Bon usage : guide des paramètres du pare-feu

  • ID de l'article 57757
  • Classement :
  • 1 clients ont évalué cet article 6.0 sur 6
  • Mis à jour : 04 juil. 2013

Lorsque vous configurez une stratégie de pare-feu, vous avez peut-être besoin de plus d'informations sur certains des paramètres et sur les raisons pour lesquelles vous devriez (ou non) les activer.

Cet article contient les règles et paramètres de configuration 'par défaut usine' du pare-feu Sophos lorsqu'il est configuré à l'aide du bouton Paramètres avancés de la stratégie de pare-feu. Dans la mesure du possible, nous avons décrit les implications du paramètre sur la sécurité ou expliqué pourquoi la valeur par défaut a été choisie.

Nous vous conseillons d'utiliser le guide de déploiement du pare-feu avant d'effectuer le déploiement sur vos ordinateurs d'extrémité.

Désactivation du pare-feu : pour désactiver le pare-feu, reportez-vous à la section 'Désactivation temporaire du pare-feu', dans l'aide adéquate Endpoint ou de la Console. Remarque : la désactivation du pare-feu par la désactivation de services du pare-feu n'est pas prise en charge.

Pour d'autres articles de bon usage, veuillez consulter notre page du bon usage

Dans cet article

Configuration avancée :
Paramètres généraux | Paramètres de détection des emplacements | Paramètres de somme de contrôle | Paramètres de journal

Configuration de l'emplacement principal ou secondaire :
Paramètres généraux | Paramètres ICMP | Paramètres réseau local | Règles globales | Règles d'applications | Paramètres processus-contrôle

Configuration avancée

Onglet Paramètres généraux

Nom du paramètre Par défaut Commentaires
Emplacement principal : Autoriser tout le trafic Désactivé

Ce paramètre est en place seulement pour des circonstances particulières. Il désactive le pare-feu lorsque dans l'emplacement principal. Généralement, il ne doit pas être utilisé.

Si vous avez besoin d'autoriser une application ou une connexion, paramétrez une règle d'application, un règle ICMP ou une règle globale à la place.

Ajoutez une configuration pour un emplacement secondaire Désactivé Ce paramètre doit seulement être utilisé pour les portables et autres ordinateurs régulièrement connectés à un réseau supplémentaire comme un réseau sans fil à domicile ou public.
Emplacement appliqué Appliquez la configuration pour l'emplacement détecté

Désactivé jusqu'à ce que vous sélectionniez l'option 'Ajouter une configuration pour un emplacement secondaire'. Vous permet de déterminer quelle stratégie est appliquée lorsqu'un nouvel emplacement est détecté.

L'option par défaut 'Appliquer la configuration pour l'emplacement détecté' garantit que le pare-feu détecte automatiquement le réseau en cours et sélectionne la configuration associée.

Si vos utilisateurs finaux appartiennent au groupe SophosPowerUsers ou SophosAdministrators, ils peuvent aussi manuellement choisir d'utiliser le principal ou le secondaire lorsqu'ils sont à un troisième emplacement. Informez ces utilisateurs de portables qu'ils peuvent faire ceci lorsqu'ils se connectent à un nouveau réseau et expliquez quelle configuration ils doivent choisir.

Onglet Détection des emplacements

 

Nom du paramètre Par défaut Commentaires

Méthode de détection

DNS, aucune configurée Nous vous conseillons d'utiliser si possible la détection Gateway MAC Address. Le pare-feu détecte facilement les paramètres de la passerelle et utilise en conséquence son emplacement principal ou secondaire.

Onglet Somme de contrôle

Nom du paramètre Par défaut Commentaires
Application/
Version/
Somme de contrôle
Aucune configurée Avant de déployer le pare-feu, entrez dans cet écran les sommes de contrôle MD5 des applications les plus fréquemment utilisées sur votre réseau. Ceci vous fera gagner du temps et des opérations de duplication quand vous répondrez aux demandes de pare-feu lors du déploiement.

Onglet Journal

Nom du paramètre Par défaut
Conserver tous les enregistrements/Supprimer les anciens enregistrements Supprimer les anciens enregistrements
Supprimer les enregistrements après x jours 1 jour
désactivé
Ne pas garder plus de y enregistrements 200 enregistrements
désactivé
Conserver la taille sous z Mo 50 Mo
activé

Configuration de l'emplacement principal ou secondaire

Remarque : aucun emplacement secondaire n'est préconfiguré. Si un est ajouté, ses paramètres par défaut sont identiques à l'emplacement principal.

