Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
applications:firestarter [Le 09/11/2006, 23:19] 82.241.102.252 |
— (Version actuelle) | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | <code> | ||
| - | Version Hoary, Breezy | ||
| - | </code> | ||
| - | Rédigé par [[utilisateurs:eks]], jpaul. | ||
| - | |||
| - | |||
| - | ====== Firestarter : le pare-feu en toute simplicité ====== | ||
| - | |||
| - | ===== Qu'est-ce que Firestarter ? ===== | ||
| - | |||
| - | Firestarter est une interface graphique qui vous aide à configurer facilement certains paramètres de votre machine. Et puisque c'est une interface graphique de pare-feu, je vous laisse deviner ce qu'il permet de configurer. | ||
| - | |||
| - | {{applications:reponse_firestarter.gif}} (Retournez l'écran pour lire la réponse) | ||
| - | |||
| - | Firestarter a pour objectif d'être le plus simple possible tout en restant complet et efficace. | ||
| - | |||
| - | **Cependant ATTENTION ! Firestater n'est que l'interface graphique de configuration du firewall (iptables), qui lui tourne tout le temps...** | ||
| - | |||
| - | Il est donc inutile de faire tourner en permanence firestarter ! Le firewall iptable n'a pas besoin de cette interface pour fonctionner. | ||
| - | |||
| - | ===== Un parequoi ? ===== | ||
| - | |||
| - | Un pare-feu (//firewall// pour les anglophones) est un programme (exécuté généralement en arrière-plan, en tant que service) qui empêche les curieux de faire des vilaineries //via// le réseau sur votre ordinateur. Ce n'est pas une sécurité absolue, loin s'en faut, mais une sécurité de plus. | ||
| - | En gros, tout ordinateur relié à un réseau (par exemple, internet) possède des entrées et des sorties (un peu comme les portes d'une maison), qui servent à faire transiter les données. Le pare-feu surveille ces « portes » et évite qu'un malotru vienne vous rendre visite à l'improviste, tout en laissant passer ce que vous lui aurez dit de laisser passer. | ||
| - | |||
| - | ===== Installation ===== | ||
| - | Pour l'installation, lancez [[applications:Synaptic]]. Recherchez « firestarter », cochez la case correspondante et validez le tout (bouton « Appliquer ») pour l'installer. | ||
| - | |||
| - | ===== Premier lancement ===== | ||
| - | |||
| - | Pour lancer Firestarter, cliquez sur Système -> Administration -> Firestarter. Au premier lancement, un assistant vous aide à configurer Firestarter en choisissant l'interface à surveiller (il a normalement détecté automatiquement l'interface active). Si votre adresse IP vous est attribuée automatiquement via DHCP, cochez l'option correspondante. | ||
| - | |||
| - | La seconde boîte de dialogue vous propose de partager votre connexion et d'utiliser votre machine comme serveur DHCP. Si vous êtes le PC directement relié à Internet que vous partagez avec d'autre ordinateurs "derrière vous", cochez les 2 cases, sinon cliquez sur Avancer puis Enregistrer pour terminer l'assistant. | ||
| - | |||
| - | //Note : Si vous installez une nouvelle interface réseau par la suite, vous pourrez (et même vous devrez si le pare-feu bloque votre connexion) relancer l'assistant en allant dans le menu Pare-feu -> Lancer l'assistant. Pour les utilisateurs avertis, il est aussi possible de passer par le menu Édition -> Préférences.// | ||
| - | |||
| - | Si vous ne faites pas tourner de serveur sur votre machine, que les logs ne vous intéressent pas et que vous ne souhaitez pas vous plonger davantage dans la configuration de cet outil, vous pouvez vous arrêter ici et en rester à la configuration par défaut, qui devrait vous satisfaire. | ||
| - | |||
| - | ===== Configuration ===== | ||
| - | |||
| - | ==== L'onglet Etat ==== | ||
| - | |||
| - | Cet onglet montre et permet de contrôler l'état général du pare-feu, qui peut être : | ||
