Cadoles
/
formations
18
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
formations/modules_EOLE_envole/sphynx/01-arv.tex

216 lines
6.1 KiB
TeX
Raw Blame History

\section{Sphynx}
\begin{frame}{Plan}
\begin{columns}[t]
\begin{column}{5cm}
\tableofcontents[sections={1-6},currentsection, hideothersubsections]
\end{column}
\begin{column}{5cm}
\tableofcontents[sections={7-11},currentsection,hideothersubsections]
\end{column}
\end{columns}
\end{frame}
%FIXME avoir un Amon, un Sphynx et un Zéphir
\begin{frame}
\frametitle{Présentation}
\begin{itemize}
\item Réseau Privé Virtuel en étoile et en maillage ;
\item application centralisée ;
\item ARV : Administration de Réseaux Virtuels ;
\item un seul "Sphynx ARV" pourra gérer les RVP des Amon mais également d'autres "Sphynx distants" ;
\item possibilité d'inter-établissement.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Connexion ARV}
\begin{itemize}
\item Compte nécessite une autorisation :
\begin{itemize}
\item locaux,
\item Zéphir :
\begin{itemize}
\item avec droit "Lecture" et "Configuration vpn" ;
\item permet d'importer des serveurs Amon et Sphynx enregistrés ;
\item générer les configurations RVP => Zéphir ;
\end{itemize}
\end{itemize}
\item https://<IP\_Sphynx>:8088
\item tester principalement sur Firefox ;
\item déconnexion en bas à droite de l'application.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Eléments d'un RVP}
\begin{itemize}
\item une extrémité : serveur :
\begin{itemize}
\item un concentrateur RVP : fonctionnement en étoile,
\item un pare-feu Amon : établissement,
\end{itemize}
\item un réseau local : station/sous-réseau derrière les extrémités ;
\item un lien sécurisé : lien ipsec entre le concentrateur et Amon ;
\item un tunnel : relie deux réseaux locaux.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Différence auto-signés ou signés}
\begin{itemize}
\item signés (anciennement PKI) : nécessite une autorité de certification (AGRIATES) ;
\item auto-signés (anciennement clef-rsa) : fonctionne avec une CA locale ;
\item permet de mixer les deux ;
\item pré-configuré par défaut pour AGRIATES.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Modèles ARV}
\begin{itemize}
\item Configuration abstraite et commune des réseaux ;
\item peut lier à Zéphir :
\begin{itemize}
\item peut utiliser des variables Creole ;
\item support des multi-valuées ;
\item nom\_variable[0].
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Enregistrement Zéphir du Sphynx ;
\item initialisation : init\_sphynx (seulement si Zéphir) ;
\item créer un modèle :
\begin{itemize}
\item lien sécurisé ;
\item tunnel ;
\item réseau local.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Serveur RVP}
\begin{itemize}
\item Serveur de type Amon/Sphynx :
\begin{itemize}
\item manuellement,
\item importation Zéphir ;
\end{itemize}
\item création des réseaux locaux (lié au modèle) ;
\item ajout des certificats ;
\item ajout des IP externes des serveurs RVP (par exemple alias).
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Création d'un serveur manuellement ;
\item création d'un serveur depuis Zéphir ;
\item en modifiant, peut recharger la configuration ;
\item création des réseaux locaux ;
\item ajout d'un certificat auto-signé ;
\item ajout de l'IP externe.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Création des tunnels}
\begin{itemize}
\item Lien sécurisé entre deux serveurs RVP ;
\item utilise les modèles, certificats et IP externes fournient ;
\item enfin selection des tunnels à activer.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Pratique}
\begin{itemize}
\item Créer un lien sécurisé.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Mise en place}
\begin{itemize}
\item "Appliquer" dans ARV ;
\item activer dans l'interface de configuration de l'Amon ;
\item mettre en place de RVP :
\begin{itemize}
\item à l'instance,
\item après : "active\_rvp init" ;
\end{itemize}
\item choix manuel (avec clef USB) ou Zéphir ;
\item suppression du lien : "active\_rvp delete".
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx et Zéphir}
\begin{itemize}
\item Gestion des configurations RVP :
\begin{itemize}
\item listing des configurations RVP (avec voyant suivant les étapes),
\item mise en place de la configuration RVP.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Translation d'IP}
\begin{itemize}
\item Si tous les établissements ont le même sous-réseau : translation d'IP ;
\item gestion dans le modèle Era ;
\item dans la zone pedago => extérieur ;
\item ajouter des extrémités des sous réseaux correspondant à l'intranet académique ;
\item règle de SNAT vers "admin\_bastion ;
\item ajouter une règle de FORWARD.
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Validité et révocation}
\begin{itemize}
\item Valide 5 ans (pour AGRIATES) ;
\item liste des certificats révoqués par Toulouse (rechargé toutes les 7 heures) ;
\item agent Zéphir (EAD ou Zéphir) :
\begin{itemize}
\item 45 jours avant : orange,
\item 30 jours avant : rouge.
\end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Haute disponibilité}
\begin{itemize}
\item
%FIXME
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Sphynx avancé}
\begin{itemize}
\item La base ARV : /var/lib/arv/db/sphynxdb.sqlite ;
\item configuration de type sqlite (/etc/ipsec.d/ipsec.db) ;
\item archive : /home/data/vpn/RNE/nom\_serveur.tar.gz ;
\item commande ipsec :
\begin{itemize}
\item ipsec statusall renvoie la configuration d'ipsec et l'état des connexions,
\item ipsec status renvoie l'état des connexions,
%Security Association = lien sécurisé
%tunnel
\item ipsec down "Security Association" ou "tunnel" (les guillemets sont utiles si le nom contient des espaces),
\item ipsec up "Security Association" ou "tunnel" établit une connexion et tous les tunnels associés ou monte un seul tunnel.
\end{itemize}
\end{itemize}
\end{frame}
%FIXME : équivalent de test_rvp ??? toujours
Reference in New Issue View Git Blame Copy Permalink