Gérez vos listes avec le framework IPset et le pare-feu Netfilter

Magazine
Marque
GNU/Linux Magazine
Numéro
221
Mois de parution
décembre 2018
Domaines


Résumé
La brique pare-feu Linux (Netfilter) n'est plus à présenter. Le framework IPset est relativement méconnu bien qu’utilisable conjointement avec Netfilter. Nous proposons dans cet article de présenter le mode de fonctionnement et l'utilisation de ce framework intégré au noyau Linux ainsi que ses principaux avantages pour gérer certains cas de filtrage réseau avec Netfilter.

IPset est un framework de gestion de listes d’informations embarqué en standard dans le noyau Linux à partir de 2.6.39 et pouvant être administré par l'utilitaire ipset. IPset propose de stocker différents types d'informations sous forme de listes, comme des adresses IP, des adresses MAC, des numéros de port TCP/UDP, des noms d'interface réseau et toute autre combinaison entre ces derniers. Le premier avantage venant à l'esprit est la flexibilité de l'utilisation de ce framework, puisqu'il sera aisé de mettre à jour ces listes qui pourront alors être utilisées par Netfilter sans avoir à changer de règle. Le deuxième avantage étant plus lié au mode de construction des listes IPset puisqu'en reposant sur des tables de hachage, le parcours d'une information comme une adresse IP sera extrêmement plus rapide que ce qui est classiquement réalisé par Netfilter lors de nombreuses règles successives pour contrôler des listes d'adresses IP.

IPset a été développé...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Sécurisation du serveur

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Notre serveur RHEL est désormais fin prêt à être utilisé et maintenu, sans peine et de manière confortable. Cependant, notre travail n’est pas terminé. Il nous reste encore un élément crucial à valider : nous assurer que le serveur est aussi sûr et protégé que possible face à un éventuel assaillant mal attentionné.

CVE-2020-3153 : élever ses privilèges grâce au télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Cet article explique comment développer un exploit pour la CVE-2020-3153, une élévation de privilèges à l’aide d’un « path traversal » dans le client Cisco AnyConnect pour Windows (avant la version 4.8.02042). Après une brève présentation de ce produit et de son fonctionnement, nous étudierons cette vulnérabilité et verrons comment elle peut être exploitée.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.

Désamorcer des bombes logiques

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Aujourd’hui, les développeurs de code malveillant sont capables de contourner les mesures de sécurité et les techniques d’analyse les plus poussées grâce à de simples mécanismes appelés « bombes logiques ». Un exemple significatif est le Google Play qui accepte toujours des applications malveillantes pouvant déjouer ses barrières de sécurité. Cette introduction aux bombes logiques permet de sensibiliser sur les différentes solutions pouvant être mises en place pour détecter ces artifices.

Introduction au dossier : Télétravail : comment ne pas sacrifier la sécurité ?

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Le dossier du précédent numéro traitait du concept de « Zero Trust ». Le numéro actuel est en quelque sorte une suite logique : nous passons d’un idéal où l’accès distant est possible « par design », à une réalité où il a fallu faire des choix fonctionnels et être conciliant avec la sécurité.