Révision partielle de formations EOLE

slides/modules_EOLE_envole/modules/amon/base.tex

@@ -0,0 +1,80 @@
+\begin{frame}
+ \frametitle{Serveur DNS}
+ \begin{itemize}
+  \item Amon propose un serveur DNS ;
+  \item il est possible de configurer un ou plusieurs DNS père ;
+  \item DNS master de zone supplémentaire ;
+  \item forward de zone DNS ;
+  \item ajout d'hôte dans la résolution de domaine.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique : serveur DNS}
+ \begin{itemize}
+  \item ajouter seven.monreseau.lan avec l'adresse IP du poste seven ;
+  \item ajouter seven.nouveaureseau.lan avec l'adresse IP du poste seven.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Serveur DNS et RVP}
+ \begin{itemize}
+  \item Si RVP activé ;
+  \item serveur DNS in.ac-acad.fr ;
+  \item serveur DNS AGRIATE.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Agrégation de liens}
+ \begin{itemize}
+  \item Utiliser deux abonnements Internet sur un même Amon ;
+  \item garantir une meilleure qualité de service ;
+  \item poids de chaque abonnement pour répartir la charge ;
+  \item la configuration se fait durant l'étape de configuration ;
+  \item limite : le RVP passe par un seul lien.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Réseau}
+ \begin{itemize}
+  \item alias :
+  \begin{itemize}
+   \item plusieurs IP pour une adresse réseau physique.
+  \end{itemize}
+  \item VLAN : 
+  \begin{itemize}
+   \item segmentation des réseaux ;
+   \item se fait au niveau des équipements réseaux.
+  \end{itemize}
+  \item RADIUS :
+  \begin{itemize}
+   \item RADIUS : protocole client-serveur permettant de centraliser des données d'authentification ;
+   \item permet de faire des sous-réseaux dynamiques ;
+   \item nécessite des équipements réseaux compatibles.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Route statique}
+ \begin{itemize}
+  \item Réseau locale accessible via une passerelle ;
+  \item onglet "Réseau avancé" "Ajouter des routes statiques" :
+  \begin{itemize}
+   \item adresse IP ou réseau + masque,
+   \item passerelle pour accéder au réseau,
+   \item interface réseau reliée à la passerelle,
+   \item autorisation sur les DNS.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Mettre en place un route statique.
+ \end{itemize}
+\end{frame}

slides/modules_EOLE_envole/modules/amon/cntlm.tex

@@ -0,0 +1,40 @@
+\begin{frame}
+ \frametitle{WPAD}
+ \begin{itemize}
+  \item WPAD permet la configuration automatique des postes clients ;
+  \item le navigateur doit être configuré en conséquence ;
+  \item possibilité d'exceptions :
+  \begin{itemize}
+   \item d'un nom de domaine,
+   \item d'un nom de domaine local (donc aussi les sous-domaines),
+   \item d'un IP.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Diagnostic WPAD}
+ \begin{itemize}
+  \item sous windows nslookup wpad ;
+  \item si erreur, bien vérifier le nom de domaine dans ipconfig /all ;
+  \item vérifier le domaine complet : nslookup wpad.nomdomain.lan
+  \item si erreur, problème DNS sur le poste/erreur BIND ;
+  \item désactiver le proxy dans firefox et tester http://wpad/wpad.dat
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{CNTLM}
+ \begin{itemize}
+  \item Poste dans un domaine différent sans support NTLM ;
+  \item fonctionne sur un port différent (3127).
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Forcer l'authentification sur le poste de travail.
+ \end{itemize}
+\end{frame}
+

slides/modules_EOLE_envole/modules/amon/description.tex

@@ -0,0 +1,14 @@
+\begin{frame}
+ \frametitle {Amon}
+ \begin{itemize}
+  \item Amon, la passerelle pare-feu :
+  \begin{itemize}
+   \item partage des sous-réseaux et connexion à internet (pare-feu) ;
+   \item authentifications des utilisateurs ;
+   \item réseau virtuel privé ;
+   \item cache web ;
+   \item reverse proxy web.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+

