Tutoriel Outpost firewall free

Voici les principaux paragraphes de ce tutoriel :

• Avertissement
• Second avertissement
• Comprendre l'interface graphique
• Associer chaque application à des règles
• Les plug-ins
• Infos en vrac

Outpost free est un firewall à règles, très ouvert, mais qui a été conçu pour être tout de même un minimum accessible.
Toutefois, comme dans la configuration de tout firewall, je recommande grandement de connaître le principe de fonctionnement du réseau internet.
Si ça n'est pas le cas, vous pouvez toujours trouver ces informations sur la page destinée aux firewalls.

Dès que Outpost est installé, il surveille tout le traffic internet de votre ordinateur.
C'est durant cette période (firewall installé mais fonctionnement encore inconnu) qu'il est facile de faire des erreurs.
Je vous recommande donc d'effectuer toujours cette même action lorsque Outpost fait apparaître une fenêtre à l'écran :

Qu'est-ce que cette action produit ?

Elle va refuser toutes les connexions que demande l'application concernée.
C'est préférable de tout refuser de cette manière pour le moment, afin de ne pas autoriser des connexions qui pourraient être dangereuses.
Vous pourrez de toutes façons modifier cela par la suite.

Mais, si je refuse tout, je ne vais plus pouvoir venir sur cette page internet pour voir la suite de ce tutoriel !

C'est pour cela que la seule chose que vous allez autoriser sera votre navigateur, de cette manière :

Vous pourrez donc continuer l'apprentissage de ce firewall en toute sécurité.

Lorsque l'on utilise un logiciel, quel qu'il soit, il est important de bien comprendre l'interface graphique.
Outpost dispose d'une interface plutôt simple.

Il y a deux grands "points" que vous pouvez développer par le petit "+" sur le côté :

• My internet : C'est toute la partie analyse du traffic internet
• Plug-ins : Ce sont des outils de sécurité complémentaire, nous en parlerons plus tard

Développons donc pour l'instant "My internet" :

Trois choses apparaissent alors :

• All Connections : C'est l'analyse de toutes les connexions en cours entre votre ordinateur et le réseau
• Allowed : C'est la liste de toutes les connexions acceptées jusqu'ici, depuis le redémarrage
• Blocked : C'est la liste de toutes les connexions bloquées jusqu'ici, depuis le redémarrage

Nous allons d'abord développer le point "All connections" et apprendre à analyser une connexion en cours.

Regardons de plus près les connexions établies par le navigateur firefox (si vous n'utilisez pas firefox, regardez les connexions établies par votre navigateur, qu'il soit Internet Explorer, Opera...).
Il faut donc cliquer sur l'icône correspondante.

Par soucis de place, je n'ai gardé à l'écran que les colonnes les plus importantes :

• Application : C'est le nom du programme ayant établi la connexion
• Remote Host : C'est l'adresse IP de l'ordinateur distant avec qui la connexion a été établie
  Si c'est possible, Outpost traduit directement cette adresse IP pour obtenir un nom de domaine
• Remote port : C'est le port utilisé par l'ordinateur distant
  Si le port correspond à un protocole particulier, Outpost affiche directement le protocole
• Protocol : C'est le nom du protocole de transport, c'est à dire TCP (connexion avec "poignée de main") ou UDP (connexion rapide sans "poignée de main")
• Local port : C'est le port utilisé par votre ordinateur

Ici, par exemple, nous voyons que trois connexions sont établies : deux vers votre propre ordinateur (indispendable au bon fonctionnement du navigateur) et une vers www.zebulon.fr (le site où j'ai navigué pour cet exemple de connexion).

Développons la connexion vers zebulon.fr et nous obtenons tous les détails :

Nous savons donc ceci sur cette connexion :

• C'est une connexion sortante, c'est à dire cliente (direction: outbound)
• Elle utilise TCP pour tranporter les données (protocol : TCP)
• L'hôte distant est www.zebulon.fr, son port est celui correspondant à HTTP, c'est à dire 80
• Le port local utilisé est 1172, c'est un port client attribué de manière aléatoire entre 1024 et 65635
• La vitesse de transfert est actuellement de 6693 octets par seconde
• La connexion a été établie à 10h02min33s et dure depuis 13 secondes

Savoir bien analyser une connexion, c'est savoir résoudre de futurs problèmes

Notez que vous pouvez retrouver toutes les connexions autorisées dans "Allowed" :

Et les connexions bloquées dans "Blocked" :

Pour que le firewall joue efficacement son rôle de protection, il faut associer chaque application aux règles qui lui conviennent le mieux.

Qu'est-ce que sont les "règles" ?

