Création de règles de firewall personnalisées
- Règles de firewall personnalisées
- Création de règles avec l'assistant
- Création manuelle de règles
- Mise en œuvre des règles
Règles de firewall personnalisées
Chacun des cinq réglages de firewall décrits dans le chapitre 4 intitulé Protection de votre serveur contre les attaques de réseau est constitué d'un ensemble de règles. Chacune de ces règles est définie en nommant les sources, les destinations, les services et les interfaces autorisés ou interdits.
Pour afficher vos règles de firewall, cliquez sur VirusBarrier Server 3, puis sur l'onglet Firewall.
Le mode Simple, disponible par défaut, ne vous permet pas de changer de règles ni de modifier l'un de leurs éléments. Pour cela, vous devez passer au mode Avancé de l'écran Firewall. Pour cela, cliquez sur l'onglet Firewall, puis sur Avancé.
ATTENTION : La modification de ces réglages pourrait fortement affecter la capacité d'accès de votre ordinateur aux réseaux locaux et à Internet. Nous vous conseillons de bien maîtriser les effets et le fonctionnement du mode avancé avant de l'utiliser.
En mode Simple, une animation apparaît quand vous cliquez sur l'un des cinq réglages de firewall ; en mode Avancé, vous avez accès aux détails de chaque réglage.
De plus, lorsque vous passez le curseur sur les réglages pendant quelques secondes, un texte s'affiche et décrit brièvement sa fonction.
Dans cet exemple, le réglage Client, serveur local contient quatre règles.
- La première règle permet l'accès du réseau local à votre serveur via tous les Services connectés, c'est-à-dire les connexions TCP concernant des communications bidirectionnelles comme la distribution de fichiers depuis votre serveur.
- La deuxième règle interdit toutefois de telles connexions à partir d'Internet au sens large, afin que votre serveur ne puisse agir comme serveur pour un ordinateur inconnu situé hors de votre réseau local.
- La troisième règle autorise toutes les autres communications provenant d'Internet vers votre serveur.
- La quatrième règle autorise toutes les communications provenant de votre serveur vers Internet.
Les cinq réglages prédéterminés du firewall sont "verrouillés" dans un souci de simplicité et de stabilité : vous ne pouvez pas modifier leurs règles, ni leur ordre d'affichage. VirusBarrier Server 3 vous offre toutefois deux façons de créer des réglages personnalisés supplémentaires : via l'Assistant de Firewall et manuellement.
Dans chaque cas, la première étape consiste à cliquer sur le bouton + sous la liste des réglages. Un nouveau réglage apparaît, intitulé "réglage sans titre". Cliquez sur ce réglage et tapez le nom choisi, puis appuyez sur Entrer ou Retour pour rendre la modification permanente.
Note : vous avez pour l'instant créé ce réglage, mais vous ne l'avez pas encore activé. Nous vous conseillons de ne pas activer les réglages du firewall avant d'avoir fini d'ajouter toutes vos règles. Pour en faire le réglage actif, cliquez sur le bouton radio à sa gauche.
Création de règles avec l'assistant
VirusBarrier Server 3 contient un assistant qui vous aide à créer vos propres règles de firewall personnalisées. Grâce à l'assistant, la création de règles se résume à quelques clics de souris. Bien que toutes les fonctionnalités de règles de VirusBarrier Server 3 ne soient pas disponibles lorsque vous créez des règles à l'aide de l'assistant, ce dernier peut satisfaire la plupart de vos besoins. Pour une personnalisation plus poussée, créez vos règles à l'aide de l'assistant, puis modifiez-les manuellement.
L'assistant VirusBarrier Server 3 vous guide tout au long des étapes de création de règle :
- Introduction
- Nom et comportement
- Direction des communications
- Service
- Options
- Conclusion
Pour créer une règle à l'aide de l'assistant, cliquez sur le bouton Assistant dans le coin inférieur droit de la fenêtre.
Le premier écran de l'assistant de création de règle apparaît.
Cliquez sur le bouton Suivant pour commencer la création. Vous pouvez à tout moment cliquer sur le bouton Précédent pour revenir aux écrans précédents ou cliquer sur Fermer pour quitter l'assistant.