slides/modules_EOLE_envole/modules/amon/era.tex

@@ -0,0 +1,126 @@
+\begin{frame}
+ \frametitle{Présentation}
+ \begin{itemize}
+  \item Outil de génération de règles pour pare-feu ;
+  \item enregistre la description de la politique de sécurité dans un fichier XML ;
+  \item génération de commandes iptables par compilation ;
+  \item il est possible de mettre des variables Creole ;
+  \item zone de sécurité : correspond à une interface réseau ;
+  \item matrice de flux : classé par origine et par destination ;
+  \item flux orienté (interdit pour les flux montants, autorisé pour les flux descendants, interdit pour les flux égaux) ;
+  \item politique par défaut ;
+  \item extrémité : machine ou réseau d'une zone ;
+  \item directive : règle.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Directive}
+ \begin{itemize}
+  \item Les extrémités
+  \item les services et groupes de services
+  \item les plages horaires
+  \item les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ...
+  \item les groupes d'applications (NuFW)
+  \item les types de directives : autorisation/interdiction, redirection, NAT, ...
+  \item la journalisation
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Lancer Era et ouvrir le fichier 2zones-amonecole ;
+  \item identifier les zones, les flux et les directives ;
+  \item ajouter une extrémité seven avec IP ;
+  \item ajouter un groupe de services avec le service samba3, smtp et pop ;
+  \item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
+  \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
+  \item ajouter une directive DNAT de Scribe vers 8500 ;
+  \item enregistrer le fichier dans un nouveau modèle ;
+  \item dans gen\_config modifier le modèle utilisé ;
+  \item vérifier l'application des règles avec iptables-save.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Les directives optionnelles}
+ \begin{itemize}
+  \item Directive activable et désactivable depuis l'EAD ;
+  \item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
+  \item alphanumérique + "\_" et " " (pas d'accent !) ;
+  \item notion de groupe de directives optionnelles ;
+  \item possibilité de directive optionnelle active ;
+  \item deux types d'action EAD :
+  \begin{itemize}
+   \item configuration générale,
+   \item filtre web 1/2.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Les directives optionnelles cachées}
+ \begin{itemize}
+  \item Directive optionnelle non présente dans l'EAD ;
+  \item s'active/désactive via un patch du template : /usr/share/eole/creole/distrib/active\_tags.
+ \end{itemize}
+\end{frame}
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Rendre la directive optionnelle et l'activer/désactiver dans l'EAD ;
+  \item rendre la directive optionnelle cachée.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{La qualité de service}
+ \begin{itemize}
+  \item Zone interne vers extérieur ;
+  \item il faut fixer une valeur d'upload et de download en méga bits par seconde ;
+  \item spécifie un pourcentage d'utilisation ;
+  \item penser à activer la QOS dans les options.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Les règles netbios}
+ \begin{itemize}
+  \item Dans les options du modèle, possibilité d'activer les règles netbios ;
+  \item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Activer la qualité de service ;
+  \item configurer la QOS.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Options avancées}
+ \begin{itemize}
+  \item Peut se connecter à Zéphir ;
+  \item héritage de modèle : 
+  \begin{itemize}
+   \item hérite des directives d'un modèle parent,
+   \item directives non modifiable dans le nouveau modèle,
+   \item nouvelle directive dans le modèle,
+   \item il faut un nouveau modèle puis "importer" le modèle hérité ;
+  \end{itemize}
+  \item l'inclusion statique.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Faire un modèle hérité ;
+  \item vérifier que les règles ne sont pas modifiable ;
+  \item ajouter une inclusion statique.
+ \end{itemize}
+\end{frame}
+

