Journal Nouvel hébergement du projet NuFW sur ufwi.org

Posté par (page perso) .
Tags :
14
1
déc.
2011

Suite à la fermeture de nufw.org, FSF France a monté un nouvel hébergement pour le projet NuFW et ses copains : ufwi.org. On y trouve le parefeu identifiant NuFW ainsi qu'une dizaine d'applications et divers outils. Les applications majeures sont :

  • nuconf : Configuration système
  • nuconntrack: Suivi des connexions (conntrack Netfilter)
  • nuface3 : gestion de jeux de règles pour parefeu (Netfilter ou NuFW)
  • nulog3 : Analyseur de logs du parefeu (Netfilter ou NuFW)
  • nupki : interface simple pour gérer une infrastructure de gestion de clés publiques (PKI)

On y trouve également deux outils majeurs :

  • nnd : interroge des annuaires utilisateurs, supporte OpenLDAP, Active Directory, etc. (pourrait remplacer winbind si on leur rajoute une glue pour PAM)
  • nucentral : Object Request Broker (ORB) utiliant XML-RPC (avec HTTP/1.1 en mode connecté) et SSL/TLS, c'est un serveur minimaliste auxquels se greffent de nombreux modules. L'accès est contrôlé par une authentification et une gestion fine des permissions.

L'ensemble des briques étaient utilisées dans les appliances EdenWall (société liquidée en août 2011). Les logiciels coopèrent pour représenter une suite homogène de gestion d'un parefeu complet (avec antivirus, antispam, IDS-IPS, proxy et filtre web, etc.). L'ensemble gère la haute disponibilité (parefeu actif-passif, notamment grâce à conntrackd) et le multisite (console pour gérer plusieurs parefeux depuis un site central).

En l'état, il n'est pas évident d'installer chaque brique indépendamment. Il faudrait un peu d'huile de coude pour les rendre autonomes. J'invite donc les personnes intéressées à donner un coup de main pour nettoyer le code et le rendre rapidement opérationnel.

  • # commentaire d'un cofondateur

    Posté par . Évalué à  6 .

    Voici un commentaire d'un cofondateur : http://home.regit.org/2011/12/code-edenwall/

    Je n'ai pas vraiment compris sa critique dans le dernier paragraphe, notamment la distinction qu'il fait entre "la majeure partie du code d'Edenwall" et ce qu'il aurait voulu voir être repris (cf son paragraphe précédent)

    • [^] # Re: commentaire d'un cofondateur

      Posté par . Évalué à  2 .

      Il aurait voulu qu'on en reprenne moins.
      L'idée c'est que EdenWall a "survendu" la liberté de ses logiciels, ce qui l'a mis de facto sous licence libre (puisse que vendu/supporté/autre en temps que tel), mais tout ce qui est publié actuellement n'était pas publié par la société.

      "The trouble with quotes on the internet is that it’s difficult to discern whether or not they are genuine.” Abraham Lincoln

      • [^] # Re: commentaire d'un cofondateur

        Posté par (page perso) . Évalué à  3 .

        Ce que je comprends, c'est que la FSF a repris tout le code qui était diffusé sous licence GPL chez les clients d'EndenWall. Et puisque c'était diffusé sous cette licence il est normal que sa continue ("viralité" de la GPL inside). Le client Windows étant diffusé sous licence proprio, il est également logique que le code ne soit pas repris (mais si le code est perdu à cause de ça, c'est dommage, vu que la société à qui apartient le code n'existe plus).

        Qu'il ne veule pas que tout le code soit diffusé peut se comprendre (c'est son travail après tout), mais la GPL est clair sur les règles d'accession au code d'un logiciel distribué sous licence GPL.

        • [^] # Re: commentaire d'un cofondateur

          Posté par (page perso) . Évalué à  8 .

          Le souci, c'est qu'un des anciens commercial et dirigeant ( je dirais pas fondateur car il est arrivé juste en même temps que moi, genre une semaine avant, et j'était l'employé numéro 4 ) cherche à reprendre la boite ( aprés s'être fait virer par le PDG qui a bien constaté que le business modéle n'était pas suffisant et que certains n'appliquait pas ses directives ).

