Tutoriel CIS 2/ Gestion sécurisée du pare-feu, Ed 02

International Comodo Forums Francais / French
1

Bonjour à vous

Utilisateur depuis 2008 de Comodo Firewall, pare-feu d’une grande richesse, et n’ayant pas de lien avec Comodo, j’ai tâtonné pendant plusieurs années avant de découvrir toutes les possibilités de ce formidable pare-feu et la meilleure façon de l’utiliser afin d’obtenir une sécurité optimale.

C’est pourquoi je vous propose, en pièce jointe, en bas de cette page, ce document :

                                                         Tutoriel de COMODO Firewall et de COMODO Internet Security
                                                               2/ Gestion sécurisée du pare-feu (alertes, règles et journal) Ed. 02

qui vient compléter notre précédent tutoriel d’installation et de configuration du pare-feu et de la suite de COMODO

    Ce nouveau tutoriel vous présente principalement :

a/ une synthèse, au paragraphe 1, de multiples éléments, épars dans la littérature, essentiellement anglo-saxonne, et qui concernent le fonctionnement du trafic sur Internet et sur le réseau local ;

b/ un bref rappel de la configuration de base du pare-feu décrite dans le tutoriel précédent ;

c/ le choix entre trois niveaux de sécurisation croissante du pare-feu ; les niveaux 2 et 3 supposant que le précédent niveau ait été mis en place :

  • le Niveau 1 conviendra à ceux souhaitant utiliser le mode sécurisé qui gérera automatiquement le pare-feu sans qu’ils aient à s’impliquer dans la gestion directe du pare-feu ; ils pourront se contenter de consulter les paragraphes 5 et 9 du tutoriel ;

  • le Niveau 2 s’adresse à ceux qui désirent, pour davantage de sécurité, gérer eux-mêmes directement les règles de programmes à l’aide du mode personnalisé ;

  • le Niveau 3 est destiné aux plus expérimentés et plus motivés qui désirent exercer un contrôle étroit du trafic sur Internet, et isoler, plus ou moins totalement, leur ordinateur des divers objets connectés de leur réseau local, objets souvent portes d’introduction de diverses intrusions malveillantes.

Édition 02 :

  • deux modifications importantes des règles : 05/ Netbios (en 9.3) & 16/ du port 68 vers le port 67 (en 11.2.3) ;

  • ajouts de 1.6, 1.7, 13 & Annexe C ;

  • et remaniement et améliorations de 5, de 7 à 12 et de 14.

      Avec l'espoir que ce tutoriel puisse être utile à tous, quelque soit leur degré de connaissances et d'implication, je vous souhaite bonne route sur le Web.

  Bien cordialement à vous.
                                                                                                                                
                                                                                                                           Lancelot du lac, le 17/09/2020

Remerciements à ZorKas et Symbian, ainsi qu’à Comodo pour la gratuité de cette superbe suite et à toute son équipe.

2

Bonjour Michel,

Merci pour cette mise à jour
Excellent travail envers la communauté Comodo :-TU
Cordialement

ZorKas

3

Bonjour,

Merci pour ces 2 documents très riches et très utiles.

Je suis en train d’installer Comodo FW sur un PC.
Je l’ai paramétré en mode « Sécurisé ».

J’ai quelques questions :

  • le choix d’utiliser les DNS de Comodo ou ceux du FAI peut se faire à l’installation. Est-il possible de modifier ce choix ultérieurement ?
  • il semble qu’il soit possible de rester au niveau 1 de sécurité (Mode dit Sécurisé du FW) et néanmoins d’appliquer des règles prédéfinies à certains programmes dans ce mode. Ai-je bien compris ?
  • quand un programme apparaît-il dans les “Règles des programmes” du pare-feu ? J’ai lancé PowerPoint et il n’y apparait pas.
  • lorsque l’on consulte les journaux, l’affichage se fait pour les évènements d’“Aujourd’hui”. Il est possible de le modifier, par exemple “La semaine en cours”. Est-il possible de conserver ce paramétrage ?
  • dans les applications à débloquer apparaît explorer.exe, qui est un programme de base de Windows, bloqué par HIPS. A quoi correspond ce blocage ?

