Installation mise en œuvre d'amon

Transcription

1 Installation mise en œuvre d'amon Installation et mise en œuvre pare-feu Amon juillet 2011

2 Version du document juillet 2011 Date création : 05/02/2008 Editeur Pôle de compétence EOLE Rédacteurs Équipe EOLE Licence Cette documentation, rédigée par le pôle de compétence EOLE, est mise à disposition selon les termes de la licence : Creative Commons Paternité-Pas d'utilisation Commerciale-Partage des Conditions Initiales à l'identique 2.0 france : Vous êtes libres : de reproduire, distribuer et communiquer cette création au public ; de modifier cette création Selon les conditions suivantes : paternité : vous devez citer le nom de l'auteur original de la manière indiquée par l'auteur de l'oeuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d'une manière qui suggèrerait qu'ils vous soutiennent ou approuvent votre utilisation de l'œuvre) ; pas d'utilisation Commerciale : vous n'avez pas le droit d'utiliser cette création à des fins commerciales, y compris comme support de formation ; partage des Conditions Initiales à l'identique : si vous modifiez, transformez ou adaptez cette création, vous n'avez le droit de distribuer la création qui en résulte que sous un contrat identique à celui-ci. A chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement au public les conditions contractuelles de sa mise à disposition. La meilleure manière de les indiquer est un lien vers cette page web. Chacune de ces conditions peut être levée si vous obtenez l'autorisation du titulaire des droits sur cette œuvre. Rien dans ce contrat ne diminue ou ne restreint le droit moral de l'auteur ou des auteurs. Cette documentation est basée sur une réalisation du pôle EOLE. Les documents d'origines sont disponibles sur le site du pôle. EOLE est un projet libre (Licence GPL). Il est développé par le Pôle de Compétence EOLE du Ministère de l'éducation nationale, rattaché au Centre d'etudes et de Traitements Informatiques de l'académie de Dijon (CETIAD). Pour toute information concernant ce projet vous pouvez nous joindre : Par courrier électronique : eole@ac-dijon.fr Par FAX : Par courrier : EOLE-CETIAD 33 rue Berbisey - B.P DIJON CEDEX le site : 2

3 Sommaire Sommaire I Introduction à Amon Qu'est ce qu'amon? À qui s'adresse-t'il? Les briques logicielles Amon... 8 II Résumé des quatre phases...9 III Configuration d'amon Authentification web et politique de filtrage Configurer Amon pour Envole Authentification et filtrage réseau Utilisation du reverse proxy Configurer l'agrégation de lien Présentation Configuration Configuration du réseau extérieur Configuration Réseau avancé Description des différents paramètres Configuration DNS IV Instanciation d'amon...28 V L'interface d'administration EAD d'amon Filtrage web Interdire et autoriser des sites La politique liste blanche Les filtres optionnels Le filtrage syntaxique Interdire des extensions Interdire des types MIME Filtrage utilisateur ou machine Filtrage utilisateur

4 Sommaire Filtrage machine Interdire l'accès d'une interface à un sous-réseau Exceptions sur la source ou la destination Era et EAD Directives optionnelles Horaires Filtrage pair à pair Activer le portail Envole dans l'ead VI L'interface semi-graphique d'amon...48 VII Éditeur de Règles de Pare-feu (Era) Introduction Présentation Les fichiers XML de modèles Les variables Creole Utilisation Les zones de sécurité Les flux Les directives Présentation Les services et les groupes de services L'éditeur de directives La qualité de service Les options du modèle L'inclusion statique Imbriquer des modèles Communication avec Zéphir Compléments techniques Le format XML interne Comportement du Backend Intégration avec Créole Le compilateur Quelques références VIII Problèmes Amon Problèmes liés au proxy

5 Sommaire IX Documentations techniques Services actifs sur Amon Glossaire

6 Introduction à Amon I Introduction à Amon Un pare-feu libre et gratuit. Facile à installer, facile à utiliser, Amon vous permet de partager votre sortie Internet en toute sécurité, et de créer un intranet fédérateur au sein de votre établissement ou de n'importe quel réseau local (entreprise, association, domestique, etc.). 1 Qu'est ce qu'amon? Le pare-feu Amon permet de partager en toute sécurité un accès Internet entre les sous-réseaux d'un réseau local. Installé sur un serveur dédié, équipé de deux, trois, quatre ou cinq interfaces réseau, il permet d'organiser au mieux l'architecture réseau d'un établissement. Des modèles de règles de pare-feu sont disponibles pour chaque architecture. Vous pouvez les utiliser tels quels ou bien les modifier à votre convenance. Un outil spécifique, Era, est à disposition pour effectuer ce travail. Il est également possible de créer un réseau virtuel privé (RVP) entre l'établissement (une structure administrative) et un concentrateur académique (par exemple Sphynx). Ce réseau virtuel privé permet de sécuriser les flux sensibles au travers de l'internet. Pour l'education Nationale, ce réseau est nommé réseau AGRIATES *. Attention Amon n'assure que des services liés à la sécurité : il doit être installé sur un serveur dédié. L'installation de plusieurs modules sur le même serveur est rendu possible par la procédure de virtualisation (par exemple avec AmonEcole). 6

7 Introduction à Amon Principales fonctionnalités : routage ; authentification des utilisateurs ; filtrage IP ; filtrage de site amélioré (blacklists et contenu) ; réseau virtuel privé ; suivi détaillé de la navigation web ; mises à jour automatiques ; journalisation des fichiers logs ; détection d'intrusions ; service de cache web ; administration simplifiée ; statistiques sur l'état du système ; statistiques d'utilisation. 2 À qui s'adresse-t'il? A toutes les structures désirant protéger leur réseau interne et/ou le découper en sous-réseaux, ainsi que réguler les accès réseau vers l'extérieur et sécuriser la navigation sur le web (établissements scolaires, collectivités territoriales, entreprises,...). 7

8 Introduction à Amon 3 Les briques logicielles Amon Chaque module EOLE est constitué d'un ensemble de briques logicielles. Chacune de ces briques peut évoluer indépendamment des autres et faire l'objet d'une actualisation ou d'une intégration par l'intermédiaire des procédures de mise à jour, afin d'ajouter de nouvelles fonctionnalités ou d'augmenter la sécurité. Briques logicielles communes à tous les modules Noyau Linux 2.6 : Noyau Linux Ubuntu ; OpenSSH (équivalent de telnet chiffré et sécurisé) : demande une authentification sur la machine cible, cet outil permet une prise de main à distance ; Rsyslog : service de journalisation. Il permet également la centralisation des logs ; Pam : Gestion des authentifications ; EAD : l'outil d'administration du serveur ; EOLE-SSO : gestion de l'authentification centralisée ; NUT : gestion des onduleurs ; NTP : synchronisation avec les serveurs de temps. Briques logicielles spécifiques Bind : implémentation la plus répandue du DNS (résolution des noms de machine en adresse IP) ; Iptables : filtrage d'adresses IP ; Squid : proxy cache qui permet d'accélérer les connexions Internet ; Dansguardian : outil de de filtrage syntaxique des adresses web ; Sarg : générateur de statistiques pour le proxy Squid ; Strongswan : version libre d'ipsec. Permet la création de réseaux virtuels privés ; NginX : reverse proxy ; NUFW : pare-feu authentifiant (EdenWall) ; Era : outil de génération de règles iptables. 8

9 Résumé des quatre phases II Résumé des quatre phases La phase d'installation Pour installer un module, il suffit de : démarrer sur le CD-ROM EOLE ; sélectionner le module à installer parmi ceux proposés ; valider. à la fin de l'installation, cliquer sur continuer, le système redémarre automatiquement ; vous pourrez ouvrir une session avec l'utilisateur "root" et le mot de passe par défaut "eole". La phase de configuration Lancer la commande [gen_config] ou se connecter sur l'application Zéphir, configurer le serveur et enregistrer le serveur. La phase d'instanciation Lancer la commande [instance zephir.eol]. Au premier lancement de l'instanciation, il est nécessaire de modifier les mots de passe : root ; l'utilisateur local à droit restreint (scribe, horus, amonecole,...) ; sur amon, en cas d'utilisation d'un réseau pédagogique et au réseau administratif, un second administrateur (amon2) permet d'administrer le réseau pédagogique ; admin sur Scribe et Horus ; admin_zephir sur Zéphir. Par défaut, le système regarde la pertinence des mots de passe. Pour cela, il utilise un système de "classe de caractères" : les lettres en minuscule [a-z] ; les lettres en majuscule [A-Z] ; les chiffres [0-9] ; les caractères spéciaux (exemple : $*ùµ%, ; :! /.?) ; Il faut utiliser différentes classes de caractères pour que le mot de passe soit considéré comme valide. Par défaut, voici les restrictions : une seule classe de caractères : impossible ; deux classes de caractères : 9 caractères ; trois et quatre classes : 8 caractères. Cette configuration est modifiable durant l'étape de configuration, en mode expert. Attention Il s'agit de comptes d'administration donc sensibles sur le plan de la sécurité. Il est important de renseigner des mots de passe forts. Cet article du CERTA donne une explication détaillée sur la stratégie des mots de passe. 9

