Construction de la formation

This commit is contained in:
Emmanuel Garette 2022-05-18 09:18:18 +02:00
parent 75de93dac7
commit 3b22741753
29 changed files with 631 additions and 0 deletions

View File

@ -0,0 +1,80 @@
\begin{frame}
\frametitle{Serveur DNS}
\begin{itemize}
\item Amon propose un serveur DNS ;
\item il est possible de configurer un ou plusieurs DNS père ;
\item DNS master de zone supplémentaire ;
\item forward de zone DNS ;
\item ajout d'hôte dans la résolution de domaine.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique : serveur DNS}
\begin{itemize}
\item ajouter seven.monreseau.lan avec l'adresse IP du poste seven ;
\item ajouter seven.nouveaureseau.lan avec l'adresse IP du poste seven.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Serveur DNS et RVP}
\begin{itemize}
\item Si RVP activé ;
\item serveur DNS in.ac-acad.fr ;
\item serveur DNS AGRIATE.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Agrégation de liens}
\begin{itemize}
\item Utiliser deux abonnements Internet sur un même Amon ;
\item garantir une meilleure qualité de service ;
\item poids de chaque abonnement pour répartir la charge ;
\item la configuration se fait durant l'étape de configuration ;
\item limite : le RVP passe par un seul lien.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Réseau}
\begin{itemize}
\item alias :
\begin{itemize}
\item plusieurs IP pour une adresse réseau physique.
\end{itemize}
\item VLAN :
\begin{itemize}
\item segmentation des réseaux ;
\item se fait au niveau des équipements réseaux.
\end{itemize}
\item RADIUS :
\begin{itemize}
\item RADIUS : protocole client-serveur permettant de centraliser des données d'authentification ;
\item connecte les utilisateurs vers leur VLAN ;
\item nécessite des équipements réseaux compatibles.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Route statique}
\begin{itemize}
\item Réseau locale accessible via une passerelle ;
\item onglet "Réseau avancé" "Ajouter des routes statiques" :
\begin{itemize}
\item adresse IP ou réseau + masque,
\item passerelle pour accéder au réseau,
\item interface réseau reliée à la passerelle,
\item autorisation sur les DNS.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Mettre en place une route statique.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,135 @@
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Outil de génération de règles pour pare-feu ;
\item enregistre la description de la politique de sécurité dans un fichier XML ;
\item génération de commandes iptables par compilation ;
\item il est possible de mettre des variables Creole ;
\item zone de sécurité : correspond à une interface réseau ;
\item matrice de flux : classé par origine et par destination ;
\item flux orienté (interdit pour les flux montants, autorisé pour les flux descendants, interdit pour les flux égaux) ;
\item politique par défaut ;
\item extrémité : machine ou réseau d'une zone ;
\item directive : règle.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Directive}
\begin{itemize}
\item Les extrémités
\item les services et groupes de services
\item les plages horaires
\item les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ... (Obsolète)
\item les groupes d'applications (NuFW) (Obsolète)
\item les types de directives : autorisation/interdiction, redirection, NAT, ...
\item la journalisation
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Lancer Era et ouvrir le fichier 2zones-amonecole ;
\item identifier les zones, les flux et les directives ;
\item ajouter une extrémité seven avec IP ;
\item ajouter un groupe de services avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Seven;
\item ajouter une directive DNAT de Seven vers 8500 ;
\item enregistrer le fichier dans un nouveau modèle ;
\item dans gen\_config modifier le modèle utilisé ;
\item vérifier l'application des règles avec iptables-save.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les directives optionnelles}
\begin{itemize}
\item Directive activable et désactivable depuis l'EAD ;
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
\item alphanumérique + "\_" et " " (pas d'accent !) ;
\item notion de groupe de directives optionnelles ;
\item possibilité de directive optionnelle active ;
\item deux types d'action EAD :
\begin{itemize}
\item configuration générale,
\item filtre web 1/2.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Transformer la règle de DNAT en directive optionnelle activé par défaut ;
\item reconfigure ;
\item vérifier la présence de la règle dans l'EAD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les directives optionnelles cachées}
\begin{itemize}
\item Directive optionnelle non présente dans l'EAD ;
\item s'active/désactive via un patch du template : /usr/share/eole/creole/distrib/active\_tags.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre la directive optionnelle et l'activer/désactiver dans l'EAD ;
\item rendre la directive optionnelle cachée.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La qualité de service}
\begin{itemize}
\item Zone interne vers extérieur ;
\item il faut fixer une valeur d'upload et de download en méga bits par seconde ;
\item spécifie un pourcentage d'utilisation ;
\item penser à activer la QOS dans les options.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les règles netbios}
\begin{itemize}
\item Dans les options du modèle, possibilité d'activer les règles netbios ;
\item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la qualité de service ;
\item configurer la QOS.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Options avancées}
\begin{itemize}
\item Peut se connecter à Zéphir ;
\item héritage de modèle :
\begin{itemize}
\item hérite des directives d'un modèle parent,
\item directives non modifiable dans le nouveau modèle,
\item nouvelle directive dans le modèle,
\item il faut un nouveau modèle puis "importer" le modèle hérité ;
\end{itemize}
\item l'inclusion statique.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Faire un modèle hérité ;
