Windows Firewall pour serveurs

serveur Windows 2003. Avant d’utiliser le pare-feu sur un serveur, ne perdez pas de vue que les serveurs, par nature, hébergent des applications et des services auxquels les applications et les services sur d’autres serveurs, postes de travail et portables, veulent se connecter. Si vous choisissez d’activer Windows Firewall sur un serveur, réfléchissez bien à la façon de le configurer.

Pour certains serveurs, Windows Firewall sera facile à configurer. Ainsi, un serveur Web autonome non géré dans une DMZ (demilitarized zone) sera nécessaire pour accepter uniquement les connexions entrantes sur le port 80/TCP (HTTP) ou 443/TCP (HTTP Secure – HTTPS) si un certificat est installé et si SSL (Secure Sockets Layer) est activé.

Si vous avez des serveurs de type dual-homed ou multihomed (c’est-à-dire des serveurs qui ont deux interfaces ou plus) où une interface est connectée à Internet et les autres à des réseaux privés, vous pouvez activer Windows Firewall puis le désactiver sur tout sauf sur l’interface connectée à Internet et le configurer pour ne permettre que les connexions entrantes requises sur l’interface Internet.

Sur les serveurs de fichiers et d’impression simples de votre intranet qui sont membres d’un domaine, vous pouvez activer Windows Firewall et utiliser l’option de service File and Printer Sharing intégrée pour permettre aux utilisateurs de se connecter à ces serveurs. Vous pouvez aussi utiliser Windows Firewall pour sécuriser un serveur sur lequel les services sont à l’écoute sur des ports bien connus, comme un serveur de base de données Microsoft SQL Server 2000, après avoir configuré le pare-feu pour permettre le trafic sur les ports requis.

Vous préfèrerez peut-être utiliser SCW (Security Configuration Wizard) pour configurer Windows Firewall dans l’environnement serveur. SCW, livré avec Windows 2003 SP1 comme une composante facultative, permet de réduire la surface attaquable de votre serveur en sélectionnant le ou les rôles d’un serveur. SCW contient l’information de rôle pour les DC et les autres serveurs d’infrastructure. Il désactive les services superflus et configure Windows Firewall pour restreindre le trafic entrant.

Il y a quelques serveurs sur lesquels il vaut mieux ne pas déployer Windows Firewall. Ce sont les DC AD et certains serveurs d’applications qui sont à l’écoute sur un large éventail de ports ou qui utilisent des ports dynamiques, comme des serveurs Exchange Server 2003. (Dans ce dernier cas, vous pourriez être en mesure de déployer Windows Firewall si les serveurs et les clients qui se connectent aux serveurs Exchange sont membres d’un domaine, vous configurez le pare-feu pour permettre à IPsec authentifié de contourner Windows Firewall – que j’expliquerai plus loin, et vous configurez les clients pour utiliser IPsec.)

Sur de nombreux serveurs, comme ceux qui exécutent une foule d’applications et de services, il vous faudra configurer Windows Firewall sélectivement. Autrement dit, vous devrez identifier sur quel port les applications et services écoutent, éliminer les ports superflus, et configurer Windows Firewall pour ceux qui sont nécessaires. Vous pouvez utiliser la commande Netstat (netstat.exe) que Microsoft a améliorée dans les derniers packs de service, pour déterminer quels ports sont ouverts et quels applications et services y sont à l’écoute. En entrant

netstat -a -b

sur une ligne de commande, vous pouvez afficher tous les ports TCP ouverts (indépendamment de l’état) et les ports UDP sur le système, le PID (process identifier) pour chaque connexion active, et le nom de l’application ou du service, comme le montre l’exemple de sortie de la figure 1. On l’a vu, vous pouvez configurer Windows Firewall pour permettre le trafic entrant vers des applications nommées, indépendamment des ports servant à l’écoute. Le seul inconvénient de netstat est de fournir uniquement un instantané d’un système actif à un moment précis. Il y a peu d’intérêt à identifier des applications ou des services et leurs ports si ces applications ne sont pas actives au moment où l’instantané est pris. Pour obtenir une image exacte de l’utilisation, vous pourriez prendre plusieurs instantanés à des moments différents.