Sortie de NuFW 2.2, le pare-feu routeur authentifiant

Posté par Eric Leblond (site web personnel) le 29 mai 2007 à 14:12. Modéré par Florent Zara.

Étiquettes :

mai

2007

Après plus d'un an de travail, la version 2.2 de NuFW est enfin disponible. Cette nouvelle branche stable du pare-feu authentifiant NuFW ajoute de nombreuses fonctionnalités :

Support complet d’IPv6
Politique de marquage avancée pour utilisation avec la qualité de service et le routage
Gestion dynamique de la configuration grâce à une socket d'administration
Compatibilité avec les clients, outils associés, et le démon nufw en version 2.0

NuFW 2.2 enrichit les notions de filtrage strict par utilisateur de NuFW 2.0 en y ajoutant la possibilité de définir le routage ou la qualité de service suivant des critères tels que l'identité ou l'application. On peut par exemple implémenter une politique permettant d'attribuer une partie de la bande passante à un groupe d'utilisateurs lorsqu'il utilise une application donnée. Il est ainsi possible de réserver 30 Ko/s de bande passante aux comptables quand ils utilisent Firefox mais seulement 10 Ko/s quand ils utilisent un autre navigateur. Pour rappel, NuFW est un pare-feu authentifiant disponible sous GPL : il réalise l'authentification des connexions passant à travers le filtre IP. Des politiques de sécurité telles que : « Bill peut se connecter au serveur IMAP si il utilise Mozilla sous Linux 2.6.16 entre 8h et 18h » peuvent être implémentées au moyen d'une règle d'accès NuFW unique. Une des spécificités de NuFW est la gestion stricte des périodes horaires puisque les connexions sont détruites à la fin de la période de temps.

Les améliorations principales sont les suivantes :

Support d’IPv6
Politique de marquage avancé pour utilisation avec la Qualité de service et le routage :
- par utilisateur ou par groupe
- par application
- par système d’exploitation
Mode commande pour nuauth :
- Affichage de la liste des utilisateurs connectés
- Déconnexion des utilisateurs
- Liste des pare-feu nufw connectés
- Changement du niveau de debug et de son étendue
Compatibilité avec les clients et pare-feu nufw en version 2.0
Amélioration du protocole :
- Transfert des noms d’interface réseaux empruntés par le paquet
- Volumétrie des connexions

Des évolutions non fonctionnelles importantes sont également au rendez-vous puisque l'on peut noter l'apparition d'un système de tests unitaires et une réécriture du système de gestion des threads.

Aller plus loin

NuFW (63 clics)
NuFW 2.2, qu’y a-t-il dans .2 ? (29 clics)
Il y a un an, NuFW 2.0 (21 clics)

# lobby

Posté par nomorsad le 29 mai 2007 à 18:52. Évalué à 3.

réserver 30 Ko/s de bande passante aux comptables quand ils utilisent Firefox mais seulement 10 Ko/s quand ils utilisent un autre navigateur

Ce genre de remarque est plutôt limite dans une dépêche de première page et est bien loin de ma conception du logiciel libre.
J'appelle ça tout simplement de la discrimination navigatorielle !

Cela dit, on est en démocratie, chacun fait comme il le sent.... Je dirait même qu'on est sur DLFP, donc anarchy powaa!!

Vince
- [^] # Re: lobby
  
  Posté par briaeros007 le 29 mai 2007 à 19:07. Évalué à 7.
  
  mais non tu as pas compris c'est de la sécu.
  Les comptables ils sont sur un windows.
  Et ils veulent des pc pas cher.
  Pas cher dis donc que l'av n'arrive pas a vérifier si il y aplus de 10 Ko/s de traffic.
  En utilisant fx l'admin sait que les virus passeront pas par la, donc il peut augmenter la bp (mais au dessus de 30 ko/s c'est la pile ip de windows sur ces machines qui morflent).
- [^] # Re: lobby
  
  Posté par William Dauchy (site web personnel) le 29 mai 2007 à 19:32. Évalué à -7.
  
  Ce genre de remarque est plutôt limite dans une dépêche de première page et est bien loin de ma conception du logiciel libre.
  J'appelle ça tout simplement de la discrimination navigatorielle !
  
  +1
- [^] # Re: lobby
  
  Posté par Dabowl_92 le 29 mai 2007 à 20:53. Évalué à 2.
  
  t'es pas au courant qu'un bon admin est un admin nazi sévère ?
  - [^] # Re: lobby
    
    Posté par romi le 29 mai 2007 à 23:14. Évalué à 0.
    
    diktatorial!
  - [^] # Re: lobby
    
    Posté par karmatronic le 30 mai 2007 à 12:08. Évalué à 1.
    
    un bon admin , c est pas forcement un dictateur , mais surtout quelqu un qui sait ce qui se passe sur son reseau et sur ses machines
    - [^] # Re: lobby
      
      Posté par kd le 30 mai 2007 à 18:17. Évalué à 2.
      
      Comment peut-on savoir ce qui se passe sur son réseau sans être dictateur ?
# Génial

Posté par afby le 29 mai 2007 à 20:00. Évalué à 4.

Je trouve ca, tout simplement génial :)
- [^] # Re: Génial
  
  Posté par travisnux le 30 mai 2007 à 08:46. Évalué à -1.
  
