vendredi 23 octobre 2009

Mise en place d'un Pare-feu personnalisé sous Windows 2000

La mise en place de cette astuce nécessite quelques connaissances préalables de Windows 2000 et d'avoir aussi quelques notions de sécurité. Dans le cas contraire, mieux vaut utiliser un pare-feu "clés-en-main".

Vous avez un peu l'habitude des pare-feu, et aucun de ceux que vous avez essayé ne vous comble... Créez votre propre pare-feu sous Windows 200x ou XP. C'est le moment de plonger les mains dans le cambouis...

Windows XP est fourni avec un pare-feu intégré, mais qui ne fonctionne qu'à sens unique, et peu savent que Windows 2000 offre les outils pour créer également un pare-feu. Il est d'ailleurs possible de créer ce pare-feu avec les outils mis à notre disposition aussi sous Windows XP, grâce au système IPSec.

Il est donc envisageable de créer un pare-feu résistant sous Windows 2000, qui permet de se passer d'un logiciel tiers.

Les instructions suivantes s'appliquent à Windows 2000. Il y a quelques différences sous XP.

Etape 1 :

Nous allons créer une nouvelle Console de Gestion (Console MMC.)

1. Aller dans le menu Démarrer, puis cliquer sur Exécuter...,
2. Taper mmc, puis valider,
3. Une nouvelle session est lancée.

Etape 2 :

1. A partir du menu Console, sélectionner Ajouter/Supprimer un composant logiciel enfichable...,
2. Dans la nouvelle fenêtre, cliquer sur Ajouter...,
3. Sélectionner Gestion de la stratégie de sécurité du Protocole IP,
4. Cliquer sur Ajouter,
5. Cliquer sur Terminer dans la fenêtre qui s'ouvre (en laissant les paramètres par défaut),
6. Cliquer sur Fermer,
7. Cliquer sur OK.

Etape 3 :

Pour on ne sait quelles raisons, Microsoft n'a pas prévu le profil Bloquer, c'est-à-dire bloquer l'activité d'un port, nous devons donc le créer, ce qui devrait être faisable sans difficultés majeures...

1. Cliquer sur le signe + en regard de Stratégies de sécurité IP sur Ordinateur Local, dans le panneau gauche de la Console,
2. Cliquer avec le bouton droit sur Stratégies de sécurité IP sur Ordinateur Local, et, dans le menu contextuel, choisir Gérer les listes de filtres d'adresses IP et les actions de filtrage...,
3. Dans la nouvelle fenêtre, cliquer sur l'onglet Gérer les actions de filtrage,
4. Cliquer sur Ajouter,
5. Cliquer sur Suivant dans l'assistant qui apparaît,
6. Dans le champ Nom, taper Bloquer et, dans le champ Description, taper Bloquer les paquets IP non sécurisés,
7. Cliquer sur Suivant,
8. Sélectionner le bouton radio Bloquer,
9. Cliquer sur Suivant,
10. Cliquer sur Finir.

La liste devrait désormais inclure l'option Bloquer.

Etape 4 :

1. Fermer la fenêtre Gérer les listes de filtres d'adresses IP et les actions de filtrage,
2. Cliquer droit sur Stratégies de sécurité IP sur Ordinateur Local", dans le panneau de gauche de la console,
3. Cliquer sur Créer une stratégie de sécurité IP... dans le menu contextuel,
4. Cliquer sur Suivant lorsque l'Assistant apparaît,
5. Pour le nom, taper Pare-feu. Pour la description, taper la même chose,
6. Cliquer sur Suivant,
7. Les valeurs par défaut sont appropriées, donc, cliquer sur Suivant,
8. Cliquer sur Suivant une deuxième fois, les valeurs par défaut sont encore correctes. Kerberos risque d'afficher un avertissement, il faut l'ignorer en cliquant Oui (Cet avertissement n'apparaît que si le PC n'est pas membre d'un domaine),
9. Cliquer sur Finir pour fermer l'Assistant.

Une nouvelle fenêtre permettant de gérer les ports apparaît alors. C'est l'ocassion de tester le parefeu en créant une règle "bidon" qui bloquera toute activité sur chacun des ports. Cela ne sert à rien, sauf à tester le bon fonctionnement du pare-feu... Dans cette fenêtre, décocher Utiliser l'Assistant Ajout (il n'est pas plus difficile et tout aussi rapide de le faire manuellement...

Etape 5 :

1. Vérifier que la connexion Internet est bien active pour tester le Pare-feu,
2. Cliquer sur Ajouter,
3. Nous avons deux filtres préconfigurés, nommés Tout le trafic ICMP et Tout trafic IP,
4. Sélectionner le bouton radio en regard de l'option Tout trafic IP,
5. Cliquer sur l'onglet Action de filtrage,
6. Sélectionner le bouton radio Bloquer,
7. Cliquer sur l'onglet Liste de filtres IP,
8. Sélectionner Tout le trafic ICMP,
9. Cliquer sur l'onglet Action de filtrage,
10. Sélectionner le bouton radio Bloquer,
11. Valider,
12. Cliquer droit sur le profil Pare-feu (dans la partie droite de la console) et choisir l'option Attribuer,
13. Le parefeu est alors actif.

Essayez maintenant d'ouvrir une page web ou récupérer des messages... C'est impossible, car un IPSec bloque toute activité au niveau des ports IP et ICMP. L'ordinateur, dans cet état, est aussi sécurisé que s'il n'était pas connecté au Net... Ce n'est pas spécialement utile. Il faut donc revenir en arrière et défaire les modifications effectuées dans cette étape 5.

Etape 6 :

On suppose que les modifications faites à l'étape 5 ont été annulées.

1. Double cliquer sur la ligne Pare-feu située dans la partie droite de la console,
2. Décocher l'option <Dynamique> (ou nous n'aurons pas d'activité sur les ports, comme avant...),
3. Cliquer sur Ajouter...,
4. Dans le champ Nom, taper Filtre HTTP. La description est facultative,
5. Décocher Utiliser l'Assistant Ajout s'il est coché,
6. Cliquer sur Ajouter...,
7. Sélectionner Mon adresse IP dans la rubrique Adresse Source,
8. Sélectionner Toute adresse IP dans la rubrique Adresse de Destination,
9. Sélectionner l'onglet Protocole,
10. Sélectionner le protocole TCP,
11. Sélectionner A partir de ce port et renseigner le champ du dessous avec le numéro de port 80,
12. Encore en dessous, sélectionner Vers n'importe quel port,
13. Sélectionner l'onglet Description,
14. Entrer une description (HTTP, par exemple),
15. Cliquer sur OK,
16. Cliquer sur Fermer,
17. Dans la fenêtre, choisir la nouvelle règle que nous venons de créer,
18. Aller dans l'onglet Action de filtrage,
19. Sélectionner l'option Autoriser,
20. Cliquer sur Appliquer, puis sur Fermer.

Ces paramètres ont permis de créer une règle pour l'accès à l'internet d'un serveur Web.

Il faut désormais reprendre les ports utilisés par les différentes applications installées sur votre PC et définir les règles adaptées à chacune. C'est un travail de longue haleine, mais il permet de se créer un pare-feu efficace et sur mesure...

Le scan des ports pourra se faire à l'adresse suivante :

http://scan.sygate.com.

Source (le site n'existe plus, malheureusement...) : http://www.lilserenity.dynalias.org:8080/lilslaptops/network/560z_p2.htm

(Merci à Vicky de m'avoir autorisé à utiliser son tutoriel comme base pour le mien). ;)

Aucun commentaire:

Enregistrer un commentaire