10 Résumé des quatre phases La phase d'administration Correspond à l'exploitation du serveur. Chaque module possède des fonctionnalités propres, souvent complémentaires. Diverses interfaces permettent la mise en œuvre de ces fonctionnalités et en facilitent l'usage : l'interface d'administration EOLE : EAD ; l'interface semi-graphique ; divers interface d'administration (Zéphir-web, CUPS, Sympa,...) ; différents outils (Era,...). Il s'agit aussi de gérer les mises à jour. 10

11 Configuration d'amon III Configuration d'amon 1 Authentification web et politique de filtrage Configuration générale Amon propose un mécanisme d'authentification web via un proxy. Toutes les accès web (http et https) nécessiteront alors une phase d'authentification. Cette fonctionnalité offre deux avantages : il sera possible de savoir quel utilisateur a eu accéder à une ressource particulière ; il sera possible de faire des politiques de filtrage propre à chaque utilisateur. Pour profiter de cette fonctionnalité, il suffit d'activer l'authentification du proxy dans l'onglet Services / Activer l'authentification du proxy. EOLE propose 4 méthodes d'authentification dans l'onglet Authentification : NTLM/SMB : permet une authentification transparente pour les postes utilisateurs windows (configuration à choisir si vous disposez d'un Scribe ou d'un Horus) ; NTLM/KERBEROS : permet une authentification transparent pour les postes utilisateurs windows ; LDAP ; LDAP (active directory). Enfin, il faudra cocher activer l'authentification sur cette interface (s'applique aussi aux vlans) sur les interfaces à authentifier. Truc & astuce Il est possible de configurer plusieurs contrôleurs de domaine dans le cadre de l'authentification NTLM/SMB. Cela permet de s'authentifier soit sur le serveur pédagogique Scribe, soit sur le serveur administratif Horus. 11

12 Configuration d'amon Amon permet également de différencier les zones suivant l'interface (administration ou pédagogie). Il suffit alors de différencier la valeur choisit pour Filtre Web à appliquer à cette interface dans la configuration de l'interface. Soit un établissement avec deux sous-réseaux ( admin en eth1 et pédago en eth2) : pour authentifier et ne pas différencier la politique (comportement par défaut) : dans l'interface de configuration : Dans l'onglet Services : choisissez Activer l'authentification du proxy ; vos deux interfaces seront associés à le même filtrage web : 1 ; il vous reste alors qu'à configurer l'authentification (NTLM/SMB, NTLM/KERBEROS ou LDAP) dans l'onglet Authentification. pour authentifier l'interface pédagogique et pas l'interface administrative : dans l'interface de configuration : dans l'onglet Services : Activer l'authentification du proxy ; dans l'onglet interface 1 : Activer l'authentification sur cette interface ( s'applique aux vlans ): non, Filtre Web à appliquer à cette interface : 1, dans l'onglet interface 2 : Activer l'authentification sur cette interface ( s'applique aux vlans ) : oui, Filtre Web à appliquer à cette interface : 2 ; il vous reste alors à configurer l'authentification (NTLM/SMB, NTLM/KERBEROS ou LDAP) dans Authentification. pour authentifier et utiliser deux politiques différentes : dans l'interface de mise en œuvre : dans l'onglet Services : Activer l'authentification du proxy ; dans l'onglet interface 1 : Filtre Web à appliquer à cette interface : 1, Activer l'authentification sur cette interface ( s'applique aux vlans) : oui, dans l'onglet interface 2 : Filtre Web à appliquer à cette interface : 2, Activer l'authentification sur cette interface ( s'applique aux vlans) : oui ; Il vous reste alors à configurer l'authentification (NTLM/SMB, NTLM/KERBEROS ou LDAP) dans Authentification Optimiser la configuration du logiciel de filtrage web Présentation Le paramétrage par défaut de DansGuardian (logiciel utilisé pour le filtrage web) permet de fournir un établissement moyen sans modification particulière. Il peut être néanmoins intéressant de modifier ce paramétrage pour satisfaire les besoins de l'établissement (notamment dans le cas où le serveur ne puisse plus répondre à certains requêtes, la fenêtre d'authentification apparait de façon intempestive,...). Sur un petit établissement, il sera possible d'économiser des ressources. Sur un gros établissement, il pourra répondre à un plus grand nombre de requêtes. 12

13 Configuration d'amon Écran 1 Paramètres de configuration pour DansGuardian Un certain nombres de paramétrages sont proposés pour contrôler les ressources de DansGuardian. Ces options sont disponible dans l'onglet DansGuardian en mode expert. Limiter les politiques de filtrage optionnelles Une politique de filtrage correspond à un ensemble d'autorisation ou interdiction d'accès à des sites suivants différents critères. Il existe par défaut 4 politiques obligatoire : une politique de filtrage par défaut ; une politique modérateur (permet d'outrepasser les interdictions) ; une politique interdits (permet d'interdire toute navigation) ; une politique liste blanche (navigation limité aux sites de cette même liste). Seule la politique de filtrage par défaut est modifiable via l'ead. En plus de ces politiques, il est possible d'ajouter de 1 à 4 autres politiques de filtrage optionnelles (il y en à 3 par défaut). Ces politiques de filtrage optionnelles seront alors paramétrable dans l'ead. Pour modifier le nombre de politique de filtrage par zone, il faut utilise le paramètre : Nombre de politiques optionnelles par zone La valeur 0 revient à n'utiliser que les 4 politiques par défaut proposées ci-dessus. L'ajout de politique optionnelle (valeur 1,2,3,4) permet d'ajouter des filtres supplémentaires, associables à des groupes de machine ou des logins utilisateurs. 13

14 Configuration d'amon Attention Plus vous définissez de politique, plus DansGuardian utilisera de ressource. Il est préférable de n'activer que le nombre voulu de politique. Exemple Il est possible d'affecter une politique spécifique aux machines du foyer (politique plus laxiste) et une autre aux machines du CDI (politique moins permissive). Maxchildren Le nombre maximum de processus disponible pour traiter les nouvelles connexions. La valeur maximal étant 250. Minchildren Le nombre de processus minimal pour traiter les nouvelles connexions. Minsparechildren Le nombre minimum de processus prêt à recevoir de nouvelles connexions. Maxsparechildren Le nombre maximum de processus attendant de nouvelles connexions preforkchildrenp Le nombre minimum de processus disponible lorsqu'il vienne à manquer. Maxagechildren La durée de vie maximum d'un processus avant de se terminer. Comment déterminer les valeurs adéquats à mon contexte? Seule l'expérience "à taton" permet de définir les valeurs adéquats. L'objectif est d'utiliser le plus de mémoire possible sans que le serveur swap (la commande top en console permet d'observer le swap en dynamique). 2 Configurer Amon pour Envole Pour rendre accessible Envole depuis l'extérieur, il faut activer et configurer le pare-feu et le reverse proxy. Pour configurer le pare-feu, dans Général, Modèle de filtrage, choisir un modèle compatible "posh" (par exemple : 4zones-scribe-posh-nginx.xml). 14

15 Configuration d'amon Écran 2 Configuration "Général" Pour activer le reverse proxy, dans Services, mettre Activation du Reverse Proxy à oui. Écran 3 Configuration "Services" 15