Merci pour votre retour

4

Bonjour domo 78 et bienvenue sur le forum,

En l’absence de Lancelot du Lac j’apporte mon avis sur les questions posées dans l’ordre:
1-) Le choix des DNS peut être modifié par la suite pour ce faire il faut se rendre dans le panel de configuration de Windows puis choisir Réseaux & partage pour modifier IPV4 & IPV6 dans les DNS
2-) Il est préférable de choisir le mode “personnalisé” car en mode “Sécurisé” les programmes se connectent à internet sans filtrage (du moment qu’ils sont reconnus comme étant “approuvé”. C’est le mode que je choisi (“Personnalisé”) pour la simple raison qu’au fur et à mesure que les connections s’exécutent (programmes) (autres que ceux de Windows exemple svchost) Comodo demande les règles à définir. Une fois la base construire c’est Ok (il est possible d’ailleurs de connaitre les connections dans le menu “Voir les connections”)
3-) Comme expliqué ci-dessus si le Firewall est en mode “sécurisé” et que l’application est reconnu le Firewall n’informe pas des connections, pour appliquer une règle à ce dernier il faut l’ajouter manuellement au programme en le choisissant par “Ajouter” dans les paramètres du Firewall (en choisissant les critères prédéfinis ou paramétrage manuel)
4-) La modification se fait à partir du paramétrage des journaux en choisissant celui désiré (jour-semaine-mois- date à date)
5-) Explorer peut être bloquer par HIPS si un processus ne reflète pas la règle des PID(s). Il est toujours possible de connaitre la raison en observant dans les journaux.

5

Bonjour à domo 78 et à Zorkas

Merci à domo 78 pour ses questions pertinentes et à Zorkas pour lui avoir fourni en mon absence des réponses que j’approuve pleinement.

Je voudrais relier ces réponses, à destination de domo 78, mais aussi des autres utilisateurs, à la démarche que j’ai entreprise en rédigeant les deux tutoriels que Comodo, par l’entremise de Zorkas, a bien voulu accepter sur ce forum.

Un bref rappel pour les candidats utilisateurs et les nouveaux utilisateurs:

  • dans une première étape, décrite dans le tutoriel [1] « Installation et configuration de CIS », nous avons traité du téléchargement, de l’installation et de la configuration de base du pare-feu ;
  • dans une seconde étape décrite dans le tutoriel [2] nous décrivons une démarche de sécurisation progressive et croissante, s’adressant aussi bien aux débutants et à ceux qui n’ont pas le temps ou le désir de s’impliquer (en proposant un niveau de sécurité 1 facile à mettre en œuvre) qu’à ceux qui désirent un niveau accru de sécurité et de contrôle plus étroit du trafic entre leur ordinateur et le réseau local ou Internet (niveaux 2 et 3 de sécurité).

1/ Pour répondre à domo 78 il est effectivement possible d’appliquer des règles prédéfinies après avoir programmé le seul niveau 1 de sécurité, fonctionnant avec le mode sécurisé du pare-feu : je vous conseille de prendre attentivement connaissance du paragraphe « 10.1 les règles prédéfinies » du tutoriel [2] et d’entamer la démarche qui y est proposée de sécurisation (10.1.1) et éventuellement de déplacement des règles prédéfinies (10.1.2). Dès que cette démarche sera achevée vous pourrez passer en mode personnalisé (Niveau de sécurité 2 , paragraphes 10.2 et 10.3), qui, comme l’indique Zorkas, est bien préférable : les règles prédéfinies que vous aurez traitées vous faciliteront grandement la gestion des alertes du pare-feu déclenchées par le mode personnalisé, notamment les règles :

  • Application limitée autorisée ;
  • Programme bloqué non consigné ;
  • Programme bloqué, sauf accès à la boucle locale.

2/ Pour PowerPoint : voir le paragraphe 3/ de la réponse de Zorkas.

