Configurez votre pare-feu Netfilter avec Nuface 2.0

Posté par  (site web personnel) . Modéré par Jaimé Ragnagna.
Étiquettes :
0
28
mar.
2008
Sécurité
Nuface est une interface web haut niveau de configuration de pare-feu Netfilter. Écrite en PHP5 et distribuée sous licence GPL v3, elle simplifie la gestion des règles en offrant une vue haut niveau du pare-feu et une aide contextuelle expliquant directement les options de filtrage. Travaillant de concert avec NuFW et Nulog2, Nuface permet également de gérer des règles d'accès par utilisateur, par application ou par système d'exploitation, et propose le filtrage par plage horaire. Il permet également de voir à partir des journaux affichés par Nulog quelle règle a permis la connexion.

Pour la version 2.0, un effort a été fait sur l'amélioration de l'ergonomie, notamment via des formulaires simplifiés, l'ajout d'une aide contextuelle, et la mise en place d'un historique de navigation. Les règles locales (INPUT et OUTPUT) ont maintenant un formulaire dédié. Pour chaque ACL, on peut décider de tracer (avec ulogd et NuFW) ou non les connexions avec un message de log personnalisé, exploitable notamment avec le logiciel Nulog ou n'importe quel analyseur de journaux. Enfin, la mise en place initiale a été revue et facilitée avec la création d'un outil d'auto-configuration réseau (interfaces, réseaux et routes).

N'hésitez pas à venir rencontrer les développeurs à l'install party le 2 avril prochain. L'ensemble des outils seront présentés (Nuface2, NuFW et Nulog2). Par rapport à l'écriture directe d'un script utilisant iptables, l'utilisation d'une interface web permet de réduire les erreurs de manipulation et d'assurer la cohérence des objets. Entièrement traduite en français, l'interface de Nuface se présente sous la forme de listes agrémentées d'icônes et de couleurs offrant une vue synthétique du jeu de règles. Chaque objet Nuface pouvant être un ensemble d'objets, l'écriture de règles concernant plusieurs réseaux et plusieurs protocoles est triviale, et la modification d'un objet entraîne la mise à jour des règles qui en dépendent de manière transparente.

Aller plus loin

  • # Nuface 2.0.1 dispo

    Posté par  (site web personnel) . Évalué à 8.

    Le temps que la dépêche soit rédigée, publiée, tout ça, on a eu le temps de sortir une version 2.0.1. Des paquets Debian devraient être disponible la semaine prochaine. Pour les autres distributions, toute contribution est la bienvenue :-)

  • # nuface seul

    Posté par  . Évalué à 6.

    En lisant cet article, je comprend qu'on peut utiliser nuface seul pour gérer son parfeu, un peu comme avec shorewall ou autre parfeu tout intégré.

    Est-ce bien le cas où a-t-on besoin d'utiliser les autres briques ? Permet-il autant de choses que shorewall par exemple ? (je n'ai pas d'idées particulières en tête)

    • [^] # Re: nuface seul

      Posté par  (site web personnel) . Évalué à 3.

      Je ne connais pas Shorewall. Je l'ai installé vite fait, et c'est un truc en ligne de commande qui ne semble pas trop intuitif. Je dirai qu'ils ont la même finalité (générer un jeu de règles iptables), mais pas la même approche / interface. Nuface permet, je pense, de configurer un pare-feu à la souris sans avoir une bonne connaissance d'un pare-feu (Netfilter). Pour les ou autre parfeu tout intégré, je ne sais pas car je sais pas à quoi tu penses :-)

      Au sujet de l'utilisation de Nuface sans NuFW : oui, c'est possible. Disons que Nuface et Nulog sont deux briques logicielles qui peuvent être utilisées indépendamment : on peut utiliser Nuface tout seul et Nulog tout seul.

      Par contre, le trio Nuface2-Nulog2-NuFW2 est fait pour être cohérent. L'ajout de NuFW permet un filtrage beaucoup plus fin : on ne filtre plus sur l'IP mais sur l'utilisateur (la personne physique) qui est derrière la machine. NuFW permet aussi un filtrage par tranche horaire (période ou durée), par application et par systèmes d'exploitation.