\item vérifier que les règles ne sont pas modifiable ;
\item ajouter une inclusion statique.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,177 @@
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Possibilités :
\begin{itemize}
\item configurer la manière dont le filtrage s'effectue ;
\item associer des filtrages à des utilisateurs ;
\item associer des filtrages à des machines ;
\item configurer par zone de configuration ;
\item configurer par politique de filtrage ;
\item 2 configurations possibles (FiltrageWeb1 et FiltrageWeb2) ;
\item désactivable dans gen\_config.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Interdire ou autoriser des sites web}
\begin{itemize}
\item Interdire des sites : compléter la liste noire ;
\item autoriser des sites : forcer l'autorisation d'un site ;
\item applicable à des zones entières ou à des politiques de filtrage ;
\item les listes sont mises à jour régulièrement ;
\item signaler pour améliorer les performances et la qualité des listes (action EAD).
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Politique de liste blanche}
\begin{itemize}
\item restreindre la navigation à un ensemble de sites ;
\item ne pas confondre avec les sites autorisés.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre optionnel}
\begin{itemize}
\item la liste de sites interdits comprend des catégories ;
\item par défaut seules les catégories "adult" et "redirector" sont activées ;
\item activation par configuration ou politique de filtrage ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre syntaxique}
\begin{itemize}
\item Filtrage dynamique des pages ;
\item possibilités :
\begin{itemize}
\item sur les balises méta (par défaut) ;
\item sur la page entière ;
\item désactivé.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des extensions}
\begin{itemize}
\item Interdire le téléchargement portant certaines extensions ;
\item applicable à des zones entières ou à des politiques de filtrage.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des types MIME}
\begin{itemize}
\item Un type MIME est une information donnée par le serveur permettant de connaitre le format d'un document sans se baser sur l'extension.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Tester les différents types de filtrage ;
\item voir l'action de signalement.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par machine}
\begin{itemize}
\item Filtrage par groupe de machine (IP) ;
\item possibilités :
\begin{itemize}
\item interdire l'accès au réseau ;
\item interdire la navigation web uniquement ;
\item autoriser la navigation web selon des horaires ;
\item associer une politique de filtrage.
\end{itemize}
% \item attention, l'ancienne méthode par "poste" n'est plus d'actualité.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par utilisateur}
\begin{itemize}
\item Pré-requis : il doit y avoir une authentification utilisateur ;
\item permet d'ajouter un filtrage spécial à un utilisateur ;
\item si filtrage par utilisateur, le filtrage par machine n'est plus fonctionnel (pour https, sauf avec e2guardian).
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un groupe de machines : configuration1/Groupe de machine ;
\item tester ;
\item créer un utilisateur : Configuration1/Utilisateurs ;
\item tester.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par destination}
\begin{itemize}
\item Possibilité d'interdire l'accès à des destinations depuis une politique de filtrage.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Ne pas authentifier / mettre en cache}
\begin{itemize}
\item La destination : Sites de mise à jour ;
\item la source : Sources à ne pas authentifier.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre antivirus web}
\begin{itemize}
\item Possible d'activer l'antivirus sur le filtrage web ;
\item utilise ClamAV.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer le filtrage antivirus dans gen\_config ;
\item Aller sur "http://www.eicar.org" ;
\end{itemize}
\end{frame}
%\begin{frame}
% \frametitle{Filtre P2P}
% \begin{itemize}
% \item Permet de bloquer les échanges de fichiers en P2P ;
% \item 2 filtres au choix : l7filter ou ipp2p.
% \end{itemize}
%\end{frame}
%\begin{frame}
% \frametitle{Horaire}
% \begin{itemize}
% \item Les horaires du pare-feu : ferme la totalité du pare-feu ;
% \end{itemize}
%\end{frame}
\begin{frame}
\frametitle{Numéro de filtrage web}
\begin{itemize}
\item Il est possible de différencier les politiques de filtrage suivant l'interface ;
\item eole2 : administrateur de la 2ème configuration.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Gérer au mieux les ressources}
\begin{itemize}
\item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ;
\item ne pas démarrer trop d'instances e2guardian (voir la configuration) ... ;
\item filtrage syntaxique (surtout sur la page entière) ;
\item antivirus.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,40 @@
\begin{frame}
\frametitle{WPAD}
\begin{itemize}
\item WPAD permet la configuration automatique des postes clients ;
\item le navigateur doit être configuré en conséquence ;
\item possibilité d'exceptions :
\begin{itemize}
\item d'un nom de domaine,
\item d'un nom de domaine local (donc aussi les sous-domaines),
\item d'un IP.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Diagnostic WPAD}
\begin{itemize}
\item sous windows nslookup wpad ;
\item si erreur, bien vérifier le nom de domaine dans ipconfig /all ;
\item vérifier le domaine complet : nslookup wpad.nomdomain.lan
\item si erreur, problème DNS sur le poste/erreur BIND ;
\item désactiver le proxy dans firefox et tester http://wpad/wpad.dat
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{CNTLM}
\begin{itemize}
\item Poste dans un domaine différent sans support NTLM ;
\item fonctionne sur un port différent (3127).
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Forcer l'utilisation de CNTLM (sur le poste de travail).
\end{itemize}
\end{frame}

