 Retrouvez cet article dans : Misc 18
Historique et enjeux du filtrage IP par utilisateur
Les techniques de filtrage IP ont grandement évolué au cours de la dernière décennie. D'un filtrage individuel des paquets, on est passé aujourd'hui à un filtrage avec notion d'états (stateful inspection [1]), qui améliore les performances et surtout la sécurité des filtres : par exemple, pour TCP, les filtres plus anciens, ne disposant pas de tables d'états, laissaient systématiquement passer les connexions à destination de ports hauts... Actuellement, les évolutions se font dans deux directions majeures : d'une part, l'inspection du contenu des paquets, d'autre part, l'identification et l'authentification des utilisateurs à l'origine des paquets avec prise en compte de ces informations au niveau du filtre IP. Si les solutions théoriques pour l'inspection des paquets sont globalement connues, il n'en est pas de même de l'identification des paquets où des voies nouvelles sont en cours d'exploration. Le logiciel NuFW est l'implémentation d'une méthode innovante d'authentification qui passe outre l'association IP==utilisateur, ce qui présente des avantages autant d'un point de vue fonctionnel qu'en termes de sécurité.Faiblesses de l'approche utilisateur == machine :
La plupart des systèmes de filtrage authentifiant proposent une authentification des flux par l'association d'une adresse IP à un utilisateur, considérant implicitement réalisée l'association utilisateur == machine. Cette méthode était une réponse appropriée dans les années qui ont vu les premiers développements des pare-feu puisque la quasi-totalité des parcs de micro-ordinateurs était constituée de machines utilisant un système d'exploitation mono utilisateur (quoique...). Le développement et le retour des systèmes multiutilisateurs (Terminal Server, Citrix, Systèmes UNIX-like " envahissant " le poste de travail) ont rendu cette association caduque au niveau fonctionnel en rompant l'association utilisateur == machine. De plus, au niveau de la sécurité, ce genre d'approche recèle une faille importante de par son principe même. En effet, ces solutions d'authentification reposent sur l'association à un moment donné entre adresse IP et utilisateur (cette association est réalisée par diverses méthodes : de nombreuses " boîtes noires " utilisent HTTPS [2] ; OpenBSD l'implémente sur OpenSSH avec Authpf [3]...). Les paquets ensuite reçus de la machine sont supposés provenir de l'utilisateur, un mécanisme s'assurant dans le meilleur des cas de la persistance de la validité de l'association. L'authentification des paquets réalisée par ce type de système – dite a priori – est donc sujette à diverses attaques (comme par exemple l'attaque du type arp-spoofing) utilisant la rémanence de l'association IP==utilisateur pour usurper l'identité de l'utilisateur.Apports de l'identification des paquets
L'identification des paquets est vue généralement comme une solution résolvant un problème d'administration système et réseau. L'établissement d'une politique de sécurité avancée dans une organisation vise à différencier les entités (individus, processus, etc.), la finalité étant d'autoriser les accès de chaque entité aux seules ressources auxquelles elle a droit. Au niveau du filtrage, il est par conséquent nécessaire d'identifier l'auteur de chaque flux pour mettre en œuvre une telle politique. Ce genre de problématique est classiquement résolu en associant à chaque utilisateur l'adresse IP de sa machine lors de l'écriture de règles de filtrage et en générant des règles d'accès pour cette machine. Cette technique, encore très couramment utilisée, est inapplicable si les utilisateurs sont mobiles (que ce soit physiquement ou, par exemple, au niveau IP dans le cadre d'un réseau en DHCP). Par ailleurs, comme vu ci-dessus, ce genre de système est peu fiable. Un système d'authentification est nécessaire pour appliquer des politiques individualisées dans le cadre de ces réseaux. Ceci permet de plus de gérer des règles traitant directement des utilisateurs, simplifiant au passage le travail de l'administrateur. Bien entendu, cette solution s'appuie sur une notion d'identifiant unique pour chaque utilisateur, à l'échelle d'un réseau. Un autre intérêt découle d'un tel système : le pare-feu connaissant l'association entre flux et utilisateur, il sait être une source d'identification pour l'ensemble des services d'un système d'information. L'authentification des paquets a plusieurs conséquences. D'une part, la réalisation de politiques de filtrage individualisées, d'autre part, de fournir une infrastructure permettant de construire une solution d'authentification unique – Single Sign On – indépendante du protocole.NuFW : une solution d'authentification des flux IP a posteriori