      • [^] # Re: nuface seul

        Posté par  . Évalué à 5.

        Pour shorewall : en fait c'est plutôt un ensemble de fichier de conf qui décrivent le réseau et les règles, donc on est pas si loin de nuface, sauf que c'est pas une interface web + souris, mais des fichiers textes (donc plus cryptique) et le clavier.

        En fait au lieu de me poser ces questions, je ferais mieux de tester tout ça :)

        Pour les 3 briques je comprend mieux maintenant :) C'est intéressant, mais surtout pour une entreprise, une université, une résidence ou je ne sais quoi, mon utilisation sera pour la maison, donc nuface qui peut marcher seul m'intéresse beaucoup :)

        • [^] # Re: nuface seul

          Posté par  . Évalué à 2.

          En clicodrôme j'avais testé avec pas mal de plaisir fwbuilder, gestionnaire de firewall orienté objet générant des règles pour tout type de machine (du cisco au linux).

          J'ai bien sûr hâte de refondre mes règles avec nuface maintenant !

          • [^] # Re: nuface seul

            Posté par  . Évalué à 1.

            J'utilisais firestarter depuis un moment, mais il n'est plus maintenu on dirait. J'ai découvert fwbuider grace à cette discussion, il est vraiment pas mal.

            Par contre si comme moi vous n'arrivez pas à "installer" depuis le programme, "compiler" simplement le script puis copier le dans /etc/init.d et faite le lien qui va bien dans /etc/rc2.d

      • [^] # Re: nuface seul

        Posté par  . Évalué à -3.

        Nuface permet, je pense, de configurer un pare-feu à la souris sans avoir une bonne connaissance d'un pare-feu (Netfilter).

        Ca me fait bien rire .....

  • # IPV6

    Posté par  . Évalué à 5.

    Une autre question intéressante : quel est le support de nuface pour ipv6 ?

    Notons que je n'en ai rien vu dans le pdf de présentation, mais peut-être est-ce une feature en cours de dev ?

    • [^] # Re: IPV6

      Posté par  (site web personnel) . Évalué à 4.

      Réponse courte : non, Nuface2 ne supporte pas IPv6. Par contre, Nulog2 est un des premiers (le premier ?) analyseur de logs réseaux compatible IPv6. NuFW supporte IPv6 depuis sa version 2.2.

      Effectivement, IPv6 est dans la roadmap de Nuface pour avoir un ensemble d'outils totalement compatible IPv4 et IPv6.

      Bien sûr, comme Nuface, Nulog et NuFW sont sous licence GPL, nous acceptons toute contribution :-) D'ailleurs, Nuface utilisant maintenant gettext, il est trivial de le localiser dans votre langue et/ou patois :-) (non je ne traduirais pas en alsacien, je ne parle pas l'alsacien, désolé)

      • [^] # Re: IPV6

        Posté par  . Évalué à 3.

        Ok :)

        Avec l'arrivée de l'ipv6 chez les FAI grands publiques, ça commence à être intéressant d'avoir un support pour :)

        Merci pour toutes ces réponses.

  • # Interface web mais pas sur le web ?

    Posté par  . Évalué à 2.

    Si je comprends bien ça permet de générer ses règles iptables avec un navigateur web. Ensuite on peut faire copier-coller vers le fichier de configuration.
    Si je comprends bien.

    Mais alors pourquoi ne pas mettre ce logiciel en accès libre depuis un serveur web ? Le télécharger c'est bien, mais quelle utilité de télécharger puis installer puis configurer alors qu'il serait si simple de cliquer sur le bon lien et hop je configure ?

    • [^] # Re: Interface web mais pas sur le web ?

      Posté par  (site web personnel) . Évalué à 2.

      > Si je comprends bien.

