Articles précédents : Logiciel
- [84] Sortie de GNOME 2.10
- [519] La brevetabilité des inventions mises en oeuvre par ordinateur adoptée par le Conseil
- [2] Mozilla 1.7.5 et Sunbird 0.2 en français
- [24] Les brevets logiciels dans décision-micro
- [115] GNOME 2.10 RC2
- [63] KDE 3.4 RC1
- [54] Sortie de la version 1.0.0 de Kerrighed
- [60] Firefox 1.0.1 et autres nouvelles Mozilliennes
- [18] ETF, UT 2004, America's Army, etc.
- [34] Sortie de Templeet 3.0
Liens connexes
- NuFW (2706 hits)
- NuFW download (1395 hits)
- Client windows (1867 hits)
- Interface de log (1226 hits)
- SSO NuFW (531 hits)
Dépêche modérée par
Dépêche éditée par
Logiciel : NuFW 1.0.0, le parefeu authentifiant pour Linux
Posté par Eric Leblond (page perso, ). Modéré le 09 mars 2005.
Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique.
![[en]](../../../images/en.png)
NuFW (2706 hits)![[fr]](../../../images/fr.png)
NuFW download (1395 hits)-
Client windows (1867 hits)
-
Interface de log (1226 hits)
-
SSO NuFW (531 hits)
> Lire la suite (28 commentaires, moyenne: 3,8). [dépêche : 1166 caractères]
- Le support de l'authentification sur les postes multi-utilisateurs
- Journalisation avancée de l'activité des utilisateurs, avec stockage des événements relatifs aux connexions dans une base SQL, le tout pouvant être interrogé avec une interface comme ulog-php.
- Authentification unique : grâce à des modules disposés sur les serveurs NuFW permet d'authentifier les utilisateurs sur les services de manière transparente. Des modules pour apache et squid existent déjà permettant notamment de réaliser un proxy transparent authentifiant.
La contrepartie de ces fonctionnalités est la présence d'un client léger sur les postes concernés.
Au menu des nouveautés de cette nouvelle version stable :
- Un protocole plus évolué qui supporte des fonctionnalités comme l'annonce des applications et de l'OS (et qui permet donc le filtrage suivant ces critères).
- Une authentification réalisée par SASL.
- Un chiffrement de tous les échanges avec TLS.
- De nouveaux modules de gestions des utilisateurs et des ACL
- Une refonte complète du code avec notamment un système de cache permettant d'accroître considérablement les performances
Petite question :
Qu'apporte une solution basée sur NuFW par rapport à 802.1x/Hostap (ou équivalent)/RADIUS ?
Ne serait-on pas en train de réinventer la poudre ?
Le client windows n'est pas sous GPL ? \o/
-
[^]Re: Petite question :
Posté par Misc (page perso, ) le 09/03/2005 à 22:01. (lien). Évalué à 6.> Qu'apporte une solution basée sur NuFW par rapport à 802.1x/Hostap (ou
> équivalent)/RADIUS ?
À vue de nez, mais vite fait :
le filtrage par applicatif ( ie tu autorise mozilla, pas konqueror ).
> Ne serait-on pas en train de réinventer la poudre ?
Non, je croit pas. Enfin si, mais pas dans cette news, dans celle plus bas peut être.
> Le client windows n'est pas sous GPL ? \o/
En effet.-
[^]Re: Petite question :
Posté par Eric Leblond (page perso, ) le 09/03/2005 à 22:13. (lien). Évalué à 7.On a en plus comme dit la news :
- Le support de l'authentification sur les postes multi-utilisateurs
Par exemple pour un serveur X, un serveur citrix, nufw sait gérer les permissions des utilisateurs séparément. Aucune des solutions citées ne permet de le faire puisqu'elles supposent toutes :
"Utilisateur==IP"
NuFW quant à lui fait une association au niveau des connexions et ce a posteriori. L'authentification réalisée est donc stricte et elle supporte les machines multiutilisateurs.
-
[^]Re: Petite question :
Posté par Gniarf () le 10/03/2005 à 01:29. (lien). Évalué à 8.> À vue de nez, mais vite fait :
> le filtrage par applicatif ( ie tu autorise mozilla, pas konqueror ).
que se passe-t'il si :
* la connexion se fait à travers une librairie, commune par exemple à mozilla & firefox, et qu'on veut en interdire un des deux ?
