Windows Firewall

Windows Firewall est activé dès l'installation sur toutes les interfaces (Internet, Ethernet, WiFi,...) . Il peut se configurer à l'installation du SP2 ou à tout autre moment, soit par le Centre de sécurité depuis le Panneau de configuration, soit depuis l'icône dans le Systray.  Il est bien sûr toujours possible d'ouvrir un ou plusieurs ports sur une interface au choix.

Il permet de choisir quelle application à le droit de communiquer avec l'extérieur mais pas de sélectionner le ou les ports concernés.  Etant Statefull Packet Inspection, le port ouvert par l'application concernée sera immédiatement bloqué dès que l'application n'en aura plus besoin, permettant d'être parfaitement stealth.  Il supporte aussi bien l'IPv4 que l'IPv6.  Les paramètres déterminés s'appliquent aux deux protocoles.

L'onglet Exceptions

Liste les programmes et les ports autorisés à accepter du trafic entrant d'autres ordinateurs.  Le partage de fichiers et d'imprimantes est autorisé par défaut sur le réseau local.  Le service d'aide à distance est autorisé par défaut pour tous les ordinateurs.

Pour ouvrir un port, il suffit de cliquer Ajouter un port..., de rentrer le nom de l'application, le numéro du port et le type (TCP).  Malheureusement, il n'est pas possible d'indiquer une range de ports et chaque port ouvert doit être indiqué séparément.

Pour sélectionner quels ordinateurs auront le droit de communiquer par ce port, il suffit de cliquer modifier l'étendue...

Dans cet exemple concernant mon serveur SMTP, 4 postes du réseau local ont le droit de poster, les autres postes du LAN n'y ont pas accès.  Modifier l'étendue peut s'appliquer à un port ou à un programme.

Il est également possible de sélectionner quel programme à le droit d'accepter des requêtes extérieures en indiquant simplement le chemin de l'exécutable après avoir cliqué sur Ajouter un programme. Windows Firewall ouvrira alors le port correspondant si l'application fait partie de la liste des programmes autorisés.

Modifier l'étendue permet de déterminer quels ordinateurs auront le droit de communiquer avec ce programme.

Il est important de cocher Afficher une notification lorsque le Pare-feu Windows bloque un programme : vous serez averti quand le Firewall bloquera une application non autorisée, une boîte de dialogue apparaîtra vous permettant de la bloquer définitivement, de la débloquer définitivement ou de la bloquer jusqu'à la nouvelle demande .


 

L'onglet avancé

Paramètres de connexions réseau : à l'inverse de l'onglet exception qui s'adresse à toutes les connexions, vous pouvez ouvrir ici des ports pour certaines connexions seulement, par exemple un serveur Web local inaccessible depuis Internet.

Si des règles définies dans Exceptions et Avancé sont en opposition, les règles de l'onglet Avancé priment.

Journal de sécurité

Le journal permet de loger les diverses opération du Firewall.

ICMP

Il permet de gérer les différents protocoles ICMP, utilisé notamment pour les ping. La description en est fournie pour chaque item.  Sauf utilisation spécifique, tout doit être décoché ce qui permet d'être en Stealth Mode : tous les scans des Script Kiddies, ces vandales du Web seront ignorés, ne leur permettant pas de constater la présence d'une machine à votre adresse IP.

Attention ! Windows Firewall ne filtre pas le trafic sortant, il convient donc d'être extrêmement prudent dans l'installation des programmes ou fichiers de sources peu sures, tout malware installé sur votre machine communiquera librement vers l'extérieur si vous n'utilisez pas de mesures complémentaires, telles un bloqueur comme SystemSafetyMonitor

L'utilisation combinée des deux programmes offre une excellente protection IN et OUT, SystemSafetyMonitor se jouant de tous les leaktests, ce qu'aucun Firewall ne permet à ce jour.

Pour utilisateurs avancés

- Le dépannage de Windows Firewall Microsoft Knowledge Base Article - 875357

- Utiliser le  fichier Windows Firewall INF dans Microsoft Windows XP Service Pack 2 pour customiser le Firewall pendant ou après son installation

- Utiliser en invite de commandes netsh firewall

- Nouvelles commandes pour  Winsock : netsh winsock reset catalog (supprime tous les LSP non-standard) et netsh winsock show catalog (liste les LSP) .

- Nouveau paramètre pour la commande Netstat : netstat -bano ajoute le nom du programme associé aux indications fournies par -ano

Limitation des ports

Un modification dans le SP2 limite le nombre de connexions "half open" à 10 simultanées.  Quand la limite est atteinte, l'ordinateur doit attendre un time out d'une de ces connexions avant de tenter d'établir une nouvelle connexion TCP ce qui peut interférer avec des programmes tels les Peer to Peer nécessitant un grand nombre de connexions simultanées.

Tweak :  Exécuter REGEDIT  aller à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

- Ajouter dans le panneau de droite la valeur DWORD TcpNumConnections et attribuer la valeur 1f4 (hex) ce qui autorisera 500 connexions/sec.