3/ Pour les Journaux l’affichage se fait effectivement par défaut sur « Aujourd’hui », et si vous le modifiez sur « La semaine en cours », il n’est pas possible de conserver ce paramétrage pour les consultations suivantes : je vous conseille plutôt de consulter la rubrique « Intrusions Réseaux » de la « Vue avancée » qui est quasiment identique au « Journal des événements » , mais dont l’affichage se fait par défaut sur (Aucun filtre), c’est à dire que vous avez le journal complet avec toutes les dates

4/ Est-il possible de modifier le choix d’utiliser les DNS de Comodo ou du Fournisseur d’accès Internet (FAI) après l’installation : parfaitement

a/ toutefois il est peu souhaitable de ne pas utiliser les serveurs de DNS de Comodo (et leurs DNS), en effet ceux-ci filtrent les sites Web malveillants, jouant un rôle essentiel dans la navigation ;

b/ comment faire pour modifier le choix initial ? La démarche est décrite dans le tutoriel 2/ ci dessus :
= en Annexe A.1.2.1 vous avez la capture d’écran obtenue en faisant Panneau de configuration\Centre Réseau et partage comme le signale Zorkas : en cliquant sur votre connexion (signalée par la flèche bleue)
= en Annexe A.1.2.2 vous avez la capture d’écran du panneau « Etat (de votre connexion) » qui s’ouvre alors, cliquez sur l’onglet « Propriétés », seconde flêche rouge ;
= en Annexe A.1.2.2 b/ vous avez alors la capture de la nouvelle fenêtre « Propriétés » qui s’ouvre à son tour : cliquez alors sur « Protocole Internet version 4 (TCP/IP v4) », que nous avons surlignée en bleu, si vous êtes en IPv4 (ce qui est encore le plus courant) ou l’équivalent si vous êtes en Ipv6 ; vous pouvez alors soit cliquer dans la même fenêtre sur un nouvel onglet « Propriétés » et, dans la fenêtre qui s’ouvre modifier, les DNS, soit suivre les indications plus détaillées de l’Annexe A2 Modifier les DNS.

c/ soyez prudent dans le choix de vos DNS : des sites pirates proposent des adresses DNS qui conduisent sur leur serveur où ils interceptent vos données, notamment bancaires ou d’identité ; privilégiez donc les DNS de Comodo, à défaut celles de votre FAI récoltées sur son site ou sur un site qui soit sûr, ou d’un VPN de toute confiance que vous utilisez ;

d/ note avant d’installer Comodo, ou, si vous l’avez déjà installé, sur un autre ordinateur relié à votre box : allez sur la fenêtre de A.1.2.2 et cliquez sur Détails, puis capturez, imprimez et gardez précieusement ce document qui, outre les adresses DNS en cours d’utilisation, vous donne tous les détails essentiels concernant votre connexion.

5/ Pour le blocage de « explorer.exe » par HIPS Zorkas répond en 5/ (processus ne reflétant pas la règle des PID(s)) à un questionnement que je me posais également ;

  • notez la date et l’heure et reportez-vous au « Journal des évènements HIPS » à cette même date : j’ai également un blocage d’explorer.exe par HIPS et le « Journal des évènements HIPS » signale dans la colonne « Action » « Accéder à l’interface COM » ;
  • en fait la gestion des règles HIPS nécessite de solides connaissances des mécanismes intimes des processus Windows (que personnellement je ne maîtrise pas suffisamment) : en conséquence, dans les paramètres HIPS (cf. [1] 10,3,1) j’ai choisi de laisser Comodo gérer HIPS en retenant le « Mode sécurisé » et je n’ai pas coché la case « Créer des règles pour les applications saines » ;
  • reste le problème des « Applications bloquées » par HIPS, comme dans le cas que vous signalez : que faut-il faire ? Après de nombreux essais peu concluants je me contente :
    = soit de laisser l’application bloquée lorsque cela ne semble pas avoir d’incidence sur le fonctionnement ;
    = soit de débloquer l’application lorsque cela montre une incidence sur le fonctionnement (exceptionnel) ; ceci engendre la création d’une règle dans le tableau des règles HIPS de la rubrique Paramètres ; cette règle est souvent « Autoriser » pour toutes les actions, sauf « Demander » pour « Lancer un exécutable » ;

Merci à Zorkas pour son avis précédent et sur les conseils qu’il pourrait nous donner sur ce problème.

Et bon courage à domo 78 et à tous les utilisateurs présents ou futurs pour la découverte passionnante du fonctionnement de ce pare-feu et du trafic qu’il gère.

Bien cordialement à vous.

