Vous êtes sur le site public du Cert-IST
Le garde-barrière "Internet Connection Firewall"

Date :22 Juin 2005

Publication: Article

Le Service Pack 2 de Microsoft Windows XP introduit un certain nombre d'améliorations en terme de sécurité (sécurité réseau, protection de la mémoire, sécurité de la messagerie électronique, etc…). Nous examinons dans le présent article les améliorations que le SP2 apporte au garde-barrière ICF ("Internet Connection Firewall").

1°) Activation par défaut

Sur les systèmes Windows XP antérieurs au SP2, ICF n'était pas activé par défaut. Pour l'activer, l'utilisateur devait utiliser les assistants "Network Setup Wizard" ou "Internet Connection Wizard".

2°) Application à toutes les connexions

Sur les systèmes Windows XP antérieurs au SP2, le paramétrage de ICF se faisait au niveau de chaque "connexion" (une "connexion" pouvant être : un accès réseau local, un accès via modem, un accès VPN, etc…). Dorénavant, il est possible de définir un paramétrage global qui sera applicable à toutes les "connexions". Ceci permet une gestion plus simple du paramétrage ICF : un changement au niveau de la configuration ICF globale sera répercuté à toutes les connexions. Cette nouveauté n'empêche pas toutefois de paramétrer ICF par connexion : dans ce cas, ce paramétrage l'emportera sur la configuration globale.

3°) Mode "shielded"

Un nouveau mode a été introduit avec le SP2, il s'agit du mode "shielded". Ce mode permet d'empêcher toute connexion entrante vers un système protégé par ICF (seules les connexions sortantes sont autorisées). Sur les systèmes Windows XP antérieurs au SP2, ICF pouvait être soit activé (autorisant le trafic sollicité), soit désactivé (autorisant n'importe quel trafic). Ce nouveau mode permet de verrouiller temporairement les systèmes Windows XP dans le cas d'une attaque (propagation d'un programme d'exploitation par exemple) ; une fois les correctifs nécessaires appliqués, il suffit de repasser ICF dans son mode de fonctionnement par défaut.

4°) Sécurité lors du démarrage

Sur les systèmes Windows XP antérieurs au SP2, il existait un intervalle de temps entre le démarrage du système et l'activation de la protection ICF, cet intervalle laissant le système vulnérable vis-à-vis d'éventuelles attaques. Pour pallier ce problème, le SP2 introduit une politique de démarrage ICF, permettant au système de réaliser les tâches nécessaires à son démarrage (utilisant notamment les services "DNS" et "DHCP") dans un contexte sécurisé. Une fois le service de garde-barrière ICF mis en place, cette politique de démarrage ICF est désactivée.

5°) Restriction au réseau local

Sur les systèmes Windows XP antérieurs au SP2, le trafic attendu pouvait provenir de n'importe quelle adresse IP. Le SP2 de Windows XP permet de spécifier que ce trafic peut provenir de n'importe quelle adresse IP, ou de restreindre ces adresses au réseau local à laquelle la connection est attachée.

6°) Ouverture des ports utilisés par les applications

Sur les systèmes Windows XP antérieurs au SP2, il fallait configurer manuellement la liste des ports TCP et UCP correspondants aux ports attendus par l'application ou le service. Ceci présentait deux inconvénients : d'abord, l'utilisateur devait connaître les ports utilisés par l'application, ensuite, certaines applications n'utilisent pas un ensemble prédéfini de ports. Le SP2 de Windows XP permet de configurer le trafic attendu, soit en indiquant les ports TCP et UDP (ancienne méthode), soit en donnant le nom de l'application. ICF gère en effet une liste des applications autorisées, pour lesquelles l'ouverture des ports en écoute est faite de manière automatique.

Enfin, d'autres améliorations ont été apportées avec ce SP2, notamment le support natif de IPv6, et de nouvelles possibilités de configuration pour ICF : via l'outil en ligne de commande "Netsh" ou via les "Group Policy". Cette dernière option est particulièrement intéressante pour une organisation possédant une infrastructure "Active Directory" et souhaitant déployer les paramètres ICF de manière uniforme sur un parc de machines Windows XP SP2.

Pour plus d'information :