Sortie de Nuface 1.2

Posté par  . Modéré par rootix.
Étiquettes :
0
21
fév.
2007
Sécurité
La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :
  • Support du filtrage de contenu, avec gestion de règles Layer7
  • Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  • Nombreuses améliorations de l'ergonomie de l'interface
  • Génération de règles au format iptables-restore pour de meilleures performances au chargement.
Distribué sous licence GPL, Nuface est également intégré dans l'appliance EdenWall, basée sur le pare-feu authentifiant NuFW.

Nuface (pour la gestion de règles du pare-feu), comme Nulog (du coté du suivi des journaux d'un pare-feu), apportent de la valeur et de l'ergonomie au projet NuFW, et peuvent bien entendu être installés sur un pare-feu Netfilter "simple".

Aller plus loin

  • # règles L7

    Posté par  . Évalué à 3.

    Concernant les règles L7, sont-elles prioritaires par rapport aux autres ACLs en ce qui concerne la décision prise sur un paquet?

    Il semble que l'on ne puisse pas choisir le sens d'application d'une règle layer7 (intranet -> internet par ex)?

    Ca fait plaisir de voir le produit évoluer :)
    • [^] # Re: règles L7

      Posté par  . Évalué à 4.

      Salut, et d'abord merci pour ce commentaire qui révèle un intérêt et une compréhension des technologies utilisées.

      Les règles layer7 sont "orthogonales" aux "autres" ACLs. En fait, il s'agit d'ACL à un autre niveau (lié au protocole). En effet, Netfilter/NuFW prend la décision sur le premier paquet (en TCP : SYN) d'une connexion, alors que layer7 a souvent besoin d'un certain nombre d'échanges sur la connexion établie pour pouvoir statuer.

      Ainsi, une connexion peut être autorisée par Netfilter (donc par une ACL classique), puis après quelques échanges de datagrammes bloquée par Layer7.

      Pour ce qui concerne la deuxième question, Nuface est beaucoup plus fin que cela : l'outil s'appuie sur la notion de marque interne à la couche réseau du noyau Linux. Il est donc possible par exemple de créer deux protocoles HTTP dans nuface (un lié à une vérification L7, l'autre non) et d'utiliser le protocole de son choix pour chaque ACL. La distinction entrée/sortie est donc faisable, mais en fait on a une distinction encore plus fine que cela : ACL par ACL.

      Merci pour ton intérêt pour l'outil : il y a encore des fonctionnalités dans les cartons, à suivre dans les prochaines versions ;)
      • [^] # Re: règles L7

        Posté par  (site web personnel) . Évalué à 1.

        J'avoue que j'ai pas franchement compris ce que c'était exactement que cette couche L7.

        Remarque, nuface n'est pas cité sur la page L7layer

        http://l7-filter.sourceforge.net/
        • [^] # Re: règles L7

          Posté par  (site web personnel) . Évalué à 4.

          En fait, j'ai continuer un peu mes recherches après et effectivement, L7 a l'air assez puissant même si pour le moment, je n'ai pas regardé pour voir comment cela marche.

          En tout cas, la liste des protocoles reconnus par L7 est déjà impressionnante. Cette couche L7 est bien car elle va permette d'aller un peu plus loin que le désormais classique ouverture et fermeture de ports.


          Pour ceux qui n'ont pas suivis, L7 permet suite a l'analyse de quelques paquets (dans les deux sens) d'une connection de déterminer le protocole (FTP, HTTP, H323, Skype...) et donc de définir de nouvelle règle (par exemple, arrêt du flux).

          Comme de plus en plus de personne utilise le port 80 pour faire passer un peu tout et n'importe quoi, L7 va devenir a mon avis indispensable d'ici peu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.