À l'origine connu sous le nom de «INL », Edenwall Technologies est, comme son nom ne l'indique pas, une société française. L'idée de départ de ses deux fondateurs a été de développer un nouveau type de firewall. Sur une base de firewall classique, ils ont mis au point un module complémentaire chargé de contrôler l'identité de l'utilisateur qui se connecte à travers le boîtier. Ce projet initial a été baptisé NuFireWall (NuFW). Il existe en version Open Source, mais il est aussi intégré à une gamme d'applications en version commerciale plus complète.
Le module NuFW
À la base du produit, on trouve Netfilter sur lequel est rajouté le module NuFW qui apporte la solution de gestion des accès par l’identité. Cela permet de focaliser certaines fonctions selon l’identité de l’utilisateur et non plus à partir d’une adresse IP ou MAC. Les paquets des utilisateurs distants peuvent maintenant être filtrés selon le type d’application et/ou l’OS utilisés.
Cette gestion des accès repose sur l’utilisation d’un agent installé sur les postes devant se connecter au firewall. Le principe de fonctionnement se déroule en trois étapes.
1) L’authentification des utilisateurs, ces derniers entrent un ou plusieurs des éléments suivants via un tunnel chiffré en TLS :
• nom de connexion, mot de passe ;
• certificat ;
• jeton.
2) Identification du premier paquet de connexion, autorisation ou rejet de la connexion selon :
• les groupes du référent d’organisation (AD, LDAP) ;
• les règles applicables à ces groupes ;
• le suivi des connexions ; si la connexion est autorisée le reste du flux est associé de manière stricte à l’utilisateur identifié sans analyse supplémentaire.
L’agent existe pour Windows, Linux et Mac OSX. Si vous ne pouvez pas installer l’agent, vous pourrez alors utiliser un applet Java qui se connectera à un portail captif.
Le boîtier intègre un certain nombre de fonctions dont :
• la haute disponibilité, en connectant deux boîtiers entre eux ;
• le VPN, site à site ou client/serveur
IPSec en se basant sur OpenVPN. Il intègre tout ce qu’il faut pour gérer sa propre PKI ;
• des services DHCP, Proxy, SNMP ;
• un système de détection et de prévention des intrusions ;
• un antivirus, un antispam ;
• un service d’e-mail.
Mise en oeuvre
(Modèle en test : E230 – version 4.2.1)
La première configuration du produit s’avère relativement simple, la documentation est claire. Il suffi t de l’installer sur un poste le logiciel d’administration (sous Windows ou Debian). À partir de ce poste, suivre les indications du document afin de configurer vos différents réseaux et l’accès à votre annuaire (Active Directory, LDAP). Seul bémol, la documentation ne donne pas le détail des packages Linux requis pour installer la console d’administration sur une distribution autre que Debian.
Il ne reste plus, ensuite, qu’à configurer les règles de firewall. Pour cela, dans l’onglet Pare-Feu, vous commencerez à configurer des objets dans la colonne de gauche. Ces objets sont les différents réseaux, protocoles, groupes d’utilisateurs, applications, systèmes d’exploitation, restrictions temporelles, durée qui vous seront utiles.
Une fois ces objets établis, vos règles pourront être créées simplement par des glisser-déplacer des différents objets vers l’éditeur de règles au centre de l’écran. Dans la barre d’outils, vous avez ensuite les moyens de tester et valider chaque règle, ainsi que l’ensemble de celles-ci, afin de vérifier qu’il n’y ait pas de contradictions.
Après les avoir testées, il suffi t d’appliquer. L’interface est très intuitive et simple d’emploi. Un des avantages que l’authentification des utilisateurs procure est de pouvoir naturellement grouper plusieurs règles en une seule, cela simplifiera grandement la gestion des règles par la suite. Tout deviendra plus « lisible ». Plus la peine de dire que tel utilisateur peut se connecter depuis telle ou telle machine, utilisant telle ou telle adresse IP ou MAC. Ici, il suffi t d’indiquer que tel utilisateur possède tels droits au niveau de l’annuaire, la gestion des droits d’accès est géré au niveau de l’annuaire et non plus à celui du firewall. Néanmoins, vous pouvez limiter un utilisateur distant selon d’autres facteurs comme le système d’exploitation et/ou les applications utilisés. La gestion du firewall en devient beaucoup plus pointue et précise, tout en restant facile à mettre en oeuvre. La gestion des événements et des rapports se situe dans l’onglet Logs, là encore très simple d’emploi et intuitif. De plus, il reste possible de mettre en place une remontée d’alertes via SNMP, afin de centraliser toutes les alertes d’un système d’information sur une seule console.
La gestion des certificats se trouve dans l’onglet PKI, même si en tâtonnant on parvient à bloquer l’interface de gestion. En suivant la documentation par la suite, il est relativement facile de générer tout ce qu’il faut pour que vos utilisateurs distants puissent se connecter à votre entreprise via un tunnel VPN.
Pour ce faire, il faudra, malheureusement, installer un agent supplémentaire sur chaque poste pour prendre en compte la connexion en mode VPN. Les deux agents devraient dans un avenir proche fusionner en un seul.
Chose intéressante, en essayant de tester la sécurité du firewall, le boîtier Edenwall a tenu ses promesses. Rien d’exceptionnel en soi, mais c’est la suite qui fait réfléchir. Ainsi, d’autres constructeurs, qui communiquent aussi sur la fonction d’identité, ne peuvent pas en dire autant, et cela est même inquiétant. Il a suffi de « sniffer » les communications réseau à partir de la patte simulant le WAN (Internet) afin de récupérer l’adresse IP d’une machine se connectant à un boîtier firewall concurrent. Ensuite, rien de plus facile que de récupérer son adresse MAC, de changer sur le poste pirate l’adresse MAC par celle « récupérée » et ensuite de se connecter sur l’application utilisée par la personne authentifiée. Cela, sans que le pirate n’ait besoin de s’authentifier, évidemment. Le même test sur le boîtier Edenwall bloque la tentative d’usurpation d’identité.
Pour résumer cet aspect important, la gestion de l’identité qu’apporte Edenwall est un vrai plus, qui ne nuit pas à la sécurité de l’ensemble. Par rapport au standard IEEE 802.1x et à d’autres produits utilisant de l’authentification dite « a priori », quand vous utilisez des serveurs type TSE, Citrix ou de virtualisation qui hébergent plusieurs hôtes, certaines solutions de FW rencontrent des problèmes. L’authentification multi-utilisateur (plusieurs utilisateurs sur une même adresse MAC) ne pose en revanche aucun souci à Edenwall.
Avec NuFW, les règles peuvent être changées dynamiquement à n’importe quel moment. Il est compatible avec les machines à plusieurs utilisateurs en simultané, puisque chaque utilisateur authentifie ses propres connexions grâce à l’agent. Il résiste aussi au NAT (Translation d’adresses) du fait que l’adresse IP source réelle est contenue dans un paquet d’authentification crypté par l’agent.
Les boîtiers peuvent être mis à jour aisément, à partir de l’interface de gestion, dans l’onglet Système, une fonction Mise à Jour est disponible. Le téléchargement des nouveautés est automatisé, il suffi t de cliquer sur un bouton pour actualiser les mises à jour disponibles.
En cas de gros problème sur le boîtier, vous avez la possibilité de créer, à votre initiative, un VPN vers le support Edenwall pour que ces derniers puissent prendre la main et apportent une solution. Dans la majorité des cas, il suffira simplement de générer le fichier de diagnostic à envoyer au support pour trouver la solution.
Pour en savoir plus
L’Informaticien et le Competence Center, de Non Stop Systems, sont
partenaires pour la réalisation de tests de logiciels, de matériels ou de
services du marché. Si vous souhaitez obtenir davantage d’informations
sur ces tests, n’hésitez pas à contacter Non Stop Systems à cette adresse :
ZI de la Madeleine, 27, rue de la Maison-Rouge, 77185 LOGNES
Tél. : +33 (0)1 60 95 08 80
Fax : +33 (0)1 60 95 08 81
ou sur le site
www.nonstop.fr