Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique. NuFW permet en plus :
- Le support de l'authentification sur les postes multi-utilisateurs
- Journalisation avancée de l'activité des utilisateurs, avec stockage des événements relatifs aux connexions dans une base SQL, le tout pouvant être interrogé avec une interface comme ulog-php.
- Authentification unique : grâce à des modules disposés sur les serveurs NuFW permet d'authentifier les utilisateurs sur les services de manière transparente. Des modules pour apache et squid existent déjà permettant notamment de réaliser un proxy transparent authentifiant.
La contrepartie de ces fonctionnalités est la présence d'un client léger sur les postes concernés.
Au menu des nouveautés de cette nouvelle version stable :
- Un protocole plus évolué qui supporte des fonctionnalités comme l'annonce des applications et de l'OS (et qui permet donc le filtrage suivant ces critères).
- Une authentification réalisée par SASL.
- Un chiffrement de tous les échanges avec TLS.
- De nouveaux modules de gestions des utilisateurs et des ACL
- Une refonte complète du code avec notamment un système de cache permettant d'accroître considérablement les performances
Aller plus loin
- NuFW (40 clics)
- NuFW download (42 clics)
- Client windows (14 clics)
- Interface de log (9 clics)
- SSO NuFW (7 clics)
# Petite question :
Posté par nextgens (site web personnel) . Évalué à 8.
Ne serait-on pas en train de réinventer la poudre ?
Le client windows n'est pas sous GPL ? \o/
[^] # Re: Petite question :
Posté par Misc (site web personnel) . Évalué à 6.
> équivalent)/RADIUS ?
À vue de nez, mais vite fait :
le filtrage par applicatif ( ie tu autorise mozilla, pas konqueror ).
> Ne serait-on pas en train de réinventer la poudre ?
Non, je croit pas. Enfin si, mais pas dans cette news, dans celle plus bas peut être.
> Le client windows n'est pas sous GPL ? \o/
En effet.
[^] # Re: Petite question :
Posté par Eric Leblond (site web personnel) . Évalué à 7.
- Le support de l'authentification sur les postes multi-utilisateurs
Par exemple pour un serveur X, un serveur citrix, nufw sait gérer les permissions des utilisateurs séparément. Aucune des solutions citées ne permet de le faire puisqu'elles supposent toutes :
"Utilisateur==IP"
NuFW quant à lui fait une association au niveau des connexions et ce a posteriori. L'authentification réalisée est donc stricte et elle supporte les machines multiutilisateurs.
[^] # Re: Petite question :
Posté par Gniarf . Évalué à 8.
> le filtrage par applicatif ( ie tu autorise mozilla, pas konqueror ).
que se passe-t'il si :
* la connexion se fait à travers une librairie, commune par exemple à mozilla & firefox, et qu'on veut en interdire un des deux ?
* l'application telle que vue par l'utilisateur utilise en fait perl ou python (ou ruby...) et se résume à un gros script par dessus ce dernier ? c'est alors perl (ou autre) qui se connecte.
[^] # Re: Petite question :
Posté par LeMagicien Garcimore . Évalué à 5.
[^] # Re: Petite question :
Posté par Pascal Terjan (site web personnel) . Évalué à 10.
- Un protocole plus évolué qui supporte des fonctionnalités comme l'annonce des applications et de l'OS (et qui permet donc le filtrage suivant ces critères).
Donc en fait c'est la partie cliente qui annonce le nom. Ca n'a donc un intérêt que pour des machines bien sécurisées ou on est sur que l'utilisateur ne pourra pas toucher à cette partie...
Sinon « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » devient « Bill peut se connecter au serveur imap si il dit qu'il utilise Mozilla sous Linux 2.6.10 ».
[^] # Re: Petite question :
Posté par Greg (site web personnel) . Évalué à -3.
" Bill peut se connecter au serveur imap *que* s'il utilise Mozilla sous Linux 2.6.10 "
[^] # Re: Petite question :
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
[^] # Re: Petite question :
Posté par Eric Leblond (site web personnel) . Évalué à 5.
La compromission pourrait venir donc d'un client qui n'utilise pas les informations systèmes et non de l'application. Par conséquent (comme je l'ai déjà écrit) sur un système sécurisé où les binaires sont controlés il est difficile de prendre le système en défaut.
[^] # Re: Petite question :
Posté par Eric Leblond (site web personnel) . Évalué à 6.
Je tiens tout de même à signaler que cette fonctionnalité va dans le sens d'un renforcement de la sécurité :
Le flux est nécessairement ouvert sur n'importe quel type de parefeu. Ici, on est capable de restreindre ce flux suivant un critère, cela renforce donc la sécurité.
De plus, sur des machines sécurisées où l'on fait tourner en tant que service le client d'authentification, les informations concernant l'application peuvent être considéré comme étant fiable. L'utilisateur n'ayant pas le droit de lancer ses propres logiciels. (sous Linux on peut aussi utiliser des fonctionnalités de grsecurity comme la restriction à l'exécution de programmes détenus par root)
# Socks v5
Posté par bengali . Évalué à 2.
