bloquer au mieux presque tous les ports avec son Pare Feu

Le Tue, 15 Sep 2015 05:54:39 -0700 (PDT)
marioski <warrencun-grp@yahoo.fr> a écrit :

Je travaille sous Windows 7 édition familiale.

Et tu utilises un pare-feu fourni avec Windows ou un pare-feu que tu as
choisi toi-même ?

Tous ne fonctionnent pas exactement de la même manière. Par exemple ils
peuvent te permettre de définir des règles basées sur les adresses et
numéros de ports ou sur des applications précises.

Ce sera utile pour des conseils pratiques. De mon côté je tâche
d'éclaircir un peu certains points mais je ne suis pas sous Windows
donc pour les manipulations concrètes je ne peux pas t'aider.

J'ai l'intention de bloquer tous mes ports y compris le port HTTP(80)
et FTP(21) et surtout ceux qui pourraient être ouverts par une des
applications possédées.

Attention, quand tu parles de bloquer des ports tu parles sans doute de
refuser des connexions depuis l'extérieur sur ces ports de ta machine ?

À part si tu as des services qui doivent être accessibles depuis
l'extérieur, c'est sans doute bien. Note que si tu es sur le réseau
local chez toi ça ne fait pas forcément de mal mais le modem-routeur à
l'entrée le fait probablement aussi.

J'ai donc accéder à mon Pare Feu où j'ai pu
visualiser: -la liste des règles de trafic entrant -la liste des
règles de trafic sortant Ces 2 listes contiennent une liste des
applications et services dont le ports(c'est bien cela?)sont actifs
ou non,tout cela étant évidemment modifiable manuellement.

Un peu d'explications sur comment ces connexions réseau marchent :
- Les machines (en gros) sont identifiées par une adresse IP (une
série de nombres).
- On peut voir un numéro de port comme une manière de contacter la
bonne machine grâce à son adresse IP puis la bonne application
sur la machine grâce au numéro de port quand on envoie des
messages sur le réseau.
- Une connexion réseau est établie entre deux applications, la
connexion est identifiée par l'adresse et le numéro de port à
chaque bout. Ce qui signifie qu'une application peut établir
plusieurs connexions réseau simultanées et que si je ne dis pas
de bêtises elle peut même les recevoir sur le même port,
l'adresse + numéro de port de la machine distante étant
différente pour chacune.

Donc quand tu as un service lancé qui attend des connexions il a
réservé un numéro de port (comme 80 http, ...) de son côté, sur lequel
il recevra des connexions.

Dans l'autre sens, quand tu lances un logiciel qui va établir la
connexion vers un service distant ce logiciel demande un nouveau numéro
de port au système et c'est ce qu'il va utiliser pour s'identifier.

Par exemple
- Un serveur web attend une connexion sur le port 80 de l'adresse
IP 137.11.9.12.
- Un navigateur web demande un numéro de port au système, il
obtient le 2134 et il envoie un message au serveur depuis
l'adresse 121.99.12.87.
- On peut donc identifier cette connexion d'un côté comme de
l'autre par ces 4 informations : (137.11.9.12 / 80 /
121.99.12.87 / 2134).

1)Que se passe-t-il si je désactive tous les applications et services
de chaque liste?A mon avis,une catastrophe mais laquelle précisément.

"Désactiver les applications" n'est pas très précis.

Les pare-feu peuvent notamment fonctionner avec une politique par
défaut : est-ce que par défaut ton pare-feu bloque ou accepte les
tentatives de connexion ?

Il se peut aussi que ton pare-feu te redemande quoi faire à la
prochaine tentative de connexion de l'appli si elle n'est plus dans la
liste.

2)Dans ces 2 listes,quelles applications dois-je laisser au mieux
activer pour bloquer aux mieux tous les ports entrants et sortants y
compris 80 et 21?

Attention, il faut distinguer les logiciels qui reçoivent des
connexions de ceux qui établissent une connexion depuis chez toi vers
le monde extérieur. "Bloquer tous les ports" ne veut pas dire grand
chose. Ce que tu veux c'est sans doute interdire les connexions depuis
le monde extérieur vers ta machine (accepter ça ne sert que si tu as un
serveur sur ta machine, ce qui est rarement le cas ; pour un
particulier, attention seulement pour les jeux en réseau local, s'il
s'agit d'héberger la partie ; ou si tu fais du partage de fichiers par
exemple).