16 Configuration d'amon Dans Reverse proxy : IP du serveur SSO redirigé : renseigner l'ip du SSO utilisé (IP du Scribe) ; IP du serveur Posh Admin redirigé : renseigner l'ip du portail utilisé (IP du Scribe) ; Nom de domaine à rediriger : donner le nom de domaine utilisé pour accéder à l'amon (typiquement : monetab.ac-monacad.fr) ; Répertoire ou nom de la page à rediriger : "/" ; mettre Proxy HTTP à "Redirige vers https" ; mettre Proxy HTTPS à oui ; IP ou domaine de destination (avec le http ou https) ou Url de destination : IP du Scribe. Écran 4 Configuration "Reverseproxy" Si vous voulez activer le SSO sur Amon (si Gestion du service SSO EOLE est à oui), dans l'onglet Service-sso, l'option Adresse IP du serveur d'authentification doit être configurée avec le nom de domaine public utilisé dans Envole (typiquement : monetab.ac-monacad.fr). Dans ce cas l'utilisateur admin du scribe sera administrateur de l'amon. Écran 5 Configuration "Service-sso" Voir aussi... 16

17 Configuration d'amon 3 Authentification et filtrage réseau Amon propose un mécanisme avancé de filtrage réseau (filtrage utilisateur ou applicatif). Ce filtrage se fait grâce au logiciel NuFW*. Principe de fonctionnement de NuFW Un réseau unique peut contenir des utilisateurs très différents : professeurs ; élèves. Le filtrage réseau via NuFW permet : d'offrir plus de droits pour le professeur ; de contrôler l'activité des élèves. Un client sur le poste utilisateur permet d'identifier l'usagé et retourner l'ensemble des connexions ouvertes par l'utilisateur. Le serveur compare ces réponses avec les règles prévues dans Era. Amon laissera passer ou bloquera l'utilisateur suivant les critères définis. Configuration Dans l'onglet Général de l'interface de configuration, il est nécessaire d'activer NuFW *. 17

18 Configuration d'amon Écran 6 Activation de NuFW durant la phase de configuration Un nouvel onglet NuFW apparait alors. Il suffit de configurer l'annuaire LDAP des utilisateurs de l'établissement (par exemple Scribe). Il est conseillé d'activer le support TLS pour éviter que les mots de passe utilisateurs ne circulent en clair sur le réseau. Écran 7 Configuration NuFW Attention Le client Windows NuWinC impose que les certificats agriates soient installés sur Amon. Voir aussi... 18

19 Configuration d'amon 4 Utilisation du reverse proxy Principe Un reverse proxy est un type de serveur proxy, habituellement placé en frontal de serveurs web. Il est à différencier dans son utilisation d'un proxy classique (comme Squid). Il permet de relayer des requêtes web provenant de l'extérieur vers les serveurs internes (situés en DMZ par exemple). Concrètement cela permet d'ouvrir l'accès sur Internet à des services web installés sur des serveurs situées "derrière" Amon sans avoir recours à des règles iptables/dnat. Configuration du reverse proxy Pour activer le reverse proxy, dans l'onglet Services / Activation du reverse proxy mettre "oui". Un nouvel onglet Reverse proxy apparait alors. Le reverse proxy EOLE peut relayer vers les services suivants : SSO l'administration d'envole 2 HTTP HTTPS Pour rediriger les services SSO et administration d'envole 2, il suffit d'indiquer l'adresse IP ou le nom de domaine interne de la machine de destination. Pour rediriger HTTP et HTTPS il est nécessaire de renseigner plus d'informations : le nom de domaine diffusé auprès des utilisateurs. Ce nom de domaine pointe sur Amon ; le répertoire a rediriger. Il est possible de rediriger un sous-répertoire vers une machine et un autre sous-répertoire vers une autre. Par défaut '/' ; adresse IP ( nom de domaine ( ou URI ( du serveur de destination. Il est possible de forcer l'utilisation du protocole HTTPS pour les requêtes utilisant le protocole HTTP de façon transparente. De cette manière, un utilisateur web se connectant à sera automatiquement renvoyé vers Ainsi les communications sont automatiquement chiffrées protégeant la transmission de données sensibles (nom d'utilisateur, mot de passe, etc.). Truc & astuce Un répertoire déterminé peut également être redirigé vers un serveur différent. Par exemple, pour être redirigé vers (attention, le "/" final est important, puisqu'il faut rediriger à la racine du serveur de destination). Attention Le SSO local d'amon ne devra pas être activé si vous renseignez l'adresse du SSO dans le reverse proxy. Voir aussi... > cf "Configurer Amon pour Envole", page

20 Configuration d'amon 5 Configurer l'agrégation de lien 5.1. Présentation L'agrégation de lien EOLE permet d'utiliser deux abonnements (liens) Internet sur un même Amon afin de garantir une meilleure qualité de service. Le principe retenu est assez simple. On définit le poids de chaque abonnement pour répartir la charge suivant le débit de la ligne. En cas de dysfonctionnement sur un des liens, tout le trafic est déporté sur le second. Les deux routeurs sont reliés entre eux par un commutateur (ou un Hub) à la carte eth0 d'amon. Dans ce cas : pas besoin d'utiliser les protocoles d'annonce de routes RIP et OSPF ; il faut un service qui surveille l'état de chacun des liens. 20

21 Configuration d'amon Fig. 1 Principe de l'agrégation Algorithme du service agrégation : Les deux liens sont testés régulièrement. Lors d'un changement d'état : si le lien 1 est tombé, tout le trafic est redirigé vers le lien 2 ; si le lien 2 est tombé, tout le trafic est redirigé vers le lien 1 ; lorsque le lien 1 ou le lien 2 revient, la configuration est remise à son état initial. 21

22 Configuration d'amon Remarque La configuration de l'agrégation a été réalisée par l'académie de Versailles puis a été améliorée par l'académie de Nantes. EOLE a intégré ce travail dans Amon Configuration Tout se fait durant la phase de configuration. Onglet "Général" Dans la section Adresse IP du DNS de forward, ajouter les adresses des serveurs DNS de chacun fournisseur, en plaçant, de préférence, le DNS du lien 1 en première position. Vérifier que la passerelle de eth0 soit la bonne. Onglet "Interface-Ext" Il faut, en premier lieu, ajouter un alias sur l'interface eth0 (onglet interface-ext, section configuration des alias sur l'interface). Les paramètres réseaux (IP, netmask, etc) doivent être ceux attribués par le fournisseur d'accès du second lien. Écran 8 Création d'un alias sur ETH0 pour l'agrégation de lien 22

23 Configuration d'amon Onglet "Agrégation" Pour avoir accès au menu concernant l'agrégation, il faut passer en mode expert (barre d'outils Mode). Cliquer ensuite sur l'onglet Agrégation. Écran 9 paramètres de l'onglet agrégation de lien Description des paramètres : destination forcée sur le lien -> permet de forcer une IP ou un nom de domaine de destination (le Sphynx par exemple) sur ce lien ; adresse du (des) DNS sur le lien -> adresses DNS du FAI ; débit mesuré sur le lien -> permet de définir la bande passante de chaque lien pour une répartition de charge équitable. Les autres paramètres permettent de faire des réglages au niveau du service. DNS L'ensemble des DNS doit être déclaré dans l'onglet Général. Les adresses DOIVENT être différentes sur chaque lien car c'est sur ces adresses que se font les tests d'état des liens. VPN Le VPN, de par son mode de fonctionnement, ne peut pas être réparti entre plusieurs abonnements. Tout le trafic devant passer par un seul lien, il est nécessaire d'utiliser le mécanisme de "destination forcée". Si le lien choisi pour faire transiter le VPN est indisponible, ce dernier ne fonctionnera plus. 23

24 Configuration d'amon 6 Configuration du réseau extérieur Amon est prévu pour fonctionner correctement qu'avec une IP fixe. Amon gère les méthodes d'attribution de l'adressage suivantes : IP statique ; DHCP ; PPPoE. Il est préférable de ne pas utiliser de connexion PPPoE dans les établissements. Les routeurs fournis par les fournisseurs d'accès sont généralement plus confortable a utiliser. Truc & astuce Amon est pleinement fonctionnel avec une connexion en IP fixe. Si vous ne disposez pas d'ip fixe, certaines fonctionnalités ne seront plus disponibles (Sphynx, agrégation de lien,...). Dans ce cas, il faut, en mode expert, dans l'onglet "reseau-avance", mettre "oui" à l'option "calculer l'ip de la passerelle en cas de DHCP et PPPoE". Il faut néanmoins spécifier une adresse IP de la passerelle, même si celle-ci sera recalculée automatiquement à chaque demande. Attention, il est possible que vous rencontriez des dysfonctionnements avec cette méthode. 7 Configuration Réseau avancé Introduction Présentation des différents paramètres de l'onglet réseau_avancé accessible en mode expert. 24