Onglet Général

Nom du paramètre Par défaut Commentaires
Mode de fonctionnement Bloquer par défaut

Cet article définit le bon usage. Si vous paramétrez Sophos Client Firewall pour la première fois, veuillez consulter le Guide de déploiement pour l'administrateur.

En générél, une fois l'accès autorisé via le pare-feu pour toutes les applications approuvées, les ordinateurs doivent être paramétrés sur le mode 'Bloquer par défaut' car cela bloquer l'accès au réseau de tout le trafic non autorisé.

À noter : si les deux emplacement principal et secondaire sont activés, si le mode principal est interactif, le mode secondaire sera automatiquement défini sur 'Bloquer par défaut'. Le mode interactif n'est pas disponible sous Windows 8.

Bloquer les processus si la mémoire est modifiée Activé Cette option peut empêcher l'infection de votre ordinateur par des menaces. Cette option doit généralement rester sélectionnée.

Indisponible sous Windows 8. Les fonctionnalités sont fournies par HIPS.
Bloquer les processus cachés Activé Cette option doit toujours être activée afin d'empêcher les programmes malveillants de s'exécuter sur vos systèmes d'extrémité.

Indisponible sous Windows 8. Les fonctionnalités sont fournies par HIPS.
Ignorer les paquets envoyés aux ports bloqués Activé Cette option empêche une personne externe de connaître l'existence d'un port sur votre ordinateur et vous protége ainsi contre toute attaque. Cette option doit généralement rester sélectionnée.

Indisponible sous Windows 8. Actuellement toujours activé.
Utiliser les sommes de contrôle pour authentifier les applications Activé Cette option aide le pare-feu à distinguer les applications légitimes des programmes malveillants portant le même nom. Cette option doit généralement rester sélectionnée.

Dans Windows 8, cette option se trouve dans l'onglet Applications
Bloquer les paquets IPv6 Activé Pour l'instant, IPv6 est toujours utilisé uniquement par une poignée d'applications et de fournisseurs Internets ; ce paramètre vous permet donc de bloquer le trafic IPv6 sur vos postes d'extrémité si, par exemple, ils utilisent une application P2P. Pour bloquer toute utilisation des applications P2P sur votre réseau, configurez à la place une stratégie de contrôle des applications.

Dans Windows 8, cette option se trouve dans l'onglet Règles globales Elle est a été renommée en "Bloquer tout le trafic IPv6".
Afficher une alerte sur la console d'administration en cas de modifications locales de règles globales, d'applications, de processus ou de sommes de contrôle Activé Si vous sélectionnez 'Afficher une alerte sur la console d'administration...', vous pouvez voir si les paramètres du pare-feu sur vos postes de travail ont été changés par l'utilisateur ou par du malware. Dans la majeure partie des cas, cette option doit rester sélectionnée.

Indisponible sous Windows 8
Signaler les applications et le trafic inconnus à la console d'administration Activé Nous vous conseillons de toujours laisser cette option sélectionnée afin de surveiller les actions de vos utilisateurs finaux.
Signaler les erreurs à la console d'administration Activé Cette option permet à l'administrateur de visualiser les messages d'erreur du pare-feu sur les postes de travail via la console. Cette option doit généralement rester sélectionnée.
(messagerie de bureau)
Afficher les alertes et les erreurs

Activé

Nous vous conseillons de conserver cette option activée afin d'informer vos utilisateurs en cas de problème.
(messagerie de bureau)
Afficher les applications et le trafic inconnus
Désactivé Ce paramètre affiche seulement les applications et le trafic inconnus si le mode interactif a été sélectionné.

 

Onglet ICMP

Nom du paramètre Par défaut Commentaires
Réponse d'écho (0) Autorisé en ENTRÉE Utilisé pour répondre aux demandes d'écho (pings). L'activation de Réponse d'écho peut rendre votre ordinateur vulnérable aux attaques par réflexion.
Destination injoignable (3) Autorisé en ENTRÉE et SORTIE L'activation de cette option peut rendre votre ordinateur vulnérable à une attaque par destination injoignable.
Source éteinte (4) Bloqués Pour gérer les surcharges, les messages source éteinte demandent que la quantité d'informations envoyées à la personne à l'origine du message soit réduite. L'activation de Source éteinte peut rendre votre ordinateur vulnérable aux attaques de l'homme du milieu et par déni de service (DoS).
Rediriger les messages (5)

