Exception à  la règle

plus loin comment configurer les exceptions qui s’appliquent à des connexions réseau spécifiques.)

A noter que Windows Firewall n’impose aucune politique sur les paquets sortants. Dans l’idéal, un parefeu de station de travail comme Windows Firewall contrôlerait aussi les paquets sortants. Sans un tel contrôle, on ne peut pas empêcher des utilisateurs ou des programmes malveillants sur la station de travail d’attaquer d’autres ordinateurs du réseau. Mais il faut reconnaître qu’il est beaucoup plus ardu de contrôler le trafic sortant que le trafic entrant, parce qu’il est difficile de faire la distinction entre les connexions sortantes légitimes et malveillantes.

(C’est pourquoi les développeurs de pare-feu personnels comme BlackICE d’ISS (Internet Security Systems) doivent employer un mode d’apprentissage ennuyeux.)

Windows Firewall est accompagné de plusieurs Programmes et Services prédéfinis, configurables comme des exceptions, et vous pouvez en ajouter d’autres. Chaque exception est fondée sur un port TCP ou UDP spécifique ou sur un nom exécutable. La méthode classique de définition des règles de pare-feu repose sur l’utilisation des numéros de ports, mais les programmes du genre porte arrière et cheval de Troie ont démontré que les numéros de ports ne sont pas toujours un moyen sûr de juger des paquets entrants. Un programme par porte arrière qui parvient à s’installer sur un ordinateur ouvre un port et attend qu’un attaquant se connecte.

Certains de ces programmes par porte arrière ouvrent des ports qui légitiment l’utilisation des programmes ; d’autres se glissent eux-mêmes entre un programme légitime et son port ; là, ils scrutent le trafic entrant et interceptent les requêtes entrantes vers la porte arrière (ces requêtes se déguisent en requêtes aux yeux du programme légitime). Pour battre les deux types de programmes par porte arrière, Windows Firewall permet aussi d’autoriser certains programmes à ouvrir des ports. Examinons deux des exceptions préconstruites de Windows Firewall, qui démontrent les approches basées sur les ports et sur les programmes.

Ports. Pour visualiser une configuration d’exceptions basée sur les ports, cochez la case Remote Assistance and Remote Desktop sous Programs and Services sur l’onglet Exceptions de l’applet pour ouvrir la boîte de dialogue Exceptions. Comme le montre la figure 2, cette exception intégrée est basée sur le port 3389 de TCP, qui est utilisé par le RDP (Remote Desktop Protocol), par l’intermédiaire duquel Remote Assistance et Remote Desktop communiquent.

Au bas de la boîte de dialogue Exceptions, se trouvent deux options Scope : vous pouvez ouvrir le port spécifié à All IP addresses (c’est-à-dire, les systèmes sur le segment LAN local et provenant de l’Internet), ou bien ouvrir le port à Local Subnet Only. La valeur de l’option de Local Subnet Only est limitée aux PME qui n’on qu’un subnet ou aux organisations qui ont la certitude que les gens ou les programmes qui doivent accéder à la station de travail par le réseau, seront sur le même subnet que la station de travail. Pour les sociétés comportant plus d’un subnet, le paramétrage de Scope est sans intérêt. Si vous utilisez un programme de gestion de systèmes comme Microsoft SMS (Systems Management Server) ou si vos administrateurs ont besoin d’accéder par le réseau aux stations de travail sur de multiples subnets, le seul choix est de mettre le Scope à All IP addresses. Au lieu d’utiliser l’option Scope, on peut utiliser le support IPSec (IP Security) intégré de XP. Vous pouvez utiliser les stratégies IPSec pour lier des règles Allow et Deny à de multiples subnets IP afin que les ordinateurs situés à l’extérieur de vos plages de subnet intranet ne puissent pas se connecter aux ports que vous devez ouvrir dans Windows Firewall. Vous pouvez utiliser le même GPO (Group Policy Object) que celui que vous utilisez pour contrôler Windows Firewall, pour distribuer facilement ces politiques IPSec. (Pour plus d’informations sur l’utilisation de telles politiques dans votre intranet, voir « Ressources ».)

Programmes. Voyons maintenant une exception basée sur le programme. Cliquez sur Cancel dans la boîte de dialogue Exceptions pour la fermer, puis cochez la case Windows Messenger sur l’onglet Exceptions pour ouvrir une nouvelle boîte de dialogue Exceptions. On le voit figure 3, cette exception est liée à un fichier programme spécifique (%ProgramFiles%\Messenger\msmsgs.exe) au lieu d’un numéro de port. (Certains programmes comme Windows Messenger n’utilisent pas de numéros de ports prédéfinis.) Windows Firewall possède plusieurs définitions d’exceptions préconstruites, mais seulement trois d’entre elles – Files and Settings Transfer Wizard (%windir%\system32\ usmt\migwiz.exe), NetMeeting (%ProgramFiles%\NetMeeting\ conf.exe) et Windows Messenger (%ProgramFiles%\ Messenger\msmsgs.exe – sont validées par défaut. Pour valider une autre exception préconstruite, cochez sa case sur l’onglet Exceptions. Pour définir une exception concernant un autre programme ou port, cliquez sur Add puis fournissez l’information de programme ou de port appropriée.