Mac4Ever Refurb Guide d'achat Apple - Des conseils sur toute la gamme Apple Débuter sur Mac
Introduction aux Firewalls !
Actu Dossiers Forum Photos/Podcasts Petites Annonces V.I.P.
3840 connectés

Introduction aux Firewalls !

Le 16/11/2003 à 00h00
I) Introduction aux ports et aux protocoles TCP/UDP :


Avant de rentrer dans le vif du sujet, voici une petite explication de ce que sont les ports et les protocoles de connexion, utilisés tous les jours par des applications nécessitant simultanément des accès au Web (exemple navigateur Web et mail).

1) Les protocoles :

Nous ne verrons ici que deux protocoles : TCP et UDP :

• Le protocole TCP permet aux deux clients de contrôler l'état de la transmission établie (à l'aide d'accusés de réception) : c'est un protocole orienté connexion. Ce protocole assure tout un tas de remaniement des données en provenance du protocole IP. La première chose à savoir est qu'il permet d'assurer des échanges sûrs sans que les routeurs n'aient à contrôler eux-mêmes les données.
La seconde concerne directement notre sujet initial. TCP permet le multiplexage/démultiplexage (concentration des 'canaux' de transmission en un seul et vice-versa; eh oui vous n'avez qu'une seule connexion la plupart du temps).

• Le protocole UDP est lui nettement plus simple, les données sont envoyées sans que la communication entre les deux machines soit établie et sans que la bécane réceptrice n'envoie d'accusés de réception. Bref, il n'y a pas de contrôle d'erreur de transmission, le protocole n'est pas orienté connexion.

2) Les ports :

Le multiplexage/démultiplexage est permis grâce aux ports : Le n° du port est attaché à une ip. Exemple simple : Safari et Mail envoient simultanément des requêtes. Celles-ci seront découpées en paquets identifiés part l'ip et le port auquels ils sont assignés. Ces paquets seront envoyés par les applications du client, mélangés lors du multiplexage, transportés via votre connexion, puis triés lors du démultiplexage et enfin réceptionnés par les 'applications' du serveur. En principe, chaque application nécessitant une transmission via un réseau (local ou externe), a un port défini par défaut.

De 0 à 1023, ce sont les ports réservés (Well Known Ports) désignés officiellement par l'IANA. Ils sont la plupart du temps seulement utilisable par les processus système (root) (ça dépend de l'OS ; sous OSX c'est le cas)
De 1024 à 49151, ce sont les ports 'enregistrés
De 49152 à 65535, ce sont les ports dynamiques ou privés

Voici quelques listes indicatives :
Liste en français
Liste en anglais
Liste des ports dits 'sensibles'

Comme vous l'aurez compris, il existe des dizaines de milliers de ports, assignés ou non par défaut, par souci de simplicité. Si vous décidez de changer le port par défaut d'une application, telle que mlnet pour l'accès au réseau edonkey, il est conseillé d'utiliser ceux à partir de 1024, tant qu'une autre application n'utilise pas le même port en question. Si vous ne voulez aucun problème, prenez un port à partir de 49152.

II) Le Firewall :


1) Fonction du Firewall :

Entrons dans le vif du sujet : un firewall permet de contrôler l'entrée et la sortie des données grâce entre autres à l'ouverture/fermeture des ports -> Il filtre les paquets de données entrants et/ou sortants.

Ce contrôle avancé permet théoriquement de limiter l'exploitation de failles par des hackers.

Suivant la complexité du firewall et le degré de sécurité (nombre d'options configurées), il sera, en plus d'être capable de n'autoriser la communication qu'avec certains ports, de repérer et interdire en conséquence des connexions suspectes, des tentatives d'intrusion via des 'exploit' etc...

Important : Le principe de tout firewall, se base sur le fait d'autoriser tout ce qui n'est pas interdit ou de refuser toute transmission définie comme 'interdite'. Dans le but d'assurer une sécurisation maximale, mais cependant contraignante, il est conseillé d'avoir recours à la première solution.

Le filtrage des paquets se fait grâce à l'examen de l'en-tête de chaque paquet où sont stockées toutes les informations de transmissions. C'est grâce à ces dernières que la firewall saura si il faudra ou non bloquer chacun des paquets, mais cela implique une configuration avancée préalable du firewall : définir les transmissions autorisées, manipulation plus couramment appelée 'ouverture de port'.

2) Réglages du firewall :

Les autorisations/interdictions seront définies à l'aide de 'règles'. Chacune d'entre-elles comportera les informations nécessaires à son rôle. Ce sont les informations qu'on retrouve à peu de choses près dans l'en-tête des paquets, à savoir :

-ip d'origine
-ip de destination
-protocole du paquet
-port auquel il est associé

Sauf qu'avec les règles, on a la possibilité de ne pas être obligé d'ajouter une règle pour chaque ip d'origine, ce qui serait fastidieux. On peut donc définir des 'plages' de ports. Par exemple, toutes les ip de 192.168.1.1 à 192.168.1.10.