Les logiciels qui établissent des connexions depuis ta machine vers le
monde extérieur (par exemple ton navigateur web qui se connecte à un
site) sont sans doute beaucoup plus courants et tu ne veux pas
forcément les bloquer. Ces logiciels utilisent aussi des numéros de port
(quand ton navigateur se connecte, il demande un numéro de port à ton
système et il se connecte sur le port 80 (en général) du site distant).

Il faut donc bien distinguer les connexions établies par le reste du
monde vers chez toi et celles au contre établies par des logiciels chez
toi vers le reste du monde.

3)Pour une application donnée,quelle est la différence entre:
-bloquer le trafic sortant
-bloquer le trafic entrant

A priori bloquer le trafic sortant c'est interdire à l'application
d'établir des connexions vers le reste du monde. Par exemple il est
tout à fait légitime que ton navigateur établisse des connexions vers
le reste du monde. Pour d'autres logiciels c'est à toi de juger si tu
penses que l'appli devrait le faire, si elle en a besoin et si tu veux
la laisser faire (si tu lui fais confiance).

Bloquer le trafic entrant c'est empêcher d'établir une connexion depuis
le reste du monde vers chez toi, c'est sans doute toujours bien dans
ton cas, à moins que tu n'héberges un serveur sur ta machine (voir les
cas cités plus haut).

4)si presque tous les ports sont bloqués,est-ce qu'un pirate
expérimenté pourrait quand même avoir accès à distance à mon PC?

Il y a plein de moyens de prendre le contrôle de ta machine.

Celui auquel tu fais référence, c'est le fait de lancer un serveur web
sur ta machine juste pur toi et que le pirate se connecte depuis le
monde extérieur et utilises une faille de sécurité dans le serveur web
pour prendre le contrôle de la machine.

Pour cette question : en principe bloquer toutes les connexions
entrantes devrait te protéger. En réalité attention :
- En cas de faille de sécurité dans le pare-feu ou la partie réseau
de ton système d'exploitation, il existe des trous. Bon, rien
n'est jamais parfait dans le monde...
- Il se peut que ton pare-feu autorise automatiquement certaines
connexions depuis l'extérieur à certains services de Windows.
Voire à certains logiciels d'une liste prédéfinie (comme le
serveur web apache). Donc attention à comment marche ton pare-feu.

Ceci étant dit :
- Si tu es tout seul chez toi, bloquer ces connexions entrantes ne
fait pas de mal mais le modem-routeur à l'entrée le fait déjà.
Attention en cas de connexion wifi (si elle n'est pas bien
chiffrée) ou sur des réseaux ailleurs. Ou en cas de machine
voisine compromise sur le même réseau.
- Les moyens les plus courants de prendre le contrôle de ta machine
sont sans doute des moyens assez différents : par exemple une
pièce jointe piégée dans un courriel, une page web piégée qui
exploite une faille de sécurité de ton navigateur, ...

5)si une application n'est pas lancée ou désactivée à l'aide de
"propriétés",un pirate pourrait-il quand même accéder à mon PC par le
port de ou ouvert par cette application?

Le pare-feu va refuser le trafic à destination de tel port (connexion
entrante) mais si aucun logiciel n'écoute sur ce port ça ne change
rien : les ports ne sont pas de mystérieux trous, simplement des
numéros utilisés pour identifier les connexions actives. Ce que le
pirate peut faire ce n'est pas "entrer par le trou", c'est établir une
connexion à une application chez toi, laquelle lui fournit des
informations qui étaient secrètes (partage de fichiers par exemple) ou
possède une faille de sécurité (un défaut de programmation) qui permet
à quelque ayant établi une connexion avec elle de prendre le contrôle
de la machine.

Par contre si tu te trouves sur une page piégée exploitant une faille
de ton navigateur, ce dernier est autorisé à communiquer avec le reste
du monde de toutes façons et donc le pare-feu peut difficilement
t'aider à détecter le problème.

Pour les connexions sortantes, surveiller quelles applications tentent
de contacter le reste du monde peut être intéressant. Certaines
connexions sont légitimes (certains logiciels se connectent chez
leur éditeur pour vérifier si de nouvelles versions sont
disponibles par exemple ; ou pour autre chose, va savoir...) et d'autres
moins (à toi de voir à qui tu fais confiance).

On Tue, 15 Sep 2015 05:54:39 -0700, marioski wrote:

4)si presque tous les ports sont bloqués,est-ce qu'un pirate expérimenté
pourrait quand même avoir accès à distance à mon PC?

Oui, des scripts dans le navigateur internet permettent de faire
n'importe quoi. Il ne faut pas naviguer avec un compte qui a des droits
d'administration.