25 Configuration d'amon Écran Description des différents paramètres Désactiver le path MTU discovery, le bit DF est positionné à 0 ( ip_no_pmtu_disc ) Ce premier paramètre permet d'activer ou non le path MTU discovery *. Cette option est désactivée par défaut car il semblerait qu'elle pose des problèmes (notamment avec le réseau virtuel privé) à certains endroits, lorsque les paquets ICMP de type 3 / code 4 ("Destination Unreachable" / "Fragmentation Needed and Don't Fragment was Set") sont bloqués quelque part sur le réseau (ce qui est assez souvent le cas). Truc & astuce Si vous rencontrez des problèmes d'accès à certains sites (notamment Gmail ou Gmail Apps), vous pouvez passer ce paramètre à "non". Un des phénomène permettant de diagnostiquer un problème lié au PMTU discovery est que l'accès à certains sites (ou certaines pages d'un site) n'aboutit pas (la page reste blanche). 25

26 Configuration d'amon Valeur du MTU pour l'interface... Ce champ permet de forcer une valeur de MTU* pour l'interface externe. Si le champ n'est pas renseigné, la valeur par défaut de l'interface est conservée (1500 octets sur un réseau de type Ethernet). Si l'interface est de type Ethernet et que vous souhaitez forcer une valeur de MTU différente, il faut renseigner le premier champ : Valeur du MTU pour l'interface eth0. Si l'interface est de type PPPOE, il faut renseigner le second champ : Valeur du MTU pour l'interface ppp0". Configuration avancée de l'interface... Les paramètres suivants, permettent, pour chacune des interfaces réseau physiques d'amon, d'en forcer les propriétés. Par défaut, toute les interfaces sont en mode "auto négociation" (cf. %C3%A9gociation_%28ethernet%29 pour plus d'informations) Ces paramètres ne devraient être modifiés que s'il y a un problème de négociation entre un élément actif et une des cartes réseaux, tous les équipements modernes gérant normalement l'auto-négociation. Liste des valeurs possible : speed 100 duplex full autoneg off -> forcer la vitesse à 100Mbits/s en full duplex sans chercher à négocier avec l'élément actif en face. autoneg on -> activer l'auto-négociation. (C'est le mode par défaut) speed 10 duplex half autoneg off -> forcer la vitesse à 10Mbits/s en half duplex et désactiver l'autonégociation. speed 1000 duplex full autoneg off > forcer la vitesse à 1Gbits/s en full duplex et désactiver l'autonégociation. Calculer l'ip de la passerelle... Cette option ne sert que dans le cas de l'utilisation d'une connexion PPPOE avec attribution dynamique d'adresse IP sur Amon. Si la valeur est à "Oui", l'adresse de la passerelle sera récupérée automatiquement. Dans le cas contraire, il faudra la renseigner manuellement. Ajout de routes statiques Ce bloc de paramètres permet d'ajouter, manuellement, des routes sur Amon afin d'accèder à des adresses ou des plages d'adresses par un chemin différent que le chemin par défaut (défini par le routeur par défaut). Il est de type "Multi-valué". Adresse IP ou réseau à ajouter dans la table de routage Permet de définir l'adresse de sous réseau (ou l'adresse de l'hôte) vers lequel le routage doit s'effectuer. Masque de sous réseau Permet de définir le masque du réseau défini ci-dessus. S'il s'agit d'une machine seule, il faut mettre l'adresse du masque à Adresse IP de la passerelle pour accéder à ce réseau Permet de renseigner l'adresse de la passerelle permettant d'accéder au sous réseau ou à l'hôte défini ci-dessus. Si cette valeur est pas renseignée à , alors la route se fera par l'interface. La syntaxe sera du type : route add -net route_adresse -dev route_int. Interface réseau reliée à la passerelle Permet d'associer la route à une interface donnée. Ce champ, de type liste déroulante, comporte un certain nombre d'interfaces pré-définies. Il est possible d'en ajouter une en tapant son nom (par exemple ppp0). 26

27 Configuration d'amon 8 Configuration DNS Amon possède un serveur DNS local qui a pour rôle principal de servir de cache afin d'accélérer les requêtes de squid. Accessoirement, il est aussi utilisé pour résoudre certains nom en local. De ce fait, il est en mesure de gérer les différentes zones rattachées à l'amon. La génération des différents fichiers de configurations (fichiers de zones, etc) est effectué par un programme qui s'appelle h2n. Il est possible, depuis gen_config, d'activer ou non certaines fonctionnalités et/ou d'ajouter certaines valeurs au niveau du DNS. Tout cela se fait à différents endroits dans gen_config : Dans l'onglet général au niveau des interfaces au niveau du rvp en mode expert dans l'onglet "zones-dns" Cette onglet comporte plusieurs variables directement liées au DNS. Le nom de domaine local l'adresse IP du DNS de forward Le nom de domaine local sert à initialiser le serveur DNS. C'est ce nom qui sera utilisé pour résoudre l'ensemble des adresses locales. Si l'établissement dans lequel l'amon est installé ne possède pas de nom de domaine valide (domaine acheté auprès d'un organisme), il faut absolument utiliser un nom de domaine de premier niveau valide (en.fr,.com,.org, etc). Il vaut mieux utiliser un suffixe n'ayant aucune visibilité sur l'internet. Nous conseillons d'utiliser des noms se terminant en.lan. 27

28 Instanciation d'amon IV Instanciation d'amon Si vous avez activé la configuration RVP durant l'étape de configuration, la question suivante apparait : Voulez-vous configurer le Réseau Virtuel Privé maintenant? [oui/non] Pour lancer le traitement, Il faut disposer des éléments de configuration, soit sur support externe, soit par l'intermédiaire du serveur Zéphir. 28

29 L'interface d'administration EAD d'amon V L'interface d'administration EAD d'amon 1 Filtrage web Avec le filtrage web, il est possible : de configurer la manière dont le filtrage s'effectue ; d'associer des filtres (interdits, modérateurs, liste blanche...) à des utilisateurs ; d'associer des filtres (interdits, modérateurs, liste blanche...) à des machines. Cette configuration s'effectue : par zone de configuration ; de manière plus fine, par politique de filtrage Interdire et autoriser des sites Interdire des sites Il est possible de compléter la liste de sites interdits (liste noire *) en ajoutant des sites sur la liste personnalisée de sites interdits. Cette liste est applicable : a une zone entière ; de manière plus fine sur une seule politique de filtrage. Le formulaire se trouve dans Filtre web 1 / Sites / Sites interdits. 29

30 L'interface d'administration EAD d'amon Écran 11 Interdictions de sites pour les quatre politiques de la zone de configuration 1 Truc & astuce Il est possible de signaler des sites pour améliorer les performances et la qualité des listes de sites interdits. Une procédure automatisée a été mise en place afin de recueillir les propositions de modification des bases nationales. Un ensemble de moteurs logiciels analysera la page soumise et une vérification visuelle aura lieu si besoin avant l'incorporation du site dans les listes. La participation de chacun par l'intermédiaire de ce processus permettra d'obtenir une liste de plus en plus performante. Pour cela, aller dans Outils / Signalements. Autoriser des sites Il est possible de forcer l'autorisation de sites (liste blanche *) en les ajoutant sur la liste des sites autorisés. Cette liste de sites s'applique : sur une zone de filtre web ; de manière plus fine par politique de configuration (si des utilisateurs ou des groupes de machine ont été associés à des politiques optionnelles). Le formulaire se trouve dans Filtre web 1/ Sites / Sites autorisés Écran 12 Autorisation de sites pour les quatre politiques de la zone de configuration 1 30

31 L'interface d'administration EAD d'amon 1.2. La politique liste blanche Le politique liste blanche* permet de restreindre la navigation web à une liste de sites. Le principe est "tout est interdit sauf". Restreindre la navigation à Wikipedia pour les utilisateurs en mode liste blanche de la zone de filtre web 2 Dans Filtre web 2 / Sites / Sites du mode liste blanche ajouter le site fr.wikipedia.org ; valider. Les utilisateurs et les postes ayant pour politique de filtrage "mode liste blanche" ne pourront naviguer que sur le site de Wikipedia. Écran 13 Interface du mode liste blanche Supprimer un site du mode liste blanche Sélectionner le site dans la liste ; Valider Écran 14 Ajout d'un site au mode liste blanche 31

