Création de règles de firewall personnalisées

Règles de firewall personnalisées

Chacun des cinq réglages de firewall décrits dans le chapitre 4 intitulé Protection de votre Mac contre les attaques de réseau est constitué d'un ensemble de règles. Chacune de ces règles est définie en nommant les sources, les destinations, les services et les interfaces autorisés ou interdits.

Le mode Simple ne vous permet pas de changer de règles ni de modifier l'un de leurs éléments. Pour cela, vous devez passer au mode Avancé de l'écran Firewall. Pour ce faire, cliquez sur le bouton Firewall en haut de l'écran principal.

Ensuite, cliquez sur l'onglet Règles du Firewall, si celui-ci n'est pas actif, et sur le bouton de mode Avancé dans le coin supérieur droit de la fenêtre.

ATTENTION : La modification de ces réglages pourrait fortement affecter la capacité d'accès de votre ordinateur aux réseaux locaux et à Internet. Nous vous conseillons de bien maîtriser les effets et le fonctionnement du mode avancé avant de l'utiliser.

En mode Simple, une animation apparaît quand vous cliquez sur l'un des cinq réglages de firewall ; en mode Avancé, vous avez accès aux détails de chaque réglage.

De plus, lorsque vous passez le curseur sur les réglages pendant quelques secondes, un texte s'affiche et décrit brièvement sa fonction.

Dans cet exemple, le réglage "Client, serveur local" contient quatre règles. La première règle permet l'accès du réseau local à votre Mac via tous les "Services connectés", c'est-à-dire, les connexions TCP concernant des communications en va-et-vient, telles que la distribution de fichiers venant de votre Mac. La seconde règle, cependant, interdit de telles connexions venant de l'Internet au sens large, ce qui évite que votre Mac agisse comme serveur pour un ordinateur inconnu hors de votre réseau local. La troisième règle permet toutes les autres communications venant d'Internet vers votre Mac, tandis que la quatrième permet toutes les communications de votre Mac vers Internet.

Les cinq réglages du firewall sont préfixés et "gelés" dans un objectif de facilité et de stabilité : vous ne pouvez pas modifier leurs règles, ni leur ordre d'affichage. Cependant, en mode avancé, VirusBarrier X6 propose deux façons de créer des réglages personnalisés et additionnels : via l'Assistant de Firewall et manuellement.

Dans chaque cas, la première étape consiste à cliquer sur le bouton "+" sous la liste des réglages. Un nouveau réglage apparaît, intitulé "réglage sans titre". Cliquez sur ce réglage et tapez le nom choisi, puis appuyez sur Entrer ou Retour pour rendre la modification permanente.

Note : pour l'instant, vous avez créé ce réglage, mais vous ne l'avez pas encore activé. Nous vous conseillons de ne pas activer les réglages du firewall avant d'avoir fini d'ajouter toutes vos règles. Pour en faire le réglage actif, cliquez sur le bouton radio à sa gauche.

Création de règles avec l'assistant

VirusBarrier X6 contient un assistant qui vous guide dans la création des règles de firewall personnalisées. Grâce à l'assistant, la création de règles se résume à quelques clics de souris. Bien que toutes les fonctionnalités de règle de VirusBarrier X6 ne soient pas disponibles dans ce cadre, la plupart des besoins relatifs aux règles de firewall sont couverts. Pour une personnalisation plus poussée, créez les règles à l'aide de l'assistant puis passez à une modification manuelle.

L'assistant de VirusBarrier X6 guide l'utilisateur dans la série d'étapes nécessaires à la création des règles :

Pour créer une règle à l'aide de l'assistant, cliquez sur le bouton Assistant....

Le premier écran de l'assistant de création de règle apparaît.

Cliquez sur le bouton Suivant pour commencer la création. Vous pouvez, à tout moment, cliquer sur le bouton Précédent pour revenir aux écrans précédents ou cliquer sur Fermer pour quitter l'assistant.

Nom et comportement

Entrez le nom de la règle dans le champ de nom, puis choisissez son comportement : Autoriser les communications ou Refuser les communications. Si vous choisissez Autoriser les communications, la règle va autoriser le passage des données correspondant à sa direction et son service associé. Si vous choisissez Refuser les communications, la règle va refuser le passage des données correspondant à sa direction et son service associé.

