Depuis maintenant un peu plus de deux ans, une nouvelle gamme de logiciels ont fait leur apparition dans le domaine de la sécurité informatique, les firewalls personnels. Ceux-ci sont nombreux et diffèrent dans leur fonctionnement d'un produit à l'autre. Pour cette raison, il est recommandé de faire une recherche parmi les différents produits disponibles afin de déterminer lequel correspond aux besoins de l'entreprise à sécuriser. À cet effet, j'ai inclus dans l'annexe A quelques liens vers des pages web traitant de ce sujet plus en profondeur (études comparatives, commentaires sur le fonctionnement de chaque produit, comment se procurer les versions gratuites ou démos pour des fins de tests, prix, etc.).
Donc, comme je le mentionnais, les firewalls personnels ne fonctionnent pas tous selon le même principe, et c'est sur ce point que j'aimerais m'attarder. Tenons pour acquis que le réseau interne est protégé du réseau Internet grâce à un firewall conventionnel. Quel serait alors l'avantage d'avoir un firewall personnel qui fonctionne sur les mêmes principes que le firewall principal, c'est-à-dire qui filtre le trafic entrant et sortant selon des règles définies sur certaines caractéristiques des paquets TCP/IP concernés? Un paquet envoyé par une personne malveillante qui réussit à passer le firewall parce qu'il est conforme aux règles mises en place a toutes les chances d'en faire de même lorsqu'il sera confronté au firewall personnel, puisque les chances sont grandes que ce paquet soit également conforme aux règles du firewall personnel, à moins que les règles des deux types de firewall soient sensiblement différentes.
Une autre stratégie, que je trouve particulièrement intéressante, est un firewall personnel qui gère le trafic entrant et sortant selon les permissions des applications qui se trouvent sur le poste, par opposition au port ou à l'adresse source ou destination. Ce type de firewall est également capable de faire la distinction entre le réseau interne et externe, ce qui permet d'obtenir une granularité assez fine quant au type de trafic accepté et refusé. De plus, un firewall de ce type permet d'arrêter net les chevaux de Troie, les espiongiciels (spyware) et les agents de déni de service (denial of service). Il est possible, pour chaque application se trouvant sur le poste, d'autoriser, de refuser ou de lui faire demander la permission à chaque connexion, que ce soit sur le réseau interne ou externe. Il est possible également de spécifier quels programmes ont la permission d'agit en tant que serveur, donc en mesure d'accepter les connexions provenant des autres machines. Ainsi, si un cheval de Troie se rend sur un PC grâce à un exécutable envoyé par messagerie électronique, celui-ci ne sera jamais en mesure d'accepter les demandes de connexion provenant du pirate, même si celui-ci est un usager légitime du réseau interne. Le danger inhérent de cette stratégie est d'être trop permissif quant aux applications que l'on donne accès au réseau. Par exemple, si on laisse l'application FTP en ligne de commande se connecter sur Internet sans restriction, alors il est possible pour un pirate de se confectionner un cheval de Troie espion qui utilisera FTP pour envoyer les données qu'il a collectées sur Internet sans que le firewall personnel ne fasse obstruction. Pour cet effet, tous les utilitaires réseau disponibles à partir de la ligne de commande devrait être disponible seulement en demandant la permission à chaque tentative de connexion (Il est également possible d'utiliser des logiciels à interfaces graphiques, tel Internet Explorer, pour passer une connexion illicite. Il dépend donc de l'entreprise de décider si chaque application doit nécessiter d'une approbation à chaque lancement ou non, en fonction du facteur de risque auquel elle est prète à faire face.). Ainsi configuré, les firewalls personnels agissent de façon complémentaire avec le firewall principal, au lieu d'offrir une protection redondante affichant les mêmes forces et faiblesses.
Afin d'augmenter sensiblement la sécurité du réseau, il est recommandé de n'inclure que les différents serveurs de votre réseau comme faisant partie du réseau interne. Ainsi, il devient impossible pour un poste de travail d'en contacter un autre à travers le réseau IP. Ceci force toutes les communications électroniques à transiger par les différends serveurs (courrier, fichier, impression, firewall, etc.) avant d'arriver à destination, et rend impossible l'intrusion d'un poste de travail par un autre via le réseau. Pour plus d'informations à ce sujet, je vous réfère à "Configuring ZoneAlarm securely" dans l'Annexe A.
Certains produits laissent tout de même la possibilité d'associer des ports précis à chacune des applications, ce qui permet encore une fois d'avoir un niveau de précision accru. Bien entendu, pour être efficace, il faut avoir une bonne idée de quelles applications sont utilisées sur les divers postes, quel type de réseau ces applications sont sensées se connecter (par exemple, interne pour l'application de courrier électronique, interne et externe pour le navigateur web). En énumérant bien les applications utilisées et permises par l'entreprise, il est alors possible de mettre en vigueur un standard difficile à contourner pour les usagers récalcitrants qui utilisent des applications non-standard (chat, instant messaging, etc). Bien entendu, pour arriver à cette fin, il est impératif de protéger cette configuration d'un mot de passe. Puisque les firewalls personnels sont encore peu répandus en entreprise, nous n'avons pas à faire face à la reconfiguration de logiciels déjà en place. Pour distribuer cette application ainsi que les configurations désirées, nous pouvons utiliser un logiciel qui permet de créer des paquets d'installations personnalisés. Pour terminer sur ce sujet, il est bien sûr fortement recommandé de rediriger les fichiers logs vers un serveur centralisé, comme pour l'antivirus, afin d'améliorer le temps de réaction des équipes informatiques lors d'attaques potentielles.
3. Maximiser la protection antivirus
5. Optimiser la sécurité du système d'exploitation