32 L'interface d'administration EAD d'amon 1.3. Les filtres optionnels Activation de filtres optionnels: Les listes de sites interdits sont mises à jour régulièrement sur votre Amon. Elles proposent des catégories avec des listes de sites et de termes à interdire pour chaque catégorie. Les catégories "adult" et "redirector" sont activées tout le temps, les autres sont activables depuis l'interface EAD. L'activation se fait : par filtre web ; par politique de filtrage. Pour activer la catégorie "agressif" sur toute la zone de configuration 1 Dans Filtre 1 / Sites / Filtres : cocher les quatre cases (pour les quatre politiques de filtrage de la zone 1) ; valider. Écran 15 Activation de filtres optionnels Remarque Pour activer une catégorie seulement pour une politique de filtrage *, seule la case correspondant à la politique doit être cochée. 32

33 L'interface d'administration EAD d'amon Écran 16 Restreindre l'activation d'un filtre à une politique 1.4. Le filtrage syntaxique Configuration du filtrage syntaxique Amon filtre dynamiquement les pages web grâce au filtrage syntaxique *. Ce système de pondération par mot clef se base sur le fichier /var/lib/blacklists/meta/weighted qui est mis à jour toutes les nuits, à partir des données gracieusement gérées et mises à disposition par l'académie de Rouen. Dans l'ead, le filtrage syntaxique peut être : sur les balises méta* (par défaut) ; sur la page entière ; désactivé. Il est possible de régler ce filtrage pour chaque zone de configuration. Pour modifier la configuration, aller dans Filtre web 1 / Filtrage. 33

34 L'interface d'administration EAD d'amon Écran 17 Configuration du mode de filtrage web pour la zone de configuration Interdire des extensions Il est possible d'interdire des extensions, ainsi si l'url de navigation pointe vers un fichier portant cette extension, elle sera interdite. Cette interdiction s'applique : sur une zone de configuration ; de manière plus fine par politique de configuration (si des utilisateurs ou des groupes de machine ont été associés à des politiques optionnelles). Le formulaire se trouve dans Filtre web 1 / Sites / Extensions. Écran 18 Interdiction d'extensions pour les quatre politiques de la zone de configuration Interdire des types MIME Il est possible d'interdire des types MIME*. Cette interdiction fonctionne comme celle des extensions. Cette interdiction s'applique : sur une zone de configuration ; de manière plus fine par politique de configuration (si des utilisateurs ou des groupes de machine ont été associés à des politiques optionnelles). Le formulaire se trouve dans Filtre web 1 / Sites / type MIME. 34

35 L'interface d'administration EAD d'amon Écran 19 Interdiction de types MIME pour les quatre politiques de la zone de configuration Filtrage utilisateur ou machine Il est possible d'associer des politiques de filtrage : à des utilisateurs (seulement si l'authentification est activée durant la phase de configuration) ; à des groupes de machine. Le filtrage par machine est prioritaire sur le filtrage par utilisateur. Ces réglages se font par zone Filtrage utilisateur Si l'authentification a été activée sur la zone durant la phase de configuration, il est possible de définir, pour l'utilisateur, une des politiques de filtrage suivante : modérateurs (lorsqu'un site est interdit, un lien lui est proposé pour outrepasser l'interdiction) ; interdits (aucune navigation web n'est possible pour cet utilisateur) ; mode liste blanche (seul les sites de la liste blanche sont visitables) ; politiques optionnelles personnalisé. Placer un professeur sur la liste des modérateurs pour la zone de filtre web 1 Il est parfois intéressant de voir un site interdit, qui, parfois, empêche l'accès à un contenu pédagogique. En définissant un professeur comme modérateur, on lui permet d'outrepasser l'interdiction de navigation et, le cas échéant, le placer sur la liste des sites autorisés. Dans Filtre web 1 / Utilisateurs : entrer le nom de l'utilisateur ; valider ; choisir Modérateur dans la liste. 35

36 L'interface d'administration EAD d'amon Écran 20 Configurer des politiques de filtrage pour un utilisateur sur la zone de filtre web 2 Remarque Si le menu Utilisateurs n'apparait pas, c'est que la zone n'est pas authentifiée. Voir aussi... > cf "Authentification web et politique de filtrage", page Filtrage machine Présentation Le pare-feu Amon propose de gérer des groupes de machine par plage d'adresse IP. En ajoutant une référence à ce groupe, il est possible : de lui interdire l'accès au réseau ; de lui interdire la navigation web seulement ; de lui autoriser la navigation web selon des horaires ; de lui associer une politique de filtrage web spécifique. Créer un groupe de machine Pour configurer un groupe de machine de la zone 1, aller dans Filtre web 1 / Groupe de machine. Écran 21 Interface de gestion de groupe de machine Cliquer sur Nouveau groupe de machine et un formulaire de création apparaît. Écran 22 Formulaire de création 36

37 L'interface d'administration EAD d'amon Remplir : nom pour le groupe de machine ( sans accents ni caractères spéciaux ) ; donner l'ip de début de plage ; donner l'ip de fin de plage ; si plusieurs interfaces réseau sont associés à cette zone, il vous demandera le nom de l'interface ; valider. Le groupe de machine est dans la liste et peut être géré. Écran 23 Le groupe de machine est ajouté Remarque S'il ne vous est pas possible de choisir l'interface de votre groupe lors de sa création, c'est qu'une seule interface du pare-feu est associé à cette zone. La plage d'adresse du groupe doit être de classe C. Un trop grand nombre d'adresses dans un groupe peut emmener une baisse de performance. Limiter l'accès réseau Dans la colonne Interdictions, il est possible de choisir parmi : jamais ; le web tout le temps ; le web selon des horaires (à définir au préalable) ; toute activité réseau. Interdire le groupe de navigation web Dans la colonne Interdictions, choisir Le web tout le temps Le groupe de machine est alors interdit d'accès sur les ports : 80 (http) 443 (https) 3128 (DansGuardian) 8080 (Squid) Si vous désirez faire une interdiction de navigation selon des horaires, il faut : configurer des horaires ; appliquer l'interdiction. Configuration des horaires Dans la colonne Interdictions, choisir Le web selon horaires. Cliquer sur l'horloge, la gestion des horaires apparaît. 37

38 L'interface d'administration EAD d'amon Écran 24 Gestionnaire d'horaires pour les groupes de machine choisir la plage horaire d'autorisation ; choisir les jours d'applications ; valider. 38

39 L'interface d'administration EAD d'amon Écran 25 Remplir le formulaire Les plages horaires définies s'affichent (la croix permet de supprimer la plage). Remarque Sans plage horaire définie, la navigation web est interdite tout le temps La modification des plages horaires est dynamique. Si le groupe de machine est interdit de navigation web selon horaires, il est possible de modifier les plages horaires. Il est aussi possible de copier les horaires depuis un autre groupe de machine. choisir le groupe dans la liste ; valider. Interdire l'accès au réseau Pour interdire tout accès réseau à notre groupe de machine, dans la colonne Interdictions, choisir Toute activité réseau. 39

40 L'interface d'administration EAD d'amon Écran 26 Affichage des plages horaires 40

41 L'interface d'administration EAD d'amon Spécifier une politique de filtrage Il est possible d'associer une politique de filtrage au groupe de machine. Pour cela choisir la politique dans la colonne politique optionnelle. Certaines politiques de filtrage sont fixes : modérateur ; interdit ; mode liste blanche. D'autres sont configurables : Défaut ; 1; 2; 3; 4. Supprimer un groupe de machine Pour supprimer un groupe de machines, cliquez sur la croix en face de votre groupe de machine Interdire l'accès d'une interface à un sous-réseau Dans Filtre web 1 / Postes il est possible d'interdire l'accès à un sous-réseau depuis une interface. Pour cela, il faut : définir le sous-réseau (postes) de destination ; choisir l'interface source depuis laquelle interdire l'accès. Interdire l'accès au sous-réseau / depuis l'interface admin eth1. Écran 27 Interface de gestion des destinations interdites Soit eth1 sur la zone de filtre web 1. Allez dans Filtre web 1 >Postes >Destinations Interdites : Mettre / dans adresse / sous réseau à interdire Choisir admin (eth1) dans la liste Interface associée à la source Validez 41

42 L'interface d'administration EAD d'amon Écran 28 Ajout d'une destination Annuler une interdiction Choisissez l'interdiction dans la liste Validez Écran 29 Suppression d'une interdiction 42