<quote>SOCKS adds the flexibility to manage the network through access control policies based on user, application, and time, in addition to source and destination addresses</quote>
Bon ok, pour l'application je crois qu'il se base sur le(s) port(s) utilisé(s) mais ça évite d'installer une application sur le poste client. Mais par contre, ça limite aux applications qui supportent Socks.
[^] # Re: Socks v5
Posté par Prosper . Évalué à 3.
Pas forcément, il suffit d'utiliser un encapsuleur socks.
[^] # Re: Socks v5
Posté par Eric Leblond (site web personnel) . Évalué à 2.
et donc de paramétrer toutes les applications des utilisateurs pour utiliser cette encapsuleur ?
Les désavantages de socks sont de plus nombreux, puisque l'on a en fait un proxy applicatif. Il peut donc difficilement traiter efficacement des flux gigabits entre par exemple des serveurs et la zone utilisateurs. NuFW quant à lui n'a aucun impact sur la bande passante d'un firewall car l'ensemble des paquets de datas sont directement pris en charge par netfilter. Je ne parlerais pas non plus de la problématique de masquage des IP sources avec socks (proxy oblige) qui complique sérieusement la gestion des logs et permissions sur les serveurs.
On peut aussi parler des avantages de NuFW en terme de :
- authentification unique
- qualité de service et routage par utilisateur
[^] # Re: Socks v5
Posté par Prosper . Évalué à 2.
Pourquoi veux-tu configurer tes applications ?? l'encapsuleur sert a justement aux applis qui n'ont pas de support socks.
[^] # Re: Socks v5
Posté par Barnabé . Évalué à 2.
Ce coût est inférieur a priori à celui d'un proxy applicatif, mais il n'est pas nul.
[^] # Re: Socks v5
Posté par Eric Leblond (site web personnel) . Évalué à 2.
NuFW n'authentitifie que les initialisations de connexions. L'ensemble des paquets datas (après le paquet SYN par exemple pour TCP) sont pris en charge comme n'importe quel paquet directement par Netfilter. NuFW n'a donc aucun impact sur la bande passante.
Son seul impact est à l'initialisation des connexions authentifiées où l'ensemble du processus d'authentification a lieu.
[^] # Re: Socks v5
Posté par Barnabé . Évalué à 5.
P.S : j'ai bien dit autant pour moi, sans ignorer la probabilité non négligeable de me faire rabrouer par quelque linguiste rigoriste, et le cas échéant, je défendrai ce choix.
[^] # Re: Socks v5
Posté par Raphaël SurcouF (site web personnel) . Évalué à -1.
Et puis c'est vendredi ! ;-)
# Dans le MISC n°18 :)
Posté par Nico . Évalué à 8.
# Libre??
Posté par Swirly . Évalué à 2.
Le firewall est en GPL
Le client linux est en GPL
Mais le client windows est sous license propriétaire
le module apache SSO idem
Le module squid SSO itou
Donc, l'intérêt est tout de suite beaucoup plus limité. C'est un produit libre destiné à faire acheter du proprio?
Que cherche à faire cette société? Si elle fait du libre, qu'elle vende le service (formation, installation), pas les logiciels..
J'ai toujours du mal à comprendre ce type de démarche, elles en correspondent pas du tout à ce que j'attends d'un produit libre.
Mais quelqu'un pourra peut être "défendre" NuFW :)
Bonne journée à tous!
[^] # Re: Libre??
Posté par Bernez . Évalué à 3.
le module apache SSO idem
Le module squid SSO itou
Je ne sais pas où tu as vu que les modules apache et squid n'étaient pas libres, mais c'est faux.
J'ai toujours du mal à comprendre ce type de démarche, elles en correspondent pas du tout à ce que j'attends d'un produit libre.
Peut-être ont-ils les même motivations que le développeur de gcompris, c'est-à-dire inciter (et non forcer) les gens à utiliser un OS libre, ce qui ne me choque pas du tout. D'ailleurs leurs licences n'empêchent personne d'écrire un client microsoft windows libre.
[^] # Re: Libre??
Posté par _gryzor_ . Évalué à 5.
La philosophie de développement de nufw est claire : promouvoir le libre. D'ailleurs contrairement à ton post qui révèle une visite plutot rapide du site, les modules SSO pour apache et squid sont tous les deux libres et distribués sous GPL. Les modules SSO pour plateforme libre qui suivront le seront également.
En ce qui concerne le client windows, on peut considérer cela comme une manière d'encourager Linux sur la station de travail, certainement pas une tentative d'abus. Je te rappelle que les gens qui utilisent Windows ont déja fait le choix d'utiliser un OS propriétaire. Au demeurant, assez peu de gens qui pronent fortement le libre (et nous faisons partie de cette catégorie) à qui nous avons parlé de ce modèle de développement pour l'O$ de Redmont en ont été choqués.
