Protection réseau

Sécurité et protection réseau, firewall, eMule,...

Sommaire

ZoneAlarm
Autres firewalls
Outpost Firewall (Pro et Free), de Agnitum

Outpost Firewall et blocage des transferts FTP
Désinstallation de Outpost Firewall (et autres produits Agnitum)

maj: 04/2017

Ce qui suit est quasi indispensable si vous avez une connexion internet permanente (ADSL, câble), car les pirates ont alors tout le temps de trouver les failles de votre système.
Vous pouvez vous documenter un peu sur les firewalls et la sécurité en allant sur:
http://sebsauvage.net/safehex.html
http://www.piaf.asso.fr/article.php3?id_article=76
et pour vous documenter beaucoup:
http://assiste.free.fr

1. Vérifiez l'état de vulnérabilité de votre système:
En faisant le test ShieldsUP de www.grc.com. On y arrive directement par https://grc.com/x/ne.dll?bh0bkyd2. Dans le cas idéal (celui que vous atteindrez si vous suivez cette page jusqu'au bout), le test doit vous indiquer que vos ports sont dans l'état "stealth". Lire les commentaires (en anglais) qui vous sont donnés. Faire les trois tests entourés de rouge sur la copie ci-dessous
ShieldsUP

Si vous utilisez un logiciel de P2P (eMule, KaZaA,...), vous pouvez vérifier les ports utilisés par ces logiciels avec le bouton entouré en vert sur l'image ci-dessus.
Pour eMule en configuration standard, vérifiez les ports 4662 et 4672 (lancez eMule avant).
Pour KaZaA, vérifiez le port 1214 (lancez KaZaA avant). Dans mon cas, il reste à l'état "Stealth" même si KaZaA est en route.

Vous pouvez aussi utiliser un autre programme analogue pour tester votre ordinateur:
www.sygatetech.com/quickscan.html, qui lance le test simplifié (Quick Scan). Puis faire les autres tests plus évolués accessibles sur les onglets de gauche.

PC Expert conseille aussi http://www.testmyfirewall.com/
Un autre outil: http://www.auditmypc.com/

Vous avez toute une collection de programmes analogues sur http://assiste.free.fr/p/boite_a_outils/boite_a_outils.html

Si cela vous a convaincu qu'il est temps de protéger votre PC des attaques extérieures, il faut passer à l'étape suivante.

2. Installez un firewall (parefeu):
Si vous n'êtes pas sous Windows, ce qui suit ne vous concerne pas.

ZoneAlarm
Jusqu'en 2008, je vous conseillais ZoneAlarm parce que c'est le seul que je connaissais, qu'il est bien et qu'il existe en version gratuite.
Si vous êtes adepte d'eMule, il vous faudra la version Pro (payante) qui permet un réglage plus fin. Il est moins cher sur le site US que sur le site français (exemple, janvier 2007: renouvellement de 2 ans de ma licence de ZA Pro: 54.95 $ sur le site US et 54.95 EUR sur le site français). Il n'est pas acquis "à vie": il faut payer régulièrement (tous les ans ou tous les 2 ans au choix) le droit de l'utiliser et d'obtenir les mises à jour.

Historique des versions et liens de téléchargement:
Pour la version Free http://download.zonelabs.com/bin/free/information/znalm/zaReleaseHistory.html
Pour la version Pro pour XP: http://download.zonelabs.com/bin/free/information/zap/releaseHistory.html
Pour la version Pro pour Vista: http://download.zonelabs.com/bin/free/information/zap/releaseHistory_vista.html

Installez ZoneAlarm.
ZoneAlarm va détecter tous les logiciels qui tentent de "sortir" de votre ordinateur vers l'extérieur (Access dans la terminologie de ZoneAlarm), et les logiciels qui sont prêts à recevoir des données en provenance de l'extérieur (Server dans la terminologie de ZoneAlarm).
Puis il vous faudra probablement prendre un peu de temps pour lire la doc et apprendre à répondre aux interrogations que le logiciel va vous poser quand il détecte quelque chose qui lui parait suspect.
Quand ZoneAlarm vous pose une question à laquelle vous ne savez pas répondre, on peut parfois obtenir des informations en cliquant sur "More info" dans la fenêtre qui pose la question (il faut être connecté à internet, et il faut que cette connexion ne soit pas bloquée par ZoneAlarm lui-même, et il faut aussi semble-t-il avoir la version Pro).
Un problème fréquent avec la version gratuite de ZoneAlarm, c'est de savoir quoi répondre quand ZoneAlarm vous pose des questions. Vous pouvez trouver une partie des réponses à ces questions en consultant mes réglages dans l'image ci-dessous (ZoneAlarm Pro 7, Windows XP Pro, 02/03/07). Vous pouvez également faire une recherche dans le forum.
En fait, par rapport aux réglages de l'image ci-dessous, il est conseillé de bloquer svchost.exe = "Generic Host Process for Win32 Services" comme Server dans la zone Internet, selon les conseils de ce post dans le forum de Zonelabs (par contre, autoriser Access en trusted et Internet, et autoriser Server en Trusted).
Pour le paramètrage des zones:
- il faut mettre ses DNS et serveurs DHCP (donnés par la commande: ipconfig /all) dans la zone de confiance "Trusted",
- l'adresse 127.0.0.1 doit être ajoutée dans la zone de confiance "Trusted".
Réglages ZA