Cliquez sur le bouton Suivant pour continuer le processus.

Direction des communications

Cet écran permet le choix de la direction de communication et de l'hôte qui initie la communication.

D'abord, dans la section La règle s'applique aux communications réalisées avec :, sélectionnez l'hôte distant. Quatre choix sont possibles :

Puis, sélectionnez l'ordinateur qui initie la connexion :

Quand vous avez terminé, cliquez sur le bouton Suivant pour continuer le processus.

Service

Cet écran permet le choix du service auquel la règle va s'appliquer.

Trois types de services sont disponibles :

Quand vous avez terminé, cliquez sur le bouton Suivant pour continuer le processus.

Options

Cet écran permet le choix d'options de règle supplémentaires.

Deux options sont possibles :

Quand vous avez terminé, cliquez sur le bouton Suivant pour continuer le processus.

Conclusion

Cet écran permet la création de la règle selon les réglages effectués dans l'assistant.

Cet écran offre une dernière option : si vous cochez Créer la règle inverse, l'assistant crée la règle correspondante, dont la source et la destination sont permutées.

Cliquez sur Configurer pour créer la règle et quitter l'assistant.

Quand vous avez terminé, vous constatez que la règle (ou les règles, si vous avez coché Créer la règle inverse) apparaît dans la liste des règles de firewall de VirusBarrier X6.

Pour une personnalisation plus poussée ou des modifications, reportez vous à la section Modification de règles, ci-après.

Création rapide de règles spécifiques à des services

Il existe deux façons de créer rapidement des règles pour contrôler les informations allant et venant des services et des programmes courants. La première façon est de cliquer sur le bouton "+" au bas de la liste des règles et de maintenir le bouton de la souris enfoncé pendant une seconde. Vous pouvez alors choisir dans la liste déroulante parmi les services les plus courants. Une règle qui régit votre sélection apparaît ensuite dans la liste des règles.

Le deuxième mode de création rapide passe par la Bibliothèque de services. Pour afficher cette bibliothèque, choisissez Fenêtre > Afficher la bibliothèque de services ou tapez Option-Commande-6.

La fenêtre de la Bibliothèque de services s'ouvre et présente la liste des services les plus courants.

Pour créer une règle, sélectionnez le service voulu et faites-le glisser vers la liste de règles. Par défaut, une règle ajoutée de cette façon autorise tout le trafic de votre Mac vers Internet, sur toutes les interfaces. En d'autres termes, la règle n'interdit aucune activité jusqu'à la modification éventuelle de ses éléments, comme cela est décrit ci-après.

Création manuelle de règles

Vous pouvez créer des règles individuelles via l'éditeur de règle. Cliquez sur le bouton "+" au bas de la liste des règles et l'éditeur de règle apparaît.

L'éditeur de règle de VirusBarrier X6 permet aux administrateurs de réseau de définir et de mettre en œuvre une stratégie globale de sécurité, rapidement et facilement. Il est extrêmement flexible et permet de créer un nombre illimité de règles en quelques secondes. Une règle est définie par six éléments :

Nom de la règle, traçage, filtrage et planification

Le champ en haut de l'éditeur de règle est destiné au nom de la règle. La case Tracer se trouve juste en dessous. Si vous cochez la case Tracer, une entrée s'ajoute à l'historique de VirusBarrier X6 à chaque action de cette règle ; un petit point rouge à droite du nom de la règle, dans la liste des règles, indique le traçage. Si cette case n'est pas cochée, l'historique n'est pas conservé.

Si la case Tracer est cochée, la case Arrêter le filtrage devient disponible et elle est cochée par défaut. Ces deux réglages, en tandem, constituent un outil performant de recherche de pannes sur un réseau sans gêner son trafic.

ATTENTION : Si vous ne comprenez pas pourquoi certaines règles n'ont pas d'effet, vérifiez les règles les précédant et assurez-vous que la case "Arrêter le filtrage" est désactivée pour chacune d'entre elles.