NuFW (Now User Filtering Works [4] [5]) est un système résultant du rapprochement du filtre IP et de l'annuaire des utilisateurs d'un réseau (LDAP ou autre). Cet article vise à présenter les idées à la source du projet, ainsi que les avantages induits par ce rapprochement. L'aspect des performances du filtre IP est également étudié. Dans la deuxième partie de cet article, les aspects pratiques de l'installation et du paramétrage de NuFW seront abordés.Principes
Le logiciel NuFW propose une solution d'authentification a posteriori des flux, fondée sur Netfilter, la couche de filtrage IP du noyau Linux. Avec NuFW, chaque utilisateur doit démontrer son identité à chaque initialisation de connexion (le terme " connexion " est à prendre au sens du Conntrack de Netfilter, pas au sens classique associé à TCP ; le Conntrack étend cette notion aux protocoles non connectés, tels UDP ou ICMP [6]). Une fois l'identité de l'utilisateur établie, le paquet est ensuite filtré, selon les droits associés à l'utilisateur. Si ce premier paquet est accepté, alors les autres paquets appartenant à la même connexion sont gérés par le système de suivi d'état de Netfilter : seul le paquet d'initialisation d'une connexion est authentifié. Ce principe de fonctionnement requiert la présence d'un client logiciel sur le poste de l'utilisateur. Des clients NuFW existent pour Microsoft Windows et GNU/Linux. Un mode sans client est également disponible dans NuFW. Il délègue l'authentification à un module externe, adjoint au serveur, nuauth. Il est ainsi possible de se passer d'un client logiciel sur le poste utilisateur en utilisant par exemple une authentification par identd. Un tel mode d'authentification par Netbios est également envisagé. Dans tous les cas, le mode sans client est un mode " dégradé " puisque l'autorité de confiance est le client lui-même.Systèmes multiutilisateurs
Avec NuFW, chaque connexion est associée à un utilisateur, avant même que soit prise une décision concernant son acceptation. Ce système réalise donc un filtrage par utilisateur, même si plusieurs utilisateurs travaillant sur une même machine génèrent simultanément des flux à partir d'une même adresse IP source. Avant de statuer sur chacune des connexions, le pare-feu NuFW demandera la validation de l'identité de chacun des utilisateurs et appliquera à chaque connexion les droits associés à son utilisateur.Performances
Puisque la tâche d'authentification est réalisée uniquement lors de l'arrivée du premier paquet de chaque connexion et puisque le reste du flux relatif à la connexion est pris en charge par le système de suivi de connexions de Netfilter, la charge du système d'authentification est largement limitée. Outre de grands avantages en termes de charge réseau, cette méthode garantit que l'impact de NuFW en terme de débit sur le pare-feu est inexistant : seuls les paquets d'initialisation de connexion sont concernés par le procédé d'authentification. De plus, il est à noter que la qualité de service des applications interactives (h323...) n'est pas affectée par NuFW : un délai est mesurable à l'initialisation des connexions, puis le trafic s'écoule interactivement comme avec un filtre " classique ".
 Nous constatons donc que dans un schéma proche de l'attaque de type denial of service, NuFW se comporte très bien. Il a acheminé tous les paquets, en réalisant ses tâches d'authentification en un temps plus long (comme prévu) que sur un filtre IP classique, mais dans la même échelle de temps (moins de 2 fois le temps sur un filtre classique). Rappelons que dans un environnement de production les connexions TCP sont conçues pour durer plus longtemps et donc lisser largement cet écart de temps. La suite de filtrage NuFW dans son ensemble s'est par ailleurs montrée très stable au cours des derniers mois dans le cadre d'une installation en production.