          Il a tenté de s'allier avec des compagnies improbables comme Qosmos ( les mêmes qu'on voit http://owni.fr/2011/12/01/spy-files-wikileaks/ ), ou Thales ( même carte ), pour finalement aller du coté de Netasq.
          Edenwall ayant fait faillite ( https://linuxfr.org/users/moules/journaux/edenwall-la-descente-aux-enfers ), le plan était de racheter une partie suite à la liquidation.

          Mais voila, en publiant le code source tel qu'il aurait du être publié depuis longtemps, le deal est mal barré, car il y a du coup plus rien à choper, à part des procés, mais je suppose que les nouveaux investisseurs sont au courant, et ils sont plus à 50000 euros prés si ils veulent vraiment investir ce qu'il faut ). Pas de locaux, pas de brevets, pas de matos spécifique, pas de contrats juteux ( pole d'innovation, etc ).

          Il y a bien la marque edenwall ( qui n'a pas une grande valeur ), les clients ( mais ils sont tous deja parti ) et le logiciel client proprio. Client en question qui est un gros hack pour les vieux windows à coup d'un équivalent de netstat et qui est la faiblesse de la solution dans un monde ou les gens utilisent de plus en plus d'appareils persos ( portables, tablettes ) au boulot. Les problèmes de maintenances étaient relativement nombreux et couteux au vue du manque de standardisation de ces APIs coté windows, et vu le nombre de versions, l'absence de code source et la non participation d'une communauté, ç'était juste le bordel.

          Et je ne parle pas non plus des problémes liés aux logiciels de protections ( les trucs qui font qu'un antivirus bloque tout de suite le soft ), rendant le logiciel impossible à débugguer chez le client, entrainant des délais et des couts qui n'ont pas été prévu au début.

          Donc du coup, lui, il est bien en pétard vu que le deal va sans doute tomber à l'eau ( sauf à être assez con pour aller frontalement contre la FSF france et le monde du libre en général ), mais ça se comprends. Mais bon, tout 'est pas perdu, il y a quand même du boulot dans l'informatique et je suis sur qu'il y a plein de gens prêt à embaucher un commercial ( à condition que sa réputation ne soit pas pourri par des gens peu scrupuleux et avec beaucoup de réseau, bien sur ).

          Et pis sinon, il suffit juste de trouver de refaire la même boite, le code est libre et y a pas de raison que ça se passe mal une deuxiéme fois.

          • [^] # Re: commentaire d'un cofondateur

            Posté par (page perso) . Évalué à  7 .

            Mais voila, en publiant le code source tel qu'il aurait du être publié depuis longtemps, le deal est mal barré...

            Je pense au contraire que cette publication favorise la reprise et sécurise les anciens clients d'EdenWall. Il est beaucoup plus facile désormais pour Netasq d'assurer la continuité des contrats rachetés à EdenWall. Au nom de FSF France et avec l'aide de ses avocats, j'ai passé de nombreuses heures à travailler ce qui a été publié. Le statut juridique de l'ensemble du code est désormais clair et propre à créer un climat de confiance. De plus un certain nombre de développeurs motivés et bénévoles sont dors et déjà à pied d'oeuvre sur http://ufwi.org/ et c'est bon pour la pérennité du logiciel.

            Si quelqu'un travaillait à un "deal" avant la publication de ufwi.org il peut s'en servir utilement pour le conclure. Avant sa publication un tel "deal" était si grévé d'inconnues et d'incertitudes concernant la base de code qu'il aurait eu bien peu de chances de se conclure.

            Tout le monde est gagnant: Netasq assainit le statut légal du code, les clients sortent de l'insécurité, les développeurs ont le champ libre pour contribuer bénévolement, les paquets (Debian et autres) vont pouvoir être mis à jour et de nouvelles entreprises vont pouvoir proposer des services.

            • [^] # Re: commentaire d'un cofondateur

              Posté par (page perso) . Évalué à  4 . Dernière modification : le 02/12/11 à 15:39

              Je suis d'accord, je pense aussi que c'est plus propre et je suis entiérement d'accord sur le fait que ç'est une des forces du logiciel libre à l'oeuvre. Pour moi, la majorité des gens sortent gagnants de l'histoire. Mais pas tous sortent aussi gagnant les uns que les autres.

