Journal Nouveau document sur la sécurisation des pare-feu Netfilter

Posté par (page perso) . Licence CC by-sa
Tags :
29
29
nov.
2011

Un nouveau document sur la sécurisation des pare-feu Netfilter/Iptables vient de paraître. Appelé "Secure use of iptables and connection tracking helpers", il contient une présentation du concept des assistants du suivi de connexions, des dangers qui leur sont associés et présente un ensemble de bonnes conduites à adopter lorsque l'on écrit sa politique de filtrage. Ce document a été rédigé par des contributeurs majeurs de Netfilter et votre serviteur.

Sa lecture est très fortement recommandée pour l'ensemble des utilisateurs de Netfilter car l'application des recommandations permet de contrer certaines attaques et d'améliorer les politiques de filtrage mise en place sur les pare-feu Netfilter.

  • # EPUB

    Posté par (page perso) . Évalué à 8.

    Ce n'est pas un document très long, mais serait-il possible d'avoir une version EPUB ? Ou peut-être une version HTML épurée téléchargeable, ce qui, vu la taille du documente, reviendrait sensiblement au même ?

    • [^] # Re: EPUB

      Posté par (page perso) . Évalué à 4.

      Bonne idée.

      Je viens de mettre à jour la page qui contient maintenant des liens vers les fichiers HTML et PDF ainsi que vers les sources.

    • [^] # Re: EPUB

      Posté par . Évalué à 4.

      • [^] # Re: EPUB

        Posté par (page perso) . Évalué à 4.

        Farpait. Note quand même que l'EPUB peut quand même être intéressant, même pour un document court qui n'a pas besoin de sommaire. Cela permet par exemple d'indiquer le titre et l'auteur.

        • [^] # Re: EPUB

          Posté par (page perso) . Évalué à 2.

          Question de béotien: qu'apporte l'EPUB par rapport à du HTML?
          La balise "title" permet d'indiquer le titre, et une "meta"-balise l'auteur (que l'on peut également renseigner dans le contenu du HTML affiché).

          • [^] # Re: EPUB

            Posté par (page perso) . Évalué à 3.

            Le mardi 29 novembre 2011 à 18:37 +0100, Sylvain Briole a écrit :
            > Question de béotien: qu'apporte l'EPUB par rapport à du HTML?

            il est lu sur certaines liseuse electronique qui ne lisent pas forcement
            le html (sic)

            • [^] # Re: EPUB

              Posté par (page perso) . Évalué à 1.

              certaines liseuse electronique qui ne lisent pas forcement le html

              Ça existe ça ?

              • [^] # Re: EPUB

                Posté par (page perso) . Évalué à 7.

                Le HTML ? Oui, c'est un format assez répandu, surtout utilisé pour une partie d'Internet appelé le web.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: EPUB

                  Posté par (page perso) . Évalué à 1.

                  Quoi ! Première nouvelle ! Il y a une une différence entre le web et internet ?

                  Merci de nous prévenir la prochaine fois !

            • [^] # Re: EPUB

              Posté par . Évalué à 2.

              Mauvais matériel, changer matériel.

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: EPUB

            Posté par (page perso) . Évalué à 1.

            Plusieurs choses en fait, les principales étant à mon avis :

            • la possibilité d'utiliser plusieurs fichiers HTML, typiquement un par chapitre, pour les livres ;
            • la possibilité d'embarquer des images sans se farcir de Base64 ;
            • une table des matières qui indique l'ordre de lecture ;
            • un sommaire hiérarchique structuré (c'est à dire pas un page HTML avec des liens, mais un vrai format de description de sommaire).
            • [^] # Re: EPUB

              Posté par (page perso) . Évalué à 1. Dernière modification le 30/11/11 à 08:35.

              la possibilité d'utiliser plusieurs fichiers HTML, typiquement un par chapitre, pour les livres ;

              L’équivalent du <link rel="next" /> et <link rel="prev" /> etc. ?

              • [^] # Re: EPUB

                Posté par (page perso) . Évalué à 1.

                Je parlais des balises link avec les attributs rel="prev" et rel="next"

              • [^] # Re: EPUB

                Posté par (page perso) . Évalué à 1.

                la possibilité d'utiliser plusieurs fichiers HTML, typiquement un par chapitre, pour les livres ;

                Dans un seul fichier, parce que trimbaler plusieurs fichiers HTML en vrac, on fait plus pratique quand même.

                • [^] # Re: EPUB

                  Posté par . Évalué à 1.

                  Plutôt que de créer un nouveau format, n'aurait-il pas été plus simple de faire une archive Zip (ou tar) avec les pages HTML, les images, et les CSS ? Konqueror implémentait déjà un truc comme ça avec le format WAR.

                  En plus, il y aurait pu y avoir plusieurs CSS dont une pour l'affichage sur PC et l'une pour liseuse.

                  Bref, encore un exemple de Not Invented Here.

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                  • [^] # Re: EPUB

                    Posté par (page perso) . Évalué à 4.

                    Au risque de me répéter, dans un EPUB on peut mettre un sommaire structuré, qui est une fonctionnalité essentielle pour la lecture numérique. Et on peut aussi mettre des méta-informations.

                    Avec du HTML en vrac dans une archive ZIP, comment implémenterais-tu tout ça ? En ajoutant un fichier de sommaire et un fichier de méta-informations peut-être ? Et, au passage, en ajoutant un fichier mimetype non compressé en première position histoire que ce soit identifiable par file ? Eh bien, j'ai une bonne nouvelle : c'est EPUB, ça. Un conteneur ZIP, avec dedans des documents HTML, un fichier indiquant leur ordre de lecture et des méta-informations, un fichier indiquant le sommaire structuré, et un fichier mimetype.

