Cette partie conclue ce (long !) chapitre sur le firewall de Linux qu'est Netfilter. Comme vous avez pu le voir, le mise en place d'un tel firewall nécessite l'apprentissage de quelques notions. Mais par la suite, l'implémentation est somme toute assez facile. La vraie avancée de Netfilter sur d'autres solutions logicielles non libres est la technique du suivi de connexion, qui permet un réglage très fin des flux de données entrant et sortant. Mais ne vous y fiez pas : croire que le "conntrack" et son principe de "trou noir", appelé aussi technique "stealth" ("furtif" en français), est la protection absolue en terme de sécurité est risquée, très très risqué même. En effet, même si il est très difficile pour un intrus de tester votre adresse IP, vous laissez vous-même des traces sur Internet. Le seul fait de lire en ligne cette documentation permet au serveur web qui la publie de déterminer quelle est votre adresse IP. Car forcément, il faut bien qu'il sache où vous envoyer la page HTML que vous avez demandé. De même, lorsque que vous êtes sur IRC ou que vous faites du "chat" en ligne ("discussion" en français), vous fournissez votre adresse IP. Enfin, lorsque vous envoyez un email, l'adresse IP de votre machine y apparaît la plupart du temps. Pour toutes ces situations, un intrus qui a flairé votre présence connaîtra votre adresse IP, du moins le temps de votre connexion, et il pourra toujours tenter de se forer le passage à travers votre Netfilter. N'allez donc pas narguer des intrus en herbe sur des forums IRC de "l'undeground", sous prétexte que vous avez configuré le firewall de votre Linux ! . De plus, gardez en tête que tout logiciel que vous utilisez, ce navigateur avec lequel vous lisez cette page, votre client IRC, votre application de mails, etc..., est une faille de sécurité potentielle. Donc une trame "officiellement" destinée à votre application, et qui à ce titre passe à travers votre Netfilter, peut s'avérer en fait être une malicieuse attaque de "buffer overflow", destinée à commettre le pire sur votre machine. Et ceci est encore plus vrai lorsqu'il s'agit d'un logiciel serveur que vous avez lancé sur votre machine, et dont vous voulez laisser l'accès à l'extérieur. Pour conclure, les chapitres II et III que nous venons de voir vous permettrons de mieux sécuriser votre machine, et de cesser sa ressemblance à un gruyère. A vous maintenant de vous maintenir au courant des progrès en matière de sécurité, et bien sûr d'attaques, afin d'éviter qu'une souris ne s'y fasse un petit trou ! |