Le fonctionnement et l'importance d'un pare-feu

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85143
Inscription : 10 sept. 2005 13:57
Contact :

Le fonctionnement et l'importance d'un pare-feu

Message par Malekal_morte » 13 janv. 2008 17:14

Voici un article qui aborde le fonctionnement des pare-feux pour mieux comprendre son utilité.
Le pare-feu est un élément de sécurité important mais qui est assez méconnu de la majorité des internautes.
Il existe une page (qui commence à être ancienne) sur le site Article sur le fonctionnement des firewall sous Windows qui abordait déjà les principes de fonctionnement.

Cette page-ci sera un peu plus détaillée.. en espérant que vous puissiez bien comprendre l'importance des enjeux des pare-feux.


Qu'est-ce-qu'un pare-feu ? A quoi sert un pare-feu ?

Le pare-feu (firewall en anglais) est un élément de sécurité important. Le pare-feu permet de contrôler le trafic réseau, il est capable de bloquer le trafic réseau entrant et sortant selon des règles pré-établies.
De ce fait, le pare-feu est important pour protéger l'accès à des services réseaux ou contre les malwares/virus.

On entend par trafic réseau :
  • Entrant : les connexions réseau depuis un réseau tiers VERS votre machine.
  • Sortant : les connexions réseau émisent depuis la machine vers un autre réseau (dans notre cas ce sera internet).
.

Visualisation du traffic avec Glasswire (Tutoriel GlassWire) :
Image

Le pare-feu pmieut être sous la forme logiciel, lorsqu'il est installé sur un ordinateur, mais il peut aussi être sous la forme de boitier, dans le cas d'un firewall matériel. Exemple avec le Pare-feu OVH Cisco.

Ici nous parlerons des pare-feu Windows.

Le but du pare-feu en matière de protection est donc :
  • de bloquer les intrusions depuis un réseau tiers.
  • améliorer de manière sensible la sécurité en bloquant les services/applications sensibles qui peuvent mettre en péril la sécurité de la machine. La majorité des internautes ont entendu parler du vers Blaster. Ce dernier utilisé une vulnérabilité distante sur un service Windows pour se propager de machines en machines. Si les internautes utilisaient un pare-feu, Blaster n'aurait pas fait autant de dégâts (bien que la meilleure parade reste de maintenir Windows et ses logiciels à jour pour combler les vulnérabilités). C'est pourquoi Microsoft a incorporé un pare-feu dans le service pack 2 de Windows XP.
  • protéger son ordinateur des infections. Cet aspect sera détaillé plus bas dans cet article.
  • assurer un contrôle de l'activité de son PC. Le pare-feu permet de s'assurer qu'aucune autre application que celles que vous avez décidé ne peut interagir avec internet. Dans le cas où vous avez plusieurs utilisateurs, vous êtes certain que si un autre utilisateur exécute une application, elle n'aura pas accès à internet.
Le pare-feu utilise un jeu de règles pour établir si une application a le droit ou non de se connecter à internet.
Généralement l'utilisateur a le droit à trois règles :
  • Autoriser : l'application a le droit d'établir des connexions entrantes et sortantes.
  • Bloquer : l'application n'a pas le droit de recevoir des connexions entrantes ou établir des connexions sortantes.
  • Personnaliser : l'utilisateur établi lui même de règles sur l'application.
Image

Image

Voici un exemple concret.
Sur la capture ci-dessous, nous voyons qu'à droite, l'application iexplore.exe (Internet Explorer) a le droit de se connecter à internet (Allowed).
A gauche, sur le navigateur WEB Internet Explorer, la page WEB (ici Google) s'affiche.

Image

Maintenant nous bloquons l'accès à internet à l'application Internet Explorer (blocked) sur le pare-feu.
Le pare-feu bloque alors la connexion depuis le navigateur WEB. La page Google ne s'affiche plus, nous obtenons une erreur 404.