Nom et comportement
Entrez le nom de la règle dans le champ de nom, puis choisissez son comportement : Autoriser les communications ou Refuser les communications. Si vous choisissez Autoriser les communications, la règle va autoriser le passage des données correspondant à sa direction et à son service. Si vous choisissez Refuser les communications, la règle va refuser le passage des données correspondant à sa direction et à son service.
Direction des communications
Cet écran permet le choix de la direction de communication et de l'hôte qui initie la communication.
D'abord, dans la section La règle s'applique aux communications réalisées avec :, sélectionnez l'hôte distant. Quatre choix sont possibles :
- n'importe quel autre ordinateur : tout ordinateur autre que votre serveur.
- les ordinateurs de mon réseau local : tout ordinateur sur le même réseau local que votre serveur.
- les ordinateurs d'un réseau AirPort standard : tout ordinateur sur votre réseau AirPort par défaut, le cas échéant.
- les ordinateurs du réseau sélectionné dans cette liste : si vous avez créé des réseaux personnalisés à l'aide de l'éditeur de règle standard, vous pouvez en sélectionner un dans ce cadre. (Pour en savoir plus sur la configuration d'un réseau personnalisé, reportez-vous à la section Création manuelle de règles.)
Puis, sélectionnez l'ordinateur qui initie la connexion :
- Mon Mac : l'ordinateur utilisant cette règle.
- l'autre ordinateur : l'ordinateur distant, défini dans la première partie de l'écran.
Service
Cet écran permet le choix du service auquel la règle va s'appliquer.
Trois types de services sont disponibles :
- tous les services : tous les services de réseau.
- les services TCP (ou services connectés) : services nécessitant une connexion ouverte et maintenue entre deux ordinateurs, tels que HTTP, FTP, Telnet, SSH, POP3, AppleShare, etc. Cela concerne toutes les connexions TCP.
- le service sélectionné dans cette liste : vous avez le choix parmi la liste des services correspondant aux applications et protocoles les plus courants. Pour activer le service, sélectionnez-le en cliquant sur son nom.
Options
Cet écran permet le choix d'options de règle supplémentaires.
Deux options sont possibles :
- Enregistrer les utilisations de la règle : le firewall enregistre chaque utilisation de la règle dans l'historique.
- Désactiver la règle : VirusBarrier Server 3 crée la règle, mais la désactive. Vous pouvez l'activer manuellement.
Conclusion
Cet écran permet la création de la règle selon les réglages effectués dans l'assistant.
Cet écran offre une dernière option : si vous cochez Créer la règle inverse, l'assistant crée la règle correspondante, dont la source et la destination sont permutées.
Cliquez sur Configurer pour créer votre règle et quitter l'assistant.
Une fois terminé, vous pouvez constater que votre règle (ou vos règles, si vous avez coché Créer la règle inverse) apparaît dans la liste des règles de firewall de VirusBarrier Server 3.
Pour une personnalisation plus poussée de la règle ou pour la modifier, reportez-vous à la section "Modification de règles" dans Mise en œuvre des règles, ci-après.
Création manuelle de règles
Vous pouvez créer rapidement une règle afin de contrôler les informations entrantes et sortantes des services et des programmes courants. Pour cela, cliquez sur le bouton + au bas de la liste des règles et maintenez le bouton de la souris enfoncé pendant une seconde. Vous pouvez alors choisir dans la liste déroulante parmi les services les plus courants. Une règle qui régit votre sélection apparaît ensuite dans la liste des règles.
L'éditeur de règle vous permet de créer des règles bien plus complexes et variées. Pour l'afficher, cliquez sur le bouton + au bas de la liste des règles.
L'éditeur de règle de VirusBarrier Server 3 permet aux administrateurs de réseau de définir et de mettre en œuvre rapidement et aisément une stratégie globale de sécurité. Il est extrêmement flexible et permet de créer un nombre illimité de règles en quelques secondes. Une règle est définie par six éléments :
- Nom de la règle, traçage, filtrage et planification
- Source de la règle
- Destination de la règle
- Service de la règle
- Interface de la règle
- Action de la règle
Nom de la règle, traçage, filtrage et planification
Le champ en haut de l'éditeur de règle est destiné au nom de la règle. La case Tracer se trouve juste en dessous. Si vous cochez la case Tracer, une entrée est ajoutée à l'historique de VirusBarrier Server 3 à chaque action de cette règle ; un petit point rouge à droite du nom de la règle, dans la liste des règles, indique le traçage. Si cette case n'est pas cochée, l'historique n'est pas conservé.
