Cette rubrique vous permet de définir la gestion par le Pare-feu du trafic de votre ordinateur lorsque celui-ci est connecté à un réseau. Elle propose également des options avancées de personnalisation de ce module, afin qu'il réponde à vos besoins de sécurité et à la configuration de votre réseau.
Les informations présentes dans l'onglet Sécurité sont liées directement à la protection contre les attaques réseau offerte par le Pare-feu de BullGuard. Les options dans cet onglet vous permettent d'adapter le détecteur d'attaques du Pare-feu aux spécifications de votre réseau.
Continuer d'appliquer les règles du Pare-feu lorsque BullGuard est fermé : cette option permet au Pare-feu de fonctionner lorsque l'application principale est fermée. Notez que cela peut poser problème aux applications absentes de la Liste des applications qui tentent d'accéder au réseau.
BullGuard étant arrêté, seul le moteur du Pare-feu fonctionne en arrière-plan: aucune interface utilisateur n'est présente et aucune question contextuelle de Pare-feu ne s'affiche.
Comme vous disposez d'un temps limité pour répondre à ces questions, qui restent invisibles, le Pare-feu exécute l'action par défaut et bloque les programmes absents de la Liste des applications. Bien sûr, si votre liste d'applications est bien définie, le Pare-feu ne bloquera pas les applications nécessaires.
Activer la détection d’attaques : Permettra au Pare-feu de BullGuard ou empêchera celui-ci de bloquer toute attaque réseau. Il est conseillé de garder cette option constamment activée.
Détecter la modification des programmes : cette fonction permet à BullGuard de détecter si un programme de la Liste des applications a été modifié. BullGuard vous demande alors si vous souhaitez toujours autoriser l'application ou s'il faut la bloquer.
Cette option est extrêmement utile car elle empêche que les applications détournées puissent se connecter à Internet sans votre consentement. Cette fonction est plus efficace avec le module d'analyse en temps réel de l'antivirus en créant des couches de sécurité maximisant la sécurité de l'ordinateur.
Par ailleurs, le Pare-feu détecte si une application tente de modifier un programme se connectant à Internet et vous demande si vous souhaitez l'autoriser ou non. Vous devez savoir que les mises à jour logicielles peuvent modifier les fichiers exécutables (comme les mises à jour périodiques de Windows) et que dans de ces cas, vous devez continuer à autoriser les fichiers modifiés.
Détection des attaques
Le système de détection des attaques se trouve au cœur du Pare-feu.
Paramètres de détection des attaques
BullGuard bloque une grande variété d'attaques réseau. Toutefois, en raison d'exigences du réseau et de configurations matérielles spécifiques, certaines informations reçues en provenance d'Internet peuvent déclencher un avertissement d'attaque faux positif. Vous pouvez donc modifier les paramètres d'attaque du Pare-feu, afin qu'ils correspondent aux caractéristiques de votre réseau.
Bouton Configurer pour détecter les analyses de port, les analyses de port uniques et les attaques par déni de service : Vous permet de modifier le niveau de sensibilité du Pare-feu pour ces types d'attaque.
Configurer les paramètres avancés de protection ARP : Vous permet de modifier le niveau de sensibilité du détecteur d'attaques pour les analyses ARP.
Exclure les hôtes approuvés de la détection des attaques : Toutes les adresses IP listées dans la liste des hôtes approuvés seront exemptées des contrôles du détecteur d'attaques.
Exclure les intrus pendant (secondes) : pour chaque attaque détectée, vous pouvez configurer le Pare-feu afin qu'il exclue l'IP source pendant la durée indiquée.
Types d'attaques
Détecter les analyses de ports : cette option permet au Pare-feu de détecter les analyses de ports ; celles-ci ne sont pas réellement des attaques, mais elles ont souvent lieu avant une attaque, pour tenter de détecter les ports ouverts sur votre ordinateur.
Attaque d'analyse de port unique : Un type d'attaque qui essaye de voir les ports ouverts sur l'ordinateur cible. Ce n'est pas une attaque en tant que telle, mais une action courante précédant une attaque.