Lancelot du lac

6

Bonjour Domo 78

En complément de ma réponse d’hier, pour votre question concernant l’absence de règle du pare-feu pour Powerpoint :

a/ avez-vous bien coché la case " Créer des règles pour les applications saines " dans les paramètres du pare-feu ?

b/ le pare-feu ne crée de règle pour une application que si celle-ci demande l’accès à Internet, au réseau local ou à la boucle locale : dans le journal des événements du pare-feu y a t’il sur longue période pour Powerpoint présence ou absence de demande (autorisée ou bloquée) ; je suis curieux de votre réponse car en cas d’absence de demande ce serait normal qu’il n’y ait pas de règle ; pour rechercher facilement une éventuelle demande dans le Journal cliquez sur l’intitulé de la colonne “Programmes” : les applications seront regroupées par ordre alphabétique.

Par ailleurs, afin de retrouver facilement les règles de programmes, vous avez intérêt à les classer dès que possible avant qu’elles ne soient trop nombreuses (cf [2] 10.1.4.3).

Bien cordialement

Lancelot du lac

7

Bonjour Lancelot et Zorkas,

Merci pour vos retours.

Ma question au sujet de PowerPoint avait pour origine le fait que j’ai bien coché au niveau du pare-feu “Créer des règles pour les applications saines”, que Word, Excel et Outlook étaient présents dans “Règles des programmes” du pare-feu et pas PowerPoint. Serait-il vu d’une autre manière par Comodo FW ?
Comme suggéré par Zorkas, j’ai ajouté une règle manuellement pour ce programme. J’ai modifié temporairement la règle “Programme bloqué, sauf accès autorisé à la boucle local non consigné” en consignant.
Dès le lancement de PowerPoint il y a eu blocage du pare-feu (sortant, TCP).
Il n’y avait pas eu dans les journaux d’évènement pour ce programme avant la création de cette règle.

Un portable pouvant être utilisé à l’extérieur en Wifi, avec les risques associés, j’ai l’impression que l’impact sur les règles créées est important. Cela devrait toucher les règles globales, peut-être également les règles des programmes ?

Les montées de version du pare-feu se font bien sans désinstallation et réinstallation, automatiquement si le paramétrage a été fait de cette manière ?

Merci pour votre retour,
Bien cordialement

8

Bonjour,

J’ai installé Comodo FW sur mon autre PC.

J’ai une différence importante par rapport à mon autre PC.

Dans les zones réseaux apparaît Ethernet qui n’apparaissait pas sur mon PC précédent (voir pièce jointe). Qu’elle peut en être l’origine ?

Ceci a un impact sur les règles globales (voir pièce jointe) où il y a 2 lignes en plus correspondant à Ethernet et les règles programmes (voir pièce jointe).

De plus lorsque je fais Paramètres/Ethernet sur mon précédent PC j’ai le nom de la box/connecté et sur le nouveau PC j’ai réseau/connecté.

Comment est-il possible de rattraper le coup ?

Merci pour votre retour,
Bien cordialement

9

Zones réseaux

10

Règles globales

11

Bonjour,

Dans la zone réseau j’ai supprimé Ethernet. Les règles se sont mises à jour.

Dans [1] 10.6.2 il est indiqué “Vous n’avez rien à paramétrer”.
Pour l’analyse de scripts, faut-il laisser cocher “Effectuer une analyse de script” ?

[2] 5.2 je n’ai jamais rencontré cet écran. Est-ce normal ?

[2] lorsque j’édite une règle il arrive que le libellé de la règle n’est pas reproduit sur l’écran suivant.

Pour Firefox j’ai appliqué la règle définie “Navigateur Internet”.
Dans les journaux il y a blocage en sortie pour le port 88.
Lorsque je consulte les résultats des matches sur www.maxifoot-live.com ils n’apparaissent pas.
Sur mon autre PC j’ai désinstallé Comodo et les résultats apparaissent. Avez-vous une idée du pourquoi ?

Bien cordialement

12

Bonjour domo78,

En ce qui concerne l’absence de connexion sur le site indiqué (www.maxifoot-live.com), ce dernier ne possède pas de certificat de sécurité (SSL/TLS) comme l’indique l’image ci-dessous

Il faut vérifier la politique de sécurité d’accès aux sites non sécurisé sur le PC (navigateurs/protection système/etc…). Il n’est pas recommandé du tout de se connecter à un site dépourvu de certificat notamment en indiquant les ID et password
Pour le reste je laisse le soin à l’auteur des tutos (Lancelot du Lac) de répondre à vos questions afin d’éviter les confusions
Cordialement

13

Bonjour Zorkas,

Merci pour votre retour.

