Les firewalls

Introduction

Correctifs essentiels

Firewalls

Nécessité

Ports

Types de firewalls

Firewalls Linux

Utilisation

Liens

Antivirus

Spywares

E-mail

Confidentialité

Liens utiles

Nécessité d'un firewall

Les virus ne constituent pas le seul risque rencontré sur Internet. Des personnes mal intentionnées peuvent tenter de s'introduire sur tout ordinateur connecté. Il peut s'agir d'ados qui s'amusent avec un bout de logiciel tout prêt permettant ce genre d'intrusion. Mais on peut aussi avoir affaire à des pirates chevronnés, et des mesures sérieuses s'imposent.

Le risque est plus grand si l'on dispose d'une connexion permanente et à haut débit (ex. ADSL), et d'une adresse IP fixe (ou qui change peu, ou peu souvent). Dans ce cas, un firewall est de rigueur.

Le risque n'augmente pas seulement avec le temps et le débit de la connexion, ou l'utilisation d'une ligne dédiée. Il est aggravé par un défaut de vigilance (surf et téléchargements sauvages sur des sites douteux) ou l'utilisation de certains programmes qui conduisent à publier son adresse IP (IRC - "chat").

On pourrait aussi se croire protégé à tort par l'emploi d'un routeur. Malgré ses capacités de filtrage, son travail se limite à la répartition ou au blocage passif des données (et non à leur filtrage).

Un firewall est un dispositif logiciel permettant de surveiller tout transit de données entre un ordinateur et un réseau, et éventuellement de bloquer tout ou partie de ce trafic. Les "firewalls matériels" sont en fait des firewalls logiciels installés à demeure sur des embryons d'ordinateur dédiés à cet usage.

Adresse IP ; trafic entrant, sortant ; ports

Un ordinateur est identifié sur Internet par son adresse IP (son "numéro de téléphone" en quelque sorte). Il s'agit d'une succession de 4 octets (entiers compris entre 0 et 255), par exemple 123.123.123.123. Si vous ne connaissez pas la vôtre, il est probable qu'elle change à chaque connexion. Vous pouvez la vérifier ici.

Tout ordinateur peut envoyer (sens sortant -- outbound) ou recevoir (sens entrant -- inbound) des "paquets" (morceaux de données), par exemple lors du téléchargement d'une page web ou de l'envoi d'un fichier. À noter que la direction n'est pas toujours intuitive : p. ex. lorsque vous relevez votre courrier électronique, vous envoyez en fait une requête au serveur de messagerie donc le sens de la connexion est sortant.

Les ports TCP

L'ordinateur et le réseau sont à l'écoute l'un de l'autre à travers toute une série de ports (logiciels -- des "services" permettant à l'ordinateur de démêler la destination des différents paquets). Dans le cas du protocole TCP-IP [¹] qui sert à la communication sur Internet [²], ces ports sont numérotés de 0 à 65535, mais les 1024 premiers sont plus importants car leur signification est fixe. Citons par exemple :

• les ports 20 et 21 : utilisés pour les connexions FTP (téléchargements) ;
• le port 25 : utilisé pour la connexion SMTP (envoi de courrier électronique) ;
• le port 80 : utilisé pour la connexion HTTP (surf sur le web) ;
• le port 110 : utilisé pour la connexion POP3 (réception de courrier électronique) ;
• le port 119 : utilisé pour la connexion NNTP (lecture des newsgroups) ;
• le port 443 : utilisé pour la connexion HTTPS (lecture de pages web sécurisées), etc.

On peut en trouver la liste complète ici.

On peut voir ces ports comme des portes battantes permettant a priori la circulation bidirectionnelle des données sans restriction. Un pirate n'aura aucune difficulté à se procurer un logiciel scanner de ports, trouver les adresses IP des ordinateurs connectés et leurs ports ouverts, et se promener dedans...