Si la case Tracer est cochée, la case Arrêter le filtrage devient disponible et est cochée par défaut. Ces deux réglages, en tandem, constituent un outil performant de recherche de pannes sur un réseau sans gêner son trafic.
ATTENTION : Si vous ne comprenez pas pourquoi certaines règles n'ont pas d'effet, vérifiez les règles les précédant et assurez-vous que la case Arrêter le filtrage est désactivée pour chacune d'entre elles.
Pour modifier la planification, cliquez sur le bouton Éditer... La fenêtre Planification apparaît :
L'état de la règle par défaut correspond à Active, ce qui signifie que la règle est activée. Si vous la réglez sur Inactive, VirusBarrier Server 3 n'utilise pas cette règle. Vous pouvez décider d'avoir des règles actives dans une configuration et pas dans une autre. Pour en savoir plus sur l'utilisation des configurations, référez-vous à la section "Mise en œuvre des configurations" du chapitre 6, Préférences et configurations d'Intego VirusBarrier Server 3.
Si l'état de la règle par défaut est Active, il est possible de régler des périodes spécifiques pendant lesquelles la règle est désactivée. De même, si l'état de la règle par défaut est Inactive, il est possible de régler des périodes spécifiques pendant lesquelles la règle est activée.
Lorsque vous créez une règle pour la première fois, celle-ci est toujours active. Pour que la règle soit active ou inactive à certains moments, sélectionnez Active ou Inactive dans le menu déroulant et sélectionnez un intervalle dans la liste.
Trois options sont disponibles, en plus de Jamais :
- Chaque semaine vous permet de changer la planification de la règle, afin qu'elle soit active à un moment précis chaque semaine, comme chaque lundi à 8 h.
- Chaque jour active la règle à une heure précise, chaque jour.
- En choisissant Du dans le menu déroulant, vous pouvez activer ou désactiver la règle pendant un intervalle de temps spécifique en précisant une date et une heure de début et de fin.
À l'aide du bouton +, vous pouvez planifier d'autres périodes d'activation ou de désactivation de la règle. Par exemple, si une règle doit être désactivée durant les heures de bureau les lundis et les mardis, vous pouvez régler ces deux jours dans la fenêtre Planification. Pour supprimer une période planifiée, cliquez sur le bouton -, à droite de l'élément concerné.
Les règles planifiées apparaissent avec une icône de calendrier dans la liste des règles.
Sources et destinations de la règle
Dans la définition des règles, la source est l'entité qui envoie les données et la destination est l'entité qui les reçoit. Quatre sources et destinations sont disponibles pour chaque règle. VirusBarrier Server 3 ne permet toutefois pas de choisir la même entité comme source et destination dans une règle. (VirusBarrier Server 3 corrige automatiquement l'erreur si vous essayez de le faire tout de même.)
Les quatre sources et destinations disponibles par défaut sont les suivantes :
- Mon Mac : Votre ordinateur.
- Réseau local : le réseau local auquel l'ordinateur est connecté.
- Réseau AirPort : le réseau AirPort sans fil auquel l'ordinateur est connecté.
- Internet : l'Internet, en plus du réseau local auquel vous pouvez être connecté ; en fait, tous les réseaux.
Vous pouvez créer de nouvelles sources et destinations à inclure dans les règles. Cela permet de spécifier les ordinateurs qui peuvent communiquer avec votre serveur.
Pour créer une nouvelle source ou destination, cliquez sur le bouton + à droite du menu déroulant correspondant. Dans notre exemple, nous allons créer une nouvelle source. Cependant, dès qu'elle est créée, elle apparaît également dans la liste des destinations possibles.
L'éditeur de nouveau réseau est affiché.
Entrez un nom qui vous aidera à mémoriser le réseau. Si, par exemple, vous bloquez les adresses IP dont le dernier octet se situe dans l'intervalle 100-155, la source/destination pourrait s'appeler "IP de 100 à 155".