Est-ce le module Internet Security Essentials, si j’ai bien compris sa fonction, qui serait intervenu pour bloquer ce site ?

Bien cordialement

14

Bonjour domo 78

Vous avez énormément de questions intéressantes

1/ Tout d’abord, à titre préliminaire, une observation pour les nouveaux utilisateurs : la démarche proposée vise à assurer la sécurisation du trafic ; c’est une démarche progressive et méthodique en plusieurs étapes en commençant par le Niveau 1 (cf [2] 9) qui assure une sécurité minimale indispensable en bloquant les connexion entrantes ainsi que totalement (ou éventuellement partiellement cf [2] 9.3.1 et 9.3.3) les processus dangereux ICMP, IGMP, SMB (et non NMB par coquille dans mon texte p 44), Netbios, SSDP et SNMP.
Dans votre capture 2 concernant les règles globales il apparaît que cette étape n’a pas été franchie, il est important pour la sécurité de la franchir avant de poursuivre le développement des règles du pare-feu vers le niveau 2 pour ceux qui, comme vous, désirent s’impliquer davantage (ce qui est souhaitable pour une sécurité accrue) ou d’en rester à ce niveau pour ceux qui ne désirent pas s’impliquer plus avant.

2/ Pour l’accès à Maxifoot, et, en complément de la réponse de Zorkas qui connaît très bien le pare-feu Comodo et les fonctionnements d’Internet et de Windows, je me demande si le problème n’est pas lié au blocage vers le port 88 :

  • en cherchant sur Internet et notamment sur Wikipedia vous pouvez voir que le port 88 est affecté à Kerberos (Cerbère, le chien de garde des enfers!) et que le protocole Kerberos est un système d’authentification reposant sur un système de cryptographie à base de clefs secrètes ;
  • essayez d’aller sur Maxifoot et vérifiez dans le journal que le blocage en sortie vers le port 88 n’apparaît pas à ce moment ;
  • ce probème serait alors probablement résolu en ajoutant dans la règle prédéfinie navigateur Internet la règle « Autoriser TCP sortant vers port de destination 88 » et faites OK à la fois dans la fenêtre de cette règle et dans la fenêtre des règles prédéfinies : dites-moi si cela résout votre problème d’accès à Maxifoot ;
  • de toute façon une chose est certaine : une de vos applications utilise Kerberos et il est nécessaire de procéder comme ci-dessus pour que cette application puisse fonctionner avec ce protocole.

3/ Au sujet de PowerPoint vous avez bien fait de suivre l’avis de Zorkas, ce qui a résolu votre problème. Vous avez également bien fait de créer la règle « Programme bloqué, sauf accès autorisé à la boucle locale » et de la consigner temporairement pour vérifier le blocage de PowerPoint, j’attire votre attention sur les points suivants :
a/ cette règle doit être utilisée lorsque vous souhaitez qu’une application fonctionne correctement sur votre ordinateur mais ne puisse pas avoir accès à Internet, par exemple pour qu’elle ne puisse pas se mettre à jour ou envoyer des informations diverses à l’extérieur : donc si vous souhaitez que PowerPoint puisse se mettre à jour il vous faut choisir la règle prédéfinie « Application limitée autorisée » (cf. 101.1 d/) : à vous de voir ;
b/ n’oubliez pas de décocher la consigne de la règle « Programme bloqué, sauf accès autorisé à la boucle locale » afin que votre journal ne soit pas encombré ;
c/ si vous désirez maintenir cette règle prédéfinie pour PowerPoint mais suivre les blocages vers Internet des demandes de Powerpoint il vous suffit, sur la règle de programmes relative à PowerPont, de cliquer droit sur Editer puis de cocher « Utiliser un ensemble de règles prédéfinies » (au lieu de « Utiliser la règle prédéfinie »), puis de « Copier depuis : une règle prédéfinie » et de choisir alors « Programme bloqué, sauf accès autorisé à la boucle locale » dont toutes les règles seront copiées, vous pourrez alors consigner la règle « Bloquer toutes les autres requêtes » sans affecter les applications reliées à la règle prédéfinie générale. (note : dans un autre contexte vous pourriez modifier une des règles en ajouter ou en supprimer).

