formations/modules_EOLE_envole/amon/02-era.tex

120 lines
4.0 KiB
TeX

\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Outil de génération de règles pour pare-feu ;
\item enregistre la description de la politique de sécurité dans un fichier XML ;
\item génération de commandes iptables par compilation ;
\item il est possible de mettre des variables Creole ;
\item zone de sécurité : correspond à une interface réseau ;
\item matrice de flux : classé par origine et par destination ;
\item flux orienté (interdit pour les flux montants, autorisé pour les flux descendants, interdit pour les flux égaux) ;
\item politique par défaut ;
\item extrémité : machine ou réseau d'une zone ;
\item directive : règle.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Directive}
\begin{itemize}
\item Les extrémités
\item les services et groupes de services
\item les plages horaires
\item les groupes d'utilisateurs (NuFW) : tous-identifiés, non-identifiés, ...
\item les groupes d'applications (NuFW)
\item les types de directives : autorisation/interdiction, redirection, NAT, ...
\item la journalisation
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Lancer Era et ouvrir le fichier 3zones-amonecole ;
\item identifier les zones, les flux et les directives ;
\item ajouter une extrémité ClientScribe en DMZ avec IP ;
\item ajouter un groupe de services avec le service samba3, smtp et pop ;
\item ajouter une plage horaire : du lundi au vendredi de 12h à 14h ;
\item ajouter interdire le groupe + plage horaire de pedago vers l'extrémité Scribe ;
\item ajouter une directive DNAT de Scribe vers 8500.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les directives optionnelles}
\begin{itemize}
\item Directive activable et désactivable depuis l'EAD ;
\item il suffit de spécifier un libellé dans "directive optionnelle EAD" ;
\item alphanumérique + "\_" et " " (pas d'accent !) ;
\item notion de groupe de directives optionnelles ;
\item possibilité de directive optionnelle active ;
\item directives optionnelles cachées : /etc/eole/distrib/active\_tags.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Rendre la directive optionnelle et l'activer et désactiver dans l'EAD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{La qualité de service}
\begin{itemize}
\item Zone interne vers extérieur ;
\item il faut fixer une valeur d'upload et de download en méga bits par seconde ;
\item spécifie un pourcentage d'utilisation ;
\item penser à activer la QOS dans les options.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Les règles netbios}
\begin{itemize}
\item Dans les options du modèle, possibilité d'activer les règles netbios ;
\item permet de bloquer les requêtes du réseau Microsoft vers l'extérieur.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer la qualité de service ;
\item configurer la QOS.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{NuFW}
\includegraphics[width=8cm]{modules_EOLE_envole/amon/nufw.png}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Activer NuFW sur l'Amon ;
\item se connecter sur NuFW depuis Clientscribe1 ;
\item inverser la politique par défaut sur flux pedago-DMZ ;
\item autoriser la pédago à aller sur scribe-pedago en DMZ ;
\item ajouter l'application /bin/nc-traditional et le groupe d'application "navigateur web" ;
\item autoriser le groupe "professeur" avec application "navigateur web" vers le Scribe en pédago sur le port 8500 ;
\item tester :
\begin{itemize}
\item serveur de destination : netcat -l -p \$numport -c "/bin/echo 'message'"
\item machine source : netcat \$destip \$destport
\item machine source : telnet \$destip \$destport
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Options avancées}
\begin{itemize}
\item Peut se connecter à Zéphir ;
\item héritage de modèle ;
\item l'inclusion statique.
\end{itemize}
\end{frame}