Le menu déroulant Type propose sept types de réseau.
| Nom | Définition | Type d'adresse |
| Toutes machines | N'importe quel réseau. | Aucun, vu que cette adresse couvre tous les réseaux. |
| Mon Mac | Votre ordinateur. | Les adresses IP de votre serveur sont affichées dans le champ Adresse et ne sont pas modifiables. |
| Mon réseau local | Le réseau local auquel l'ordinateur est connecté. | Les adresses IP de votre serveur et le masque de sous-réseau de votre réseau local sont affichés dans le champ Adresse et ne sont pas modifiables. |
| Machine | Une adresse IP spécifique. | N'importe quelle adresse IP. Si vous saisissez un nom de domaine, il sera converti par VirusBarrier Server 3 en une seule adresse IP. |
| Réseau | Un réseau spécifique. | N'importe quelle adresse IP Subnet et masque Subnet. Comme ci-dessus, VirusBarrier Server 3 convertit les noms de domaine en une seule adresse IP. |
| Intervalle d'adresses | Un groupe d'adresses IP. | Adresses initiale et finale. VirusBarrier Server 3 convertit les noms de domaine en une seule adresse IP. |
| Adresse IP | Un seul élément connecté au réseau par Ethernet. | Une ID Ethernet, sous la forme de six nombres hexadécimaux à deux caractères. |
Services de la règle
Le terme "service" fait référence à la combinaison d'un type de protocole, du ou des ports utilisés et de critères spécifiques au protocole. Ces éléments, pris ensemble, décrivent habituellement un programme ou une classe de programmes, qui envoie et reçoit des informations. Par exemple, dans le cas d'informations envoyées par le protocole TCP sur le port 80 à l'aide de HTTP, il s'agit d'un service web.
VirusBarrier Server 3 dispose d'une cinquantaine de services courants préprogrammés, afin qu'il soit facile de bloquer (ou d'autoriser) le trafic correspondant à un type spécifique.
Alors que la plupart des services préprogrammés sont clairement mappés vers un programme spécifique, certaines sélections dans cette liste, telles que "Web" relèvent plutôt d'une classe de communications. Voici quelques exemples de services non spécifiques :
| Nom | Description | Réglages |
| Tous | Toutes les communications, quel que soit le protocole ou le port. | Tous les protocoles, sur tous les ports. |
| Apple Remote Desktop | Programme permettant qu'un administrateur Mac contrôle un autre Mac via une connexion réseau. | Port 3283 sur UDP. |
| Services connectés | Toutes les communications TCP. Une session TCP maintient une connexion entre ordinateurs ; il est donc toujours clair qu'elle était initiée par le Mac et qu'elle est digne de confiance. Par comparaison, une session UDP est une série de communications sans la "mémoire" de l'initiateur. | Toutes les communications TCP, sur n'importe quel port. |
| FTP | File Transfer Protocol. | TCP, ports 20 ou 21. |
| iChat AV | Programme de messagerie instantanée avec vidéo et son. | Port 5060 sur UDP. |
| IRC | Internet Relay Chat. | TCP sur port 194 pour IRC et tout le trafic TCP entre les ports 6665 et 6669 inclus. |
| iTunes Music Sharing | Mode de partage de votre bibliothèque de musique iTunes via votre réseau local. | Port 3689 sur TCP. |
| Communications de courrier électronique. | TCP port 25 pour SMTP, port 110 pour POP3, port 143 pour IMAP4, port 220 pour IMAP3, port 389 pour LDAP et port 587 pour le dépôt de messages. | |
| NTP | Network Time Protocol. | UDP sur port 123. |
| SSH | Secure Shell. | TCP sur port 22 utilisant SSH. |
| Telnet | Connexion à distance. | TCP sur port 23 utilisant telnet. |
| VNC | Virtual Network Computing, système graphique de contrôle à distance. | TCP sur ports 5900-5999. |
| Web | Navigation web, par exemple via un navigateur tel que Safari. | TCP sur ports 80 et 8080 via HTTP et sur port 443 via HTTPS. |
| Well-Known Ports | Large intervalle de ports utilisés traditionnellement en communications réseau. | TCP et UDP sur tous les ports de 0 à 1023. |
Les autres services s'appliquent à des programmes ou protocoles spécifiques.
