From c2e8ab19a0d995330d0671f6dffe8c4b41cd4d93 Mon Sep 17 00:00:00 2001
From: Emmanuel Garette <egarette@cadoles.com>
Date: Sun, 10 Mar 2013 21:07:54 +0100
Subject: [PATCH] ajout fichier sphynx

---
 modules_EOLE_envole/sphynx/00-description.tex |  10 +
 modules_EOLE_envole/sphynx/01-arv.tex         | 213 ++++++++++++++++++
 modules_EOLE_envole/sphynx/01-sphynx.tex      | 137 +++++++++++
 3 files changed, 360 insertions(+)
 create mode 100644 modules_EOLE_envole/sphynx/00-description.tex
 create mode 100644 modules_EOLE_envole/sphynx/01-arv.tex
 create mode 100644 modules_EOLE_envole/sphynx/01-sphynx.tex

diff --git a/modules_EOLE_envole/sphynx/00-description.tex b/modules_EOLE_envole/sphynx/00-description.tex
new file mode 100644
index 0000000..0bee5dc
--- /dev/null
+++ b/modules_EOLE_envole/sphynx/00-description.tex
@@ -0,0 +1,10 @@
+\begin{frame}
+ \frametitle {Description Sphynx}
+ \begin{itemize}
+  \item Sphynx, concentrateur pour réseau privé virtuel :
+  \begin{itemize}
+   \item relier en réseau vos serveurs (RVP),
+   \item possibilité de haute disponibilité ;
+  \end{itemize}
+ \end{itemize}
+\end{frame}
diff --git a/modules_EOLE_envole/sphynx/01-arv.tex b/modules_EOLE_envole/sphynx/01-arv.tex
new file mode 100644
index 0000000..4a1a4c6
--- /dev/null
+++ b/modules_EOLE_envole/sphynx/01-arv.tex
@@ -0,0 +1,213 @@
+\section{Sphynx}
+\begin{frame}{Plan}
+  \begin{columns}[t]
+  \begin{column}{5cm}
+  \tableofcontents[sections={1-6},currentsection, hideothersubsections]
+  \end{column}
+  \begin{column}{5cm}
+  \tableofcontents[sections={7-11},currentsection,hideothersubsections]
+  \end{column}
+  \end{columns}
+\end{frame}
+
+%FIXME avoir un Amon, un Sphynx et un Zéphir
+
+\begin{frame}
+ \frametitle{Présentation}
+ \begin{itemize}
+%FIXME encore vrai ??
+  \item Réseau Privé Virtuel en étoile (pas en maillage) ;
+  \item application centralisée ;
+  \item ARV : Administration de Réseaux Virtuels ;
+%FIXME : vrai ou pas ?
+  \item un seul "Sphynx ARV" pourra gérer les RVP des Amon mais également d'autres "Sphynx distants" ;
+  \item possibilité d'inter-établissement.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Connexion ARV}
+ \begin{itemize}
+  \item Compte nécessite une autorisation :
+  \begin{itemize}
+   \item locaux,
+   \item Zéphir :
+   \begin{itemize}
+    \item avec droit "Lecture" et "Configuration vpn" ;
+    \item permet d'impoter des serveurs Amon et Sphynx enregistrés ;
+    \item générer les configurations RVP => Zéphir ;
+   \end{itemize}
+  \end{itemize}
+  \item https://<IP\_Sphynx>:8088
+  \item tester principalement sur Firefox ;
+  \item déconnexion en bas à droite de l'application.
+ \end{itemize}
+\end{frame}
+
+%FIXME : il faut lancer init_sphynx ?
