We use cookies to ensure that we give you the best experience on our website. By continuing to browse, we are assuming that you have no objection in accepting cookies. You can change your cookie settings at any time.

Le Support de BullGuard

Nous sommes ici 24/7 pour vous aider


Envoyez un e-mail à notre équipe d'assistance et nous reviendrons vers vous dans les 24 heures qui suivent.


Paramètres du Pare-feu

 

Cette rubrique vous permet de définir la gestion par le Pare-feu du trafic de votre ordinateur lorsque celui-ci est connecté à un réseau. Elle propose également des options avancées de personnalisation de ce module, afin qu'il réponde à vos besoins de sécurité et à la configuration de votre réseau.

 

 

Firewall_settings

 

 

Pare-feu : vous permet d'activer ou de désactiver le moteur du Pare-feu.

 

Sous-réseaux : fournit l'accès à la liste des réseaux auxquels votre ordinateur se connecte.

 

Sécurité : vous permet de personnaliser le système de détection des attaques du Pare-feu et d'ajouter des hôtes approuvés qui sont dispensés de cette vérification.

 

Journalisation : définit les types d'événements que le Pare-feu conserve dans le fichier journal.

 

Alertes : vous permet de définir l'affichage des alertes de sécurité et de la notification des événements.

Sous-réseau

 

Pour améliorer la sécurité fournie par le Pare-feu, vous pourrez configurer une plage de réseaux approuvés (cela fonctionnera pour les réseaux locaux, LAN) de sorte que l'application filtrera mieux le trafic et bloquera les connexions potentiellement dangereuses.

 

 

settings21.png

 

 

Sélectionner les réseaux approuvés : cette option est étroitement liée aux règles avancées et de bas niveau des applications car, à l'aide de ces règles, le Pare-feu gère tout le trafic réseau. Le Pare-feu autorise donc le trafic vers les ordinateurs faisant partie d'un réseau approuvé, tout en interdisant l'accès aux ports ou types de connexions spécifiques vers les ordinateurs situés en dehors des réseaux approuvés.

 

La configuration de sous-réseaux approuvés aide à éviter des attaques, telles que les usurpations d'identité MAC/IP ou empêche les ordinateurs d'emprunter l'identité des serveurs de passerelles/DNS pour établir une connexion sur votre ordinateur.

 

BullGuard détectera automatiquement tout nouveau paramètre réseau et une fois que l'ordinateur s'est connecté à ce réseau, l'ajoutera à la liste des réseaux approuvés. Le réseau sera visible dans la liste Sous-réseaux approuvés. Dans cette section, vous pouvez afficher chaque adaptateur réseau qui est opérationnel actuellement sur l'ordinateur ainsi que ses réseaux associés.

 

Tant qu'un réseau est coché, le Pare-feu le considère comme un réseau approuvé. Si un réseau n'est plus coché, le Pare-feu le considère comme un réseau local non approuvé.

 

Pour ajouter un sous-réseau spécifique, cliquez sur le bouton + et entrez les détails spécifiques à ce réseau. Cliquez sur OK pour enregistrer le nouveau sous-réseau.

 

 

settings22.png

 

 

Vous devez connaître l'adresse IP exacte et le masque de sous-réseau pour renseigner les deux champs de façon à ajouter le réseau LAN approprié. Si l'adresse IP ou le masque de sous-réseau est incorrect, un autre sous-réseau est ajouté. Si vous n'êtes pas sûr des détails corrects, nous vous recommandons d'interroger un administrateur système.

 

La meilleure façon pour obtenir les bons détails est de vérifier l'adresse IP du serveur de passerelles et du masque de sous-réseau. Si les détails ressemblent à 192.168.1.1 avec 255.255.255.0 comme masque, il est conseillé d'utiliser l'adresse IP et le masque de sous-réseau suivants : 192.168.1.0 avec 255.255.255.0 comme masque.

Paramètres de sécurité

 

Les informations présentes dans l'onglet Sécurité sont liées directement à la protection contre les attaques réseau offerte par le Pare-feu de BullGuard. Les options dans cet onglet vous permettent d'adapter le détecteur d'attaques du Pare-feu aux spécifications de votre réseau.

