Cadoles/formations
21
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

ajout de la formation amon-sphynx

Browse Source
This commit is contained in:
GnunuX
2012-03-18 22:12:39 +01:00
parent 8817ffe7a5
commit bbe0297d2f
17 changed files with 1190 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

12
amon/00-commun.tex Normal file
View File

@ -0,0 +1,12 @@
\begin{frame}
\frametitle{Utilisation de VirtualBox}
\begin{itemize}
\item Activer PAE/NX dans Préférences/Système/Processeur ;
\item choisir "Accès par pont" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 1 ;
\item choisir "Réseau interne" "intadmin" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 2 ;
\item choisir "Réseau interne" "intpeda" dans le "Mode d'accès réseau" dans Préférence/Réseau/Carte 3 ;
\item faire un instantané.
\end{itemize}
\end{frame}

19
amon/00-description.tex Normal file
View File

@ -0,0 +1,19 @@
\begin{frame}
\frametitle {Description}
\begin{itemize}
\item Amon, la passerelle pare-feu :
\begin{itemize}
\item partage des sous-réseaux et connexion à internet (pare-feu),
\item authentifications des utilisateurs,
\item réseau virtuel privé,
\item cache web,
\item reverse proxy web ;
\end{itemize}
\item Sphynx, concentrateur pour réseau privé virtuel :
\begin{itemize}
\item relier en réseau vos serveurs (RVP),
\item possibilité de haute disponibilité ;
\end{itemize}
\end{itemize}
\end{frame}

48
amon/01-base.tex Normal file
View File

@ -0,0 +1,48 @@
\section{Fonctions de base d'Amon}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Serveur DNS}
\begin{itemize}
\item Amon propose un serveur DNS ;
\item il est possible de configurer un ou plusieurs DNS père.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Agrégation de lien}
\begin{itemize}
\item Utiliser deux abonnements Internet sur un même Amon ;
\item garantir une meilleure qualité de service ;
\item poids de chaque abonnement pour répartir la charge ;
\item la configuration se fait durant l'étape de configuration ;
\item limite : le RVP passe par un seul lien.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Réseau}
\begin{itemize}
\item VLAN :
\begin{itemize}
\item Segmentation des réseaux ;
\item se fait au niveau des équipements réseaux
\end{itemize}
\item RADIUS :
\begin{itemize}
\item RADIUS : protocole client-serveur permettant de centraliser des données d'authentification ;
\item permet de faire des sous-réseaux dynamique ;
\item nécessite des équipements réseaux compatible.
\end{itemize}
\end{itemize}
\end{frame}

54
amon/02-distance.tex Normal file
View File

@ -0,0 +1,54 @@
\section{Les commandes à distances}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Activer la connexion ssh sur Amon}
\begin{itemize}
\item Possibilité d'interdire la connexion ssh à root ;
\item possibilité d'interdire la connexion sans clef rsa ;
\item choix des adresses autorisés.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Le protocole ssh}
\begin{itemize}
\item protocole de communication sécurisé ;
\item ouvrir une connexion : ssh utilisateur@ip\_serveur ;
\item ouvrir une connexion pour commande graphique : ssh -X utilisateur@ip\_serveur ;
\item transfert de fichier : scp fichier.txt utilisateur@ip\_serveur:.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Screen}
\begin{itemize}
\item si la connexion se coupe, impossible de récupérer la session ;
\item screen permet de détacher un shell et le récupérer ;
\item pour le lancer : screen ;
\item pour détacher : ctrl a d ;
\item attention déconnexion automatique : unset TMOUT ;
\item pour reprendre un screen : screen -rd
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la connexion sur amonecole1 juste pour votre IP ;
\item se connecter sur le serveur amonecole1 en ssh ;
\item copier un fichier ;
\item lancer gen\_config à travers ssh ;
\item utiliser screen.
\end{itemize}
\end{frame}

