Modifications récentes

Interview : Eric Leblond (NuFW)

Traductions de l'article :

Eric Leblond : contributeur Netfilter, fondateur du projet NuFW et co-fondateur de la société INL.

Conférence RMLL 2008 : NuFW, le pare-feu authentifiant

Bonjour Eric : pourrais-tu te présenter pour les futurs visiteurs des RMLL qui ne te connaitraient pas encore ?

J’ai commencé à m’intéresser au logiciel libre au cours de mes études de mathématiques (J’ai fait le DEA d’analyse numérique de Paris VI). La bifurcation vers l’informatique a été progressive mais totale puisque j’ai commencé à travailler après mes études dans une SS2L. En 2001, j’ai initié le projet de pare-feu authentifiant NuFW avec Vincent Deffontaines. Les interactions de NuFW avec Netfilter m’ont amené à devenir peu à peu un contributeur régulier. En 2004, lorsque NuFW a été prêt pour le monde de l’entreprise, Vincent et moi avons créé INL, une société qui a pour but d’améliorer la sécurité des systèmes d’information, avec des Logiciels Libres et notamment avec NuFW, notre développement maison.

Netfilter et toi : comment est nait ton intérêt pour Netfilter, tes premiers pas, l’arrivée de la reconnaissance ...

J’ai découvert Netfilter juste après sa sortie en 2001 lors d’une formation interne dans la société pour laquelle je travaillais. J’ai ensuite installé des pare-feu et travaillé à la refonte d’architectures réseaux dans des entreprises. C’est là que ma passion pour les systèmes de filtrage et le réseau est née. Ensuite, lorsque nous avons démarré le projet NuFW en 2001 j’ai été amené à me rapprocher de plus en plus des couches noyaux et de Netfilter. Le vrai début de reconnaissance au niveau Netfilter date je pense de ma participation au Netfilter Workshop en 2005. Une de mes plus grandes fiertés a été d’y être félicité par Rusty Russel pour NuFW. Il était heureux de voir que son idée de déléguer la décision en espace utilisateur était enfin utilisée par un projet significatif. En parlant du Netfilter Workshop, je vous annonce en avant première qu’INL organisera la sixième édition en septembre. Vous êtes d’ailleurs tous invités à la journée utilisateurs du 22 septembre !

Quel est ton objectif lors de ta présentation de NuFW aux RMLL 2008 ?

Le premier objectif est de montrer comment nous avons pu marier diverses technologies pour réaliser un système de filtrage par utilisateurs strict. Je suis plus que convaincu que les réponses apportées par NuFW et par les concepts qu’il apporte permettre de résoudre des problématiques essentielles et universelles : contrôler les accès des utilisateurs de manière individualisé sans avoir à recourir à une quelconque association contre-nature (type IP==Utilisateur par exemple).

Le deuxième objectif rejoint la remarque de Rusty Russel. Les mécanismes existant dans Netfilter sont très puissants et très sous-utilisés (gestion du suivi de connexion, décision en espace utilisateur). Je milite donc depuis plusieurs années pour que les administrateurs et les développeurs découvrent le potentiel qui est à leur portée et conçoivent et développent les outils qu’ils peuvent avoir grâce à cela. Il ne manque qu’un peu d’imagination et de volonté pour transformer le monde du pare-feu.

L’originalité de NuFW est d’associer le contrôle de type pare-feu historiquement basé sur des règles réseau et/ou machines et le monde de la gestion d’identités. Ces 2 mondes sont souvent éloignés dans l’entreprise, l’un relevant du réseau, l’autre de la sécurité fonctionnelle. Avez vous rencontré des difficultés particulières lors de vos déploiements en entreprises par rapport à cet état de fait ?

Les plus grosses difficultés que nous avons rencontrés ne sont pas réellement liée à la séparation entre ces deux mondes. Tout le monde est plus ou moins conscient de la nécessité de coupler les deux pour implémenter au niveau du filtrage les politiques de sécurité de manière fine et non dénaturée. Le vrai problème tient au fait que nos concurrents proposaient et proposent toujours des solutions qui tiennent plus de la magouille que de la sécurité.

Tant est si bien, que filtrer de manière sérieuse par utilisateur n’était pas et n’est encore très souvent pas considéré comme étant possible. Nous avons donc du très souvent expliquer et ré expliquer que, oui, maintenant il est possible de filtrer strictement suivant l’identité de l’utilisateur.