      Pas tout à fait, Nuface génère un jeu de règles et applique le jeu de règles sur le parefeu. C'est donc assez utile de l'avoir sur la machine.
      Cela dit, rien ne s'opposerait à faire cela sur une machine externe, puis à transférer le jeu de règles.

      L'idée d'un service hébergé n'est pas stupide mais par pure paranoia je ne donnerais jamais mes règles de pare-feu à générer à un tiers ;)

    • [^] # Re: Interface web mais pas sur le web ?

      Posté par  (site web personnel) . Évalué à 2.

      Hum, un pare-feu est quand même un service très sensible du point de vue sécurité. Il vaut mieux héberger ce genre de service chez soit pour éviter les fuites d'information.

      Nuface a besoin de connaître la configuration de ton pare-feu : interfaces, réseaux, routes ; informations qui ne peuvent lues que sur le pare-feu lui même (bien qu'il soit possible de lancer gendesc.xml sur le pare-feu et récupérer le fichier desc.xml sur une autre machine). L'autre contrainte est de lancer un script bash en tant que root (/etc/init.d/init-firewall lancé avec sudo) pour charger les règles iptables.

      D'une manière ou d'une autre, ça serait possible, mais ça rend l'infrastructure (inutilement ?) compliquée.

      • [^] # Re: Interface web mais pas sur le web ?

        Posté par  . Évalué à 2.

        un pare-feu est quand même un service très sensible du point de vue sécurité. Il vaut mieux héberger ce genre de service chez soit pour éviter les fuites d'information.

        Personnellement j'évite aussi tout ce qui est à base de serveur www, php, etc ...

        • [^] # Re: Interface web mais pas sur le web ?

          Posté par  (site web personnel) . Évalué à 2.

          Nuface s'installe derrière un Apache qui s'occupe de la couche authentification. Alors après c'est une histoire de configuration, il n'y a pas de raison de laisser Nuface ouvert pour tous. Nuface vérifie les données à tous les étages, donc je pense qu'avec en plus l'authentification Apache, le risque est minime. Interface web ne veut pas forcément dire accessible pour tous sur Internet.

          • [^] # Re: Interface web mais pas sur le web ?

            Posté par  . Évalué à 3.

            N'empêche que je me vois mal installer apache et tout le toutim sur nos dizaines de machines qui servent de support à des serveurs virtuels de production, à des machines qui servent d'agrégateurs de liens ADSL, etc.

            Apache n'a rien à faire sur des machines de production (sauf si c'est, justement, un serveur web).

            Dans mon cas, je continue à la mimine :-)
            Enfin copier/coller et un chti coup de sed.

  • # simple à quel point ?

    Posté par  . Évalué à 1.

    Bonjour, j'ai actuellement un viel ordi qui fait tourner une IPCop pour gérer ma connection mais je pense à changer depuis un moment pour qu'il puisse faire un peu plus (serveur IMAP, ...).

    Ce qui m'a retenu jusqu'à maintenant c'est la facilité des opérations de base pour configurer le pare-feu, comme rediriger les ports pour héberger temporairement un serveur Neverwinter ou autre. Facilité que je ne veus pas perdre en passant sur une distribution plus générale. Si je dois me taper des règles iptables à la main c'est clair que je vais finir par faire un truc bancal ou laisser des ports ouverts alors qu'ils ne servent que tous les 3 mois. ^^

    Est-ce que Nuface peut correspondre à ce que je recherche ?

  • # Tester Nuface 2 avec un LiveCD

    Posté par  . Évalué à 4.

    Un moyen très simple de tester Nuface 2 (entre autres outils de pare-feu) est tout simplement le LiveCD http://live.nufw.org. Je crois qu'il manque juste dans cette version du Live la possibilité de choisir son marqueur de log dans Nuface et de le voir affiché dans Nulog (analyse de log pare-feu), et de voir dans Nulog qu'elle règle Nuface a été appliquée pour chaque paquet.

    Mais l'essentiel est là pour se faire une idée, le plus long étant le téléchargement de l'ISO !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.