View File

@ -0,0 +1,56 @@
\begin{frame}
\frametitle{Proxy père}
\begin{itemize}
\item Proxy père académique ;
\item proxy père pour une zone ;
\item coopération des caches.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Authentification sur le proxy}
\begin{itemize}
\item Obligation légale ;
\item plusieurs types :
\begin{itemize}
\item NTLM/SMB
\item LDAP/Active directory
\item NTLM/Kerberos
\item fichier local
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer l'authentification du proxy en NTLM/SMB.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Observation}
\begin{itemize}
\item Action EAD désactivé par défaut ;
\item activable en mode expert dans l'onglet "Filtrage web" / "Autoriser la consultation des logs liés au filtrage web dans l'EAD" ;
\item action EAD : "Filtre Web 1" / "Visite de site" ;
\item il est possible de visualiser des logs par :
\begin{itemize}
\item date (obligatoire)
\item heure de visite ;
\item IP du visiteur ;
\item login du visiteur ;
\item seulement les accès refusés.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Lightsquid}
\begin{itemize}
\item Possibilité d'utiliser lightsquid en plus ou à la place de l'observation ;
\item nécessaire de lancer un script pour avoir des informations à jour (information dans l'action EAD) ;
\item automatisable dans l'onglet "Squid" (Tâche Cron);
\item anonymisable.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,15 @@
\begin{frame}
\frametitle{Relai DHCP}
\begin{itemize}
\item Le protocole DHCP fonctionne en utilisant un mécanisme de broadcast (pas routables) ;
\item nécessaire si serveur et station ne sont pas sur le même réseau ;
\item relai DHCP non disponible sur AmonEcole.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Voir les configurations possible pour DHCP relai.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,18 @@
\begin{frame}
\frametitle{RADIUS}
\begin{itemize}
\item choisir entre 2 modes d'utilisation de RADIUS :
\item 802.1X :
\begin{itemize}
\item 802.1X : permet de taguer dynamiquement des ports d'un switch (NAS) sur lesquels sont brassées des stations en fonction du compte LDAP de connexion,
\item accounting : permet de créer un réseau Wi-Fi WPA enterprise sur une borne Wi-Fi (NAS).
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Voir les configurations possible de RADIUS.
\end{itemize}
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{01-ajout.tex}
fichier slides/modules\_EOLE\_envole/envole/01-ajout.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{02-applications.tex}
fichier slides/modules\_EOLE\_envole/envole/02-applications.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{02-posh.tex}
fichier slides/modules\_EOLE\_envole/envole/02-posh.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{01-utilisateur.tex}
fichier slides/modules\_EOLE\_envole/horus/01-utilisateur.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{03-administratifs.tex}
fichier slides/modules\_EOLE\_envole/horus/03-administratifs.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{01-utilisateur.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/01-utilisateur.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{10-machine\_conf\_reseau.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/10-machine\_conf\_reseau.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{10-windows-distance.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/10-windows-distance.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{11-integration-scribe.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/11-integration-scribe.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{12-machine-diagnostic.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/12-machine-diagnostic.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{12-machine-ead.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/12-machine-ead.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{13-profil.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/13-profil.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{14-esu-diagnostic.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/14-esu-diagnostic.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{14-esu.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/14-esu.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{15-script-scribe.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/15-script-scribe.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{16-imprimante.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/16-imprimante.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{17-corbeille.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/17-corbeille.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{18-virus.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/18-virus.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{19-ftp.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/19-ftp.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{20-sauvegarde.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/20-sauvegarde.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{30-communication.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/30-communication.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}

View File

@ -0,0 +1,5 @@
\begin{frame}
\frametitle{31-scripts-user-scribe.tex}
fichier slides/modules\_EOLE\_envole/scribeAD/31-scripts-user-scribe.tex à éditer
% contenu (pas trop long) de la diapositive
\end{frame}