Pour modifier la planification, cliquez sur le bouton Éditer.... La fenêtre Planification apparaît :

L'état de la règle par défaut est fixé à Active, ce qui signifie que la règle est activée. Si vous la réglez sur Inactive, VirusBarrier X6 n'utilise pas cette règle. Vous pouvez décider d'avoir des règles actives dans une configuration et pas dans une autre. Pour en savoir plus sur l'utilisation des configurations, reportez-vous au chapitre 6 intitulé Préférences et configurations.

Si l'état de la règle par défaut est Active, il est possible de régler des périodes spécifiques pendant lesquelles la règle est désactivée. De même, si l'état de la règle par défaut est Inactive, il est possible de régler des périodes spécifiques pendant lesquelles la règle est activée.

Lorsque vous créez une règle pour la première fois, celle-ci est toujours active. Si vous souhaitez que l'état de la règle soit modifié à certains moments, cliquez sur le menu déroulant et sélectionnez un des intervalles de temps dans la liste.

Trois options sont disponibles, en plus de Jamais.

À l'aide du bouton "+", vous pouvez planifier d'autres périodes de modification de l'état de la règle. Par exemple, si la règle doit être désactivée les lundis et les mardis, vous pouvez régler ces deux jours dans la fenêtre Planification. Pour supprimer une période planifiée, cliquez sur le bouton "-", à droite de l'élément concerné.

Les règles planifiées apparaissent avec une icône de calendrier dans la liste des règles. L'historique de cette règle particulière est activé, comme l'indique le petit point rouge à côté du nom.

Sources et destinations de la règle

Dans la définition des règles, la source est l'entité qui envoie les données et la destination est l'entité qui les reçoit. Quatre sources et destinations sont disponibles pour chaque règle. Cependant, VirusBarrier X6 ne permet pas de choisir la même entité comme source et destination dans une règle. Si vous essayez tout de même de le faire, VirusBarrier X6 corrige l'erreur.

Les quatre sources et destinations disponibles par défaut sont les suivantes :

Création de nouvelles sources et destinations

Vous pouvez créer de nouvelles sources et destinations à inclure dans les règles. Cela permet de spécifier les ordinateurs qui peuvent communiquer avec votre Mac.

Pour créer une nouvelle source ou destination, cliquez sur le bouton "+" à droite du menu déroulant correspondant. Dans notre exemple, nous allons créer une nouvelle source. Cependant, dès qu'elle est créée, elle apparaît également dans la liste des destinations possibles.

L'éditeur de nouveau réseau est affiché.

Entrez un nom qui vous aidera à mémoriser le réseau. Si, par exemple, vous bloquez les adresses IP dont le dernier octet se situe dans l'intervalle 100-155, la source/destination pourrait s'appeler "IP de 100 à 155".

Le menu déroulant Type propose sept types de réseau.



Nom

Définition

Type d'adresse

Toutes machines

N'importe quel réseau.

Aucun, vu que cette adresse couvre tous les réseaux.

Mon Mac

Votre ordinateur.

Les adresses IP de votre Mac s'affichent dans le champ Adresse, non modifiable.

Mon réseau local

Le réseau local auquel l'ordinateur est connecté.

Les adresses IP de votre Mac et le masque subnet de votre réseau local s'affichent dans le champ Adresse et ne peuvent pas être modifiées.

Machine

Une adresse IP spécifique.

N'importe quelle adresse IP. Si vous entrez un nom de domaine, VirusBarrier X6 le résout en une seule adresse IP.

Réseau

Un réseau spécifique.

N'importe quelle adresse IP Subnet et masque Subnet. Comme ci-dessus, VirusBarrier X6 résout les noms de domaine en une seule adresse IP.

Intervalle d'adresses

Un groupe d'adresses IP.

Adresses initiale et finale. VirusBarrier X6 résout les noms de domaine en une seule adresse IP.

Adresse IP

Un seul élément connecté au réseau par Ethernet.

Une ID Ethernet, sous la forme de six nombres hexadécimaux à deux caractères.

Services de la règle

Le terme "service" fait référence à la combinaison d'un type de protocole, du ou des ports utilisés et de critères spécifiques au protocole. Ces éléments, pris ensemble, décrivent habituellement un programme ou une classe de programmes, qui envoie et reçoit des informations. Par exemple, dans le cas d'informations envoyées par le protocole TCP sur le port 80 à l'aide de HTTP, il s'agit d'un service web.