43 L'interface d'administration EAD d'amon 2 Exceptions sur la source ou la destination Par défaut, tous les accès à des sites nécessitent une authentification (si elle est active) et toutes les machines du réseau doivent s'identifier. Mais certains systèmes ou logiciels doivent pouvoir se mettre à jour de façon transparente. De plus, le proxy conserve une version des pages téléchargées en cache pour limiter la consommation réseau. Ce comportement n'est pas adapté à tous les sites. Pour les sites comportant des données sensibles, il est nécessaire de s'assurer que des données relatives à la navigation sur ce domaine ne soient pas placées dans le cache du serveur. Certaines machines peuvent également avoir besoin de naviguer avec des données provenant directement du site consulté. Certains postes clients ou serveurs du réseau ont besoin d'effectuer des mises à jour automatiquement, les sites de mise à jour doivent être accessibles sans authentification. Certaines machines peuvent également avoir besoin de naviguer sans être authentifiées. Pour cela, il existe deux mécanismes : ne pas utiliser de cache ou d'authentification pour certains sites (destination) ; ne pas utiliser de cache ou d'authentification pour certaines machines locales (source). Cache et authentification de la destination Dans Configuration générale / Cache et Authentification / Destinations : entrer le nom du domaine ; cocher authentification et/ou cache ; valider. Écran 30 Ajout d'une destination à ne pas authentifier et/ou pour laquelle ne pas utiliser le cache Pour supprimer une référence, cliquer sur la croix rouge correspondante : Écran 31 Listes des destinations à ne pas authentifier et/ou pour lesquelles ne pas utiliser le cache 43

44 L'interface d'administration EAD d'amon Cache et authentification de la source Dans Configuration Générale / Cache et Authentification / Sources : entrer le nom du domaine ; cocher authentification et/ou cache ; valider. Écran 32 Ajout d'une source à ne pas authentifier et/ou pour laquelle ne pas utiliser le cache Pour supprimer une référence, cliquer sur la croix rouge correspondante : Écran 33 Listes des sources à ne pas authentifier et/ou pour lesquelles ne pas utiliser le cache Personnalisations académiques Des listes de sites et d'adresses académiques peuvent être gérées indépendamment de l'ead par l'intermédiaire des fichiers suivants : /etc/squid/domaines_noauth_acad : liste de destinations à ne pas authentifier ; /etc/squid/domaines_nocache_acad : liste de destinations pour lesquelles ne pas utiliser le cache ; /etc/squid/src_noauth_acad : liste de sources à ne pas authentifier ; /etc/squid/src_nocache_acad : liste de sources pour lesquelles ne pas utiliser le cache ; /etc/squid/domaines_nopeerproxy : liste de destinations pour lesquelles on n'utilise pas le proxy père. 44

45 L'interface d'administration EAD d'amon 3 Era et EAD 3.1. Directives optionnelles Les modèles de pare-feu Era peuvent contenir des directives optionnelles *. Une règle peut être : générale, si elle concerne l'interface externe ; spécifique à une zone de configuration, si elle concerne une interface interne de la zone. La configuration générale se faisant dans Configuration générale / Règles du pare feu. La configuration spécifique étant dans Configuration 2 / Règles du pare feu : Pour valider une directive optionnelle : choisir Actif ; valider. Écran 34 Activation de règles optionnelles spécifiques Voir aussi... 45

46 L'interface d'administration EAD d'amon 3.2. Horaires Présentation Il est possible de bloquer les flux* entre réseaux suivant certaines plages horaires. Le pare-feu n'autorise alors plus aucune connexion excepté les ports : 4200 : administration EAD ; 8090 : agent Zéphir ; 7080 : canal XML-RPC pour l'accès Zéphir ; 22 : connexion ssh. L'accès aux ports 4200 et 22 est limité par la configuration choisie durant la phase de configuration. Définir des horaires Aller dans Configuration générale / P2P et horaires du pare feu / Horaires du pare feu : choisir les horaires de début et de fin de journée (ouverture) ; valider. Écran 35 Interface de gestion d'horaires Désactiver les horaires Pour désactiver les horaires : mettre les horaires à ' ' ; valider. Les horaires sont désactivés pour la plage choisie. 46

47 L'interface d'administration EAD d'amon 3.3. Filtrage pair à pair Il est possible d'interdire le filtrage pair à pair * sur le pare-feu, dans Configuration générale / p2p et horaires de pare feu. Cliquer sur Autoriser / Interdire. Écran 36 Peer to Peer Remarque Compte tenu de la rapidité d'adaptation des outils de téléchargement pair à pair, ce filtre ne peut être considéré comme fiable à 100%. 4 Activer le portail Envole dans l'ead Pour activation de la règle optionnelle permettant l'accès au portail depuis l'extérieur, dans l'ead de l'amon, Configuration Générale / Règles du pare feu, activer "Ouvrir le portail Envole 2.0 (Posh) sur internet". Écran 37 Configuration EAD pour Envole 47

48 L'interface semi-graphique d'amon VI L'interface semi-graphique d'amon Une interface semi-graphique est également disponible sur quelques modules. L'interface semi-graphique n'est pas présente sur tous les modules. Seulement sur les modules Amon/AmonEcole, Scribe, Horus et Sphynx (grâce au script manage-sphynx lancé en root). Cette interface permet d'exécuter quelques tâches simple d'administration du serveur : diagnostique, mise à jour, liste des paquets en mise à jour, etc. 48

49 L'interface semi-graphique d'amon Actions disponible depuis cette interface : Diagnostic_<Module> Lance la commande : diagnose qui effectue un diagnostic des principales fonctions du pare-feu. Reconfiguration Lance la reconfiguration (reconfigure) du serveur. Paquets_en_Maj Liste les paquets à mettre à jour sur le serveur, mais n'effectue pas cette mise à jour. Mise_A_Jour Lance la mise à jour en utilisant les informations du gen_config. Maj_blacklists Propre à Amon, contacte le serveur de mise à jour et recharge les fichiers de listes d'interdiction disponibles, puis relance les services DansGuardian. Redemarrer_Serveur Redémarrer le serveur. Arret_Serveur Arrêter le serveur. Shell_Linux Passage en mode ligne de commande. Quitter Sortir de l'application. 49

50 Éditeur de Règles de Pare-feu (Era) VII Éditeur de Règles de Pare-feu (Era) 1 Introduction 1.1. Présentation Présentation et fonctionnalités L'outil EOLE de génération de règles de pare-feu * pour Amon* se nomme Era*. Il permet de gérer la description de la politique de sécurité d'un pare-feu *. Cette politique est sauvegardée intégralement dans un fichier de type XML avec un format spécifique à l'application. Par un processus de compilation, Era transforme le fichier XML en un bloc de règles iptables * et éventuellement NuFW*, de manière à instancier ces règles sur un pare-feu * cible. Era et sa documentation sont sous licence libre. Un logiciel en deux parties L'interface de conception permet d'organiser la politique de filtrage et l'enregistre dans un fichier XML ; le compilateur génère le script iptables, par compilation, à partir du fichier XML de description du pare-feu. Remarque Seul le format XML est utilisé par le pare-feu Amon *. L'exportation au format iptables* permet d'être utilisable sur un autre pare-feu disposant de Netfilter. Il n'est bien sûr pas nécessaire de connaître la syntaxe iptables pour manipuler Era. Le but d'un tel logiciel est justement de s'abstraire de la syntaxe iptables, afin de pouvoir concevoir un pare-feu sans pour autant être un expert. Pour cela, l'interface graphique de Era est un outil intéressant : 50

51 Éditeur de Règles de Pare-feu (Era) Fig. 2 L'interface graphique d'era 1.2. Les fichiers XML de modèles Un modèle* est un fichier de description du pare-feu. Le format d'enregistrement est un format XML. Divers modèles caractéristiques de description de pare-feu sont disponibles dans le répertoire /usr/share/era/modeles et sont des exemples de types de pare-feux (deux, trois, quatre ou cinq cartes réseau). En général il est préférable, pour commencer un pare-feu, de partir d'un des modèles exemples, et d'y rajouter des directives (ou bien d'en enlever). Partez plutôt du modèle qui correspond au nombre de cartes réseaux dont vous disposez sur le serveur. 51

52 Éditeur de Règles de Pare-feu (Era) Écran 38 Boite de dialogue d'ouverture d'un modèle Attention Lorsque vous modifiez un modèle exemple, il faut impérativement l'enregistrer dans un fichier différent. Sinon, il sera écrasé à la mise à jour suivante. De plus, il faut que vos nouveaux fichiers XML soient enregistrés dans le répertoire /usr/share/era/modeles/. Charger un modèle à la ligne de commande. Il est possible d'ouvrir directement un modèle à la ligne de commande. Pour cela, il suffit de spécifier l'option -f avec le nom du fichier. Par exemple : era f /usr/share/era/modeles/3zones amonecole.xml Le format XML interne est facilement lisible avec un éditeur de texte (ou un éditeur XML) si l'on est familiarisé avec : la notation XML ; les différents concepts propres à Era (tableau des flux, services, directives,...). 52

