Révision partielle de formations EOLE

2020-08-05 17:08:33 +02:00
parent a781e00a5a
commit 93be45617e
595 changed files with 19487 additions and 0 deletions
--- a/slides/modules_EOLE_envole/modules/sphynx/00-description.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/00-description.tex
@ -0,0 +1,15 @@
+\begin{frame}
+ \frametitle {Sphynx}
+ \begin{itemize}
+  \item Sphynx, concentrateur pour réseau privé virtuel :
+  \begin{itemize}
+   \item relier des réseaux privés entre eux (RVP) ;
+   \item possibilité de haute disponibilité.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Schéma}
+ \includegraphics[width=10cm]{modules_EOLE_envole/sphynx/schema.png}
+\end{frame}
--- a/slides/modules_EOLE_envole/modules/sphynx/00-nouveautes.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/00-nouveautes.tex
@ -0,0 +1,6 @@
+\begin{frame}
+ \frametitle{Nouveautés Sphynx 2.3}
+ \begin{itemize}
+  \item réécriture complète de l'interface et des mécanismes Sphynx.
+ \end{itemize}
+\end{frame}
--- a/slides/modules_EOLE_envole/modules/sphynx/01-arv.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/01-arv.tex
@ -0,0 +1,207 @@
+\begin{frame}
+ \frametitle{Présentation}
+ \begin{itemize}
+  \item Réseau Privé Virtuel en étoile et en maillage ;
+  \item application centralisée ;
+  \item ARV : Administration de Réseaux Virtuels ;
+  \item un seul "Sphynx ARV" pourra gérer les RVP des Amon mais également d'autres "Sphynx distants" ;
+  \item possibilité d'inter-établissement ;
+  \item prévu pour fonctionner avec un Zéphir.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Connexion ARV}
+ \begin{itemize}
+  \item Autorisation nécessaire pour les comptes:
+  \begin{itemize}
+   \item locaux,
+   \item Zéphir :
+   \begin{itemize}
+    \item avec droit "Lecture" et "Configuration vpn" ;
+    \item permet d'importer des serveurs Amon et Sphynx enregistrés ;
+    \item générer les configurations RVP => Zéphir ;
+   \end{itemize}
+  \end{itemize}
+  \item https://<IP\_Sphynx>:8088
+  \item testé principalement sur Firefox ;
+  \item déconnexion en bas à droite de l'application.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Eléments d'un RVP}
+ \begin{itemize}
+  \item une extrémité : serveur :
+  \begin{itemize}
+   \item un concentrateur RVP : fonctionnement en étoile,
+   \item un pare-feu Amon : établissement,
+  \end{itemize}
+  \item un réseau local : station/sous-réseau derrière les extrémités ;
+  \item un lien sécurisé : lien ipsec entre le concentrateur et Amon ;
+  \item un tunnel : relie deux réseaux locaux.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Schéma}
+ \includegraphics[width=10cm]{modules_EOLE_envole/sphynx/ConceptualModel2.png}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Différence: auto-signés ou signés}
+ \begin{itemize}
+  \item signés : nécessite une autorité de certification (AGRIATES) ;
+  \item auto-signés : fonctionne avec une CA locale ;
+  \item permet de mixer les deux ;
+  \item pré-configuré par défaut pour AGRIATES.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Modèles ARV}
+ \begin{itemize}
+  \item Configuration abstraite et commune des réseaux ;
+  \item peut lier à Zéphir :
+   \begin{itemize}
+    \item peut utiliser des variables Creole ;
+    \item support des multi-valuées ;
+    \item nom\_variable[0].
+   \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Enregistrement Zéphir du Sphynx ;
+  \item initialisation : init\_sphynx (seulement si Zéphir) ;
+  \item créer un modèle :
+  \begin{itemize}
+   \item lien sécurisé ;
+   \item tunnel ;
+   \item réseau local.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Serveur RVP}
+ \begin{itemize}
+  \item Serveur de type Amon/Sphynx :
+  \begin{itemize}
+   \item manuellement,
+   \item importation Zéphir ;
+  \end{itemize}
+  \item création des réseaux locaux (lié au modèle) ;
+  \item ajout des certificats ;
+  \item ajout des IP externes des serveurs RVP (par exemple alias).
