Sécurité

Cet article a pour but de traité de la sécurité sur Internet. Comment se prémunir des attaques sur Internet et laisser le moins de traces possible. J'aborderais en premier lieu de pare-feu qui est la partie la plus importante dans la sécurisation de votre poste ou réseau puis je parlerais des quelques manipulations nécessaires pour améliorer la sécurité de Windows sur 2000 et XP. Je donnerais au passage quelques notions de réseau si je trouve que cela est nécessaire.

Cet article n'est pas encore fini, j'ajouterais aussi des informations selon les demandes des lecteurs.

Plan:
I) Le Pare-feu
1. pare-feu logiciel
2. pare-feu matériel

II) Sécurisation de Windows 2000/XP
1. services Windows
2. logiciels

III) Navigateur web et contrôles
1. sécurité du navigateur
2. logiciels

IV) Tests de sa configuration
1. commandes
2. scans en ligne

V) Pour aller plus loin
1. proxy
2. logiciels
3. configuration pare-feu avancé

I le Pare-feu

C'est l'élément le plus important de la sécurité, c'est qui sert de filtre entre Internet et votre PC ou votre réseau local. Il ne faut pas se dire oui mais ce n'est pas grave personne ne va m'attaquer ! Au contraire chacun instant quasiment nous subissons une attaque par forcément grave mais une attaque tout de même.

Il est très aisé de repérer une cible potentielle. Une commande simple : ping permet de nous dire si la cible existe ou pas. Prenons un exemple on ouvre, Démarrer->exécuter puis taper cmd. Dans la nouvelle fenêtre taper : ping www.warparadise.com
Si vous êtes connectés à internet vous recevrez des messages vous confirmant l'arrivez des paquets et le temps nécessaire. Ainsi si votre routeur ou votre ordinateur réponds à ce genre de requête n'importe qui peut connaître votre existante simplement en faisant des scans au hasard.

Avant de continuer, je vais peut être présenté les deux types de configuration qu'il existe chez l'abonné lambda.
* Soit un modem ADSL connectés directement au PC.
* Soit un routeur ADSL et plusieurs PC derrière. C'est que nous possédons lorsque nous avons une FreeBox, NeufBox et autre ***Box. Pour être exact elles réunissent un modem ADSL (accès à Internet), un point d'accès 802.11 (Wireless LAN), un routeur (pour aiguiller les paquets) et un pare-feu.

Pour la première configuration, c'est simple votre seule et unique protection se trouve sur votre PC c'est donc à vous d'installer votre Pare-feu logiciel sur votre machine pour éviter les attaques.

Pour la deuxième configuration, c'est un peu plus compliqué vous possédez déjà un pare-feu intégré à votre Box mais cela ne garantit en rien votre sécurité de base il laisse tout simplement tout passé depuis votre connexion internet. Nous ne sommes donc pas plus protégés que la première configuration.


I.1 pare-feu logiciel

Je vais tout d'abord présenter le pare-feu logiciel. C'est celui que nous installerons en 1er. J'en propose plusieurs :
* Kerio Personnal Firewall
* Sygate Personnal Firewall
Il en existe d'autre payant d'excellente qualité mais c'est deux là sont efficace et on l'avantage d'être gratuit. La qualité d'un firewall vient de toute façon souvent de la qualité de sa configuration.

Je présenterais ici le 1er : Kerio. Mais la configuration que je présenterais s'applique à n'importe quel Firewall.

Allez dans l'onglet Sécurité du réseau puis dans "Filtrage..."

Attention l'ordre des règles est capital puisque c'est l'ordre dans lequel le firewall va effectuer le filtrage.


Règle n°1:
Description: Loopback
Application: Any
Protocole: TCP et UDP
Local:
Distant: 127.0.0.1
Direction: Sortant
Action AUTORISER

Attention si vous utilisez un proxy vous devez modifier cette règle. Sinon vous créer simplement une porte ouverte. Par exemple si vous utilisez un proxy sur le port 8080 il faut autoriser uniquement le trafique distant sur tous les ports exceptés le 8080. Je précise cette remarque même si j'ai un doute sur le fait que quelqu'un utilise un proxy et lise cet article.

Information: Loopback ou boucle locale est utile pour accéder par exemple à des services crées sur votre propre machine. Il y a une autre remarque, cette règle très commune dans les pare-feu pourrait être utilisée pour réaliser une attaque de type IP-Spoofing. Ce type n'étant pas une attaque basique je ne m'étendrais pas sur le sujet.


Règle n°2:
Description: DNS primaire
Application: Any
Protocole: UDP
Local:
Distant: Votre DNS primaire.* Port: 53.
Direction: Les deux
Action AUTORISER

*Ce DNS primaire pour les box c'est tout simplement l'adresse IP de leur routeur. Par exemple dans le cas de la LiveBox : 192.168.1.1. Il n'y a qu'un seul DNS à renseigner dans ce cas.
Dans le cas d'un simple modem ADSL, il suffit de taper ipconfig /all lorsque l'on est connecté pour obtenir les deux adresse IP des serveurs DNS.

Information: Le DNS (Domain Name Server, Serveur de noms de domaines) est lui qui permet de faire la traduction nom <-> IP. Lorsque vous tapez www.warparadise.com c'est lui qui va vous donner l'adresse IP associé pour que vous puissiez arriver au site web.