53 Éditeur de Règles de Pare-feu (Era) 1.3. Les variables Creole Era* a été conçu dans le cadre du projet EOLE * et pour le pare-feu Amon *. Il peut très bien être utilisé en dehors de ce cadre, mais c'est sur un Amon * qu'il devient vraiment possible de déployer toutes les possibilités du logiciel. Il est possible, à plusieurs endroits de l'interface, d'insérer des variables Creole * (elles commencent par %%) plutôt que des valeurs fixes. Le fichier XML de description de pare-feu devient alors un template * Creole. Exemple Dans la fenêtre d'édition d'une zone, entrer une valeur du type %%ip_variable plutôt qu'une valeur IP fixe. Écran 39 Une adresse IP de zone peut être templatisée (IP en variable Creole) Ces variables seront instanciées sur un serveur EOLE. Mais elles peuvent aussi être utilisées pour le déploiement d'autres pare-feux tant que Netfilter (et éventuellement NuFW) est présent. Le bouton générer de la barre d'outils permet de produire un script iptables. Dans le cas où la machine cible n'a pas Creole ou qu'il manque une variable dans le dictionnaire local, Era affichera une fenêtre permettant de renseigner les valeurs manquantes. Écran 40 Bouton de génération de la sortie au format iptables 53

54 Éditeur de Règles de Pare-feu (Era) Écran 41 Dictionnaire de variables Creole à renseigner Attention Si vous utilisez des règles authentifiées, un fichier texte de règles NuFW est aussi généré. Le nom du fichier est de la forme <nom du modèle>_acl_plaintext.sh. Reportez-vous à la documentation de NuFW pour configurer Nuauth et NuFW. 2 Utilisation 2.1. Les zones de sécurité Présentation L'éditeur Era est un outil de conception par zones *. Une zone* correspond physiquement à une carte réseau. Cela permet de découper le parc de machines en réseau ou sous-réseau. Le pare-feu lui-même étant une zone à part, appelée par convention "bastion". Les zones sont ensuite ordonnées par niveau de sécurité * (entier de 0 à 100). Cela permet de "cartographier" tout le réseau. 100 est le niveau de sécurité maximal et correspond à la zone "bastion". Par convention, le niveau de sécurité le plus faible de toutes les zones est affecté à la zone "extérieur". Les machines de la zone ont un accès complet aux zones de niveau inférieur et aucun accès à celles de niveau supérieur. 54

55 Éditeur de Règles de Pare-feu (Era) Fig. 3 Les niveaux de sécurités des différentes zones (vue centrée sur le bastion) Une zone correspond à un réseau. Dans cette zone, on retrouve des sous-réseaux et des machines, correspondant à la notion d'extrémité* dans Era. Donc une extrémité est un sous ensemble d'une zone. Elle est définie par une adresse IP. Elle hérite du niveau de sécurité de la zone à laquelle elle appartient. Ajouter une zone Il est possible à tout moment, même après la conception initiale du modèle, de rajouter une zone de sécurité. L'ajout d'une zone de sécurité se fait en cliquant sur le bouton "Ajouter Zone" de la barre d'icône. Écran 42 Ajouter une zone au tableau des flux Les cases des noms des zones sont cliquables. Un clic droit dans une case des noms de zones permet d'afficher les zones ainsi que les extrémités * qui y sont associées. 55

56 Éditeur de Règles de Pare-feu (Era) Écran 43 Fenêtre d'édition de zone les trigrammes (préfixes) de zones Dans le choix des noms de zone : les trois premières lettres (trigramme) du nom de la zone sont discriminantes, par exemple : "statistique" et "station" sont des noms de zone incompatibles (c'est la même zone "sta"), le mot clef "bastion" est réservé (pour la zone du bastion lui-même), ainsi que le mot clef "extérieur" (pour la zone extérieure, internet). Ajouter une extrémité La liste des extrémités est disponible dans le menu bibliothèque /extrémités. Il est également possible de lister les extrémités d'une zone, en cliquant droit sur le bouton de la zone et en sélectionnant voir la liste des extrémités. Écran 44 Liste des extrémités 56

57 Éditeur de Règles de Pare-feu (Era) Pour créer une nouvelle extrémité, faire un clic droit dans la zone dans laquelle vous voulez l'inclure. Ensuite, choisir définir un ensemble de machines ou définir un sous réseau suivant que vous voulez inclure un groupe d'ip ou un sous-réseau. Écran 45 Un clic droit sur le nom d'une zone affiche le menu contextuel relatif à cette zone 57

58 Éditeur de Règles de Pare-feu (Era) Écran 46 Ajout d'une extrémité dans le cas d'une liste de machines Écran 47 Ajout d'une extrémité de type sous réseau 58

59 Éditeur de Règles de Pare-feu (Era) Truc & astuce Les VLAN et alias IP doivent être gérés comme des extrémités et non comme une zone particulière. Il n'est pas possible de créer une extrémité pour tous les VLAN ou alias IP s'il y en a plusieurs pour une zone. Il faut créer un ensemble d'extrémités. Le premier VLAN de eth1 doit être créé de la façon suivante : network variable : %%id_vlan_eth1[0].adresse_ip_vlan_eth1 netmask variable : %%id_vlan_eth1[0].adresse_netmask_vlan_eth1 Le deuxième alias de eth2 doit être créé de la façon suivante : network variable : %%alias_eth2[1].alias_ip_eth2 netmask variable : %%alias_eth2[1].alias_netmask_eth Les flux Présentation Dans Era, les règles sont systématiquement classées d'après la zone d'origine et la zone de destination. Era est donc conçu autour du concept de flux * plutôt que centré sur la notion de règle. Par voie de conséquence, chaque zone est reliée à une autre zone par des flux. A l'intérieur d'un flux, on trouve deux flux orientés, le "flux montant *" et le "flux descendant*". Les "flux montants*" concernent les zones* d'un niveau de sécurité plus faible vers un niveau de sécurité plus élevé, et réciproquement pour les "flux descendants*". Pour pouvoir ordonner les flux en vue d'une cohérence globale, il convient ensuite de modéliser le "tableau des flux*". Ce tableau correspond à l'ensemble des flux du modèle de sécurité à l'intérieur duquel seront rangées les règles (ou directives). 59

60 Éditeur de Règles de Pare-feu (Era) Fig. 4 Directives montantes et descendantes dans la matrice de flux Lorsque les flux montants et les flux descendants sont définis, une politique par défaut est automatiquement spécifiée. Ici, la politique de sécurité par défaut qui résulte de la matrice de flux est : 60

61 Éditeur de Règles de Pare-feu (Era) Fig. 5 Repérage des types de directives (autorisation ou interdiction) dans la matrice de flux Niveaux de sécurité égaux Lorsque deux zones ont deux niveaux de sécurité égaux, alors la politique par défaut est une interdiction des deux côtés (flux montants et descendants). Changement de la politique par défaut Il est possible d'inverser le comportement de la politique par défaut. On peut choisir d'interdire les flux d'une zone vers une autre par défaut. L'interface de conception La fenêtre principale représente un tableau composé de cases de zones et de cases de flux. 61

62 Éditeur de Règles de Pare-feu (Era) Écran 48 Interface d'era avec un modèle chargé Les cases des flux sont colorés. Les cases de couleur verte sont en "autorisation" par défaut et les cases de couleur rouge sont en "interdiction" par défaut. La couleur rouge indique que le flux orienté est interdit, tandis que la couleur verte montre que le flux orienté est autorisé Les directives Présentation Une directive* est une règle concernant un service ou un groupe de services entre deux extrémités. Cette règle peut être de type "interdiction", "redirection", "source NET" ou "destination NAT" Les services et les groupes de services Avant de pouvoir créer une directive, il faut d'abord créer un service *. Exemple Par exemple le service "serveur web" est défini par le protocole HTTP sur le port 80. Truc & astuce Il y a déjà une bibliothèque de services prédéfinis dans Era. Pour lister ces services, aller dans le menu : Bibliothèque > services. Pour créer un service, aller dans le menu : Bibliothèque > services. 62

