Articles précédents : Sécurité
- [18] IDEALX publie OpenTrust PAM
- [42] Quand le logiciel propriétaire dérive : Skype comme les autres
- [6] Sortie de Nuface 1.2
- [106] Une faille majeure de la cryptographie courante
- [1] SSTIC 2007 : Appel à proposition
- [67] Faille de sécurité dans le pilote propriétaire Nvidia
- [97] Un dernier clou dans le cercueil du WEP
- [4] SSTIC 2006
- [8] Actualités des logiciels Mozilla
- [38] Graves problèmes de sécurité dans x.org
Liens connexes
- Résumé en français et en temps réel du Netfilter Workshop (489 hits)
- Netfilter Workshop résumé (57 hits)
- Site officiel de l'atelier Netfilter (71 hits)
- Netfilter (61 hits)
- INL (69 hits)
Dépêche modérée par
Dépêche éditée par
Sécurité : Compte rendu en temps réel de l'atelier Netfilter 2007
Posté par naotemp (). Modéré le 12 septembre 2007.
La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.
L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.
NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil iptables.
![[fr]](../../../images/fr.png)
Résumé en français et en temps réel du Netfilter Workshop (489 hits)![[en]](../../../images/en.png)
Netfilter Workshop résumé (57 hits)-
Site officiel de l'atelier Netfilter (71 hits)
-
Netfilter (61 hits)
-
INL (69 hits)
> Lire les commentaires (17 commentaires, moyenne: 2,2).
Merci
Très intéressant. Malheureusement je constate que ct_sync est encore bloqué
"Malheureusement, le projet n’a guère évolué depuis l’année dernière à cause du manque de temps et de développeurs"
Il existe maintenant d'autres projets, j'ai l'impression que ça part dans tous les sens.
Je me demande si je verrais un jour un systéme de réplication de session parfaitement fonctionnel sous Linux, de préférence intégré au projet netfilter.
Il ne manque plus que ça pour la HA de mes pare-feux netfilter
Dommage d'autant que ça fonctionne bien sous d'autres OS
-
[^]Re: Merci
Posté par Eric Leblond (page perso, ) le 13/09/2007 à 08:33. (lien). Évalué à 6.Cela avance effectivement vite actuellement.
conntrackd de Pablo Neira, membre de la Coreteam de Netfilter, est d'ors et déjà intégré à Netfilter puisqu'il se base sur du code déjà existant au niveau noyau.
Le projet est utilisable et n'attends plus que les utilisateurs.-
[^]Re: Merci
Posté par Frederic Bourgeois (page perso, ) le 13/09/2007 à 08:41. (lien). Évalué à 1.Je n'avais pas compris ça en regardant dans le résumé la liste des problèmes à résoudre pour conntrackd
En tout cas merci de l'info-
[^]Re: Merci
Posté par Misc (page perso, ) le 14/09/2007 à 08:53. (lien). Évalué à 2.Il y a même un ITP dans debian, mais ce qui bloque, c'est qu'il y a pas de releases des libs : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=403807
-
-
[^]Re: Merci
Posté par atmaniak (page perso, ) le 13/09/2007 à 13:27. (lien). Évalué à 1.N'y avait il pas quelques soucis au niveau performances, sur de gros firewall ?
--
PlexiWeb, l'hébergement simple et rapide - http://www.plexiweb.net/-
[^]Re: Merci
Posté par Victor STINNER (page perso, ) le 15/09/2007 à 11:31. (lien). Évalué à 3.Quand la table des connexions grossit, conntrackd va prendre jusqu'à 50% de CPU. Pablo travaille sur ce point noir, et il sera sûrement résolu à court terme.
-
-
Changement de leader de la Netfilter Coreteam
On apprend que Harald Welte laisse la place à Patrick McHardy à la tête du projet.
-
[^]Re: Changement de leader de la Netfilter Coreteam
Posté par Eric Leblond (page perso, ) le 14/09/2007 à 10:03. (lien). Évalué à 2.Laisse la place ? Non pas vraiment, il y a eu une élection et Harald s'est logiquement incliné devant Patrick qui a réalisé l'essentiel du travail sur Netfilter ces deux dernières années.
-
[^]Re: Changement de leader de la Netfilter Coreteam
Posté par Misc (page perso, ) le 15/09/2007 à 08:33. (lien). Évalué à 3.C'est bon signe ça, ça va enfin bouger. Même si on peut que reconnaitre le travail de Harald, les journées ne font que 24h, et il a le droit à des vacances pour tout ce qu'on lui doit ( gpl-violation, l'openmoko, etc ).
-
Module owner
A une époque, le module owner permettait de rajouter dans une règle quelque chose du type
-m owner --cmd-owner 'http'
J'utilsais cela sur mes serveurs debian pour que seul apt-get (et donc le sous processus de nom 'http') puisse allez sur le net chercher les mises à jour.
Certes, un utilisateur pouvait renommer lynx en http mais en pratique, il ne le faisait pas.
Bref, même si ce n'était pas super bien carré, je trouve que cela limitait pas mal ce qui était possible et donc ne pouvait qu'améliorer la sécurité tout en restant simple et clair.
Dommage que celui-ci ne fonctionne plus de nos jours. Je n'ai pas trouvé d'équivalent pour le moment.
-
[^]Re: Module owner
Posté par Victor STINNER (page perso, ) le 18/09/2007 à 20:12. (lien). Évalué à 3.La solution plus carré mais plus lourde à mettre en place est le parefeu NuFW :-)
-
[^]Re: Module owner
Posté par Sytoka Modon (page perso, ) le 19/09/2007 à 06:59. (lien). Évalué à 2.Cela, je l'avais bien compris ! Mais il faut avouer que le module owner était simple, rapide et marchait pas si mal pour 95% des cas. Bref, c'était un bon compromis à mon sens.