La création de règles pour des services spécifiques réclame la plus grande attention. Quand vous sélectionnez un service lié à un programme spécifique, il est possible que ce programme utilise le même port qu'un autre programme ou service. Le blocage ou l'autorisation d'un service spécifique risque de rentrer en conflit avec d'autres règles plus générales. Par exemple, si vous souhaitez bloquer le trafic ICQ, la sélection d'ICQ en tant que service bloquera également le trafic venant d'AOL Instant Messenger, puisque ces deux programmes utilisent le même port. Il se peut que d'autres programmes partagent également les mêmes ports. Si vous rencontrez des difficultés de connexion à un service donné, d'envoi ou de réception de données, essayez de désactiver les règles l'une après l'autre, pour savoir s'il y a un conflit.
Pour créer un nouveau service, cliquez sur le bouton + à côté de la section Service.
L'éditeur de service apparaît.
Vous avez le choix parmi quatre suites de protocoles dans le menu déroulant : TCP, UDP, ICMP et IGMP. Le choix de Tous couvre tous les protocoles.
Quand vous avez choisi une des suites de protocole, des options additionnelles apparaissent en partie basse du panneau, avec la liste des services disponibles. Les options dépendent du protocole que vous avez sélectionné.
TCP ou UDP proposent les options suivantes :
- Tous les ports : affecte tous les ports.
- Port unique : permet de spécifier un port unique en tapant son numéro ou en le sélectionnant parmi plus d'une centaine d'options dans le menu déroulant. (VirusBarrier Server 3 introduit automatiquement le numéro correct lorsque vous le sélectionnez dans le menu déroulant.)
- Intervalle de ports : permet d'entrer des numéros de port de début et de fin pour définir un intervalle de ports.
ICMP ou IGMP proposent les options suivantes :
- Tous : affecte tous les types.
- Type spécifique : permet de spécifier une seule valeur en tapant son numéro ou en le sélectionnant parmi plus d'une vingtaine d'options dans le menu déroulant. (VirusBarrier Server 3 introduit automatiquement le numéro correct lorsque vous le sélectionnez dans le menu déroulant.) Vous pouvez également spécifier un numéro de code, le cas échéant.
Pour chaque protocole, une option est disponible pour Inclure les paquets broadcast. Si cette option est cochée, les paquets envoyés à tous les ordinateurs sur un réseau local seront inclus dans ce service.
Le Port de destination est une option finale, disponible seulement pour les services utilisant le protocole UDP. Si l'option est cochée, les paquets sont filtrés selon la fonction du port de destination. Si elle n'est pas cochée, les paquets sont filtrés selon la fonction du port de source.
Interfaces de la règle
L'interface est l'adaptateur de réseau par lequel transitent les données. Il peut s'agir d'une carte Ethernet, d'une carte AirPort sans fil ou de tout autre type d'interface réseau.
Vous pouvez choisir parmi une liste d'interfaces préprogrammées existant sur votre ordinateur ou créer vos propres interfaces en cliquant sur le bouton +.
L'éditeur de nouvelle interface apparaît.
Le menu déroulant Type propose deux options. La première, Toutes, utilise toutes les interfaces de réseau disponibles. La seconde, Spécifique, affiche la liste des interfaces disponibles en fonction du matériel et des logiciels de votre ordinateur et vous propose quelques options supplémentaires.
Les interfaces habituelles sont les suivantes :
- AirPort : mise en réseau sans fil
- Ethernet : interface câblée souvent utilisée pour la mise en réseau
- FireWire : interface câblée souvent utilisée pour les périphériques, comme un disque dur, mais qui peut également être utilisée comme interface réseau
Le nom BSD et le numéro d'index sont les identifiants utilisés par la couche Unix de Mac OS X. Si nécessaire, vous pouvez les régler manuellement. (Ce ne sera probablement pas le cas et il est déconseillé de les modifier si vous ne savez pas ce qu'ils sont.) Si d'autres interfaces sont présentes sur votre serveur, une option Autre est également disponible.
Actions de la règle
Chaque règle a deux actions possibles : Accepter ou Refuser. Choisissez l'action souhaitée en cochant le bouton radio correspondant, en bas de la fenêtre de l'éditeur de règle.
Enfin, cliquez sur OK pour ajouter cette règle aux règles de firewall de VirusBarrier Server 3.