              Tout dépend en effet du deal. Si le but était de racheter les restes de la boite afin de s'assurer qu'aucune nouvelle entreprise ne proposent des services, je suis pas sur que Netasq soit si gagnant.
              Si le but était de proposer des services exclusifs aux anciens clients, je pense pas que ça soit tip top de perdre l'exclusivité.

              Et du point de vue de l'incertitude juridique ( qui en effet était un souci ), c'est simple. Soit Netasq aurait eu envie de la lever, et donc il suffisait de publier ça sous une licence libre ( solution équivalente à la présente et moins couteuse ), soit ils ne voulaient pas et voulait garder ça comme étant leur propriété ( et ils étaient prêt à payer ). Donc cette publication ne change soit rien pour eux ( donc je vois pas comment ils sortent gagnant par rapport à la non re-publication, à part sur e fait qu'ils ont pas à gérer ça ), soit elle va pas dans leur sens ( ie, un éventuel changement de licence ) et ils sortent pas gagnant de leur point de vue.

              La seule façon d'envisager qu'ils en sortent gagnant serait de se dire que la publication a empeché de se fourvoyer dans une erreur et de leur couter de l'argent. C'est vrai dans le fond au vue des contrats, de la jurisprudence et du reste, mais je trouve ça un chouia vantard quand même :). Au final, c'est pas pour rien que la plupart voir tout les procés autour du logiciel libre se termine en faveur du libre.

              Donc oui, les clients sont gagnants, les ex-salariés sont gagnants, le libre dans son ensemble est gagnant, les entreprises innovantes peuvent proposer des services et sont gagnantes, et Netasq n'est pas trop perdant. Mais si quelqu'un avait eu d'autres idées ( et j'aurais tendance à dire que c'est le cas sans quoi certains mails ne seraient pas parti ), je pense qu'il s'estime moins gagnant, voir perdant.

              • [^] # Re: commentaire d'un cofondateur

                Posté par (page perso) . Évalué à  6 .

                soit ils ne voulaient pas et voulait garder ça comme étant leur propriété ( et ils étaient prêt à payer ). Donc cette publication ne change soit rien pour eux ( donc je vois pas comment ils sortent gagnant par rapport à la non re-publication, à part sur e fait qu'ils ont pas à gérer ça ), soit elle va pas dans leur sens ( ie, un éventuel changement de licence ) et ils sortent pas gagnant de leur point de vue.

                Ce cas de figure suppose que EdenWall était détenteur exclusif du droit d'auteur sur le logiciel en question. Et aussi que ce logiciel n'est pas un dérivé de composants copyleft car ces licences interdisent la publication sous licence propriétaire. Je doute fort que Netasq ait envisagé de publier ce qui se trouve actuellement sur ufwi.org sous licence propriétaire car ces conditions ne sont pas réunies. Je sais aussi qu'ils n'ont pas tenté de contacter les co-auteurs des logiciels pour leur proposer une cession de droits moyennant finance.

                Quand au fait de "gérer ça", c'est un cadeau fait à Netasq dont la valeur et la difficulté ne doit pas être sous estimé. La conformité aux licences et l'analyse juridique de l'ensemble des logiciels distribués par une entreprise est souvent la cinquième roue du carrosse. C'est d'ailleurs la raison pour laquelle la plupart des contrevenants à la licence GNU GPL se retrouvent devant la justice. Non pas à cause d'une volonté délibérée de nuire mais par simple négligence. L'autre problème est de trouver des personnes compétentes et de confiance pour analyser la situation.

                J'insiste donc sur le fait que tout le monde profite de la publication sur ufwi.org, y compris Netasq.

                • [^] # Re: commentaire d'un cofondateur

                  Posté par (page perso) . Évalué à  4 .

                  Ça n'a pas empêché la direction d'edenwall de l'époque de proposer une version windows d'EAS sans code source tout en se liant à qt, openssl, la lib sasl et d'autres. Bien que n'étant pas toutes sous une license GPL, certaines des bibliothèques utilisés l'ont été, et la direction avait dument été informé des problèmes via le tracker interne ( et des réunions internes aussi ).

