samedi 19 septembre 2009

Netfiter et iptables

Le firewall linux, Netfilter et son outil de configuration iptables ont été validés par l'ANSSI, ex DCSSI:

Le 9 septembre 2009, certification au titre de la CSPN du logiciel Netfilter. L'ANSSI a remis à la Netfilter Core Team un certificat au titre de la CSPN pour le logiciel Netfilter sur un noyau linux v2.6.27 - iptables v.1.4.2.
L'ANSSI a donc certifié Netfilter/iptables.

Le noyau est un peu ancien (le 2.6.31 vient de sortir, à ce sujet un exploit existe déjà pour passer root de manière locale), iptables existe en version 1.4.5 mais je suis très intéressé par cette nouvelle.

Néanmoins quelques points m'étonnent:

1/
Il est évalué:

Filtrage IP « avec états » ou « stateful »
Les états suivants ont été évalués :
• NEW pour nouvelle connexion ;

Mais plus loin, il est clairement dit:

Lors des tests il a été noté que les paquets ayant le drapeau « ACK » activé sont acceptés en tant que nouvelle session s’ils ne correspondent pas à une session en cours.
Pour éviter l’acceptation de ces paquets et ne laisser passer que les paquets TCP « SYN », il est nécessaire de spécifier l’option « --syn » aux règles correspondant aux états « NEW ».

Est-ce en dehors de la spécification ou non? Selon moi, oui. Un paquet ayant le drapeau ACK activé ne devrait pas être accepté en tant que nouvelle session... Bug ou pas Bug?

2/
Messages sybillins. Hélas, dans le texte, plusieurs fois reviennent ce genre de messages:
2.3.4.2 Avis d’expert sur la résistance des mécanismes
Les mécanismes de sécurité sont robustes.

Sans plus d'explications, ce que je trouve dommage. Peut-être qu'un autre document précise l'ensemble de tests effectués.

3/
Mécanismes cryptographiques:
2.4 Analyse de la résistance des mécanismes cryptographiques
Le produit évalué ne comporte pas de mécanismes cryptographiques.

Et pourtant le produit évalué contient bien un mécanisme cryptographique :-) mais c'est une boutade, je pense à la cible XOR définie dans les ajouts d'iptables.

Donc bonne nouvelle pour Netfilter/iptables, c'est un outil de qualité, sa certification vient confirmer officiellement ce fait.

mercredi 2 septembre 2009

Les sites gouvernementaux...

Le surf sur internet peut toujours réveler quelques surprises:
$ host www.interieur.gouv.fr
www.interieur.gouv.fr is an alias for \
cdn.cdn-tech.com.c.footprint.net.

cdn.cdn-tech.com.c.footprint.net \
has address 205.128.69.93
Je trouve toujours cela curieux que les organismes gouvernementaux n'hébergent pas leurs machines et leurs serveurs.

Maintenant, ne voyons pas forcément le mal de partout. Découpons donc l'alias de l'adresse.
footprint.net, c'est Level3 (un des gros fournisseurs d'accès à internet, si l'on peut dire). cdn.cdn-tech.com est une société française (non le site de l'intérieur n'est pas noyauté par des américains). CDN signifie Content Delivery Network, c'est un système ou les ressources web sont dupliquées et dispersées dans le monde. Ainsi, les clients accèdent toujours à des données proche d'eux géographiqument.

Donc, cela signifie que le ministère de l'intérieur fait une sorte de haute disponibilité DNS et web pour héberger ses pages et ainsi augmenter la résilience de son site web.

Cela est donc tout à son honneur.

Mais externaliser son site web, c'est aussi s'exposer à des problèmes. La compromission de l'hébergeur est la première chose qui vient à l'esprit, mais d'autres petits bugs peuvent survenir

Or donc, le site https://www.interieur.gouv.fr

Offre une erreur, comment dire, intéressante..

Si à 50 ans vous êtes au gouvernement et que vous n'avez pas une montre Cartier, c'est que vraiment, vous n'avez pas réussi votre infrastructure :-)

PS: Curieusement, Cartier n'a pas de site web correspondant à ces domaines. Le certificat est valide depuis le 28/08/2009 (3 jours, donc) . Peut-être que Cartier est en train de batir une boutique on-line.

EDIT: 04/09/2009. Le site https://www.interieur.gouv.fr ne redirige plus chez Cartier. Il ne redirige d'ailleurs sur rien. Le site www.interieur.gouv.fr n'est disponible qu'en HTTP, pas en HTTPs.