Bonjour je me débats avec le firewall de Vista (Ed Familiale Premium). Comme ce dernier permet de bloquer le trafic entrant et sortant (belle évolution depuis XP), j'ai décidé de ne pas installer de logiciel supplémentaire (comme ZoneAlarm) et d'utiliser le filtrage natif de Vista.
Pour renforcer la sécurité de ma machine j'ai refusé par défaut tout le trafic sortant ne correspondant pas à une règle explicite activée (impératif pour les spywares et autres malwares). Normalement avec la configuration "standard", seul le trafic entrant est bloqué alors que tout le trafic sortant est autorisé (pas très sécurisé donc mais bon ça évite justement les soucis que je rencontre). Je débloque donc mes programmes pour les ports nécessaires uniquement selon mes besoins. Pourtant le firewall semble bloquer certains programmes, qui pourtant ont une règle activée autorisant la connexion et je ne comprends pas pourquoi.
Quelques exemples pour vous donner une idée. J'autorise ping.exe sur ICMP dans les règles du trafic sortant. Pourtant un "ping http://www.free.fr" me retournera une "défaillance générale", seule la connexion au DNS fonctionne puisque j'obtiens bien l'adresse IP du serveur free 212... (à noter que le port 53 est ouvert pour svchost dans les règles "Gestion réseau de base" donc jusque là tout est normal). Dans les logs du firewall je vois bien le trafic ICMP sortant mais indiqué "DROP". Si je modifie ma règle pour autoriser "tous les programmes répondant aux conditions" le trafic passe, mais cela équivaut à ouvrir un port en permanence donc pas assez sécurisé ... j'en déduis que ce n'est pas ping.exe qui effectue vraiment le ping .... mais alors quel programme est-ce ?
Plus troublant, j'autorise les ports TCP 80 et 443 pour Firefox et IE, le trafic http et https sort normalement pas de souci ... je fais de même pour Google Chome et là surprise, le trafic non sécurisé passe (http://) mais le trafic sécurisé est refusé (https://). Pareil je retrouve bien dans les logs du firewall mes connexion sortantes sur le port 443 DROP ....
Existe t-il un moyen de connaître le processus qui tente effectivement de faire les connexions réseaux ? Si j'autorise les connexions sortantes globalement évidemment tout va bien. Si j'autorise une de mes règles pour "Tous les programmes", là encore ça fonctionne mais ça me laisse des trous béants de sécurité. Si finalement j'indique un programme, certaines règles ne sont plus effectives. Tout se passe comme si le programme que j'indique n'est pas vraiment celui à se connecter .... je en connais pas bien la couche réseau Vista, mais c'est tout de même un sacré bazar.
Auriez vous une idée pour que je puisse tracer les processus et les associer au trafic réseau (j'ai essayé vainement netstat et j'ai installé wireshark, mais je n'ai pas le lien avec le nom / numéro de processus ... là dessus la vie est tout de même plus "claire" avec un linux) ? Y-a-t'il un moyen avec Vista d'obtenir un popup à la ZoneAlarm pour être informé de toutes les connexions sortantes et donc de savoir quel processus se connecte ? Je ne connais pas bien la couche réseau windows, pourvez-vous m'éclairer ... HELP !