                  Effectivement, rien n'indique que c'était le but de Netasq, et je ne fait que supposer. Et je tiens à préciser qu'en aucun cas je pense que ça soit une volonté délibéré de nuire que je suppose, juste une erreur qui est hélas trop courante, comme tu le soulignes. Le site web d'Edenwall n'était pas des plus lisibles concernant la stratégie "logiciel libre" et si des personnes au courant du libre se plantent royalement comme ça, j'imagine que d'autres n'ayant pas l'habitude ont aussi pu se planter. Netasq utilise du freebsd ( si je me souviens bien ), qui est quand même bien plus simple en terme de retour vu qu'il suffit juste de remonter ce qui a du sens d'un point de vue technique et de la maintenance sans grande obligation ( ce qu'ils font avec la pile ipsec, par exemple, et en ayant des développeurs netbsd dans leur équipe ).

                  Comme tu le dis, c'est un sujet complexe et je ne sais pas combien de temps est ce qu'il a fallu à la FSF France pour analyser la situation avec des experts, mais je ne suis pas sur que les 3 mois entre le dépôt de dossier au tribunal ( mi octobre ) et l'annonce de la liquidation ( mi aout ) ont suffit à faire une analyse aussi poussé que la votre, en rajoutant l'analyse économique, et autre pour la reprise.

                  Rien n'indique que Netasq était au courant concernant les soucis de coproriété du code, et nous sommes d'accord pour dire que la situation n'était pas claire avant la publication, et je sais que la direction avait fait pression au sein d'Edenwall pour que les choses changent vis à vis de la copropriété ( de façon fort maladroite, liant des augmentations risibles à la suppression des clauses de co propriété et je pense que c'est aussi pour beaucoup dans la dégradation de l'ambiance au sein de l'équipe technique ). D'ailleurs, le simple fait de vouloir supprimer ces clauses était maladroit et inutile car les anciens salariés, encore co propriétaire, n'ont pas été contacté, et aucune offre pour reprendre la propriété n'avait été fait.

                  Mon analyse est qu'il s'agissait sans doute une manœuvre visant à rassurer les investisseurs externes, qui ont vite compris que la société devraient être revendu au vue des ventes laborieuses. Et sans la propriété du code, ça ne vaut presque rien. D'ailleurs, c'est aussi pour ça que la société est parti pour presque rien ( entre 30 000 et 40 000 euros ).

                  Ayant obtenu plus d'information sur le rachat, et au vue de ces infos, je pense que tu as raison, et que Netasq n'a que faire de la publication du code et ne cherche pas à refaire une version commercial du produit, et que ce n'est pas vraiment ce qu'ils ont voulu reprendre. L'idée la plus probable est donc qu'ils ont cherché à reprendre soit prelude-ids, soit reprendre certains contrats à bas prix.

                  Il reste donc à voir ce que prelude-ids va devenir. J'ai lu que C-S a voulu reprendre le produit ( d'après twitter ), mais nous verrons ce que netasq a dans les cartons pour ça. Ça serait dommage qu'un logiciel vieux de 10 ans disparaisse aussi stupidement de l'internet.

          • [^] # Re: commentaire d'un cofondateur

            Posté par . Évalué à  7 .

            Et pis sinon, il suffit juste de trouver de refaire la même boite, le code est libre et y a pas de raison que ça se passe mal une deuxiéme fois.

            Méthode bien connue.

            Titre de l'image

  • # et là distrib qui va avec ?

    Posté par . Évalué à  10 .

    Nu-Dist ?

    desole on n'est pas vendredi, mais j'ai pas pu resisté.

    • [^] # Re: et là distrib qui va avec ?

      Posté par (page perso) . Évalué à  10 .

      La version Qt de l'agent NuFW aurait du s'appeller QNU mais ça a été refusé par le responsable marketing.

      • [^] # NuApplet2 pour Mac Os X intel

        Posté par . Évalué à  0 .

        Bonjour Victor

        Tu ne me connais pas, mais je suis Ramzi de la DGAC/STAC à Bonneuil-sur-Marne.
        Nous sommes des anciens clients d'Edenwall et nous disposons encore actuellement
        de 2 boitiers v4 en haute-dispo !

        Je me permets de te contacter car je suis à la recherche de l'agent Mac Os X intel !

