Les journées LSM ("Libre Software Meeting")

Date :29 Juin 2005

Publication: Article

Ce compte-rendu a été fait par une personne du Département Sécurité d'Alcatel CIT.

Présentation

Cette manifestation qui s'est déroulée à Bordeaux à l'ENSEIRB du 9 au 13 juillet 2002 (3ème édition) propose un nombre important de sessions techniques et pratiques relatives aux logiciels libres. Parmi les domaines abordés on peut citer :

  • la sécurité
  • les LL (Logiciels Libres) pour l'education
  • le LL pour l'administration, collectivités et entreprise
  • les bases de données
  • la communication
  • le graphisme
  • les noyaux
  • Python
  • la musique
  • le développement logiciel de bas niveau
  • le développement logiciel de haut niveau
  • ...

Ambiance générale

Le site officiel de la manifestation annonce près de 500 personnes inscrites. La population rencontrée est majoritairement universitaire ou étudiante. L'ordinateur portable est très "in", que ce soit sur la pelouse du campus, dans les couloirs de l'ENSEIRB ou pendant les sessions. La connexion Wifi (Wireless Fidelity) est de rigueur d'autant plus que l'ENSEIRB est une école de "radio".

Nous noterons une apparition non négligeable de machines APPLE I-book ou Power-Book traduisant le succès de la nouvelle orientation de l'OS (Kernel basé sur BSD) de Steve Jobs dans le milieu du LL (Logiciels Libres). Le monde de Bill Gates est bien évidemment absolument absent du meeting, et rares sont les intervenants qui osent prononcer, voire évoquer le nom de Windows.

Conférences

La journée du 10 était orientée autour de deux thèmes :

  • Sécurité Kernel le matin
  • Sécurité réseau l'après-midi

- SYSTRACE - Interactive Policy Generation for System Calls

Lors de cette session Niels Provos nous expose brillamment le système Systrace. Le but de ce système est de prévenir les failles de sécurité des logiciels s'exécutant dans l'espace utilisateur en effectuant un filtrage sur les appels systèmes. Il permet ainsi avec une grande granularité d'autoriser ou d'interdire certains appels systèmes. Il permet également de réécrire les arguments des appels systèmes. Systrace permet grâce à sa fonction d'interception la génération automatique de politiques de filtrage que l'administrateur ou l'utilisateur pourra modifier afin d'interdire les appels dangereux. Enfin le fonctionnement interactif facilite la création de politiques de filtrage.

Présentation disponible : http://www.citi.umich.edu/u/provos/systrace/

 

- General presentation about kernel security under linux systems that will ends on LIDS

Cette session assurée par Philippe BIONDI de Cartel Sécurité (http://www.cartel-securite.fr) était peu dynamique. L'intervenant, "très proche" de ses transparents, expliquait comment son entreprise (cartel-securité) qui fait entre autres de l'hébergement sécurisé a choisi de construire son modèle de sécurité. Rien de revolutionnaire sinon qu'ils ont choisi de durcir les noyaux en utilisant des outils de type Systrace ou LIDS plutôt que de s'appuyer sur des outils s'exécutant dans l'espace utilisateur tels que "tripwire", "AIDE", ...

Présentation disponible : http://www.cartel-info.fr/pbiondi/ksec_lsm.pdf

 

- Current netfilter/iptables developpement and our plans for kernel 2.6

Harld WELTE, responsable du projet Netfilter nous expose les limitations actuelles de "netfilter/iptables" et nous présente les améliorations prévues pour les noyaux Linux 2.6.

Le système actuel ne permet pas de modifier dynamiquement une règle. La modification de la politique de filtrage passe par le "flush" et le "reload" complet des règles de filtrage. L'utilisation d'un bus logiciel semblable à ce qu'implémente actuellement le noyau pour la gestion des tables de routage (RTNETLINK) permettra cette fonctionnalité. Outre les performances dans la gestion de grandes tables de filtrage, l'application directe de cette évolution sera l'interfaçage avec des applications de type IDS pour la modification en temps réel de la politique de filtrage.

Les fonctionnaltés de "stateful" seront améliorées et adaptées au partage de charge permettant ainsi la constitution de "cluster" haute disponibilité et haute performance. Enfin le problème que pose la modularité/extensibilité de "netfilter" dans la création d'une GUI (Graphical User Interface) a été abordé et sera pallié par la création d'une librairie dédiée au(x) future(s) GUI.

Une présentation brillante. Les grands noms du "firewalling" n'ont qu'a bien se tenir!

Le site de Netfilter (très complet et intéressant) : http://www.netfilter.org

 

- OpenBSD and some of it's interests

Là encore une présentation peu dynamique. L'intervenant dresse une liste de fonctionnalités supportées de base sur OpenBSD et non sur les autres systèmes. Il précise que OpenBSD est résolument orienté serveur et non utilisateur, par conséquent les membres du projet ont beaucoup plus de facilité pour durcir le système de base.

Parmi ces fonctionnalités citons :

  • systrace en natif
  • IPSec et crypto en natif
  • Kerberos natifs
  • pf (pendant de Netfilter)
  • ...

On peut regretter que l'intervenant ait choisi de comparer OpenBSD avec Linux pour illustrer son argumentaire, lorsque l'on sait que les objectifs d'utilisation de Linux sont nettement plus larges que ceux de OpenBSD. Enfin l'intervenant n'avait pas prévu que Harald WELTE, responsable du projet NetFilter (cf présentation avant) assisterait à la présentation et se ferait un plaisir de réfuter les comparaisons subjectives entre "pf" et "NetFilter".

Site Web : http://www.openbsd.org/

 

- Switched network security : a fairy tale...

De nouveau une intervention de Cartel sécurité qui nous rappelle que l'écoute sur un réseau commuté est possible. Au programme de cette présentation de Cédric Blancher, plus dynamique que son collégue du matin : "arp poisonning", "arp spoofing" et autre techniques de modification des tables ARP par des outils de type "dsniff".

Pas de présentation disponible.

 

- Proxide Projet

Cette présentation bien qu'offrant peu d'intérêt face aux problèmes que l'on rencontre dans l'activité sécurité, était dynamique et bien menée. L'intervenant présentait le Projet Proxide : les membres de ce dernier s'attachent à trouver une solution pour sécuriser les informations (parfois très personnelles) véhiculées par les messageries instantanées comme AIM (Aol Instant Messager). Leur objectif est de développer un système qui puisse s'adapter aux différentes technologies existantes (AIM, ICQ, ...) sans modification du client ni du serveur central.

Site Web : http://www.proxide.net

 

Conclusion

Bien que la qualité des présentations ait été variable, cette manifestation a permis de découvrir le travail effectué par la communauté du LL dans le domaine de la sécurité.

On retiendra les prestations des intervenants des projets NetFilter et Systrace dont les interventions offrent la qualité des sessions des meeting plus "officiels". L'organisation du meeting était à la hauteur des espérances y compris pour la logistique.

Pour conclure, une très bonne initiative.