\section{Era} \begin{frame}{Plan} \begin{columns}[t] \begin{column}{5cm} \tableofcontents[sections={1-6},currentsection, hideothersubsections] \end{column} \begin{column}{5cm} \tableofcontents[sections={7-11},currentsection,hideothersubsections] \end{column} \end{columns} \end{frame} \begin{frame} \frametitle{Présentation} \begin{itemize} \item Outil de génération de règle pour pare-feu ; \item enregistre la description de la politique de sécurité dans un fichier XML ; \item génération de commande iptables par compilation ; \item il est possible de mettre des variables Creole ; \item zone de sécurité : correspond a une interface réseau ; \item matrice de flux : classé par origine et destination ; \item flux orienté (interdit pour les flux montant, autorisé pour les flux descendant, interdit pour les flux égaux) ; \item politique par défaut ; \item extrémité : machine ou réseau d'une zone ; \item directive : règle. \end{itemize} \end{frame} \begin{frame} \frametitle{Directive} \begin{itemize} \item Les extrémités \item Les services et groupes de services \item Les plages horaires \item Les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ... \item Les groupes d'applications (NuFW) \item Les types de directive : autorisation/interdiction, redirection, NAT, ... \item La journalisation \end{itemize} \end{frame} \begin{frame} \frametitle{Pratique} \begin{itemize} \item Lancer Era et ouvrir le fichier 3zones-amonecole ; \item identifier les zones, les flux et les directives ; \item ajouter une extrémité ClientScribe en DMZ avec IP ; \item ajouter un groupe de service avec le service samba3, smtp et pop ; \item ajouter une plage horaire : du lundi à vendredi de 12h à 14h ; \item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ; \item ajouter une directive DNAT de Scribe vers 8500. \end{itemize} \end{frame} \begin{frame} \frametitle{Les directives optionnelles} \begin{itemize} \item Directive activable et désactivable depuis l'EAD ; \item il suffit de spécifier un libellé dans "directive optionnelle EAD" ; \item alphanumérique + "\_" et " " (pas accent !) ; \item notion de groupe de directives optionnelles ; \item possibilité de directive optionnelle active ; \item directive optionnelles cachées : /etc/eole/distrib/active\_tags. \end{itemize} \end{frame} \begin{frame} \frametitle{Pratique} \begin{itemize} \item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD. \end{itemize} \end{frame} \begin{frame} \frametitle{La qualité de service} \begin{itemize} \item Zone interne vers extérieur ; \item il faut fixé une valeur d'upload et de download en méga bits par secondes ; \item spécifie un pourcentage d'utilisation ; \item penser à activer la QOS dans les options. \end{itemize} \end{frame} \begin{frame} \frametitle{Les règles netbios} \begin{itemize} \item Dans les options du modèle, possibilité d'activé les règles netbios ; \item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur. \end{itemize} \end{frame} \begin{frame} \frametitle{Pratique} \begin{itemize} \item Activer la qualité de service ; \item configurer la QOS. \end{itemize} \end{frame} \begin{frame} \frametitle{NuFW} \includegraphics[width=8cm]{nufw.png} \end{frame} \begin{frame} \frametitle{Pratique} \begin{itemize} \item Activer NuFW sur l'Amon ; \item se connecter sur NuFW depuis Clientscribe1 ; \item inverser la politique par défaut sur flux pedago-DMZ ; \item autoriser la pedago a aller sur scribe-pedago en DMZ ; \item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ; \item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ; \item tester : \begin{itemize} \item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'" \item machine source : netcat \$destip \$destport \item machine source : telnet \$destip \$destport \end{itemize} \end{itemize} \end{frame} \begin{frame} \frametitle{Options avancées} \begin{itemize} \item Peut se connecter à Zéphir ; \item héritage de modèle ; \item l'inclusion statique. \end{itemize} \end{frame}