Kerio Personal Firewall 2.1 Guide de l'utilisateur Kerio Technologies Inc. c 1997-2002 Kerio Technologies. Tout droits réservés. Date de réalisation: le 22 avril 2002 Windows est une marque de Microsoft Corporation. Traduction: J. Calicis (JacK@websecurite.net) Table des matières 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.1 Système requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Composants du Personal Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Sécuriser l'accès à l'Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Login d'Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Personal Firewall Status Window . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Paramètres de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Introduction à TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Comment fonctionne Kerio Personal Firewall? . . . . . . . . . . . . . . . . . . . . . . . . 3.3 IP Address Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Niveaux de Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Interaction avec l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6 Règles de filtrage des packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.7 Réseau Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8 Application MD5 Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.9 Internet Gateway Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Configuration du loggin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Filter.log file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 8 9 9 13 13 14 15 15 16 18 23 24 26 27 27 28 2 3 4 3 4 Chapitre 1 Introduction Kerio Personal Firewall est un utilitaire léger et facile destiné à protéger un PC contre les attaques de hackers et le vol de données. Il est basé sur la technologie certifiée ICSA utilisée pour le firewall WinRoute. Le firewall lui-même tourne en fond de tâche, utilisant un driver à un niveau particulièrement bas chargé dans le system kernel. Ce Driver est placé au niveau le plus bas possible au-dessus des drivers hardware du réseau. De cette façon, il a un contrôle absolu sur tous les packets passant et est apte à garantir une protection complète du système sur lequel il est installé. 1.1 Système requis La configuration suivante minimum est recommandée pour Kerio Personal Firewall: · CPU Intel Pentium ou 100% compatible · 32 MB RAM · 3 MB d'espace disque (pour installation seulement); au moins 10 MB d'espace additionnel pour les loggings recommandé · Windows 98 / Me / NT 4.0 / 2000 / XP Kerio Personal Firewall est destiné à la protection des PC n'utilisant pas WinRoute Pro ou WinRoute Lite. Ces produits utilisent la même technologie de sécurité et pourraient entrer en conflit avec Kerio Personal Firewall. 5 Chapitre 1 Introduction 1.2 Installation Pour l'installation, il suffit simplement d'exécuter l'archive d'installation (typiquement kerio-pf-211-en-win.exe). Pendant l'installation, vous pouvez choisir le répertoire d'installation de Kerio Personal Firewall, ou conserver les paramètres par défaut (C:\Program Files\Kerio\Personal Firewall). Il est nécessaire de redémarrer le système après l'installation pour permettre au pilote de bas niveau d'être chargé. 6 Chapitre 2 Administration 2.1 Composants du Personal Firewall Kerio Personal Firewall consiste en trois programmes: Personal Firewall Engine, Personal Firewall Administration et Personal Firewall Status Window. Personal Firewall Engine est le programme qui gère toutes les fonctions du Personal Firewall. Il tourne en fond de tâche (ou comme service pour WinNT/2K/XP) et sa présence est signalée par une icone dans le System Tray. Un clic du droit sur l'icône fait apparaître un menu avec les options suivantes: stoppe tout trafic [Stop All Traffic -- si sélectionné, il s'inverse en Enable Traffic (autoriser le trafic) et l'icône du System Tray change pour indiquer que le trafic est bloqué], exécuter l'application Administration ou voir la fenêtre de status (Firewall Status), information sur la version (About) ou stopper le moteur Personal Firewall (Exit). Stopper le moteur arrête bien sûr toute les fonctions de sécurité. Le double clic du gauche sur l'icone ouvre le programme Personal Firewall Status dans une fenêtre. Personal Firewall Administration est l'outil principal de configuration pour le moteur de Personal Firewall, nous reviendrons plus loin aux différentes options. Personal Firewall Status Window présente les informations concernant toutes les applications en cours communiquant via le protocole TCP/IP, c'est également décrit dans un chapitre particulier. 7 Chapitre 2 Administration 2.2 Sécuriser l'accès à l'Administration Pour assurer une sécurité maximum, il est vital que Personal Firewall tourne chaque fois que le PC est branché et que seules les personnes autorisées aient accès à sa configuration. Ceci peut être stipulé dans le programme d'administration de Personal Firewall, à l'onglet Authentication. Section administration Authentication Is Required signifie qu'un mot-de-passe sera exigé pour exécuter le programme d'administration de Personal Firewall. Après avoir valider la fonction, les champs pour entrer le mot-de-passe et sa confirmation vous seront accessibles. Valider Remote Administration permet de gérer la configuration à distance. Statistics and Logs View section Les paramètres pour l'accès et l'accès à distance aux logs et statistiques se règlent ici. Tous les champs sont les mêmes qu'à la section précédente. Configurer ces deux sections séparément permet deux niveaux de droits d'accès différents, soit voir les logs et statistiques uniquement, soit accès complet à l'administration. 