Sources, destinations, services ou interfaces en plusieurs segments
Les différents éléments d'une règle peuvent être définis en plusieurs segments. Vous pouvez, par exemple, décider que le trafic venant de plusieurs adresses IP spécifiques soit banni, en listant chacune de ces adresses séparément dans une source donnée.
Quand vous créez ou modifiez un élément (source, destination, service ou interface), une barre ayant l'aspect suivant apparaît en haut de la fenêtre :
- Créer un nouveau segment : Cliquez sur le bouton +.
- Se déplacer parmi les segments : cliquez sur les icônes de flèche. Note : le texte au milieu de la barre indique le segment et le nombre total de segments. Quand vous avez atteint le dernier segment, cliquez sur la flèche de droite pour revenir au premier.
- Suppression d'un segment : pour supprimer un segment, il doit être visible. Cliquez sur l'une des icônes de flèche jusqu'à ce que le segment à supprimer apparaisse. Cliquez sur le bouton -, puis confirmez la suppression dans la zone de dialogue qui suit.
Suppression de sources, de destinations, de services ou d'interfaces
Vous pouvez supprimer les éléments de règle créés. Pour cela, choisissez la source, puis cliquez sur le bouton -.
Une boîte de dialogue vous demande de confirmer la suppression. Cliquez sur Supprimer ou sur Annuler.
Mise en œuvre des règles
Ordre des règles
Les règles que vous ajoutez au firewall de VirusBarrier Server 3 sont appliquées dans l'ordre, de la première à la dernière ; vous devez donc vous assurer qu'elles sont classées en bon ordre pour qu'elles fonctionnent correctement.
Ici, la première règle bloque les données venant d'Internet (ce qui inclut tous les réseaux, même un réseau local), tandis que la règle 3 permet le trafic venant d'un réseau local. Cependant, comme cette dernière est en troisième position, elle ne s'applique pas. C'est la première règle qui prévaut. Pour que la règle 3 s'applique, il faut la placer en tête de la liste des règles. Pour cela, sélectionnez la règle et faites-la glisser à la position appropriée.
Modification et suppression de règles
Pour modifier une règle, sélectionnez-la, puis cliquez sur le bouton avec l'icône de crayon au bas de la liste. L'éditeur de règle présente la règle, que vous pouvez modifier à votre convenance. Quand vous avez terminé, cliquez sur OK pour enregistrer les modifications. Si vous ne souhaitez pas enregistrer les modifications, cliquez sur Annuler.
Pour supprimer une règle, cliquez dessus dans la liste des règles, puis cliquez sur le bouton - au bas de la liste.
Utilisation du menu contextuel des règles
VirusBarrier Server 3 permet d'apporter rapidement des modifications aux règles de firewall via un menu contextuel. Vous pouvez ainsi ajouter de nouvelles règles, modifier les règles existantes ou modifier les caractéristiques d'une règle à la volée.
Vous pouvez accéder à ce menu contextuel en cliquant sur une règle à l'aide du bouton droit de la souris.
Le menu propose les options suivantes :
- Copier dans le Presse-papiers : pour copier le contenu d'une règle sur le presse-papiers du Mac au format texte seul. Vous pouvez ensuite coller la règle dans un document, où elle aura l'aspect suivant : "#02/ACTIVÉ/Entrée/Toutes/Internet -> Mon Mac/Tous/Refuser" (où les barres obliques sont des tabulations).
- Insérer un Set Standard / Ajouter un Set Standard : pour insérer ou ajouter un set standard de règles, venant de la même sélection que celle trouvée en mode Simple : "Sans restriction", "Déconnexion réseau", "Client, serveur local", "Mode serveur" ou "Mode client".
- Statut : pour choisir l'état de la règle, entre Active et Inactive. Si le fonctionnement de la règle est planifié, l'étiquette Planifiée est cochée dans le sous-menu.
- Comportement : pour choisir le comportement de la règle et décider d'Accepter ou de Refuser le trafic.
- Tracée : pour choisir si la règle enregistre les données du trafic dans l'historique.
- Permuter source et destination : pour "inverser" une règle, en permutant la source et la destination.
- Dupliquer : pour créer une copie de la règle.
- Éditer... : pour ouvrir l'éditeur de règle pour la règle indiquée.
- Supprimer... : pour supprimer la règle.