 

 

settings24.png

 

 

Continuer d'appliquer les règles du Pare-feu lorsque BullGuard est fermé : cette option permet au Pare-feu de fonctionner lorsque l'application principale est fermée. Notez que cela peut poser problème aux applications absentes de la Liste des applications qui tentent d'accéder au réseau.

 

BullGuard étant arrêté, seul le moteur du Pare-feu fonctionne en arrière-plan: aucune interface utilisateur n'est présente et aucune question contextuelle de Pare-feu ne s'affiche.

 

Comme vous disposez d'un temps limité pour répondre à ces questions, qui restent invisibles, le Pare-feu exécute l'action par défaut et bloque les programmes absents de la Liste des applications. Bien sûr, si votre liste d'applications est bien définie, le Pare-feu ne bloquera pas les applications nécessaires.

 

Activer la détection d’attaques : Permettra au Pare-feu de BullGuard ou empêchera celui-ci de bloquer toute attaque réseau. Il est conseillé de garder cette option constamment activée.

 

Détecter la modification des programmes : cette fonction permet à BullGuard de détecter si un programme de la Liste des applications a été modifié. BullGuard vous demande alors si vous souhaitez toujours autoriser l'application ou s'il faut la bloquer.

 

Cette option est extrêmement utile car elle empêche que les applications détournées puissent se connecter à Internet sans votre consentement. Cette fonction est plus efficace avec le module d'analyse en temps réel de l'antivirus en créant des couches de sécurité maximisant la sécurité de l'ordinateur.

 

Par ailleurs, le Pare-feu détecte si une application tente de modifier un programme se connectant à Internet et vous demande si vous souhaitez l'autoriser ou non. Vous devez savoir que les mises à jour logicielles peuvent modifier les fichiers exécutables (comme les mises à jour périodiques de Windows) et que dans de ces cas, vous devez continuer à autoriser les fichiers modifiés.

 

 

Détection des attaques

 

Le système de détection des attaques se trouve au cœur du Pare-feu.

 

 

Paramètres de détection des attaques

 

BullGuard bloque une grande variété d'attaques réseau. Toutefois, en raison d'exigences du réseau et de configurations matérielles spécifiques, certaines informations reçues en provenance d'Internet peuvent déclencher un avertissement d'attaque faux positif. Vous pouvez donc modifier les paramètres d'attaque du Pare-feu, afin qu'ils correspondent aux caractéristiques de votre réseau.

 

 

 

settings25.png

 

 

 

Bouton Configurer pour détecter les analyses de port, les analyses de port uniques et les attaques par déni de service : Vous permet de modifier le niveau de sensibilité du Pare-feu pour ces types d'attaque.

 

Configurer les paramètres avancés de protection ARP : Vous permet de modifier le niveau de sensibilité du détecteur d'attaques pour les analyses ARP.

 

Exclure les hôtes approuvés de la détection des attaques : Toutes les adresses IP listées dans la liste des hôtes approuvés seront exemptées des contrôles du détecteur d'attaques.

 

Exclure les intrus pendant (secondes) : pour chaque attaque détectée, vous pouvez configurer le Pare-feu afin qu'il exclue l'IP source pendant la durée indiquée.

 

 

Types d'attaques

 

Détecter les analyses de ports : cette option permet au Pare-feu de détecter les analyses de ports ; celles-ci ne sont pas réellement des attaques, mais elles ont souvent lieu avant une attaque, pour tenter de détecter les ports ouverts sur votre ordinateur.

 

Attaque d'analyse de port unique : Un type d'attaque qui essaye de voir les ports ouverts sur l'ordinateur cible. Ce n'est pas une attaque en tant que telle, mais une action courante précédant une attaque.