Bloqués

Si vous n'avez pas besoin de redirection sur votre réseau, nous conseillons de conserver cette option non sélectionnée, car la redirection peut servir à changer les tables de routage sur les routeurs et les ordinateurs afin de faciliter une attaque par déni de service
Demande d'écho (8) Autorisé en SORTIE Utilisé pour vérifier si un ordinateur en réseau est actif (par exemple, ping). L'activation de Demande d'écho peut rendre votre ordinateur vulnérable aux attaques par réflexion.
Annonce routeur (9) Autorisé en ENTRÉE

Pour Windows 8, la valeur par défaut est 'Bloqué'
Les messages d'annonce routeur sont envoyés en réponse aux messages de sollicitation routeur ou pour annoncer la présence du routeur. Les messages d'annonce routeur falsifiés peuvent être utilisés pour changer les tables de routage afin de faciliter les attaques de l'homme du milieu et par déni de service, c'est la raison pour laquelle nous avons bloqué les annonces entrantes par défaut.
Sollicitation routeur (10) Autorisé en SORTIE

Pour Windows 8, la valeur par défaut est 'Bloqué'
Les messages de sollicitation routeur sont envoyés pour localiser les routeurs d'un réseau sous la forme d'un contrôle réseau. Les utilisateurs malveillants peuvent utiliser la sollicitation du routeur pour rechercher les ordinateurs à attaquer, c'est pourquoi nous bloquons ceci par défaut.
Temps dépassé (11) Autorisé en ENTRÉE
Problème de paramétrage (12) Bloqués
Demande d'horodatage (13) Bloqués
Réponse d'horodatage (14) Bloqués
Demande Informations (15) Bloqués
Réponse Informations (16) Bloqués
Demande masque adresse (17) Bloqués
Réponse masque adresse (18) Bloqués

Onglet Réseau local

Nom du paramètre Par défaut Commentaires
Réseau (adresse IP et sous-masque) Rien de paramétré NetBIOS autorise le partage de fichiers et d'imprimantes avec d'autres ordinateurs sur le réseau local ou le sous-masque fiable. Cette option doit être suffisante pour une grande partie du travail de bureau habituel.

Acceptée autorise tout le trafic entre les ordinateurs du réseau local. Utilisez seulement cette option si c'est complètement nécessaire.


Onglet Règles globales

Nom du paramètre Par défaut Commentaires
Autoriser la connexion TCP de bouclage

Où le protocole est TCP et l'adresse distante est 127.0.0.0 (255.0.0.0)
L'autoriser

Une connexion de bouclage autorise les applications à vérifier qu'une connexion réseau existe. Les navigateurs web vérifient souvent de cette façon une connexion.
Autoriser le protocole GRE

Où le protocole est IP et le type est GRE
L'autoriser

Ceci permet à GRE dans les tunnels IP de s'exécuter vers ou à partir de l'ordinateur client, c'est-à-dire de connexions VPN (Virtual Private Network ou réseau privé virtuel).
Allow PPTP Control Connection Où le protocole est TCP
et la direction est Sortante
et le port distant est 1723
et le port local est 1024-65535
L'autoriser
Ceci permet à PPTP dans les tunnels IP de s'exécuter vers ou à partir de l'ordinateur client, c'est-à-dire de connexions VPN (Virtual Private Network ou réseau privé virtuel).
Autoriser la connexion UDP de bouclage

Où le protocole est UDP
et l'adresse distante est 127.0.0.0 (255.0.0.0)
et le port local correspond au port distant
L'autoriser

Remarque : pour Windows 8, l'option "et le port local correspond au port distant" est indisponible. c'est-à-dire que la règle est :
Où le protocole est UDP et l'adresse distante est 127.0.0.0 (255.0.0.0) L'autoriser
Bloquer appel de procédure distant RPC (TCP) Où le protocole est TCP
et la direction est Entrante
et le port local est 135
Le bloquer
Ce paramètre empêche d'effectuer des appels Remote Procedure Call (RPC) utilisant TCP sur l'ordinateur client. Ceci empêche tout intrus d'exécuter du code légitime sur l'ordinateur local d'une manière indésirable.
Remarque : le port utilisé par le mappeur de ports RPC (135) est associé à plusieurs failles importantes utilisées par des vers réseau pour la réplication et la propagation.
Bloquer appel de procédure distant RPC (UDP) Où le protocole est UDP
et le port local est 135
Le bloquer
Ce paramètre empêche d'effectuer des appels Remote Procedure Call (RPC) utilisant UDP sur l'ordinateur client. Ceci empêche tout intrus d'exécuter du code légitime sur l'ordinateur local d'une manière indésirable.