4/ Oui il faut laisser coché « Effectuer une analyse de script (Recommandé) » et suivre les recommandations de Comodo à moins que vous n’ayez des connaissances pointues en ce domaine et sachiez bien ce que vous faites.

5/ Il est dommage que vous ayez supprimé « Ethernet » dans la zone Réseau, mais cela ne devrait pas être dramatique, l’ordinateur la rétablira probablement sans trop de problème lorsque cela nécessaire ; à moins qu’une intervention de votre part soit alors nécessaire.
Pour répondre de manière plus précise et appropriée à cette question et aux autres qui restent en suspens j’aurais besoin des précisions suivantes :

a/ êtes- vous comme je le pense, en mode personnalisé ou en mode sécurisé ?

b/ votre 1er ordinateur que nous appelerons A :

  • est-il fixe ou portable ?
  • À votre domicile est-il relié en filaire ou en WiFi ?
  • est-il relié à d’autres objets connectés (télévision, smartphone par exemple?) .
  • partage-t-il ou non avec l’autre ou les autres ordinateurs une imprimante ou des dossiers partagés ?

c/ Mêmes questions pour le second ordinateur que nous dénommerons C.

Bien cordialement

Lancelot du lac

15

Bonjour Lancelot,

Merci pour vos réponses détaillées à mes nombreuses questions. J’espère qu’elles ne vous ennuient pas.

Vous avez raison effectivement il y a bien un blocage sur le port 88 lorsque je vais voir les résultats sur le site avec Firefox.
La situation est la même avec Edge.

Au sujet des ordinateurs :

  • ordinateur A : c’est le premier sur lequel j’ai installé Comodo FW pour me faire la main. C’est un portable que je connecte en filaire sur la Freebox. J’ai désinstallé Comodo pour voir si l’affichage des résultats fonctionnait ce qui a été le cas.
  • ordinateur C : C’est celui que j’utilise maintenant quotidiennement; c’est également un portable que je connecte en filaire sur la Freebox.
    Je suis pour l’instant toujours en mode sécurisé. Je me familiarise avec le logiciel.
    La mise en place de Comodo est intellectuellement intéressante mais, à moins d’être affuté en réseau, nécessite un temps certain d’apprentissage.

Lors de l’installation sur l’ordinateur C je pense ne pas :

  • avoir activé les DNS de Comodo. A priori quand je consulte les détails de connexion réseau il semble que c’est bien ce qui a été fait; dans "Détails de connexion réseau’ j’ai pour l’adresse DNS IPv4 192.168.0.254.
  • que le PC A était connecté à la Freebox; je n’en suis pas sûr.

Dans la barre des tâches j’ai :

  • A : nom de la Freebox, Accès internet
  • C : Réseau, Accès internet
    Cela ne semble pas poser problème mais je ne sais pas quelle en est l’origine. Comme je pointe rarement la souris à cet endroit je ne sais pas si c’est après l’installation de Comodo ou si c’était déjà le cas avant.

Ce qui a été surprenant lorsque j’ai supprimé Ethernet c’est que le process habituel : demande de suppression/demande de confirmation/suppression n’a pas été respecté; ça était demande de suppression/suppression.

[1] 7.4 : lors de l’installation vous proposez d’exporter la configuration puis de la réimporter. Quel est l’objectif de réimporter ?

Lors de l’analyse, Comodo a signalé 3 certificats dits malveillants dont 1 d’Avast. Si je fais “nettoyer” vont-ils bien en quarantaine ?

Merci encore pour toutes vos réponses.
Bien cordialement.

16

Bonsoir à domo 78 et à vous tous.

1/ Avez-vous rajouté l’autorisation TCP sortant vers le port 88 dans la règle prédéfinie « Navigateur internet » : cela rend-t-il possible l’accès à Maxifoot ?

2/ Lors de l’installation je propose l’exportation puis la réimportation de la configuration afin de travailler sur cette ré-importation et de laisser la configuration originelle en l’état : ce qui peut être bien utile en cas de pépin pour repartir sans être obligé de ré-installer. Faire également une sauvegarde à la la fin de la configuration de niveau 1 et à la fin d’un travail important de configuration ; en cas de problème on peut repartir de ces configurations intermédiaires sans avoir à tout reconfigurer.

