[blare] Re: Network Policy

[Christophe Hauser <christophe.hauser@xxxxxxxxxx>]

On Wed, Mar 27, 2013 at 08:59:36AM +0100, Plane Benjamin wrote:
> Bonjour à tous les deux,
> 
> Je reviens vers vous pour vous demander quelques infos supplémentaires à propos de l'utilisation de la Network Policy.
> Nous aimerions pouvoir loger un warning pour chaque donnée teintée qui quitte l'environnement, cela correspond
> donc à établir une network policy de la forme Pnet = {{ }} si j'ai bien compris. Comment peut-on faire cela ?
> J'ai remarqué la présence de deux commandes intéressantes dans les usertools, netpolicy et setnetpolicy, mais je ne
> comprend pas comment cela fonctionne. Je pensais par exemple que netpolicy servait à définir la politique du réseau
> globale, hors cette commande attend un fichier en argument.
> 
> Merci d'avance pour votre précieuse aide !
> 
> Benjamin


Hi, 

english on the lists, please :).

you can use the netpolicy command with any file as a first parameter, it will
write to /sys/kernel/security anyway (which is what we want). Sorry about this
bug, this is due to a change in the way the network policy is loaded, that has
not been pushed in the usertools yet. 

I opened a new bug for this (http://blare-ids.org/bugs).

As for tracking outgoing information, we have recently been working on the
"netlabel" branch of KBlare, which does not check anything against the network
policy (to avoid conflits, initially) before sending packets. We should
definitely get this functionnality back, and all the code to handle this is
there, all we need is to add the relevant call in blare_socket_sendmsg()
*before* the code handling CIPSO labels (that's a hint for Guillaune :) )..

I opened a bug for this as well. We will let you know as soon as this is fixed.

Cheers,
-- 
Christophe