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Création d'un serveur manuellement ;
+  \item création d'un serveur depuis Zéphir ;
+  \item en modifiant, peut recharger la configuration ;
+  \item création des réseaux locaux ;
+  \item ajout d'un certificat auto-signé ;
+  \item ajout de l'IP externe.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Création des tunnels}
+ \begin{itemize}
+  \item Lien sécurisé entre deux serveurs RVP ;
+  \item utilise les modèles, certificats et IP externes fournis ;
+  \item enfin selection des tunnels à activer.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Créer un lien sécurisé.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Mise en place}
+ \begin{itemize}
+  \item "Appliquer" dans ARV ;
+  \item activer dans l'interface de configuration de l'Amon ;
+  \item mise en place de RVP :
+  \begin{itemize}
+   \item à l'instance,
+   \item après : "active\_rvp init" ;
+  \end{itemize}
+  \item choix manuel (avec clef USB) ou Zéphir ;
+  \item suppression du lien : "active\_rvp delete".
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx et Zéphir}
+ \begin{itemize}
+  \item Gestion des configurations RVP :
+  \begin{itemize}
+   \item listing des configurations RVP (avec voyant suivant les étapes),
+   \item mise en place de la configuration RVP.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Translation d'IP}
+ \begin{itemize}
+  \item Si tous les établissements ont le même sous-réseau : translation d'IP ;
+  \item gestion dans le modèle Era ;
+  \item dans la zone pédago => extérieur ;
+  \item ajouter des extrémités des sous-réseaux correspondants à l'intranet académique ;
+  \item règle de SNAT vers "admin\_bastion ;
+  \item ajouter une règle de FORWARD.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Validité et révocation}
+ \begin{itemize}
+  \item Valide 5 ans (pour AGRIATES) ;
+  \item liste des certificats révoqués par Toulouse (rechargée toutes les 7 heures) ;
+  \item agent Zéphir (EAD ou Zéphir) : 
+  \begin{itemize}
+   \item 45 jours avant : orange,
+   \item 30 jours avant : rouge.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+%\begin{frame}
+% \frametitle{Haute disponibilité}
+% \begin{itemize}
+%  \item 
+%%FIXME
+% \end{itemize}
+%\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx avancé}
+ \begin{itemize}
+  \item La base ARV : /var/lib/arv/db/sphynxdb.sqlite ;
+  \item configuration de type sqlite (/etc/ipsec.d/ipsec.db) ;
+  \item archive : /home/data/vpn/RNE/nom\_serveur.tar.gz ;
+  \item commande ipsec :
+  \begin{itemize}
+   \item ipsec statusall renvoie la configuration d'ipsec et l'état des connexions,
+   \item ipsec status renvoie l'état des connexions,
+%Security Association = lien sécurisé
+%tunnel
+   \item ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces),
+   \item ipsec up "Security Association" ou "tunnel" établit une connexion entre tous les tunnels associés ou monte un seul tunnel.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+%FIXME : équivalent de test_rvp ??? toujours
--- a/slides/modules_EOLE_envole/modules/sphynx/01-interface_arv.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/01-interface_arv.tex
@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item Activer PAE/NX dans Préférences/Système/Processeur ;
+  \item choisir "Réseau interne" "intetab" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+  \item faire un instantané.
+ \end{itemize}
+\end{frame}
+
+
--- a/slides/modules_EOLE_envole/modules/sphynx/02-tunnel.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/02-tunnel.tex
@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item Activer PAE/NX dans Préférences/Système/Processeur ;
+  \item choisir "Réseau interne" "intetab" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+  \item faire un instantané.
+ \end{itemize}
+\end{frame}
+
+
--- a/slides/modules_EOLE_envole/modules/sphynx/03-rvp.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/03-rvp.tex
@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item Activer PAE/NX dans Préférences/Système/Processeur ;
+  \item choisir "Réseau interne" "intetab" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+  \item faire un instantané.
+ \end{itemize}
+\end{frame}
+
+
--- a/slides/modules_EOLE_envole/modules/sphynx/04-validite.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/04-validite.tex
@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item Activer PAE/NX dans Préférences/Système/Processeur ;
+  \item choisir "Réseau interne" "intetab" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+  \item faire un instantané.
