J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les
utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ?
(on a un projet en interne et ca pourrait correspondre à priori pour
authentifier des users Citrix, si g bien compris ...)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
tom
tom wrote:
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ? (on a un projet en interne et ca pourrait correspondre à priori pour authentifier des users Citrix, si g bien compris ...)
Merci
Tom
Oublié de dire c du GPL mais il y a un client Windows à installer sur les postes ??? le lien www.nufw.org
tom wrote:
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les
utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ?
(on a un projet en interne et ca pourrait correspondre à priori pour
authentifier des users Citrix, si g bien compris ...)
Merci
Tom
Oublié de dire c du GPL mais il y a un client Windows à installer sur
les postes ??? le lien www.nufw.org
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ? (on a un projet en interne et ca pourrait correspondre à priori pour authentifier des users Citrix, si g bien compris ...)
Merci
Tom
Oublié de dire c du GPL mais il y a un client Windows à installer sur les postes ??? le lien www.nufw.org
Dominique Blas
tom wrote:
Salut,
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ? En soit l'idée n'est pas nouvelle.
Tout ingénieur réseau a dû à un moment ou à un autre développer un truc qui fait peu ou prou la même chose à savoir authentifier un utilisateur pour l'accès à la couche réseau au niveau du firewall. Pour moi c'était il y a 6 ans avec Netfilter et Squid : s'installe en 2 coups de cuiller à pot (de miel). En clair l'utilisateur désirant sortir commençait par tâter du Web ce qui débloquait son adresse MAC ou son adresse IPv4 selon la taille du réseau. Las, depuis lors les politiques se sont durcies et je ne connais pas de politiques sérieuses aujourd'hui laissant sortir les gens avec n'importe quel protocole. Ca rend le système nuFW moins utile mais néanmoins applicable dans des organisations plus laxistes ( petites entreprises). L'avantage de NuFW est qu'il existe tout fait. Le léger inconvénient c'est que le couple Squid (ou Apache peu importe) / Netfilter (ou Apache/pf) est largement plus << legacy >> (standard) et polyvalent que ce produit.
(on a un projet en interne et ca pourrait correspondre à priori pour authentifier des users Citrix, si g bien compris ...) Tu as bien compris mais les les utilisateurs citrix s'authentifient déjà
en SSO avec leur serveur de rattachement non ? Ensuite, Active Directory (ou un équivalent) fait le reste au niveau des permissions. Pourquoi ajouter une couche qui sera forcément à gérer en sus ? Si ta raison est d'ajouter un niveau ultime de filtrage à l'architecture alors il vaudrait mieux programmer ton firewall de manière à ce qu'il aille, à intervalle régulier, vérifier l'état du compte d'un utilisateur (via Active Directory c'est le mieux). Lorsque cet utilisateur s'est dûment authentifié sur le réseau local et que le profil de cet utilisateur permet l'accès DIRECT à l'Internet (je rappelle que c'est de plus en plus rare) alors le programme de contrôle débloque l'adresse IPv4 de l'utilisateur. Ce n'est pas très élégant (un programme qui boucle n'est jamais élégant) et il vaudrait mieux que ce soit la pocédure de login et de loogout elle-même qui déclenche les actions (via RPC, SOAP ou autre) mais on touche alors au souci de partage des responsabilités (pas très bon qu'un programme aille bidouiller un autre programme en écriture).
Je ne dénigre pas NuFW, loin de là, il a l'avantage d'exister mais simplement j'insiste sur le fait qu'il a probablement d'autres façons de faire dans des entreprises déjà équipées.
Oublié de dire c du GPL mais il y a un client Windows à installer sur les postes ??? le lien www.nufw.org
Client spécifique : nutcpc. Le couple Squid(ou Apache)/netfilter (ou pf) est indépendant de l'OS du client.
db --
Courriel : usenet blas net
tom wrote:
Salut,
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les
utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ?
