GuideLinux.Org
http://www.guidelinux.org/
Les parefeus sous Linux
(source)
| Dans cet article, je vais vous parler un peu de sécurité et de l'outil très utile pour l'améliorer quand vous êtes connecté(e) à Internet : le parefeu.
Certains s'en passent sous Linux mais je vous conseille au moins de lire la suite pour avoir un avis éclairé.
|
Préalable
Il ne faut pas confondre anti-virus et parefeu. Un anti-virus ne bloque pas les connexions Internet. Par ailleurs, ils sont largement facultatifs sous Linux mais si vous vous sentez mieux avec, lisez cet article.
Introduction
Si votre ordinateur se connecte au monde extérieur, il est prudent de placer des filtres n'autorisant que les connexions désirées et rejettant les autres. Les pirates (ou les corsaires) d'Internet utilisent les ports de connexion ouverts pour s'infiltrer chez vous. Un parefeu (firewall) est l'outil indispensable pour se défendre contre ces gêneurs
La communication entre votre ordinateur et le monde exterieur transite par des ports, sortes de portes virtuelles. Il en existe 65 535 disponibles ! Certains sont célèbres (comme le 21 pour le transfert par ftp). Un parefeu ferme par défaut les ports non utilisés pour éviter qu'un pirate ne s'en serve comme porte d'entrée.
Sous Linux (depuis le noyau 2.4), Iptables est la commande console permettant de filtrer le routage des paquets de données qui se présentent devant vos ports. Cependant, elle n'est pas d'usage facile . Il existe de nombreux parefeus proposant une interface graphique plus simple d'Iptable. La plupart des distributions en proposent une.
Si vous venez du monde Windows, vous serez peut-être surpris de ne pas trouver de parefeu style ZoneAlarm avec des fenêtres qui s'ouvrent pour vous demander si l'application X peut accéder à Internet. Ce genre de parefeu commence à venir mais il faut bien comprendre que les logiciels GNU 'officiels' suivent un processus de confiance avant d'être mis online. Ils ne contiennent pas de backdoors, de spywares et autres choses de ce genre. Un parefeu surveillant les connexions entrantes (plutôt que sortantes) est donc bien suffisant sous Linux.
Enfin, mettre son système à jour est sûrement la meilleure des protections possibles. Vous éliminez ainsi les failles que le parefeu tente de masquer au reste du monde... Sachant qu'un très bon hacker arrivera toujours à contourner un parefeu...
Lisez ce savoureux topic sur Linuxfr.org à ce sujet.
Test de votre sécurité
Pour vérifier la sûreté de votre installation, consultez le site pcflank.com. Si tout va bien, vous devriez voir ceci :
Si la section Browser Privacy check n'est pas safe, c'est sûrement du au fait que votre Navigateur Internet accepte les cookies, accepte le send referer et d'autres choses de ce genre...
Guarddog
C'est un parefeu célèbre, simple et complet sous Linux. Installez Guarddog :
- via l'installateur de paquetages de votre distribution (urpmi, synaptic, YaST...). Exemple sous Mandriva : # urpmi guarddog
- ou récupérez le sur le site officiel et installez manuellement le paquetage (un double-clic dessus devrait suffir).
Lancez le par # guarddog ou en explorant le menu KDE/Gnome.
Guarddog fait la distinction entre la zone locale (le réseau domestique chez vous) et la zone Internet. Si vous disposez par exemple d'un routeur ou d'un réseau LAN, vous devrez vous interresser à cette zone locale, en plus bien sûr de la zone Internet.
Choisissez donc la zone que vous voulez configurer :
Cliquez ensuite sur l'onglet "Protocole" :
C'est ici que vous définissez la réponse à donner aux différents protocoles se présentant devant vos ports :
- Autoriser : réponse positive (données acceptées).
- Bloquer : pas de réponse à l'envoyeur (données bloquées).
- Rejetter : réponse négative à l'envoyeur (données bloquées). Pas recommandé : vous enverriez un défi à l'envoyeur .
Si vous êtes sur Internet, je vous conseille d'accepter ces protocoles :
Mail
POP3 et SMTP si vous utilisez une messagerie de courriel classique.
Réseau
DNS, ICP si vous souhaitez vous connecter au Web.
Transfert de fichier
FTP, HTTP et HTTPS : pour vous connecter au http en général (https est la version sécurisée)
Vérifiez aussi cette section si vous souhaitez télécharger par peer to peer.
Messagerie instantanée
IRC pour chatter/clavarder sur le net.
Si vous disposez d'un routeur, n'oubliez pas qu'il faut aussi configurer la zone locale (par exemple pour le peer to peer).
Vous pouvez enfin vous rendre dans l'onglet Avancé, pour spécifier manuellement des ports à laisser ouverts (là encore, c'est souvent utile pour le peer to peer). C'est dans ici que vous pouvez désactiver le parefeu (alternativement, vous pouvez reconfigurer votre ancien parefeu).
Une fois configuré, cliquez sur Appliquer pour rendre les changements effectifs et sur OK pour quitter Guarddog. Guarddog n'a pas besoin d'être ouvert pour que le filtrage que vous avez configuré grâce à lui soit en fonctionnement.
Shorewall
C'est le parefeu par défaut sous Mandriva Linux. Il n'est pas mal mais franchement moins complet que Guarddog. Néanmoins, il est simple et déjà installé .
Ouvrez le via le Centre de configuration Mandriva (= "Configurez votre ordinateur") puis en cliquant sur l'onglet "Sécurité" et l'icône "Parefeu".
Ici, vous pouvez (à moins de faire serveur) tout décocher. Ainsi si vous décochez "Serveur de courrier", vous pourrez continer à voir vos emails POP3. Dans mon exemple, j'ajoute manuellement des ports pour le bon fonctionnement d'amule.
Depuis la version 2006 de Mandriva, un début d'interaction avec l'utilisateur est apparu. L'application Mandi permet de configurer plus finement les connexions. Pilotez tout ça via l'appler net_applet (menu KDE/Gnome Système > Surveillance système>net_applet).
Lisez le tuto officiel de Mandriva sur le sujet.
Firestarter
Site officiel.
Page de téléchargement.
Aperçu :