VirusBarrier X6 dispose d'une soixantaine de services courants, préprogrammés pour qu'il soit facile de bloquer (ou d'autoriser) le trafic qui relève d'un type spécifique.

Alors que la plupart des services préprogrammés sont clairement mappés vers un programme spécifique, certaines sélections dans cette liste, telles que "Web" relèvent plutôt d'une classe de communications. Voici quelques exemples de services non spécifiques :

Nom

Description

Réglages

Tous

Toutes les communications, quel que soit le protocole ou le port.

Tous les protocoles, sur tous les ports.

Apple Remote Desktop

Programme permettant qu'un administrateur Mac contrôle un autre Mac via une connexion réseau.

Port 3283 sur UDP.

Services connectés

Toutes les communications TCP. Une session TCP maintient une connexion entre ordinateurs ; il est donc toujours clair qu'elle était initiée par le Mac et qu'elle est digne de confiance. Par comparaison, une session UDP est une série de communications sans la "mémoire" de l'initiateur.

Toutes les communications TCP, sur n'importe quel port.

FTP

File Transfer Protocol.

TCP, ports 20 ou 21.

iChat AV

Programme de messagerie instantanée avec vidéo et son.

Port 5060 sur UDP.

IRC

Internet Relay Chat.

TCP sur port 194 pour IRC et tout le trafic TCP entre les ports 6665 et 6669 inclus.

iTunes Music Sharing

Mode de partage de votre bibliothèque de musique iTunes via votre réseau local.

Port 3689 sur TCP.

Mail

Communications de courrier électronique.

TCP port 25 pour SMTP, port 110 pour POP3, port 143 pour IMAP4, port 220 pour IMAP3, port 389 pour LDAP et port 587 pour le dépôt de messages.

NTP

Network Time Protocol.

UDP sur port 123.

SSH

Secure Shell.

TCP sur port 22 utilisant SSH.

Telnet

Connexion à distance.

TCP sur port 23 utilisant telnet.

VNC

Virtual Network Computing, système graphique de contrôle à distance.

TCP sur ports 5900-5999.

Web

Navigation web, par exemple via un navigateur tel que Safari.

TCP sur ports 80 et 8080 via HTTP et sur port 443 via HTTPS.

Well-Known Ports

Large intervalle de ports utilisés traditionnellement en communications réseau.

TCP et UDP sur tous les ports de 0 à 1023.

Les autres services s'appliquent à des programmes ou protocoles spécifiques.

La création de règles pour des services spécifiques réclame la plus grande attention. Quand vous sélectionnez un service lié à un programme spécifique, il est possible que ce programme utilise le même port qu'un autre programme ou service. Le blocage ou l'autorisation d'un service spécifique risque de rentrer en conflit avec d'autres règles plus générales. Par exemple, si vous souhaitez bloquer le trafic ICQ, la sélection d'ICQ en tant que service bloquera également le trafic venant d'AOL Instant Messenger, puisque ces deux programmes utilisent le même port. Il se peut que d'autres programmes partagent également les mêmes ports. Si vous rencontrez des difficultés de connexion à un service donné, d'envoi ou de réception de données, essayez de désactiver les règles l'une après l'autre, pour savoir s'il y a un conflit.

Création de nouveaux services

Pour créer un nouveau service, cliquez sur le bouton "+" à côté du menu déroulant Service.

L'éditeur de service apparaît.

Vous avez le choix parmi quatre suites de protocoles dans le menu déroulant : TCP, UDP, ICMP et IGMP. Le choix de Tous couvre tous les protocoles.

Quand vous avez choisi une des suites de protocole, des options additionnelles apparaissent en partie basse du panneau, avec la liste des services disponibles. Les options dépendent du protocole que vous avez sélectionné.

TCP ou UDP proposent les options suivantes :

ICMP ou IGMP proposent les options suivantes :

Pour chaque protocole, une option est disponible pour Inclure les paquets broadcast. Si cette option est cochée, les paquets envoyés à tous les ordinateurs sur un réseau local seront inclus dans ce service.