 

Attaques par déni de service : cette option permet au Pare-feu de détecter et d'empêcher une attaque qui rend les services et les ressources du réseau non disponibles pour leurs utilisateurs légitimes. Les attaques DoS (Denial of Service, déni de service) ou DDoS (Distributed Denial of Service, déni de service distribué) peuvent survenir de différentes façons : attaques Teardrop, ICMP, Nuke ou distribuées. Certains signes sont révélateurs de ces attaques : faibles performances du réseau, impossibilité d'accès aux ressources réseau (serveurs, imprimantes, fichiers partagés, outils ou applications réseau), faibles performances de l'ordinateur. Dans certains cas, les attaques DoS entraînent une activité élevée du microprocesseur qui conduit à une panne du système d'exploitation.

 

Détecter l'usurpation d’adresse IP : Détecte et bloque tout paquet réseau des personnes mal intentionnées tentant d'usurper l'identité d'ordinateurs conformes en falsifiant l'adresse IP source des paquets réseau.

 

Détecter le vol d'adresses IP : cette option protège votre ordinateur contre les attaquants qui dupliquent des adresses IP du réseau pour causer un arrêt ou une panne du système d'exploitation. Ils peuvent également empêcher l'ordinateur attaqué d'accéder aux ressources ou aux services du réseau en envoyant de faux paquets ARP au moyen desquels ils volent en fait « l'identité » de l'ordinateur attaqué.

 

Détecter une analyse ARP : cette option permet au Pare-feu de détecter les analyses ARP, que les attaquants utilisent pour se présenter comme un autre ordinateur ou serveur et tenter d'abuser l'ordinateur attaqué afin qu'il envoie des informations. Ce type d'attaque entraîne des délais dans la transmission des données ou un déni de service sur l'équipement affecté en raison de cette mystification ARP. Des données importantes et sensibles (sessions de discussion en ligne, messagerie électronique) peuvent être interceptées de cette façon.

 

Attaque par ICMP fragmenté : cette option permet au Pare-feu de détecter les attaquants qui tentent d'envoyer des paquets ICMP fragmentés pour contourner des mesures de sécurité.

 

Attaque par IGMP fragmenté : cette option permet au Pare-feu de détecter les attaquants qui tentent d'envoyer des paquets IGMP fragmentés pour contourner des mesures de sécurité.

 

Attaque par fragments courts : cette option assure que le Pare-feu détecte les types de paquets utilisés dans les attaques par déni de service. Ces paquets sont délibérément modifiés pour que leur taille soit inférieure à celle des paquets normaux, afin que les systèmes de sécurité (pare-feux matériels ou logiciels) ne les détectent pas.

 

Attaque par 1234 : cette option permet au Pare-feu de détecter les attaques de type ICMP basées sur l'envoi d'horodatages ICMP défectueux.

 

Attaque par fragments chevauchés : cette option permet au Pare-feu d'empêcher les attaquants d'envoyer des paquets fragmentés, contenant des informations qui se chevauchent, dans l'espoir d'affaiblir le système et de le rendre vulnérable à une attaque. En général, cette procédure est utilisée pour les attaques Teardrop.

 

Attaque WinNuke : cette option protège votre ordinateur contre une attaque envoyant un paquet OOB (Out of Band, hors bande) qui entraînerait le blocage de l'ordinateur et un écran bleu de la mort. Cette attaque n'endommage pas les données présentes sur le disque de l'ordinateur, mais les données non enregistrées avant l'attaque sont perdues. Ce type d'attaque était caractéristique d'anciennes versions de Windows (Windows 95, anciennes versions NT et Windows 3.11).

 

Attaque Teardrop : cette option permet au Pare-feu d'empêcher les attaquants d'envoyer des fragments de taille personnalisée qui se chevauchent. L'exploitation d'un bogue dans le protocole TCP entraînait le traitement erroné de tels paquets. Il s'agit d'une attaque propre à Windows 3.11, à Windows 95 et à d'anciennes versions de Windows NT et de Linux.

 

Attaque Nestea : cette option protège votre ordinateur d'une attaque réseau propre à Linux, similaire à une attaque Teardrop. Ce type d'attaque exploite le bogue de défragmentation de paquets réseau sur d'anciennes versions de Linux.

