ajout fichier sphynx
This commit is contained in:
parent
7682383c62
commit
c2e8ab19a0
|
|
@ -0,0 +1,10 @@
|
|||
\begin{frame}
|
||||
\frametitle {Description Sphynx}
|
||||
\begin{itemize}
|
||||
\item Sphynx, concentrateur pour réseau privé virtuel :
|
||||
\begin{itemize}
|
||||
\item relier en réseau vos serveurs (RVP),
|
||||
\item possibilité de haute disponibilité ;
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
|
@ -0,0 +1,213 @@
|
|||
\section{Sphynx}
|
||||
\begin{frame}{Plan}
|
||||
\begin{columns}[t]
|
||||
\begin{column}{5cm}
|
||||
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
|
||||
\end{column}
|
||||
\begin{column}{5cm}
|
||||
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
|
||||
\end{column}
|
||||
\end{columns}
|
||||
\end{frame}
|
||||
|
||||
%FIXME avoir un Amon, un Sphynx et un Zéphir
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Présentation}
|
||||
\begin{itemize}
|
||||
%FIXME encore vrai ??
|
||||
\item Réseau Privé Virtuel en étoile (pas en maillage) ;
|
||||
\item application centralisée ;
|
||||
\item ARV : Administration de Réseaux Virtuels ;
|
||||
%FIXME : vrai ou pas ?
|
||||
\item un seul "Sphynx ARV" pourra gérer les RVP des Amon mais également d'autres "Sphynx distants" ;
|
||||
\item possibilité d'inter-établissement.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Connexion ARV}
|
||||
\begin{itemize}
|
||||
\item Compte nécessite une autorisation :
|
||||
\begin{itemize}
|
||||
\item locaux,
|
||||
\item Zéphir :
|
||||
\begin{itemize}
|
||||
\item avec droit "Lecture" et "Configuration vpn" ;
|
||||
\item permet d'impoter des serveurs Amon et Sphynx enregistrés ;
|
||||
\item générer les configurations RVP => Zéphir ;
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\item https://<IP\_Sphynx>:8088
|
||||
\item tester principalement sur Firefox ;
|
||||
\item déconnexion en bas à droite de l'application.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
%FIXME : il faut lancer init_sphynx ?
|
||||
\begin{frame}
|
||||
\frametitle{Eléments d'un RVP}
|
||||
\begin{itemize}
|
||||
\item une extrémité : serveur :
|
||||
\begin{itemize}
|
||||
\item un concentrateur RVP : fonctionnement en étoile,
|
||||
\item un pare-feu Amon : établissement,
|
||||
\end{itemize}
|
||||
\item un réseau local : station/sous-réseau derrière les extrémités ;
|
||||
\item un lien sécurisé : lien ipsec entre le concentrateur et Amon ;
|
||||
\item un tunnel : relie deux réseaux locaux.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Différence auto-signés ou signés}
|
||||
\begin{itemize}
|
||||
\item signés (anciennement PKI) : nécessite une autorité de certification (AGRIATES) ;
|
||||
\item auto-signés (anciennement clef-rsa) : fonctionne avec une CA locale ;
|
||||
\item permet de mixer les deux ;
|
||||
\item pré-configuré par défaut pour AGRIATES.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Modèles ARV}
|
||||
\begin{itemize}
|
||||
\item Configuration abstraite et commune des réseaux.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Créer :
|
||||
\begin{itemize}
|
||||
\item lien sécurisé ;
|
||||
\item tunnel ;
|
||||
\item réseau local :
|
||||
\begin{itemize}
|
||||
\item peut utiliser des variables Creole ;
|
||||
\item support des multi-valuées ;
|
||||
\item nom\_variable[0].
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Serveur RVP}
|
||||
\begin{itemize}
|
||||
\item Serveur de type Amon/Sphynx :
|
||||
\begin{itemize}
|
||||
\item manuellement,
|
||||
\item importation Zéphir ;
|
||||
\end{itemize}
|
||||
\item création des réseaux locaux (lié au modèle) ;
|
||||
\item ajout des certificats ;
|
||||
\item ajout des IP externes des serveurs RVP (par exemple alias).
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Création d'un serveur manuellement ;
|
||||
\item création d'un serveur depuis Zéphir ;
|
||||
\item en modifiant, peut recharger la configuration ;
|
||||
\item création des réseaux locaux ;
|
||||
\item ajout d'un certificat auto-signé ;
|
||||
\item ajout de l'IP externe.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Création des tunnels}
|
||||
\begin{itemize}
|
||||
\item Lien sécurisé entre deux serveurs RVP ;
|
||||
\item utilise les modèles, certificats et IP externes fournient ;
|
||||
\item enfin selection des tunnels à activer.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Créer un lien sécurisé.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Mise en place}
|
||||
\begin{itemize}
|
||||
\item "Appliquer" dans ARV ;
|
||||
\item activer dans l'interface de configuration de l'Amon ;
|
||||
\item mettre en place de RVP :
|
||||
\begin{itemize}
|
||||
\item à l'instance,
|
||||
\item après : "active\_rvp init" ;
|
||||
\end{itemize}
|
||||
\item choix manuel (avec clef USB) ou Zéphir ;
|
||||
\item suppression du lien : "active\_rvp delete".