Un port peut être

• ouvert : la pire des situations ; celle qui constitue pourtant le cas général en l'absence de firewall. Le port laisse entrer et sortir tout ce qui s'y présente.
• fermé : un moindre mal. Ce port ne laisse rien passer, mais répond quand même (... qu'il est fermé) aux sollicitations ("pings") d'une autre machine, révélant ainsi la présence d'un ordinateur à cette adresse IP.
• furtif (stealth) : le port reste muet aux sollicitations des autres ordinateurs. Votre PC reste invisible. C'est le cas le plus favorable, celui qui est garanti par les bons firewalls.

Les sites de test de sécurité vous permettent de contrôler le statut des ports de votre ordinateur.

Firewalls : types ; utilité ; mode d'emploi

Le rôle d'un firewall est d'interdire ou d'autoriser le trafic par les ports précédents, dans un sens ou l'autre, en connaissance de cause et sur la base de règles bien adaptées.

Prenons un exemple. Vous lisez / envoyez du courrier électronique (et cela seulement). Un trafic sur les ports 25 et 110 est donc normal. Votre firewall vous indique-t-il une tentative de sortie sur un autre port ? C'est peut-être le signe que votre ordinateur est infecté par un programme du type "cheval de Troie". Mais peut-être aussi êtes-vous en train de regarder un courrier au format HTML contenant une image, ou plutôt un lien vers celle-ci ? Dans ce cas, une sortie sur le port 80 est "normale". Quoique... ces derniers temps, on a beaucoup parlé de courriers HTML contenant des liens "piégés", qui ne téléchargent pas que des images sur votre machine...

Bref, c'est à chacun d'être sur ses gardes.

• Les firewalls logiciels sont des programmes ("services") installables sur chaque machine ;
• Les firewalls matériels équipent les (modems-)routeurs de grandes marques (Netgear, Linksys, D-Link... mais aussi les schtroumpf-box diverses) et protègent tous les ordinateurs qui leur sont raccordés.

Les deux rendent les mêmes services. 

• Les firewalls logiciels sont plus simples à paramétrer (ils disposent en général d'un mode "apprentissage"). En outre, dans le cas d'un ordinateur portable, ils l'accompagnent en déplacement.

• Les firewalls matériels sont en théorie mieux prémunis des faiblesses du système d'exploitation de l'ordinateur sur lequel ils veillent. En effet, ils embarquent en quelque sorte leur propre système d'exploitation avec eux. Ils sont aussi moins "bavards" : les alertes sur les tentatives d'intrusion, au lieu de s'afficher directement à l'écran, sont simplement consignées dans un fichier journal.

• PC fixe (ou PC portable à domicile), derrière un modem-routeur-firewall : pas de souci, c'est la situation la plus favorable.
• PC connecté derrière un simple modem ADSL, ou portable itinérant derrière une clé USB 3G+ : danger ! Ces matériels n'assurant aucune protection, la présence d'un firewall logiciel est cruciale.

Sites de test des firewalls

Les firewalls Linux

Utilisation

Vous pouvez utiliser votre firewall pour ouvrir ou fermer les ports de votre choix.

• Voici l'aspect au démarrage de Gufw (interface à UFW) :
  
  

  

  ... et la mise en place d'une règle autorisant le port 21 (service FTP) en direction de l'adresse IP locale 192.168.0.10 :
  
  

  
  
  

• Et voici une règle similaire créée dans l'interface d'un modem-routeur-firewall :
  
  
  

Après l'installation, il est de toute façon avisé de retourner sur les sites de tests afin de confirmer la sécurité du système.

Une stratégie suggérée : 

1. Aller sur Shields UP!!, pour une vérification globale. Si des ports sont ouverts, le firewall devrait réagir à la "tentative d'intrusion". 

2. Pour chaque port ouvert de manière indésirable, une règle de blocage doit être créée.

3. De nouveau sur Shields UP!!, choisir l'option "Custom Port Probe" pour sonder juste le port incriminé et vérifier ainsi l'efficacité de la nouvelle règle.

Liens utiles

• Fonctionnement détaillé d'un firewall
• tests de securité des firewalls :
  • Shields UP!!
  • PC Flank
• iptables
• UFW

Notes

[¹] Transmission Control Protocol - Internet Protocol

[²] Il existe un autre protocole, UDP (User Datagram Protocol) qui est sert occasionnellement en utilisant les mêmes ports.