 

Attaque Ice Ping : cette option permet au Pare-feu de détecter si Windows ne traite pas correctement des paquets ICMP répartis sur un grand nombre de petits fragments. En général, l'ordinateur tombe en panne lorsqu'il assemble ces paquets plus petits.

 

Attaque OpenTear : cette option permet au Pare-feu de protéger votre ordinateur contre un type d'attaque utilisant des adresses IP usurpées au hasard, pour inonder au hasard les ports de l'ordinateur attaqué, avec des paquets UDP fragmentés au hasard ; cela entraîne une panne des systèmes d'exploitation Windows 95, 98, NT et 2000.

 

Attaque IGMPSYN : cette option permet au Pare-feu de contrer cette technique répandue de déni de service.

 

Options IP mal formées : cette option permet au Pare-feu d'empêcher les attaquants d'envoyer un paquet contenant un champ d'options IP trop grand. Cette attaque entraîne un dépassement de capacité de la mémoire tampon qui détériore la pile TCP/IP. Il devient alors possible d'exécuter du code malveillant sur l'ordinateur attaqué et d'augmenter l'activité réseau, ce qui interrompt presque complètement le trafic réseau légitime.

 

Attaque Moyari13 : cette option protège votre ordinateur contre les attaques de type ICMP où l'attaquant envoie un horodatage ICMP interdit. L'ordinateur tombe en panne lorsqu'il reçoit ce paquet (le réseau ne répond plus). Cette attaque est utilisée contre Windows 95 et 98.

 

Attaque FAWX : cette option permet au Pare-feu d'empêcher une attaque par déni de service IGMP qui bloque les systèmes d'exploitation tels que Windows 95, 98 ou NT.

 

Attaque FAWX2 : cette option protège votre système contre une attaque envoyant des paquets formés au hasard pour inonder le port 139, ce qui entraîne un écran bleu sous Windows 95, 98 ou 2000.

 

Attaque KOX : cette option permet au Pare-feu de détecter une attaque par déni de service IGMP qui bloque les systèmes d'exploitation tels que Windows 95, 98 ou NT.

 

 

Paramètres de détection des attaques

 

Cette rubrique vous permet d'affiner la sensibilité du Pare-feu aux déclencheurs d'avertissements des attaques par analyses de ports, par analyses de ports uniques et par déni de service. Le principe de fonctionnement est le suivant :

 

Plus le Pare-feu est sensible, plus il réagit rapidement en affichant un avertissement d'attaque et en excluant l'IP de l'attaquant pendant la période d'exclusion par défaut (300 secondes), mais cela peut augmenter les détections de faux positifs.

 

Moins le Pare-feu est sensible, plus le déclenchement de l'avertissement d'une attaque prend du temps et le taux de faux positifs est proche de zéro. Néanmoins, une sécurité trop permissive peut mettre en danger l'intégrité de l'ordinateur.

 

Le réglage par défaut du Pare-feu assure l'équilibre entre un système sûr, un faible taux de détection de faux positifs et pratiquement aucun effet sur le trafic du réseau. En raison du filtrage continu du trafic réseau, il est normal que la vitesse de connexion soit légèrement plus lente. Si vous constatez une différence majeure, nous vous conseillons de contacter l'équipe de Support BullGuard.

 

 

settings26.png

 

 

Les avertissements d'attaques par analyse de ports sont déclenchés selon un système de points. Une valeur (un poids) est associée à chaque port, selon son importance, ce qui détermine la sensibilité du port. Une attaque par analyse de ports est signalée lorsque le nombre de points (par défaut ou défini par l'utilisateur) est atteint.

 

Cette méthode a l'avantage de permettre la personnalisation du Pare-feu, si bien que vous pouvez le configurer pour éviter les détections de faux positifs.

 

Les ports ont des valeurs spécifiées par défaut dans le détecteur d'attaques. Le poids (importance) d'un port ouvert est fixé à 0 car personne ne peut être accusé d'analyse de port non conforme lorsque ces ports sont ciblés (même certains sites Internet peuvent effectuer une analyse de port rapide sur l'ordinateur de l'utilisateur pour le transfert de données, par exemple). Le poids (importance) d'un port fermé (le Pare-feu gardera des ports sensibles fermés ou en mode furtif) est fixé à 1 ou plus. Généralement, tous les ports non utilisés sont gardés fermés par le Pare-feu.