8 2.3 Login d'Administration 2.3 Login d'Administration Pour administrer Kerio Personal Firewall ou visualiser tous les logs, démarrez respectivement les applications Personal Firewall Administration ou Personal Firewall Status Window. Notez que le dialogue de connexion suivant apparaîtra uniquement si l'authentification est requise, autrement vous serez connecté directement au moteur local de Kerio Personal Firewall. Vous pouvez choisir ici si vous voulez vous connecter au Personal Firewall tournant sur le PC local (Localhost) ou sur un ordinateur distant spécifié par son identité DNS ou son adresse IP. Vous pouvez choisir d'exécuter le programme d"administration du Personal Firewall (Admin configuration) ou celui de Personal Firewall Status Window (Status Window). Entrez votre mot-de-passe dans le champs correspondant. 2.4 Personal Firewall Status Window Personal Firewall Status Window permet de monitoriser toutes les activités TCP/IP du système et présente une information détaillée concernant les applications connectées. Fenêtre pricipale la fenêtre principale présente les informations concernant un point final local sur une ligne (le point final est défini par son adresse IP, le port et le protocole). Un point final local peut seulement correspondre à une seule application. Cependant, une application peut avoir plusieurs points finaux (par exemple, un serveur FTP écoute les connexions entrant sur les ports 20 et 21). 9 Chapitre 2 Administration Les colonnes séparées présentent les informations sur les points finaux: Application Le nom de l'exécutable de l'application auquel le point final appartient. Le nom peut être indiqué en précisant le chemin complet en sélectionnant Settings / Don't Cut Pathnames. Protocol Le protocole de communication (soit TCP -- protocole connecté ou UDP -- protocole datagram non-connecté) Local Address Une adresse IP locale et le port (présenté dans le format suivant -- address:port). Dans le menu Settings vous pouvez choisir d'indiquer le nom DNS plutôt que l'adresse IP et service (standard). Remote Address L'adresse IP et le port ne sont pas indiqués si la connexion n'est pas établie. State L'état d'un point local final: end-node: Listening (à l'écoute) -- waiting for incoming connection (en attente de connexion entrante), Connected In -- connection established from a remote client to a local service (connexion établie depuis un client distant à un service local), Connected Out -- connection established by a local application to a remote server (connexion établie par une application locale à un serveur distant). Creation Time L'heure de l'établissement de la connexion ou quand l'application concernée a commencé à recevoir sur un port déterminé. 10 2.4 Personal Firewall Status Window Rx [bytes] La quantité de data reçues par un point final (en bytes) Rx speed [bytes/sec] La vitesse moyenne de transfert de données (en kilobytes par seconde) Tx, Tx speed Idem pour les données sortantes. Menu principal File Connect... connecte au moteur de Personal Firewall (sur un système local ou distant). Utiliser Close pour fermer l'application Personal Firewall Status Window. Logs Affiche la fenêtre log du Firewall ou les statistiques de transferts et les données filtrées. Settings Contient les paramètres des informations à afficher et comment: · Hide Listening Sockets (cacher les sockets à l'écoute) -- hides end-nodes that have no established connection [cacher les points finaux sans connexion établie (leur statut est à l'écoute)] · Hide Local Connections (cacher les connexions locales) -- hides connections established within a local system (loopback) [cacher les connexions établies à l'intérieur du systeme local (loopback)] · Hide Admin-Firewall Connection -- cacher les connexions établies entre les différents composants du Personal Firewall · Don't Resolve Domain Names -- les adresses IP ne seront pas traduites par leur noms DNS · Don't Show Port Names -- les N de ports ne seront pas remplacés par les noms r des services (pe telnet, SMTP, HTTP) · Displayed Application Name -- change le mode d'affichage du nom de l'application: Whole Pathname (nom entier), Cut Pathname (seul le nom du fichier sera indiqué) or File Information (indique le nom de l'application si possible, autrement un nom de fichier abrégé sera affiché) Update frequency -- change le taux de rafraîchissement de la fréquence d'information (Slowest -- 5 secondes, Slower -- 2 secondes, Normal -- 1 seconde, Fast -- 0.5 seconde) · Help Aide et informations à propos du fabricant du programme et la version. 11 12 Chapitre 3 Paramètres de sécurité 3.1 Introduction à TCP/IP Pour pouvoir configurer et profiter au mieux les foncrtions de Kerio Personal Firewall, il est nécessaire de comprendre le principe des communications TCP/IP. Les utilisateurs avancés peuvent sauter ce chapitre qui est cependant fortement recommandé aux débutants. TCP/IP TCP/IP est l'appellation commune pour protocoles de communication utilisés sur Internet. Les données sont divisées en petites parties appelées packets à l'intérieur de chaque protocole. Chaque packet contient un en-tête et une part de données. Le header (en-tête) contient l' information (pe. source et adresse de destination ), tandis que la partie data (données) transporte l'information transmise entre les applications. Le protocole est ensuite subdivisé en plusieurs niveaux. Les packets de lower-level protocols (protocoles de bas-niveaux) contiennent des packets de niveaux supérieurs dans leur partie data (pe. les TCP protocol packets sont transférés à l'intérieur des IP packets). IP IP (Internet Protocol) transporte dans sa partie tous les autres protocol packets. La partie la plus importante d'information contenue dans le header est la source et l ...