PC-optimise.com Contacter l'administrateur
Thème :
Pages lues : 1153550 - Visites : 1008983 
Modifications sur le site :
  • 11/04/2010 : Modification des scripts CSS
  • 31/03/2010 : Suppression du Javascript dans le menu principal
  • 24/04/2008 : Mise en plage de dons via PayPal

Sécuriser son PC

Page mise à jour le 25/03/2007 - Mandorlo F.
Imprimer le document
Imprimer
Recommander le document à quelqu´un
Recommander
Faire une remarque
Des remarques ?

Sommaire :
  1. Généralités
  2. Protection des données et des personnes
  3. Configurer son réseau, Firewall
  4. Configurer son OS
  5. Configurer son navigateur
  6. Protéger son système : Anti-virus, Anti-spyware, RootKit
  7. Importance des mises à jour
  8. Tester son système - Conclusion

3. Configurer son réseau, Firewall

Modifier les paramètres du modem

Réseau filaire

A priori, un réseau filaire est une solution permettant d´office un meilleur niveau de sécurité. Les performances sont aussi nettement meilleures. A moins d´ajouter un boîtier directement sur votre câble, il n´est pas possible de lire les données transitant sur le réseau local, sauf si ce dernier est ouvert à l´Internet. Auquel cas, les protections envers le WAN (Wide Area Network ou réseau extérieur) sont les mêmes qu´en sans fil.

Réseau sans fil

Les paramètres par défaut, c´est pratique car tout fonctionne (ou plutôt devrait fonctionner), mais du coup, on a presque tous les mêmes... Si on se place du côté de la personne malveillante qui veut utiliser votre connexion (à votre insu) ou accéder à vos données, il est assez facile de savoir qu´il y a un émetteur quelque part. A l´aide de certains logiciels, on peut tout à fait récupérer la clé WEP (utilisées bien souvent comme protection par défaut) et demander simplement une adresse IP via le serveur DHCP. Le SSID étant bien souvent de la forme Nom.Prenom, ou Model_du_modem, on peut pas dire que ce soit vraiment dur à franchir. Les Box gracieusement fournies par votre FAI sont en général de vraies passoires pour un réseau WIFI : il est primordial de les reconfigurer ! Preuve en est avec ce document issu du gouvernement.
On peut différencier différentes méthodes pour ne pas être attaqué : bien se dissimuler, éviter de faciliter le travail de la personne souhaitant s´infiltrer, sécuriser les données en transit. Modifier la configuration de son modem n´est pas contraignant car il suffit de le faire une fois pour toutes ! Ces informations sont en général fournies sur le site des fournisseurs d´accès.

  • Bien se dissimuler

    Une fois la clef de cryptage connue, on peut dire que le réseau sera facilement accessible : on veillera donc à dissimuler l´existence d´un point d´accès WIFI pour ne pas tenter qui que ce soit. Bien sûr, il existe des parades... mais celles-ci décourageront une bonne partie des intrusions.
    Dans un premier temps, il faut donc éviter que le point WIFI soit facilement observable dans les réseaux sans fils accessibles. Il faut donc activer les fonctions du genre "Hide Access Point", ce qui évite de faire apparaître le SSID du point d´accès (en gros, son identité....).
    On veillera aussi à changer ce SSID, car il est souvent configuré de sorte à ce que le propriétaire ou la nature de la box (ce qui permet de la configurer à l´avantage de l´intrus) soit facilement reconnaissable.

  • Ne pas faciliter la tâche d´éventuels intrus

    Il s´agit de ne pas donner un accès facile au réseau local voir au WAN si le cryptage est compromis. On changera donc le SSID de la box (ou modem) mais aussi les mots de passe. En effet, les mots de passe et logins du modem sont génériques (Alice\Alice chez Alice...) et facilement trouvables sur la toile : un utilisateur mal intentionné peut alors facilement modifier les paramètres du modem pour faciliter son utilisation à l´insu du propriétaire.
    On désactivera le DHCP : en effet, ce genre de service permet de fournir une configuration réseau compatible à toute machine en faisant la demande... et qui a donc su trouver la clef de cryptage. Une analyse des paquets peut permettre de trouver la configuration du réseau et cette étape est souvent effectuée en même temps que le craquage de la clef de cryptage. Cependant, cette étape peut limiter l´accès au WAN de notre intrus.

  • Sécuriser les données en transit

    Etant donné que toutes les données qui transitent fournissent le destinataire des données et l´expéditeur, on peut tout simplement n´autoriser que des "éléments sûrs" sur le réseau et exclure tout le reste. Ceci est rendu extrêmement facile via les adresses MAC, qui constituent un code unique pour toute carte réseau (à fil ou sans fil). Si un filtrage MAC est efficace, il ne faut pas oublier que malheureusement, on peut modifier la MAC avec des outils spécialisés. Pour connaître sa MAC (ou "adresse physique"), ouvrir une console et taper :

    >ipconfig /all

    Enfin, on veillera à utiliser une clef de cryptage la plus sûre possible : en aucun cas du WEP ! On veillera à utiliser une authentification en WPA (voire WPA2), avec une clef cryptée en AES (non encore cassable). Si votre matériel ne le permet pas il est alors primordial de mettre en jeux le filtrage MAC. Pour ceux qui ne sont pas convaincus, il existe même des distributions Linux contenant tous les outils nécessaire pour casser les clefs d´un réseau sans fil (Whax notamment, ou encore Backtrack), même si ce n´est pas leur vocation première.