| - | - Actif : le pare-feu est en train de faire son travail | ||
| - | - Arrêté : le pare-feu est désactivé, il n'agit en rien sur le traffic | ||
| - | - Bloqué : le pare-feu bloque complètement le trafic entrant et sortant : rien ne passe | ||
| - | Cette page propose également quelques statistiques sur le trafic internet telles que les connexion actives, le nombres d'alertes et de paquets reçu, etc. | ||
| - | |||
| - | ==== L'onglet Evénements ==== | ||
| - | |||
| - | C'est le coin des logs, où vous pouvez voir les tentatives de connexion bloquées avec leur degré de gravité : | ||
| - | - Noir : tentative de connexion régulière sur un port, bloquée par le pare-feu, en règle générale pas de quoi fouetter un chat | ||
| - | - Rouge : possible tentative d'intrusion, également bloquée | ||
| - | - Gris : connexions que firestarter juge "non-dangereuses", en règle générale du traffic "broadcast" | ||
| - | |||
| - | //Todo : voire le degré des requêtes d'arpspoof (gris ?) // | ||
| - | |||
| - | ==== Onglet "politique" ==== | ||
| - | |||
| - | Définissez ici vos règles pour le trafic entrant et sortant de votre machine. | ||
| - | Pour le trafic sortant, je suggère l'option par défaut. | ||
| - | Pour le trafic entrant, si vous avez des serveurs tournant sur votre machine, ouvrez les ports correspondant : | ||
| - | - Clic droit dans la zone "Autoriser le service" | ||
| - | - Ajouter une règle | ||
| - | - Sélectionnez dans la liste de nom le nom du service que vous faites tourner (par exemple "FTP" pour un serveur ftp) ou, s'il n'y est pas, entrez le nom du service et le numéro du port | ||
| - | - Laisser l'option par défaut ("Tout le monde") dans le champ "source", afin d'ouvrir ce port pour tout le monde | ||
| - | - Validez en appuyant sur "Ajouter" | ||
| - | {{applications:firestarter-ajouteruneregle.png?200}} | ||
| - | |||
| - | ==== Les préférences (Edition -> Préférences) ==== | ||
| - | |||
| - | Les préférences par défaut conviennent à l'utilisateur lambda. Ceux d'entre vous qui connaissent déjà les protocoles réseau et le firewalling n'auront aucune difficulté à s'y retrouver, je renvoi les autres curieux aux documents facilement trouvables sur le sujet des protocoles réseau et du firewalling. | ||
| - | |||
| - | ===== Le pare-feu est-il actif lorsque la fenêtre de firestarter est fermée ===== | ||
| - | |||
| - | La fenêtre ne sert qu'à la configuration. Le pare-feu est donc actif même quand elle est fermée, selon ce que vous avez défini dans les préférences "Pare-feu". Par défaut le pare-feu (re)démarre au lancement d'une connexion ET à l'ouverture de l'interface de configuration ET à l'attribution d'une nouvelle adresse via DHCP, ce qui vous assure la couverture de vos arrières. | ||
| - | |||
| - | ===== Liens ===== | ||
| - | |||
| - | [[http://www.fs-security.com/]] : Le site officiel de Firestarter (en anglais). | ||
| - | |||
| - | [[https://www.grc.com/x/ne.dll?bh0bkyd2]] Site qui vous permet de tester si votre protection est convenable (en anglais). | ||
| - | |||
| - | [[http://www.informatruc.com/test_poste_if.php]] Tester la sécurité de votre firewall, site très efficace et en français ! | ||
| - | |||
| - | ===== Exemple de configuration ===== | ||
| - | Section par : [[http://doc.ubuntu-fr.org/utilisateurs/lami|L'ami René]] | ||
| - | |||
| - | J'insère ici ma configuration car elle fut pour moi très longue à trouver ! | ||
| - | |||
| - | sudo firestarter | ||
| - | |||
| - | Voici mes préférences avec une carte réseau Ethernet et un modem ADSL, sans partage de connexion. | ||
| - | (Je souhaiterais que les spécialistes dans le domaine commentent ma configuration et dans le cas ou elle ne serait pas bonne, me corrigent) | ||