+\begin{frame}
+ \frametitle{Eléments d'un RVP}
+ \begin{itemize}
+  \item une extrémité : serveur :
+  \begin{itemize}
+   \item un concentrateur RVP : fonctionnement en étoile,
+   \item un pare-feu Amon : établissement,
+  \end{itemize}
+  \item un réseau local : station/sous-réseau derrière les extrémités ;
+  \item un lien sécurisé : lien ipsec entre le concentrateur et Amon ;
+  \item un tunnel : relie deux réseaux locaux.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Différence auto-signés ou signés}
+ \begin{itemize}
+  \item signés (anciennement PKI) : nécessite une autorité de certification (AGRIATES) ;
+  \item auto-signés (anciennement clef-rsa) : fonctionne avec une CA locale ;
+  \item permet de mixer les deux ;
+  \item pré-configuré par défaut pour AGRIATES.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Modèles ARV}
+ \begin{itemize}
+  \item Configuration abstraite et commune des réseaux.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Créer :
+  \begin{itemize}
+   \item lien sécurisé ;
+   \item tunnel ;
+   \item réseau local :
+   \begin{itemize}
+    \item peut utiliser des variables Creole ;
+    \item support des multi-valuées ;
+    \item nom\_variable[0].
+   \end{itemize}
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Serveur RVP}
+ \begin{itemize}
+  \item Serveur de type Amon/Sphynx :
+  \begin{itemize}
+   \item manuellement,
+   \item importation Zéphir ;
+  \end{itemize}
+  \item création des réseaux locaux (lié au modèle) ;
+  \item ajout des certificats ;
+  \item ajout des IP externes des serveurs RVP (par exemple alias).
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Création d'un serveur manuellement ;
+  \item création d'un serveur depuis Zéphir ;
+  \item en modifiant, peut recharger la configuration ;
+  \item création des réseaux locaux ;
+  \item ajout d'un certificat auto-signé ;
+  \item ajout de l'IP externe.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Création des tunnels}
+ \begin{itemize}
+  \item Lien sécurisé entre deux serveurs RVP ;
+  \item utilise les modèles, certificats et IP externes fournient ;
+  \item enfin selection des tunnels à activer.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Créer un lien sécurisé.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Mise en place}
+ \begin{itemize}
+  \item "Appliquer" dans ARV ;
+  \item activer dans l'interface de configuration de l'Amon ;
+  \item mettre en place de RVP :
+  \begin{itemize}
+   \item à l'instance,
+   \item après : "active\_rvp init" ;
+  \end{itemize}
+  \item choix manuel (avec clef USB) ou Zéphir ;
+  \item suppression du lien : "active\_rvp delete".
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx et Zéphir}
+ \begin{itemize}
+  \item Gestion des configurations RVP :
+  \begin{itemize}
+   \item listing des configurations RVP (avec voyant suivant les étapes),
+   \item mise en place de la configuration RVP.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Translation d'IP}
+ \begin{itemize}
+  \item Si tous les établissements ont le même sous-réseau : translation d'IP ;
+  \item gestion dans le modèle Era ;
+  \item dans la zone pedago => extérieur ;
+  \item ajouter des extrémités des sous réseaux correspondant à l'intranet académique ;
+  \item règle de SNAT vers "admin\_bastion ;
+  \item ajouter une règle de FORWARD.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Validité et révocation}
+ \begin{itemize}
+  \item Valide 5 ans (pour AGRIATES) ;
+  \item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
+  \item agent Zéphir (EAD ou Zéphir) : 
+  \begin{itemize}
+   \item 45 jours avant : orange,
+   \item 30 jours avant : rouge.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Haute disponibilité}
+ \begin{itemize}
+  \item 
+%FIXME
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx avancé}
+ \begin{itemize}
+  \item La base ARV : /var/lib/arv/db/sphynxdb.sqlite ;
+  \item configuration de type sqlite (/etc/ipsec.d/ipsec.db) ;
+  \item archive : /home/data/vpn/RNE/nom\_serveur.tar.gz ;
+  \item commande ipsec :
+  \begin{itemize}
+   \item ipsec statusall renvoie la configuration d'ipsec et l'état des connexions,
+   \item ipsec status renvoie l'état des connexions,
+   \item ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces),
+   \item ipsec up "Security Association" ou "tunnel" établit une connexion et tous les tunnels associés ou monte un seul tunnel.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+%FIXME : équivalent de test_rvp ???