Pour configurer une connexion WIFI sécurisée, on pourra suivre ce tutoriel.

Filtrer les données entrantes et sortantes

Notions de ports

Les données échangées sur le net passent par une connexion physique, à travers des ports "logiques". Virtuellement, tout se passe comme si on avait plusieurs connexions : une par port. Un grand nombre de ports est activé par défaut et tous ne sont pas nécessairement utiles : ils peuvent être utilisés à notre insu. Désactiver un port permet de mieux se protéger ! Le logiciel ZebProtect permet de fermer un certain nombre de ports inutiles pour une utilisation courante (cad en dehors d´un réseau d´entreprise).

ZebProtect
Télécharger ZebProtect

Pour connaître les ports activés à un instant donné, il suffit d´ouvrir une console et de taper :

>netstat -an "(Pour XP)"
>netstat -ano "(Pour Windows 2000)"

Tous les ports ne sont pas à bloquer, et il convient alors de filtrer les données selon le programme devant s´en servir. C´est une des fonctions des FireWalls.

Notions de FireWall

Les FireWalls sont de 2 natures différentes : logicielle ou matérielle. Dans le premier cas, c´est un programme qui tourne en tâche de fond, dans le second cas, c´est un dispositif physique se trouvant entre le LAN (Local Area Network : réseau local) et le WAN (Wide Area Network : le réseau extérieur). Bien des modems de type "Box" contiennent des FireWalls, pas nécessairement activés, les fournisseurs d´accès préférant vous faire payer un service en filtrant les données avant leur arrivée chez vous. Rien n´empêche aussi l´achat d´un FireWall matériel, réputé plus fiable que le FireWall logiciel, et ne consommant aucune ressource sur les machines (contrairement aux FireWalls logiciels). Pensez donc à vérifier dans votre modem s´il possède une fonction FireWall !
Si Microsoft a intégré un firewall dans XP, on ne peut pas dire que ce dernier soit une référence ! Il suffit d´utiliser un autre FireWall pour se rendre compte que ces derniers sont plus regardants avec les programmes cherchant à communiquer avec le monde extérieur : vérification de la version du programme... Certes, c´est un peu pénible au début de devoir autoriser ou refuser un programme à chaque fois que le FireWall fait une requête, mais c´est un gros avantage pour votre sécurité. En effet, celui-ci empêche par exemple un programme nuisible comme un keylogger, dont le but est de récupérer ce qui est tapé au clavier (ce qui inclus les numéros de CB), de se connecter et de transmettre les données qu´il a récupéré.
Par défaut, un FireWall convenablement configuré doit tout refuser, sauf ce qui sert. L´utilisateur ne doit autoriser que ce dont il a besoin, et ne surtout pas autoriser tout ce qui lui est proposé (sinon à quoi sert le FireWall ? )
Kerio Personal est un FireWall reconnu pour son efficacité, dont le développement a paru incertain pendant un moment. Sygate est certainement d´une plus grande simplicité d´utilisation, mais d´une efficacité moindre.
A noter que certains chipset Nvidia comportent un firewall matériel !

Kerio Personal (version actuelle)Sygate Personal (plus mis à jour)Zone Alarm
Télécharger Kerio Personal Télécharger Sygate Personal Télécharger Zone Alarm

Comme beaucoup d´outils aboutis, Kerio commence à s´alourdir avec des fonctions annexes : certes ces outils sont intéressants (filtre anti-popup...) mais ceux-ci font parfois doublon. En effet, Internet Explorer est doté d´un filtre anti-popup, anti phishing... et Firefox fait largement aussi bien avec ses extensions. C´est la raison pour laquelle, ceux qui cherchent un Firewall qui ne fait que ça, léger et efficace, pourront se tourner vers une version un peu plus ancienne : Kerio 2.1.5.

Télécharger Kerio 2.1.15 (patch FR ici)
Télécharger Kerio Kerio 2.1.15
Page précédentePage suivante

Avez-vous apprécié l´absence de publicité sur ce site ?
La publicité est utilisée sur les sites internet pour financer les frais d´hébergement et de fonctionnement. PC-Optimise préférant que ses lecteurs ne soient pas importunés par ces contenus non désirés, c´est un système de dons qui a été mis en place, le reste des dépenses restant à la charge de l´auteur. Si vous avez apprécié, vous pouvez donc contribuer à travers un don via PayPal.


Copyright©PC-optimise.com (mis en ligne le 8 mai 2006) - Webmestre : Mandorlo F.
Page générée en 0,0019s