Sortie de NuFW 2.2, le pare-feu routeur authentifiant

Posté par (page perso) . Modéré par Florent Zara.
Tags :
0
29
mai
2007
Sécurité
Après plus d'un an de travail, la version 2.2 de NuFW est enfin disponible. Cette nouvelle branche stable du pare-feu authentifiant NuFW ajoute de nombreuses fonctionnalités :
  • Support complet d’IPv6
  • Politique de marquage avancée pour utilisation avec la qualité de service et le routage
  • Gestion dynamique de la configuration grâce à une socket d'administration
  • Compatibilité avec les clients, outils associés, et le démon nufw en version 2.0
NuFW 2.2 enrichit les notions de filtrage strict par utilisateur de NuFW 2.0 en y ajoutant la possibilité de définir le routage ou la qualité de service suivant des critères tels que l'identité ou l'application. On peut par exemple implémenter une politique permettant d'attribuer une partie de la bande passante à un groupe d'utilisateurs lorsqu'il utilise une application donnée. Il est ainsi possible de réserver 30 Ko/s de bande passante aux comptables quand ils utilisent Firefox mais seulement 10 Ko/s quand ils utilisent un autre navigateur. Pour rappel, NuFW est un pare-feu authentifiant disponible sous GPL : il réalise l'authentification des connexions passant à travers le filtre IP. Des politiques de sécurité telles que : « Bill peut se connecter au serveur IMAP si il utilise Mozilla sous Linux 2.6.16 entre 8h et 18h » peuvent être implémentées au moyen d'une règle d'accès NuFW unique. Une des spécificités de NuFW est la gestion stricte des périodes horaires puisque les connexions sont détruites à la fin de la période de temps.

Les améliorations principales sont les suivantes :
  • Support d’IPv6
  • Politique de marquage avancé pour utilisation avec la Qualité de service et le routage :
    • par utilisateur ou par groupe
    • par application
    • par système d’exploitation
  • Mode commande pour nuauth :
    • Affichage de la liste des utilisateurs connectés
    • Déconnexion des utilisateurs
    • Liste des pare-feu nufw connectés
    • Changement du niveau de debug et de son étendue
  • Compatibilité avec les clients et pare-feu nufw en version 2.0
  • Amélioration du protocole :
    • Transfert des noms d’interface réseaux empruntés par le paquet
    • Volumétrie des connexions
Des évolutions non fonctionnelles importantes sont également au rendez-vous puisque l'on peut noter l'apparition d'un système de tests unitaires et une réécriture du système de gestion des threads.

Aller plus loin

  • # lobby

    Posté par . Évalué à 3.


    réserver 30 Ko/s de bande passante aux comptables quand ils utilisent Firefox mais seulement 10 Ko/s quand ils utilisent un autre navigateur


    Ce genre de remarque est plutôt limite dans une dépêche de première page et est bien loin de ma conception du logiciel libre.
    J'appelle ça tout simplement de la discrimination navigatorielle !

    Cela dit, on est en démocratie, chacun fait comme il le sent.... Je dirait même qu'on est sur DLFP, donc anarchy powaa!!

    Vince
    • [^] # Re: lobby

      Posté par . Évalué à 7.

      mais non tu as pas compris c'est de la sécu.
      Les comptables ils sont sur un windows.
      Et ils veulent des pc pas cher.
      Pas cher dis donc que l'av n'arrive pas a vérifier si il y aplus de 10 Ko/s de traffic.
      En utilisant fx l'admin sait que les virus passeront pas par la, donc il peut augmenter la bp (mais au dessus de 30 ko/s c'est la pile ip de windows sur ces machines qui morflent).
    • [^] # Re: lobby

      Posté par (page perso) . Évalué à -7.

      Ce genre de remarque est plutôt limite dans une dépêche de première page et est bien loin de ma conception du logiciel libre.
      J'appelle ça tout simplement de la discrimination navigatorielle !


      +1
    • [^] # Re: lobby

      Posté par . Évalué à 2.

      t'es pas au courant qu'un bon admin est un admin nazi sévère ?
      • [^] # Re: lobby

        Posté par . Évalué à 0.

        diktatorial!

      • [^] # Re: lobby

        Posté par . Évalué à 1.

        un bon admin , c est pas forcement un dictateur , mais surtout quelqu un qui sait ce qui se passe sur son reseau et sur ses machines
        • [^] # Re: lobby

          Posté par . Évalué à 2.

          Comment peut-on savoir ce qui se passe sur son réseau sans être dictateur ?
  • # Génial

    Posté par . Évalué à 4.