En soit l'idée n'est pas nouvelle.
Tout ingénieur réseau a dû à un moment ou à un autre développer un truc
qui fait peu ou prou la même chose à savoir authentifier un utilisateur
pour l'accès à la couche réseau au niveau du firewall.
Pour moi c'était il y a 6 ans avec Netfilter et Squid : s'installe en 2
coups de cuiller à pot (de miel). En clair l'utilisateur désirant sortir
commençait par tâter du Web ce qui débloquait son adresse MAC ou son
adresse IPv4 selon la taille du réseau.
Las, depuis lors les politiques se sont durcies et je ne connais pas de
politiques sérieuses aujourd'hui laissant sortir les gens avec n'importe
quel protocole.
Ca rend le système nuFW moins utile mais néanmoins applicable dans des
organisations plus laxistes ( petites entreprises).
L'avantage de NuFW est qu'il existe tout fait.
Le léger inconvénient c'est que le couple Squid (ou Apache peu importe)
/ Netfilter (ou Apache/pf) est largement plus << legacy >> (standard) et
polyvalent que ce produit.
(on a un projet en interne et ca pourrait correspondre à priori pour
authentifier des users Citrix, si g bien compris ...)
Tu as bien compris mais les les utilisateurs citrix s'authentifient déjà
en SSO avec leur serveur de rattachement non ? Ensuite, Active Directory
(ou un équivalent) fait le reste au niveau des permissions.
Pourquoi ajouter une couche qui sera forcément à gérer en sus ?
Si ta raison est d'ajouter un niveau ultime de filtrage à l'architecture
alors il vaudrait mieux programmer ton firewall de manière à ce qu'il
aille, à intervalle régulier, vérifier l'état du compte d'un utilisateur
(via Active Directory c'est le mieux).
Lorsque cet utilisateur s'est dûment authentifié sur le réseau local et
que le profil de cet utilisateur permet l'accès DIRECT à l'Internet (je
rappelle que c'est de plus en plus rare) alors le programme de contrôle
débloque l'adresse IPv4 de l'utilisateur.
Ce n'est pas très élégant (un programme qui boucle n'est jamais élégant)
et il vaudrait mieux que ce soit la pocédure de login et de loogout
elle-même qui déclenche les actions (via RPC, SOAP ou autre) mais on
touche alors au souci de partage des responsabilités (pas très bon qu'un
programme aille bidouiller un autre programme en écriture).
Je ne dénigre pas NuFW, loin de là, il a l'avantage d'exister mais
simplement j'insiste sur le fait qu'il a probablement d'autres façons de
faire dans des entreprises déjà équipées.
Oublié de dire c du GPL mais il y a un client Windows à installer sur
les postes ??? le lien www.nufw.org
Client spécifique : nutcpc.
Le couple Squid(ou Apache)/netfilter (ou pf) est indépendant de l'OS du
client.
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ? En soit l'idée n'est pas nouvelle.
Tout ingénieur réseau a dû à un moment ou à un autre développer un truc qui fait peu ou prou la même chose à savoir authentifier un utilisateur pour l'accès à la couche réseau au niveau du firewall. Pour moi c'était il y a 6 ans avec Netfilter et Squid : s'installe en 2 coups de cuiller à pot (de miel). En clair l'utilisateur désirant sortir commençait par tâter du Web ce qui débloquait son adresse MAC ou son adresse IPv4 selon la taille du réseau. Las, depuis lors les politiques se sont durcies et je ne connais pas de politiques sérieuses aujourd'hui laissant sortir les gens avec n'importe quel protocole. Ca rend le système nuFW moins utile mais néanmoins applicable dans des organisations plus laxistes ( petites entreprises). L'avantage de NuFW est qu'il existe tout fait. Le léger inconvénient c'est que le couple Squid (ou Apache peu importe) / Netfilter (ou Apache/pf) est largement plus << legacy >> (standard) et polyvalent que ce produit.