Ainsi, une règle d'autorisation ressemblera à ça :

-Autorisation de réception : oui
-ip d'origine
-ip de destination (a priori votre bécane, ou dans les cas du firewall d'un routeur : l'un d'une des bécanes de votre réseau local )
-protocole du paquet (TCP ou UDP ici)
-port auquel il est associé (définit en fonction de l'application)

a) Exemple :

À ce stade, le plus simple est d'étudier un exemple. Si on veut interdire tous les accès sauf pour le service web, voici les règles à spécifier :

Règle de réception n°1, ayant la priorité sur toutes les autres règles :

-Autorisation de réception : oui
-ip d'origine : toute en provenance du web (0.0.0.0 à 255.255.255.255)
-ip de destination : à priori votre bécane (par exemple 192.168.1.2)
-protocole des paquets : TCP
-port auquel Apache est associé, réception de pages web via votre navigateur : 80

Règle de réception n°x, n'ayant aucune priorité sur toutes les autres règles :
-Autorisation de réception : non
-ip d'origine : toute en provenance du web (0.0.0.0 à 255.255.255.255)
-ip de destination : à priori votre bécane (par exemple 192.168.1.2)
-protocoles des paquets : TCP et UDP
-ports : tous (0 à 65535)

Ainsi, toutes les communications seront stoppées sauf la réception des paquets TCP de toutes origines, à destination du port 80, aboutissant aux navigateurs Web de votre Mac.

b) Généralisation :

• Ce principe est applicable à tous les firewalls existants. La manière de spécifier la priorité des règles et leurs paramètres, prédéfinit ou non, dépend ensuite de chaque firewall.

• Il vous faudra ouvrir les ports spécifiés par chaque application, nécessitant un accès au(x) réseau(x).

• C'est le même principe qui est appliqué pour les routeurs, ayant (presque toujours) un firewall intégré. L'ouverture des ports et la redirection des paquets vers la machine voulue se fait dans la page des réglages NAT.

• Quant aux paramètres permettant un filtrage applicatif, une détection des attaques courantes etc... ils dépendent des firewalls utilisés et donc ne seront pas abordés ici.

III) Utilité d'un firewall :


Un firewall, n'est véritablement efficace que si il est paramétré au poil près, en connaissance des protocoles et ports utilisés afin de bloquer tout le reste, en appliquant une politique de sécurité globale stricte au sein de votre réseau local, ce qui est rarement le cas. Prenons un simple exemple, vous téléchargez un petit soft qui a l'air sympa, le lancez et, à votre insu il ouvrira temporairement un des ports, ordonnera le rapatriement d'un troyen et voilà, votre firewall ne vous aura protégé de rien... Il existe des firewalls permettant de surveiller ce genre d'activité, mais pareil, il faut passer un temps fou à le paramétrer correctement pour qu'il soit véritablement efficace, et encore, les hackers trouveront toujours une solution plus 'discrète' d'outre-passer le firewall.

Quant à l'utilité d'un firewall pour particulier, c'est plutôt une protection dérisoire. Je m'explique, c'est déjà pas évident d'hacker un client OS X alors si les acharnés qui tenteront une telle attaque, en ont les compétences, ils auront aussi très certainement celles pour faire outrepasser votre firewall.

Vous êtes-vous déjà posé la question : quel est l'intérêt pour un hacker de prendre d'assault votre Mac ? Presque aucun, il préférera se rabattre sur un client Windows non sécurisé et bien plus facilement hackable

Considérez que le niveau de sécurité par défaut est assez élevé pour que toute protection grand public supplémentaire soit futile, car le niveau du hacker devra forcément être déjà sacrément bon avec la configuration par défaut, tellement qu'à ce niveau, ce n'est pas un firewall qui l'arrêtera et de toute façon il préférera des systèmes bourrés de failles, pour éviter toute perte de temps inutile.

IV) Quelques firewalls et utilitaires :


ipfw (), le firewall intégré à Mac OS X :

• Je vous conseille SunShield ou BrickHouse pour paramétrer le firewall intégré.

• Indispensable pour prévenir le 'phoning home' entre autres: Little Snitch

• Indispensable pour bloquer les ips des associations anti-P2P : PeerVanguard (Faites un contrôle-click->dl car Safari ne gère pas le format .sitx)

NetBarrier :

Firewall payant facilement paramétrable, à conseiller aux novices, pourvu de très nombreuses fonctions anti-exploits, anti-intrusion etc...

Pour ceux que ça intéresse, voici un petit tutorial sur le paramétrage de NetBarrier !
partage email

Made in conFactory : Act III - iPulse

Exclusivité : iMovie et iPhoto 4 : présentation en images

chargement des réactions

Réagissez à ce dossier !

Pour réagir directement dans le forum, cliquez ici.
Pour réagir, vous devez être identifié.
Si vous ne possédez pas de compte, créez-en un !
Identifiant :
Mot de passe :
Gras Italique Souligné Image URL Smiley confus Smiley cool Smiley M. Vert Smiley malsain Smiley mort de rire Smiley geek Smiley surpris
Important : soyez concis, courtois et pertinents. (plus d'infos ?) Les messages injurieux et hors sujet seront effacés. En cas de non respect de ces instructions, le compte d'un utilisateur pourra être bloqué sans préavis.
Pour toute erreur dans un article, merci de nous le signaler en nous contactant ici.

