Cet article est une ébauche concernant un logiciel libre et la sécurité informatique.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
Consultez la liste des tâches à accomplir en page de discussion.
Cet article ne cite pas suffisamment ses sources ().
Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ».
En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?
Pour les articles homonymes, voir IPF.
| Dépôt | [cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter] |
|---|---|
| Écrit en | C |
| Système d'exploitation | Type Unix |
| Type | Pare-feu à états |
| Licence | Licence publique générale GNU et licence BSD |
IPFilter (ou IPF) est un module logiciel qui fournit des fonctions de pare-feu à de nombreux systèmes d'exploitation Unix, Linux ou BSD.
Il peut être intégré au noyau Unix, ou être chargé dynamiquement comme module de celui-ci.
Son auteur et mainteneur est Darren Reed.
Particularités
- Deux configurations sont chargées en mémoire : une active et une inactive. Le basculement de l'une à l'autre est automatique. C’est-à-dire que l'on peut tester une nouvelle configuration, la tester pendant un certain temps puis revenir automatiquement en arrière à l'aide d'une simple ligne de commande : ipf -s ; sleep 10 ; ipf -s. Quasiment aucun pare-feu commercial n'implémente de solution de ce type ;
- Comme il fonctionne sur beaucoup de systèmes multiplate-formes de type UNIX, il n'y a pas beaucoup de matériel sur lequel on ne peut pas faire tourner IPFilter (simple PC, gros serveur avec CPU RISC, PlayStation, Macintosh…)
- IPFilter est très utilisé et bien documenté. Il est facile d'obtenir de l'aide sur les forums ;
- Pour des raisons de sécurité, IPF fait le minimum d'inspection de service dans le noyau. En effet l'inspection de service étant complexe, tout bogue pourrait permettre la prise de contrôle de la machine. Seuls les protocoles très utilisés (comme FTP, H323 et IKE) sont inspectés dans le noyau. Pour inspecter tout autre service, il faut installer un proxy qui, lui, tourne en espace utilisateur ;
- Le fait que IPF (comme PF) fasse peu d'inspection de service, tout en imposant l'utilisation de proxy est gênant pour des raisons de performances, mais aussi quand il manque un proxy pour un protocole. Par exemple, il n'y a pas de proxy pour RPC ;
- Comme la plupart des pare-feu libres, IPF ne gère pas IPsec, les proxys, les IDS, les serveurs d'authentification ainsi que d'autres technologies que les pare-feux commerciaux ont l'habitude de gérer. Pour faire cela, il faut utiliser d'autres modules BSD qui se configurent à part ;
Systèmes d'exploitation
IPFilter est intégré à :
Il était intégré dans les versions OpenBSD inférieures à 3.0, avant d'être remplacé par Packet Filter à cause d'un changement de licence (celui-ci étant lié à un conflit entre Reed et les développeurs OpenBSD).
Systèmes d'exploitation sur lesquels IPFilter fonctionne :
- 386BSD 1.1 à 4 ;
- FreeBSD 2.0.0 à 2.2.8 ;
- IRIX 6.2 et 6.5 ;
- HP-UX 11.00 (IPFilter 4.0alpha*) ;
- Linux 2.4 à 2.6 ;
- NetBSD 1.0 à 1.4 ;
- OpenBSD 2.0 à 3.5 ;
- QNX 6 port ;
- Solaris et Solaris-x86 2.3 à 10 ;
- SunOS 4.1.3 à 4.1.4 ;
- Tru64 5.1a.
- UnixWare 7.1.x à UnixWare 7 Definitive Edition (SCO/XINUOS)
Voir aussi
Les autres pare-feux libres
- Linux Netfilter, pare-feu libre des noyaux Linux 2.4 et 2.6.
- Linux Ipchains, pare-feu libre du noyau Linux 2.2.
- Packet Filter ou PF, pare-feu libre d'OpenBSD.
- Ipfirewall ou IPFW, pare-feu libre de FreeBSD.
