NuFW 1.0.0, le parefeu authentifiant pour Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
1
9
mar.
2005
Sécurité
NuFW 1.0.0 "European Parliament, Save me!" est sortie hier inaugurant une nouvelle branche stable du projet. Cette version est dédiée aux personnes luttant contre les brevets logiciels en Europe.

Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique. NuFW permet en plus :
- Le support de l'authentification sur les postes multi-utilisateurs
- Journalisation avancée de l'activité des utilisateurs, avec stockage des événements relatifs aux connexions dans une base SQL, le tout pouvant être interrogé avec une interface comme ulog-php.
- Authentification unique : grâce à des modules disposés sur les serveurs NuFW permet d'authentifier les utilisateurs sur les services de manière transparente. Des modules pour apache et squid existent déjà permettant notamment de réaliser un proxy transparent authentifiant.

La contrepartie de ces fonctionnalités est la présence d'un client léger sur les postes concernés.

Au menu des nouveautés de cette nouvelle version stable :
- Un protocole plus évolué qui supporte des fonctionnalités comme l'annonce des applications et de l'OS (et qui permet donc le filtrage suivant ces critères).
- Une authentification réalisée par SASL.
- Un chiffrement de tous les échanges avec TLS.
- De nouveaux modules de gestions des utilisateurs et des ACL
- Une refonte complète du code avec notamment un système de cache permettant d'accroître considérablement les performances
  • # Petite question :

    Posté par (page perso) . Évalué à 8.

    Qu'apporte une solution basée sur NuFW par rapport à 802.1x/Hostap (ou équivalent)/RADIUS ?
    Ne serait-on pas en train de réinventer la poudre ?

    Le client windows n'est pas sous GPL ? \o/
    • [^] # Re: Petite question :

      Posté par (page perso) . Évalué à 6.

      > Qu'apporte une solution basée sur NuFW par rapport à 802.1x/Hostap (ou
      > équivalent)/RADIUS ?

      À vue de nez, mais vite fait :
      le filtrage par applicatif ( ie tu autorise mozilla, pas konqueror ).

      > Ne serait-on pas en train de réinventer la poudre ?

      Non, je croit pas. Enfin si, mais pas dans cette news, dans celle plus bas peut être.

      > Le client windows n'est pas sous GPL ? \o/

      En effet.
      • [^] # Re: Petite question :

        Posté par (page perso) . Évalué à 7.

        On a en plus comme dit la news :
        - Le support de l'authentification sur les postes multi-utilisateurs
        Par exemple pour un serveur X, un serveur citrix, nufw sait gérer les permissions des utilisateurs séparément. Aucune des solutions citées ne permet de le faire puisqu'elles supposent toutes :
        "Utilisateur==IP"
        NuFW quant à lui fait une association au niveau des connexions et ce a posteriori. L'authentification réalisée est donc stricte et elle supporte les machines multiutilisateurs.
      • [^] # Re: Petite question :

        Posté par . Évalué à 8.

        > À vue de nez, mais vite fait :
        > le filtrage par applicatif ( ie tu autorise mozilla, pas konqueror ).

        que se passe-t'il si :

        * la connexion se fait à travers une librairie, commune par exemple à mozilla & firefox, et qu'on veut en interdire un des deux ?

        * l'application telle que vue par l'utilisateur utilise en fait perl ou python (ou ruby...) et se résume à un gros script par dessus ce dernier ? c'est alors perl (ou autre) qui se connecte.
        • [^] # Re: Petite question :

          Posté par . Évalué à 5.

          Je me pose une question similaire : comment fait-il pour détecter le nom de l'application ? il lui demande poliment ? :)
          • [^] # Re: Petite question :

            Posté par (page perso) . Évalué à 10.

            Comme dit l'annonce :
            - Un protocole plus évolué qui supporte des fonctionnalités comme l'annonce des applications et de l'OS (et qui permet donc le filtrage suivant ces critères).

            Donc en fait c'est la partie cliente qui annonce le nom. Ca n'a donc un intérêt que pour des machines bien sécurisées ou on est sur que l'utilisateur ne pourra pas toucher à cette partie...

            Sinon « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » devient « Bill peut se connecter au serveur imap si il dit qu'il utilise Mozilla sous Linux 2.6.10 ».
            • [^] # Re: Petite question :

              Posté par (page perso) . Évalué à -3.

              A la fois s'il utilise autre chose que Mozilla, il n'aura pas accès au serveur imap

              " Bill peut se connecter au serveur imap *que* s'il utilise Mozilla sous Linux 2.6.10 "
              • [^] # Re: Petite question :

                Posté par (page perso) . Évalué à 3.