3/ L’adresse 192.168.0.254 n’est pas l’adresse DNS mais celle de la passerelle. Dans la fenêtre « Détails » de la connexion (cf. [2] Annexe A 1.2.1) les adresses DNS se trouvent en face de l’intitulé « Serveurs DNS ». Si vous n’avez pas retenu la proposition de Comodo lors de l’installation ce sont les adresses DNS de votre fournisseur d’accès. Vous avez intérêt pour éviter les détournements de sites Web à les remplacer par celles de Comodo : 156.154.70.25 et 156.154.71.25 pour la France métropolitaine (cf. ma 1ère réponse en 4/).

4/ Lorsque vous réinstallerez Comodo sur l’ordinateur A, essayez de suivre très précisément le tutoriel [1], cela vous évitera des mécomptes: chaque préconisation a sa raison d’être et a été scrupuleusement pesée.

Par ailleurs lorsque vous voulez faire un essai sans Comodo il est beaucoup plus simple de ne pas le désinstaller mais de le désactiver le temps nécessaire à votre essai après avoir réactivé la pare-feu Windows.

5/ Lorsque l’on se connecte tantôt en filaire, tantôt en Wi-Fi il est normal qu’il y ait 2 connexions différentes au niveau du Centre Réseau et partage.

6/ Soyez prudent, ne supprimez pas une connexion lorsque cela n’est pas nécessaire, ne modifiez pas sans raison un mécanisme Windows, ne bloquez pas un service Windows dont vous ne connaissez pas la raison d’être, mais choisissez alors la règle « Application limitée autorisée » (cf. [2] 10.1.1. d/ p 52) en attendant de vous renseigner sur Internet (en utilisant de préférence votre navigateur dans le container de Comodo et en évitant soigneusement les propositions de scans de votre ordinateur par des sites Web qui sont parfois malveillants).

7/ Pour les certificats dits malveillants par Comodo, si ceux-ci concernent votre antivirus ou une application que vous utilisez et connaissez bien choisissez « De confiance » (il s’agit en fait très couramment d’un certificat qui n’a pas été renouvelé à temps ou émis par une autorité de configuration qui n’est pas reconnue ; certains éditeurs de virus s’attribuent même eux-même un certificat). Si vous faites Nettoyer ils vont effectivement en quarantaine : Run A Rating Scan, Virus Scan, Scan My PC | Internet Security.

8/ Il y-a eu un scandale Avast en janvier dernier : celui-ci revendait les données confidentielles qu’il récoltait sur les ordinateurs des utilisateurs de l’antivirus. Il vaudrait peut-être mieux choisir un autre antivirus gratuit ou payant.

9/ Effectivement Comodo est une suite bénéficiant d’un formidable pare-feu, mais un certain temps d’apprentissage en mode sécurisé peut être nécessaire lorsque l’on n’a pas l’expérience du Réseau et du pare-feu : c’est pour cela que j’ai rédigé de manière détaillée ces 2 tutoriels, n’hésitez pas à les relire, agissez de manière progressive et surtout méthodique.

Cependant lorsque vous êtes en mode sécurisé, évitez de trop intervenir sur les règles de programmes car vous ne bénéficiez pas alors des précieux conseils des alertes du mode personnalisé. Ne tardez donc pas trop, pour plus de sécurité, à passer au niveau 2, en mode personnalisé, dès que vous vous sentirez un peu plus expérimenté et que vous aurez mis en place de manière complète le Niveau 1 (cf. [2] 9) et les règles prédéfinies (cf. [2] 10.1 à 10.4).

Bon courage dans cette entreprise passionnante.

Bien cordialement

Lancelot du lac

17

Bonsoir : réponse à domo 78
Donc si je comprends bien :
1/ pour l’accès à Maxifoot, problème résolu par ajout de la règle “Autoriser TCP sortant vers port 88”, ce qui veut dire que ce site utilise le protocole d’authentification Kerberos pour autoriser l’accès à son site ;
2/ très bien pour l’utilisation d’export-Import des configurations et l’utilisation que vous en faites ;
3/ il vaut mieux que vous n’ayez pas supprimé Ethernet dans le Centre Réseau et partage ;
4/ évitez de toucher et de modifier les zones Réseaux ; veillez seulement à ce que " Activer la détection automatique des réseaux privés" soit coché ;
5/ normalement la fameuse fenêtre en [1] 5.4 apparait en fin d’installation de Comodo ou quelque temps après ; et également lorsque le pare-feu détecte un nouveau réseau : comme vous avez supprimé la zone Ethernet, cette fenêtre devrait réapparaître lorsque Comodo aura besoin de rétablir la zone Ethernet (peut-être lors d’une liaison Wi-Fi) : à ce moment vous sélectionnerez votre localisation et surtout vous ne cocherez pas la case “Ne plus détecter de nouveaux réseaux” ;
6/ la copie que vous me joignez a-t-elle été établie avant toute modification de la connexion réseau ou après ? La liaison à Internet fonctionne-t-elle avec la connexion ainsi programmée ? Ne touchez à rien avant que je ne connaisse votre réponse et puisse éventuellemnt vous conseiller.
Bonne soirée
Lancelot du lac