(on a un projet en interne et ca pourrait correspondre à priori pour authentifier des users Citrix, si g bien compris ...) Tu as bien compris mais les les utilisateurs citrix s'authentifient déjà
en SSO avec leur serveur de rattachement non ? Ensuite, Active Directory (ou un équivalent) fait le reste au niveau des permissions. Pourquoi ajouter une couche qui sera forcément à gérer en sus ? Si ta raison est d'ajouter un niveau ultime de filtrage à l'architecture alors il vaudrait mieux programmer ton firewall de manière à ce qu'il aille, à intervalle régulier, vérifier l'état du compte d'un utilisateur (via Active Directory c'est le mieux). Lorsque cet utilisateur s'est dûment authentifié sur le réseau local et que le profil de cet utilisateur permet l'accès DIRECT à l'Internet (je rappelle que c'est de plus en plus rare) alors le programme de contrôle débloque l'adresse IPv4 de l'utilisateur. Ce n'est pas très élégant (un programme qui boucle n'est jamais élégant) et il vaudrait mieux que ce soit la pocédure de login et de loogout elle-même qui déclenche les actions (via RPC, SOAP ou autre) mais on touche alors au souci de partage des responsabilités (pas très bon qu'un programme aille bidouiller un autre programme en écriture).
Je ne dénigre pas NuFW, loin de là, il a l'avantage d'exister mais simplement j'insiste sur le fait qu'il a probablement d'autres façons de faire dans des entreprises déjà équipées.
Oublié de dire c du GPL mais il y a un client Windows à installer sur les postes ??? le lien www.nufw.org
Client spécifique : nutcpc. Le couple Squid(ou Apache)/netfilter (ou pf) est indépendant de l'OS du client.
db --
Courriel : usenet blas net
tom
Salut,
Je te remercie de ta réponse, par contre je n ai pas l impression que l on a compris la meme chose sur NuFW.
Il me semble que le but n est pas de filtrer les accès Internet mais de rajouter de la sécu pour vérouiller l eventuel accès des utilisateurs à mes serveurs internes (empecher qu ils aillent sur le serveur avant meme la demande de login et mdp (donc intéret pour mes Citrix car aujourd hui si j ouvre une règle pour un user le FW verra l IP du serveur donc tt le monde aura cette règle ouverte, à moins que tu aies autre solution ?).
Ai je bien compris ? As tu lu l article Misc sur la solution ? Es tu allé sur leur site ?
Merci
Tom
tom wrote:
Salut,
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ?
En soit l'idée n'est pas nouvelle. Tout ingénieur réseau a dû à un moment ou à un autre développer un truc qui fait peu ou prou la même chose à savoir authentifier un utilisateur pour l'accès à la couche réseau au niveau du firewall. Pour moi c'était il y a 6 ans avec Netfilter et Squid : s'installe en 2 coups de cuiller à pot (de miel). En clair l'utilisateur désirant sortir commençait par tâter du Web ce qui débloquait son adresse MAC ou son adresse IPv4 selon la taille du réseau. Las, depuis lors les politiques se sont durcies et je ne connais pas de politiques sérieuses aujourd'hui laissant sortir les gens avec n'importe quel protocole. Ca rend le système nuFW moins utile mais néanmoins applicable dans des organisations plus laxistes ( petites entreprises). L'avantage de NuFW est qu'il existe tout fait. Le léger inconvénient c'est que le couple Squid (ou Apache peu importe) / Netfilter (ou Apache/pf) est largement plus << legacy >> (standard) et polyvalent que ce produit.
(on a un projet en interne et ca pourrait correspondre à priori pour authentifier des users Citrix, si g bien compris ...)