  Je dirais même plus, c'est génialleuuhh !
  - [^] # Re: Génial
    
    Posté par naotemp le 30 mai 2007 à 09:33. Évalué à 2.
    
    Oui et ce qui fait plaisir c'est que le projet commence également à être bien connu à l'international : http://tips.linux.com/tips/07/05/29/1956237.shtml?tid=100
    Reste plus que le slashdotage ;-)
- [^] # Re: Génial
  
  Posté par Frédéric COIFFIER le 30 mai 2007 à 11:49. Évalué à 3.
  
  Certes, certes, ça a l'air pas mal mais...
  
  Y a t-il des utilisateurs dans la salle ? Est-ce simple à déployer dans un parc hétérogène (Linux/Windows) style PME (15-30 machines) ? Est-ce simple à configurer ?
  - [^] # Re: Génial
    
    Posté par Franck Routier (Mastodon) le 30 mai 2007 à 12:21. Évalué à 4.
    
    Premier point pour un parc hétérogène, le client qui permet à une machine de s'authentifier est :
    - libre et gratuit pour linux
    - propriétaire et payant pour Windows (env. 60 ¤ par poste je crois)
    
    Voir http://www.inl.fr/NuWINc.html
  - [^] # Re: Génial
    
    Posté par bubar🦥 (Mastodon) le 31 mai 2007 à 16:25. Évalué à 5.
    
    Ca dépends (aussi) de la distribution que tu utilises.
    Sur Debian, qq apt-get install et qq nano plus tard, tu te retrouves avec un ""serveur"", une interface web (pas forcément hyper intuitive mais très pratique) et des clients... le tout parfaitement fonctionnel
    Sur Mandriva, j' ai rencontré plusieurs difficultés que je ne comprenais pas (entre autre le fait qu' après une deconnection de mon navigateur sur l' interface web, une simple reconnection suffisait à me relogguer sans qu' aucun mot de passe n' est été sauvegardé... lopoakompri... mais aussi des difficultés avec l' utilisation de pam-nufw) Nénamoins, après qq recherches et qq corrections, ça fonctionne.
    C' est vrai que INL et Mandriva vendent du service pour NuFW (des formations, des certifications, des machines toutes prêtes, des paquets de licences pour le client windows) et que ce n' est pas évident du tout de maîtriser le bousin.
    Mais une utilisation "simple" (petit réseau familial) avec de petits besoins, c' est vraiment et faut vraiment le dire...
    Grace à INL des fonctionnalités ont été ajoutées au noyau directement, alors pourquoi ne pas les utliser (même simplement, du moins)
    Chapeau messieurs, et merci encore
    - [^] # Re: Génial
      
      Posté par bubar🦥 (Mastodon) le 31 mai 2007 à 16:35. Évalué à 3.
      
      c' est vraiment +BIEN et faut vraiment le dire
      
      je n' ai pas testé par moi même, mais d' après ma (très) modeste expérience et qq lectures :
      NuFW semble l' outil idéal dans un cadre "établissement scolaire" (je cite celui-ci pour le connaitre un peu, et parcequ' en entreprise les bonnes choses mettent toujours plus de temps à percer à priori) : Couplé à un classique LDAP (nufw-nuauth-auth-ldap) les possibilités deviennent fantastiques.
      la personne se connecte sur n' importe quel poste et accède à son home-dir toussa... mais en plus se voit attribuer Ses règles ""firewall"".
      Peut être pas "évident" à mettre en place, mais quel bonheur après !
      - [^] # Re: Génial
        
        Posté par naotemp le 31 mai 2007 à 18:15. Évalué à 3.
        
        Cela a été fait dans une école avec la pare-feu Amon. Amon n'est autre que le pare-feu le plus utilisé en France (devant même les pare-feu "commerciaux" ...) et est développé par le pôle de compétences LL de l'Éducation Nationale : http://eole.orion.education.fr/diff/rubrique.php3?id_rubriqu(...) . Il est principalement utilisé dans les écoles, collèges et lycées et quelques autres entités.
        
        Tu as tout ce dont tu parles + du routage et de la QoS par utilisateur, style sur n'importe quel poste le prof sort en direct sur internet en SDSL et si c'est un élève qui ouvre sa session alors il passe par le proxy (avec le module SSO en authentifié transparent) avec liste noire et sur le lien ADSL.
        
        Le libre donne ici de belles leçons d'innovations ;-)
        
        [^] # Re: Génial
        
        Posté par bubar🦥 (Mastodon) le 31 mai 2007 à 18:29. Évalué à 2.
        
        je ne connaissais pas (mais alors pas du tout) ce produit. Ici on ne m' en a pas parlé et il ne semble pas utlisé. Les postes sont sous authentification Active Directory, le parefeu n' est que "frontal", et la gestion du type de droits selon la connection se fait par un logiciel proprio.
        Les seuls Linux sont .... le Parefeu en frontal d' accès (Mandriva MNF) qui gère aussi le VPN avec le rectorat. Et une Debian maintenu en interne (aka educ. nat.) pour le serveur Samba. Tout le reste c' est du ouinouin. snifff.
        Merci pour cette info.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.