                Justement non, le serveur ne peut pas authentifier de manière sure l'application distante (sauf avec une partie hardware à la TCPA/NGBSC). Une autre application peut se faire passer pour une autre, simplement en envoyant les mêmes paquets. Pour pouvoir authentifier l'applie, il faut qu'il y ai quelque part une clé secrete qui ne soit accessible qu'a certaines applies.i
                • [^] # Re: Petite question :

                  Posté par (page perso) . Évalué à 5.

                  C'est en partie vrai, mais ce n'est pas l'application qui communique les informations au serveur d'authentificaton de NuFW, mais le client logiciel qui utilise les ressources systèmes pour déterminer quelle est l'application à l'origine d'un flux.

                  La compromission pourrait venir donc d'un client qui n'utilise pas les informations systèmes et non de l'application. Par conséquent (comme je l'ai déjà écrit) sur un système sécurisé où les binaires sont controlés il est difficile de prendre le système en défaut.
            • [^] # Re: Petite question :

              Posté par (page perso) . Évalué à 6.

              Excellente analyse. On est sûr de de l'identité de l'utilisateur mais on lui fait confiance en ce qui concerne l'application. De plus, si il y a mensonge on peut savoir de quel utilisateur cela provient (par un recoupement entre les logs nufw en SQL et les logs des services par exemple)

              Je tiens tout de même à signaler que cette fonctionnalité va dans le sens d'un renforcement de la sécurité :
              Le flux est nécessairement ouvert sur n'importe quel type de parefeu. Ici, on est capable de restreindre ce flux suivant un critère, cela renforce donc la sécurité.

              De plus, sur des machines sécurisées où l'on fait tourner en tant que service le client d'authentification, les informations concernant l'application peuvent être considéré comme étant fiable. L'utilisateur n'ayant pas le droit de lancer ses propres logiciels. (sous Linux on peut aussi utiliser des fonctionnalités de grsecurity comme la restriction à l'exécution de programmes détenus par root)
  • # Socks v5

    Posté par . Évalué à 2.

    Heu un proxy Socks V5 + un firewall traditionnel ne ferait-il pas l'affaire ?
    <quote>SOCKS adds the flexibility to manage the network through access control policies based on user, application, and time, in addition to source and destination addresses</quote>
    Bon ok, pour l'application je crois qu'il se base sur le(s) port(s) utilisé(s) mais ça évite d'installer une application sur le poste client. Mais par contre, ça limite aux applications qui supportent Socks.
    • [^] # Re: Socks v5

      Posté par . Évalué à 3.

      Mais par contre, ça limite aux applications qui supportent Socks.

      Pas forcément, il suffit d'utiliser un encapsuleur socks.
      • [^] # Re: Socks v5

        Posté par (page perso) . Évalué à 2.

        > Pas forcément, il suffit d'utiliser un encapsuleur socks.
        et donc de paramétrer toutes les applications des utilisateurs pour utiliser cette encapsuleur ?

        Les désavantages de socks sont de plus nombreux, puisque l'on a en fait un proxy applicatif. Il peut donc difficilement traiter efficacement des flux gigabits entre par exemple des serveurs et la zone utilisateurs. NuFW quant à lui n'a aucun impact sur la bande passante d'un firewall car l'ensemble des paquets de datas sont directement pris en charge par netfilter. Je ne parlerais pas non plus de la problématique de masquage des IP sources avec socks (proxy oblige) qui complique sérieusement la gestion des logs et permissions sur les serveurs.

        On peut aussi parler des avantages de NuFW en terme de :
        - authentification unique
        - qualité de service et routage par utilisateur
        • [^] # Re: Socks v5

          Posté par . Évalué à 2.

          et donc de paramétrer toutes les applications des utilisateurs pour utiliser cette encapsuleur ?

          Pourquoi veux-tu configurer tes applications ?? l'encapsuleur sert a justement aux applis qui n'ont pas de support socks.
        • [^] # Re: Socks v5

          Posté par . Évalué à 2.

          NuFW quant à lui n'a aucun impact sur la bande passante d'un firewall car l'ensemble des paquets de datas sont directement pris en charge par netfilter
          Sauf que NuFW met tous les paquets dans une table de hachage dans l'espace utilisateur, ce qui implique une recopie, que les paquets y sont maintenus le temps de décider si ils doivent être acceptés ou rejetés, et que cela a un coût non négligeable sur les performances.
          Ce coût est inférieur a priori à celui d'un proxy applicatif, mais il n'est pas nul.
          • [^] # Re: Socks v5

            Posté par (page perso) . Évalué à 2.