Conseils d'achat

  • Macintosh

  • iPhone, iPad & iPod

iMac 27" 5k Indicateur rouge Informations 03/2019 2099 € L'iMac 27" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Vous pouvez acheter sans crainte, les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne. Une mise à jour n'est pas à écarter début 2020 !
iMac 21,5" 4k Indicateur orange Informations 03/2019 1499 € L'iMac 21,5" (Retina) a été mis à jour le 18 mars 2019 avec des modèles Coffee Lake ( 6 à 8 coeurs) et des GPU Radeon Vega. Les iMac ne sont mis à jour qu'une fois tous les 12/18 mois en moyenne. Une mise à jour est donc probable autour du printemps 2020 ! En attendant, privilégiez plutôt le Refurb !
Apple TV 4k Indicateur rouge Informations 09/2017 199 € L'Apple TV 4k est une petite évolution de l'Apple TV pour les téléviseurs 4k. Il gère le HDR, le HDMI 2a et tous les codecs récents. Si vous avez une télévision OLED 4k, il s'agit du modèle idéal. Son prix est raisonnable par rapport à la version HD, qui reste au catalogue. Attention, une rumeur évoque un modèle plus puissant pour la fin 2019.
iMac Indicateur rouge Informations 06/2017 1299 € L'iMac 21,5" (non Retina) a été mis à jour le 5 juin 2017 avec Thunderbolt 3 et puces Kaby-Lake. On attendait des modèles Coffee Lake (à 6 coeurs) d'ici le courant du printemps/été 2019 mais Apple n'a pas renouvelé cette version.. qui ne vaut plus vraiment le coup en 2019.
iMac Pro Indicateur rouge Informations 12/2017 5499 € L'iMac Pro est actuellement le Mac le plus puissant du marché, même s'il a déjà 2 bonnes années d'existence. Apple a rajouté une petite option GPU Vega 64X et 256Go de RAM courant mars 2019, mais rien de bien folichon. N'hésitez pas à consulter nos tests et nos vidéos avant de vous décider ! A noter qu'Apple va sortir un Mac Pro fin 2019, donc si vous n'êtes pas trop pressé, il sera + modulaire...
Mac Mini Indicateur orange Informations 10/2018 899 € Le Mac mini a été mis à jour fin 2018 avec un tout nouveau CPU à 4 coeurs. Une mise à jour est souhaitable en ce démi/mi 2020, que ce soit au niveau du CPU ou des SSD, un peu justes pour le prix. Attention toutefois, Apple laisse souvent "mourrir" les Mac mini pendant plusieurs années
Mac Pro Indicateur vert Informations 12/2019 6499 € Le nouveau Mac Pro est enfin là ! Certes, sont prix est élevé, mais la cible est très claire : les ultra-pro. Vous pouvez acheter sans crainte, (presque) tout est modifiable dans le temps et les modules MPX sont proposés à part par Apple.
MacBook Pro 13" Indicateur vert Informations 05/2020 1499 € Le MacBook Pro 13" a été mis à jour le 04 mai 2020 avec les nouveaux claviers Magic Keyboard (enfin fiables) et des puces de 10e génération sur le haut de gamme. Vous pouvez acheter sans risque (regardez nos tests !), un modèle 14" est envisagé pour fin 2020 ou début 2021.
MacBook Pro 16" Indicateur orange Informations 11/2019 2699 € Le MacBook Pro 15" est remplacé par un modèle 16" le 13 novembre 2019 avec de nombreuses nouveautés : grosse batterie de 100Wh, clavier totalement revu, touche ESC physique, nouveau GPU AMD (5500M) et du stockage plus généreux. Attention, mise à jour probable dès le printemps 2020. (Les nouvelles puces Intel sont déjà disponibles)
MacBook Air Indicateur vert Informations 03/2020 1199 € Le MacBook Air a été mis à jour en mars 2020 : processeur à 4 coeurs, nouveau clavier (qui ne se bloque plus) et stockage doublé pour le même prix ! Cette nouvelle version est bien plus intéressante, n'hésitez pas à voir nos tests !
Apple TV 2015 Indicateur rouge Informations 10/2015 159 € L'Apple TV 2015 est sortie fin 2015 et Apple le garde au catalogue malgré l'arrivée de la version 4k. Avec en prime, une petite baisse de prix ! Si vous n'avez pas de TV 4k, cela reste une bonne affaire.
Téléchargez nos
applications mobiles
À découvrir sur Mac4Ever
b 1  b 2 
Mon Mac4Ever
Pour participer, vous devez être identifié.
Si vous ne possédez pas de compte, vous pouvez en créer un gratuitement !
Identifiant :
Mot de passe :
Sondage
Avez-vous passé plus de temps devant l'écran ?
294 votes
app
  • Nouveautés

  • Gratuites

  • Payantes

A propos | Mentions légales | Infos Cookies | Contacts | Emploi | RSS | Apps