Règle n°3:
Description: ICMP Entrant
Application: Any
Protocole: ICMP: 0, 3, 11
Local:
Distant:
Direction: Entrant
Action AUTORISER

On accepte en entrée : la réponse d'écho, destination inaccessible, temps dépassé.


Règle n°4:
Description: ICMP Sortant
Application: Any
Protocole: ICMP: 8
Local:
Distant:
Direction: Sortant
Action AUTORISER

On accepte en sortie : écho (demande).


Règle n°5:
Description: Refuser ICMP
Application: Any
Protocole: ICMP
Local:
Distant:
Direction: Les Deux
Action REFUSER

On bloque tous le reste. Ces messages sont très dangereux et sont responsable de pas mal de failles de sécurité. Ce sont eux notamment qui permettent de recevoir un écho lorsque l'on fait un ping et donc de connaître votre existence.


Règle n°6:
Description: Refuser IGMP
Application: Any
Protocole: IGMP
Local:
Distant:
Direction: Les Deux
Action REFUSER

Ce n'est pas un copié-collé foireux. On parle ici d’IGMP rien à voir avec ICMP. Internet Group Management Protocol, cela permet de s'inscrire à un groupe pour faire par exemple des visioconférences sans inonder le réseau. Inutile de le laisser activé.

Règle n°7:
Description: Refuser NetBIOS local
Application: Any
Protocole: UDP et TCP
Local: 137-139
Distant:
Direction: Les Deux
Action REFUSER


Règle n°8:
Description: Refuser NetBIOS distant
Application: Any
Protocole: UDP et TCP
Local:
Distant: 137-139
Direction: Les Deux
Action REFUSER

Les règles 7 et 8 bloquent le trafic NetBIOS. C'est un trafique très dangereux responsable de très nombreuses failles de sécurité c'est associé au nom de machine Windows. Il n'y a aucune raison de le laisser activé. Il peut être utile dans son réseau personnel lorsque l'on veut utiliser le nom de la machine Windows au lieu de son adresse IP. Mais je préfère quand même le désactivé. Je proposerais une configuration spéciale si nécessaire.


Règle n°9:
Description: Refuser Services Windows
Application: Any
Protocole: TCP et UDP
Local: 123, 134, 445, 500, 1900, 5000
Distant:
Direction: Entrant
Action REFUSER

Ces ports sont des ports souvent en écoute par des services Windows, il est donc préférable de les fermer pour éviter toute attaque sur ces ports. Nous verrons dans la partie suivante comment arrêter les services qui posent problème à la sécurité de Windows.


Règle n°10:
Description: Ports locaux
Application: Any
Protocole: TCP et UDP
Local: 1024-1028
Distant:
Direction: Entrant
Action REFUSER

Principaux ports utilisé pour les scans. A verrouiller.


Règle n°11:
Description: Navigateur WEB
Application: Votre Navigateur (IE, Firefox, Opéra).
Protocole: TCP et UDP
Local:
Distant: 21, 80, 443
Direction: Sortant
Action AUTORISER

J'autorise ici trois connexion sur le port 21, 80, 443.

Je commence par le port 80 probablement le plus connu puisque c'est celui ci sur lequel on se connecte sur un serveur web (plus exactement lorsque l'on utilise le protocole http). (A noter qu'il n'est pas nécessaire d'avoir son port 80 ouvert comme je l'entends souvent dire. Vous vous connectez sur le port 80 du serveur et donc vous n'avez absolument pas besoin d'avoir votre port 80 ouvert !)
Le 443 est utilisé pour le protocole https. La célèbre version sécurisée du protocole http que nous nous servons sur les sites bancaires ou autres.
Le port 21 quand à lui sert pour le protocole ftp (File Transfert Protocole), c'est le port qui sert de contrôle pour la connexion du transfert qui se déroule sur un autre port.


II) Sécurisation de Windows 2000/XP

1. services Windows

Il existe de nombreux services Windows qui sont démarrés mais qui ne servent absolument jamais. Ils posent deux problèmes : ils consomment des ressources et il posent des problèmes de sécurité.

Pour accéder aux services : démarrer, exécuter puis taper services.msc

Voici une liste des services à désactiver pour des raisons de sécurité :

- Accès à distance au registre
- Administration IIS
- Affichage des messages
- Assistant TCP/IP NetBIOS
- Avertissement
- Connexion secondaire
- DDE réseau
- DSM DDE réseau
- Fournisseur de la prise en charge de sécurité LM NT
- Gestionnaire de l'album
- Gestionnaire d'aide sur le Bureau à distance
- Horloge Windows
- Hôte de périphérique universel Plug-and-Play
- Journaux et alertes de performance
- Ouverture de session réseau
- Partage de bureau à distance NetMeeting
- Publication FTP
- Publication World Wide Web
- Routage et accès distant
- Service de découvertes SSDP
- Service de rapport d'erreur
- Service Terminal Server
- Telnet
- WebClient

Voici deux liens pour en apprendre plus sur les services Windows:
Services Windows : PC Astuces
Services Windows : Zebulon

A suivre... ou pas