        Hors comme Edenwall est en liquidation judiciaire, je n'ai plus accès à rien.
        Ayant trouvé ton nom l'organigramme d'INL et dans le forum, je t'écris en espérant que
        tu aurais peut-être garder les sources de : NuApplet2-2.3-OSX-x86.dmg

        Je reste en attente de ta réponse et merci par avance.
        Cordialement.

        PS : je suis joignable par mail (mailto:download.mazmaz@gmail.com)

  • # NuAgent pas disponible ?

    Posté par . Évalué à  3 .

    Je n'ai pas trouvé NuAgent (le client pour Windows). Il n'a pas été libéré ?
    C'est dommage, c'est la seule brique qui manquait à une connaissance pour utiliser nufw pour une association FAI étudiante.
    La version de NuAgent disponible gratuitement avant la fermeture de nufw.org ne fonctionnait pas bien avec Windows 7 et, comme les sources n'étaient pas publiées, pas moyen de corriger ça.
    Ils avaient le projet d'écrire eux-mêmes un client pour Windows mais c'est tombé à l'eau par manque de temps.
    Je leur avais conseillé nufw mais je n'avais pas pensé au problème du client Windows. C'est ballot !

    • [^] # Re: NuAgent pas disponible ?

      Posté par . Évalué à  4 .

      Non, cf le commentaire en bas du post cité précédemment : http://home.regit.org/2011/12/code-edenwall/

      • [^] # Re: NuAgent pas disponible ?

        Posté par (page perso) . Évalué à  6 .

        Il est vrai cependant que ce type de Firewall a une réelle valeur ajoutée s'il a un client pour tous les systèmes.

        C'est peut être aussi son principal point faible ;-)

        • [^] # Re: NuAgent pas disponible ?

          Posté par (page perso) . Évalué à  1 .

          Bah tu oublie le client pour IOS, tu oublie pour android ( ou du moins, de façon industrielle ). Pour windows, c'est chaud. Pour OS X, il y a des soucis pratiques de tests ( vu que pas de vm avec os x, faut X machines avec X fois OS X, y compris les versions plus en vente, so fun ). AU final, pour linux, c'est vachement plus simple vu que tu as un truc libre, et tu peux facilement tester sans souci, et déléguer la gestion de l'intégration à la distribution.

    • [^] # Re: NuAgent pas disponible ?

      Posté par (page perso) . Évalué à  4 .

      Extrait du communiqué de presse de FSF France :

      Cela concerne l'ensemble de la suite logicielle NuFirewall distribuée sous licence GPL, à l'exception de la brique propriétaire du client Windows qui n'est donc pas disponible sur le site.

      Espérons que le repreneur d'EdenWall, Netasq, va libérer le code de l'agent Windows.

      Le code de l'agent Windows est clairement propriétaire. C'était une manière pour INL/EdenWall de garder le monopole sur le logiciel qu'elle éditait (son fer de lance qui la démarquait de la concurrence), le parefeu NuFW.

      Il existe 3 agents libres pour Linux, FreeBSD et Mac OS X : agent en mode texte, agent graphique (C++ et Qt, le "QNU", je n'ai pas vérifié s'il est disponible sur ufwi.org) et agent "transparent" (plugin PAM lancé en arrière plan).

      Le protocole réseau de NuFW est public, le plus difficile est de trouver des informations sur la table des connexions sous Windows (peu voir non documenté). L'agent Windows utilise notamment un pilote Windows pour récupérer ces informations. Si un ancien client d'EdenWall souhaite faire évoluer l'agent (ou en écrire une nouvelle implémentation), l'agent 64 bits ne supportant pas le VPN par exemple (ce qui commence à poser problème aujourd'hui), il lui suffit d'utiliser la rétro ingénierie.

      Bien que ça ne soit pas facile à faire dans une société avec un grand parc existant, la solution évidente à ce problème est de passer les postes sous Linux (ou FreeBSD). La migration pouvant être progressive (règles différentes pour le parc Windows et pour le parc Linux, en utilisant des règles non authentifiés pour Windows par exemple).

