Le pare?"feu authentifiant qui tient compte de l'utilisateur

14/09/2006 à 07h00

Le pare?"feu authentifiant d'INL permet d'appliquer une politique de sécurité en fonction de l'utilisateur. Une solution qui apporte de nombreux avantages en termes de services et de politiques de sécurité, ainsi que bon nombre de fonctionnalités complémentaires.

Primée en juin 2005 par les 2^e Trophées du libre dans la catégorie sécurité, INL lance la version 2.0 de NuFW (Now user filtering works), un pare-feu authentifiant. Cette jeune société française, qui a aussi des activités d'intégration, en profite pour ajouter à son offre un boîtier dédié baptisé EdenWall qui embarque les composantes de NuFW.

Une authentification a posteriori des flux

L'idée de ce projet est venue en 2001 quand Vincent Deffontaines (cofondateur d'INL avec Éric Leblond) travaillait chez Alcôve sur une intégration de NSM (Net security master : ensemble de relais authentifiés créé en 1992 par HSC, racheté en 1996 par SolSoft) à un annuaire LDAP. Un projet qui a été réalisé à 75 % seulement. ' NuFW est venu de là et on a cherché à lier les briques du pare?"feu avec l'annuaire des utilisateurs ', raconte Vincent Deffontaines.Qu'est?"ce qui caractérise fondamentalement NuFW ? ' Nous proposons une solution d'authentification a posteriori des flux, fondée sur Netfilter, la couche de filtrage IP du noyau Linux ', explique Jérôme Notin, responsable commercial d'INL. A posteriori et non a priori, à l'instar d'OpenBSD qui implémente sur OpenSSH avec authpf. ' Chaque utilisateur doit démontrer son identité à chaque initialisation de connexion. Le terme de connexion est à prendre au sens du conntrack de Netfilter, et pas uniquement au sens classique de TCP. Le conntrack étend la notion de connexion aux protocoles non connectés, tels UDP et ICMP. 'Le principe de fonctionnement est simple : une fois l'identité de l'utilisateur établie, le paquet est filtré selon les droits associés à l'utilisateur (des ACL conservés dans une structure d'annuaire LDAP). Si le premier est accepté, les autres appartenant à la même connexion sont gérés par Netfilter. La charge de l'authentification n'est pas lourde puisque seul le paquet d'initialisation est authentifié. Les tests menés par INL avec mille utilisateurs indiquent que pour une latence de 1 ms avec Netfilter, le traitement supplémentaire sera de 15,6 ms. Toutefois, ' cette latence supplémentaire n'est pas perceptible par l'utilisateur et ne dépend pas précisément du nombre d'utilisateurs ', indique Vincent Deffontaines.

Une sécurité personnalisée

NuFW requiert deux démons, nufw et nuauth, qui pourront, dans la version logicielle, être hébergés sur des hôtes différents. Un client est nécessaire sous licence GPL v. 2 sous Linux?"BSD?"Mac OS X et sous licence propriétaire pour Windows. L'idée de NuFW se fonde sur le fait qu'on ne peut s'appuyer en matière de sécurité sur l'équation : un utilisateur égale une adresse IP ou un poste. C'est d'autant plus vrai avec les systèmes multi?"utilisateurs de type Citrix ou Linux Terminal Server. L'un des intérêts de ce pare?"feu authentifiant est qu'il permet la mise en place de politiques de sécurité personnalisées en fonction de l'utilisateur identifié et authentifié. À cela s'ajoute le fait qu'il est possible de bâtir une solution d'authentification SSO indépendante du protocole. Deux modules sont déjà disponibles pour le serveur Web Apache et le proxy Squid. Ce pare?"feu trouvera donc aussi toute sa place dans une approche intranet en sus du traditionnel LAN?"WAN.NuFW apporte aussi un certain nombre de fonctionnalités complémentaires comme la surveillance des utilisateurs systèmes des serveurs. Il pourra naturellement définir pour les serveurs une politique de réseau différenciée et s'apercevoir de la compromission du système. Puisque NuFW est capable de marquer chaque paquet d'initialisation d'une connexion avec l'identifiant de son utilisateur, on peut appliquer une politique de QoS ad hoc de base (attribution à un utilisateur d'une bande passante globale) ainsi qu'une politique de routage différentiée.La journalisation s'appuie sur Syslog et une base de données SQL (support de MySQL et PostGreSQL). Ajoutons, enfin, qu'il est possible d'effectuer un filtrage à la source par système d'exploitation ou application. On pourra, par exemple, définir que seuls les logiciels ThunderBird sous Windows XP pourront se connecter à tel serveur Imap.

Court-circuiter le filtrage

NuFW fait confiance aux informations transmises par l'agent NuFW installé sur le poste client. ' Il est possible de court?"circuiter cette règle de filtrage, reconnaît?"on chez INL, ne serait?"ce qu'en changeant le nom de l'application. Il ne faut donc pas voir cette fonction comme un mécanisme de sécurité. ' L'interface d'administration est claire. On regrettera cependant que la gestion des ACL ne dispose pas encore d'un module de vérification de cohérence des règles (en cours de développement).

Ils l'ont dit

Luc Bourdot, responsable du projet Eole au ministère de l'Éducation nationale
' Des perspectives plus grandes en matière de nomadisme '

Nous avons été assez rapidement conquis par NuFW qui casse le paradigme de la sécurité fondée sur IP. Le pare?"feu authentifiant nous ouvre des perspectives beaucoup plus grandes en matière de nomadisme. Dans un établissement scolaire, les utilisateurs (professeurs ou élèves) n'ont pas de poste dédié, il nous est impossible de savoir qui est sur un poste donné à un instant T.
Nous avions besoin d'une authentification plus forte que le simple couple login?"mot de passe. Nous voulons intégrer NuFW dans la version 2 de notre pare?"feu libre Amon. Nous modifierons notre générateur de règles ERA afin de prendre en compte les extensions de NuFW. La technologie SSO pour les modules Apache et Squid nous paraît intéressante en forçant nos utilisateurs à un passage par le proxy. Nous considérons que le contrôle d'applications est une mesure d'usage et non une fonction de sécurité car simple à court?"circuiter.

Olivier Ménager