Firewallez vous !

vendredi 19 septembre 2003.

Des mêmes auteurs

François Guerry
- Né parmi les vaches vers mil neuf cent soixante dix huit, il gardera à tout jamais un amour dévolu pour ces bovins qui ont tacheté son coeur de bonheur.
- Pollutron
- La Bourse ou la Vie
- Gros-Naze.com en vacances !
- De la détestation systématique du marketing
- Michel Duflot, le preux chevalier ordurier de France Toner
Jean François Lalande
- C’est un trop plein, peut-être une torpeur que de commander son Petit Docteur. J’aurai voulu être heureux, "happy with what you have to be happy with". A l’heure de ça, au lieu au temps où vous êtes, Petits Docteurs, je voudrais me commander un soda, quelque chose de frais qui pétille, joyeux drille, au milieu du bonheur ambiant.
- Le spam qui me fit devenir riche
- La Bourse ou la Vie
- Encore 12,5 millions sur mon compte !
- L’origine de la compilation
- Les dangers de la campagne

A l’heure des virus pernicieux et autres pirates malveillants prèts à tout pour infiltrer votre précieux disque dur, il est de plus en plus critique de savoir comment se protéger. Voici un guide, qu’on espère simple et efficace, pour venir à bout d’une partie du problème. Apprenez donc les rudiments pour protéger votre matériel et vos données. Les conseils sont applicables pour une machine seule aussi bien que pour un petit réseau de partage de connexion.

Pourquoi c’est nul sous Windows ?

Une machine linux est bien plus simple à protéger, au moins pour 2 raisons :

par défaut, pas de reseau microsoft
serveurs plus fiables

La majeure partie des attaque utilisent les failles des serveurs windows, ou les services du réseau Microsoft, donc linux s’en tape la rate. Du coup faire une machine de partage sous windows, avec un réseau dans l’ensemble sécurisé, c’est assez chiant...

La règle n 1 :

La plupart des trucs que tu peux installer (à ma connaissance) qui se présentent comme ’firewall’ pour windows sont plus ou moins du pipo... Il ne fonctionnement pas sur le principe d’autorisation de port, mais par programe... Autrement dit, ils détectent les programmes qui essayent d’utiliser les ressources réseau (en client ou en serveur), et les laisse passer ou bien les coupe... En outre, le reseau microsoft n’est en général PAS désactivé, car sinon pas moy’ de faire du reseau local :)) Conclusion : très efficace contre les spywares, mais surement pas contre des virus du type blaster.

Mais si je veux quand même être sous Windows ?

La règle n° 2 :

Comme dit, c’est la plus grosse faiblesse : le résau microsoft tu en as besoin pour bosser entre les deux ordis (enfin, du moins, ça peut servir...), mais c’est par là que tu te feras enculer...

Conclusion : comment faire pour avoir le réseau microsoft qui marche bien dedans et pas dehors ?

Passons à la pratique :

primo, tu n’allumes que la bécane de connexion (appellons la routeur, par abus de langage, pour la plupart de gens, y’a qu’une bécane de toute façon...), sans brancher autre chose en réseau local. Va sur grc.com faire le test shields up ! Normalement, ton réseau MS devrait se faire hacher la tronche...

deuxio : désactives-le :)) Le principe est de le supprimer uniquement pour la connexion internet, pas sur le réseau local... Pour ça (sous WIN2000, sinon adaptes et demerdes toi) tu ouvres le panneau de connexions réseau (démarrer->paramètres->connexions reseau) tu identifies celle qui connecte à internet (ça doit être assez facile, normalement t’en as que 2 : la reseau local (ethernet machin) et celle d’internet ouvres ses propriétés : c’est sur ce panneau que tu fera la majeure partie des configs !! On appellera ce panneau "config de ta connexion" par abus de langage, et pour eviter de décrire à chaque fois ou cliquer pour l’avoir :) Dans l’onglet général, tu vois les liens avec les protocoles que tu utilises... normalement tu as au moins TCP/IP, client pour les reseaux MS et Partage de fichier Si y’a d’autre trucs, tant pis, c’est pas forcement bon signe ni mauvais signe... par contre, en général, c’est pas utile... L’astuce consiste à ne pas désinstaller le réseau MS (ne pas cliquer sur supprimer/désinstaller) mais de retirer le lien, en décochant la case qui est à gauche de la ligne... hé hé hé Après ça (tu cliques quand même sur ok ou appliquer, enfin quelque chose pour être sur que la modif est prise en compte...), refais le test de grc, normalement c’est mieux !

Si jamais tu utilises d’autre machines, tu peux maintenant les brancher au réseau local. Normalement, de fait, elles sont protégées (un peu) par la première.

Bon, et le firewall sous Windows

Ok c’est super chiant d’installer une passerrelle Linux et t’as peut-être pas 12 ordis à ta disposition. Je te conseille d’utiliser Tiny Firewall. Il permet de bloquer les ports et en plus de choisir quelles applications accèdent à quoi. Genre, tu peux empécher Internet Explorer d’utiliser internet mais autoriser Opera ou Mozilla... Ce n’est pas forcément évident du premier coup mais c’est le prix à payer pour être bien protégé. C’est un des (reres) bon produit sous Windows, car il permet une exploitation par port, ce qui est indispensable, et par programme aussi, ce qui est convivial. En plus, c’est gratos...

Un magnifique FireWall

Avec ton Tiny firewall, il faut penser à faire 2 choses :

Par défaut, bloquer toutes les connexions entrantes, bloquer tous les ports. Ensuite tu ouvriras ce dont tu as besoin (mais en général, tu n’as pas besoin d’autoriser des choses en entrée)
Ensuite, comme sous Windows il existe un tas de logiciel qui se connecte dans ton dos à des sites (spyware), il faut aussi empécher les applis de se connecter en sortie et autoriser seulement celles que tu veux. Je sais c’est chiant, mais au moins tu es sur qu’un virus qui essaierait de se connecter quelque part sur internet ne pourra pas.

Dans le cas d’un partage de connexion, tu dois faire cela sur toutes les machines du réseau indépendemment. Evidemment, si ton routeur bloque toutes les connexions, ça risque de pas très bien marcher... c’est à toi de libérer au cas par cas les ports dont tu as besoin pour partager ta connexion... avec un minimum de pratique et de logique, tout deviendra plus clair !!

Bon courage !!

Répondre à cet article

Forum

> Firewallez vous !
14 février 2004, par Sioc

Note pour les lecteurs : après test, j’ai pu voir vite fait que Tiny FW, proposé dans l’article par des volontés externes (comprenez : j’ai confiance dans mes potes, pas besoin de tester un logiciel qu’on me dit qu’il est bien...), était en fait très brouillon et finalement compliqué à utiliser, surtout pour quelqu’un qui débute dans le domaine... en première approche, le bon vieux zone alarm sera donc largement suffisant, car bien plus simple à configurer !!
Zone Alarm (version gratos)

Répondre à ce message
- > Firewallez vous !
  21 février 2004, par Jean François Lalande
  
  En fait, le problème de Tiny FW, c’est qu’ils ont complètement refait l’interface. La version d’avant était bien plus intuitive et beaucoup plus simple. Le moteur est surement très bien et n’a peut-être même pas changé, mais pour le reste, c’est con que ce soit devenu si complexe.
  Répondre à ce message

Navigation