Scribd
Importer
19 vues8 pages

Note Comodo Règle

Le document explique comment créer des règles pour ouvrir des ports dans un pare-feu, en précisant les étapes de configuration et les principes de sécurité à suivre. Il aborde également l'utilisation d'un mode apprentissage pour faciliter la configuration, ainsi que l'importance de l'attribution des règles aux applications concernées. Enfin, il présente des concepts de filtrage avancés pour les pare-feux en entreprise, incluant la gestion des objets et des zones pour optimiser la sécurité du réseau.

Transféré par

Emmanuel TCHUMMOGNI
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
19 vues8 pages

Note Comodo Règle

Le document explique comment créer des règles pour ouvrir des ports dans un pare-feu, en précisant les étapes de configuration et les principes de sécurité à suivre. Il aborde également l'utilisation d'un mode apprentissage pour faciliter la configuration, ainsi que l'importance de l'attribution des règles aux applications concernées. Enfin, il présente des concepts de filtrage avancés pour les pare-feux en entreprise, incluant la gestion des objets et des zones pour optimiser la sécurité du réseau.

Transféré par

Emmanuel TCHUMMOGNI
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

CRÉATION DE RÈGLES POUR

OUVRIR DES PORTS


Certains logiciels ou jeux réclament l'ouverture de port afin de
fonctionner correctement. Tous les éditeurs sérieux vous les
communiqueront, sur leur site internet, les types de port pour accéder
à leur service. Pour créer ces règles, accédez aux paramètres,
Menu pare-feu, sous menu règles prédéfinies. Cliquez sur ajouter pour
commencer la création de la règle. Saisissez le nom de la règle puis
cliquez sur ajouter pour configurer les ports.

LE PRINCIPE
N'utilisez pas la direction IN or OUT (entrant ou sortant). Ce réglage
est peu sécurisant.

En direction sortant, votre ordinateur doit être réglé dans


les sources en adresse et en port.

En direction entrant, votre ordinateur doit être réglé dans


les destinations en adresse et en port.
Exemple dans le cas d'ouverture du port TCP 1119

Action : Autoriser
Protocole : TCP (Précisé par l'éditeur)
Direction : Entrant (éditeur vers votre pc)
Description : connexion entrante TCP 1119

Adresse source : IP (serveur de l'éditeur)


Adresse de destination: zones réseaux, Domicile #1 (votre réseau ou
ip de votre pc)
Port source : tout
Port de destination : un port unique / port : 1119 (Précisé par l'éditeur)

Validez les réglages.


Vous devez ajouter tous les ports précisés par l'éditeur. Une
fois finie vous devez ajouter une règle de protection à la fin pour
refuser toutes les requêtes différentes. Sans cette protection des
hackers pourraient accéder au contenu de votre ordinateur.
ETAPE DE PROTECTION
Action : Bloquer
Protocole : IP
Direction : IN or OUT
Description : Bloquer et consigner toutes les autres requêtes

Adresse source : toute adresse


Adresse de destintion : toute adresse
Détails de l'IP : tout

Vous devriez avoir un aperçu semblable avec un nombre


d'autorisations de port dépendant du nombre de ports demandés
par l'éditeur . Vous pouvez revenir modifier ou supprimer cette règle à
tout moment dans ce même menu.

EN CAS DE DIFFICULTÉ OU DE MANQUE


D'INFOS
Dans certains cas il est très difficile de configurer des ports, notamment
pour les jeux vidéo en réseaux.
Il faut alors passer en "mode apprentissage". Ce mode permet
de créer automatiquement toutes les règles pour les logiciels/ jeux
lancés pendant l'apprentissage. Il ne doit être activé que pendant une
courte durée (1/2minutes) avant de repasser en mode sécurisé. Son
utilisation doit être exceptionnelle pour garantir votre protection.

Ce mode est disponible dans les paramètres, Menu pare-feu, sous


menu paramètres du pare-feu.
N'oubliez pas de revenir en mode sécurisé à la fin de la
manipulation.
ATTRIBUTION DES REGLES
Votre nouvelle règle maintenant terminée, il faut lier l'application
concernée pour limiter ses droits et lui donner accès uniquement à
ce qu'elle a besoin.
Accédez à ce réglage en cliquant sur paramètres, menu pare-feu, sous
menu règles des programmes.

Sélectionnez le programme concerné, cliquez sur éditer.

Choisissez utiliser la règle prédéfinie et sélectionnez votre nouvelle


règle créée auparavant.

LE WIDGET

Le widget vous permet d'accéder rapidement aux principales options


du firewall.
Les navigateurs présents dans ce widget sont vos navigateurs
installés. COMODO les démarrera de manière virtuelle (Sandbox). C'est
un mécanisme de sécurité informatique qui permet l'exécution
de navigateurs internet ou de fichiers avec moins de risques pour
le système d'exploitation. Ces derniers sont exécutés dans un espace
virtuel et sont isolés complètement de votre ordinateur. Au
lancement un cadre vert va alors entourer votre navigateur internet.

