Articles précédents : Sécurité
- [106] Une faille majeure de la cryptographie courante
- [1] SSTIC 2007 : Appel à proposition
- [67] Faille de sécurité dans le pilote propriétaire Nvidia
- [97] Un dernier clou dans le cercueil du WEP
- [4] SSTIC 2006
- [8] Actualités des logiciels Mozilla
- [38] Graves problèmes de sécurité dans x.org
- [7] Concours de sécurité informatique Challenge-SecuriTech 2006
- [54] Faille de sécurité majeure dans Ubuntu 5.10
- [107] Un petit ver pour Linux
Liens connexes
- Homepage de Nuface (577 hits)
- Site de démonstration (806 hits)
- Téléchargement (68 hits)
- Homepage du projet Nulog (67 hits)
- NuFW (203 hits)
- EdenWall : appliance intégrant Nuface (140 hits)
Dépêche modérée par
Dépêche éditée par
Les nouveautés et innovations de la branche 1.2 sont :
- Support du filtrage de contenu, avec gestion de règles Layer7
- Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
- Nombreuses améliorations de l'ergonomie de l'interface
- Génération de règles au format iptables-restore pour de meilleures performances au chargement.
![[en]](../../../images/en.png)
Homepage de Nuface (577 hits)![[fr]](../../../images/fr.png)
Site de démonstration (806 hits)-
Téléchargement (68 hits)
-
Homepage du projet Nulog (67 hits)
-
NuFW (203 hits)
-
EdenWall : appliance intégrant Nuface (140 hits)
> Lire la suite (6 commentaires, moyenne: 2,7). [dépêche : 367 caractères]
Nuface (pour la gestion de règles du pare-feu), comme Nulog (du coté du suivi des journaux d'un pare-feu), apportent de la valeur et de l'ergonomie au projet NuFW, et peuvent bien entendu être installés sur un pare-feu Netfilter "simple".
règles L7
Concernant les règles L7, sont-elles prioritaires par rapport aux autres ACLs en ce qui concerne la décision prise sur un paquet?
Il semble que l'on ne puisse pas choisir le sens d'application d'une règle layer7 (intranet -> internet par ex)?
Ca fait plaisir de voir le produit évoluer :)
-
[^]Re: règles L7
Posté par _gryzor_ () le 22/02/2007 à 10:54. (lien). Évalué à 4.Salut, et d'abord merci pour ce commentaire qui révèle un intérêt et une compréhension des technologies utilisées.
Les règles layer7 sont "orthogonales" aux "autres" ACLs. En fait, il s'agit d'ACL à un autre niveau (lié au protocole). En effet, Netfilter/NuFW prend la décision sur le premier paquet (en TCP : SYN) d'une connexion, alors que layer7 a souvent besoin d'un certain nombre d'échanges sur la connexion établie pour pouvoir statuer.
Ainsi, une connexion peut être autorisée par Netfilter (donc par une ACL classique), puis après quelques échanges de datagrammes bloquée par Layer7.
Pour ce qui concerne la deuxième question, Nuface est beaucoup plus fin que cela : l'outil s'appuie sur la notion de marque interne à la couche réseau du noyau Linux. Il est donc possible par exemple de créer deux protocoles HTTP dans nuface (un lié à une vérification L7, l'autre non) et d'utiliser le protocole de son choix pour chaque ACL. La distinction entrée/sortie est donc faisable, mais en fait on a une distinction encore plus fine que cela : ACL par ACL.
Merci pour ton intérêt pour l'outil : il y a encore des fonctionnalités dans les cartons, à suivre dans les prochaines versions ;)-
[^]Re: règles L7
Posté par Sytoka Modon (page perso, ) le 22/02/2007 à 19:54. (lien). Évalué à 1.J'avoue que j'ai pas franchement compris ce que c'était exactement que cette couche L7.
Remarque, nuface n'est pas cité sur la page L7layer
http://l7-filter.sourceforge.net/-
[^]Re: règles L7
Posté par Sytoka Modon (page perso, ) le 23/02/2007 à 09:16. (lien). Évalué à 4.En fait, j'ai continuer un peu mes recherches après et effectivement, L7 a l'air assez puissant même si pour le moment, je n'ai pas regardé pour voir comment cela marche.
En tout cas, la liste des protocoles reconnus par L7 est déjà impressionnante. Cette couche L7 est bien car elle va permette d'aller un peu plus loin que le désormais classique ouverture et fermeture de ports.
Pour ceux qui n'ont pas suivis, L7 permet suite a l'analyse de quelques paquets (dans les deux sens) d'une connection de déterminer le protocole (FTP, HTTP, H323, Skype...) et donc de définir de nouvelle règle (par exemple, arrêt du flux).
Comme de plus en plus de personne utilise le port 80 pour faire passer un peu tout et n'importe quoi, L7 va devenir a mon avis indispensable d'ici peu.-
[^]Re: règles L7
Posté par baud123 (Jabber id, page perso, ) le 23/02/2007 à 13:30. (lien). Évalué à 3.L7 va devenir a mon avis indispensable d'ici peu.
oula t'es un peu en retard sur l'actualité :)
L7 est devenu indispensable depuis quelques temps déjà...
cf. http://www.journaldufreenaute.fr/30/07/2006/free-adsl-demons(...)
cela permet notamment de faire de la QoS et d'éviter que le peering n'explose de trop...-
[^]Re: règles L7
Posté par Sytoka Modon (page perso, ) le 23/02/2007 à 14:46. (lien). Évalué à 1.Enfin, ton article date du mois de Juillet et concerne un gros FAI !
Je ne suis pas sur que beaucoup de personne ai mis des règles L7 sur son réseau.
Sondage : qui a mis des règles L7 et qui n'en a pas mis ?
-
-
-
-
Cette page a été générée par Templeet en 0.07s (dont 0.0088 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.