Image

Pour attribuer ou non à une application la connexion à internet, le pare-feu utilise le mode apprentissage.
A chaque nouvelle application qui tente de se connecter à internet, le pare-feu va alors afficher une alerte pour demander à l'utilisateur si cette nouvelle application peut ou non se connecter à internet. Les options sont en général :
  • Autoriser cette instance : le programme aura accès à internet uniquement durant cette instance d'exécution. Aucune règle sur le pare-feu pour cette application n'est créée. Lors de la prochaine exécution de l'application, l'alerte de sécurité s'ouvrira à nouveau.
  • Bloquer cette instance : le programme n'aura PAS accès à internet uniquement durant cette instance d'exécution. Aucune règle sur le pare-feu pour cette application n'est créée. Lors de la prochaine exécution de l'application, l'alerte de sécurité s'ouvrira à nouveau.
  • Toujours autoriser les connexions sur tous les ports (recommandé) : une règle est créée pour cette application qui pourra accéder à internet à chaque nouvelle exécution.
  • Toujours bloquer les connexions sur tous les ports : crée une règle sur le pare-feu qui bloque la connexion pour cette application de manière permanente.
  • Créer une règle de filtrage manuellement : permet de créer une règle personnalisée, l'utilisateur définit les paramètres de la règle.
Il est à noter que de plus en plus de pare-feux scannent automatiquement l'ordinateur a l'installation afin de créer les règles automatiquement pour ne pas submerger l'internaute de popups incessantes.


les pare-feux dans la protection contre les infections

Avant de rentrer dans le vif du sujet, un petit rappel sur les infections.
La majorité des infections ont besoin de se connecter sur internet car :
  • Dans le processus d'infection, beaucoup d'infections débutent par un Trojan-Downloader qui va télécharger les composants de l'infection et les exécuter sur la machine.
  • L'infection une fois installée a besoin de se connecter à internet pour effectuer les tâches pour lesquelles elle a été prévue : interagir avec les pirates pour permettre le contrôle de la machine (botnet), se connecter à des serveurs de mails pour envoyer des mails de SPAM, se connecter à un site pour effectuer une attaque etc..
Le pare-feu peut être important dans ces cas-là car :
  • Le pare-feu peut faire avorter l'infection, si le Trojan-Downloader ne peut se connecter à internet, il ne pourra télécharger et faire exécuter les composantes de l'infection sur le PC.
  • Dans le cas de l'infection, le pare-feu peut détecter le trafic anormal issu de l'infection et le bloquer. Petit bémol, ce n'est pas toujours le cas (voir plus bas dans la partie limite des pare-feux).
Voici un exemple de visite d'un site sensible, à savoir un site de crack, avec un navigateur WEB non à jour et ayant des vulnérabilités.
Tout ceci est fait avec un antivirus désactivé.

Image

Sur la capture ci-dessus, COMODO Firewall fait une alerte à la visite du site WEB en précisant : "IEXPLORE.EXE (Internet Explorer) est une application sûre, qui est sur le point de créer un nouveau fichier/dossier C:\Documents and Settings\All Users\Start Menu\Programs\Startup\msn_0801_upd102045.exe"

Via une faille de sécurité, le site tente d'exécuter le fichier msn_0801_upd102045.exe qui installe une infection BZub.
Le pare-feu permet de bloquer l'exécution et la connexion de ce fichier source d'infection.
S'ensuit une seconde alerte :

Image

où le pare-feu nous informe qu'IEXPLORE.EXE (Internet Explorer) tente d'exécuter le fichier tmp3152.exe (qui sur le nom semble louche). Le pare-feu nous informe aussi qu'il a détecté un "possible malware behavior" c'est à dire un comportement suspect proche de ceux utilisés par les malwares.