                    • [^] # Re: EPUB

                      Posté par . Évalué à 2.

                      OK, autant pour moi je pensais que c'était un énième format binaire.

                      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                      • [^] # Re: EPUB

                        Posté par (page perso) . Évalué à 4.

                        Oh, non, au contraire. EPUB n'est pas parfait, évidemment, la preuve c'est qu'il vient d'en sortir une nouvelle version, qui est censée régler des problèmes et apporter des améliorations par rapport à la précédente.

                        En revanche, ce format EPUB cherche réellement à réutiliser l'existant : HTML pour le texte, ZIP pour le conteneur et des trucs provenant d'anciens formats pour le sommaire. D'ailleurs, EPUB 3 remplace au passage le format XML dédié au sommaire par du HTML5 en utilisant de nouvelles balises appropriées (nav), de façon à ce qu'il soit aussi bien lisible par une machine que par un humain.

                  • [^] # Re: EPUB

                    Posté par (page perso) . Évalué à 2.

                    En plus, il y aurait pu y avoir plusieurs CSS dont une pour l'affichage sur PC et l'une pour liseuse.

                    Je ne vois pas trop l'intérêt, mais je pense qu'on peut tout à fait utiliser les sélecteurs de média dans la feuille CSS.

              • [^] # Re: EPUB

                Posté par (page perso) . Évalué à 2.

                C'est bien, mais insuffisant :

                • c'est un peu plus complexe à analyser qu'un document structuré indiquant l'ordre de lecture, or ça doit être analysé à l'ouverture du livre pour compter les « pages¹ » ;
                • il faut de toute façon avoir en plus un sommaire hiérarchique structuré pour la navigation.

                ¹ En lecture numérique, la « page » est définie de façon abstraite comme un certain nombre de mots, histoire de pouvoir se repérer même si on change la taille d'affichage. :-)

        • [^] # Re: EPUB

          Posté par (page perso) . Évalué à 1.

          Comment puis-je en générer un facilement depuis mon format originel qui est le RestructuredText ?

          • [^] # Re: EPUB

            Posté par (page perso) . Évalué à 3.

            Avec pandoc.

            • [^] # Re: EPUB

              Posté par (page perso) . Évalué à 1.

              Merci, je viens juste d'essayer pandoc mais le tableau des listes des protocoles n'est pas bien rendu (présenté comme une suite de mots sans formatage).

  • # Pour ceux qui ne suivent pas

    Posté par (page perso) . Évalué à 4.

    Au cas où certains se posent la question, Netfilter/Iptables c'est le pare-feu de Linux, n'essayez pas le l'installer sur Windows ou OpenBSD.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # mistèques

    Posté par (page perso) . Évalué à 3.

    Je ne suis pas bilingue anglais, mais c'est bourré de fautes.
    Même si elles ne nuisent pas à la compréhension du document, c'est dommage.
    Une petite relecture permettrait de donner un peu plus de crédibilité au document.

    En tout cas le contenu en lui-même est très intéressant. Donc bravo pour m'avoir appris des choses utiles.

  • # Quelques questions

    Posté par . Évalué à 3.

    Ça tombe bien, j'avais justement quelques questions. Il est commun de mettre dans les première lignes de son pare-feu :

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    

    Ceci permet de ne pas s’embarrasser à gérer les paquets en relation avec ceux que l'on a déjà acceptés. Mais si je comprends bien, utiliser ainsi l'état RELATED peut s'avérer dangereux car le module ne permet pas toujours de filtrer correctement ?

    Une autre question concerne la mise en place du pare-feu. J'ai lu qu'il était plus efficace d'écrire un fichier iptables.rules lu ensuite par iptables-restore que de faire des appels répétés à iptables dans un script. Je pense que cela est vrai mais quelle est une (la ?) bonne façon de mettre en place son pare-feu ?

    Actuellement j'écris simplement mon fichier iptables.rules qui est lu au démarrage du système (ou manuellement).

    • [^] # Re: Quelques questions

      Posté par (page perso) . Évalué à 2.

      Ceci permet de ne pas s’embarrasser à gérer les paquets en relation avec ceux que l'on a déjà acceptés. Mais si je comprends bien, utiliser ainsi l'état RELATED peut s'avérer dangereux car le module ne permet pas toujours de filtrer correctement ?

      Oui, cette utilisation de RELATED ouvre grand les vannes car les modules de suivi de connexions peuvent permettre des connexions arbitraires. L'audit que j'ai réalisé semble indiquer qu'ils se comportent bien mais le degré de liberté est parfois très important. Il est donc très recommandé de limiter l'utilisation de RELATED en ciblant son usage sur des connexions que l'on connait (comme vers le serveur FTP dans la DMZ).

      Une autre question concerne la mise en place du pare-feu. J'ai lu qu'il était plus efficace d'écrire un fichier iptables.rules lu ensuite par iptables-restore que de faire des appels répétés à iptables dans un script. Je pense que cela est vrai mais quelle est une (la ?) bonne façon de mettre en place son pare-feu ?

      L'utilisation de iptables-restore permet de gagner énormément de temps. De plus, le changement de jeu de filtrage est atomique ce qui permet de ne pas avoir à gérer les états de transition.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.