            Non, ma phrase est correcte :
            NuFW n'authentitifie que les initialisations de connexions. L'ensemble des paquets datas (après le paquet SYN par exemple pour TCP) sont pris en charge comme n'importe quel paquet directement par Netfilter. NuFW n'a donc aucun impact sur la bande passante.
            Son seul impact est à l'initialisation des connexions authentifiées où l'ensemble du processus d'authentification a lieu.
            • [^] # Re: Socks v5

              Posté par . Évalué à 5.

              Bon, autant pour moi, la prochaine fois, en plus du source du programme, je regarderais le manuel d'administration.

              P.S : j'ai bien dit autant pour moi, sans ignorer la probabilité non négligeable de me faire rabrouer par quelque linguiste rigoriste, et le cas échéant, je défendrai ce choix.
  • # Dans le MISC n°18 :)

    Posté par (page perso) . Évalué à 8.

    Un article nommé "Introduction à NuFW" de quelques pages est consacré ce soft dans le MISC n°18 (le dernier) pour ceux qui seraient intéréssés plus avant :)
  • # Libre??

    Posté par . Évalué à 2.

    Ce firewall est très alléchant sur le papier. En GPL V2 en plus. Mais quand on va un peu plus loin on apprend que :

    Le firewall est en GPL
    Le client linux est en GPL

    Mais le client windows est sous license propriétaire
    le module apache SSO idem
    Le module squid SSO itou

    Donc, l'intérêt est tout de suite beaucoup plus limité. C'est un produit libre destiné à faire acheter du proprio?

    Que cherche à faire cette société? Si elle fait du libre, qu'elle vende le service (formation, installation), pas les logiciels..

    J'ai toujours du mal à comprendre ce type de démarche, elles en correspondent pas du tout à ce que j'attends d'un produit libre.

    Mais quelqu'un pourra peut être "défendre" NuFW :)

    Bonne journée à tous!
    • [^] # Re: Libre??

      Posté par . Évalué à 3.

      Mais le client windows est sous license propriétaire
      le module apache SSO idem
      Le module squid SSO itou

      Je ne sais pas où tu as vu que les modules apache et squid n'étaient pas libres, mais c'est faux.

      J'ai toujours du mal à comprendre ce type de démarche, elles en correspondent pas du tout à ce que j'attends d'un produit libre.
      Peut-être ont-ils les même motivations que le développeur de gcompris, c'est-à-dire inciter (et non forcer) les gens à utiliser un OS libre, ce qui ne me choque pas du tout. D'ailleurs leurs licences n'empêchent personne d'écrire un client microsoft windows libre.
    • [^] # Re: Libre??

      Posté par . Évalué à 5.

      Oui, libre !!! NuFW est et sera toujours libre.

      La philosophie de développement de nufw est claire : promouvoir le libre. D'ailleurs contrairement à ton post qui révèle une visite plutot rapide du site, les modules SSO pour apache et squid sont tous les deux libres et distribués sous GPL. Les modules SSO pour plateforme libre qui suivront le seront également.

      En ce qui concerne le client windows, on peut considérer cela comme une manière d'encourager Linux sur la station de travail, certainement pas une tentative d'abus. Je te rappelle que les gens qui utilisent Windows ont déja fait le choix d'utiliser un OS propriétaire. Au demeurant, assez peu de gens qui pronent fortement le libre (et nous faisons partie de cette catégorie) à qui nous avons parlé de ce modèle de développement pour l'O$ de Redmont en ont été choqués.

      Je dois dire que NuFW dans son ensemble est issu d'un développement tiré au départ de notre temps personnel, et a été un vrai plaisir à développer ; ce qui n'est pas le cas des clients windows, qui sont plutôt une contrainte, et assez pénibles.

      J'espère que ceci eclaircit un peu notre position. Dans tous les cas NuFW sur plateforme libre est et restera libre à 100%.

      A+

      Vincent
      • [^] # Re: Libre??

        Posté par . Évalué à 1.

        Je plaides coupable pour la visite trop rapide et l'erreur sur les modules SSO. Mes excuses.

        Pour ce qui est du client windows, j'aurais pensé que NuFW pouvait être intéressant à incorporer dans une solution libre de pare-feu pour les établissements scolaires, mais le problème du client windows payant rend la diffusion problématique.

        Certes, cela pourrait pousser à l'utilisation de client linux, mais les choses étant ce qu'elle sont dans le milieu scolaire, c'est pas gagné :(

        Bon, il va falloir que je regarde plus sérieusement pour savoir ce qui est possible quant on a pas le client... Est ce que le firewall fonctionne alors comme un firewallde base, tant pis pour l'authentification? ça pourrait fournir un plus intéressant ("si vous êtes sous widows, c'est un firewall tout bête, mais sous linux, on peut gérer des droits fins...")