 

L'avertissement d'attaque est déclenché sur la base d'une limite de temps et sur le score total pendant la durée spécifique.

 

Limite de temps : si les conditions sont satisfaites pour une durée prédéterminée, le message d'avertissement est déclenché. La valeur par défaut est de 600 ms, mais vous pouvez la modifier.

 

Score : Lorsqu'un ordinateur/serveur analyse 6 ports fermés en moins de 600 ms, l'action est considérée malveillante et un avertissement d'analyse de port est émis. Lorsque des analyses de port se produisent à partir d'un ordinateur/serveur, le Pare-feu vérifiera si les ports sont ouverts ou fermés et fera la somme des poids ajoutés des ports analysés. Si le total général dépasse le poids par défaut (6), un avertissement d'analyse de port est déclenché.

 

Lors de la configuration des paramètres de détection des attaques, vous aurez la possibilité de définir des valeurs personnalisées pour les ports sensibles pour lesquels BullGuard devra faire plus attention. Cela signifie que si une attaque cible un des ports désignés sensibles, l'avertissement est déclenché plus rapidement et l'attaquant est bloqué plus rapidement.

 

Pour modifier la liste des ports sensibles, cliquez simplement sur le bouton Configurer dans la fenêtre de modification des paramètres d'attaques.

 

 

settings27.png

 

 

Pour ajouter un nouveau port à la liste, cliquez sur le bouton +, sélectionnez le type de protocole, entrez le numéro de port et attribuez-lui une valeur de poids (importance).

 

 

Configurer les paramètres avancés de protection ARP

 

Cette fonction permet à BullGuard de détecter les attaques par des ordinateurs ou des serveurs susceptibles d'avoir été atteints et d'améliorer davantage le niveau de sécurité de l'ordinateur.

 

 

settings28.png

 

 

Bloquer des paquets ARP non sollicités : Il s'agit d'une autre fonction de sécurité qui bloque tous les paquets de trafic ARP potentiellement dangereux qui n'ont pas été demandés précédemment par une application sur votre ordinateur. Généralement, les paquets ARP non sollicités sont envoyés par des ordinateurs infectés ou par des personnes malveillantes usurpant l'identité de serveurs ou d'autres ordinateurs de votre réseau et qui tentent d'amener l'ordinateur à ouvrir des ports de communication

 

Se protéger contre les passerelles détournées : Protège l'utilisateur des serveurs de passerelles susceptibles d'avoir été atteints.

 

Se protéger contre la duplication d'adresse IP : Lorsqu'une nouvelle adresse IP est définie pour un ordinateur sur un réseau, l'ordinateur diffusera cette information sur le réseau. BullGuard lira ce trafic et si l'adresse IP est exactement la même que l'IP sur votre ordinateur, il bloquera les paquets d'informations. Certains systèmes d'exploitation "ne répondront plus" en tentant de lire ces paquets de trafic et BullGuard empêchera les informations d'atteindre le système d'exploitation pour être décodées.

 

Détection lorsque les applications ont été modifiées

 

Cette fonction permet à BullGuard de voir lorsqu'un programme de la liste des applications a été modifié et de vous demander si vous voulez continuer à autoriser ou bloquer l'application. Cette option est extrêmement utile car elle empêche que les applications détournées puissent se connecter à Internet sans votre consentement. Cette fonction est plus efficace avec le module d'analyse en temps réel du moteur de l'antivirus, en créant des couches de sécurité maximisant la sécurité de l'ordinateur.

 

 

settings24.png

 

 

 

settings31.png

 

 

De plus, le Pare-feu détecte lorsqu'une application tente de modifier un programme en train de se connecter à Internet et vous demande si voulez continuer à l'autoriser ou non. Vous devez savoir que les mises à jour logicielles peuvent modifier les fichiers exécutables (comme les mises à jour périodiques de Windows) et que dans de ces cas, vous devez continuer à autoriser les fichiers modifiés.

