Annexe E. Autres ressources et liens

Ici, une liste de liens vers les ressources dans lesquelles j'ai puisé l'information :

  • ip-sysctl.txt - Du noyau 2.4.14. Un peu court mais une bonne référence pour le contrôle IP.

  • InGate - InGate est un éditeur de pare-feux commercial qui utilise Linux comme base pour ses produits. Leurs produits vont du pare-feu basique jusqu'aux passerelles SIP et les machines QoS.

  • RFC 768 - User Datagram Protocol - La RFC officielle décrivant comment le protocole UDP devrait être utilisé, en détail, avec tous ses en-têtes.

  • RFC 791 - Internet Protocol - La spécification IP utilisée sur l'Internet, avec les ajouts et mises à jour. La base de IPv4.

  • RFC 792 - Internet Control Message Protocol - La documentation définitive pour les paquets ICMP. Toute l'information dont vous avez besoin sur le protocole ICMP, c'est là que vous devez regarder en premier. Écrit par J.Postel.

  • RFC 793 - Transmission Control Protocol - Documentation d'origine sur TCP. Ce document a été le standard sur TCP depuis 1981. Très technique, mais indispensable pour quiconque désire connaître TCP en détail. À l'origine un standard écrit pour le département US de la défense par J.Postel.

  • RFC 1122 - Requirements for Internet Hosts - Communication Layers - Cette RFC définit les applications nécessaires pour un hôte Internet, spécialement les couches communication.

  • RFC 1349 - Type of Service in the Internet Protocol Suite - RFC décrivant certaines modifications et clarifications du champ TOS dans l'en-tête IP.

  • RFC 1812 - Requirements for IP Version 4 Routers - RFC qui décrit le comportement des routeurs sur l'Internet. Très intéressant à lire.

  • RFC 2401 - Security Architecture for the Internet Protocol - RFC sur l'implémentation et la standardisation d'IPSEC. À lire si vous utilisez IPSEC.

  • RFC 2474 - Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers - Dans ce document vous trouverez comment Diffserv fonctionne, ainsi que la documentation nécessaire sur les modifications/changements du protocole TCP/IP relatifs au protocole Diffserv.

  • RFC 2638 - A Two-bit Differentiated Services Architecture for the Internet - Décrit comment implémenter deux services différenciés dans un seul. Écrit à l'origine par D.Clark et van Jacobsen pour le congrès IETH de Munich de 1997.

  • RFC 2960 - Stream Control Transmission Protocol - Protocole relativement nouveau développé par plusieurs entreprises de télécommunication en complément de UDP et TCP comme protocole de niveau couche 3 pour une grande faculté de récupération et fiabilité.

  • RFC 3168 - The Addition of Explicit Congestion Notification (ECN) to IP - RFC qui décrit comment fonctionne ECN et comment il doit être implémenté dans les protocoles TCP et IP. Écrit par K.Ramakrishnan, S.Floyd et D.Black.

  • RFC 3260 - New Terminology and Clarifications for Diffserv - Mémo sur les discussions du groupe de travail sur Diffserv à propos de la terminologie et ses améliorations et clarifications.

  • RFC 3286 - An Introduction to the Stream Control Transmission Protocol - Introduction à SCTP dans TCP/IP.

  • ip_dynaddr.txt - Issu du noyau 2.4.14. Courte référence à ip_dynaddr disponible via sysctl et proc file system.

  • iptables.8 - Pages du manuel iptables 1.3.1. Version HTML. Excellente référence sur la lecture/écriture des tables de règles. À toujours avoir sous la main.

  • Ipsysctl tutorial - Un autre didacticiel que j'ai écrit sur le système de contrôle IP dans Linux. Une tentative de listing complet des toutes les variables qui peuvent être implémentées dans Linux.

  • Policy Routing Using Linux - Excellent livre maintenant publié sur Internet, sur la stratégie de routage dans Linux. Très bien écrit par M.G.Marsh.

  • Security-Enhanced Linux - Site officiel de SELinux développé par la NSA (National Security Agency).

  • Firewall rules table - Un petit document PDF par S.Clark, une référence sur l'information nécessaire pour votre pare-feu, écrit de manière simple.

  • http://l7-filter.sourceforge.net/ - Le projet 17-filter est un ensemble de patches et de fichiers pour permettre à iptables et netfilter de gérer le filtrage au niveau couche 7, principalement pour le QoS et le contrôle de flux.

  • http://www.netfilter.org/ - Site officiel de Netfilter et iptables C'est un "must" pour qui travaille avec iptables et Netfilter dans linux.

  • http://www.insecure.org/nmap/ - Nmap est un des meilleurs, et plus connus, scanners de ports disponible. Très utile pour déboguer vos scripts.

  • http://www.netfilter.org/documentation/index.html#FAQ - FAQ officielle de Netfilter.

  • http://netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.html - Guide de R.Russells sur le filtrage de paquets. Excellente documentation sur les bases du filtrage avec iptables écrit par un des développeurs du noyau de iptables et netfilter.

  • http://netfilter.org/documentation/HOWTO/NAT-HOWTO.html - Guide de R.Russells sur la translation d'adresse (NAT).