| - | |||
| - | ** Légende : ** | ||
| - | |||
| - | * = coché | ||
| - | |||
| - | / = décoché | ||
| - | |||
| - | Préférence : | ||
| - | * Liste libre | ||
| - | - Interface : | ||
| - | / Activer l'icone dans la barre des tâches | ||
| - | / Minimiser dans la barre des tâches sur fermeture de la fenêtre | ||
| - | - Événements : | ||
| - | * Omettre les entrées redondantes | ||
| - | / Omettre les entrées quand la destination n'est pas le pare-feu | ||
| - | - Politique : | ||
| - | * Appliquer les changements de politique immédiatement | ||
| - | - Pare-feu : | ||
| - | * Démarrer/Redémarrer le pare-feu au démarrage du programme | ||
| - | * Démarrer/Redémarrer le pare-feu lors d'une connexion par modem | ||
| - | * Démarrer/Redémarrer le pare-feu sur une nouvelle adresse DHCP | ||
| - | -Configuration du réseau : | ||
| - | - Périphérique réseau connecté à Internet : | ||
| - | - Périphériques détectés : [Périphérique Modem (ppp0)] | ||
| - | - Périphérique connecté au réseau local : | ||
| - | - Périphériques détectés : [Périphérique Modem (ppp0)] | ||
| - | / Autoriser le partage de la connexion Internet -> / Pas de partage de connexion ? | ||
| - | / Autoriser le DHCP pour le réseau local | ||
| - | - Filtrage ICMP | ||
| - | * Autoriser le filtrage ICMP | ||
| - | - Autoriser le suivi des types de paquet ICMP | ||
| - | / Requête par écho (ping) | ||
| - | / Réponse par écho (pong) | ||
| - | / Marquage temporel | ||
| - | |||
| - | / MS Traceroute | ||
| - | / Traceroute | ||
| - | / Inaccessible | ||
| - | |||
| - | / Masquage d'adresse | ||
| - | / Redirection | ||
| - | / Extinction de la source | ||
| - | - Filtrage ToS : | ||
| - | * Autoriser le filtrage sur le Type de Service (ToS) : | ||
| - | - Mettre une priorité plus forte pour : | ||
| - | / Les stations de travail | ||
| - | / Les serveurs | ||
| - | / Le système X Windows | ||
| - | - Régler les priorités pour maximiser : | ||
| - | / le débit | ||
| - | * la sécurité de fonctionnement | ||
| - | / l'interactivité | ||
| - | - Options avancées : | ||
| - | - Méthode préférée de rejet des paquets | ||
| - | / Rejeter les paquets avec une erreur | ||
| - | * Rejeter silencieusement | ||
| - | - Trafic broadcast : | ||
| - | * Bloquer le trafic broadcast du réseau externe | ||
| - | / Bloquer le trafic broadcast du réseau interne | ||
| - | - Validation du trafique : | ||
| - | / Bloquer le trafic des adresse réservées sur les interfaces publique | ||
| - | |||
| - | |||
| - | ===== Firestarter au démarrage ===== | ||
| - | |||
| - | **Applications** >> **Accessoires** >> **Terminal**, tapez : | ||
| - | |||
| - | <code>$ export EDITOR=gedit && sudo visudo</code> | ||
| - | |||
| - | Puis ajouter la ligne : | ||
| - | |||
| - | <code>nomdutilisateur ALL= NOPASSWD: /usr/sbin/firestarter</code> | ||
| - | |||
| - | ou | ||
| - | |||
| - | <code>%admin ALL= NOPASSWD: /usr/sbin/firestarter</code> | ||
| - | |||
| - | Ensuite dans **Système** >> **Préférences** >> **Sessions** | ||
| - | |||
| - | Dans l'onglet Programmes au démarrage, cliquez sur Ajouter puis tapez (en minuscule) : | ||
| - | |||
| - | <code>sudo firestarter --start-hidden</code> | ||
| - | |||
| - | ===== Partage de connexion avec firestarter et dhcpd3 sous dapper ===== | ||
| - | |||
| - | Afin de faire fonctionner le partage de connexion avec firestarter et dhcp3, | ||
| - | installez par Synaptic le paquet : | ||
| - | **dhcp3-server** | ||
| - | sur la machine qui partage sa connexion et configurez firestarter pour partager la connexion internet. | ||
| - | |||
| - | Firestarter ne reconnait pas le serveur dhcpd3. Afin que cela fonctionne tout de meme, il suffit de lancer | ||
| - | la commande | ||
| - | <code> sudo ln -s /usr/sbin/dhcpd3 /usr/sbin/dhcpd</code> | ||