Le pare?"feu authentifiant qui tient compte de l'utilisateur
Inscrivez-vous gratuitement à la Newsletter BFM Business
Le pare?"feu authentifiant d'INL permet d'appliquer une politique de sécurité en fonction de l'utilisateur. Une solution qui apporte de nombreux avantages en termes de services et de politiques de sécurité,
ainsi que bon nombre de fonctionnalités complémentaires.
Primée en juin 2005 par les 2e Trophées du libre dans la catégorie sécurité, INL lance la version 2.0 de NuFW (Now user filtering works), un pare-feu authentifiant. Cette jeune société
française, qui a aussi des activités d'intégration, en profite pour ajouter à son offre un boîtier dédié baptisé EdenWall qui embarque les composantes de NuFW.
Une authentification a posteriori des flux
L'idée de ce projet est venue en 2001 quand Vincent Deffontaines (cofondateur d'INL avec Éric Leblond) travaillait chez Alcôve sur une intégration de NSM (Net security master : ensemble de relais
authentifiés créé en 1992 par HSC, racheté en 1996 par SolSoft) à un annuaire LDAP. Un projet qui a été réalisé à 75 % seulement. ' NuFW est venu de là et on a cherché à lier les briques du pare?"feu avec
l'annuaire des utilisateurs ', raconte Vincent Deffontaines.Qu'est?"ce qui caractérise fondamentalement NuFW ? ' Nous proposons une solution d'authentification a posteriori des flux, fondée sur Netfilter, la couche de filtrage IP du noyau
Linux ', explique Jérôme Notin, responsable commercial d'INL. A posteriori et non a priori, à l'instar d'OpenBSD qui implémente sur OpenSSH avec authpf. ' Chaque utilisateur doit
démontrer son identité à chaque initialisation de connexion. Le terme de connexion est à prendre au sens du conntrack de Netfilter, et pas uniquement au sens classique de TCP. Le conntrack étend la notion de
connexion aux protocoles non connectés, tels UDP et ICMP. 'Le principe de fonctionnement est simple : une fois l'identité de l'utilisateur établie, le paquet est filtré selon les droits associés à l'utilisateur (des ACL conservés dans une structure d'annuaire
LDAP). Si le premier est accepté, les autres appartenant à la même connexion sont gérés par Netfilter. La charge de l'authentification n'est pas lourde puisque seul le paquet d'initialisation est authentifié. Les tests menés par
INL avec mille utilisateurs indiquent que pour une latence de 1 ms avec Netfilter, le traitement supplémentaire sera de 15,6 ms. Toutefois, ' cette latence supplémentaire n'est pas perceptible par
l'utilisateur et ne dépend pas précisément du nombre d'utilisateurs ', indique Vincent Deffontaines.
Une sécurité personnalisée
NuFW requiert deux démons, nufw et nuauth, qui pourront, dans la version logicielle, être hébergés sur des hôtes différents. Un client est nécessaire sous licence GPL v. 2 sous Linux?"BSD?"Mac OS X et sous licence
propriétaire pour Windows. L'idée de NuFW se fonde sur le fait qu'on ne peut s'appuyer en matière de sécurité sur l'équation : un utilisateur égale une adresse IP ou un poste. C'est d'autant plus vrai
avec les systèmes multi?"utilisateurs de type Citrix ou Linux Terminal Server. L'un des intérêts de ce pare?"feu authentifiant est qu'il permet la mise en place de politiques de sécurité personnalisées en fonction de
l'utilisateur identifié et authentifié. À cela s'ajoute le fait qu'il est possible de bâtir une solution d'authentification SSO indépendante du protocole. Deux modules sont déjà disponibles pour le serveur Web Apache et
le proxy Squid. Ce pare?"feu trouvera donc aussi toute sa place dans une approche intranet en sus du traditionnel LAN?"WAN.NuFW apporte aussi un certain nombre de fonctionnalités complémentaires comme la surveillance des utilisateurs systèmes des serveurs. Il pourra naturellement définir pour les serveurs une politique de réseau différenciée et
s'apercevoir de la compromission du système. Puisque NuFW est capable de marquer chaque paquet d'initialisation d'une connexion avec l'identifiant de son utilisateur, on peut appliquer une politique de QoS ad hoc de base
(attribution à un utilisateur d'une bande passante globale) ainsi qu'une politique de routage différentiée.La journalisation s'appuie sur Syslog et une base de données SQL (support de MySQL et PostGreSQL). Ajoutons, enfin, qu'il est possible d'effectuer un filtrage à la source par système d'exploitation ou
application. On pourra, par exemple, définir que seuls les logiciels ThunderBird sous Windows XP pourront se connecter à tel serveur Imap.
Court-circuiter le filtrage
NuFW fait confiance aux informations transmises par l'agent NuFW installé sur le poste client. ' Il est possible de court?"circuiter cette règle de filtrage, reconnaît?"on chez INL, ne
serait?"ce qu'en changeant le nom de l'application. Il ne faut donc pas voir cette fonction comme un mécanisme de sécurité. ' L'interface d'administration est claire. On regrettera cependant
que la gestion des ACL ne dispose pas encore d'un module de vérification de cohérence des règles (en cours de développement).