Mise en place d'un Pare-feu personnel sous Windows 2000 :
La mise en place de cette astuce nécessite quelques connaissances préalables de Windows 2000 et d'avoir aussi quelques notions de sécurité. Dans le cas contraire, mieux vaut utiliser un pare feu "clés-en-main".
Vous avez un peu l'habitude des pare-feu, et aucun de ceux que vous avez essayé ne vous comble... Créez votre propre pare-feu sous Windows 200x ou XP. C'est le moment de plonger les mains dans le cambouis...
Windows XP est fourni avec un parefeu intégré, mais peu savent que Windows 2000 offre les outils pour créer un pare-feu. Il est d'ailleurs possible de créer ce pare-feu avec les outils mis à notre disposition aussi sous Windows XP, grâce au système IPSec.
Il est donc envisageable de créer un parefeu résistant sous Windows 2000, qui permet de se passer d'un logiciel tiers.
Les instructions suivantes s'appliquent à Windows 2000. Il y a quelques différences sous XP.
Etape 1 :
Nous allons créer une nouvelle Console de Gestion (Console MMC.)
1. Aller dans le menu "Démarrer", puis cliquer sur "Exécuter...",
2. Taper "mmc" (sans les guillemets), puis valider,
3. Une nouvelle session est lancée.
Etape 2 :
1. A partir du menu "Console", sélectionner "Ajouter/Supprimer un composant logiciel enfichable...",
2. Dans la nouvelle fenêtre, cliquer sur "Ajouter...",
3. Sélectionner "Gestion de la stratégie de sécurité du Protocole IP",
4. Cliquer sur "Ajouter",
5. Cliquer sur "Terminer" dans la fenêtre qui s'ouvre (en laissant les paramètres par défaut),
6. Cliquer sur "Fermer",
7. Cliquer sur "OK".
Pour on ne sait quelles raisons, Microsoft n'a pas prévu le profil "Bloquer", c'est-à-dire bloquer l'activité d'un port, nous devons donc le créer, ce qui devrait être faisable sans difficultés majeures...
1. Cliquer sur le signe "+" en regard de "Stratégies de sécurité IP sur Ordinateur Local", dans le panneau gauche de la Console,
2. Cliquer avec le bouton droit sur "Stratégies de sécurité IP sur Ordinateur Local", et, dans le menu contextuel, choisir "Gérer les listes de filtres d'adresses IP et les actions de filtrage...",
3. Dans la nouvelle fenêtre, cliquer sur l'onglet "Gérer les actions de filtrage",
4. Cliquer sur "Ajouter",
5. Cliquer sur "Suivant" dans l'assistant qui apparaît,
6. Dans le champ "Nom", taper "Bloquer" et, dans le champ "Description", taper "Bloquer les paquets IP non sécurisés",
7. Cliquer sur "Suivant",
8. Sélectionner le bouton radio "Bloquer",
9. Cliquer sur "Suivant",
10. Cliquer sur "Finir".
La liste devrait désormais inclure l'option "Bloquer".
Etape 4 :
1. Fermer la fenêtre "Gérer les listes de filtres d'adresses IP et les actions de filtrage",
2. Cliquer droit sur "Stratégies de sécurité IP sur Ordinateur Local", dans le panneau de gauche de la console,
3. Cliquer sur "Créer une stratégie de sécurité IP..." dans le menu contextuel,
4. Cliquer sur "Suivant" lorsque l'Assistant apparaît,
5. Pour le nom, taper "Pare-feu". Pour la description, taper la même chose,
6. Cliquer sur "Suivant",
7. Les valeurs par défaut sont appropriées, donc, cliquer sur "Suivant",
8. Cliquer sur "Suivant" une deuxième fois, les valeurs par défaut sont encore correctes. Kerberos risque d'afficher un avertissement, il faut l'ignorer en cliquant "Oui" (Cet avertissement n'apparaît que si le PC n'est pas membre d'un domaine),
9. Cliquer sur "Finir" pour fermer l'Assistant.
Une nouvelle fenêtre permettant de gérer les ports apparaît alors. C'est l'ocassion de tester le parefeu en créant une règle "bidon" qui bloquera toute activité sur chacun des ports. Cela ne sert à rien, sauf à tester le bon fonctionnement du pare-feu... Dans cette fenêtre, décocher "Utiliser l'Assistant Ajout" (il n'est pas plus difficile et tout aussi rapide de le faire manuellement...
Etape 5 :
1. Vérifier que la connection Internet est bien active pour tester le Pare-feu,
2. Cliquer sur "Ajouter",
3. Nous avons deux filtres préconfigurés, nommés "Tout le trafic ICMP" et "Tout trafic IP",
4. Sélectionner le bouton radio en regard de l'option "Tout trafic IP",
5. Cliquer sur l'onglet "Action de filtrage",
6. Sélectionner le bouton radio "Bloquer",
7. Cliquer sur l'onglet "Liste de filtres IP",
8. Sélectionner "Tout le trafic ICMP",
9. Cliquer sur l'onglet "Action de filtrage",
10. Sélectionner le bouton radio "Bloquer",
11. Valider,
12. Cliquer droit sur le profil "Pare-feu" (dans la partie droite de la console) et choisir l'option "Attribuer",
13. Le parefeu est alors actif.
Essayez maintenant d'ouvrir une page web ou récupérer des messages... C'est impossible, car un IPSec bloque toute activité au niveau des ports IP et ICMP. L'ordinateur, dans cet état, est aussi sécurisé que s'il n'était pas connecté au Net... Ce n'est pas spécialement utile. Il faut donc revenir en arrière et défaire les modifications effectuées dans cette étape 5.
Etape 6 :
On suppose que les modifications faites à l'étape 5 ont été annulées.
1. Double cliquer sur la ligne "Pare-feu" située dans la partie droite de la console,
2. Décocher l'option "<Dynamique>" (ou nous n'aurons pas d'activité sur les ports, comme avant...),
3. Cliquer sur "Ajouter...",
4. Dans le champ "Nom", taper "Filtre HTTP". La description est facultative,
5. Décocher "Utiliser l'Assistant Ajout" s'il est coché,
6. Cliquer sur "Ajouter...",
7. Sélectionner "Mon adresse IP" dans la rubrique "Adresse Source",
8. Sélectionner "Toute adresse IP" dans la rubrique "Adresse de Destination"
9. Sélectionner l'onglet "Protocole",
10. Sélectionner le protocole "TCP",
11. Sélectionner "A partir de ce port" et renseigner le champ du dessous avec le numéro de port "80",
12. Encore en dessous, sélectionner "Vers n'importe quel port",
13. Sélectionner l'onglet "Description",
14. Entrer une description ("HTTP", par exemple),
15. Cliquer sur "OK",
16. Cliquer sur "Fermer",
17. Dans la fenêtre, choisir la nouvelle règle que nous venons de créer,
18. Aller dans l'onglet "Action de filtrage",
19. Sélectionner l'option "Autoriser",
20. Cliquer sur "Appliquer", puis sur "Fermer".
Ces paramètres ont permis de créer une règle pour l'accès à l'internet d'un serveur Web.
Il faut désormais reprendre les ports utilisés par les différentes applications installées sur votre PC et définir les règles adaptées à chacune. C'est un travail de longue haleine, mais il permet de se créer un pare-feu efficace et sur mesure...
Le scan des ports pourra se faire à l'adresse suivante :
http://scan.sygate.com.
Source : http://www.lilserenity.dynalias.org:8080/lilslaptops/network/560z_p2.htm
Le site n'existe plus, malheureusement...