Attaques par déni de service : cette option permet au Pare-feu de détecter et d'empêcher une attaque qui rend les services et les ressources du réseau non disponibles pour leurs utilisateurs légitimes. Les attaques DoS (Denial of Service, déni de service) ou DDoS (Distributed Denial of Service, déni de service distribué) peuvent survenir de différentes façons : attaques Teardrop, ICMP, Nuke ou distribuées. Certains signes sont révélateurs de ces attaques : faibles performances du réseau, impossibilité d'accès aux ressources réseau (serveurs, imprimantes, fichiers partagés, outils ou applications réseau), faibles performances de l'ordinateur. Dans certains cas, les attaques DoS entraînent une activité élevée du microprocesseur qui conduit à une panne du système d'exploitation.
Détecter l'usurpation d’adresse IP : Détecte et bloque tout paquet réseau des personnes mal intentionnées tentant d'usurper l'identité d'ordinateurs conformes en falsifiant l'adresse IP source des paquets réseau.
Détecter le vol d'adresses IP : cette option protège votre ordinateur contre les attaquants qui dupliquent des adresses IP du réseau pour causer un arrêt ou une panne du système d'exploitation. Ils peuvent également empêcher l'ordinateur attaqué d'accéder aux ressources ou aux services du réseau en envoyant de faux paquets ARP au moyen desquels ils volent en fait « l'identité » de l'ordinateur attaqué.
Détecter une analyse ARP : cette option permet au Pare-feu de détecter les analyses ARP, que les attaquants utilisent pour se présenter comme un autre ordinateur ou serveur et tenter d'abuser l'ordinateur attaqué afin qu'il envoie des informations. Ce type d'attaque entraîne des délais dans la transmission des données ou un déni de service sur l'équipement affecté en raison de cette mystification ARP. Des données importantes et sensibles (sessions de discussion en ligne, messagerie électronique) peuvent être interceptées de cette façon.
Attaque par ICMP fragmenté : cette option permet au Pare-feu de détecter les attaquants qui tentent d'envoyer des paquets ICMP fragmentés pour contourner des mesures de sécurité.
Attaque par IGMP fragmenté : cette option permet au Pare-feu de détecter les attaquants qui tentent d'envoyer des paquets IGMP fragmentés pour contourner des mesures de sécurité.
Attaque par fragments courts : cette option assure que le Pare-feu détecte les types de paquets utilisés dans les attaques par déni de service. Ces paquets sont délibérément modifiés pour que leur taille soit inférieure à celle des paquets normaux, afin que les systèmes de sécurité (pare-feux matériels ou logiciels) ne les détectent pas.
Attaque par 1234 : cette option permet au Pare-feu de détecter les attaques de type ICMP basées sur l'envoi d'horodatages ICMP défectueux.
Attaque par fragments chevauchés : cette option permet au Pare-feu d'empêcher les attaquants d'envoyer des paquets fragmentés, contenant des informations qui se chevauchent, dans l'espoir d'affaiblir le système et de le rendre vulnérable à une attaque. En général, cette procédure est utilisée pour les attaques Teardrop.
Attaque WinNuke : cette option protège votre ordinateur contre une attaque envoyant un paquet OOB (Out of Band, hors bande) qui entraînerait le blocage de l'ordinateur et un écran bleu de la mort. Cette attaque n'endommage pas les données présentes sur le disque de l'ordinateur, mais les données non enregistrées avant l'attaque sont perdues. Ce type d'attaque était caractéristique d'anciennes versions de Windows (Windows 95, anciennes versions NT et Windows 3.11).
Attaque Teardrop : cette option permet au Pare-feu d'empêcher les attaquants d'envoyer des fragments de taille personnalisée qui se chevauchent. L'exploitation d'un bogue dans le protocole TCP entraînait le traitement erroné de tels paquets. Il s'agit d'une attaque propre à Windows 3.11, à Windows 95 et à d'anciennes versions de Windows NT et de Linux.
