Exploitability: Netfiter et iptables

samedi 19 septembre 2009

Netfiter et iptables

Le firewall linux, Netfilter et son outil de configuration iptables ont été validés par l'ANSSI, ex DCSSI:

Le 9 septembre 2009, certification au titre de la CSPN du logiciel Netfilter. L'ANSSI a remis à la Netfilter Core Team un certificat au titre de la CSPN pour le logiciel Netfilter sur un noyau linux v2.6.27 - iptables v.1.4.2.
L'ANSSI a donc certifié Netfilter/iptables.

Le noyau est un peu ancien (le 2.6.31 vient de sortir, à ce sujet un exploit existe déjà pour passer root de manière locale), iptables existe en version 1.4.5 mais je suis très intéressé par cette nouvelle.

Néanmoins quelques points m'étonnent:

1/
Il est évalué:

Filtrage IP « avec états » ou « stateful »
Les états suivants ont été évalués :
• NEW pour nouvelle connexion ;

Mais plus loin, il est clairement dit:

Lors des tests il a été noté que les paquets ayant le drapeau « ACK » activé sont acceptés en tant que nouvelle session s’ils ne correspondent pas à une session en cours.
Pour éviter l’acceptation de ces paquets et ne laisser passer que les paquets TCP « SYN », il est nécessaire de spécifier l’option « --syn » aux règles correspondant aux états « NEW ».

Est-ce en dehors de la spécification ou non? Selon moi, oui. Un paquet ayant le drapeau ACK activé ne devrait pas être accepté en tant que nouvelle session... Bug ou pas Bug?

2/
Messages sybillins. Hélas, dans le texte, plusieurs fois reviennent ce genre de messages:
2.3.4.2 Avis d’expert sur la résistance des mécanismes
Les mécanismes de sécurité sont robustes.

Sans plus d'explications, ce que je trouve dommage. Peut-être qu'un autre document précise l'ensemble de tests effectués.

3/
Mécanismes cryptographiques:
2.4 Analyse de la résistance des mécanismes cryptographiques
Le produit évalué ne comporte pas de mécanismes cryptographiques.

Et pourtant le produit évalué contient bien un mécanisme cryptographique :-) mais c'est une boutade, je pense à la cible XOR définie dans les ajouts d'iptables.

Donc bonne nouvelle pour Netfilter/iptables, c'est un outil de qualité, sa certification vient confirmer officiellement ce fait.

Aucun commentaire:

Enregistrer un commentaire

Achievements Unlocked

SSTIC:

2014 : Haka, un langage orienté réseaux et sécurité

RMLL:
2013: Le chiffrement de disque sous linux, deuxième round.

2012: L'accès à internet est un sport de combat.

2011: Certificats openSSH: gérez vos identités dans l'espace et dans le temps.
2010: Le chiffrement de disque sous linux, vrai ou faux sentiment de sécurité?

MISC:
2012: Le talon d'Achille de la plausible deniability
2011: Openssh, un protocole ouvert au chiffrement et fermé aux attaques. (Hors série)
2010: Route par défaut.
2009: Les conséquences de la faille MD5

Linux Magazine:

2012: Mysql administration

2011: Compiler son noyau linux
2010: Le boot d'un système linux
2009: Lguest, un virtualiseur simple
2009: Le système de fichiers ext4
2008: Le chiffrement de disque sous linux
2007: Installation d'une solution de mail globale à gestion centralisée
2005: Sécurisation antivirale des flux HTTP, HAVP
2005: Sécurisation antivirale des flux POP3, p3scan

Linux magazine Hors Série:
2008: Le protocole SMTP par les RFC