Autres fonctionnalités de NuFW
Au-delà d'une extension sécurisée des règles de filtrage à la notion d'utilisateur, NuFW apporte un certain nombre de fonctionnalités intéressantes.Surveillance des systèmes
NuFW contribue de manière très pointue à la surveillance de l'activité réseau des serveurs : toutes les implémentations modernes de serveurs attribuent des utilisateurs système distincts aux services qu'ils font tourner. NuFW permet naturellement de définir, pour les serveurs, une politique réseau différente pour chaque utilisateur système. Ces différents cas de figure sont traités pratiquement dans la deuxième partie du présent article. Par exemple, sur un serveur Web, le superutilisateur se connecte généralement à Internet pour vérifier et éventuellement télécharger les mises à jour de sécurité. D'un autre côté, si l'utilisateur qui fait tourner le serveur Web sur la même machine tente d'ouvrir une connexion, il est probable qu'il ait été compromis : NuFW bloque le trafic et alerte les administrateurs.Filtrage par système d'exploitation ou par application
Profitant de la présence du client logiciel sur le poste utilisateur, NuFW filtre également le trafic selon l'OS ou l'application à sa source. Il est par exemple possible de créer une règle qui autorise uniquement Mozilla ou Thunderbird, tournant sous Windows XP, à se connecter à un serveur IMAP donné et de refuser les connexions ayant pour origine un autre système d'exploitation ou une autre application. À noter que NuFW fait confiance sur ce point aux informations transmises par l'agent installé sur le poste client. La pertinence de ces informations est à relativiser. En effet, on ne peut pas exclure l'hypothèse d'un utilisateur malveillant se servant d'un agent modifié ou encore l'hypothèse d'un virus ou autre programme mal intentionné envoyant de fausses informations au serveur NuFW. Il reste possible de positionner des règles de filtrage strictes à la condition d'accorder une confiance importante dans l'intégrité du poste de travail. Par exemple, un tel filtrage est envisageable sur une machine d'un LAN sur lesquels les utilisateurs n'ont pas les droits d'installation.Qualité de service différenciée et routage par utilisateur
NuFW est capable de marquer chaque paquet d'une connexion avec l'identifiant de son utilisateur et donc d'appliquer une politique de qualité de service spécifique à chaque utilisateur. Il est ainsi possible d'attribuer à un utilisateur une certaine bande passante globale. L'implémentation d'une politique de routage différenciée est une des conséquences de cette fonctionnalité. En résumé, NuFW sait attribuer très finement la bande passante et la priorité du trafic réseau, par utilisateur et par protocole et ceci même sur les machines multiutilisateurs.Suivi de l'activité des utilisateurs
NuFW dispose de modules de surveillance qui journalisent les événements principaux de l'activité du réseau en indiquant quels sont les utilisateurs à l'origine des flux : ouverture de connexion, établissement de connexion, fermeture de connexion, paquets bloqués par le système. Les modules de logs existant utilisent au choix Syslog, PostgreSQL ou encore MySQL. NuFW garde la trace de chaque connexion ouverte (ou tentée). Par exemple, grâce aux modules SQL, il est très facile de visionner les connexions initialisées par M. Dupont au cours du mois dernier, même si ce dernier a changé d'adresse IP ou d'endroit et ce y compris si M. Dupont partage son poste de travail avec d'autres utilisateurs.Authentification unique (Single Sign On)