Si une application est associée à des règles, chaque connexion qu'elle tente d'établir sera vérifiée par ces règles. En fonction de ce que dit telle ou telle règle, la connexion sera acceptée ou rejetée.

On va commencer par supprimer toutes les associations que vous avez établies.

Mais, je n'ai encore touché à rien...

Si.
Vous vous souvenez, j'ai bien dit au début de ce tutoriel que si une application demandait à outpost la permission d'établir une connexion, il fallait choisir l'option "Stop all activities for this application".
De cette manière, vous avez associé chaque application à une unique règle disant simplement "rejeter toutes les connexions".

Maintenant il est temps de supprimer cette association.
Pour ce faire, allez dans "Options / Applications".
Repérez les applications considérées comme "Blocked applications" et supprimez-les de la liste par le bouton "remove".

Pourquoi mon navigateur est indiqué comme "Partially allowed application" ?

Parce qu'il est autorisé à établir des connexions, mais uniquement en respectant les règles qui lui sont associées. C'est à dire le jeu de règles "Browser".

D'accord ! Et ainsi, si je choisir pour une application "Allow all activities for this application", elle se retrouvera dans la case "Trusted applications" !

Exactement, sauf que je déconseille fortement de choisir cette option.
De cette manière, l'application est libre d'établir toutes sortes de connexions, ce n'est pas sûr du tout.
Autant de pas avoir de firewall ;-)

Bon, pour l'instant il doit vous rester une seule application dans le tableau : votre navigateur.
Comme il est considérée comme "Partially allowed application", c'est qu'il est associée à un jeu de règles particulier.
Je propose que l'on aille regarder ce jeu de règles de plus près histoire de voir comment il fonctionne.

Comment faire ?

Il suffit de cliquer sur l'icône correspondante puis sur "Edit / Modify rules...".
Et la fenêtre apparaît à l'écran :

On peut donc voir une liste de huit règles.
Voici le fonctionnement d'une règle :

Si les conditions sont respectées
Alors effectuer l'action
Sinon, passer à la règle suivante

Exemple pour la première règle "Browser HTTP rule" :

Si le protocole de transport est TCP
et que la connexion est de type client
et que le port distant est compris entre 80 et 83
Alors accepter la connexion
Sinon, passer à la règle suivante.

Le jeu de règles pour le navigateur est complet, il permet :

• Des connexions sortantes vers HTTP
• Des connexions sortantes vers HTTP sécurisé
• L'utilisation d'un proxy
• Les téléchargements par FTP

Il n'est donc pas utile de le modifier.

Outpost connaît déjà beaucoup de jeux de règles.
Pour la plupart de vos applications, vous pourrez utiliser le jeu de règles déjà construit :

Votre client de mails :

Votre client FTP :

Et même certains jeux réseau (ici Quake 3) :

Mais aussi :

• Les gestionnaires de téléchargement
• Les clients IRC
• Les clients ICQ
• Les clients Telnet
• ...

Outpost a donc le grand avantage d'être un firewall à règles mais très accessible grâce à ses nombreux jeux de règles tout prêts.

Toutefois, à chaque fois que vous associez une application à un jeu de règles, je vous conseille d'aller explorer ce jeu de règles pour voir ce qu'il contient.
Cela vous permettra de savoir comment Outpost autorise vos applications à communiquer, et ainsi de mieux comprendre leur fonctionnement.

Comment faire lorsqu'il n'existe aucun jeu de règles pour une application dont j'ai besoin ?

Dans ce cas, il faut créer le jeu de règles :P
Nous prendrons ici l'exemple d'un client MSN Messenger, aMSN.
Le même jeu fonctionnera avec MSN Messenger ou Windows Live Messenger.

Avant tout, il faut se renseigner pour savoir de quelle façon l'application communique, quels ports elle utilise. Une recherche google suffit souvent.

Et si je ne trouve pas les informations sur internet ?

Il existe alors une technique :

1. Bloquer l'application en question avec Outpost
2. Observer le journal des connexions bloquées
3. Repérer le type de connexion que l'application cherche à établir
4. Créer un jeu de règles en conséquence

aMSN utilise des connexions clientes vers les ports :

• 443, pour l'identification de votre compte
• 1863 et 80, pour les conversations et la webcam
• 6891 à 6900, pour les transferts de fichier

Pour créer un jeu de règles, il faut commencer par ouvrir le menu "Options / Applications" et cliquer sur "Partially allowed applications".

