formations/modules_EOLE_envole/amon/02-era.tex

136 lines
4.4 KiB
TeX
Raw Permalink Normal View History

\begin{frame}
\frametitle{Présentation}
\begin{itemize}
2014-05-16 17:48:09 +02:00
\item Outil de génération de règles pour pare-feu ;
\item enregistre la description de la politique de sécurité dans un fichier XML ;
2014-05-16 17:48:09 +02:00
\item génération de commandes iptables par compilation ;
\item il est possible de mettre des variables Creole ;
2014-05-16 17:48:09 +02:00
\item zone de sécurité : correspond à une interface réseau ;
\item matrice de flux : classé par origine et par destination ;
\item flux orienté (interdit pour les flux montants, autorisé pour les flux descendants, interdit pour les flux égaux) ;
\item politique par défaut ;
\item extrémité : machine ou réseau d'une zone ;
\item directive : règle.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Directive}
\begin{itemize}
\item Les extrémités
2014-05-16 17:48:09 +02:00
\item les services et groupes de services
\item les plages horaires
2015-06-17 15:01:19 +02:00
\item les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ... (Obsolète)
\item les groupes d'applications (NuFW) (Obsolète)
2014-05-16 17:48:09 +02:00
\item les types de directives : autorisation/interdiction, redirection, NAT, ...
\item la journalisation
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
2014-06-06 16:09:12 +02:00
\item Lancer Era et ouvrir le fichier 2zones-amonecole ;
\item identifier les zones, les flux et les directives ;
2014-06-02 17:18:36 +02:00
\item ajouter une extrémité seven avec IP ;
2014-05-16 17:48:09 +02:00
\item ajouter un groupe de services avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
2017-03-23 17:47:38 +01:00
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Seven;
\item ajouter une directive DNAT de Seven vers 8500 ;
2014-06-06 16:09:12 +02:00
\item enregistrer le fichier dans un nouveau modèle ;
\item dans gen\_config modifier le modèle utilisé ;
\item vérifier l'application des règles avec iptables-save.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les directives optionnelles}
\begin{itemize}
\item Directive activable et désactivable depuis l'EAD ;
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
2014-05-16 17:48:09 +02:00
\item alphanumérique + "\_" et " " (pas d'accent !) ;
\item notion de groupe de directives optionnelles ;
2014-06-06 16:09:12 +02:00
\item possibilité de directive optionnelle active ;
\item deux types d'action EAD :
\begin{itemize}
\item configuration générale,
\item filtre web 1/2.
\end{itemize}
\end{itemize}
\end{frame}
2017-03-23 17:47:38 +01:00
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Transformer la règle de DNAT en directive optionnelle activé par défaut ;
\item reconfigure ;
\item vérifier la présence de la règle dans l'EAD.
\end{itemize}
\end{frame}
2014-06-02 17:18:36 +02:00
\begin{frame}
\frametitle{Les directives optionnelles cachées}
\begin{itemize}
2014-06-06 16:09:12 +02:00
\item Directive optionnelle non présente dans l'EAD ;
2014-06-02 17:18:36 +02:00
\item s'active/désactive via un patch du template : /usr/share/eole/creole/distrib/active\_tags.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
2014-06-06 16:09:12 +02:00
\item Rendre la directive optionnelle et l'activer/désactiver dans l'EAD ;
\item rendre la directive optionnelle cachée.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La qualité de service}
\begin{itemize}
\item Zone interne vers extérieur ;
2014-05-16 17:48:09 +02:00
\item il faut fixer une valeur d'upload et de download en méga bits par seconde ;
\item spécifie un pourcentage d'utilisation ;
\item penser à activer la QOS dans les options.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les règles netbios}
\begin{itemize}
2014-05-16 17:48:09 +02:00
\item Dans les options du modèle, possibilité d'activer les règles netbios ;
\item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la qualité de service ;
\item configurer la QOS.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Options avancées}
\begin{itemize}
\item Peut se connecter à Zéphir ;
2014-06-06 16:09:12 +02:00
\item héritage de modèle :
\begin{itemize}
\item hérite des directives d'un modèle parent,
\item directives non modifiable dans le nouveau modèle,
\item nouvelle directive dans le modèle,
\item il faut un nouveau modèle puis "importer" le modèle hérité ;
\end{itemize}
\item l'inclusion statique.
\end{itemize}
\end{frame}
2014-06-06 16:09:12 +02:00
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Faire un modèle hérité ;
\item vérifier que les règles ne sont pas modifiable ;
\item ajouter une inclusion statique.
\end{itemize}
\end{frame}