Réunion RéSIST


Présentation du Firewall StoneGate

Par Benjamin David
StoneSoft France

Architecture

Architecture à 3 niveaux : Tous les éléments sont identifiés.
Le serveur de log est une base SQL.
A cours terme des outils de reporting seront ajoutés. Il n'y a pas d'outils sur les machines pour modifier les conf. i.e. un pirate ne peut pas modifier les fichiers de configuration. (anim: n'y a t'il pas cat sur ce linux pour modifier les config ?!) L'Engine de stonegate est livré sur linux 2.4.17. Support réseau : Stonegate utilise une technologie multi-couches. Stonegate ne sera jamais proxy relais mais sera toujours proxy transparent. Ca fonctionne un peu comme wccp sur les boitiers. La politique de sécurité permet de créer des templates. Il est possible de faire des groupes de règles et des les ordonancer en fonction de certains critères comme 'http' ou 'à destination de la DMZ'. Il y a 3 niveaux de répartition de charge et de clustering. Les adresses MAC sont identiques sur toutes les machines : unicast MAC commune à tous les noeuds Ils insèrent un driver virtuel dans la pile IP pour insérer la gestion de leur protocole HeartBeat. La répartition de charges se fait alors en fonction :

Stone Gate multi-link

Support complet d'IPsec

Ils ont leur propre client VPN
mais sont compatibles avec ceux du marcher Ils proposent une répartition de charge pour les VPN sur plusieurs accès. Les accès internet peuvent être de nature différente (LS, ADSL ...) Important : pas besoin de gérer BGP4 pour bénéficier de différents accès internet

Questions / Réponses


Durcissement du noyau linux : l'utile et le futile !

Par Denis Ducamp
HSC Toulouse Présentation du patch grsecurity : http://www.grsecurity.net/ Le patch grsecurity regroupe un grand nombre d'options de durcissement du noyau linux. Cette présentation a fait le tour de chacune des options en expliquant contre quelles attaques elles luttent et si réellement elles sont utiles. Le durcissement d'OS c'est interdire certains appels de fonction dans certains cas et interdire l'accès à certaines ressources même pour root.

Questions / Réponses