slides/modules_EOLE_envole/modules/amon/filtrage.tex

@@ -0,0 +1,176 @@
+\begin{frame}
+ \frametitle{Présentation}
+ \begin{itemize}
+  \item Possibilités :
+  \begin{itemize}
+   \item configurer la manière dont le filtrage s'effectue ;
+   \item associer des filtrages à des utilisateurs ;
+   \item associer des filtrages à des machines ;
+   \item configurer par zone de configuration ;
+   \item configurer par politique de filtrage ;
+   \item plusieurs configurations (1 et 2) ;
+   \item désactivable dans gen\_config.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Interdire ou autoriser des sites web}
+ \begin{itemize}
+  \item Interdire des sites : compléter la liste noire ;
+  \item autoriser des sites : forcer l'autorisation d'un site ;
+  \item applicable à des zones entières ou à des politiques de filtrage ;
+  \item les listes sont mises à jour régulièrement ;
+  \item signaler pour améliorer les performances et la qualité des listes (action EAD).
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Politique de liste blanche}
+ \begin{itemize}
+  \item restreindre la navigation à un ensemble de sites ;
+  \item ne pas confondre avec les sites autorisés.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre optionnel}
+ \begin{itemize}
+  \item la liste de sites interdits comprend des catégories ;
+  \item par défaut seules les catégories "adult" et "redirector" sont activées ;
+  \item activation par configuration ou politique de filtrage ;
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre syntaxique}
+ \begin{itemize}
+  \item Filtrage dynamique des pages ;
+  \item possibilités :
+  \begin{itemize}
+   \item sur les balises méta (par défaut) ;
+   \item sur la page entière ;
+   \item désactivé.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre des extensions}
+ \begin{itemize}
+  \item Interdire le téléchargement portant certaines extensions ;
+  \item applicable à des zones entières ou à des politiques de filtrage.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Tester les différents types de filtrage ;
+  \item voir l'action de signalement.
+ \end{itemize}
+\end{frame}
+\begin{frame}
+ \frametitle{Filtre des types MIME}
+ \begin{itemize}
+  \item Un type MIME est une information donnée par le serveur permettant de connaitre le format d'un document sans se baser sur l'extension.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre par machine}
+ \begin{itemize}
+  \item Filtrage par groupe de machine (IP) ;
+  \item possibilités :
+  \begin{itemize}
+   \item interdire l'accès au réseau ;
+   \item interdire la navigation web uniquement ;
+   \item autoriser la navigation web selon des horaires ;
+   \item associer une politique de filtrage.
+  \end{itemize}
+  \item attention, l'ancienne méthode par "poste" n'est plus d'actualité.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre par utilisateur}
+ \begin{itemize}
+  \item Pré-requis : il doit y avoir une authentification utilisateur ;
+  \item permet d'ajouter un filtrage spécial à un utilisateur ;
+  \item si filtrage par utilisateur, le filtrage par machine n'est plus fonctionnel (pour https).
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Créer un groupe de machines : configuration1/Groupe de machine ;
+  \item tester ;
+  \item créer un utilisateur : Configuration1/Utilisateurs ;
+  \item tester.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre par destination}
+ \begin{itemize}
+  \item Possibilité d'interdire l'accès à un sous-réseau depuis une interface.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Ne pas authentifier / mettre en cache}
+ \begin{itemize}
+  \item La destination : Sites de mise à jour ;
+  \item la source : Sources à ne pas authentifier.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre antivirus web}
+ \begin{itemize}
+  \item Possible d'activer l'antivirus sur le filtrage web ;
+  \item utilise ClamAV.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Activer le filtrage antivirus dans gen\_config ;
+  \item télécharger différents fichiers.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Filtre P2P}
+ \begin{itemize}
+  \item Permet de bloquer les échanges de fichiers en P2P ;
+  \item 2 filtres au choix : l7filter ou ipp2p.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Horaire}
+ \begin{itemize}
+  \item Les horaires du pare-feu : ferme la totalité du pare-feu ;
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Numéro de filtrage web}
+ \begin{itemize}
+  \item Il est possible de différencier les politiques de filtrage suivant l'interface ;
+  \item eole2 : administrateur de la 2ème configuration.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Gérer au mieux les ressources}
+ \begin{itemize}
+  \item Ne pas activer trop de politiques de filtrage par défaut (0 à 3 politiques) ;
+  \item ne pas démarrer trop d'instances Dansguardian (voir la configuration) ... ;
+  \item filtrage syntaxique (surtout sur la page entière) ;
+  \item antivirus.
+ \end{itemize}
+\end{frame}