En bloquant l'exécution du fichier, Internet Explorer affiche un message d'erreur d'exécution du fichier (ce qui est normal puisque le pare-feu empêche son exécution) :
Image

Voici le scan Virus Total du fichier :
Fichier tmp3152.exe reçu le 2008.01.13 13:47:26 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/32 (25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 TR/Dropper.Gen
Authentium 4.93.8 2008.01.12 -
Avast 4.7.1098.0 2008.01.12 -
AVG 7.5.0.516 2008.01.12 PSW.Generic5.AGSP
BitDefender 7.2 2008.01.13 -
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.13 -
eSafe 7.0.15.0 2008.01.10 suspicious Trojan/Worm
eTrust-Vet 31.3.5451 2008.01.11 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.13 -
Fortinet 3.14.0.0 2008.01.13 -
F-Prot 4.4.2.54 2008.01.13 -
F-Secure 6.70.13030.0 2008.01.12 Trojan-Spy.Win32.BZub.bxb
Ikarus T3.1.1.20 2008.01.13 Trojan-Spy.Win32.BZub.bxb
Kaspersky 7.0.0.125 2008.01.13 Trojan-Spy.Win32.BZub.bxb
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.13 -
NOD32v2 2787 2008.01.13 a variant of Win32/TrojanDropper.Agent.NHB
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.13 -
Prevx1 V2 2008.01.13 -
Rising 20.26.62.00 2008.01.13 -
Sophos 4.24.0 2008.01.13 -
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.13 -
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.12 -
Webwasher-Gateway 6.6.2 2008.01.13 Trojan.Dropper.Gen
Information additionnelle
File size: 106496 bytes
MD5: 32ffbc52c6847043347f62002f66a263
SHA1: 418c6b14e50f6e6708fc1398e979d348a7a7a1c0
PEiD: -
packers: UPX
packers: PE_Patch.UPX, UPX
Deux autres captures avec deux autres pare-feux qui détectent donc le fichier msn_0xxx_updxxxxx.exe :

Image
Image

On notera l'utilisation du social engineering avec l'utilisation du mot msn dans le nom du fichier infectieux afin de semer le doute chez les internautes, fichier légitime ou non ?
En faisant le bon choix (bloquer le fichier), le pare-feu a permis sans antivirus de bloquer l'installation de l'infection.

Les injections de processus systèmes :
Les limites peuvent aussi être techniques, beaucoup de pare-feu afin de limiter les notifications configurent l'accès automatiquement aux processus. De nouvelles techniques peuvent être utilisées par les malwares/virus pour contourner des règles pré-établies et pouvoir se connecter au serveur de contrôle.
Une des techniques les plus communes est : l'injection de processus, malwares/virus prend le contrôle et manipule des processus systèmes, le plus courant étant svchost.exe
Or ce processus a besoin d'accéder à internet pour que des fonctionnalités de Windows puissent fonctionner, notamment pour mises à jour Windows Update.
Il y a donc de fortes chances qu'une règle pré-établie autorise svchost.exe à accéder à internet.
Si le pare-feu ne détecte pas ces l'injection de processus, il est donc fort probable que le malware puisse se connecter au serveur de contrôle.
la manipulation de processus systèmes (lancer un processus svchost.exe - le pare-feu aura créé un accès à ce processus), comme le malware restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot et l'injection dans les processus systèmes.

Exemple d'injection de processus avec le malware Bedep :


Quelques autres exemples à travers le Comparatif Antivirus : Les conclusions et limites des parefeu

