Lancé en 2001 par Vincent de Fontaine et Eric Leblond, le projet
libre NuFW réunit une suite logicielle de pare-feu primée dans
la catégorie sécurité à l'occasion de l'édition 2005 des "Trophées
du libre".
Commercialisée par INL, société fondée en 2004 par
les responsables du projet, NuFW est devenu le fer
de lance de cette société de services spécialisée dans les solutions
Open Source de sécurité.
"En 2001, nous avons travaillé sur un projet d'intégration
d'annuaire LDAP au sein du proxy Netsecurity Master. C'est
à partir de là qu'est née l'idée du projet NuFW. Nous nous
sommes dit qu'avec le noyau 2.4 de Linux, il était possible
de faire quelque chose de plus moderne et plus puissant en
intégrant directement les utilisateurs au niveau de la couche
IP", se souvient Eric Leblond, fondateur du projet NuFW et
associé de la société INL.
Le
projet NuFW est divisé en deux parties : l'aspect serveur
qui représente le cœur du système, disponible sous licence
GPL, et l'aspect client, aussi sous licence GPL pour les systèmes
Linux et commercialisé pour les postes Windows sous une licence
commerciale par INL.
Son moteur s'appuie sur la couche Netfilter
de Linux et sur d'autres composants libres comme OpenLDAP,
MySQL, PostgreSQL et Glib. A l'aide de ces outils, le projet
NuFW se veut un véritable pare-feu authentifiant.
"La plupart du temps, les logiciels de pare-feu associe l'IP
à l'utilisateur. De ce fait, ils se privent de machines métiers
multi-utilisateur et, par cette association entre utilisateur
et adresse IP, contraignent à une gestion du temps de connexion
et s'exposent à une attaque de type IP spoofing.
Cela nous
a amené à faire l'authentification a posteriori des flux",
argumente Eric Leblond. L'utilisateur doit alors démontrer
son identité lors de l'initialisation de la connexion par
le biais d'un logiciel installé coté client.
| Authentification unique par le biais
d'un suivi des connexion |
Pour INL, ce procédé possède deux avantages principaux. Tout
d'abord, l'utilisateur par ce procédé valide l'authentification
au dernier moment, ce qui garantit une meilleure sécurité.
D'autre part, chaque utilisateur gère l'authentification de
ses propres connexion ce qui rend possible son usage dans
un système multi-utilisateur.
A cet aspect d'authentification s'est ajouté par la suite
des modules constituant un journal des connexions. A l'aide
de cet outil, NuFW peut désormais filtrer par application
et par utilisateur les flux IP du réseau ce qui permet d'établir
un niveau de qualité de service en fonction des besoins. Une
fonctionnalité particulièrement adaptée aux écoles ou hôpitaux
par exemple où les privilèges varient fortement entre professeurs
et élèves ou entre médecins et aides-soignants.
Grâce à cet historique des connexions et à un système d'administration
temps réel capable d'afficher les connexions ouvertes et les
utilisateurs reliés, NuFW devient une plate-forme centralisée
d'authentification unique (Single Sign On) ce qui simplifie
l'administration de la sécurité.
"Nous proposons plusieurs
produits autour de NuFW, notamment une interface de génération
de règles baptisée EdenWall afin de gérer le pare-feu. Des
couches de reporting et d'alertes par email sont en cours
de développement", conclut Eric Leblond.
|
Accueil
Dossier 