Attaque Nestea : cette option protège votre ordinateur d'une attaque réseau propre à Linux, similaire à une attaque Teardrop. Ce type d'attaque exploite le bogue de défragmentation de paquets réseau sur d'anciennes versions de Linux.
Attaque Ice Ping : cette option permet au Pare-feu de détecter si Windows ne traite pas correctement des paquets ICMP répartis sur un grand nombre de petits fragments. En général, l'ordinateur tombe en panne lorsqu'il assemble ces paquets plus petits.
Attaque OpenTear : cette option permet au Pare-feu de protéger votre ordinateur contre un type d'attaque utilisant des adresses IP usurpées au hasard, pour inonder au hasard les ports de l'ordinateur attaqué, avec des paquets UDP fragmentés au hasard ; cela entraîne une panne des systèmes d'exploitation Windows 95, 98, NT et 2000.
Attaque IGMPSYN : cette option permet au Pare-feu de contrer cette technique répandue de déni de service.
Options IP mal formées : cette option permet au Pare-feu d'empêcher les attaquants d'envoyer un paquet contenant un champ d'options IP trop grand. Cette attaque entraîne un dépassement de capacité de la mémoire tampon qui détériore la pile TCP/IP. Il devient alors possible d'exécuter du code malveillant sur l'ordinateur attaqué et d'augmenter l'activité réseau, ce qui interrompt presque complètement le trafic réseau légitime.
Attaque Moyari13 : cette option protège votre ordinateur contre les attaques de type ICMP où l'attaquant envoie un horodatage ICMP interdit. L'ordinateur tombe en panne lorsqu'il reçoit ce paquet (le réseau ne répond plus). Cette attaque est utilisée contre Windows 95 et 98.
Attaque FAWX : cette option permet au Pare-feu d'empêcher une attaque par déni de service IGMP qui bloque les systèmes d'exploitation tels que Windows 95, 98 ou NT.
Attaque FAWX2 : cette option protège votre système contre une attaque envoyant des paquets formés au hasard pour inonder le port 139, ce qui entraîne un écran bleu sous Windows 95, 98 ou 2000.
Attaque KOX : cette option permet au Pare-feu de détecter une attaque par déni de service IGMP qui bloque les systèmes d'exploitation tels que Windows 95, 98 ou NT.
Paramètres de détection des attaques
Cette rubrique vous permet d'affiner la sensibilité du Pare-feu aux déclencheurs d'avertissements des attaques par analyses de ports, par analyses de ports uniques et par déni de service. Le principe de fonctionnement est le suivant :
Plus le Pare-feu est sensible, plus il réagit rapidement en affichant un avertissement d'attaque et en excluant l'IP de l'attaquant pendant la période d'exclusion par défaut (300 secondes), mais cela peut augmenter les détections de faux positifs.
Moins le Pare-feu est sensible, plus le déclenchement de l'avertissement d'une attaque prend du temps et le taux de faux positifs est proche de zéro. Néanmoins, une sécurité trop permissive peut mettre en danger l'intégrité de l'ordinateur.
Le réglage par défaut du Pare-feu assure l'équilibre entre un système sûr, un faible taux de détection de faux positifs et pratiquement aucun effet sur le trafic du réseau. En raison du filtrage continu du trafic réseau, il est normal que la vitesse de connexion soit légèrement plus lente. Si vous constatez une différence majeure, nous vous conseillons de contacter l'équipe de Support BullGuard.
Les avertissements d'attaques par analyse de ports sont déclenchés selon un système de points. Une valeur (un poids) est associée à chaque port, selon son importance, ce qui détermine la sensibilité du port. Une attaque par analyse de ports est signalée lorsque le nombre de points (par défaut ou défini par l'utilisateur) est atteint.
Cette méthode a l'avantage de permettre la personnalisation du Pare-feu, si bien que vous pouvez le configurer pour éviter les détections de faux positifs.