diff --git a/modules_EOLE_envole/sphynx/01-sphynx.tex b/modules_EOLE_envole/sphynx/01-sphynx.tex
new file mode 100644
index 0000000..10bb1ae
--- /dev/null
+++ b/modules_EOLE_envole/sphynx/01-sphynx.tex
@@ -0,0 +1,137 @@
+\section{Sphynx}
+\begin{frame}{Plan}
+  \begin{columns}[t]
+  \begin{column}{5cm}
+  \tableofcontents[sections={1-6},currentsection, hideothersubsections]
+  \end{column}
+  \begin{column}{5cm}
+  \tableofcontents[sections={7-11},currentsection,hideothersubsections]
+  \end{column}
+  \end{columns}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Présentation}
+ \begin{itemize}
+  \item Réseau Privé Virtuel en étoile (pas en maillage) ;
+  \item application centralisée ;
+  \item possibilité d'inter-établissement.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Différence PKI et clef-rsa}
+ \begin{itemize}
+  \item PKI : nécessite une autorité de certification (AGRIATES) ;
+  \item clef-rsa : fonctionne en mode autonome.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Monter un tunnel Amon-Sphynx}
+ \begin{itemize}
+  \item Sphynx et Amon doivent être sur le même plan d'adressage (généralement internet) ;
+  \item la configuration doit être préparé sur le Sphynx ;
+  \item la configuration est transféré sur l'Amon (disquette, clef, ...) ;
+  \item activation du RVP sur Amon.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Instanciation de Sphynx1 ;
+  \begin{itemize}
+   \item adresse IP fixe,
+   \item mode d'authentification clef-rsa ;
+  \end{itemize}
+  \item instanciation ;
+  \item logout (pour obtenir les variables d'environnements) ;
+  \item manage-sphynx.sh : Demande\_Certificat dans le "disque local" ;
+  \item mode pki :
+  \begin{itemize}
+   \item envoyer le fichier .p10,
+   \item copier le certificat dans ce répertoire ;
+  \end{itemize}
+  \item init-sphynx.sh ;
+  \item remarque : on ne peut plus changer la configuration réseau maintenant ;
+  \item voir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Ajout d'un Amon amon1 sur le Sphynx :
+  \begin{itemize}
+   \item copier le fichier config.eol dans /home/data/amon1/config.eol du Sphynx ;
+   \item lancer manage-sphynx.sh ;
+   \item Gerer\_Amon\_Etablissement ;
+   \item Ajouter\_Amon.
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item configure l'Amon amon1 :
+  \begin{itemize}
+   \item copie du répertoire Sphynx /home/data/amon1 sur l'Amon,
+   \item onglet service : Activation du RVP,
+   \item à l'instanciation ou après avec la commande active\_rvp.sh choisir le répertoire,
+   \item en mode PKI, demande de mot de passe ;
+  \end{itemize}
+  \item test avec "test-rvp".
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Pratique}
+ \begin{itemize}
+  \item Revoir la base dans /usr/share/eole/sphynx-vpn/xml/sphynx.xml.
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Demarrage de RVP}
+ \begin{itemize}
+  \item Pour redemarrer l'ensemble des tunnels : redemarrer bastion
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Validité et révocation}
+ \begin{itemize}
+  \item Valide 5 ans (pour AGRIATES) ;
+  \item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
+  \item agent Zéphir (EAD ou Zéphir) : 
+  \begin{itemize}
+   \item 45 jours avant : orange,
+   \item 30 jours avant : rouge,
+  \end{itemize}
+  \item Demander\_Certificat dans manage-sphynx.sh ;
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx et Zéphir}
+ \begin{itemize}
+  \item Gestion des configurations RVP :
+  \begin{itemize}
+   \item listing des configurations RVP (avec voyant suivant les étapes),
+   \item mise en place de la configuration RVP,
+  \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sphynx en haute disponibilité}
+ \begin{itemize}
+  \item Les règles sont synchronisés du maître vers l'esclave ;
+  \item Heartbeat surveille ;
+  \item une interface graphique (hb\_gui) permet de configure, d'administrer et de monitorer la haute disponibilité.
+ \end{itemize}
+\end{frame}
+