Le Port destination est une option finale, disponible seulement pour les services utilisant le protocole UDP. Si l'option est cochée, les paquets sont filtrés selon la fonction du port de destination. Si elle n'est pas cochée, les paquets sont filtrés selon la fonction du port de source.

Interfaces de la règle

L'interface est l'adaptateur de réseau par lequel transitent les données. Il peut s'agir d'une carte Ethernet, d'une carte AirPort sans fil ou de tout autre type d'interface réseau.

Vous pouvez choisir parmi une liste d'interfaces préprogrammées existant sur l'ordinateur ou créer vos propres interfaces en cliquant sur le bouton "+".

L'éditeur de nouvelle interface apparaît.

Le menu déroulant Type propose deux options. La première, Toutes, utilise toutes les interfaces de réseau disponibles. La seconde, Spécifique, liste les interfaces qui sont disponibles en fonction du matériel et des logiciels de votre ordinateur et vous propose quelques options supplémentaires.

Les interfaces habituelles sont les suivantes :

Le nom BSD et le numéro d'index sont les identifiants utilisés par la couche Unix de Mac OS X. Si nécessaire, vous pouvez les régler manuellement. (Ce ne sera probablement pas le cas et il est déconseillé de les modifier si vous ne savez pas ce qu'ils sont.) Si d'autres interfaces sont présentes sur votre Mac, une option Autre est également disponible.

Actions de la règle

Chaque règle a deux actions possibles : Accepter ou Refuser. Choisissez l'action souhaitée en cochant le bouton radio correspondant, en bas de la fenêtre de l'éditeur de règle.

Enfin, cliquez sur OK pour ajouter cette règle aux règles de firewall de VirusBarrier X6.

Sources, destinations, services ou interfaces en plusieurs segments

Les différents éléments d'une règle peuvent être définis en plusieurs segments. Vous pouvez, par exemple, décider que le trafic venant de plusieurs adresses IP spécifiques soit banni, en listant chacune de ces adresses séparément dans une source donnée.

Quand vous créez ou modifiez un élément (source, destination, service ou interface), une barre ayant l'aspect suivant apparaît en haut de la fenêtre :

Suppression de sources, de destinations, de services ou d'interfaces

Vous pouvez supprimer les éléments de règle créés. Choisissez l'élément concerné, puis cliquez sur le bouton "-".

Une boîte de dialogue vous demande de confirmer la suppression. Cliquez sur Supprimer ou sur Annuler.

Mise en œuvre des règles

Ordre des règles

Les règles que vous ajoutez au firewall de VirusBarrier X6 sont appliquées dans l'ordre, de la première à la dernière ; vous devez vous assurer qu'elles sont classées dans un ordre logique pour qu'elles fonctionnent correctement.

Ici, la première règle bloque les données venant d'Internet (ce qui inclut tous les réseaux, même un réseau local), tandis que la règle 3 permet le trafic venant d'un réseau local. Cependant, comme cette dernière est en troisième position, elle ne s'applique pas. C'est la première règle qui prévaut. Pour que la règle 3 s'applique, il faut la placer en tête de la liste des règles. Pour cela, sélectionnez la règle et faites-la glisser à la position appropriée.

Modification et suppression de règles

Pour modifier une règle, sélectionnez-la, puis cliquez sur le bouton avec l'icône de crayon au bas de la liste. L'éditeur de règle présente la règle, que vous pouvez modifier à votre convenance. Quand vous avez terminé, cliquez sur OK pour enregistrer les modifications. Si vous ne souhaitez pas enregistrer les modifications, cliquez sur Annuler.

Pour supprimer une règle, sélectionnez-la, puis cliquez sur le bouton "-" au bas de la liste.

Utilisation du menu contextuel des règles

VirusBarrier X6 permet d'apporter des modifications aux règles du firewall via un menu contextuel. Vous pouvez ainsi ajouter de nouvelles règles, modifier les règles existantes ou modifier les caractéristiques d'une règle à la volée.

Vous pouvez accéder au menu contextuel en maintenant la touche Ctrl enfoncée et en cliquant sur une règle. (Avec une souris à deux boutons, il suffit de cliquer sur le bouton droit).

Le menu propose les options suivantes :