slides/modules_EOLE_envole/modules/amon/nouveautes.tex

@@ -0,0 +1,15 @@
+\begin{frame}
+ \frametitle{Nouveautés Amon 2.3}
+ \begin{itemize}
+  \item amélioration nginx (notamment "domaine par défaut") ;
+  \item suppression de NuFW ;
+  \item possibilité de désactiver le filtrage web ;
+  \item proxy sur une carte ;
+  \item second squid pour authentification différente ;
+  \item outil de consultation des log : SARG => ligthsquid ;
+  \item wpad/CNTLM ;
+  \item Era ajout de la possibilité de mettre des exceptions.
+ \end{itemize}
+\end{frame}
+
+

slides/modules_EOLE_envole/modules/amon/nufw.tex

@@ -0,0 +1,22 @@
+\begin{frame}
+ \frametitle{NuFW}
+ \includegraphics[width=8cm]{modules_EOLE_envole/amon/nufw.png}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Activer NuFW sur l'Amon ;
+  \item se connecter sur NuFW depuis Clientscribe1 ;
+  \item inverser la politique par défaut sur flux pedago-DMZ ;
+  \item autoriser la pédago à aller sur scribe-pedago en DMZ ;
+  \item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ;
+  \item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ;
+  \item tester :
+  \begin{itemize}
+   \item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'"
+   \item machine source : netcat \$destip \$destport
+   \item machine source : telnet \$destip \$destport
+  \end{itemize}
+ \end{itemize}
+\end{frame}

slides/modules_EOLE_envole/modules/amon/proxy.tex

@@ -0,0 +1,55 @@
+\begin{frame}
+ \frametitle{Proxy père}
+ \begin{itemize}
+  \item Proxy père académique ;
+  \item proxy père pour une zone ;
+  \item coopération des caches.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Authentification sur le proxy}
+ \begin{itemize}
+  \item Obligation légale ;
+  \item plusieurs types :
+  \begin{itemize}
+   \item NTLM/SMB
+   \item LDAP/Active directory
+   \item NTLM/Kerberos
+   \item fichier local
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Activer l'authentification du proxy en NTLM/SMB.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Observation}
+ \begin{itemize}
+  \item Action EAD désactivé par défaut ;
+  \item activable dans l'onglet "Dansguardian" "Autoriser la consultation des logs de Dansguardian dans l'EAD" ;
+  \item il est possible de visualiser des logs par :
+  \begin{itemize}
+   \item date (obligatoire)
+   \item heure de visite ;
+   \item IP du visiteur ;
+   \item login du visiteur ;
+   \item seulement les accès refusés.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Lightsquid}
+ \begin{itemize}
+  \item Possibilité d'utiliser lightsquid en plus ou à la place de l'observation ;
+  \item nécessaire de lancer un script (information dans l'action EAD) ;
+  \item automatisable dans l'onglet "Squid" ;
+  \item anonymisable.
+ \end{itemize}
+\end{frame}

slides/modules_EOLE_envole/modules/amon/reverseproxy.tex

@@ -0,0 +1,23 @@
+\begin{frame}
+ \frametitle{Reverse proxy}
+ \begin{itemize}
+  \item permet de relayer des requêtes Web provenant de l'extérieur vers les serveurs internes ;
+  \item permet de rediriger :
+  \begin{itemize}
+   \item SSO,
+   \item administration Envole 2.0,
+   \item HTTP,
+   \item HTTPS ;
+  \end{itemize}
+  \item si on redirige le SSO, il ne faut pas l'activer sur l'Amon.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Rendre disponible un site via le reverse proxy.
+ \end{itemize}
+\end{frame}
+
+

slides/modules_EOLE_envole/modules/amon/virtualbox.tex

@@ -0,0 +1,17 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item AmonEcole :
+  \begin{itemize}
+   \item Choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+   \item choisir "Réseau interne" "int" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2.
+   \item faire un instantané.
+  \end{itemize}
+  \item Seven :
+  \begin{itemize}
+   \item choisir "Réseau interne" "int" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+