Je dois dire que NuFW dans son ensemble est issu d'un développement tiré au départ de notre temps personnel, et a été un vrai plaisir à développer ; ce qui n'est pas le cas des clients windows, qui sont plutôt une contrainte, et assez pénibles.
J'espère que ceci eclaircit un peu notre position. Dans tous les cas NuFW sur plateforme libre est et restera libre à 100%.
A+
Vincent
[^] # Re: Libre??
Posté par Swirly . Évalué à 1.
Pour ce qui est du client windows, j'aurais pensé que NuFW pouvait être intéressant à incorporer dans une solution libre de pare-feu pour les établissements scolaires, mais le problème du client windows payant rend la diffusion problématique.
Certes, cela pourrait pousser à l'utilisation de client linux, mais les choses étant ce qu'elle sont dans le milieu scolaire, c'est pas gagné :(
Bon, il va falloir que je regarde plus sérieusement pour savoir ce qui est possible quant on a pas le client... Est ce que le firewall fonctionne alors comme un firewallde base, tant pis pour l'authentification? ça pourrait fournir un plus intéressant ("si vous êtes sous widows, c'est un firewall tout bête, mais sous linux, on peut gérer des droits fins...")
En tout cas, bravo pour ce qui est déjà fait sous license GPL. Je vous souhaite une franche réussite et espère qu'un jour, les prestations de service vous permettront de tout laisser libre
Librement votre.
Swirly
[^] # Re: Libre??
Posté par Eric Leblond (site web personnel) . Évalué à 4.
Malheureusement, il n'est pas possible de dire, et même dangereux, de dire : "si ce n'est pas un Linux alors on autorise", mais on peut très bien considéré que ce qui est autorisé authentifié pour les postes GNU/Linux peut être tout simplement refusé pour les postes windows.
Cependant, s'il est possible de séparer les machines Windows et les machines GNU/Linux sur le réseau (2 plages d'IP différentes par exemple), on peut établir des règles d'accès très restrictives sur les Windows (on a alors un firewall netfilter standard) et de l'autre côté, utiliser l'authentification sur les postes clients GNU/Linux pour donner un peu plus de liberté aux utilisateurs de systèmes libres.
[^] # Re: Libre??
Posté par Raphaël SurcouF (site web personnel) . Évalué à 5.
Certes, cela pourrait pousser à l'utilisation de client linux, mais les choses étant ce qu'elle sont dans le milieu scolaire, c'est pas gagné :(
Pourquoi ? Parce qu'ils n'ont pas de budget pour s'équiper ?
Franchement, vu les sommes qu'ils engagent parfois pour des projets bien plus couteux, ce serait vraiment des économies de bouts de ficelle. S'ils voulaient vraiment réduire le déficit, ils devraient déjà commencer par harmoniser leurs dépenses au lieu que ce soit fait par service et qu'on se retrouve avec des disparités telles que deux fois le prix d'un poste de travail d'un service à l'autre...
Tu ne serais pas l'un de ces pauvres professeurs honteusement exploités pour s'occuper du réseau informatique de l'école, faute de personnel et parce que tu as eu la curiosité de regarder plus que les autres ?
[^] # Re: Libre??
Posté par Swirly . Évalué à 2.
Le problème vient surtout des logiciels métiers. Nos élèves de STT doivent utiliser SAGE-SAARI et Ethnos qui ne sont pas sous linux...
On pourrait trouver des équivalents sans doute, mais alors il faudrait former les enseignants , et ils n'ont pas franchement envie. Beaucoup de prof de STT sont d'anciens profs de dactylo ou de droit qu'on a forcé à faire de l'informatique et qui n'en avait aucune envie... Alors, ils ont des fiches toutes prêtes (merci Fontaine Picard et ses ... en or) qu'ils distribuent aux élèves. Elles parlent de word 2003, pas d'openoffice, elles parlent de Sage Saari, pas de Grisbi...
Il y a de plus en plus de profs plus jeunes et mieux formés, mais la résistance est sévère. Avec l'argument "Nos IPRS nous ont dit que"
ou "C'est ça qu'il y a dans les entreprises" (oui mais dans 5 ans???)
Je n'approuve pas, je constate (en étant désolé...)
Bonne journée à tous :)
Swirly
[^] # Re: Libre??
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
Par contre, si l'on peut comparer sans rougir OpenOffice.org à Microsoft Office 2003, jene pense pas qu'on puisse en faire autant avec Sage Saari et Grisbi, malgré tout le bien que je pense de ce dernier qui me sied d'ailleurs très bien pour ma comptabilité personnelle. Mais voilà, il a surtout été conçu pour faire de la comptabilité personnelle et associative (le développeur principal gère environ 13 associations, je crois) mais pour ce qui est de la comptabilité professionnelle, je pense qu'il doit manquer encore de fonctionnalités (je ne suis pas expert, loin de là mais si quelqu'un pouvait en dresser le tableau...).
[^] # Re: Libre??
Posté par Guillaume CASTAGNINO (site web personnel) . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.