    Je trouve ca, tout simplement génial :)
    • [^] # Re: Génial

      Posté par . Évalué à -1.

      Je dirais même plus, c'est génialleuuhh !
    • [^] # Re: Génial

      Posté par . Évalué à 3.

      Certes, certes, ça a l'air pas mal mais...

      Y a t-il des utilisateurs dans la salle ? Est-ce simple à déployer dans un parc hétérogène (Linux/Windows) style PME (15-30 machines) ? Est-ce simple à configurer ?
      • [^] # Re: Génial

        Posté par . Évalué à 4.

        Premier point pour un parc hétérogène, le client qui permet à une machine de s'authentifier est :
        - libre et gratuit pour linux
        - propriétaire et payant pour Windows (env. 60 ¤ par poste je crois)

        Voir http://www.inl.fr/NuWINc.html
      • [^] # Re: Génial

        Posté par . Évalué à 5.

        Ca dépends (aussi) de la distribution que tu utilises.
        Sur Debian, qq apt-get install et qq nano plus tard, tu te retrouves avec un ""serveur"", une interface web (pas forcément hyper intuitive mais très pratique) et des clients... le tout parfaitement fonctionnel
        Sur Mandriva, j' ai rencontré plusieurs difficultés que je ne comprenais pas (entre autre le fait qu' après une deconnection de mon navigateur sur l' interface web, une simple reconnection suffisait à me relogguer sans qu' aucun mot de passe n' est été sauvegardé... lopoakompri... mais aussi des difficultés avec l' utilisation de pam-nufw) Nénamoins, après qq recherches et qq corrections, ça fonctionne.
        C' est vrai que INL et Mandriva vendent du service pour NuFW (des formations, des certifications, des machines toutes prêtes, des paquets de licences pour le client windows) et que ce n' est pas évident du tout de maîtriser le bousin.
        Mais une utilisation "simple" (petit réseau familial) avec de petits besoins, c' est vraiment et faut vraiment le dire...
        Grace à INL des fonctionnalités ont été ajoutées au noyau directement, alors pourquoi ne pas les utliser (même simplement, du moins)
        Chapeau messieurs, et merci encore
        • [^] # Re: Génial

          Posté par . Évalué à 3.

          c' est vraiment +BIEN et faut vraiment le dire

          je n' ai pas testé par moi même, mais d' après ma (très) modeste expérience et qq lectures :
          NuFW semble l' outil idéal dans un cadre "établissement scolaire" (je cite celui-ci pour le connaitre un peu, et parcequ' en entreprise les bonnes choses mettent toujours plus de temps à percer à priori) : Couplé à un classique LDAP (nufw-nuauth-auth-ldap) les possibilités deviennent fantastiques.
          la personne se connecte sur n' importe quel poste et accède à son home-dir toussa... mais en plus se voit attribuer Ses règles ""firewall"".
          Peut être pas "évident" à mettre en place, mais quel bonheur après !
          • [^] # Re: Génial

            Posté par . Évalué à 3.

            Cela a été fait dans une école avec la pare-feu Amon. Amon n'est autre que le pare-feu le plus utilisé en France (devant même les pare-feu "commerciaux" ...) et est développé par le pôle de compétences LL de l'Éducation Nationale : http://eole.orion.education.fr/diff/rubrique.php3?id_rubriqu(...) . Il est principalement utilisé dans les écoles, collèges et lycées et quelques autres entités.

            Tu as tout ce dont tu parles + du routage et de la QoS par utilisateur, style sur n'importe quel poste le prof sort en direct sur internet en SDSL et si c'est un élève qui ouvre sa session alors il passe par le proxy (avec le module SSO en authentifié transparent) avec liste noire et sur le lien ADSL.

            Le libre donne ici de belles leçons d'innovations ;-)
            • [^] # Re: Génial

              Posté par . Évalué à 2.

              je ne connaissais pas (mais alors pas du tout) ce produit. Ici on ne m' en a pas parlé et il ne semble pas utlisé. Les postes sont sous authentification Active Directory, le parefeu n' est que "frontal", et la gestion du type de droits selon la connection se fait par un logiciel proprio.
              Les seuls Linux sont .... le Parefeu en frontal d' accès (Mandriva MNF) qui gère aussi le VPN avec le rectorat. Et une Debian maintenu en interne (aka educ. nat.) pour le serveur Samba. Tout le reste c' est du ouinouin. snifff.
              Merci pour cette info.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.