NuFW permet d'identifier les utilisateurs des applications réseau, de manière simple, par Single Sign On. Les modules de journalisation SQL maintiennent en temps réel une table des connexions associant connexion et utilisateur. Par exemple, pour TCP ou UDP, une connexion d'un utilisateur est identifiée de manière sûre, en partant des 5 paramètres suivants : adresse IP source, adresse IP destination, port source, port destination, marqueur de temps (le lecteur averti a déjà noté la possible omission de l'adresse et du port destination). Ainsi, faire une requête sur la base SQL de NuFW portant sur ces paramètres conduit à une identification fiable de l'utilisateur à la source de la connexion. Par conséquent, toute application réseau qui doit identifier un utilisateur est capable de déterminer l'identité de ce dernier en interrogeant le système de suivi de connexions de NuFW. Ce fonctionnement est facilement extensible à toute application réseau client/serveur et garantit une identification stricte, transparente et sécurisée des utilisateurs. À l'heure de l'écriture de cet article, des modules SSO NuFW [7] sont fonctionnels pour Apache, et pour Squid, et illustrent la validité de ce principe. En termes de performances, nos tests – réalisés avec AB (Apache Bench) – montrent que le fonctionnement de NuFW en mode Single Sign On a un impact non perceptible par l'utilisateur.Installation et configuration de NuFW
Architecture de NuFW
Principe de fonctionnement
Une installation typique de la suite logicielle NuFW comporte 2 démons :Composants logiciels et dépendances
L'ensemble des briques présentées ci-avant est codé en C. Le démonModules d'authentification et de journalisation
La modularité desystem: ce module reposant sur PAM et NSS apporte à NUFW la puissance des modules déjà développés pour ces deux systèmes et garantit une intégration optimale au système d'information.ldap: une classe d'objet LDAP spécifique permet d'obtenir les informations d'appartenance aux groupes en une requête contrairement à la solution de stockage couramment utilisée (PAM, NSS notamment). Ceci fait de ce module une solution efficace.dbm: les données relatives aux utilisateurs sont stockées dans un fichier dbm que l'on maintient grâce à un utilitaire fourni dans les sources.plaintext: ce module particulièrement facile à déployer, mais réservé aux installations avec un faible nombre d'utilisateurs, stocke les informations dans un fichier plat.
Installation de NuFW
Cette partie décrit une installation typique de la suite NuFW, dans la branche 1.0.X, utilisant :- authentification utilisateur par PAM et NSS (module
system) ; - stockage des ACL grâce à LDAP (module
ldap)Â ; - journalisation par MySQL (module
log_mysql).
Compilation
Pré-requis Les bibliothèques suivantes ainsi que leurs en-têtes respectifs sont impliqués dans la compilation :libglib2.0iptables: le fichierlibipq.aest nécessaire à la compilation du serveur NuFWlibsasl2libgnutls11libldap2libmysqlclient
$ ./configure --with-mysql-log --with-ldap --sysconfdir=/etc/nufw/ [--with-user-mark]
Installation et tests de fonctionnement
Par défaut, tous les fichiers installés depuis l'archive le sont bien sûr dans- Pour
nufw:
cp conf/cert/nufw-*.pem /etc/nufw/
- Pour
nuauth:
   cp conf/cert/nuauth*.pem /etc/nufw/    cp conf/cert/NuFW*.pem /etc/nufw/Pour les clients (
mkdir ~/.nufw tinycaLes fichiers certificat et clé doivent respectivement être sauvegardés sous les noms :
mysqladmin create ulog cat conf/nulog.mysql.dump | mysql ulogIl faut ensuite créer un utilisateur capable de faire les modifications appropriées dans la table
#mysql mysql > GRANT INSERT,UPDATE ON ulog.ulog TO 'nuauth'@'localhost' IDENTIFIED BY 'goodsecret';
Configuration
Configuration de l'annuaire LDAP pour le stockage des ACL
Il faut tout d'abord ajouter le schéma de stockage des ACL au LDAP. Pour cela, il faut copier le fichier acls.schema dansinclude /etc/ldap/schema/acls.schema
On ajoute ensuite les règles d'accès LDAP :
#INL access for acls
access to dn="ou=acls,dc=inl,dc=fr"
by dn="uid=nufw,ou=Users,dc=inl,dc=fr" write
by dn="uid=nuauth,ou=Users,dc=inl,dc=fr" read
