque connexion.
Pensez aussi à visiter une fois par mois le site de l’éditeur pour récupérer les évolutions du programme.
Un parefeu empêche la transmission de vos informations privées par un spyware inconnu des anti-spyware.
Autres pages
Voici un article complémentaire sur la configuration d’un parefeu personnel.