      Un projet d'agent Windows alternatif utilisant Active Directory pour "identifier" l'origine des connexions avait été évoqué pendant un temps (sécurité plus faible mais meilleure qu'un parefeu non authentifiant), mais le projet ne s'est jamais concrétisé. Je ne connais pas assez Active Directory pour savoir quelles informations il fournit.

      Enfin, il existe un autre type d'authentification (faible) : un agent implémenté en Java cette fois-ci, l'applet Java, qui répond simplement "Hello" chaque fois qu'on l'interroge. Cet agent utilise un tunnel chiffré pour son lien avec nuauth (comme les autres agents) et exige une authentification initiale (identifiant et mot de passe de l'utilisateur), mais est incapable de certifier qu'une nouvelle connexion a été ouverte par le poste client sur lequel il tourne.

      L'applet Java ne semble pas non être disponible sur ufwi.org. Si une personne en possède une copie, ou mieux, une copie des sources, je pense que la FSF serait intéressée :-)

      • [^] # Re: NuAgent pas disponible ?

        Posté par (page perso) . Évalué à  5 .

        L'applet Java ne semble pas non être disponible sur ufwi.org. Si une personne en possède une copie, ou mieux, une copie des sources, je pense que la FSF serait intéressée :-)

        En supposant que la personne ayant écrit ce code soit soumise au même genre de contrat de travail que les salariés d'EdenWall ayant une clause logiciel libre ce qui permettrait la sortie du code par la FSF. Mais si par exemple, c'est quelqu'un qui n'était pas salarié comme un "dirigeant", impossible de sortir le code.

        • [^] # Re: NuAgent pas disponible ?

          Posté par (page perso) . Évalué à  2 .

          Le contrat de travail n'a rien à voir. Si le logiciel est sous GPL, l'utilisateur a le droit de redistribuer le code source. Et l'utilisateur, ça compte aussi pour la personne qui a le dit logiciel compilé et qui l'utilise.

          Ensuite bien sur, quelqu'un ayant le code mais n'ayant pas envie de le publier n'est pas obligé, que la raison soit la flemme, la peur d'un préjudice ou le manque de temps. Ce sont des raisons tout à fait acceptables par des adultes civilisés.

          • [^] # Re: NuAgent pas disponible ?

            Posté par (page perso) . Évalué à  5 .

            Merci beaucoup Misc d'essayer de m'apprendre les règles de bases de la GPL.

            Puisqu'il semble qu'il faille aller doit au but et éviter toute ellipse pour que tu ne t'y engouffres et partes dans des hypothèses abracabrantesques :
            - J'ai écrit l'applet Java qui ne repose sur aucun autre code
            - Je n'avais pas de contrats de travail avec EdenWall contenant de clause logiciel libre
            - Elle n'a jamais été diffusé sous licence GPL
            Donc cette applet ne peut pas être GPL.

            • [^] # Re: NuAgent pas disponible ?

              Posté par . Évalué à  6 .

              Elle peut tout à fait être GPL si tu veux bien qu'elle le soit...

            • [^] # NuApplet Mac Os X intel

              Posté par . Évalué à  0 .

              Bonjour Éric.

              C'est Ramzi de la DGAC/STAC à Bonneuil-sur-Marne, je ne sais pas si tu rappelles de moi ?
              Je te contacte car je suis à la recherche de l'agent Mac Os X intel pour m'authentifier sur notre Edenwall !

              Hors comme la société est en liquidation judiciaire, je n'ai plus accès à rien.
              Ayant trouvé ton nom sur ce forum, je me permets en espérant que tu aurais peut-être garder les sources de : NuApplet2-2.3-OSX-x86.dmg

              Je reste en attente de ta réponse et merci par avance.
              Cordialement.

              PS : Je suis aussi joignable par mail (mailto:download.mazmaz@gmail.com)

      • [^] # Re: NuAgent pas disponible ?

        Posté par (page perso) . Évalué à  1 .

        Active directory n'est qu'un ldap ( un chouia modifié ). C'est un annuaire, il a donc les informations sur les utilisateurs ( login, password, home, etc, etc ). Il n'y a rien de fondamentalement différent par rapport à un ldap du point de vue de l'authentification, sauf erreur de ma part.

  • # Historique du code source et de la société INL/EdenWall

    Posté par (page perso) . Évalué à  3 .

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.