131
amon/03-era.tex Normal file
View File

@ -0,0 +1,131 @@
\section{Era}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Outil de génération de règle pour pare-feu ;
\item enregistre la description de la politique de sécurité dans un fichier XML ;
\item génération de commande iptables par compilation ;
\item il est possible de mettre des variables Creole ;
\item zone de sécurité : correspond a une interface réseau ;
\item matrice de flux : classé par origine et destination ;
\item flux orienté (interdit pour les flux montant, autorisé pour les flux descendant, interdit pour les flux égaux) ;
\item politique par défaut ;
\item extrémité : machine ou réseau d'une zone ;
\item directive : règle.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Directive}
\begin{itemize}
\item Les extrémités
\item Les services et groupes de services
\item Les plages horaires
\item Les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ...
\item Les groupes d'applications (NuFW)
\item Les types de directive : autorisation/interdiction, redirection, NAT, ...
\item La journalisation
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Lancer Era et ouvrir le fichier 3zones-amonecole ;
\item identifier les zones, les flux et les directives ;
\item ajouter une extrémité ClientScribe en DMZ avec IP ;
\item ajouter un groupe de service avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi à vendredi de 12h à 14h ;
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
\item ajouter une directive DNAT de Scribe vers 8500.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les directives optionnelles}
\begin{itemize}
\item Directive activable et désactivable depuis l'EAD ;
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
\item alphanumérique + "\_" et " " (pas accent !) ;
\item notion de groupe de directives optionnelles ;
\item possibilité de directive optionnelle active ;
\item directive optionnelles cachées : /etc/eole/distrib/active\_tags.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La qualité de service}
\begin{itemize}
\item Zone interne vers extérieur ;
\item il faut fixé une valeur d'upload et de download en méga bits par secondes ;
\item spécifie un pourcentage d'utilisation ;
\item penser à activer la QOS dans les options.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les règles netbios}
\begin{itemize}
\item Dans les options du modèle, possibilité d'activé les règles netbios ;
\item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la qualité de service ;
\item configurer la QOS.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{NuFW}
\includegraphics[width=8cm]{nufw.png}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer NuFW sur l'Amon ;
\item se connecter sur NuFW depuis Clientscribe1 ;
\item inverser la politique par défaut sur flux pedago-DMZ ;
\item autoriser la pedago a aller sur scribe-pedago en DMZ ;
\item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ;
\item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ;
\item tester :
\begin{itemize}
\item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'"
\item machine source : netcat \$destip \$destport
\item machine source : telnet \$destip \$destport
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Options avancées}
\begin{itemize}
\item Peut se connecter à Zéphir ;
\item héritage de modèle ;
\item l'inclusion statique.
\end{itemize}
\end{frame}

220
amon/04-filtrage.tex Normal file
View File

@ -0,0 +1,220 @@
\section{Filtrage web}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Possibilité :
\begin{itemize}
\item configurer la manière dont le filtrage s'effectue ;
\item associés des filtrages à des utilisateurs ;
\item associés des filtrages à des machines ;
\item configuration par zone de configuration ;
\item configuration par politique de filtrage ;
\item plusieurs configuration (1 et 2).
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Interdire ou autoriser des sites web}
\begin{itemize}
\item Interdire des sites : complèter la liste noir ;
\item autoriser des sites : forcer l'autorisation d'un site ;
\item applicable : zone entière ou a des politiques de filtrage ;
\item les listes sont mises à jour régulièrement ;
\item signaler pour améliorer les performances et la qualité des listes.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Politique de liste blanche}
\begin{itemize}
\item restreindre la navigation à un ensemble de site ;
\item ne pas confondre avec les site autorisé.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre optionnel}
\begin{itemize}
\item la liste de site interdit comprend des catégories ;
\item par défaut seule les catégories "adult" et "redirector" sont activés ;
\item activation par configuration ou politique de filtrage ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre syntaxique}
\begin{itemize}
\item Filtrage dynamique des pages ;
\item possibilité :
\begin{itemize}
\item sur les balises méta (par défaut) ;
\item sur la page entière ;
\item désactivé.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des extensions}
\begin{itemize}
\item Interdire le téléchargement portant certaines extensions ;
\item applicable : zone entière ou a des politiques de filtrage.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre des types MIME}
\begin{itemize}
\item Un type MIME est une information donner par le serveur permettant de connaitre le format d'un document sans se baser sur l'extension.
\item
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par machine}
\begin{itemize}
\item filtrage par IP ;
\item possibilité :
\begin{itemize}
\item interdire l'accès au réseau ;
\item interdire la navigation web uniquement ;
\item autoriser la navigation web selon des horaires ;
\item associer une politique de filtrage.
\end{itemize}
\item attention, ancienne methode par "postes" n'est plus d'actualité.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par utilisateur}
\begin{itemize}
\item Pre-requis : il doit y avoir une authentification utilisateur ;
\item premet d'ajouter un filtrage spécial à un utilisateur ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un groupe de machine : configuration1/Groupe de machine ;
\item tester ;
\item créer un utilisateur : Configuration1/Utilisateurs ;
\item tester.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre par destination}
\begin{itemize}
\item Possible d'interdire l'accès à un sous-réseau depuis une interface.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Ne pas authentifier / mettre en cache}
\begin{itemize}
\item La destination : Sites de mise à jour ;
\item la source : Sources à ne pas authentifier.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre antivirus web}
\begin{itemize}
\item Possible d'activer l'antivirus sur le filtrage web ;
\item utilise ClamAV.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer le filtrage antivirus dans gen\_config ;
\item télécharger différents fichiers.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Filtre P2P}
\begin{itemize}
\item Permet de bloquer les échanges de fichiers en P2P ;
\item 2 filtres au choix : l7filter ou ipp2p.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Horaire}
\begin{itemize}
\item Les horaires du pare-feu : ferme la totalité du pare-feu ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Numéro de filtrage web}
\begin{itemize}
\item il est possible de différencier les politiques de filtrage suivant l'interface ;
\item amon2 : administrateur de la 2eme configuration.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Observation}
\begin{itemize}
\item Il est possible de visualiser des logs par :
\begin{itemize}
\item date (obligatoire)
\item heure de visite ;
\item IP du visiteur ;
\item login du visiteur ;
\item seulement les accès refusés.
\end{itemize}
\item possibilité d'utiliser SARG.
\end{itemize}
\end{frame}
%---------------------------------------------------------------
\begin{frame}
\frametitle{Gérer au mieux les ressources}
\begin{itemize}
\item Ne pas activer trop de politique de filtrage par défaut (0 à 3 politiques) ;
\item ne pas démarrer trop d'instance Dansguardian (voir la configuration) ... ;
\item filtrage syntaxique (surtout sur la page entière) ;
\item antivirus.
\end{itemize}
\end{frame}
%---------------------------------------------------------------
\begin{frame}
\frametitle{Reverse proxy}
\begin{itemize}
\item permet relayer des requêtes Web provenant de l'extérieur vers les serveurs internes ;
\item permet de rediriger :
\begin{itemize}
\item SSO,
\item administration Envole 2.0,
\item HTTP,
\item HTTPS ;
\end{itemize}
\item si on redirige le SSO, il ne faut pas l'activer sur l'Amon.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre disponible envole de Scribe depuis l'extérieur.
\end{itemize}
\end{frame}

