Linux-kernel krijgt verbeterde firewall

Filtertechniek voor IPv6

22 februari 2005 | Remco Mourits Versie 2.6.12 van de Linux-kernel maakt stateful packet filtering mogelijk voor firewalls onder IPv6, de nieuwste versie van het Internet Protocol. Deze techniek maakt het netwerkverkeer een stuk veiliger.

Netfilter/iptables, de firewall-engine die onderdeel uitmaakt van de Linux-kernel, staat stateless packet filtering al wel toe voor IPv4 en IPv6.

Bij packet filtering onderzoekt de firewall of elk datapakketje wel voldoet aan de vastgestelde veiligheidsregels, alvorens wordt besloten of het wordt doorgelaten. Bij stateless packet filtering wordt daarbij niet gekeken naar de context. Er wordt gekeken of een pakketje op zich is toegestaan, maar verdachte patronen in de stroom van pakketjes worden niet opgemerkt.

Bij stateful packet filtering wordt wél naar die context gekeken. Deze beveiligingstechniek is dus veel slimmer en maakt een veel nauwkeuriger afstelling van de firewall mogelijk.

De Linux-kernel 2.6 staat stateful packet filtering wel toe onder IPv4, maar nog niet onder IPv6. Daar zal nu dus verandering in komen. De nieuwe beveiligingsoptie zal nog niet zijn opgenomen in de volgende stabiele versie van de Linux-kernel, versie 2.6.11, maar pas in de versie daarna. Deze versie 2.6.12 zal waarschijnlijk in mei of juni beschikbaar komen.

Het IPv6 packet filter, bekend onder de naam nf_conntrack, is voor tests beschikbaar via de Netfilter website.

Met een bijdrage van Ingrid Marson, ZDNet UK Lees meer artikels over : linux, kernel, firewall, ipv6

bron: ZDNet