Puis cliquer sur le bouton "Add". Une fenêtre apparaît, vous devez explorer vos dossiers pour choisir l'application concernée :

Un jeu de règles vierge apparaît alors pour l'application :

Ajoutons la première règle.
Elle doit autoriser une connexion sortante vers le port distant 443.
Cliquons tout d'abord sur "New" pour ajouter une règle :

En français, voici la règle :

Si le protocole est TCP
et que le port distant est 443,
Autoriser

Ce qui va donner dans Outpost :

Where the protocol is TCP
and where the remote port is 443 (HTTPS)
Allow it

Commençons par "Where the protocol is TCP".
Il faut donc cocher "Where the specified protocol is..." :

On voit au fur et à mesure que l'on ajoute des conditions, la description de la règle se remplit.
Cliquons sur "Undefined" pour choisir le protocole de transport en question :

Ce qui donne :

Puis il faut choisir le port distant, il faut donc cocher "Where the specified remote port is..."

Là aussi, pour déterminer le port en question, il faut cliquer sur "Undefined" :

Entrons donc 443, le port voulu.
On aurait aussi pu le choisir dans la liste.

Voilà où on en est :

Il ne reste plus qu'à choisir "Allow it" et renommer la règle :

En cliquant sur "Ok", vous ajouterez cette règle au jeu de règles :

Maintenant que vous savez créer des règles, je vous laisse compléter le jeu de règles pour obtenir ceci :

Petite astuce : pour autoriser une "tranche" de ports (ici de 6891 à 6900), il faut séparer le port de départ et le port de fin par un tiret (ici 6891-6900).

(Par rapport à aMSN, vous devrez aussi autoriser l'application wish.exe au même jeu de règles)

Voilà, vous savez maintenant associer correctement une application à un jeu de règles, et créer vos propres jeux !

Outpost free comporte plusieurs outils de sécurité sumplémentaires.
Ils sont appelés plug-ins.
Chaque plug-in effectue un rôle particulier et peut être démarré, arrêté, et paramétré dans "Options / Plug-ins setup" :

Observons un à un les différents plug-ins.

Ads

Le rôle de "Ads" est de bloquer la publicité des pages webs.

Il bloque par deux méthodes :

• Il vérifie si le code HTML de la page contient des mots-clés correspondants à des pubs
• Il vérifie si la taille des images affichées correspondent à des tailles classiques de pubs

Deux méthodes que l'on peut configurer dans "Options / Plug-ins setup / Ads".
On peut tout d'abord activer / désactiver la recherche de mots clés :

Notez qu'il est possible d'ajouter ses propres mots-clés.
Cocher "Show Ad Trashcan on your desktop" fera apparaître une poubelle sur votre écran où vous pourrez faire glisser les images ou publicités vous gênant sur internet. Elle seront automatiquement ajoutées à la liste noire.

Dans l'onglet "Image size", vous pourrez activer / désactiver le mode et ajouter vos propres tailles d'images à bloquer :

Content

Ce plug-in sert à bloquer des pages webs.
A la base aucune page web n'est signalée à outpost, c'est donc vous qui choisissez les pages à bloquer.
Vous pouvez bloquer une page :

• Par son adresse
• Par des mots-clés

Le grand avantage de de plug-in est le blocage par mots-clés.
Vous pouvez ainsi instaurer un contrôle parental par exemple, en introduisant à outpost une liste de mots correspondants au thème des pages que vous souhaitez bloquer.

Tout est simple à configurer.
Le blocage par mots-clés (ajouter, retirer, modifier) :

Le blocage par adresse (ajouter, retirer, modifier) :

DNS Cache

Le principe du plug-in DNS cache est très simple : lorsque votre navigateur envoie une requête DNS, Outpost enregistre la réponse (l'adresse IP du serveur) afin d'éviter de futures requêtes et d'accélerer ainsi le chargement de vos pages webs.

On peut :

• Activer / Désactiver l'enregistrement des nouvelles adresses IP
• Choisir le nombre d'adresses IP à enregistrer au maximum
• Chosir le temps que les adresses restent enregistrées dans Outpost
• Supprimer manuellement des entrées

Active content

Active Content est un autre plug-in très utile.
Il permet d'activer / de désactiver dans les mails ou dans les pages webs :

• Les contrôles Active X
• Les cookies
• Le referer (lorsque vous arrivez sur un site à partir d'un lien, le site peut récupérer le lien et donc savoir d'où vous venez, c'est le referer)
• Les Javascripts et les scripts Visual Basic
• Les popups
• Les applets Java

Que demander de mieux ? :-)

Vous pouvez choisir trois options pour les contenus :

• Disable : désactiver
• Enable : autoriser
• Prompt : une fenêtre apparaît à l'écran et vous demande d'accetper ou de rejeter le contenu

Attachments filter

Attachments filter surveille les pièces jointes dans les mails entrants.

Voici comment le configurer :

Premièrement, il faut choisir dans la liste le type de fichier que vous souhaitez configurer.
Notez que vous pouvez ajouter vos propres types de fichier par le bouton "New".

