Par Xavier GRUSELLE et Grégory ALLAIN (Site optimisé pour Firefox 1.5)

Liens conseillés

• Détection d'intrusion Systèmes de détection d'intrusion: vocabulaire, terminologie, critère de choix, positionnement, utilité...
• La sécurité "by-design"Une vue d'ensemble sur la sécurité informatique par la société TWD Industries
• Présentation sur les IDSUne présentation simple mais efficace des systèmes IDS par la societe HSC
• Serveur-proxy type FirewallComme son nom l'indique : Qu'est ce qu'un serveur proxy de type Firewall
• HIDS/NIDSUn site trés complet sur les IDS et la sécurité informatique en général
• FAQ IDS (Anglais)Un FAQ complet sur les IDS et autres, malheureusement en anglais
• Définitions IDSUn rapide rappel sur les définitions liées aux IDS
• Site officiel de SquidComme son nom l'indique, le site officiel du célébre serveur proxy
• Wiki sur SquidUn court aperçu du logiciel avec quelques liens
• CCM - les IDSLe célébre site 'Comment ça marche' s'intéresse ici aux IDS
• Un tutorial sur les ACLsQu'est ce qu'une ACL, comment la modifier...Un paranorama sur les listes de contrôles d'accès
• Tenable Network SecurityLe site de la société Tenable Network Security Inc.
• Internet Security SystemsLe site de la société Internet Security Systems (ISS)
• Solution IPS CiscoUn apercu des solutions IPS proposées par la société Cisco
• Solution IDS EnteraSysUn apercu des solutions IDS proposées par la société EnteraSys Security

Netfilter & Iptables

1- Qu'est-ce que Netfilter ?

Netfilter est le nouveau firewall intégré au noyau 2.4.x de Linux. C'est le successeur d'Ipchains. Il permet de firewaller biensûr, mais aussi de faire du NAT (Network Address Translation, en remplacement d'IPMASQADM) et toutes sortes de modifications sur les paquets (mangling). Netfilter à été créé pour palier aux nombreuses carrences d'Ipchains qui n'était pas à l'aise avec les packets fragmentés et sourtout qui n'était pas statefull (il n'avait pas notion de l'état des connexions TCP). On va expliquer aussi ce dernier point dans les lignes avenir :). L'autre intéret de Netfilter est qu'il est très modulaire ce qui permet à de nombreux développeurs de créer des sortes de plug-ins qui permettre d'étendre de manière impressionnante ses capacités. Il existe tellement de modules qu'on ne peut plus simplement parler de Netfilter comme d'un simple filtre à packets, c'est un système complet de routage, filtrage, proxy, repartition de charge (couplé aux autres fonctionnalités du noyau Linux) qui est de loin supérieur à une grande majorité de firewalls commerciaux dédiés (CheckPoint, Nokia, Nortel etc ... ). Malgrès sa quantité impressionnante de fonctionnalités, il a connu beaucoup moins de failles de sécurité que plusieurs de ses collèges. Ce n'est pas le seul produit efficace qu'on puisse trouver, il y a aussi l'excellent IpFilter (et Pf son clone un peu jeune sur OpenBSD 3.0) qui permet de faire du NAT et qui est lui aussi statefull. Il a moins de fonctionnalités que Netfilter mais il represente lui aussi une solution très complète lorsqu'il est utilisé en complément de Altq (solution de QoS et de Load Balancing pour *BSD).

2- Installation et configuration

On a présenté rapidement Netfilter; nous allons donc pouvoir commencer à tester ses différentes fonctionnalités. Les notions associées à celles-ci (NAT, Masquerading, state maching ... ) seront décrites au fur et à mesure du document ... On va commencer par installer iptables ( la partie userland de Netfilter) puis on va configurer Linux et son noyau pour pouvoir router les paquets et utiliser Netfilter, ensuite on abordera ses fonctions de base. Nous réaliserons ensuite une configuration complète de firewall qu'on pourrait trouver en production. La dernière partie nous familiarisera avec quelques uns des modules supplémentaires disponibles.

Dream © 2006