Objectif de l'article : savoir configurer un pare-feu de façon à mieux protéger son PC.

Contre quoi ça protège :

et contre quoi ça ne protège pas

Les bases : IP, ports, pare-feu, anti-virus

Attention, métaphore caricaturale ci-dessous (mais qui semble bien aider les néophytes de mon entourage) :
  1. Votre PC est un domicile.
  2. Votre IP est son adresse.
  3. Vos programmes sont ses habitants.
  4. Les ports sont les téléphones du domicile (il y en a 65536=2^16).
  5. Votre pare-feu (par exemple Comodo Firewall) est une secrétaire qui autorise ou non les habitants à communiquer avec les étrangers selon :
  6. Votre anti-virus (par exemple Avast) est un portier/videur qui surveille les portes du domicile et refoule les invités ayant un casier judiciaire (les virus).
  7. Par contre, il ne peut pas réagir contre les criminels sans casier judiciaire (ou ceux ayant subi une opération de chirurgie plastique visant à les dissimuler) : c'est le travail d'un IDS/HIPS comme Comodo Defense+ (en gros, un opérateur des caméras de surveillance de votre domicile)
  8. L'IDS vous préviendra dès qu'il repèrera un comportement suspect. C'est ensuite à vous de décider si l'action est légitime.

Notre tâche est de donner une liste d'instructions au gardien pour qu'il autorise les communications légitimes (et seulement celles-ci). Avant de créer ces règles (partie 4), il faut connaître les adresses importantes (partie 2) ainsi que les ports utilisés par les applications courantes (partie 3).

Si vous souhaitez vous enfoncer dans les informations techniques, voici quelques articles de Wikipedia et Google :

Les plages d'IP

Nous allons supposer que vous êtes dans un cas relativement classique où les machines de votre réseau local ont des adresses IP comprises entre 192.168.1.0 et 192.168.1.254. Si chez vous, c'est 192.168.0.###, je vous fais confiance pour adapter.

Nom IPv4 IPv6 Utilité
localhost 127.0.0.1 ::1 votre ordinateur se "parle tout seul"
broadcast 192.168.1.255 n'existe plus Le message est envoyé à l'ensemble des machines du réseau local (adresses de 192.168.1.0 à 192.168.1.254)
broadcast 192.168.255.255 n'existe plus Le message est envoyé à l'ensemble des machines du réseau local (adresses de 192.168.0.0 à 192.168.255.254)
broadcast 255.255.255.255 n'existe plus Le message est envoyé à l'ensemble des machines du réseau local (que vous soyez sur du 192.#.#.# ou du 172.#.#.#, ça partira sur la bonne plage d'adresses)
plage locale 192.168.1.0-->192.168.1.254 fe80::/10 adresses des machines sur le réseau local ; utilisables uniquement depuis l'intérieur du réseau
Freebox 192.168.1.254 Adresse interne
multicast 224.0.0.1-->239.255.255.255 ff00::/8 IGMP, MLD, SSMP
Microsoft
 64 400à 64 4 63255
 655200à 6555255255
2074600à20746255255
Steam
146661520à14666153255
208642000à20864203255
Serveurs Steam (Valve)
Comodo  91.209.196.4 à  91.209.196. 28
199. 66.200.0 à 199. 66.207.255
2a02:1788:2fd::ab et 2a02:1788:4fd::b2ff:5201 Serveurs de mise à jour (download.comodo.com)
Google
 64.233.160.0à64.233.191.255
 66.102.  0.0à66.102.15.255
 66.249. 64.0à66.249.95.255
 72. 14.192.0à72.14.255.255
 74.125.  0.0à 74.125.255.255
209. 85.128.0à209.85.255.255
216.239. 32.0à216.239.63.255
SSDP (upnp ?) A RANGER DANS MULTICAST 239.255.255.250 Simple Service Discovery Protocol
lignes par page
Page /

Les ports auxquels vous aurez le plus souvent affaire

Ports Protocole Entrant/sortant Utilité
80 TCP OUT http (sites internet, avec votre navigateur)
443 TCP OUT https (sites internet sécurisés, avec votre navigateur)
137 à 139 UDP OUT NetBIOS (~échanges de noms entre les PC d'un réseau local)
21 TCP OUT FTP (File Transfer Protocol avec Filezilla)
22 TCP OUT SSH (Secure Shell, avec Putty)
25 TCP OUT SMTP : envoi e-mail
110 TCP POP : réception e-mail (privilégiez l'IMAP si possible)
143 IMAP : réception e-mail
53 TCP OUT Accès aux serveurs DNS (conversion "nom de site --> "adresse IP")
5222 XMPP / Jabber (messagerie instantanée)
5223 XMPP / Jabber sécurisé (messagerie instantanée)
123 UDP OUT NTP (Network Time Protocol, synchronisation de l'horloge de votre PC)
445 TCP OUT Partage Windows
27014 à 27050 TCP OUT Steam
27000 à 27030 UDP OUT Steam
lignes par page
Page /

La configuration proprement dite

Expliquer pourquoi j'ai choisi comodo

Créer les "network zones"

On crée les "network zones" et on leur attribue les IP ou plages d'IP.

problème avec l'image

Créer les "Port sets"

problème avec l'image

25/03/2013