        En tout cas, bravo pour ce qui est déjà fait sous license GPL. Je vous souhaite une franche réussite et espère qu'un jour, les prestations de service vous permettront de tout laisser libre

        Librement votre.

        Swirly
        • [^] # Re: Libre??

          Posté par (page perso) . Évalué à 4.

          NuFW est une surcouche de Netfilter, on choisit les flux à authentifier de manière très fine (utilisation de la cible QUEUE de Netfilter).
          Malheureusement, il n'est pas possible de dire, et même dangereux, de dire : "si ce n'est pas un Linux alors on autorise", mais on peut très bien considéré que ce qui est autorisé authentifié pour les postes GNU/Linux peut être tout simplement refusé pour les postes windows.

          Cependant, s'il est possible de séparer les machines Windows et les machines GNU/Linux sur le réseau (2 plages d'IP différentes par exemple), on peut établir des règles d'accès très restrictives sur les Windows (on a alors un firewall netfilter standard) et de l'autre côté, utiliser l'authentification sur les postes clients GNU/Linux pour donner un peu plus de liberté aux utilisateurs de systèmes libres.
        • [^] # Re: Libre??

          Posté par (page perso) . Évalué à 5.

          Pour ce qui est du client windows, j'aurais pensé que NuFW pouvait être intéressant à incorporer dans une solution libre de pare-feu pour les établissements scolaires, mais le problème du client windows payant rend la diffusion problématique.

          Certes, cela pourrait pousser à l'utilisation de client linux, mais les choses étant ce qu'elle sont dans le milieu scolaire, c'est pas gagné :(


          Pourquoi ? Parce qu'ils n'ont pas de budget pour s'équiper ?
          Franchement, vu les sommes qu'ils engagent parfois pour des projets bien plus couteux, ce serait vraiment des économies de bouts de ficelle. S'ils voulaient vraiment réduire le déficit, ils devraient déjà commencer par harmoniser leurs dépenses au lieu que ce soit fait par service et qu'on se retrouve avec des disparités telles que deux fois le prix d'un poste de travail d'un service à l'autre...
          Tu ne serais pas l'un de ces pauvres professeurs honteusement exploités pour s'occuper du réseau informatique de l'école, faute de personnel et parce que tu as eu la curiosité de regarder plus que les autres ?
          • [^] # Re: Libre??

            Posté par . Évalué à 2.

            Prof exploité... oui et non, je me défends, on m'a déchargé correctement, ce qui n'est pas souvent le cas...

            Le problème vient surtout des logiciels métiers. Nos élèves de STT doivent utiliser SAGE-SAARI et Ethnos qui ne sont pas sous linux...

            On pourrait trouver des équivalents sans doute, mais alors il faudrait former les enseignants , et ils n'ont pas franchement envie. Beaucoup de prof de STT sont d'anciens profs de dactylo ou de droit qu'on a forcé à faire de l'informatique et qui n'en avait aucune envie... Alors, ils ont des fiches toutes prêtes (merci Fontaine Picard et ses ... en or) qu'ils distribuent aux élèves. Elles parlent de word 2003, pas d'openoffice, elles parlent de Sage Saari, pas de Grisbi...

            Il y a de plus en plus de profs plus jeunes et mieux formés, mais la résistance est sévère. Avec l'argument "Nos IPRS nous ont dit que"
            ou "C'est ça qu'il y a dans les entreprises" (oui mais dans 5 ans???)

            Je n'approuve pas, je constate (en étant désolé...)


            Bonne journée à tous :)

            Swirly
            • [^] # Re: Libre??

              Posté par (page perso) . Évalué à 2.

              Je compatis à ton pauvre sort... Au moins, tu as du courage. ;-)
              Par contre, si l'on peut comparer sans rougir OpenOffice.org à Microsoft Office 2003, jene pense pas qu'on puisse en faire autant avec Sage Saari et Grisbi, malgré tout le bien que je pense de ce dernier qui me sied d'ailleurs très bien pour ma comptabilité personnelle. Mais voilà, il a surtout été conçu pour faire de la comptabilité personnelle et associative (le développeur principal gère environ 13 associations, je crois) mais pour ce qui est de la comptabilité professionnelle, je pense qu'il doit manquer encore de fonctionnalités (je ne suis pas expert, loin de là mais si quelqu'un pouvait en dresser le tableau...).
              • [^] # Re: Libre??

                Posté par (page perso) . Évalué à 2.

                Effectivement, mais ce n'est pas le but : c'est un logiciel de compta perso, et n'a pas la prétention d'etre un logiciel de compta professionnelle. Il lui manque la double écriture, essentielle pour ces cas, et ça demanderait une très importante réécriture...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.