Si ZoneAlarm ne veut pas mémoriser vos réglages, lisez ceci.

Pour désinstaller proprement ZoneAlarm, voir ce lien, ou cette copie locale.

Si vous voulez choisir un autre Firewall:
- Il parait que Sygate Personal Firewall est également bien et gratuit (le site n'existe plus, il a été racheté par Symantec, mais Sygate Personal Firewall se trouve encore).
- Le nom qui revient le plus souvent parmi les bons firewalls gratuits est Kerio Personal Firewall: http://www.kerio.com/kpf_home.html ou http://www.sunbelt-software.com/Kerio.cfm
Nota: après 30 jours d'essai gratuit, le programme (si on ne l'achète pas) passe en version allégée. Il semblerait alors (à vérifier si c'est toujours d'actualité) que la fonction qui permet de mémoriser les programmes à autoriser ne fonctionne plus, et beaucoup d'utilisateurs semblent préférer l'ancienne version 2. Pour un comparatif des versions, voir http://www.kerio.com/kpf_comparison_version.html
Aout 2006: voila une documentation complète pour l'installation et la configuration de Kerio Personal Firewall.
- Voir aussi:
http://sebsauvage.net/logiciels/zal.html
http://www.websecurite.org/ à la rubrique "protégez-vous contre les hackers" (janv. 2007: mais ce site n'a pas été remis à jour depuis longtemps)
http://www.firewall-net.com/ (janv. 2007: mais ce site n'a pas été remis à jour depuis longtemps)
- L'Ordinateur Individuel d'avril 2007 considère que Jetico Personal Firewall dans sa version 1.0 gratuite est un excellent firewall (mais ni ZoneAlarm, ni Kerio Personal Firewall ne figurent dans ce test comparatif).
- Sept. 2008: Comparatif de 7 firewalls / pare-feux gratuits : Jetico Personal Firewall est ici classé dernier! Classement de ce comparatif dont il y a lieu de se méfier, car apparemment réalisé sans grandes précautions (lire les commentaires à cet article, la version de Jetico testée était périmée depuis 3 ans?):

   1. Comodo Firewall Professional,
   2. Online Armor Free
   3. ProSecurity Free Edition
   4. System Safety Monitor
   5. Zone Alarm Free
   6. PC Tools Firewall Plus Free Edition
   7. Jetico Personal Firewall

- Site mis à jour en permanence: http://www.matousec.com/projects/firewall-challenge/

Au vu de ces tests, la suite gratuite Comodo Internet Security (firewall + antivirus) semble particulièrement intéressante

- figer.com conseille également Comodo comme firewall.

Outpost (Agnitum)
Depuis mars 2009, j'en ai eu marre de payer (cher) la mise à jour de ZoneAlarm Pro.
Par ailleurs j'ai eu (comme des montagnes d'utilisateurs) des tas de problèmes de compatibilité et de blocages avec Vista. Et lors des échanges que j'ai essayé d'avoir sur le forum de ZoneAlarm, j'ai été exaspéré par le staff de ZA qui ne veut pas reconnaitre l'évidence, et qui supprime les messages qui signalent des problèmes avec ZA.

Je me suis tourné vers Outpost Firewall Pro. La version d'essai de 30 jours m'a convaincu. J'ai acheté le "Personal pack" à 59.95$, qui donne une licence à vie et l'autorisation officielle de l'installer sur 3 PC (c'est moins cher que la licence ZoneAlarm Pro pour 2 ans et un seul PC).
Attention: quand on veut que OFP apprenne les réglages et les enregistre, il ne faut pas cliquer sur "Allow", mais sur "OK".