- Ajouter ou modifier dans le panneau de droite la valeur DWORD TcpMaxConnectRetransmissions et attribuer la valeur 1 ce qui limitera le nombre de retransmissions à une seule et réduira donc le temps d'attente.

Ce nombre de connexions est codé en dur dans le fichier tcpip.sys . Les paramètres ci-dessus atténuent le problème en réduisant l'attente mais pour supprimer la restriction utiliser ce qui suit : 

Un fix indépendant modifie le fichier tcpip.sys à la demande.  Téléchargement et mode d'emploi : http://www.lvllord.de/

WindowsXP Antispy  (208 ko) fait également sauter cette restriction parmi d'autres options.

Analyse du Journal de sécurité

Il se trouve par défaut sous C:\WINDOWS\pfirewall.log et se configure à l'onglet avancé. Cocher uniquement Enregistrer les paquets ignorés.  Un petit logiciel gratuit vous facilitera grandement son analyse :

FireLogXP v1.3 (513 KB) FireLogXP v1.3 (513 KB) : un petit programme gratuit pour lire les log de Windows Firewall.
Donne l'IP de l'intrus et les ports concernés. Les données désirées peuvent être filtrées sur base des protocoles, du type de connexions et des flags TCP. Accès direct à des ressources en ligne pour des informations spécifiques sur les ports concernés.

Des entrées dans le log sont inévitables, c'est le bruite de fond du web, machines infectées à la recherche de cibles, scriptkiddies, adresses héritées à un utilisateur d'un service tournant sur sa machine (serveur FTP ou Http, PCAnywhere, P2P, etc...).  Les évènements étant triés par nombres de probes depuis une source  il est facile de se rendre compte s'il s'agit d'un scan aléatoire ou si votre IP est particulièrement ciblée (plusieurs centaines de probes sur des ports différents)

Voici comment le paramétrer pour ne loger que les attaquants potentiels. Des réglages différents peuvent être appliqués pour déterminer un problème, par exemple savoir quels ports ouvrir pour un programme spécifique.

Il y a trois réponses possibles lors d'une requête extérieure de la part d'un Firewall à la machine distante :

- OPEN     : le port port est ouvert et disponible pour les requêtes externes

- CLOSED : le port n'est pas disponible. Le firewall répond et refuse la requête

- BLOCKED : Le port n'est pas visible depuis l'extérieur, c'est le mode Stealth. Le firewall ne répond pas : il sera indiqué DROP dans le log du firewall. 

Windows firewall permet d'être parfaitement Stealth.

Pour en savoir un peu plus, mais sans sombrer dans la parano, un autre outil (trial 15 jours) :

FirePanelXP propose divers outils dans une interface facile : les logs de Windows Firewall, Connexions (netstat -ano), un Sniffer basique, un éditeur de règles pour le Firewall, Stats (Netstat -e) et Routing (Netstat -r)

Téléchargement de la version "prolongée" ICI .

Un clic sur son icône fait apparaître ou disparaître l'interface.

Le log de Windows Firewall mis en forme

L'onglet Firewall Log donne une vue d'ensemble des évènements enregistré, les couleurs signalant immédiatement l'état du port.

L'onglet Connections présente l'état des connexions en cours.  A noter que les ports sont parfaitement STEALTH lors d'un test en ligne, sauf ceux que vous avez ouverts pour un serveur accessible depuis l'extérieur de votre réseau.  Ici, seul le port 62626 pour le serveur FTP Serv-U répond OPEN ou CLOSED selon qu'il soit lancé ou non. Le port 64000 pour le serveur SMTP MailDirect qui n'est destiné qu'au réseau local est toujours STEALTH.

L'onglet Firewall Rules permet d'éditer très simplement les règles des programmes autorisés à être contactés depuis l'extérieur et d'ouvrir ou fermer un port : il suffit de cliquer du droit dans le panneau voulu pour avoir les options Add et Remove. A noter que certains programmes demandent à pouvoir être connectés depuis l'extérieur même si ce n'est pas indispensable à leur fonctionnement.  Bloquer le programme lors de la demande permet d'avoir le ou les ports sollicités STEALTH pendant l'utilisation du programme.  Le cas ici pour le lecteur de Blog Sauce Reader et le serveur proxy Invisible Browser.

Protéger Windows Firewall

Ce chien de garde surveille Windows Firewall et empêche tout logiciel tiers de le désactiver. Une icône dans le Systray vous permet cependant de le désactiver/activer à la demande (Vert = activé/Rouge = désactivé) . Les options d'installation permettent de le lancer au démarrage de Windows

En effet, si les firewalls tiers récents se permettent avec raison de le désactiver à leur installation/exécution, rien n'empêche un malveillant d'ajouter une routine dans un malware faisant la même chose.  Même passer par le panneau de configuration\Pare-feu Windows et cocher désactiver ne le termine pas, il est indispensable de passer Watch Dog.

Téléchargement : Watch Dog (475 Ko)  Site officiel : korben.tk