Suite à la démonstration ci-dessus, on notera que :
  • Le pare-feu permet de bloquer l'installation de l'infection même sans antivirus. Dès lors, il permet d'être un complément important de l'antivirus dans la protection d'un ordinateur sur internet, surtout face aux infections inconnues de celui-ci.
  • Beaucoup des pare-feux personnels à l'heure actuelle s'approchent des IDS / HIPS puisque certains détectent les modifications du registre, d'autres incorporent une détection comportementale et enfin certains permettent l'exécution ou non de nouveaux fichiers. Ce qui est un plus indéniable.
Les limites des pare-feux sont doubles :
  • Une fois l'infection installée, le pare-feu peut permettre de bloquer ce pourquoi l'infection a été conçue. Par exemple, si l'infection est prévue pour envoyer des mails de SPAM à votre insu, le pare-feu va détecter le trafic sortant vers les serveurs de mails et vous en informer. Il est alors possible de bloquer ce trafic.
    Néanmoins, il est toujours possible techniquement de duper le pare-feu, en première ligne, l'utilisation des rootkits ancrés très bas dans le système peut permettre d'outrepasser le pare-feux installé.
    On revient alors au jeu du chat et la souris entre les auteurs de malwares et les éditeurs de sécurités.
    Cet aspect ne sera pas évoqué en détail dans cet article, certains tests dits leaktests (test de fuite) permettent de tester l'efficacité des pare-feux.
    Je vous renvoie vers un article très bien fait de Kaspersky : Les leaktests en tant qu'outil d'évaluation de l'efficacité du pare-feu.
  • La seconde limite des utilisateurs est l'internet. La majorité des pare-feux fonctionnant en mode apprentissage, un utilisateur non averti, ne connaissant pas son système peut ne pas savoir quelle application laisser passer ou non. Lors d'une tentative d'infection, si l'utilisateur fait le mauvais choix en autorisant l'application sur le pareu-feu, l'infection s'installera sans soucis.
Or dans certains cas, avec un soupçon de social engineering, il est très difficile pour l'internaute de faire la part des choses.

Nous ne pouvons que conseiller de suivre cette recette : si vous ne savez pas ce qu'est l'application/fichier, bloquez-la sur le sur pare-feu; il est ensuite possible de poser la question sur des forums, dans le cas d'une application/fichier légitime, vous autorisez par la suite l'application/fichier sur le pare-feu.

FAQ sur les pare-feux

Une petite FAQ sur les questions qui reviennent le plus souvent sur les pare-feux.

Q - Est-ce que le pare-feu de Windows XP XP2 est efficace ?

Le pare-feu de Windows XP SP2 ne filtre que le trafic entrant, dès lors il ne protège que des intrusions venant de l'internet, comme par exemple les scans ou les infections automatisés (vers) qui exploitent des failles à distance comme c'était le cas du ver Blaster.
Il ne protège pas contre les infections via des Exploits sur les sites WEB piégés puisque le Trojan-Downloader à l'origine de l'infection va émettre une connexion sortante afin de télécharger le reste de l'infection sur un site WEB.
De plus, il est très facile aux infections d'ajouter des exceptions sur le pare-feu de Windows XP SP2. En effet, les exceptions ne sont que des entrées dans la base de registre, en exécutant les fichiers infectieux avec les droits administrateurs, le malware n'a juste qu'à ajouter l'entrée dans le registre pour mettre les fichiers infectieux en exception sur le pare-feu de Windows XP SP2.
En outre, les pare-feux s'approchant de plus en plus des IDS, il est conseillé d'en installer pour améliorer la sécurité de son PC.

Q - Je me connecte via un routeur, suis-je protégé ?

Un routeur agit comme pare-feu pour les ordinateurs du réseau local qui y sont connectés. Le routeur n'autorise que les connexions initialisées depuis le réseau local.
C'est à dire qu'il va autoriser les connexions sortantes depuis un ordinateur du réseau local et bloquer les connexions depuis internet via ces ordinateurs.
Dès lors, on retombe sur le cas ci-dessus avec le pare-feu Windows XP SP2.
Vous serez protégé des vers automatiques qui exploitent des failles distantes mais pas des autres infections.
Les pare-feux s'approchant de plus en plus des IDS, il est conseillé d'en installer pour améliorer la sécurité de son PC.

Conclusion

A l'heure où les infections se multiplient, accouplé à un antivirus, l'utilisation d'un pare-feu filtrant les connexions entrantes et sortantes devient incontournable.


Pour aller plus loin, ou si la sécurité vous intéresse, voici des documents/reportages sous forme de vidéos :
Plus globalement : Comment sécuriser son Windows ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité