NuFW - Le pare-feu authentifiant
NuFW ajoute la notion d’utilisateurs aux règles de filtrage.
Le projet s’appuie sur Netfilter, la couche pare-feu du noyau Linux, et constitue un système de gestion d’identité au niveau des couches réseaux.
Fonctionnalités de NuFW :
Fonctionnalités de NuFW :
NuFW peut : Authentifier toutes les connexions qui passent à travers votre passerelle ou simplement un sous-ensemble déterminé (utilisation d’iptables pour sélectionner les connexions à authentifier). Réaliser du routage, de la qualité de service, des statistiques basés sur les utilisateurs et non plus simplement sur les IPs. Filtrer les paquets avec des critères tels que l’application ou l’OS utilisés par les utilisateurs. Être à la base d’une solution simple et sécurisée d’authentification unique.
État de l’art : concepts et limitations des filtres IP classiques.Le filtrage IP est un sujet bien connu des administrateurs, qui sont maintenant habitués aux fonctionnalités les plus puissantes comme par exemple, le suivi de connexions, l’anti-spoofing.
Il est aussi connu que le filtrage IP est très loin d’une solution tout en un : le filtrage de paquets est bien loin du niveau applicatif et c’est pourquoi il doit être coordonné avec d’autres outils de sécurité, tels que les serveurs mandataires, l’antivirus/antispam, etc.
Dans la plupart des environnements actuels, le filtrage de paquets IP est principalement dévolu au contrôle de ce que les gens peuvent faire depuis leur ordinateur, mais les implémentations actuelles contrôlent ce que les ordinateurs peuvent faire au niveau IP. Ceci introduit un décalage conceptuel : l’administrateur système doit travailler au niveau IP pour résoudre un problème de gestion des utilisateurs. Dans la plupart des cas, ceci mène à l’hypothèse suivante : "1 utilisateur = 1 adresse IP", ce qui est inexact par beaucoup de points.
De plus, il faut reconnaîte que les filtres IP actuels sont éloignés de l’annuaire utilisateurs qui se structure actuellement souvent autour d’une solution LDAP. Un autre point interessant est l’obtention d’une authentification unique qui reste un idéal plutôt qu’une réalité.
Que peut apporter un filtre IP ayant la notion d’utilisateur à la sécurité des réseaux ?Le premier point est que cela ajoute beaucoup de sécurité et de granularité dans les filtres. Imaginez que les règles de chaque utilisateur le "suivent" à son bureau, sur l’ordinateur du voisin, dans votre site en Malaisie...
Imaginez aussi plusieurs utilisateurs travaillant sur le même système multiutilisateurs. Avec le modèle de filtrage actuel, les mêmes règles de filtrage s’appliquent à l’ensemble des utilisateurs puisque le filtrage est basé sur l’IP. Et il sera difficile pour l’administrateur de surveiller l’activité des utilisateurs puisque celle-ci est logguée par IP (à l’exception notable des services proxyfiés)
Allons plus loin. Si les datagrammes du réseau peuvent ête associés avec leur utilisateur d’origine, il est aussi possible de filtrer les connexions "automatiques" : on peut accepter que l’utilisateur root du serveur web fasse les mises à jour mais l’utilisateur apache ne doit pas être autorisé à se connecter sur internet. De plus, vous désirerez certainement être prévenu de ces essais qui révèlent probablement une compromission du serveur web.
De plus, si un filtre IP vous permet de maintenir en temps réél et de rendre accessible une table des connexions authentifiées, une solution d’authentification unique est à portée de main.
En étant capable de connaître quel est l’utilisateur qui a émis un paquet, vous pouvez aussi faire de l’accounting et de la qualité de service (QoS) par utilisateur. Vous pouvez ainsi assigner à vos utilisateurs une partie de la bande passante.
Comment mettre tout ceci en oeuvre ?
État de l’art : concepts et limitations des filtres IP classiques.Le filtrage IP est un sujet bien connu des administrateurs, qui sont maintenant habitués aux fonctionnalités les plus puissantes comme par exemple, le suivi de connexions, l’anti-spoofing.
Il est aussi connu que le filtrage IP est très loin d’une solution tout en un : le filtrage de paquets est bien loin du niveau applicatif et c’est pourquoi il doit être coordonné avec d’autres outils de sécurité, tels que les serveurs mandataires, l’antivirus/antispam, etc.
Dans la plupart des environnements actuels, le filtrage de paquets IP est principalement dévolu au contrôle de ce que les gens peuvent faire depuis leur ordinateur, mais les implémentations actuelles contrôlent ce que les ordinateurs peuvent faire au niveau IP. Ceci introduit un décalage conceptuel : l’administrateur système doit travailler au niveau IP pour résoudre un problème de gestion des utilisateurs. Dans la plupart des cas, ceci mène à l’hypothèse suivante : "1 utilisateur = 1 adresse IP", ce qui est inexact par beaucoup de points.