by dn="cn=admin,dc=inl,dc=fr" write
by * none
L'utilisateur nufw sera utilisé par les scripts pour effectuer les modifications dans l'arbre et l'utilisateur $ldap_host="localhost"; $username="uid=nufw,ou=Users,dc=inl,dc=fr"; $password="writepasswd"; $basedn="ou=Acls,dc=inl,dc=fr";Ce fichier contenant des données sensibles doit posséder des droits limités. Pour tester :
nuaclgen -A cn=ssh,ou=Acls,dc=inl,dc=fr -p 6 --dport 22 -AppName "/usr/bin/ssh" -j ACCEPT -g 513On donne ainsi accès au port du protocole ssh aux utilisateurs du groupe 513, s’ils utilisent le binaire ssh. Le regroupement des utilisateurs en groupes est utilisé de manière traditionnelle afin de définir des politiques d'accès pour des utilisateurs au profil proche les uns des autres. Ou encore pour les accès provenant d'un serveur Web :
nuaclgen -A cn=apt,ou=Acls,dc=inl,dc=fr -p 6 --dport 80 -AppName "/usr/lib/apt/methods/http" -j ACCEPT -g 1042Cette ACL donne aux membres du groupe 1042 (qui contient des utilisateurs propres aux comptes root de nos serveurs Web) l'autorisation de réaliser les mises à jour de notre distribution favorite. Ainsi, à supposer que l'utilisateur Apache tente une requête vers un autre serveur Web, il sera bloqué, et sa tentative sera journalisée. En revanche, à supposer que notre serveur Web soit un proxy inversé, l'utilisateur Apache doit effectivement accéder aux ressources Web sur d'autres serveurs :
nuaclgen -A cn=apache-proxy,ou=Acls,dc=inl,dc=fr -p 6 --dport 80 -AppName "/usr/sbin/http" -da "192.168.50.0/24" -j ACCEPT -g 1043où le groupe 1043 est dédié aux utilisateurs Apache des serveurs Web. Le support d'un switch
Configuration de nuauth
La configuration choisie utilise le module d'authentification des utilisateursnuauth_user_check_module="libsystem" nuauth_acl_check_module="libldap"Pour utiliser le module de gestion des ACL LDAP, il faut paramétrer le DN de connexion à l'arbre :
# dn and password to bind ldap connexion to ldap_bind_dn="uid=nuauth,ou=Users,dc=inl,dc=fr" ldap_bind_password="secretpassword"et les bases de recherche pour les ACL :
ldap_basedn="dc=inl,dc=fr" ldap_acls_base_dn="ou=Acls,dc=inl,dc=fr"La variable de configuration
Paramétrage du pare-feu
Nous avons vu que, pour TCP, seuls les paquets d'initialisation de connexion sont à passer à NuFW. On positionne donc pour ssh une règle telle que :iptables -A intranet-dmz -s 10.0.0.0/8 -p tcp --dport 22 -m state --state NEW \\ --syn -j QUEUE iptables -A intranet-dmz -m state --state ESTABLISHED,RELATED -j ACCEPTNous envoyons en
Tests du système d'authentification
Démarrage des services Pour tester le processus d'authentification, il faut lancer les services nécessaires :nuauth -vvvvvvvvv nufw -vvvvvvvvvIl faut ensuite lancer un client, par exemple sous GNU/Linux :
nutcpc -d -H [IP DE NUAUTH]et entrer le nom et le mot de passe d'un utilisateur système. L'authentification de l'utilisateur a alors réussi si
user bill@nufw uses OS Linux ,3.0.10, #1 Tue Oct 19 23:51:32 CEST 2008Attention ! En lançant
nufwreçoit un paquet intercepté par Netfilter :
[PID] Sending request for 3352783904
nufwse connecte en TLS Ãnuauth:
[PID] Trying TLS connection
nuauthreçoit la requête denufw:
** Message: Packet :
** Message: Connection : src=192.168.75.2 dst=192.168.75.2 proto=6
** Message: sport=32803 dport=22
nuauthenvoie une requête de demande d'authentification au client situé sur l'IP source :
** Message: need to warn client
** Message: sending request
nuauthreçoit le paquet d'authentification venant du client :
** Message: User :
** Message: Connection : src=192.168.75.2 dst=192.168.75.2 proto=6
** Message: sport=32803 dport=22
** Message: OS : Linux 2.6.9 #1 Tue Oct 19 23:51:32 CEST 2004
** Message: Application : /usr/bin/ssh
nuauthenvoie la réponse Ãnufw:
Sending auth answer 1 for 3352783904 on 0x42428482 ...