Ensuite, il faut choisir une (des) action(s) pour le type de fichier :

• Rename it : le fichier sera renommé en .safe. Il s'ouvrira avec outpost qui affichera un message d'avertissement, vous ne pourrez donc pas ouvrir le fichier directement sans avertissement
  
  
• Report it : lorsque vous recevrez le mail, un message d'avertissement apparaîtra immédiatement à l'écran

Attention : outpost se contente ici de prévenir l'utilisateur de pièces jointes potentiellement dangereuses. En aucun cas il ne désinfecte.

Attack Detection

Un dernier plug-in très important : il permet de réagir en cas d'attaque.

Il faut tout d'abord déterminer ce que outpost va considérer comme une attaque :

• Minimum : quand le système a déjà identifié l'attaque sur l'ordinateur
• Normal : quand plusieurs ports sont scannés par un individu, ou un port précis (port serveur, port dangereux...)
• Maximum : dès qu'un port est scanné

Le paramètre "Normal" me semble être un bon choix.

Outpost avertira donc l'utilisateur en cas d'attaque.
Mais vous pouvez aussi choisir une réaction :

• Bloquer tout le traffic pendant un temps donné
• Bloquer l'accès de l'attaquant pendant un temps donné, et éventuellement les ordinateurs étant en réseau local avec lui

Pour bloquer les attaques DOS (envoi de mutltiples requêtes vers une application serveur afin de faire planter l'ordinateur), Outpost peut aussi bloquer le port concerné si une attaque est détectée. (N'est donc utile que pour les serveurs)

Netbios

Si vous avez besoin d'utiliser le protocole de microsoft "Netbios" pour votre réseau local ou un "dépannage à distance", sachez qu'il n'est pas autorisé par défaut par Outpost.
Pour l'activer, il faut se rendre dans le menu "Options / System", et cocher comme suit :

Autoriser Netbios d'une manière globale est très dangereux, c'est pour cela qu'il est préférable d'indiquer les ordinateurs pour lesquels on accepte des connexions Netbios.
Pour cela il faut cliquer sur setting :

Une fenêtre s'affiche donc et vous permet d'autoriser un ordinateur :

• Par son nom de domaine
• Par son adresse IP
• Par une "tranche" d'adresses IP

A savoir que l'astérisque (*) sert de Joker.
Exemple : autoriser 192.168.30.* revient à autoriser les adresses IP allant de 192.168.30.0 à 192.168.30.255
Utile si vous avez tout un réseau à autoriser.

Configurer l'ICMP

L'ICMP est un protocole internet servant à envoyer et recevoir rapidement des messages entre deux machines.
Ce protocole peut faire "peur" car il met en péril la furtivité d'un ordinateur dépourvu de firewall.
En effet si un pirate envoie le message ICMP "Ordinateur existes-tu ?", l'ordinateur répondra "Oui oui, j'existe bien".
Outpost empêche cette réponse en désactivant certains types de messages ICMP, nottamment la réponse.

Par défaut, Outpost autorise votre ordinateur à envoyer des questions "Ordinateur existes-tu ?", à recevoir des réponses "Oui oui, j'existe bien", "Cette adresse n'est pas joignable", "Temps de délai dépassé".
Il ne faut normalement pas autoriser d'autres types d'ICMP, au risque de compromettre votre sécurité.
Toutefois, si vous avez un jour besoin de modifier ces paramètres, vous pouvez le faire par le menu "Options / System / ICMP settings" :

A noter que le bouton "Default" vous permettra toujours de remplacer vos paramètres par ceux d'origine.

Ports masqués, ports fermés

Par défaut, Outpost ne renvoie pas de réponses aux ordinateurs demandant si un port précis existe.
C'est ce qui permet de masquer le port en question.
Si pour une raison ou une autre, vous avez un jour le besoin de signaler aux autres ordinateurs l'existence de vos ports, vous pouvez choisir le mode "Normal" dans "Options / System / Answer Type".
Pour une utilisation sûre, l'usage du mode "Stealth" (furtif) est recommandé :

Différence entre Deny et Reject

On pourrait se demander qu'elle est la différence entre "Deny" et "Reject" lorsque l'on crée une règle.
Deny signifie "nier", les paquets de la connexion ne sont pas acceptés.
Reject signifie "rejeter", les paquets de la connexion ne sont pas acceptés et un message ICMP est envoyé à la machine distante pour prévenir le rejet.

Dans la plupart des cas, il est donc préférable d'utilier Deny plutôt que Reject.

Retourner en haut de la page
Besoin d'aide ? Passez donc sur le forum

Site conçu par odSen en 2005 // Dernière MàJ : 9 novembre 2006 // e-mail : benoit[point]auneau[chez]gmail[point]com