Nous vous conseillons d'utiliser ce mode de lancement pour vos


navigateurs internet.

Vous avez maintenant les bases pour gérer COMODO firewall. Bien
entendu la gestion d'un firewall par un professionnel du secteur
informatique vous permettra d'améliorer encore plus votre protection.

//////////////////////////////////////////

La fonction principale d’un pare-feu est donc le filtrage des flux. Cela se fait en définissant des règles
en fonction des adresses IP et des ports, à la fois pour les sources et les destinations. Visualisons sur
l’interface utilisateur d’un firewall paramétré pour l’exemple ce qui est autorisé ou non. Le cas
imaginé est une entreprise avec 2 usines (une fabrique et un incinérateur), des bureaux avec des
postes utilisateurs et des photocopieuses, et des véhicules connectés pour circuler sur site.

Règles de filtrage sur un pare-feu FortiGate 60D

Il y a deux façons de concevoir une politique de filtrage :

 Tout ce qui n’est pas interdit est autorisé


 Tout ce qui n’est pas autorisé est interdit

C’est ou l’un, ou l’autre. Quand un pare-feu donne accès à Internet, cela a du sens d’autoriser tout
sauf certains services particuliers, ou sauf l’accès à certains serveurs jugés dangereux (diffusion de
logiciels malveillants, par exemple). C’est le premier cas. Quand on est dans un réseau d’usines où des
ordres de commande sont transmis et des informations échangées entre machines et employés, il est
plus sage d’interdire tous les flux sauf ceux nécessaires au travail. C’est le deuxième cas. On le
rencontre souvent dans les réseaux d’entreprise. Comme vous pouvez le voir sur l’interface
précédente, le pare-feu présenté applique une politique d’interdiction par défaut.

Ce que je vois surtout, c’est qu’il n’y a pas une seule adresse IP dans cette configuration !

Quand on configure un pare-feu, on a tendance à raisonner avec des objets. Un objet représente un
sous-réseau, un hôte ou un ensemble d’hôtes. Dans notre exemple, l’objet UTILISATEURS correspond
au réseau 192.168.10.0/24. Si le réseau des utilisateurs est amené à changer, à s’agrandir ou à
intégrer un autre subnet, pas besoin de tout reconfigurer : il suffit de modifier l’objet !

Des sous-réseaux représentés sous forme d’objets

Dans une politique de filtrage, on trouve aussi des zones. On peut associer des interfaces physiques
ou logiques, ou encore des objets à des zones. Elles correspondent à un regroupement logique
d’entités, par exemple géographique. Dans notre cas, les objets PHOTOCOPIEUSES et UTILISATEURS
sont dans la zone BUREAUX, car physiquement, les photocopieuses et les utilisateurs sont situés dans
une zone de bureaux. Sur la capture ci-dessus, les zones sont indiquées dans la colonne "Interface".
Dans la première capture, vous pouvez voir que les règles de filtrage sont découpées par blocs,
comme BUREAUX > EXTERIEUR. Cela signifie que les règles de cette section ne concernent que des
flux allant de la zone BUREAUX à la zone EXTERIEUR.

Sur le pare-feu de notre exemple, les objets possibles pour une règle sont limités à la zone choisie.
Ainsi, quand on choisit comme source la zone "BUREAUX", on peut choisir comme objet source
"UTILISATEURS" ou "PHOTOCOPIEUSES", mais pas "INCINERATEUR". Quand on choisit "all" (tout), cela
correspond à tout dans la zone spécifiée. S’il n’y a pas de zone précisée, la règle s’applique à
absolument tout.

Pour les ports, on raisonne aussi avec des objets. Plus précisément, dans notre cas, on parle de
services. Un service est défini par un ensemble de ports de destination (et/ou source, parfois) et/ou
de protocoles (TCP, ICMP, …). Ainsi, la règle numéro 1 de notre exemple n’autorise que le service
HTTPS, car on considère que les utilisateurs de la zone de bureaux ne doivent contrôler les différentes
entités de la zone d’usines qu’au moyen d’une interface web et que les échanges doivent être
chiffrés. La règle numéro 2 permet de pinguer les véhicules connectés, mais c’est tout. A contrario,
avec la règle 3, les hôtes de la fabrique peuvent communiquer comme bon leur semble avec les
photocopieuses de la zone de bureaux. Toute autre communication est interdite : les paquets ne
correspondant à aucun de ces cas seront jetés, ils pourront même être logués (enregistrés) pour

identifier les coupables et les condamner à récurer de fond en comble l’incinérateur… Ou plus

vraisemblablement, les logs finiront par être vidés sans jamais avoir été consultés.

Tous les pare-feux ne proposent pas une telle souplesse de paramétrage. Le modèle présenté est
assez évolué. Il embarque aussi d’autres fonctionnalités bien utiles

Vous aimerez peut-être aussi