LnS - Édition des règles
Présentation de l’édition des règles de look’n'Stop
1- Nom de la règle: c’est ce nom qui apparaît dans le journal de Look’n'Stop et il est préférable de le rendre le plus significatif possible. Il peut être aussi utilisé pour une classification des règles selon leur ordre dans la liste puisque celui-ci est pertinent.
Un exemple de classification alphanumérique tenant compte de la position relative des règles sera présenté dans le prochain article portant sur le jeu de règles proposées.
Comme dans tout pare-feu à règles celles-ci sont examinées depuis la première de la liste et la première dont tous les critères s’appliquent à un paquet est appliquée, les autres règles n’étant pas, par défaut, examinées.
En quelque sorte il s’agit d’une série de propositions universelles (Si tous les critères de la règle sont vrais alors la règle s’applique) reliées entres elles par une série de XOR [exclusion réciproque]: parmi la série de règles une et une seule est vraie à l’exclusion de toutes les autres. D’où l’importance de positionner ces règles dans le bon ordre et la nécessité de verrouiller la série de règles par une règle de blocage de tous les autres paquets ne répondant à aucune des règles précédentes.
Un modèle théorique simple d’un jeu de règles serait: Règle d’autorisation selon les critères a,b,c … XOR Règle d’interdiction de tout ce qui est différent de la règle précédente. Un jeu de règles n’est que le déploiement différencié de ces deux règles, la dernière étant toujours nécessaire afin de clore le jeu et d’assurer sa cohésion.
2- Direction des paquets: détermine si les paquets sont envoyés, reçus ou échangés. Il est à remarquer que dans ce dernier cas il peut y avoir plusieurs possibilitées: soit un échange où la source et la destination des paquets est réciproque, soit un échange où l’adresse ou une gamme d’adresses IP est indiquée comme source ou destination. Le cas le plus fréquent est l’indication de l’adresse IP locale comme source de l’échange des paquets. Dans le cas d’une application cliente pour indiquer la source initiant la connexion et dans le cas d’un serveur indicant l’adresse IP du port de service en écoute.
3- Description de la règle: permet de conserver certaines références pour la règle. Ce champs est optionnel et n’a aucune influence sur l’application des règles.
4- Type Ethernet: les choix sont IP, Arp ou autres. IP est l’option la plus fréquente.
5- Protocole IP: les choix sont tous, TCP, UDP, TCP/UDP, ICMP, IGMP, autres, 47-GRE et 50-SIPP-ESP (Sipp Encapsulated Security Payload).
6- Positionnement des fragments: les choix sont tous, égal , différent de 0, égal 1, différent de 1. (Pour DF: 0= fragmentation interdite, 1 fragmentation permise. Pour MF: 0= dernier fragment, 1= fragments supplémentaires.).
7- Flag des fragments: DF signifie “Don’t Fragment”, MF, “More Fragment”.
Les choix sont tous, DF (fragmentation interdite), !DF (fragmentation permise), MF (fragments supplémentaires autorisés), !MF (dernier fragment), DF+MF (fragmentation interdite ET fragments supplémentaires autorisés), DF+!MF ( fragmentation interdite ET dernier fragment) , !DF+MF (fragmentation permise ET fragments supplémentaires autorisés), !DF+!MF (fragmentation permise ET dernier fragment).
8- Flags TCP ou code et type ICMP: les choix dans le cas des paquets TCP sont les flags URG, ACK, PSH, RST, SYN et FIN de même que le masque de ces flags.Dans le cas du protocole ICMP les choix sont entre les différents types et codes ICMP.
9- Options pour l’adresse Ethernet: toutes, égale ou différente de l’adresse MAC indiquée dans le champs Adresse Ethernet.
10- Adresse Ethernet: il s’agit de l’adresse Media Access Control.
11- Options pour l’adresse IP: les choix sont toutes, égale, différent, entre A-B, Hors A-B, Masqué, Non-masqué, Égale à mon adresse IP, Différent de mon adresse IP, Égale ou, Différent et.