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Sphynx et Zéphir}
|
||||
\begin{itemize}
|
||||
\item Gestion des configurations RVP :
|
||||
\begin{itemize}
|
||||
\item listing des configurations RVP (avec voyant suivant les étapes),
|
||||
\item mise en place de la configuration RVP.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Translation d'IP}
|
||||
\begin{itemize}
|
||||
\item Si tous les établissements ont le même sous-réseau : translation d'IP ;
|
||||
\item gestion dans le modèle Era ;
|
||||
\item dans la zone pedago => extérieur ;
|
||||
\item ajouter des extrémités des sous réseaux correspondant à l'intranet académique ;
|
||||
\item règle de SNAT vers "admin\_bastion ;
|
||||
\item ajouter une règle de FORWARD.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Validité et révocation}
|
||||
\begin{itemize}
|
||||
\item Valide 5 ans (pour AGRIATES) ;
|
||||
\item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
|
||||
\item agent Zéphir (EAD ou Zéphir) :
|
||||
\begin{itemize}
|
||||
\item 45 jours avant : orange,
|
||||
\item 30 jours avant : rouge.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Haute disponibilité}
|
||||
\begin{itemize}
|
||||
\item
|
||||
%FIXME
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Sphynx avancé}
|
||||
\begin{itemize}
|
||||
\item La base ARV : /var/lib/arv/db/sphynxdb.sqlite ;
|
||||
\item configuration de type sqlite (/etc/ipsec.d/ipsec.db) ;
|
||||
\item archive : /home/data/vpn/RNE/nom\_serveur.tar.gz ;
|
||||
\item commande ipsec :
|
||||
\begin{itemize}
|
||||
\item ipsec statusall renvoie la configuration d'ipsec et l'état des connexions,
|
||||
\item ipsec status renvoie l'état des connexions,
|
||||
\item ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces),
|
||||
\item ipsec up "Security Association" ou "tunnel" établit une connexion et tous les tunnels associés ou monte un seul tunnel.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
%FIXME : équivalent de test_rvp ???
|
||||
|
|
@ -0,0 +1,137 @@
|
|||
\section{Sphynx}
|
||||
\begin{frame}{Plan}
|
||||
\begin{columns}[t]
|
||||
\begin{column}{5cm}
|
||||
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
|
||||
\end{column}
|
||||
\begin{column}{5cm}
|
||||
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
|
||||
\end{column}
|
||||
\end{columns}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Présentation}
|
||||
\begin{itemize}
|
||||
\item Réseau Privé Virtuel en étoile (pas en maillage) ;
|
||||
\item application centralisée ;
|
||||
\item possibilité d'inter-établissement.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Différence PKI et clef-rsa}
|
||||
\begin{itemize}
|
||||
\item PKI : nécessite une autorité de certification (AGRIATES) ;
|
||||
\item clef-rsa : fonctionne en mode autonome.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Monter un tunnel Amon-Sphynx}
|
||||
\begin{itemize}
|
||||
\item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
|
||||
\item la configuration doit être préparé sur le Sphynx ;
|
||||
\item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
|
||||
\item activation du RVP sur Amon.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Instanciation de Sphynx1 ;
|
||||
\begin{itemize}
|
||||
\item adresse IP fixe,
|
||||
\item mode d'authentification clef-rsa ;
|
||||
\end{itemize}
|
||||
\item instanciation ;
|
||||
\item logout (pour obtenir les variables d'environnements) ;
|
||||
\item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
|
||||
\item mode pki :
|
||||
\begin{itemize}
|
||||
\item envoyer le fichier .p10,
|
||||
\item copier le certificat dans ce répertoire ;
|
||||
\end{itemize}
|
||||
\item init-sphynx.sh ;
|
||||
\item remarque : on ne peut plus changer la configuration réseau maintenant ;
|
||||
\item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Ajout d'un Amon amon1 sur le Sphynx :
|
||||
\begin{itemize}
|
||||
\item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
|
||||
\item lancer manage-sphynx.sh ;
|
||||
\item Gerer\_Amon\_Etablissement ;
|
||||
\item Ajouter\_Amon.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item configure l'Amon amon1 :
|
||||
\begin{itemize}
|
||||
\item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
|
||||
\item onglet service : Activation du RVP,
|
||||
\item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
|
||||
\item en mode PKI, demande de mot de passe ;
|
||||
\end{itemize}
|
||||
\item test avec "test-rvp".
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Pratique}
|
||||
\begin{itemize}
|
||||
\item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Demarrage de RVP}
|
||||
\begin{itemize}
|
||||
\item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Validité et révocation}
|
||||
\begin{itemize}
|
||||
\item Valide 5 ans (pour AGRIATES) ;
|
||||
\item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
|
||||
\item agent Zéphir (EAD ou Zéphir) :
|
||||
\begin{itemize}
|
||||
\item 45 jours avant : orange,
|
||||
\item 30 jours avant : rouge,
|
||||
\end{itemize}
|
||||
\item Demander\_Certificat dans manage-sphynx.sh ;
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Sphynx et Zéphir}
|
||||
\begin{itemize}
|
||||
\item Gestion des configurations RVP :
|
||||
\begin{itemize}
|
||||
\item listing des configurations RVP (avec voyant suivant les étapes),
|
||||
\item mise en place de la configuration RVP,
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
\begin{frame}
|
||||
\frametitle{Sphynx en haute disponibilité}
|
||||
\begin{itemize}
|
||||
\item Les règles sont synchronisés du maître vers l'esclave ;
|
||||
\item Heartbeat surveille ;
|
||||
\item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
|
||||
\end{itemize}
|
||||
\end{frame}
|
||||
|
||||
Loading…
Reference in New Issue