4.6.2. Pare-Feu
Un pare-feu (ou firewall) est un logiciel permettant le contrôle et le filtrage des connexions sur un réseau. Il est installé sur le serveur KWARTZ et permet notamment de fortement sécuriser vos ordinateurs et les réseaux locaux connectés de façon continue à Internet.
Vous avez la possibilité de visualiser et de configurer votre propre pare-feu suivant les services proposés :
- en entrée pour le serveur KWARTZ (connexion depuis internet à un service proposé par le serveur KWARTZ)
- en sortie pour le serveur KWARTZ (connexion du serveur à un service proposé sur internet)
- en sortie pour tous les postes (connexion des postes clients à un service proposé sur internet)
Un service en entrée est fourni par le serveur KWARTZ. S'il est ouvert, il peut être accédé depuis internet en utilisant l'adresse IP publique de votre connexion. Par exemple, KWARTZ~Control est ouvert par défaut en entrée, ce qui permet d'administrer votre serveur à distance.
ATTENTION: moins il y a de services ouverts en entrée, moins il y a de risques de tentatives d'intrusion.
Un service en sortie est fourni par l'extérieur. Ils peuvent être ouvert pour le serveur ou pour tous les postes du réseau. S'il est fermé, le pare-feu interdit d'y accéder. Si vous ouvrez le service FTP en sortie pour le serveur, seul celui-ci pourra se connecter à un site FTP (pour mettre à jour les listes noires par exemple). Par contre les autres postes du réseau se verront refuser l'accès aux sites FTP.
4.6.2.1. Pare-Feu pour les services usuels.
Les différents services listés sont:
Le bouton Modifier vous permet d'éditer les règles du pare-feu pour les différents services:
Remarque: Le service Maintenance IRIS (ssh) autorise uniquement la société IRIS Technologies® à établir des connexions ssh et à KWARTZ~Control ainsi que la mise en place de l'assistance à distance. Ceci est nécessaire si vous souhaitez bénéficier du support et de l'assistance KWARTZ®.
Le bouton Mettre à jour permet de prendre en compte votre nouveau paramétrage du pare feu.
4.6.2.2. Gestion des autres services.
Vous avez aussi la possibilité de paramétrer vos propres services:
Vous pouvez ainsi ouvrir de nouveaux ports sur le pare- feu
- en entrée pour le serveur KWARTZ en précisant si vous le désirez l'adresse ip de la source.
- en sortie pour le serveur KWARTZ en précisant si vous le désirez l'adresse ip de la destination.
- en sortie également pour tous les postes ou uniquement certains.
Vous pouvez ouvrir un service pour les protocoles TCP, UDP et TCP+UDP
Vous pouvez également saisir le protocole Tous. Dans ce cas, vous ne pouvez ouvrir le service en sortie pour un poste du réseau en précisant son adresse IP. Cela permet d'autoriser un poste à accéder à internet sans être filtré par le pare feu de KWARTZ.
Vous pouvez saisir comme port:
- le numéro correspondant (par exemple 25 pour le smtp)
- le nom du port s'il est reconnu (par exemple smtp)
- une plage de port par exemple (1024:2048)
Ces services peuvent être désactivés si vous le désirez. Dans ce cas, les ports ne sont pas ouverts.
4.6.2.3. Trafic entre réseaux locaux.
Par défaut, le trafic entre les réseaux locaux sont interdits. Cela permet un cloisonnement des réseaux
Comme pour les autres services qui s'appliquent au trafic vers internet, vous pouvez autoriser certaines connexions entre les réseaux locaux en indiquant
- le protocole:
- TCP, UDP, TCP+UDP
- le port: le numéro correspondant (par exemple 25 pour le smtp) ou le nom du port s'il est reconnu (par exemple smtp) ou une plage de port par exemple (1024:2048)
- Tous pour autoriser tout le trafic quelque soit le protcole ou le port.
- TCP, UDP, TCP+UDP
- la trafic en provenance ou à destination de
- Tous les réseaux locaux
- uniquement une adresse IP pour n'autoriser le trafic que depuis ou vers un poste
- chacun des réseaux locaux
- le réseau VPN ou celui du portail captif si ceux ci sont configurés.
Chaque autorisation peut être désactivée si vous le désirez.
4.6.2.4. Restriction depuis les réseaux locaux.
Par défaut, l'utilisation des services du serveur KWARTZ n'est pas limitée depuis les réseaux locaux. À l'aide de cette fonction vous pouvez, pour chaque réseau local autre que le réseau principal sur carte réseau 1, interdire l'utilisation de certains ports du serveur.
Vous devrez renseigner les éléments suivants:
- le service
- le protocole (toujours TCP)
- le port: le numéro correspondant (par exemple 25 pour le smtp) ou le nom du port s'il est reconnu (par exemple smtp) ou une plage de port par exemple (1024:2048)
- le réseau local concerné
Chaque restriction peut être désactivée si vous le désirez.
4.6.2.5. Redirection de port.
Cette fonction vous offre la possibilité de rediriger un port en entrée sur le serveur vers un autre poste du réseau. Cela permet de rendre accessible depuis l'extérieur des services hébergés sur l'un des postes clients de votre réseau KWARTZ.
Si aucun port n'est redirigé, vous aurez le message suivant :
Pour créer une redirection, utilisez le bouton Ajouter une redirection. Vous devez alors éditer ses propriétés:
- le protocole (TCP, UDP ou TCP+UDP)
- le port d'entrée du serveur KWARTZ
- l'adresse IP et le port du poste client.
Vous pouvez saisir comme port:
- le numéro correspondant (par exemple 25 pour le smtp)
- le nom du port s'il est reconnu (par exemple smtp)
- une plage de port par exemple (1024:2048)
Chaque redirection peut être désactivée si vous le désirez. Dans ce cas, les ports ne sont pas redirigés.
Le bouton Mettre à jour vous permet d'enregistrer la redirection que vous retrouvez ensuite dans la liste suivante:
En cliquant sur le nom donné au service, vous pouvez alors
- soit l'éditer
- soir le supprimer via le bouton Supprimer