nufwréinjecte le paquet :
[PID] Accepting 3352783904Lorsque la connexion au serveur ssh réussit ou que tout du moins l'ensemble des étapes précédentes a été observé si vous avez choisi de rejeter les paquets, il est bon d'arrêter la phase de déboguage en relançant les services avec des options moins bavardes et avec l'option -D qui transformera nufw et nuauth en vrais démons.
Construire un système d'authentification unique
Afin de tester les fonctionnalités d'authentification unique de NuFW, nous allons mettre en place une authentification transparente sur un serveur Apache en utilisant le modulenuaclgen -A cn=webdmz,ou=Acls,dc=inl,dc=fr -p 6 --dport 80 -j ACCEPT -g 513Il faut également positionner la règle Netfilter qui nous enverra les paquets Web :
iptables -A intranet-dmz -s 10.0.0.0/8 -p tcp --dport 80 -m state --state NEW --syn -j QUEUE
Paramétrage du suivi de connexions authentifiées
Configuration de nuauth et du backend MySQL Il faut paramétrer les variables décrivant la connexion dansmysql_server_addr: adresse IP ou nom du serveur MySQL (localhost)mysql_server_port: port sur lequel le serveur MySQL écoute (3306)mysql_user: utilisateur MySQL capable d'effectuer desINSERTet desUDPATEsur la table (nuauth)mysql_passwd: mot de passe associé (goodsecret)mysql_db_name: nom de la base de donnée (ulog)mysql_table_name: table dans laquelle il faut modifier les informations (ulog)
#Ligne déja positionnée ci-avant iptables -A intranet-dmz -s 10.0.0.0/8 -p tcp --dport 80 -m state --state NEW \\ --syn -j QUEUE #Le paquet SYN+ACK de retour de connexion est intercepté pour repérer le #passage en état établi iptables -A dmz-intranet -s 10.0.0.0/8 -p tcp --sport 80 -m state --state ESTABLISHED --tcp-flags SYN,ACK,RST,FIN SYN,ACK -j QUEUE #Paquets de fermeture de connexion iptables -A intranet-dmz -s 10.0.0.0/8 -p tcp --dport 80 -m state --state ESTABLISHED --tcp-flags RST RST -j QUEUE iptables -A intranet-dmz -s 10.0.0.0/8 -p tcp --dport 80 -m state --state ESTABLISHED --tcp-flags FIN FIN -j QUEUE iptables -A intranet-dmz -m state --state ESTABLISHED -j ACCEPTVoici enfin un jeu de règles Netfilter plus complet, qui journalise tous les états des connexions dans la base SQL. La première règle envoie au démon
Module d'authentification Apache
Préparation de la base SQL Le serveur Apache doit réaliser des requêtes sur la base SQL pour savoir quel est l'utilisateur à l'origine des connexions. On crée donc un utilisateur capable de faire des select sur la base :# mysql mysql > GRANT SELECT ON ulog.ulog TO 'apache'@'webserver' IDENTIFIED BY 'anothergoodsecret';Compilation du module Il faut tout d'abord télécharger l'archive du module apache 1.3 [14], puis l'extraire et enfin le compiler (apxs doit être installé sur le système) :
$ ./configure --with-mysqlPour compiler le module,
LoadModule mod_auth_nufw modules/mod_auth_nufw.soIl faut ensuite positionner les directives de configuration dans la configuration d'Apache. Dans ce cas d'exemple, le répertoire
