2013-01-08 10:16:31 +01:00
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Présentation}
|
|
|
|
\begin{itemize}
|
2014-05-16 17:48:09 +02:00
|
|
|
\item Outil de génération de règles pour pare-feu ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item enregistre la description de la politique de sécurité dans un fichier XML ;
|
2014-05-16 17:48:09 +02:00
|
|
|
\item génération de commandes iptables par compilation ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item il est possible de mettre des variables Creole ;
|
2014-05-16 17:48:09 +02:00
|
|
|
\item zone de sécurité : correspond à une interface réseau ;
|
|
|
|
\item matrice de flux : classé par origine et par destination ;
|
|
|
|
\item flux orienté (interdit pour les flux montants, autorisé pour les flux descendants, interdit pour les flux égaux) ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item politique par défaut ;
|
|
|
|
\item extrémité : machine ou réseau d'une zone ;
|
|
|
|
\item directive : règle.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Directive}
|
|
|
|
\begin{itemize}
|
|
|
|
\item Les extrémités
|
2014-05-16 17:48:09 +02:00
|
|
|
\item les services et groupes de services
|
|
|
|
\item les plages horaires
|
|
|
|
\item les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ...
|
|
|
|
\item les groupes d'applications (NuFW)
|
|
|
|
\item les types de directives : autorisation/interdiction, redirection, NAT, ...
|
|
|
|
\item la journalisation
|
2013-01-08 10:16:31 +01:00
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Pratique}
|
|
|
|
\begin{itemize}
|
2014-06-06 16:09:12 +02:00
|
|
|
\item Lancer Era et ouvrir le fichier 2zones-amonecole ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item identifier les zones, les flux et les directives ;
|
2014-06-02 17:18:36 +02:00
|
|
|
\item ajouter une extrémité seven avec IP ;
|
2014-05-16 17:48:09 +02:00
|
|
|
\item ajouter un groupe de services avec le service samba3, smtp et pop ;
|
|
|
|
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
|
2014-06-02 17:18:36 +02:00
|
|
|
\item ajouter une directive DNAT de Scribe vers 8500 ;
|
2014-06-06 16:09:12 +02:00
|
|
|
\item enregistrer le fichier dans un nouveau modèle ;
|
|
|
|
\item dans gen\_config modifier le modèle utilisé ;
|
|
|
|
\item vérifier l'application des règles avec iptables-save.
|
2013-01-08 10:16:31 +01:00
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Les directives optionnelles}
|
|
|
|
\begin{itemize}
|
|
|
|
\item Directive activable et désactivable depuis l'EAD ;
|
|
|
|
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
|
2014-05-16 17:48:09 +02:00
|
|
|
\item alphanumérique + "\_" et " " (pas d'accent !) ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item notion de groupe de directives optionnelles ;
|
2014-06-06 16:09:12 +02:00
|
|
|
\item possibilité de directive optionnelle active ;
|
|
|
|
\item deux types d'action EAD :
|
|
|
|
\begin{itemize}
|
|
|
|
\item configuration générale,
|
|
|
|
\item filtre web 1/2.
|
|
|
|
\end{itemize}
|
2013-01-08 10:16:31 +01:00
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
2014-06-02 17:18:36 +02:00
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Les directives optionnelles cachées}
|
|
|
|
\begin{itemize}
|
2014-06-06 16:09:12 +02:00
|
|
|
\item Directive optionnelle non présente dans l'EAD ;
|
2014-06-02 17:18:36 +02:00
|
|
|
\item s'active/désactive via un patch du template : /usr/share/eole/creole/distrib/active\_tags.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
2013-01-08 10:16:31 +01:00
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Pratique}
|
|
|
|
\begin{itemize}
|
2014-06-06 16:09:12 +02:00
|
|
|
\item Rendre la directive optionnelle et l'activer/désactiver dans l'EAD ;
|
|
|
|
\item rendre la directive optionnelle cachée.
|
2013-01-08 10:16:31 +01:00
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{La qualité de service}
|
|
|
|
\begin{itemize}
|
|
|
|
\item Zone interne vers extérieur ;
|
2014-05-16 17:48:09 +02:00
|
|
|
\item il faut fixer une valeur d'upload et de download en méga bits par seconde ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item spécifie un pourcentage d'utilisation ;
|
|
|
|
\item penser à activer la QOS dans les options.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Les règles netbios}
|
|
|
|
\begin{itemize}
|
2014-05-16 17:48:09 +02:00
|
|
|
\item Dans les options du modèle, possibilité d'activer les règles netbios ;
|
2013-01-08 10:16:31 +01:00
|
|
|
\item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Pratique}
|
|
|
|
\begin{itemize}
|
|
|
|
\item Activer la qualité de service ;
|
|
|
|
\item configurer la QOS.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Options avancées}
|
|
|
|
\begin{itemize}
|
|
|
|
\item Peut se connecter à Zéphir ;
|
2014-06-06 16:09:12 +02:00
|
|
|
\item héritage de modèle :
|
|
|
|
\begin{itemize}
|
|
|
|
\item hérite des directives d'un modèle parent,
|
|
|
|
\item directives non modifiable dans le nouveau modèle,
|
|
|
|
\item nouvelle directive dans le modèle,
|
|
|
|
\item il faut un nouveau modèle puis "importer" le modèle hérité ;
|
|
|
|
\end{itemize}
|
2013-01-08 10:16:31 +01:00
|
|
|
\item l'inclusion statique.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|
2014-06-06 16:09:12 +02:00
|
|
|
\begin{frame}
|
|
|
|
\frametitle{Pratique}
|
|
|
|
\begin{itemize}
|
|
|
|
\item Faire un modèle hérité ;
|
|
|
|
\item vérifier que les règles ne sont pas modifiable ;
|
|
|
|
\item ajouter une inclusion statique.
|
|
|
|
\end{itemize}
|
|
|
|
\end{frame}
|
|
|
|
|