* l'application telle que vue par l'utilisateur utilise en fait perl ou python (ou ruby...) et se résume à un gros script par dessus ce dernier ? c'est alors perl (ou autre) qui se connecte.--
Windows has no users. It has hostages.-
[^]Re: Petite question :
Posté par LeMagicien Garcimore () le 10/03/2005 à 03:38. (lien). Évalué à 5.Je me pose une question similaire : comment fait-il pour détecter le nom de l'application ? il lui demande poliment ? :)
-
[^]Re: Petite question :
Posté par Pascal Terjan (Jabber id, page perso, ) le 10/03/2005 à 06:50. (lien). Évalué à 10.Comme dit l'annonce :
- Un protocole plus évolué qui supporte des fonctionnalités comme l'annonce des applications et de l'OS (et qui permet donc le filtrage suivant ces critères).
Donc en fait c'est la partie cliente qui annonce le nom. Ca n'a donc un intérêt que pour des machines bien sécurisées ou on est sur que l'utilisateur ne pourra pas toucher à cette partie...
Sinon « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » devient « Bill peut se connecter au serveur imap si il dit qu'il utilise Mozilla sous Linux 2.6.10 ».-
[+] [^]Re: Petite question :
Posté par Greg () le 10/03/2005 à 08:39. (lien). Évalué à -3.A la fois s'il utilise autre chose que Mozilla, il n'aura pas accès au serveur imap
" Bill peut se connecter au serveur imap *que* s'il utilise Mozilla sous Linux 2.6.10 "-
[^]Re: Petite question :
Posté par Matthieu Moy (page perso, ) le 10/03/2005 à 11:22. (lien). Évalué à 3.Justement non, le serveur ne peut pas authentifier de manière sure l'application distante (sauf avec une partie hardware à la TCPA/NGBSC). Une autre application peut se faire passer pour une autre, simplement en envoyant les mêmes paquets. Pour pouvoir authentifier l'applie, il faut qu'il y ai quelque part une clé secrete qui ne soit accessible qu'a certaines applies.i
-
[^]Re: Petite question :
Posté par Eric Leblond (page perso, ) le 10/03/2005 à 11:52. (lien). Évalué à 5.C'est en partie vrai, mais ce n'est pas l'application qui communique les informations au serveur d'authentificaton de NuFW, mais le client logiciel qui utilise les ressources systèmes pour déterminer quelle est l'application à l'origine d'un flux.
La compromission pourrait venir donc d'un client qui n'utilise pas les informations systèmes et non de l'application. Par conséquent (comme je l'ai déjà écrit) sur un système sécurisé où les binaires sont controlés il est difficile de prendre le système en défaut.
-
-
-
[^]Re: Petite question :
Posté par Eric Leblond (page perso, ) le 10/03/2005 à 09:27. (lien). Évalué à 6.Excellente analyse. On est sûr de de l'identité de l'utilisateur mais on lui fait confiance en ce qui concerne l'application. De plus, si il y a mensonge on peut savoir de quel utilisateur cela provient (par un recoupement entre les logs nufw en SQL et les logs des services par exemple)
Je tiens tout de même à signaler que cette fonctionnalité va dans le sens d'un renforcement de la sécurité :
Le flux est nécessairement ouvert sur n'importe quel type de parefeu. Ici, on est capable de restreindre ce flux suivant un critère, cela renforce donc la sécurité.
De plus, sur des machines sécurisées où l'on fait tourner en tant que service le client d'authentification, les informations concernant l'application peuvent être considéré comme étant fiable. L'utilisateur n'ayant pas le droit de lancer ses propres logiciels. (sous Linux on peut aussi utiliser des fonctionnalités de grsecurity comme la restriction à l'exécution de programmes détenus par root)
-
-
-
-
Socks v5
Heu un proxy Socks V5 + un firewall traditionnel ne ferait-il pas l'affaire ?
<quote>SOCKS adds the flexibility to manage the network through access control policies based on user, application, and time, in addition to source and destination addresses</quote>
Bon ok, pour l'application je crois qu'il se base sur le(s) port(s) utilisé(s) mais ça évite d'installer une application sur le poste client. Mais par contre, ça limite aux applications qui supportent Socks.