Onglet Applications

Les services Windows les plus fréquents et les plus importants sont énumérés ici. Vous aurez vraisemblablement besoin d'ajouter plus d'application au moment du déploiement du pare-feu en mode interactif. 

Nom d'application Par défaut

alg.exe
(composant Windows Firewall)

Autoriser redirection ALG
Où le protocole est TCP
et la direction est Entrante
L'autoriser
et l'inspection dynamique 
Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Connexion Microsoft Application Layer Gateway Service
Où le protocole est TCP
et la direction est Sortante
et le port distant est 21
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

lsass.exe
(Local Security Authority Subsystem Service)

Connexion Local Security Authority Service Kerberos TCP
Où le protocole est UDP
et le port distant est 88
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Connexion Local Security Authority Service Kerberos TCP
Où le protocole est TCP
et la direction est Sortante
et le port distant est 88
L'autoriser

Connexion LSASS LDAP à Global Catalog Server
Où le protocole est TCP
et la direction est Sortante
et le port distant est 3268-3269
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Connexion Local Security Authority Service LDAP UDP
Où le protocole est UDP
et le port distant est 389
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Connexion Local Security Authority Service LDAP TCP
Où le protocole est TCP
et la direction est Sortante
et le port distant est 389
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Allocation de ports dynamiques Local Security Authority Service DCOM
Où le protocole est TCP
et la direction est Sortante
et le port distant est 1025-1040
L'autoriser

Connexion Local Security Authority Service DCOM
Où le protocole est TCP
et la direction est Sortante
et le port distant est 135
L'autoriser

Autoriser la résolution DNS (TCP)
Où le protocole est TCP
et la direction est Sortante
et le port distant est 53
L'autoriser

Autoriser la résolution DNS (UDP)
Où le protocole est UDP
et la direction est Sortante
et le port distant est 53
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

services.exe
(Windows Service Controller)

Connexion Services DCOM
Où le protocole est TCP
et la direction est Sortante
et le port distant est 135
L'autoriser
Allocation de ports dynamique Services DCOM
Où le protocole est TCP
et la direction est Sortante
et le port distant est 1090-1110
L'autoriser
Connexion Services LDAP
Où le protocole est TCP
et la direction est Sortante
et le port distant est 389, 3268
L'autoriser
Autoriser la résolution DNS (TCP)
Où le protocole est TCP
et la direction est Sortante
et le port distant est 53
L'autoriser

Autoriser la résolution DNS (UDP)
Où le protocole est UDP
et la direction est Sortante
et le port distant est 53
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Autoriser DHCP
Où le protocole est UDP
et le port distant est 67
et le port local est 68
L'autoriser
Autoriser DHCP (v6)
Où le protocole est UDP
et le port distant est 547
et le port local est 546
L'autoriser

svchost.exe
(Service Host)

Autoriser la résolution DNS (TCP)
Où le protocole est TCP
et la direction est Sortante
et le port distant est 53
L'autoriser

Autoriser la résolution DNS (UDP)
Où le protocole est UDP
et la direction est Sortante
et le port distant est 53
L'autoriser
et l'inspection dynamique

Remarque : l'option "et l'inspection dynamique" à la fin de la règle n'est pas disponible sous Windows 8 car toutes les règles sont dynamiques par défaut.

Autoriser DHCP
Où le protocole est UDP
et le port distant est 67
et le port local est 68
L'autoriser

Autoriser DHCP (v6)
Où le protocole est UDP
et le port distant est 547
et le port local est 546
L'autoriser

userinit.exe
(initialisation utilisateur)

Connexion Microsoft Userinit LDAP
Où le protocole est TCP
et la direction est Sortante
et le port distant est 389, 3268
L'autoriser

Connexion Microsoft Userinit DCOM
Où le protocole est TCP
et la direction est Sortante
et le port distant est 135
L'autoriser

winlogon.exe
(ouverture de session Windows)

Connexion Microsoft Winlogon LDAP
Où le protocole est TCP
et la direction est Sortante
et le port distant est 389, 3268
L'autoriser

Connexion Microsoft Winlogon DCOM
Où la protocole est TCP
et la direction est Sortante
et le port distant est 135
L'autoriser


Onglet Processus

Cet onglet n'est pas disponible sous Windows 8. La prise en charge des processus cachés a été supprimée et les rawsockets sont traitées de la même façon que les sockets normales.

Nom du paramètre Par défaut Commentaires
Avertir sur les nouveaux programmes de lancement. Activé Cette option est seulement disponible si vous utilisez le mode interactif.
Avertir sur l'utilisation des rawsockets. Activé Cette option est seulement disponible si vous utilisez le mode interactif.

 

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires