Interview : Vadim Kurland (Firewall Builder) # Bonjour Vadim : pourrais tu te présenter pour les futurs visiteurs des RMLL qui ne vous connaitraient pas encore ? J’ai travaillé depuis 1996 dans les services réseaux de plusieurs entreprises de la Silicon Valley. Avent cela, je travaillais dans le développement de logiciels et dans le domaine de l’hébergement. Même quand j’étais impliqué dans des opérations réseaux, j’ai toujours recherché des moyens pour automatiser les choses le plus possible et écrire du logiciel. J’ai participé à beaucoup de projets dans les domaines de la supervision réseau, la gestion de configuration et la sécurité réseau. # Comment est né Firewall Builder ? Quelle était votre motivation principale ? Au tout début, je recherchais juste quelque chose qui m’aide à configurer ipchains sur les parefeux Linux. Comme vous pouvez le constater, c’était il y a longtemps comme le prouve l’utilisation d’ipchains. J’ai ensuite réalisé que je pouvais développer quelque chose approchant la qualité de l’interface de produits commerciaux comme Firewall-1 de CheckPoint tout en utilisant la flexibilité et la puissance des parefeux open source comme iptables, PF, ipfilter. Donc le projet évolua vers quelque chose à la fois de plus complexe mais aussi de plus riche qu’une simple interface graphique pour ipchains. Firewall Builder est un outil multi-parefeux. Vous devez donc travailler avec différentes communautés de logiciels libres ainsi que celles tournant de logiciels propriétaires. Existe-il une manière particulière de travailler avec chacune d’elles ? Rencontrez vous des différences entre les communautés libres et celles existant autour des logiciels propriétaires ? Je n’ai pas besoin d’interagir avec les développeurs de parefeux comme l’équipe de Netfilter ou les développeurs Cisco. Je travaille avec les utilisateurs des parefeux, principalement des administrateurs systèmes ou réseaux. Je ne ressens aucune différence entre les utilisateurs de produits comme, disons, iptables et PIX. Toutes les plateformes parefeux supportées par FB sont relativement matures, bien documentées et tout ce dont j’ai besoin est de comprendre comment fonctionne le parefeu ainsi que son langage de commandes, que ce soit la syntaxe de la ligne de commandes iptables ou la configuration PIX. Tant que les développeurs ne font de modifications structurelles à leur langage de configuration d’une version à l’autre, je ne rencontre guère de gros problèmes. # Quelle est la taille du projet Firewall Builder en termes de nombre de ges impliqués (développeurs, AQ, docs etc) ? En tant leader du projet , avez vous des souhaits vis à vis de l’évolution de la communauté tournant autour de Firewall Builder ? Il n’y a qu’une seule personne permanente, c’est moi. Je reçois des contributions sous la forme de patches ou même des morceaux de code conséquents de temps en temps, ce que j’apprécie beaucoup et je travaille de manière étroite avec leurs auteurs pour intégrer au mieux ce code dans le projet. J’embauche de temps en temps des développeurs sur des projets spécifiques, quasi exclusivement dans le domaine de l’interface graphique. J’écris moi même la documentation jusqu’à maintenant, bien que j’ai récemment embauché un rédacteur technique professionnel pour l’améliorer. Je serai très heureux de voir arriver plus de contributions, particulièrement dans le domaine du test des versions béta. Il serait aussi utile de voir des utilisateurs s’investir dans la rédaction de tutoriels ou d’autres types de documents de support. # Quelles sont les grandes lignes du développement de Firewall Builder dans les prochains mois/années ? La prochaine version majeure, prévue pour la fin de l’été 2009, apportera le support de la haute disponibilité et de la qualité de service. Sont aussi au programme l’intégration de plusieurs appliances assez répandues reposant sur des parefeux Linux comme IPCOP, Endian, Secunet Wall ainsi que, peut être, quelques autres. # Existe-il une chance de voir Firewall Builder implémenté comme un service web pour une utilisation à travers un navigateur et non un programme dédié ? Probablement pas. Ce modèle s’oppose aux pratiques de sécurité de la plupart des utilisateurs. Si Firewall Builder était implémenté comme un service web, cela impliquerait que l’utilisateur téléchargerait ses règles de sécurité sur un serveur tiers, ce qui d’un point de vue sécurité n’est pas une bonne idée. Un autre problème avec ce modèle est qu’il est très difficile de développer un mécanisme de déploiement sur les parefeux des règles de sécurité générées, le tout à partir d’un navigateur. Je continue à revenir sur cette idée mais je ne vois tout simplement pas de moyen pour y arriver # Qu’attendez vous de votre conférence Firewall Builder aux RMLL et avez vus un souhait particulier pour ces RMLL 2009 ? J’appréhende cette conférence comme une occasion de rencontrer des utilisateurs de FB et de faire venir de nouveaux utilisateurs au sein de la communauté de FB. Je suis toujours en recherche de retour d’expérience et de nouvelles idées. C’est là la principale de mes attentes. # Merci beaucoup Vadim pour le temps consacré à cette interview :) Merci, j’apprécie d’avoir l’opportunité de partager ma vision du projet et de communiquer avec les utilisateurs actuels et potentiels de FB. Interview réalisé par email par Christophe Brocas, thème Systèmes et Sécurité RMLL 2009.