+ \end{itemize}
+\end{frame}
+
+
--- a/slides/modules_EOLE_envole/modules/sphynx/05-zephir.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/05-zephir.tex
@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item Activer PAE/NX dans Préférences/Système/Processeur ;
+  \item choisir "Réseau interne" "intetab" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+  \item faire un instantané.
+ \end{itemize}
+\end{frame}
+
+
--- a/slides/modules_EOLE_envole/modules/sphynx/06-hd.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/06-hd.tex
@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle{Utilisation de VirtualBox}
+ \begin{itemize}
+  \item Activer PAE/NX dans Préférences/Système/Processeur ;
+  \item choisir "Réseau interne" "intetab" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
+  \item faire un instantané.
+ \end{itemize}
+\end{frame}
+
+
--- a/slides/modules_EOLE_envole/modules/sphynx/old-01-sphynx.tex
+++ b/slides/modules_EOLE_envole/modules/sphynx/old-01-sphynx.tex
@ -0,0 +1,137 @@
+\section{Sphynx}
+\begin{frame}{Plan}
+  \begin{columns}[t]
+  \begin{column}{5cm}
+  \tableofcontents[sections={1-6},currentsection, hideothersubsections]
+  \end{column}
+  \begin{column}{5cm}
+  \tableofcontents[sections={7-11},currentsection,hideothersubsections]
+  \end{column}
+  \end{columns}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Présentation}
+ \begin{itemize}
+  \item Réseau Privé Virtuel en étoile (pas en maillage) ;
+  \item application centralisée ;
+  \item possibilité d'inter-établissement.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Différence PKI et clef-rsa}
+ \begin{itemize}
+  \item PKI : nécessite une autorité de certification (AGRIATES) ;
+  \item clef-rsa : fonctionne en mode autonome.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Monter un tunnel Amon-Sphynx}
+ \begin{itemize}
+  \item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
+  \item la configuration doit être préparé sur le Sphynx ;
+  \item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
+  \item activation du RVP sur Amon.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Instanciation de Sphynx1 ;
+  \begin{itemize}
+   \item adresse IP fixe,
+   \item mode d'authentification clef-rsa ;
+  \end{itemize}
+  \item instanciation ;
+  \item logout (pour obtenir les variables d'environnements) ;
+  \item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
+  \item mode pki :
+  \begin{itemize}
+   \item envoyer le fichier .p10,
+   \item copier le certificat dans ce répertoire ;
+  \end{itemize}
+  \item init-sphynx.sh ;
+  \item remarque : on ne peut plus changer la configuration réseau maintenant ;
+  \item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Ajout d'un Amon amon1 sur le Sphynx :
+  \begin{itemize}
+   \item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
+   \item lancer manage-sphynx.sh ;
+   \item Gerer\_Amon\_Etablissement ;
+   \item Ajouter\_Amon.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item configure l'Amon amon1 :
+  \begin{itemize}
+   \item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
+   \item onglet service : Activation du RVP,
+   \item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
+   \item en mode PKI, demande de mot de passe ;
+  \end{itemize}
+  \item test avec "test-rvp".
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Demarrage de RVP}
+ \begin{itemize}
+  \item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Validité et révocation}
+ \begin{itemize}
+  \item Valide 5 ans (pour AGRIATES) ;
+  \item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
+  \item agent Zéphir (EAD ou Zéphir) : 
+  \begin{itemize}
+   \item 45 jours avant : orange,
+   \item 30 jours avant : rouge,
+  \end{itemize}
+  \item Demander\_Certificat dans manage-sphynx.sh ;
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx et Zéphir}
+ \begin{itemize}
+  \item Gestion des configurations RVP :
+  \begin{itemize}
+   \item listing des configurations RVP (avec voyant suivant les étapes),
+   \item mise en place de la configuration RVP,
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx en haute disponibilité}
+ \begin{itemize}
+  \item Les règles sont synchronisés du maître vers l'esclave ;
+  \item Heartbeat surveille ;
+  \item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
+ \end{itemize}
+\end{frame}
+