Journalisation

 

L'onglet Journalisation offre des options sur les informations affichées par le Pare-feu dans les journaux du Pare-feu, à la fois dans l'application et dans les fichiers du journal créés sur l'ordinateur de l'utilisateur.

 

 

settings33.png

 

 

Journalisation du TCP

 

Enregistrer la connexion TCP (création, arrêt) : Créera une entrée dans le journal du Pare-feu, indiquant qu'une connexion TCP a été créée ; activée par défaut

 

Enregistrer des paquets autorisés individuellement (désactivée par défaut) : Crée une entrée pour chaque paquet TCP autorisé

 

Enregistrer des paquets bloqués individuellement (activée par défaut) : Crée une entrée pour chaque paquet TCP bloqué

 

 

Journalisation ICMP

 

Enregistrer des paquets autorisés ICMP (activée par défaut) : Crée une entrée pour chaque paquet ICMP autorisé

 

Enregistrer des paquets bloqués ICMP (activée par défaut) : Crée une entrée pour chaque paquet ICMP bloqué

 

 

Journalisation UDP

 

Enregistrer des paquets autorisés UDP (désactivée par défaut) : Crée une entrée pour chaque paquet UDP autorisé

 

Enregistrer des paquets bloqués UDP (activée par défaut) : Crée une entrée pour chaque paquet UDP bloqué

 

Enregistrer des paquets de diffusion UDP (désactivée par défaut) : Crée une entrée pour chaque paquet UDP de diffusion qui a été autorisé/bloqué

 

 

Autres paramètres

 

Enregistrer des paquets autorisés d'autres protocoles (désactivée par défaut) : Crée une entrée pour chaque paquet de protocole personnalisé autorisé

 

Enregistrer des paquets bloqués d'autres protocoles (activée par défaut) : Crée une entrée pour chaque paquet de protocole personnalisé bloqué

 

Résoudre les objets du réseau (hôtes distants, ports) : Avec cette fonction activée, le Pare-feu essaiera de lire le nom du réseau de l'élément du réseau spécifique, comme le nom de l'ordinateur (cela fonctionnera uniquement si l'ordinateur/réseau l'autorise ou si un nom de réseau a été défini)

 

 

Paramètres par défaut: Les options de journalisation par défaut seront rétablies.

Rubrique Alertes

 

Les paramètres Alertes vous permettent de configurer plus facilement les messages et les écrans contextuels du Pare-feu, leur fréquence et leur affichage à l'écran.

 

 

settings34.png

 

 

Si je ne réponds pas d’ici quelques secondes, appliquez une réponse automatique : Les messages contextuels de notification du Pare-feu ont un délai standard de 20 secondes pendant lequel vous pouvez choisir d'autoriser ou pas le programme à accéder au réseau. Après l'expiration du délai d'attente, le Pare-feu appliquera l'action prédéfinie qui, par défaut, doit bloquer l'application. Vous pouvez modifier l'action par défaut pour l'autoriser s'il n'y pas de réponse dans la limite de temps.

 

M’avertir lorsqu’un programme obtient automatiquement un accès à Internet : Affiche un message contextuel du Pare-feu chaque fois qu'une application a été automatiquement autorisée à se connecter au réseau sur la base de la liste des applications connues.

 

 

fwalert01.png

 

 

Afficher une alerte de sécurité et la fermer au bout de quelques secondes : Lorsque cette option est activée, un message de notification du Pare-feu s'affiche vous informant de tout événement de sécurité. Le message contextuel de notification disparaît après le délai de 30 secondes par défaut.

 

Lire un fichier audio : Utilise les sons définis par l'utilisateur ou prédéfinis par Windows à chaque fois qu'une fenêtre de notification du Pare-feu apparaît.

 

M’avertir lorsque des modifications du réseau sont détectées : Affichera un message contextuel du Pare-feu sur toute modification du réseau enregistrée par le Pare-feu.

 

 

FW_Alert_NetwChanges