Avril 2009: une version gratuite Outpost Firewall Free est sortie !

Forum dédié : http://assiste.forum.free.fr/viewforum.php?f=79

Janvier 2010: lors d'une mise à jour, Outpost Firewall Pro a planté le système, s'est planté lui-même, a foutu la pagaille dans Antivir. Impossible de les refaire fonctionner l'un et l'autre. J'ai dégagé Antivir et Outpost Firewall Pro, pour les remplacer par Comodo Internet Security.

Printemps 2010: pas vraiment convaincu par par Comodo Internet Security, je suis revenu au couple Outpost Firewall Pro / Antivir.

Nov. 2010: il est sorti une version gratuite de la suite Outpost Firewall + antivirus + antimalware : Outpost Security Suite FREE. Lire cet article DotTech reste élogieux sur le firewall, mais mitigé sur le reste, et recommande d'utiliser Avira Antivir ou Avast comme anti-merdes.

Note importante, si blocage lors de transferts FTP :
Outpost Firewall Pro a tendance à bloquer les transferts FTP. Dans mon cas, j'ai eu le problème notamment avec TotalCommander et Jalbum.
Symptome: à peine la connexion établie, les uploads se bloquent.
Solution: dans la fenêtre de Outpost Firewall Pro (en anglais. Si vous ne vous y retrouvez pas, choisissez le paramètre de langue anglais): Settings > Application rules > double cliquer sur le programme > Onglet Options > Content filtering : Disable filtering.
Pour savoir quel est le programme qui est bloqué: lors du blocage, aller dans la fenêtre de Outpost Firewall Pro > Firewall > Network activity > vous devriez voir quels sont les programmes qui ont une activité réseau. Par clic-droit sur l'un d'eux et en choisissant "Edit application rules", on retombe sur les réglages exposés à l'alinéa ci-dessus.

Désinstallation de Outpost Firewall (et autres produits Agnitum)
Par deux fois, la mise à jour de Outpost Firewall Pro m'a planté l'ordinateur. C'est le principal reproche que je trouve à ce firewall. Même en mode sans échec, il m'était impossible de le désinstaller. Dans le gestionnaire de périphériques, j'avais plusieurs "cartes réseau" marquées "Agnitum firewall miniport", avec de superbes points d'exclamation jaunes.
La solution est exposée sur cette page intitulée How do I uninstall Outpost manually?. Récupérer leur clean.zip, et exécutez clean.exe en mode sans échec. Soyez très patient (une vingtaine de minutes pour mon cas) et quand ça reboote tout seul, c'est réglé.

3. Recommencez l'étape 1
et vérifiez que vous êtes bien protégé.

Sécurisez et réglez eMule en quelques étapes

Avant tout, quelques liens utiles pour apprendre un minimum sur eMule:
http://www.emule-project.net est le lien officiel
http://www.emule-inside.net donne d'excellents conseils et infos, qui valent bien les popups publicitaires exaspérants...
http://www.emuleconfig.com axé sur la configuration et le paramétrage
http://config.emule-french.fr vous aide à trouver des paramètres corrects (par contre je n'ai jamais eu besoin des "patchs" pour Windows conseillés par ce lien, et je vous conseille de ne pas les utiliser).

Changer les ports TCP et UDP par défaut d'eMule, pour un tas de raisons, par exemple car certains FAI les filtrent. Lien 1, lien 2. Vous pouvez mettre à peu près n'importe quoi au dessus de 5000, mais faites gaffe à ne pas avoir de conflits sur votre PC ou votre réseau local, et vérifiez également que ce ne soit pas un port couramment utilisé sur cette liste de l'IANA (Internet Assigned Number Authority) ou cette autre liste des ports TCP et UDP.

Et plus précisément, au sujet de la sécurisation d'eMule, un lien très utile que je vous recommande (update du 2/1/08: le forum est fermé. jusqu'à quand?):
http://www.adserone.com/punbb/viewtopic.php?id=535
http://www.adserone.com/punbb/viewtopic.php?pid=21816
Update du 15/1/08: les liens ci-dessus (qui avaient inspiré la configuration détaillée ci-dessous) ont disparu. Il semble que dorénavant un lien pertinent sur le sujet soit le suivant (voir les conseils et la vidéo):
http://www.ratiatum.com/news5740_Video_P2P_Bien_configurer_eMule_pour_se_connecter_aux_reseaux.html

Update de 02/2009: vous n'avez presque plus de serveurs (dans mon cas je n'en ai plus que 4) ? C'est normal ! Vous trouverez également sur www.emule-france.com plein de conseils de réglage d'eMule.

