Passer au contenu

Netfilter assure la sécurité ” stateful ” du noyau Linux 2.4

Avec plus de un an de retard, le noyau de Linux 2.4 est enfin arrivé, avec de nombreux changements pour le monde des réseaux et de la sécurité. Cela se traduit par le lancement de Netfilter, une nouvelle architecture de sécurité modulaire et extensible.

La communauté Linux peut se réjouir. Le noyau Linux 2.4, tant attendu par les développeurs, est disponible depuis le début de l’année. Les améliorations sont nombreuses. Elles touchent à la fois le monde des réseaux purs (sur lequel nous reviendrons prochainement) et celui de la sécurité. Netfilter représente le nouveau cadre de sécurité fourni avec le noyau Linux 2.4.

Un traitement épuré des datagrammes

C’est Paul Russell qui a écrit Netfilter en travaillant plus de douze mois sur le projet. Il a été, par le passé, le père d’ipchains. Sa réécriture du filtrage prend en compte certains reproches que l’on faisait aux chaînes IP, notamment en matière de complexité. “Elle est due, en partie, au fait que le masquage IP et la traduction d’adresses ont été développés indépendamment des firewalls et que ce code n’a été incorporé que plus tard “, expliquent Olaf Kirsh et Terry Dawson, auteurs du livre Administration réseau sous Linux, aux éditions O’Reilly. Et d’ajouter : “La chaîne input décrivait l’entrée au niveau de la couche réseau dans son ensemble. Elle ne faisait pas de distinction entre les datagrammes destinés à la réception par un hôte et ceux qu’elle routait vers un autre. Les chaînes de réception et d’émission se confondaient, et ce qui portait sur les datagrammes à expédier suivait toujours les chaînes d’entrée.” Conclusion : pour traiter les datagrammes IP en réception ainsi qu’en émission, l’administrateur devait construire des règles complexes mutuellement exclusives.Netfilter améliore fortement cet état de fait en créant un cadre général au niveau du noyau, ce qui simplifie et épure le traitement des datagrammes. De plus, il offre la possibilité d’étendre la politique de filtrage sans qu’il soit nécessaire d’intervenir sur le noyau proprement dit. Ce changement majeur n’a pas de conséquence fâcheuse puisque Netfilter est capable d’émuler ipfwadm et ipchains avec une compatibilité descendante. Il n’est possible de charger qu’un seul module à la fois. Iptables, de son côté, est l’outil qui sert à configurer les règles de filtrage de Netfilter. Si sa syntaxe est proche de celle d’ipchains, il en diffère fondamentalement de par son extensibilité possible grâce à des bibliothèques partagées.

Un atout : conserver l’état de la connexion

Parmi les atouts de Netfilter se trouve, sans conteste, la possibilité de conserver l’état de session d’une connexion. Pour Jay Beale, directeur de l’équipe sécurité de MandrakeSoft, “cette capacité permet à Netfilter de bloquer et de détecter des scans furtifs qui n’étaient pas décelés sur les coupe-feu Linux “, explique-t-il à un de nos confrères américains. Et d’ajouter : “Même avec le protocole sans état UDP, le fait de conserver l’état de la connexion est une caractéristique très utile… notamment pour les requêtes DNS.” La configuration des serveurs DNS et Bind constitue un point critique, qui a dernièrement causé beaucoup d’ennuis à Microsoft… Parmi les avantages, il est désormais possible d’offrir certaines limites à des correspondances de règles. À titre d’exemple, on pourra limiter le nombre de paquets SYN provenant d’une seule source afin d’éviter une attaque de type SYN Flooding.Ajoutons, enfin, que Netfilter fournit un système de logs évolué. Cela se traduit par huit niveaux de sévérité (debug, info, notice, warning, error, crit, alert et panic) et l’ajout d’un message personnalisé au log. Le tout est fondé sur des règles que l’administrateur aura créées. Bref, les hommes de la sécurité ont tout pour adopter le noyau 2.4, de Linux.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager