SELKS 6 a été publié par Stamus Networks. Cette nouvelle version de la distribution mettant Suricata au cœur de l’analyse réseau orientée sécurité arrive un peu moins d’un an après la version 5.0. Au programme de la version 6, une mise à jour des logiciels intégrés, avec Suricata en version 6.0-git et Elasticsearch en version 7 et une interface Web mise à jour.

SELKS est une distribution autonome (live) et installable qui fournit une solution clef en main pour analyser le trafic réseau et détecter les menaces. Le mode de fonctionnement principal est en passif (détection d’intrusion), mais il est également possible de modifier la configuration pour en faire un système de prévention d’intrusion (IPS).

Le code source de SELKS est disponible sous licence GPL v3.

Suricata, l’outil de détection des menaces réseau, passe en version 4.0 avec pléthore de nouveautés :

• ajout de l’analyse du protocole NFS ;
• améliorations de la gestion de TLS ;
• gestion des changements de protocoles (STARTTLS, HTTP CONNECT) ;
• enrichissement des événements générés ;
• prise en charge d’analyseurs de protocoles en Rust.

Suricata est un moteur de détection d’intrusions réseau et de supervision réseau orienté sécurité. En clair, il analyse le trafic des réseaux pour détecter des menaces et journaliser les événements. Suricata est disponible sous licence GPL v2 et est développé par une fondation à but non lucratif, l’OISF.

Suricata est devéloppé en C avec depuis la version 4.0 des analyseurs de protocoles en Rust écrits avec utilisant le framework Nom.

SELKS est une distribution autonome (live) et installable qui fournit une solution de détection d’intrusion réseau et de supervision de la sécurité orientée réseau basée sur le moteur Suricata. SELKS utilise les outils Elastic pour le stockage et l’analyse des données. La version 3.0 intègre Elasticsearch 2.x et Kibana 4.x, offrant ainsi une analyse des données plus flexible et performante que dans les versions précédentes.

Concrètement, SELKS vous permet d’analyser le trafic d’un réseau en temps réel pour extraire des informations protocolaires et détecter des anomalies. Suricata réalise cette analyse et les outils Elastic se chargent, eux, de stocker et de représenter les données générées.

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.

Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.

Lorsque l'on travaille sur un projet C comportant un certain nombre de fichiers et de lignes de code, il arrive fréquemment que l'on se pose des questions comme "Mais où est modifié le champ data de ma structure Packet ?". grep ne suffit pas pour répondre à ce genre de questions car ne comprenant pas C, il ne sait pas, par exemple, que la variable monbopkt est une structure Packet.

coccigrep, basé sur coccinelle qui est un outil très puissant de recherche et de modification automatique de code, est un logiciel libre chargé de répondre à ce genre de questions. Il vient d'être publié en version 1.0rc1, sous licence GPL v3. Il est écrit en Python et s'interface avec les éditeurs Vim et Emacs, ce qui permet de faire les recherches depuis l'éditeur.

Le septième Netfilter Workshop se tient cette année à Séville en Espagne. Il réunit les principaux développeurs de Netfilter, la couche pare-feu de Linux, plus connue par son outil iptables.

Cette rencontre permet aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet, et également d'avancer sur les mises à jour de technologies à venir.

L'évènement se déroule du 18 au 21 octobre et un compte rendu est proposé par EdenWall. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

La société EdenWall Technologies, anciennement INL, a annoncé ce 2 mars 2010 la sortie de NuFW 2.4.0 après deux ans de travail. Cette nouvelle version du pare-feu identifiant sous licence GPL apporte des gains conséquents en terme de performance et d'extensibilité.

On notera notamment un protocole extensible par des greffons coté client et serveur ainsi qu'une optimisation drastique des temps de réponse sur les réseaux à forte latence.

Enfin, le projet NuFW a un nouveau site web rassemblant les différents logiciels liés au pare-feu identifiant.

La convention Netfilter qui rassemble les développeurs de la couche pare-feu de Linux aura lieu cette année à Paris. Cet événement international débutera par une journée de conférences ouvertes aux utilisateurs. Le lieu et le programme de cette journée sont maintenant établis.
Elle se déroulera le 29 septembre à l'école d'ingénieur ESIEA, Paris 5ème.

Des développeurs de Netfilter et des utilisateurs avancés présenteront leur vision et leur utilisation du filtrage IP sous Linux. Les conférences seront variées allant de la présentation de l'utilisation intensive de Netfilter/iptables chez un ISP danois à l'exposé sur le successeur d'iptables par Patrick McHardy, actuel leader du projet, en passant par une présentation de ses derniers travaux par David Miller, mainteneur de la couche réseau de Linux.

La journée est libre et gratuite. Une inscription est souhaitée pour des aspects logistiques.

Après plus d'un an de travail, la version 2.2 de NuFW est enfin disponible. Cette nouvelle branche stable du pare-feu authentifiant NuFW ajoute de nombreuses fonctionnalités :

• Support complet d’IPv6
• Politique de marquage avancée pour utilisation avec la qualité de service et le routage
• Gestion dynamique de la configuration grâce à une socket d'administration
• Compatibilité avec les clients, outils associés, et le démon nufw en version 2.0

NuFW 2.2 enrichit les notions de filtrage strict par utilisateur de NuFW 2.0 en y ajoutant la possibilité de définir le routage ou la qualité de service suivant des critères tels que l'identité ou l'application. On peut par exemple implémenter une politique permettant d'attribuer une partie de la bande passante à un groupe d'utilisateurs lorsqu'il utilise une application donnée. Il est ainsi possible de réserver 30 Ko/s de bande passante aux comptables quand ils utilisent Firefox mais seulement 10 Ko/s quand ils utilisent un autre navigateur.

pyctd est un serveur XML-RPC permettant l'interrogation et la modification du suivi de connexions de Netfilter.

Il permet d'exporter les fonctions de :

• liste des connexions (avec indication de débit)
  
• destruction de connexions
  
• modification de la marque ou du timeout d'une connexion

Une interface écrite en PHP est d'ors et déjà disponible. Elle permet un affichage et des modifications faciles. L'affichage peut de plus être enrichi avec les informations relatives à l'utilisateur si NuFW est installé sur le pare-feu.

L'ensemble de ces outils est distribué sous licence GPL par INL.

NuFW 2.0 est officiellement disponible depuis peu. Cette nouvelle version du pare-feu authentifiant est le résultat de près d'un an de développement.

Les améliorations par rapport à la précédente branche stable (1.0) sont donc nombreuses :

• Gestion de vraies règles d'accès horaires
  
• Plus d'interactivité avec l'utilisateur final (rejet ICMP par exemple)
  
• Module PAM pour une transparence complète sous GNU/Linux
  
• Utilisation des toutes dernières fonctionnalités de Netfilter

Les lecteurs de Linux Magazine pourront d'ailleurs trouver dans le numéro de Juin un article consacré à NuFW.

NuFW 1.0.0 "European Parliament, Save me!" est sortie hier inaugurant une nouvelle branche stable du projet. Cette version est dédiée aux personnes luttant contre les brevets logiciels en Europe.

Pour rappel, NuFW est un parefeu authentifiant pour GNU/Linux disponible sous GPL : il réalise l’authentification des connexions passant à travers le filtre IP. Des politiques de sécurités telles que : « Bill peut se connecter au serveur imap si il utilise Mozilla sous Linux 2.6.10 » peuvent être implémentées au moyen d'une règle d'accès NuFW unique.

La version 0.7.1 de NuFW est sortie la semaine dernière. NuFW est un parefeu authentifiant basé sur Netfilter.

Il permet de :
- réaliser un filtrage par utilisateur (même sur les machines multi-utilisateurs)
- définir la qualité de services par utilisateur
- suivre de l'activité des utilisateurs (utilisant syslog, MySQL ou PostgreSQL)

La version 0.7.1 introduit une nouvelle option qui permet de réaliser une table de suivi des connexions authentifiées en temps réel. Le stockage SQL de cette table permet de réaliser un système d'authentification unique centralisé.

Un module Apache, mod_auth_nufw, utilisant cette méthode pour réaliser l'authentification vient d'être publié en GPL. Il est donc désormais possible de s'authentifier de manière transparente sur un ensemble de serveurs Apache utilisant ce module.

La première version publique de NuFW vient de sortir. NuFW est un ensemble de démons permettant de réaliser un filtrage des paquets au niveau utilisateur.
Cette version propose :
- un démon relai à implanter sur le firewall
- un client pour linux et TCP
- un démon réalisant la synthèse des deux précédents et utilisant une base LDAP pour le stockage.