12- Options pour les ports TCP/UDP: les choix sont tous, égale, Entre A-B, Hors A-B, Égal ou, Différent et.
13- Applications: indique si la règle est valable pour toutes les applications (aucune application inscrite) ou pour telle ou telle application. Il est possible d’indiquer un maximum de 10 applications par règle.
Édition du filtrage logiciel
A-
La première colonne indique si le programme est connu de Look’n'Stop. Dans le cas contraire chaque fois que ce programme sera lancé une boîte de dialogue vous demandra l’autorisation de l’exécuter.
La deuxième colonne indique si le programme est autorisé à se connecter à internet (vert), autorisé conditionnellement (jaune) ou interdit (rouge). Ces conditions concernent les ports autorisés ou interdits ou les adresses IP autorisées ou interdites.
La troisième colonne indique si le programme est autorisé à lancer d’autres applications se connectant à internet.
La quatrième colonne indique si l’exécution réussi ou non est sans avertissement (.), signalée en cas de blocage (!) ou signalée dans tous les cas dans le journal de Look’n'Stop.
Les autres colonnes non-modifiables indiquent respectivement l’icône du programme, son nom qui apparaît dans le champ “Applications…” de l’édition de règle et enfin le chemin de l’application.
B-
Champ des ports autorisés ou non en TCP.
Les ports sont séparés par le signe ; , les gammes par le signe - tandis que les ports interdits sont précédés du signe ! Par exemple: 80 = port 80 autorisé, !5000 = port interdit, 80;443 = ports 80 et 443 autorisés, 1024-5000 = gamme de ports autorisée, !1-1023 = gamme de ports interdite.
Le même champs et les même normes existent aussi pour les ports en UDP.
C-
L’autre champ concerne les adresses IP autorisées ou non et la même notation est utilisée pour ce champ. Celui-ci existe aussi pour le protocole UDP.
Dans l’édition de règle il est possible d’indiquer une adresse ou une gamme d’adresses Ip continues ou encore d’utiliser un masque pour filtrer un type précis d’adresses IP. Toutefois, dans le cas d’une série discontinue d’adresses ou de gammes d’adresses IP il est plus pratique d’utiliser ce champ plutôt que de multiplier le nombre de règles du filtrage internet.
Remarques:
Règle générale il n’est pas nécessaire de spécifier les ports autorisés pour la plupart des programmes et dans le cas contraire il est préférable d’utiliser la notification de blocage dans le journal au cas ou les restrictions de ports empêcherait le fonctionnement normal du programme.
Certains programmes détectés par Look’n'Stop et listés dans l’onglet de filtrage logiciel ne se connectent jamais à internet mais sont susceptibles de lancer d’autres programmes qui eux le font.
Par exemple “Application services et contrôleur” C:\WINDOWS\System32\services.exe ne se connecte pas à internet mais doit être autorisé à lancer d’autres applications qui, elles, doivent s’y connecter. Un autre exemple est celui de la plupart des applications qui ont une option pour se connecter au site web de l’éditeur du logiciel. En ce cas, même s’il s’agit d’une application locale et non d’une application internet, elle est listés dans la liste de filtrage logiciel afin de vous permettre d’indiquer si oui ou non cette application peut lancer le navigateur par défaut pour se connecter au site web.
En somme, l’édition de règles combinée à l’édition des critères d’accès des programmes permettent d’élaborer un jeu de règles souples et précises qui permettent à Look’n'Stop de rencontrer les caractéristiques d’un pare-feu efficace: la furtivité sur internet, l’absence de fuite vers internet et une notification suffisante pour conserver un contrôle raisonnable sur les connexions entre votre ordinateur et l’extérieur.
Le prochain article de cette série sur Look’n'Stop présentera un jeu de règles complet, documenté et permettra à l’occasion de préciser certains points abordés dans les deux premier articles.