  • http://netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html - HOWTO de R.Russels sur Netfilter Hacking. Une des rares documentations sur la façon d'écrire du code au niveau noyau et espace utilisateur dans Netfilter et Iptables.

  • http://www.linuxguruz.org/iptables/ - Page de liens sur Internet à propos de iptables et netfilter. Contient aussi une liste de scripts iptables. Très bon site.

  • Policy Routing using Linux - Le meilleur livre que j'ai jamais lu sur la stratégie de routage dans Linux. Écrit par M.G.Marsh.

  • Implementing Quality of Service Policies with DSCP - Lien sur l'implémentation DSCP de Cisco.

  • IETF SIP Working Group - SIP est une des "prochaines grandes évolutions" semble-t-il. À la base c'est de facto un des standards de la téléphonie sur Internet aujourd'hui. C'est horriblement complexe comme vous pouvez le voir à la masse de documentation sur la page du groupe de travail. Elle est utilisée principalement pour mettre en place des connexions pair-à-pair entre utilisateurs connus, par exemple pour connecter user@exemple.org et démarrer une connexion téléphonique vers cet utilisateur. C'est le groupe de travail de l'IETF qui maintient tous les travaux sur SIP.

  • IETF TLS Working Group - TLS est le modèle sécurité de la couche transport, un des mécanismes de sécurité les plus communs. Les versions courantes sont la 1.1 et la 1.2 avec de nouveaux et meilleurs protocoles de cryptage. C'est le standard pour l'envoi et la réception des clés publiques, la maintenance des certificats de sécurité, etc.

  • IPSEC Howto - IPSEC HOWTO officiel pour les noyaux Linux 2.6. Ce n'est cependant pas l'endroit pour trouver la documentation sur le fonctionnement des noyaux Linux 2.2 et 2.4 avec IPSEC. Pour ça, voir FreeS/WAN.

  • FreeS/WAN - Site officiel de Free/SWAN, et l'implémentation de IPSEC pour les noyaux Linux 2.2 et 2.4. Pour les noyaux 2.6 voir IPSEC Howto.

  • http://www.islandsoft.net/veerapen.html - Excellente discussion sur le renforcement de la sécurité dans iptables et comment faire quelques petites modifications pour ajouter automatiquement sur votre machine les sites hostiles dans une liste spéciale de bannis dans iptables. (NdT. Ce site ne semble plus actif).

  • /etc/protocols - Un exemple du fichier protocoles depuis une Slackware. Indique les divers protocoles comme IP, ICMP ou TCP.

  • /etc/services - Exemple du fichier services tiré d'une Slackware. Très bon à connaître pour les différents protocoles qui tournent sur les divers ports.

  • Internet Assigned Numbers Authority - L'IANA est l'organisme responsable de l'attribution des adresses dans les différents protocoles. Si quelqu'un a un ajout spécifique à faire à un protocole (exemple, ajouter une nouvelle option TCP), il doit contacter l'IANA, qui assignera les numéros nécessaires. Site très important.

  • RFC-editor.org - Excellent site pour retrouver les RFC rapidement. Fonctions de recherche de documents et information générale sur la communauté RFC (errata, nouvelles, etc.).

  • Internet Engineering Task Force - Un des groupes les plus importants pour la mise en place et la maintenance des standards Internet. Ils sont les seuls à maintenir les dépôts RFC, et constituent un groupe important d'entreprises et de personnes travaillant ensemble pour assurer l'inter-opérabilité de l'Internet.

  • Linux Advanced Routing and Traffic Control HOW-TO - Ce site héberge le Linux Advanced Routing and Traffic Control HOWTO. C'est un des documents les plus important pour le routage avancé sous Linux. Maintenu par B.Hubert.

  • Paksecured Linux Kernel patches - Site contenant tous les patches écrits par M.G.Marsh. Parmi d'autres, le patch FTOS est disponible ici.

  • ULOGD project page - Page d'accueil du site ULOGD.

  • The Linux Documentation Project - site très important pour la plupart des documents sur Linux. Si ce n'est pas sur TLDP, vous devrez chercher en détail sur Internet.

  • Snort - Système de détection d'intrusion par recherche de signatures de paquets.

  • Tripwire - Outil de sécurité pour la recherche d'intrusions.

  • Squid - Un des proxies web les plus connus. Open source et gratuit. Il effectue des tâches de filtrage avant le serveur web, et de cache web pour vos réseaux.

  • http://kalamazoolinux.org/presentations/20010417/conntrack.html - Cette présentation contient une excellente explication des modules conntrack et de leur utilité dans Netfilter.

  • http://www.docum.org - Excellente documentation sur CBQ, tc et les commandes ip dans Linux. Un des rares sites qui présente de la documentation sur tous ces programmes. Maintenu par S.Coene.

  • http://www.netfilter.org/mailinglists.html - Mailing-list officielle de Netfilter. Très utile pour le cas où vous auriez des questions non couvertes dans ce didacticiel.

Et bien sûr le source iptables, et les personnes et la documentation qui m'ont aidé.