Tu as bien compris mais les les utilisateurs citrix s'authentifient déjà en SSO avec leur serveur de rattachement non ? Ensuite, Active Directory (ou un équivalent) fait le reste au niveau des permissions. Pourquoi ajouter une couche qui sera forcément à gérer en sus ? Si ta raison est d'ajouter un niveau ultime de filtrage à l'architecture alors il vaudrait mieux programmer ton firewall de manière à ce qu'il aille, à intervalle régulier, vérifier l'état du compte d'un utilisateur (via Active Directory c'est le mieux). Lorsque cet utilisateur s'est dûment authentifié sur le réseau local et que le profil de cet utilisateur permet l'accès DIRECT à l'Internet (je rappelle que c'est de plus en plus rare) alors le programme de contrôle débloque l'adresse IPv4 de l'utilisateur. Ce n'est pas très élégant (un programme qui boucle n'est jamais élégant) et il vaudrait mieux que ce soit la pocédure de login et de loogout elle-même qui déclenche les actions (via RPC, SOAP ou autre) mais on touche alors au souci de partage des responsabilités (pas très bon qu'un programme aille bidouiller un autre programme en écriture).
Je ne dénigre pas NuFW, loin de là, il a l'avantage d'exister mais simplement j'insiste sur le fait qu'il a probablement d'autres façons de faire dans des entreprises déjà équipées.
Oublié de dire c du GPL mais il y a un client Windows à installer sur les postes ??? le lien www.nufw.org
Client spécifique : nutcpc. Le couple Squid(ou Apache)/netfilter (ou pf) est indépendant de l'OS du client.
db
Salut,
Je te remercie de ta réponse, par contre je n ai pas l impression que l
on a compris la meme chose sur NuFW.
Il me semble que le but n est pas de filtrer les accès Internet mais de
rajouter de la sécu pour vérouiller l eventuel accès des utilisateurs à
mes serveurs internes (empecher qu ils aillent sur le serveur avant meme
la demande de login et mdp (donc intéret pour mes Citrix car aujourd hui
si j ouvre une règle pour un user le FW verra l IP du serveur donc tt le
monde aura cette règle ouverte, à moins que tu aies autre solution ?).
Ai je bien compris ?
As tu lu l article Misc sur la solution ?
Es tu allé sur leur site ?
Merci
Tom
tom wrote:
Salut,
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les
utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ?
En soit l'idée n'est pas nouvelle.
Tout ingénieur réseau a dû à un moment ou à un autre développer un truc
qui fait peu ou prou la même chose à savoir authentifier un utilisateur
pour l'accès à la couche réseau au niveau du firewall.
Pour moi c'était il y a 6 ans avec Netfilter et Squid : s'installe en 2
coups de cuiller à pot (de miel). En clair l'utilisateur désirant sortir
commençait par tâter du Web ce qui débloquait son adresse MAC ou son
adresse IPv4 selon la taille du réseau.
Las, depuis lors les politiques se sont durcies et je ne connais pas de
politiques sérieuses aujourd'hui laissant sortir les gens avec n'importe
quel protocole.
Ca rend le système nuFW moins utile mais néanmoins applicable dans des
organisations plus laxistes ( petites entreprises).
L'avantage de NuFW est qu'il existe tout fait.
Le léger inconvénient c'est que le couple Squid (ou Apache peu importe)
/ Netfilter (ou Apache/pf) est largement plus << legacy >> (standard) et
polyvalent que ce produit.
(on a un projet en interne et ca pourrait correspondre à priori pour
authentifier des users Citrix, si g bien compris ...)
Tu as bien compris mais les les utilisateurs citrix s'authentifient déjà
en SSO avec leur serveur de rattachement non ? Ensuite, Active Directory
(ou un équivalent) fait le reste au niveau des permissions.
Pourquoi ajouter une couche qui sera forcément à gérer en sus ?
Si ta raison est d'ajouter un niveau ultime de filtrage à l'architecture
alors il vaudrait mieux programmer ton firewall de manière à ce qu'il
aille, à intervalle régulier, vérifier l'état du compte d'un utilisateur
(via Active Directory c'est le mieux).