137
amon/05-sphynx.tex Normal file
View File

@ -0,0 +1,137 @@
\section{Sphynx}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Réseau Privé Virtuel en étoile (pas en maillage) ;
\item application centralisée ;
\item possibilité d'inter-établissement.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Différence PKI et clef-rsa}
\begin{itemize}
\item PKI : nécessite une autorité de certification (AGRIATES) ;
\item clef-rsa : fonctionne en mode autonome.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Monter un tunnel Amon-Sphynx}
\begin{itemize}
\item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
\item la configuration doit être préparé sur le Sphynx ;
\item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
\item activation du RVP sur Amon.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Instanciation de Sphynx1 ;
\begin{itemize}
\item adresse IP fixe,
\item mode d'authentification clef-rsa ;
\end{itemize}
\item instanciation ;
\item logout (pour obtenir les variables d'environnements) ;
\item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
\item mode pki :
\begin{itemize}
\item envoyer le fichier .p10,
\item copier le certificat dans ce répertoire ;
\end{itemize}
\item init-sphynx.sh ;
\item remarque : on ne peut plus changer la configuration réseau maintenant ;
\item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Ajout d'un Amon amon1 sur le Sphynx :
\begin{itemize}
\item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
\item lancer manage-sphynx.sh ;
\item Gerer\_Amon\_Etablissement ;
\item Ajouter\_Amon.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item configure l'Amon amon1 :
\begin{itemize}
\item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
\item onglet service : Activation du RVP,
\item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
\item en mode PKI, demande de mot de passe ;
\end{itemize}
\item test avec "test-rvp".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Demarrage de RVP}
\begin{itemize}
\item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Validité et révocation}
\begin{itemize}
\item Valide 5 ans (pour AGRIATES) ;
\item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
\item agent Zéphir (EAD ou Zéphir) :
\begin{itemize}
\item 45 jours avant : orange,
\item 30 jours avant : rouge,
\end{itemize}
\item Demander\_Certificat dans manage-sphynx.sh ;
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx et Zéphir}
\begin{itemize}
\item Gestion des configurations RVP :
\begin{itemize}
\item listing des configurations RVP (avec voyant suivant les étapes),
\item mise en place de la configuration RVP,
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx en haute disponibilité}
\begin{itemize}
\item Les règles sont synchronisés du maître vers l'esclave ;
\item Heartbeat surveille ;
\item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
\end{itemize}
\end{frame}

54
amon/06-amonecole.tex Normal file
View File

@ -0,0 +1,54 @@
\section{Virtualisation AmonEcole}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
\begin{frame}
\frametitle{Les commandes}
\begin{itemize}
\item virtualisation avec OpenVZ ;
\item un serveur maître Amon ;
\item des serveurs virtuels (Scribe, Eclair, ...) ;
\item des commandes spécifiques pour les modules virtualisés :
\begin{itemize}
\item configuration : virt\_gen\_config <module>
\item instanciation : virt\_instance <module> zephir.eol
\item reconfiguration : virt\_reconfigure <module>
\item mise à jour : virt\_Maj-Auto [<module>|-a]
\item diagnostic : virt\_diagnose <module>
\item liste des modules : virt\_ctrl list
\item arrêt d'un module : virt\_ctrl <module> stop
\item démmarage d'un module : virt\_ctrl <module> start
\item entrer dans un module : virt\_ctrl <module> enter
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les montages}
\begin{itemize}
\item montage d'une partition dans un module :
\begin{itemize}
\item virt\_mount <module> /device /repertoire\_du\_module
\item virt\_mount <module> /repertoire /repertoire\_du\_module
\item virt\_mount <module> //IP/partage /repertoire\_du\_module IP utilisateur mot\_de\_passe
\item automatisation : /etc/vz/eole/module.start et /etc/vz/eole/module.stop
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAD AmonEcole}
\begin{itemize}
\item Possibilité d'arrêter/démarrer/redémarrer un serveur
\end{itemize}
\end{frame}