-
[^]Re: Module owner
Posté par Sytoka Modon (page perso, ) le 19/09/2007 à 07:31. (lien). Évalué à 2.Pour montrer le simplicité du module, juste un exemple que j'avais mis sur mes postes utilisateurs concernant acrobat. En effet, ce logiciel n'étant pas libre, on pouvait le suspecter d'aller sur le net à la solde d'adobe...
iptables -A OUTPUT --m owner --cmd-owner 'acroread' -j DROP
Voila, c'est tout bête mais en pratique, ca marchait. Je faisais cela avec tous les logiciels propriétaires que je devais installer sur les postes et finalement, il n'y en a pas tant que cela.
-
-
-
[^]Re: Module owner
Posté par nf nf () le 21/09/2007 à 11:31. (lien). Évalué à 1.cette extension netfilter 'owner' n'etait malheureusement pas fonctionnelle sur les machines SMP, d'ou son retrait.
Il existe un projet qui va plus loin dans cette idée, il se nomme network events connector http://www.synack.fr/project/cn_net/cn_net.html
Il pourrait clairement, d'apres ce que j'ai compris, etre utilisé pour faire un pare-feu personnel "maison", mais en tant qu'admin, je vois bien comment l'utiliser dans un reseau.
Le code est tres simple, et pour le moment les regles sont stockées dans une base de données SQL (postgresql ou sql), on est loin de cette usine a gaz qu'est nufw..
d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce systeme de pare feu est fonctionnel, faut voir ce que va donner ce projet-
[^]Re: Module owner
Posté par Sytoka Modon (page perso, ) le 21/09/2007 à 18:40. (lien). Évalué à 2.> cette extension netfilter 'owner' n'etait malheureusement pas
> fonctionnelle sur les machines SMP
Oui je le savais, même si je ne vois pas bien le rapport entre ce module et le SMP...
> Le code est tres simple, et pour le moment les regles sont stockées
> dans une base de données SQL
Je ne suis pas sur que cela soit des plus simple de faire un pare-feu avec postgresql par derrière... Cela ne me tente pas du tout d'installer un serveur SQL sur tous mes postes ! Si c'est SQLite, c'est différent, c'est juste une autre manière que d'utiliser la Berkeley DB et en plus, on peut utiliser une autre DB au cas ou...
> d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce
> systeme de pare feu est fonctionnel,
Même si j'en comprends l'esprit, ta phrase n'est quand même pas claire dans l'absolue.
Dans la pratique, je pense que nufw est intéressant mais avoir un pare-feu local à chaque poste est bien aussi. Surtout que pour moi il est facile avec cfengine de configurer 50 ou 100 postes ;-)-
[^]Re: Module owner
Posté par nf nf () le 22/09/2007 à 02:11. (lien). Évalué à 1.>> cette extension netfilter 'owner' n'etait malheureusement pas
>> fonctionnelle sur les machines SMP
> Oui je le savais, même si je ne vois pas bien le rapport entre ce module et le SMP...
Cest un probleme de lock: pour connaitre le owner, l'astuce de l'extension c'est d'aller cherche la structure "file" relative au paquet skbuff, mais cependant, on ne peut pas "locker" cette structure pour l'utiliser depuis les "bottom halves" du kernel en SMP
>> Le code est tres simple, et pour le moment les regles sont stockées
>> dans une base de données SQL
> Je ne suis pas sur que cela soit des plus simple de faire un pare-feu avec
> postgresql par derrière... Cela ne me tente pas du tout d'installer un serveur SQL
> sur tous mes postes ! Si c'est SQLite, c'est différent, c'est juste une autre
> manière que d'utiliser la Berkeley DB et en plus, on peut utiliser une autre DB au
> cas ou...
Non l'idée de la base de données, c'est surtout qu'elle soit centralisée pour tous les postes bien sur.
Par contre pour une utilisation en station desktop, il existe un support sqlite3 effectivement.
> > d'apres l'auteur, il reste beaucoup de choses, a faire, mais ce
> > systeme de pare feu est fonctionnel,
> Même si j'en comprends l'esprit, ta phrase n'est quand même pas claire dans
> l'absolue.
Oui, virgule en trop.
Je voulais simplement dire que l'auteur pense encore beaucoup travailler dessus, mais il estime que l'architecture de base (notament la communication/le protocole kernel<->userspace) est stable
Son but est de faire mergrt ce systeme dans le kernel officiel.
> Dans la pratique, je pense que nufw est intéressant mais avoir un pare-feu local
> à chaque poste est bien aussi. Surtout que pour moi il est facile avec cfengine
> de configurer 50 ou 100 postes ;-)
Oui une des idées que je trouve tres interessante dans ce projet, c'est la possibilité que des machines d'un meme sous reseau puisse quand meme avoir une defense entre elles, ie un systeme de filtrage.-
[^]Re: Module owner
Posté par Sytoka Modon (page perso, ) le 22/09/2007 à 07:07. (lien). Évalué à 2.> Oui une des idées que je trouve tres interessante dans ce projet,
> c'est la possibilité que des machines d'un meme sous reseau puisse
> quand meme avoir une defense entre elles, ie un systeme de filtrage.
Je pense personnellement que l'on va tendre vers ce modèle. Avec la recentralisation des données sur des serveurs bien identifiés, il n'y a aucune raison que les machines se fassent confiance entre-elles.
Sur un réseau local, les machines ne devraient parler qu'aux serveurs ! C'est en partie ce qui me gène dans nufw, il ne résoud pas complètement la problématique.
-
-
-
Cette page a été générée par Templeet en 0.0895s (dont 0.009 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.