Le Berkeley Packet Filter (BPF) ou Berkeley-Filter est intéressant pour tous les systèmes d’exploitation unixoïdes tels que Linux. L’action principale de la « machine virtuelle à usage spécial », développée en 1992, est de filtrer les paquets de données des réseaux et les intégrer dans le noyau du système d’exploitation. Le BPF constitue une interface pour la sauvegarde des couches d’unités de données ou de programmes. Les couches de sécurité ont pour tâche d’assurer la transmission fiable des paquets de données et de contrôler l’accès à ces paquets.
Lorsqu’un de ces paquets de données parvient au destinataire, le BPF lit les données des couches de sauvegarde du paquet et recherche les erreurs, par exemple. Cela permet au destinataire de les corriger. Il peut également comparer les données avec les définitions des filtres et ainsi accepter ou rejeter un paquet qui n’est pas considéré comme pertinent. Ceci peut permettre d’économiser beaucoup de capacité de calcul.
Pour intégrer ses fonctions, le Berkeley Packet Filter a été intégré comme interprète de langage machine au sein d’une machine virtuelle. En conséquence, le BPF exécute un format prédéfini d’instructions. En tant qu’interprète, le filtre de Berkeley lit les fichiers sources, les analyses et exécute instruction par instruction. Il traduit ensuite les instructions en code machine pour une exécution directe.
Le filtre de Berkeley utilise les SysCalls, qui sont des appels à des fonctions spécifiques du système, prêtes à l’emploi, afin de faire des requêtes au noyau. Le noyau vérifie les droits d’accès avant d’accepter ou rejeter la demande. Les quelques 330 Linux SysCalls sont les suivants :
Le Berkeley-Filter peut fonctionner à la fois en mode noyau (accès maximal aux ressources de la machine) et en mode utilisateur (accès limité aux ressources informatiques)
Avec eBPF, vous pouvez filtrer les paquets de données pour éviter que des données non pertinentes ne ralentissent les performances de votre PC. Les enregistrements de données inutilisables ou incorrects peuvent ainsi être rejetés ou réparés dès le départ. En outre, le BPF étendu offre une sécurité accrue grâce aux SysCalls (appels systématiques) - vous pouvez facilement mesurer vos performances ou les suivre grâce aux appels du système.
En 2007 déjà, la mise en œuvre du BPF a été étendue par les « Zero copy buffer extensions ». Grâce à ces extensions, les pilotes de périphériques peuvent enregistrer les paquets de données capturés directement dans le programme sans avoir à copier les données au préalable.
En mode utilisateur, vous pouvez définir des filtres individuels pour l'interface du Berkeley-Filter à tout moment. Dans le passé, les codes correspondants étaient écrits manuellement et traduits en un bytecode BPF. Aujourd'hui, grâce au LLVM Clang Compiler, il est possible de traduire directement les bytecodes.
Les bibliothèques du noyau d'exploitation contiennent également des exemples de programmes qui simplifient la définition des programmes eBPF. Diverses fonctions d’aide vous simplifient le travail.
Les vérificateurs de sécurité de l'eBPF
L’exécution d’appels système dans le noyau est toujours associée à certains risques de sécurité et de stabilité. Avant qu’un eBPF SysCall ne se charge, il doit passer un certain nombre de contrôles :
Les types SysCall traitent en gros quatre fonctions : où le programme peut être joint, quelles fonctions d'aide du noyau peuvent être appelées, si les données par paquets du réseau sont accessibles directement ou non et quel type d’objet est transmis avec priorité dans un appel système.
Actuellement, les types de SysCall eBPF suivants sont pris en charge par le noyau :
On affirme beaucoup de choses sur Linux : son système serait plus sûr que celui de Windows mais aussi bien plus compliqué. Jusqu’à maintenant, ce système open source est très peu présent sur les ordinateurs personnels. En revanche, il est très répandu pour l’exploitation de serveurs. Que révèle-t-il et à qui profite l’installation d’un système d’exploitation Linux ?
Si vous utilisez votre propre serveur ou si vous le louez, il est de votre responsabilité de le protéger contre les défaillances et contre les accès externes. Si vous disposez des droits d'administration nécessaires, la première étape est directement réalisée lors de la configuration du serveur. Des paramètres corrects contribuent à augmenter le niveau de sécurité du serveur, en particulier avec...
Sous Linux, les actions que vous exécutez à l’aide de la souris dans l’interface utilisateur peuvent également être effectuées par des appels de programme dans le terminal. Pour cela, il faut tout de même connaître les commandes du terminal Linux et savoir les utiliser selon les bonnes syntaxes. Cet article est une aide pour commencer à travailler avec le terminal. Vous y trouverez une vue...
DevSecOps est l’approche idéale pour développer des logiciels avec une grande rapidité sans avoir à faire de compromis sur la sécurité. Les questions de sécurité sont directement intégrées dans le processus de développement. Voici un aperçu des avantages et inconvénients de cette solution, ainsi que des différentes possibilités d’applications de ce système.
Offrez un service performant et fiable à vos clients avec l'hébergement web de IONOS.
Voir les packs