Affichez les menus d'eMule en français par Préférences > Général > Langue.

1 - Suppression des droits d'administrateur :
Depuis la version 0.42g, il est conseillé de supprimer à eMule les privilèges d'administrateur:
eMule est maintenant capable de supprimer les privilèges et de s'exécuter sur un compte utilisateur sécurisé dans win2k/XP, même si eMule est lancé depuis une session démarrée sur un compte qui a les droits d'administrateur (activation dans les Préférences > Sécurité > Exécuter eMule avec des droits restreints).
Tant que vous y êtes, cochez aussi Préférences > Sécurité >Utiliser l'identification sécurisée.
Et puis aussi "Activer le brouillage du protocole"
Ca doit vous donner ça:

2 - IPfilter.dat :
Le fichier ipfilter.dat peut être employé pour limiter les plages d'IPs qui communiquent avec eMule.
L'interdiction est bidirectionnelle: aucun upload ou download ne se fera d'une IP filtrée.
On peut récupérer une liste toute prête, ou la créer avec des logiciels appropriés (et pénibles à utiliser!).

Si vous avez la flemme de lire:
- récupérez un fichier ipfilter.dat à jour sur http://emulepawcio.sourceforge.net/nieuwe_site/ipfilter_fake_list.html
- placez le dans c:\Program Files\eMule\config\ipfilter.dat
- activez le "Filtre IP" dans eMule > Préférences > Sécurité
Ca doit vous donner quelque chose qui ressemble à la capture d'écran qui se trouve quelques lignes plus haut.

Bon à savoir:
On peut supprimer et remplacer le fichier ipfilter.dat au cours d'une session eMule sans arrêter eMule:
Lu dans http://www.open-files.com/forum/Ipfilterdat-t5369-s210.html :
eMule charge une seule fois le fichier "IPFilter.dat" lors du démarrage. Si le fichier "IPFilter.dat" change en cours de route (lorsque eMule a fonctionné 15h, par exemple...), il faudra le recharger avec le bouton présent dans les "préférences", section "sécurité".

Vous pouvez voir ce qui a été bloqué par l'ipfilter.dat de eMule en allant au menu Outils / Filtres IP, et en classant par "Hits". On trouve ici Sony aux premières loges...:
IPfilterHits

Si vous voulez en savoir plus:
On peut récupérer une liste toute prête, ou la créer avec Blocklist Manager (PeerGuardian semble obsolète):
http://www.emule-project.net/home/perl/help.cgi?l=13&rm=show_topic&topic_id=210
http://www.open-files.com/dossier/page70.htm

Il est conseillé de laisser tomber PeerGuardian et le remplacer par Blocklist Manager:
http://assiste.free.fr/p/internet_utilitaires/peerguardian.php
http://www.bluetack.co.uk/modules.php?name=Content&pa=showpage&pid=1

Update de 11/2010: le logiciel à utiliser actuellement pour le filtrage des IP (à la place de PeerGuardian, Blocklist Manager,...) est PeerBlock.
http://www.korben.info/telecharger-peerblock.html

3 - Filtrage des serveurs :
Lire http://www.open-files.com/forum/Danger_sur_eMule-t25713.html
Moi aussi, j'avais plein de "Sonny boy" dans ma liste de serveurs.
J'ai suivi les conseils du lien ci-dessus, adaptés à mon goût, et je vous invite à faire de même:
1) Sauvegarder le fichier c:\Program Files\eMule\config\server.met (on ne sait jamais).
2) Pendant que eMule tourne:

3) Onglet "Préférences" / "Serveur", mettre à 10 le nombre de tentatives avant suppression des serveurs inactifs, ce qui vous empêchera de vous retrouver avec 0 serveur si vous perdez votre connexion Internet pendant un temps indéterminé.
4) Onglet "Préférences" / "Serveur", décocher les mises à jour par connexion serveur et par connexion client (2 cases à décocher).
Cliquer sur Editer et entrer http://www.gruk.org/server.met.gz, ce qui importera à chaque démarrage les serveurs de la liste http://www.gruk.org/list.php réputée sûre.
5) Supprimer tous les serveurs (onglet "Serveurs", clic droit dans la liste des serveurs, et "Supprimer tous les serveurs"). Nota: pas de pb même si on supprime le serveur actif.
6) Onglet "Serveurs", dans la case à droite "Mise à jour server.met depuis URL", entrer http://www.gruk.org/server.met.gz et cliquer sur "Mise à jour" pour importer la liste de serveurs qui sera aussi importée à chaque démarrage (point 4).
On peut récupérer d'autres fichiers server.met plus ou moins sécurisés sur: http://emule-project.net/home/perl/help.cgi?l=13&rm=show_topic&topic_id=199
http://www.ratiatum.com/forum/lofiversion/index.php/t53354.html
http://sd1239.sivit.org/raz/phpBB2/viewtopic.php?t=423/
http://www.jd2k.com/liste.php
http://www.chez-breizh.eu/serverlist/index.htm
7) Auparavant, je ne mettais pas automatiquement à jour la liste des serveurs à chaque démarrage. Il était alors conseillé de supprimer les serveurs les moins peuplés. Avec les réglages ci-dessus, c'est inutile. Je laisse la ligne suivante pour mémoire. Classer les serveurs par nombre de fichiers routés, sélectionner et supprimer les serveurs routant moins de 2M (2 Millions) de fichiers (les sélectionner, clic-droit, supprimer ce fichier).

Update de 02/2009: vous n'avez presque plus de serveurs (dans mon cas je n'en ai plus que 4) ? C'est normal !

4 - Firewall :
Voici 2 liens (parmi des montagnes d'autres disponibles sur le web) pour la configuration des firewalls avec eMule:
http://www.emule-inside.net/emule/firewalls.htm
http://config.emule-french.fr/firewalls.htm

Il semble bien que la version gratuite de ZoneAlarm ne permette pas d'obtenir un high ID avec eMule (si vous avez la solution, écrivez-la, elle fera plein d'heureux!). Personnellement j'ai utilisé ZoneAlarm Pro (qui m'a donné pas mal de fil à retordre) jusqu'en 2009. Puis Outpost Firewall Pro, qui ne m'a posé aucun problème.

5 - Vista :
Evidemment, je viens de passer sous Vista, et plus rien ne marche comme avant, et j'ai merdoyé plusieurs soirées pour réussir à remettre les choses à peu près en ordre, tout en conservant mes statistiques cumulées dans les sessions antérieures. Je vous conseille ce que j'ai fait moi-même:

1) Sur l'ancien PC sous XP, vérifier que tout marche bien et que eMule est à jour (version 0.48a dans mon cas). Sauvegarder l'intégralité du répertoire c:\Program Files\eMule\, et surtout le sous-répertoire config qui contient votre personnalisation.

2) Sur le nouveau PC sous Vista, décidez d'installer eMule dans un répertoire non sujet aux alias et protections de Vista. Par exemple, un répertoire que vous créez vous même, et en ce qui me concerne pour assurer un maximum je l'ai même mis sur une autre partition que la partition système, par exemple E:\emule\. Recopiez toutes vos données de configuration issues de l'ancien PC dans E:\emule\config\.

3) Récupérez le programme d'installation sur http://www.emule-project.net. Pour la version actuelle, le programme s'appelle eMule0.48a-Installer2.exe, et installez le. Quand le programme vous demande comment partager eMule avec les autres utilisateurs, choisissez le deuxième choix "Utilisation partagée: la configuration et les téléchargements sont enregistrés dans le dossier de l'application eMule (ATTENTION: Sous Vista ce réglage ne fonctionnera qu'après réglage par vos soins des permissions des dossiers!)"

Ces préférences seront reportées vers la partie Préférences > Propriétés étendues, voir copie d'écran.

4) Puis le programme d'installation vous demande le dossier d'installation. Indiquez celui que vous avez choisi au point 2) ci -dessus. Si vous avez suivi mes conseils, indiquez donc E:\emule\

5) C'est fini. Tous vos paramètres sont conservés.

Les ports TCP et UDP sont restés ceux de l'ancien PC. Si vous avez routé différemment les ports vers le nouveau PC, vous n'avez que ça à corriger.

DropMyRights : lancer les applications qui communiquent avec l'extérieur (navigateur, messagerie) avec des privilèges réduits:
Je n'ai pas essayé, mais l'idée semble intéressante:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp

TCPView, pour surveiller vos communications réseau
Un excellent programme qui permet de savoir quels sont les transferts entre votre PC et l'extérieur
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
Un ancien article sur le sujet, dans lequel il est également question de la commande netstat

https et SSL
Pour vérifier une page https : https://www.whynopadlock.com/check.php