-
[^]Re: Socks v5
Posté par PasChauve PasOunet () le 10/03/2005 à 13:10. (lien). Évalué à 3.Mais par contre, ça limite aux applications qui supportent Socks.
Pas forcément, il suffit d'utiliser un encapsuleur socks.-
[^]Re: Socks v5
Posté par Eric Leblond (page perso, ) le 10/03/2005 à 13:21. (lien). Évalué à 2.> Pas forcément, il suffit d'utiliser un encapsuleur socks.
et donc de paramétrer toutes les applications des utilisateurs pour utiliser cette encapsuleur ?
Les désavantages de socks sont de plus nombreux, puisque l'on a en fait un proxy applicatif. Il peut donc difficilement traiter efficacement des flux gigabits entre par exemple des serveurs et la zone utilisateurs. NuFW quant à lui n'a aucun impact sur la bande passante d'un firewall car l'ensemble des paquets de datas sont directement pris en charge par netfilter. Je ne parlerais pas non plus de la problématique de masquage des IP sources avec socks (proxy oblige) qui complique sérieusement la gestion des logs et permissions sur les serveurs.
On peut aussi parler des avantages de NuFW en terme de :
- authentification unique
- qualité de service et routage par utilisateur-
[^]Re: Socks v5
Posté par PasChauve PasOunet () le 10/03/2005 à 14:48. (lien). Évalué à 2.et donc de paramétrer toutes les applications des utilisateurs pour utiliser cette encapsuleur ?
Pourquoi veux-tu configurer tes applications ?? l'encapsuleur sert a justement aux applis qui n'ont pas de support socks.
-
[^]Re: Socks v5
Posté par Barnabé () le 11/03/2005 à 07:04. (lien). Évalué à 2.NuFW quant à lui n'a aucun impact sur la bande passante d'un firewall car l'ensemble des paquets de datas sont directement pris en charge par netfilter
Sauf que NuFW met tous les paquets dans une table de hachage dans l'espace utilisateur, ce qui implique une recopie, que les paquets y sont maintenus le temps de décider si ils doivent être acceptés ou rejetés, et que cela a un coût non négligeable sur les performances.
Ce coût est inférieur a priori à celui d'un proxy applicatif, mais il n'est pas nul.-
[^]Re: Socks v5
Posté par Eric Leblond (page perso, ) le 11/03/2005 à 07:27. (lien). Évalué à 2.Non, ma phrase est correcte :
NuFW n'authentitifie que les initialisations de connexions. L'ensemble des paquets datas (après le paquet SYN par exemple pour TCP) sont pris en charge comme n'importe quel paquet directement par Netfilter. NuFW n'a donc aucun impact sur la bande passante.
Son seul impact est à l'initialisation des connexions authentifiées où l'ensemble du processus d'authentification a lieu.-
[^]Re: Socks v5
Posté par Barnabé () le 11/03/2005 à 08:25. (lien). Évalué à 5.Bon, autant pour moi, la prochaine fois, en plus du source du programme, je regarderais le manuel d'administration.
P.S : j'ai bien dit autant pour moi, sans ignorer la probabilité non négligeable de me faire rabrouer par quelque linguiste rigoriste, et le cas échéant, je défendrai ce choix.-
[+] [^]Re: Socks v5
Posté par Raphaël SurcouF (Jabber id, page perso, ) le 11/03/2005 à 13:41. (lien). Évalué à -1.On dit "au temps pour moi", d'abord !
Et puis c'est vendredi ! ;-)
-
-
-
-
-
Dans le MISC n°18 :)
Un article nommé "Introduction à NuFW" de quelques pages est consacré ce soft dans le MISC n°18 (le dernier) pour ceux qui seraient intéréssés plus avant :)
Libre??
Ce firewall est très alléchant sur le papier. En GPL V2 en plus. Mais quand on va un peu plus loin on apprend que :
Le firewall est en GPL
Le client linux est en GPL
Mais le client windows est sous license propriétaire
le module apache SSO idem
Le module squid SSO itou
Donc, l'intérêt est tout de suite beaucoup plus limité. C'est un produit libre destiné à faire acheter du proprio?
