Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

cariboo

firewall applicatif et linux

Messages recommandés

salut,

 

Ce post est plutot une reflexion qu une recherche.

 

Un firewall applicatif va entre autre permettre de contrôler quelles sont les connexions réseau que fait tel ou tel logiciel.

C'est typiquement ce que font des applications fonctionnant sous windows, tel que par exemple ZoneAlarm, TinyFirewall, etc... A chaque connexion que tente une application, ces firewall applicatifs vérifient que la connexion est autorisée, ou alerte l'utilisateur.

 

Un firewall linux, en revenche, travaille sur les paquets réseaux eux-même , c est moins gourmant mais on ne peut pas controler l accés des applications au net.

 

Pourquoi aucune distribution linux n a encore pensée à coupler ces deux technologies pour rendre le firewall encore plus efficace ?

Y a t il des problèmes de compatibilités pour implementer ces 2 méthodes ensembles ?

 

merci :P

Partager ce message


Lien à poster
Partager sur d’autres sites

extension de concordance owner:

http://www.netfilter.org/documentation/HOW...ng-HOWTO-7.html

 

l'extension cmd-owner :

http://www.netfilter.org/projects/patch-o-...mitted-ownercmd

 

seul souci, il n'y a pas de vérification de l'inode ni d'une signature numérique de l'exécutable en l'état

 

fireflier fait du contrôle d'application mais est stateless:

http://fireflier.sourceforge.net/features.html

 

en fouillant la liste de diffusion linux-kernel archives, on trouve un patch pour ipt_owner.c (voire un nouveau code ipt_program.c) qui permet d'ajouter la vérification de l'inode et du device de l'exécutable:

http://www.ussg.iu.edu/hypermail/linux/ker...409.1/0499.html

http://www.uwsg.iu.edu/hypermail/linux/ker...409.1/1142.html

 

mais l'affaire n'est pas si simple que cela (comme pour les FW windows, il existe toujours un moyen de passer outre ce pseudo-filtrage: injection de code, de thread, appel à différentes API que celles contrôlées,....)

 

l'extension owner combinée à une bonne utilisation des droits utilisateurs sur les différents exécutables, notamment le bit suid qui ne doit pas être positionné n'importe comment n'importe où par souci de convénience, permet de s'en sortir raisonnablement

 

liste des extensions netfilter (extra repository): http://www.netfilter.org/projects/patch-o-.../pom-extra.html

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×