Lorsque cet utilisateur s'est dûment authentifié sur le réseau local et
que le profil de cet utilisateur permet l'accès DIRECT à l'Internet (je
rappelle que c'est de plus en plus rare) alors le programme de contrôle
débloque l'adresse IPv4 de l'utilisateur.
Ce n'est pas très élégant (un programme qui boucle n'est jamais élégant)
et il vaudrait mieux que ce soit la pocédure de login et de loogout
elle-même qui déclenche les actions (via RPC, SOAP ou autre) mais on
touche alors au souci de partage des responsabilités (pas très bon qu'un
programme aille bidouiller un autre programme en écriture).
Je ne dénigre pas NuFW, loin de là, il a l'avantage d'exister mais
simplement j'insiste sur le fait qu'il a probablement d'autres façons de
faire dans des entreprises déjà équipées.
Oublié de dire c du GPL mais il y a un client Windows à installer sur
les postes ??? le lien www.nufw.org
Client spécifique : nutcpc.
Le couple Squid(ou Apache)/netfilter (ou pf) est indépendant de l'OS du
client.
Je te remercie de ta réponse, par contre je n ai pas l impression que l on a compris la meme chose sur NuFW.
Il me semble que le but n est pas de filtrer les accès Internet mais de rajouter de la sécu pour vérouiller l eventuel accès des utilisateurs à mes serveurs internes (empecher qu ils aillent sur le serveur avant meme la demande de login et mdp (donc intéret pour mes Citrix car aujourd hui si j ouvre une règle pour un user le FW verra l IP du serveur donc tt le monde aura cette règle ouverte, à moins que tu aies autre solution ?).
Ai je bien compris ? As tu lu l article Misc sur la solution ? Es tu allé sur leur site ?
Merci
Tom
tom wrote:
Salut,
Salut,
J ai lu dans Misc 18 un article sur NuFW, un FW authetifiant les utilisateurs.
Est ce que qqun a testé et si oui qu en pensez vous ?
En soit l'idée n'est pas nouvelle. Tout ingénieur réseau a dû à un moment ou à un autre développer un truc qui fait peu ou prou la même chose à savoir authentifier un utilisateur pour l'accès à la couche réseau au niveau du firewall. Pour moi c'était il y a 6 ans avec Netfilter et Squid : s'installe en 2 coups de cuiller à pot (de miel). En clair l'utilisateur désirant sortir commençait par tâter du Web ce qui débloquait son adresse MAC ou son adresse IPv4 selon la taille du réseau. Las, depuis lors les politiques se sont durcies et je ne connais pas de politiques sérieuses aujourd'hui laissant sortir les gens avec n'importe quel protocole. Ca rend le système nuFW moins utile mais néanmoins applicable dans des organisations plus laxistes ( petites entreprises). L'avantage de NuFW est qu'il existe tout fait. Le léger inconvénient c'est que le couple Squid (ou Apache peu importe) / Netfilter (ou Apache/pf) est largement plus << legacy >> (standard) et polyvalent que ce produit.
(on a un projet en interne et ca pourrait correspondre à priori pour authentifier des users Citrix, si g bien compris ...)
Tu as bien compris mais les les utilisateurs citrix s'authentifient déjà en SSO avec leur serveur de rattachement non ? Ensuite, Active Directory (ou un équivalent) fait le reste au niveau des permissions. Pourquoi ajouter une couche qui sera forcément à gérer en sus ? Si ta raison est d'ajouter un niveau ultime de filtrage à l'architecture alors il vaudrait mieux programmer ton firewall de manière à ce qu'il aille, à intervalle régulier, vérifier l'état du compte d'un utilisateur (via Active Directory c'est le mieux). Lorsque cet utilisateur s'est dûment authentifié sur le réseau local et que le profil de cet utilisateur permet l'accès DIRECT à l'Internet (je rappelle que c'est de plus en plus rare) alors le programme de contrôle débloque l'adresse IPv4 de l'utilisateur. Ce n'est pas très élégant (un programme qui boucle n'est jamais élégant) et il vaudrait mieux que ce soit la pocédure de login et de loogout elle-même qui déclenche les actions (via RPC, SOAP ou autre) mais on touche alors au souci de partage des responsabilités (pas très bon qu'un programme aille bidouiller un autre programme en écriture).