Que cherche à faire cette société? Si elle fait du libre, qu'elle vende le service (formation, installation), pas les logiciels..
J'ai toujours du mal à comprendre ce type de démarche, elles en correspondent pas du tout à ce que j'attends d'un produit libre.
Mais quelqu'un pourra peut être "défendre" NuFW :)
Bonne journée à tous!
-
[^]Re: Libre??
Posté par Bernard Massot () le 10/03/2005 à 20:18. (lien). Évalué à 3.Mais le client windows est sous license propriétaire
le module apache SSO idem
Le module squid SSO itou
Je ne sais pas où tu as vu que les modules apache et squid n'étaient pas libres, mais c'est faux.
J'ai toujours du mal à comprendre ce type de démarche, elles en correspondent pas du tout à ce que j'attends d'un produit libre.
Peut-être ont-ils les même motivations que le développeur de gcompris, c'est-à-dire inciter (et non forcer) les gens à utiliser un OS libre, ce qui ne me choque pas du tout. D'ailleurs leurs licences n'empêchent personne d'écrire un client microsoft windows libre.
-
[^]Re: Libre??
Posté par _gryzor_ () le 10/03/2005 à 20:25. (lien). Évalué à 5.Oui, libre !!! NuFW est et sera toujours libre.
La philosophie de développement de nufw est claire : promouvoir le libre. D'ailleurs contrairement à ton post qui révèle une visite plutot rapide du site, les modules SSO pour apache et squid sont tous les deux libres et distribués sous GPL. Les modules SSO pour plateforme libre qui suivront le seront également.
En ce qui concerne le client windows, on peut considérer cela comme une manière d'encourager Linux sur la station de travail, certainement pas une tentative d'abus. Je te rappelle que les gens qui utilisent Windows ont déja fait le choix d'utiliser un OS propriétaire. Au demeurant, assez peu de gens qui pronent fortement le libre (et nous faisons partie de cette catégorie) à qui nous avons parlé de ce modèle de développement pour l'O$ de Redmont en ont été choqués.
Je dois dire que NuFW dans son ensemble est issu d'un développement tiré au départ de notre temps personnel, et a été un vrai plaisir à développer ; ce qui n'est pas le cas des clients windows, qui sont plutôt une contrainte, et assez pénibles.
J'espère que ceci eclaircit un peu notre position. Dans tous les cas NuFW sur plateforme libre est et restera libre à 100%.
A+
Vincent-
[^]Re: Libre??
Posté par Swirly () le 10/03/2005 à 23:30. (lien). Évalué à 1.Je plaides coupable pour la visite trop rapide et l'erreur sur les modules SSO. Mes excuses.
Pour ce qui est du client windows, j'aurais pensé que NuFW pouvait être intéressant à incorporer dans une solution libre de pare-feu pour les établissements scolaires, mais le problème du client windows payant rend la diffusion problématique.
Certes, cela pourrait pousser à l'utilisation de client linux, mais les choses étant ce qu'elle sont dans le milieu scolaire, c'est pas gagné :(
Bon, il va falloir que je regarde plus sérieusement pour savoir ce qui est possible quant on a pas le client... Est ce que le firewall fonctionne alors comme un firewallde base, tant pis pour l'authentification? ça pourrait fournir un plus intéressant ("si vous êtes sous widows, c'est un firewall tout bête, mais sous linux, on peut gérer des droits fins...")
En tout cas, bravo pour ce qui est déjà fait sous license GPL. Je vous souhaite une franche réussite et espère qu'un jour, les prestations de service vous permettront de tout laisser libre
Librement votre.
Swirly-
[^]Re: Libre??
Posté par Eric Leblond (page perso, ) le 11/03/2005 à 08:45. (lien). Évalué à 4.NuFW est une surcouche de Netfilter, on choisit les flux à authentifier de manière très fine (utilisation de la cible QUEUE de Netfilter).
Malheureusement, il n'est pas possible de dire, et même dangereux, de dire : "si ce n'est pas un Linux alors on autorise", mais on peut très bien considéré que ce qui est autorisé authentifié pour les postes GNU/Linux peut être tout simplement refusé pour les postes windows.