<Directory /foo/bar> #Enable NuFW SSO auth AuthNufwEnabled On #Dont fallback on any other auth scheme if this one fails. AuthNufwAuthoritative On #Paramètres pour accéder à notre serveur SQL AuthNufwSQLHost sqlserver.inl.fr AuthNufwSQLPort 3306 AuthNufwSQLDatabase ulog AuthNufwSQLTable ulog AuthNufwSQLUser apache AuthNufwSQLPassword anothergoodsecret AuthType Basic Require valid-user </Directory>Dans ce fonctionnement, un utilisateur sera autorisé si et seulement si la connexion a été autorisée par NuFW. Dans ce cas, le nom de l'utilisateur apparaîtra dans le journal d'accès d'Apache, exactement comme pour une authentification " classique ". Il est également possible d'authentifier les utilisateurs par un autre moyen (comme une authentification classique) si l'authentification n'est pas réussie en utilisant NuFW (par exemple pour des utilisateurs venant d'un réseau non-couvert par NuFW). C'est l'usage de la directive AuthNufwAuthoritative. Voir également la documentation fournie avec le module pour des fonctionnalités plus avancées. Bien entendu, le serveur Apache peut disposer d'ACL plus évoluées, par l'utilisation d'un module d'autorisation (par exemple, un module de règles d'accès aux ressources du serveur, stockées dans LDAP), mais cela sort du champ direct de NuFW. Un module pour Squid est également disponible [15]. Il fournit sensiblement les mêmes fonctionnalités SSO pour l'authentification des utilisateurs sur Squid, y compris pour authentifier les accès sur des serveurs proxy transparents.
Conclusion
La suite logicielle NuFW propose une identification et une authentification strictes des utilisateurs d'un réseau, pour tous les flux. Au-delà des possibilités très fines que ce système apporte à la conception de règles de filtrage et du suivi de l'activité des utilisateurs, NuFW est le fondement d'une solution de Single Sign On (Authentification Unique) très élégante et facilement extensible. Le modèle du Logiciel libre, parfois critiqué comme " à la traîne " et copiant les inventions du monde propriétaire, montre par ce projet qu'il est tout à fait capable d'apporter des innovations [16], y compris dans le domaine de la sécurité des réseaux. Références- [1] Stateful Inspection : http://gnumonks.org/ftp/pub/doc/conntrack+nat.html
- [2] Authentification HTTPS a priori : http://secureknowledge.checkpoint.com/pub/sk/docs/public/firewall1/4_1/pdf/ssluserauthBV1.pdf
- [3] Authpf : http://www.openbsd-france.org/documentations/OpenBSD-authpf.html
- [4] Proof of an IP level authentication algorithm : http://www.nufw.org/eficaas/eficaas_algo_proof.pdf
- [5] ou Not a Usermode FireWall : http://www.nufw.org/
- [6] Connection Tracking de Netfilter : http://kalamazoolinux.org/presentations/20010417/conntrack.html
- [7] Modules Single Sign On pour Apache et Squid : http://www.inl.fr/sso
- [8] Screenshots de l'interface nulog : http://www.inl.fr/screenshots-nulog.html.fr
- [9] Téléchargement de l'outil nulog : http://www.inl.fr/download/ulog-php.html.fr
- [10] Patch-O-Matic-ng de Netfilter : http://netfilter.org/patch-o-matic/pom-extra.html
- [11] Téléchargement de NuFW : http://www.nufw.org/download.html
- [12] Une interface graphique simple pour gérer des certificats : TinyCA : http://tinyca.sm-zone.net/Â
- [13] Client NuFW pour les OS Microsoft : http://www.inl.fr/nuwinc.html.frÂ
- [14] Page de téléchargement du module Apache mod_auth_nufw : http://www.inl.fr/sso/apache.html.fr
- [15] Page de téléchargement du module Squid squid-nufw-helper : http://www.inl.fr/sso/squid.html.fr
- [16] Signez la pétition contre les brevets logiciels : http://swpat.ffii.org/Â
 Retrouvez cet article dans : Misc 18
Donnez votre avis
Vous devez avoir ouvert une session pour écrire un commentaire.