De plus, il faut reconnaîte que les filtres IP actuels sont éloignés de l’annuaire utilisateurs qui se structure actuellement souvent autour d’une solution LDAP. Un autre point interessant est l’obtention d’une authentification unique qui reste un idéal plutôt qu’une réalité.
Que peut apporter un filtre IP ayant la notion d’utilisateur à la sécurité des réseaux ?Le premier point est que cela ajoute beaucoup de sécurité et de granularité dans les filtres. Imaginez que les règles de chaque utilisateur le "suivent" à son bureau, sur l’ordinateur du voisin, dans votre site en Malaisie...
Imaginez aussi plusieurs utilisateurs travaillant sur le même système multiutilisateurs. Avec le modèle de filtrage actuel, les mêmes règles de filtrage s’appliquent à l’ensemble des utilisateurs puisque le filtrage est basé sur l’IP. Et il sera difficile pour l’administrateur de surveiller l’activité des utilisateurs puisque celle-ci est logguée par IP (à l’exception notable des services proxyfiés)
Allons plus loin. Si les datagrammes du réseau peuvent ête associés avec leur utilisateur d’origine, il est aussi possible de filtrer les connexions "automatiques" : on peut accepter que l’utilisateur root du serveur web fasse les mises à jour mais l’utilisateur apache ne doit pas être autorisé à se connecter sur internet. De plus, vous désirerez certainement être prévenu de ces essais qui révèlent probablement une compromission du serveur web.
De plus, si un filtre IP vous permet de maintenir en temps réél et de rendre accessible une table des connexions authentifiées, une solution d’authentification unique est à portée de main.
En étant capable de connaître quel est l’utilisateur qui a émis un paquet, vous pouvez aussi faire de l’accounting et de la qualité de service (QoS) par utilisateur. Vous pouvez ainsi assigner à vos utilisateurs une partie de la bande passante.
Comment mettre tout ceci en oeuvre ?
En regardant cela attentivement, ces idées se rapprochent de la mise en place d’une solution de réseau privé virtuel dans votre réseau d’entreprise ... avec aucun besoin fondamental d’encryption. Mais cette solution ne résoud pas tous les problèmes et échoue sur les systèmes multi-utilisateurs.
Nous avons travaillé sur une implémentation différente appellé NuFW. Elle interopère avec Netfilter, s’interface avec LDAP et requiert une infrastructure moins lourde qu’une solution VPN. Notre idée est simple : authentifier seulement les datagrammes IP qui initient les connexions et faire confiance à Netfilter pour "le reste".
De plus, NuFW conserve la trace de l’activité des utilisateurs en l’inscrivant en temps réel dans une base de données. Si bien qu’une application munie d’un module adéquat peut accéder à ces données et identifier à la volée les utilisateurs à partir de la donnée de leur IP et port source. Des modules pour apache et squid ont été développés, ils valident le concept.
En contrepartie de ces fonctionnalités, il est nécessaire d’utiliser un client logiciel [1] sur chaque système du réseau. Nous travaillons à implémenter une solution pour chaque système (actuellement, des clients pour GNU/Linux et Windows sont implémentés).
[1] Un vrai client est nécessaire car les solutions comme l’authentification HTTPS ou SSH se contentent de faire un lien entre utilisateur et adresse IP à un moment donné ce qui est complétement faux pour un système multiutilisateur ou lorsqu’il y a de la translation d’adresse
PC-NTIC
"Un consultant NTIC à vos côtés !"
Vous ne souhaitez plus bénéficier de ces informations ?
Indiquez-le simplement ici : webmaster@pc-ntic.fr
Nous avons travaillé sur une implémentation différente appellé NuFW. Elle interopère avec Netfilter, s’interface avec LDAP et requiert une infrastructure moins lourde qu’une solution VPN. Notre idée est simple : authentifier seulement les datagrammes IP qui initient les connexions et faire confiance à Netfilter pour "le reste".
De plus, NuFW conserve la trace de l’activité des utilisateurs en l’inscrivant en temps réel dans une base de données. Si bien qu’une application munie d’un module adéquat peut accéder à ces données et identifier à la volée les utilisateurs à partir de la donnée de leur IP et port source. Des modules pour apache et squid ont été développés, ils valident le concept.
En contrepartie de ces fonctionnalités, il est nécessaire d’utiliser un client logiciel [1] sur chaque système du réseau. Nous travaillons à implémenter une solution pour chaque système (actuellement, des clients pour GNU/Linux et Windows sont implémentés).
[1] Un vrai client est nécessaire car les solutions comme l’authentification HTTPS ou SSH se contentent de faire un lien entre utilisateur et adresse IP à un moment donné ce qui est complétement faux pour un système multiutilisateur ou lorsqu’il y a de la translation d’adresse
PC-NTIC
"Un consultant NTIC à vos côtés !"
Vous ne souhaitez plus bénéficier de ces informations ?
Indiquez-le simplement ici : webmaster@pc-ntic.fr
Aucun commentaire:
Enregistrer un commentaire