Se protéger des hackers en activant le pare-feu de Linux

Se protéger des hackers en activant le pare-feu de Linux

Un pare-feu sert à contrôler quelles connexions réseau (entrantes ou sortantes) peuvent se faire sur notre PC. Si vous lancez Firefox et que vous tapez dans la barre d’URL https://linuxfun.fr alors votre navigateur va initier une connexion réseau partant de votre machine et aboutissant sur la machine linuxfun.fr sur son port TCP 80 (qui est le port par défaut des serveurs web) : il s’agit donc d’une connexion sortante.

Si au contraire un hacker tente depuis sa machine à lui de rentrer sur la votre pour activer votre webcam, ou pour vous espionner, il s’agit d’une connexion entrante. Pour l’empêcher de faire cela, tout en continuant à pouvoir vous surfer sur le net, vous avez besoin d’un pare-feu (firewall).

Sous Ubuntu, le noyau dispose d’un pare-feu logiciel intégré très puissant appelé Netfilter. Il est très puissant car il est directement intégré dans le noyau. L’interface utilisateur permettant de paramétrer Netfilter s’appelle iptables. C’est une interface très puissante elle aussi mais pas évidente à mettre en œuvre pour les novices (qui ont pourtant encore plus besoin que les autres de se protéger).

C’est pourquoi il existe une interface plus simple qu’iptables appelée UFW (Uncomplicated FireWall). Cette interface est certes plus simple, mais elle reste en ligne de commande. Heureusement, il existe une interface graphique conviviale appelée GUFW qui permet de tout faire à la sauce “Windows”. Nous allons voir les deux.

Avant toute chose, tapons sudo apt-get install ufw gufw pour s’assurer que ces deux logiciels sont bien installés.

Point important que je n’ai pas encore signalé : sur un système Ubuntu installé par défaut le firewall est désactivé. Toutes les connexions entrantes et sortantes passent donc par défaut.

GUFW

Commençons tout de suite par l’interface sympa pour ceux qui seraient pressés. Au lancement de GUFW, il faut saisir le mot de passe de root, bien sûr, vous ne pensiez tout de même pas qu’un simple utilisateur pouvait paramétrer le firewall.


Le paramétrage de GUFW qui convient à 99% des utilisateurs

La fenêtre ci-dessus est celle sur laquelle on arrive au lancement du soft. Pour paramétrer correctement son firewall pour 99% des gens, il suffit d’activer le bouton “Etat” puis de passer Entrant sur “Refuser” et Sortant sur “Autoriser”. Le bouclier devient alors vert d’un côté (sortant) et rouge de l’autre (entrant). Vous vous retrouvez ainsi dans la configuration décrite en début d’article vous permettant de surfer tant que vous voulez mais personne d’extérieur à votre PC ne peut entrer dessus (pas besoin de scotch sur la webcam). Simple, non ?

Cas particulier : Si votre PC est un serveur (web par exemple, c’est à dire avec Apache écoutant sur votre port 80), vous voulez probablement que son port TCP soit le seul accessible depuis l’extérieur de votre PC. Il faut donc demander au pare-feu de faire une exception et de laisser passer les connexions entrantes en TCP sur le port 80. Pour faire cela, il suffit d’aller dans “Règles” et de cliquer sur le bouton “+”. La règle (l’exception) se paramètre alors de la manière suivante :

Cliquez ensuite sur Ajouter, et c’est mar

Si vous téléchargez sur Emule (via wine) ou Amule, vous aurez aussi besoin d’ouvrir les ports entrants correspondants, sinon vous n’aurez jamais les précieux HighID qui permettent le téléchargement efficace, mais seulement des LowID. Voici mon pare-feu paramétré pour avoir tout de même des HighID sous Emule:

Les règles en IPv6 sont ajoutées par GUFW

Dernier détail, vous noterez que pour interdire les connexions entrantes vous avez le choix entre “Refuser” (le bouton devient rouge) et “Rejeter” (le bouton devient bleu). La différence est qu’avec rejeter le hacker entrant est prévenu qu’il a été filtré par un pare-feu. Vous comprenez pourquoi il faut donc mettre refuser.

UFW

GUFW ne fait en réalité que passer des commandes au logiciel qui est derrière, à savoir UFW, qui lui ne fonctionne qu’en ligne de commande. Les trapus de Linux peuvent paramétrer leur firewall en pianotant directement avec UFW, c’est tout à fait possible (mais peu probable, les gourous Linux utilisent généralement iptables et non ufw).

La page expliquant l’utilisation en ligne de commande d’UFW sur Ubuntu-fr.org étant particulièrement bien faite, je ne vais pas faire l’affront de la copier ici. En cliquant sur le lien, vous aurez toutes les infos.

Et sous Windows ?

Sous Windows, la situation est la même, si vous ne vous préoccupez pas de vous protéger derrière un firewall vous vous exposez aux tentives d’intrusion des hackers. Je recommande l’utilisation de TinyWall qui est un freeware très bien fait et efficace qui se paramètre comme GUFW (clic droit et “Autoriser sortie, interdire entrée”).