Tu as co-fondé INL, société de services de sécurité et d’édition de logiciels de sécurité. Quelles sont à ton avis les clés du succès d’une telle démarche de fourniture de services autour d’infrastructures de sécurité ? L’excellence et la passion sont à mon avis deux clés essentielles. Le marché de la sécurité et celui du service en logiciel libres sont deux marchés sur laquelle les acteurs sont très concurrentiels. Ces deux marchés sont de tailles réduites, très rapidement national et la concurrence se fait donc très vite. Cette dernière conduit d’ailleurs les sociétés de service en logiciel libre à une spécialisation très forte. D’une multitude de prestataires génériques on est passé une multitude de sociétés plus ou moins spécialisées. Cette spécialité s’exprime habituellement par l’édition pure ou la participation à des logiciels libres. Or, sans excellence et sans passion, il n’est pas possible de s’affirmer dans ce domaine.

Enfin, la dernière clé est pour moi de ne pas perdre de vue l’esprit du libre. Il s’agit d’une certaine manière de faire des affaires. En étant respectueux de l’indépendance du client. En construisant des solutions ouvertes à partir de briques libres. Même si un gros budget marketing peut parfois faire taire un moment le bruissement de la foule, une conduite non respectueuse des valeurs du logiciel libre sera vite connue et risque à terme de nuire à son auteur.

Revenons un instant sur la communauté du logiciel libre. 2 solutions de firewalling de grande qualité existent dans le monde des logiciels libres : netfilter sous GNU/Linux et pf dans l’univers BSD. En tant que contributeur Netfilter, peux-tu nous dire s’il existe des passerelles entre ces deux mondes en termes d’échange de culture, de solutions, que ce soit au niveau des individus que des projets ?

Il y a pour moi une distance forte entre ces deux projets et les individus qui la composent. Si on commence par regarder au niveau philosophique, on peut par exemple comparer les deux leaders historiques des projets. On a d’un côté Theo de Raadt qui se bat pour des spécifications matérielles libres et Harald Welte qui au sein du projet gpl-violations.org lutte contre les violations de la GPL. Ces deux attitudes sont respectables (et d’ailleurs primées par la FSF) mais leur différence est bien révélatrice. On a d’un coté un "Donnez nous de quoi coder !" et de l’autre "Vous êtes des voleurs de code". Ce n’est pas le même point de vue.

Au niveau contribution, les divergences sont réellement plus fortes et les attitudes sont étrangement inversées. Même si un développeur de OpenBSD se préoccupe peu du devenir de son code (inclusion dans des produits propriétaires), il est réticent quand à l’introduction dans son code de nouvelles fonctionnalités. Si l’on prend un exemple qui me concerne directement, NuFW ne peut pas tourner sur pf car, lorsque quelqu’un a proposé le code pour prendre la décision en espace utilisateur, la modification a été refusé car un administrateur maladroit pourrait diminuer les performances en faisant une mauvaise utilisation de la fonctionnalité. Bon, c’est sur qu’il vaut peut-être mieux avoir authpf et être attaquable par IP spoofing plutôt que de pouvoir implémenter une solution résistante comme NuFW. Du côté Netfilter, les développeurs sont plus ouverts aux apports extérieurs.

Sinon d’un point de vue technique, les deux approches sont bien différentes. pf se limite en terme de fonctionnalités de manière à garantir sa sécurité. Netfilter lui préfère incorporer des fonctions qui lui semblent utiles et offre une modularité bien plus importante.

Ceci peut avoir des conséquences amusantes. Pour la Voix sur IP par exemple, pf est obligé d’ouvrir tous les ports UDP supérieurs à 1024. Netfilter, lui peut utilise ses modules de suivi de connexions SIP et H323 pour n’autoriser dynamiquement que les connexions annoncées sur le media de commande. On a donc, du côté de pf, sécurité maximale du pare-feu et, du côté de Netfilter, sécurité maximale du réseau.

Ces différences d’approches font qu’il existe peu de ponts entre les deux projets. La plupart des choix technologiques fait dans Netfilter sont des réponses à des questions que l’on ne se pose pas dans pf.

Cependant la séparation n’est pas si hermétique. Lorsque les problématiques étaient communes, certains développeurs Netfilter sont allés voir comment cela avait été traité dans pf pour s’en inspirer.

Merci beaucoup pour cette interview, Eric, et rendez vous le 1er Juillet à Mont de Marsan !

Interview réalisée par email par Christophe Brocas, thème Sécurité RMLL 2008.