Je ne dénigre pas NuFW, loin de là, il a l'avantage d'exister mais simplement j'insiste sur le fait qu'il a probablement d'autres façons de faire dans des entreprises déjà équipées.
Oublié de dire c du GPL mais il y a un client Windows à installer sur les postes ??? le lien www.nufw.org
Client spécifique : nutcpc. Le couple Squid(ou Apache)/netfilter (ou pf) est indépendant de l'OS du client.
db
Dominique Blas
Salut,
Je te remercie de ta réponse, par contre je n ai pas l impression que l on a compris la meme chose sur NuFW.
Il me semble que le but n est pas de filtrer les accès Internet mais de rajouter de la sécu pour vérouiller l eventuel accès des utilisateurs à mes serveurs internes (empecher qu ils aillent sur le serveur avant meme la demande de login et mdp (donc intéret pour mes Citrix car aujourd hui si j ouvre une règle pour un user le FW verra l IP du serveur donc tt le monde aura cette règle ouverte, à moins que tu aies autre solution ?).
Peu importe que le FW filtre l'Internet ou le réseau local l'idée de nuFW c'est de manipuler des règles iptables à partir des éléments d'un compte utilisateur (credentials en anglo-américain). Et ça ce n'est pas nouveau. Ensuite les moyens de relier les notions d'utilisateur et de règles Netfilter sont nombreux. J'en ai cité 2, NuFW en est un troisième.
Ai je bien compris ? Oui.
As tu lu l article Misc sur la solution ? Non.
Es tu allé sur leur site ? Oui.
db
--
Courriel : usenet blas net
Salut,
Je te remercie de ta réponse, par contre je n ai pas l impression que l
on a compris la meme chose sur NuFW.
Il me semble que le but n est pas de filtrer les accès Internet mais de
rajouter de la sécu pour vérouiller l eventuel accès des utilisateurs à
mes serveurs internes (empecher qu ils aillent sur le serveur avant meme
la demande de login et mdp (donc intéret pour mes Citrix car aujourd hui
si j ouvre une règle pour un user le FW verra l IP du serveur donc tt le
monde aura cette règle ouverte, à moins que tu aies autre solution ?).
Peu importe que le FW filtre l'Internet ou le réseau local l'idée de
nuFW c'est de manipuler des règles iptables à partir des éléments d'un
compte utilisateur (credentials en anglo-américain).
Et ça ce n'est pas nouveau. Ensuite les moyens de relier les notions
d'utilisateur et de règles Netfilter sont nombreux. J'en ai cité 2, NuFW
en est un troisième.
Je te remercie de ta réponse, par contre je n ai pas l impression que l on a compris la meme chose sur NuFW.
Il me semble que le but n est pas de filtrer les accès Internet mais de rajouter de la sécu pour vérouiller l eventuel accès des utilisateurs à mes serveurs internes (empecher qu ils aillent sur le serveur avant meme la demande de login et mdp (donc intéret pour mes Citrix car aujourd hui si j ouvre une règle pour un user le FW verra l IP du serveur donc tt le monde aura cette règle ouverte, à moins que tu aies autre solution ?).
Peu importe que le FW filtre l'Internet ou le réseau local l'idée de nuFW c'est de manipuler des règles iptables à partir des éléments d'un compte utilisateur (credentials en anglo-américain). Et ça ce n'est pas nouveau. Ensuite les moyens de relier les notions d'utilisateur et de règles Netfilter sont nombreux. J'en ai cité 2, NuFW en est un troisième.
