ADSL-BC

[on4hu]

NuFW est un pare-feu de nouvelle génération qui apporte des possibilités
inégalées en terme d'authentification et de suivi des utilisateurs.

Pour la première fois, il devient possible de définir et d'utiliser
une politique de filtrage basée sur la notion d'utilisateur, et non
d'adresse IP. Avec tous les firewalls dits « conventionnels », les
règles de filtrage sont, par conception, limitées à des
correspondances techniques : adresses IP, ports...

NuFW étend ces possibilités, en apportant la notion d'utilisateur aux
règles. Cette authentification se fait a posteriori. Les règles
d'accès ne sont plus associées aux ordinateurs mais aux
individus. Cela permet ainsi de passer d'une règle générique de type «
telle machine (IP) est autorisée à accéder à tel service » à des
règles d'accès de type « M. Martin ou le groupe comptable est autorisé
à se connecter sur tel serveur avec telle application », et ce même
sur des machines multi-utilisateurs.

Il n'y a jamais d'association IP=utilisateur, ce qui permet ainsi
également de sécuriser les réseaux filaires comme les réseaux WiFi
(contrairement à 802.1x par exemple).

NuFW permet également de mettre en place une authentification Single
Sign On multi-protocole, de la qualité de service ou du routage par
utilisateur.

NuFW a remporté les Trophées du Libre 2005 catégorie sécurité.

Mandriva a intégré dans la toute dernière Corporate Server (CS4) les
briques NuFW côté serveur, ainsi que l'interface de génération de
règles NuFace (de type « j'autorise M. Martin à se connecter à tel
serveur ») et l'interface d'analyse des fichiers journaux NuLog.

Pour obtenir plus d'informations sur NuFW :
http://www.nufw.org/-Francais-.html

Si vous souhaitez équiper votre parc informatique Windows:
http://store.mandriva.com/

L'équipe Mandriva

___________________________________________________________________________
Retrouvez toutes les formations et adresses de nos centres agréés.
http://www.mandriva.com/fr/training

Rejoignez le club !
http://club.mandriva.com
___________________________________________________________________________
La Newsletter communautaire Mandriva LInux est disponible en :
anglais, français, allemand, espagnol, polonais, portugais du Brésil
et néerlandais. Cliquez sur le lien suivant pour :
* Choisir une autre langue
* Recevoir la newsletter dans un format différent (texte ou HTML)

[philfr]

Dis donc le spécialiste linux ?

iptables supporte le matching uid&co. depuis toujours, alors c'est quoi la nouveauté ?

man iptables ->

Code : Tout sélectionner

   owner
       This  module  attempts  to  match various characteristics of the packet
       creator, for locally-generated packets.  It is only valid in the OUTPUT
       chain,  and  even  this  some packets (such as ICMP ping responses) may
       have no owner, and hence never match.

       --uid-owner userid
              Matches if the packet was created by a process  with  the  given
              effective user id.

       --gid-owner groupid
              Matches  if  the  packet was created by a process with the given
              effective group id.

       --pid-owner processid
              Matches if the packet was created by a process  with  the  given
              process id.

       --sid-owner sessionid
              Matches if the packet was created by a process in the given ses-
              sion group.

       --cmd-owner name
              Matches if the packet was created by a process  with  the  given
              command name.  (this option is present only if iptables was com-
              piled under a kernel supporting this feature)



[rfr]

Dis donc le spécialiste linux ?

iptables supporte le matching uid&co. depuis toujours, alors c'est quoi la nouveauté ?

man iptables ->

Code : Tout sélectionner

   owner
       This  module  attempts  to  match various characteristics of the packet
       creator, for locally-generated packets.  It is only valid in the OUTPUT
       chain,  and  even  this  some packets (such as ICMP ping responses) may
       have no owner, and hence never match.

       --uid-owner userid
              Matches if the packet was created by a process  with  the  given
              effective user id.

       --gid-owner groupid
              Matches  if  the  packet was created by a process with the given
              effective group id.

       --pid-owner processid
              Matches if the packet was created by a process  with  the  given
              process id.

       --sid-owner sessionid
              Matches if the packet was created by a process in the given ses-
              sion group.

       --cmd-owner name
              Matches if the packet was created by a process  with  the  given
              command name.  (this option is present only if iptables was com-
              piled under a kernel supporting this feature)



Peut-etre que ça ne se limite pas au paquets générés localement

Mais dans le "fond", je suis d'accord :whistle:

[philfr]

Peut-etre que ça ne se limite pas au paquets générés localement

Ben si...
Dès qu'ils sortent de ta machine, le paquets perdent leurs tags iptables.

NuFW est finalement juste une interface de configuration d'iptables de plus...

[rfr]

Peut-etre que ça ne se limite pas au paquets générés localement

Ben si...
Dès qu'ils sortent de ta machine, le paquets perdent leurs tags iptables.

NuFW est finalement juste une interface de configuration d'iptables de plus...

Apparement, sauf si j'ai mal compris, un paquet généré par un user Alice sur une machine Windows peut passé le firewall si une règle "Allow Alice" sur le firewall le permet.

Iptables ne peut pas faire ça en standard. Ce que je crois, c'est que NuFW a un démon qui crée les règles iptables en fonction des infos fournies par les clients windows.

Mais je trouve que l'idée en soi n'est pas si séduisante.

[philfr]

Ben oui, parce que moi un paquet qui sort d'une machine, je peux spoofer exactement le même depuis une autre...

[rfr]

Ben oui, parce que moi un paquet qui sort d'une machine, je peux spoofer exactement le même depuis une autre...

Celui qui veut sécuriser son réseau en se basant sur des droits utilisateurs/machine n'a qu'à utiliser IPsec et utiliser un firewall traditionnel. My 2 cents ...