Cependant, s'il est possible de séparer les machines Windows et les machines GNU/Linux sur le réseau (2 plages d'IP différentes par exemple), on peut établir des règles d'accès très restrictives sur les Windows (on a alors un firewall netfilter standard) et de l'autre côté, utiliser l'authentification sur les postes clients GNU/Linux pour donner un peu plus de liberté aux utilisateurs de systèmes libres.
-
[^]Re: Libre??
Posté par Raphaël SurcouF (Jabber id, page perso, ) le 11/03/2005 à 13:50. (lien). Évalué à 5.Pour ce qui est du client windows, j'aurais pensé que NuFW pouvait être intéressant à incorporer dans une solution libre de pare-feu pour les établissements scolaires, mais le problème du client windows payant rend la diffusion problématique.
Certes, cela pourrait pousser à l'utilisation de client linux, mais les choses étant ce qu'elle sont dans le milieu scolaire, c'est pas gagné :(
Pourquoi ? Parce qu'ils n'ont pas de budget pour s'équiper ?
Franchement, vu les sommes qu'ils engagent parfois pour des projets bien plus couteux, ce serait vraiment des économies de bouts de ficelle. S'ils voulaient vraiment réduire le déficit, ils devraient déjà commencer par harmoniser leurs dépenses au lieu que ce soit fait par service et qu'on se retrouve avec des disparités telles que deux fois le prix d'un poste de travail d'un service à l'autre...
Tu ne serais pas l'un de ces pauvres professeurs honteusement exploités pour s'occuper du réseau informatique de l'école, faute de personnel et parce que tu as eu la curiosité de regarder plus que les autres ?-
[^]Re: Libre??
Posté par Swirly () le 11/03/2005 à 15:15. (lien). Évalué à 2.Prof exploité... oui et non, je me défends, on m'a déchargé correctement, ce qui n'est pas souvent le cas...
Le problème vient surtout des logiciels métiers. Nos élèves de STT doivent utiliser SAGE-SAARI et Ethnos qui ne sont pas sous linux...
On pourrait trouver des équivalents sans doute, mais alors il faudrait former les enseignants , et ils n'ont pas franchement envie. Beaucoup de prof de STT sont d'anciens profs de dactylo ou de droit qu'on a forcé à faire de l'informatique et qui n'en avait aucune envie... Alors, ils ont des fiches toutes prêtes (merci Fontaine Picard et ses ... en or) qu'ils distribuent aux élèves. Elles parlent de word 2003, pas d'openoffice, elles parlent de Sage Saari, pas de Grisbi...
Il y a de plus en plus de profs plus jeunes et mieux formés, mais la résistance est sévère. Avec l'argument "Nos IPRS nous ont dit que"
ou "C'est ça qu'il y a dans les entreprises" (oui mais dans 5 ans???)
Je n'approuve pas, je constate (en étant désolé...)
Bonne journée à tous :)
Swirly-
[^]Re: Libre??
Posté par Raphaël SurcouF (Jabber id, page perso, ) le 11/03/2005 à 16:03. (lien). Évalué à 2.Je compatis à ton pauvre sort... Au moins, tu as du courage. ;-)
Par contre, si l'on peut comparer sans rougir OpenOffice.org à Microsoft Office 2003, jene pense pas qu'on puisse en faire autant avec Sage Saari et Grisbi, malgré tout le bien que je pense de ce dernier qui me sied d'ailleurs très bien pour ma comptabilité personnelle. Mais voilà, il a surtout été conçu pour faire de la comptabilité personnelle et associative (le développeur principal gère environ 13 associations, je crois) mais pour ce qui est de la comptabilité professionnelle, je pense qu'il doit manquer encore de fonctionnalités (je ne suis pas expert, loin de là mais si quelqu'un pouvait en dresser le tableau...).-
[^]Re: Libre??
Posté par Guillaume CASTAGNINO (page perso, ) le 11/03/2005 à 19:51. (lien). Évalué à 2.Effectivement, mais ce n'est pas le but : c'est un logiciel de compta perso, et n'a pas la prétention d'etre un logiciel de compta professionnelle. Il lui manque la double écriture, essentielle pour ces cas, et ça demanderait une très importante réécriture...
-
-
-
-
-
Cette page a été générée par Templeet en 0.1469s (dont 0.0359 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.