Les ports ont des valeurs spécifiées par défaut dans le détecteur d'attaques. Le poids (importance) d'un port ouvert est fixé à 0 car personne ne peut être accusé d'analyse de port non conforme lorsque ces ports sont ciblés (même certains sites Internet peuvent effectuer une analyse de port rapide sur l'ordinateur de l'utilisateur pour le transfert de données, par exemple). Le poids (importance) d'un port fermé (le Pare-feu gardera des ports sensibles fermés ou en mode furtif) est fixé à 1 ou plus. Généralement, tous les ports non utilisés sont gardés fermés par le Pare-feu.
L'avertissement d'attaque est déclenché sur la base d'une limite de temps et sur le score total pendant la durée spécifique.
Limite de temps : si les conditions sont satisfaites pour une durée prédéterminée, le message d'avertissement est déclenché. La valeur par défaut est de 600 ms, mais vous pouvez la modifier.
Score : Lorsqu'un ordinateur/serveur analyse 6 ports fermés en moins de 600 ms, l'action est considérée malveillante et un avertissement d'analyse de port est émis. Lorsque des analyses de port se produisent à partir d'un ordinateur/serveur, le Pare-feu vérifiera si les ports sont ouverts ou fermés et fera la somme des poids ajoutés des ports analysés. Si le total général dépasse le poids par défaut (6), un avertissement d'analyse de port est déclenché.
Lors de la configuration des paramètres de détection des attaques, vous aurez la possibilité de définir des valeurs personnalisées pour les ports sensibles pour lesquels BullGuard devra faire plus attention. Cela signifie que si une attaque cible un des ports désignés sensibles, l'avertissement est déclenché plus rapidement et l'attaquant est bloqué plus rapidement.
Pour modifier la liste des ports sensibles, cliquez simplement sur le bouton Configurer dans la fenêtre de modification des paramètres d'attaques.
Pour ajouter un nouveau port à la liste, cliquez sur le bouton +, sélectionnez le type de protocole, entrez le numéro de port et attribuez-lui une valeur de poids (importance).
Configurer les paramètres avancés de protection ARP
Cette fonction permet à BullGuard de détecter les attaques par des ordinateurs ou des serveurs susceptibles d'avoir été atteints et d'améliorer davantage le niveau de sécurité de l'ordinateur.
Bloquer des paquets ARP non sollicités : Il s'agit d'une autre fonction de sécurité qui bloque tous les paquets de trafic ARP potentiellement dangereux qui n'ont pas été demandés précédemment par une application sur votre ordinateur. Généralement, les paquets ARP non sollicités sont envoyés par des ordinateurs infectés ou par des personnes malveillantes usurpant l'identité de serveurs ou d'autres ordinateurs de votre réseau et qui tentent d'amener l'ordinateur à ouvrir des ports de communication
Se protéger contre les passerelles détournées : Protège l'utilisateur des serveurs de passerelles susceptibles d'avoir été atteints.
Se protéger contre la duplication d'adresse IP : Lorsqu'une nouvelle adresse IP est définie pour un ordinateur sur un réseau, l'ordinateur diffusera cette information sur le réseau. BullGuard lira ce trafic et si l'adresse IP est exactement la même que l'IP sur votre ordinateur, il bloquera les paquets d'informations. Certains systèmes d'exploitation "ne répondront plus" en tentant de lire ces paquets de trafic et BullGuard empêchera les informations d'atteindre le système d'exploitation pour être décodées.
Détection lorsque les applications ont été modifiées
Cette fonction permet à BullGuard de voir lorsqu'un programme de la liste des applications a été modifié et de vous demander si vous voulez continuer à autoriser ou bloquer l'application. Cette option est extrêmement utile car elle empêche que les applications détournées puissent se connecter à Internet sans votre consentement. Cette fonction est plus efficace avec le module d'analyse en temps réel du moteur de l'antivirus, en créant des couches de sécurité maximisant la sécurité de l'ordinateur.
De plus, le Pare-feu détecte lorsqu'une application tente de modifier un programme en train de se connecter à Internet et vous demande si voulez continuer à l'autoriser ou non. Vous devez savoir que les mises à jour logicielles peuvent modifier les fichiers exécutables (comme les mises à jour périodiques de Windows) et que dans de ces cas, vous devez continuer à autoriser les fichiers modifiés.