18

Bonjour Lancelot,

Cette copie a été faite après l’installation de Comodo FW.
Les adresses indiquées sont identiques à celles obtenues avant l’installation de Comodo et celles obtenues ce matin.

Bien cordialement

19

Réponse de Lancelot du lac

Félicitations à Domo78 pour cette observation attentive et judicieuse :

1/ ce que vous décrivez est normal en effet le trafic sortant est d’abord soumis aux règles de programmes avant de l’être aux règles globales (cf. [2] 3 p 17) ; ainsi les lignes de blocage concernent Firefox et Edge, c’est-à-dire, comme vous le signalez justement, la règle prédéfinie “Navigateur internet” (et uniquement ici la sous-règle « Bloquer et consigner toutes les autres requêtes ») et non Windows Operating System pour la règle globale 6 de blocage non consignée d’UDP sortant vers le port 1900 ;

2/ personnellement je n’observe pas ces règles de blocages, probablement parce que j’ai désactivé le service Windows dangereux « Découverte SSDP » qui fonctionne avec le port 1900 ;

3/ la première solution, la moins pertinente, consisterait à s’attaquer au seul symptôme en ajoutant dans la règle prédéfinie « Navigateur internet » une sous-règle « UDP sortant vers port 1900 : bloqué, non consigné » et à placer cette sous-règle au dessus des autres règles de blocage : vous n’auriez ainsi plus de ligne de blocage répertoriée dans le Journal, mais le service dangereux « Découverte SSDP » resterait en activité ;

4/ la seconde et, seule solution pertinente, est en fait de désactiver le service Windows dangereux « Découverte SSDP » et, tant que vous y êtes , les deux services qui en dépendent « Hôte de périphérique UPnP » et « Service de Réseau du lecteur Windows Media » : si nécessaire, consultez l’Annexe B « Gestion des services Windows » qui détaille la démarche à suivre pour désactiver ces services ;

5/ je suppose que la solution proposée au paragraphe 4 ci-dessus devrait résoudre le problème (et assurer une meilleure sécurité de votre ordinateur) : merci de me signaler s’il en est bien ainsi ou si le problème persiste après cette démarche.

Bien cordialement de Lancelot du lac

Édit ZorKas Moderator: Liaison et rappel du sujet avec citation.(S.V.P Poser les questions à l’intérieur du sujet désignant le tuto de Lancelot du Lac)

20

Bonjour Lancelot,

Merci pour votre retour.

J’avais bien compris le fonctionnement, en sortie d’abord les règles du programme ensuite les règles globales.
C’est pour cette raison que j’avais mis en exergue la règle globale dans mon post car je ne voyais pas ce qui bloquait dans la règle “Navigateur internet”.

Il semble que je n’avais pas intégré un point du fait de mes connaissances réseaux limitées.
Si j’ai bien compris votre réponse, la sous règle « Bloquer et consigner toutes les autres requêtes » de “Navigateur internet” qui bloque le protocole IP doit bloquer également les protocoles supérieurs TCP et UDP. Ça je ne l’avais pas intégré.

J’avais écrit ce post suite à l’impossibilité de passer une commande sur un site internet. C’était la première commande que je passais sur ce PC et j’avais dû la passer sur mon autre PC où il n’y a pas Comodo. J’en ai conclu trop rapidement certainement qu’il y avait un problème avec Comodo.
J’ai pu passer hier une commande sur le site de la FNAC et je n’ai eu aucun problème même s’il y a toujours les blocages UDP 1900 mais cela n’empêche pas le déroulement de la transaction.
Le problème est donc spécifique au premier site.

Bien cordialement