63 Éditeur de Règles de Pare-feu (Era) Écran 49 Liste et édition des services Créer ou modifier un service signifie renseigner les noms, descriptions, protocoles et ports. Écran 50 Ajout d'un service Remarquons que si on choisit un port égal à 0, cela équivaut à saisir de 0 à Truc & astuce Si on veut que le service ne concerne qu'un seul port, il faut mettre deux fois le même numéro de port. 63

64 Éditeur de Règles de Pare-feu (Era) L'éditeur de directives Un clic droit ou un double clic dans une case de flux du tableau permet de visualiser la liste des directives de façon synthétique. Écran 51 Fenêtre de liste des directives dans un flux donné Les directives sont triées par ordre croissant. C'est l'ordre dans lequel seront appliquées les règles sur le pare-feu cible. Attention Les directives de nat et redirection sont appliquées forcément avant les autres. Ceci est le comportement de Netfilter*. Depuis cette fenêtre, il est possible d'éditer une nouvelle directive (en double-cliquant dessus) ou d'en ajouter une si nécessaire. 64

65 Éditeur de Règles de Pare-feu (Era) Écran 52 Fenêtre d'édition des directives Pour construire une directive, il faudra au moins deux extrémités (entre deux zones) et un service (ou groupe de services), qui doit être renseigné par glisser-déplacer. 65

66 Éditeur de Règles de Pare-feu (Era) Écran 53 Glisser-déposer d'une extrémité pour la source et la destination d'une directive Truc & astuce Si vous ne renseignez pas les extrémités, c'est la zone entière qui est prise (plus précisément l'extrémité désignant la zone entière). Différence entre zone entière et zone restreinte La zone entière est le réseau correspondant à une carte réseau du pare-feu. Cela correspond au réseau local ainsi que d'éventuels sous-réseaux derrière une passerelle. Elle est nommée <nom de la zone>. La zone restreinte ne correspond qu'au sous-réseau. Elle est nommée <nom de la zone>_restreint. A chaque directive est associé un service ou un groupe de services qu'il est nécessaire de renseigner par glisser-déposer. Écran 54 Sélection d'un service depuis l'éditeur de directive 66

67 Éditeur de Règles de Pare-feu (Era) i - Les types de directives Les types de directives Il y a plusieurs types de directives : autorisation interdiction redirection SNAT DNAT FORWARD Les directives d'autorisation et d'interdiction Une directive est dans une case de flux et elle s'oppose à la politique par défaut du flux. Si le flux est en autorisation, la directive propose une interdiction et inversement. Écran 55 Type standard de directive (autorisation/interdiction) En plus du filtrage simple, d'autres fonctionnalités sont proposées. Les directives de redirection Une directive de type redirection permet de rediriger une requête d'un port déterminé vers un port de la machine elle-même (bastion). Écran 56 Directive de redirection Exemple Cette fonctionnalité est particulièrement intéressante dans le cas du proxy transparent. Toutes les requêtes destinées à des serveurs web seront redirigées automatiquement vers le service proxy installé sur le serveur. Les directives de DNAT/SNAT Le NAT permet de modifier l'adresse source (SNAT) ou destination (DNAT) d'une requête. Écran 57 Glisser-déposer de l'extrémité de redirection Exemple Le SNAT est utilisé pour toutes les requêtes provenant de la zone pédago vers l'extérieur. Cela permet de transformer les adresses source locales en adresses source extérieures. 67

68 Éditeur de Règles de Pare-feu (Era) Attention Le DNAT et le SNAT ne sont pas autorisés si la directive est authentifiée. Les directives FORWARD Le FORWARD permet d'autoriser la translation un réseau vers un autre Écran 58 ii - Les plages horaires Création d'une plage horaire Les plages horaires sont définies depuis le menu Bibliothèque > plage horaire. Il y a trois manières de définir une plage horaire : les heures de début et de fin ; les dates de l'année de début et de fin ; les jours de la semaine. Les informations indispensables sont : le nom et une ou plusieurs de ces trois manières. Écran 59 Ajouter des plages horaires Affectation d'une plage horaire à une directive Il est possible de définir une plage horaire à l'intérieur de laquelle la directive sera activée. Depuis l'éditeur de directives, glisser-déposer une plage horaire. Affecter une plage horaire à une directive. 68

69 Éditeur de Règles de Pare-feu (Era) Écran 60 La plage horaire d'une directive iii - Les directives authentifiées Prérequis d'utilisation du filtrage authentifié Cette fonctionnalité est à utiliser uniquement dans un réseau comprenant le filtrage authentifié NuFW *. Dans le cadre d'amon, il faut avoir configuré NuFW * durant la phase de configuration de ce serveur. En plus de la configuration du serveur, il est nécessaire d'installer un client sur les postes utilisateurs. Directive authentifiée par groupe d'utilisateur Créer un groupe utilisateur Une directive de filtrage peut-être affectée à un groupe d'utilisateurs particulier. Ces groupes utilisateurs sont définis dans l'arborescence LDAP. Pour créer un groupe d'utilisateurs, aller dans le menu Bibliothèques / Gestion des groupes utilisateurs. Il fait renseigner les champs suivant : le nom du groupe et le numéro identifiant correspondant à l'uid Unix (exemple élèves, professeurs). Écran 61 Fenêtre d'édition des utilisateurs 69

70 Éditeur de Règles de Pare-feu (Era) Deux groupes spéciaux Les identifiants groupes tous identifiés (groupe 513) et non identifiés (groupe 253) ne sont pas modifiables. Créer une directive par groupe d'utilisateur Aller dans l'éditeur de la directive à authentifier afin de lui associer le groupe créé. Le groupe apparaît à gauche (groupes utilisateurs) dans l'éditeur de directives. Écran 62 L'affectation d'un groupe d'utilisateurs à une directive Directive authentifiée par application Créer un groupe d'application Pour créer un groupe d'application, aller dans le menu Bibliothèques / Filtres applicatifs. Il faut d'abord créer une ou des applications (par exemple firefox et chromes avec le chemin de l'application) puis un groupe d'applications (par exemple navigateur web) comprenant une liste d'applications. Écran 63 Boite de dialogue de création d'une application 70

71 Éditeur de Règles de Pare-feu (Era) Attention A la création d'une application, bien noter le début du chemin (par exemple : c:\program Files\firefox*\firefox.exe, ou bien /usr/bin/firefox*). En effet, il serait possible de contourner le filtrage en renommant une application tierse en firefox.exe) Créer une directive par groupe d'applications Il est possible d'affecter un groupe d'applications aux directives. Remarque On ne peut mettre qu'un groupe d'application dans la directive et non une application seule (au besoin, créer un groupe ne contenant qu'une seule application). Il n'est évidemment pas possible de faire une règle applicative sans qu'elle soit authentifiée. De plus, il n'est pas possible de renseigner des groupes d'applications pour les utilisateurs non-authentifiés. Écran 64 Glisser-déposer d'un groupe d'application dans l'éditeur de directives Remarques sur les directives authentifiées Ordre des directives et des directives authentifiées Les directives authentifiées sont prises en compte en dernier. Il est donc préférable, pour la lecture des listes de directives, de mettre les directives authentifiées en dernier. Dans le cas d'une redirection, il est impossible de rajouter une directive normale. Les redirections authentifiées doivent donc absolument être seules dans un flux. Par contre, il est possible d'avoir plusieurs directives de redirection authentifiées à la suite les unes des autres, et c'est la politique par défaut qui sera appliquée aux autres utilisateurs. Les groupes "tous identifiés" et "non identifiés" Le groupe non identifiés correspond à l'ensemble des utilisateurs n'ayant pas démarré le client NuFW ou ayant échoué à l'authentification. Le groupe non identifiés a une politique par défaut interdit, même si la politique par défaut est censé être autorisé. Les groupes tous identifiés et non identifiés ne sont pas éditables. Utilisation des plages horaires avec une directive authentifiée Lorsqu'on utilise une plage horaire dans une directive authentifiée, et que l'on a défini par ailleurs une autre directive authentifiée de même type (redirection, même interface source, même IP source, même port source, même port de destination, même IP destination), mais pour un autre groupe, la plage horaire initiale s'applique alors aussi à ce groupe et vice et versa. Il faut donc n'utiliser qu'un type de directive pour un seul groupe. iv - La journalisation La case "journaliser" permet de tenir un journal des évènements (logs) de la directive (grâce à ULOG). 71

72 Éditeur de Règles de Pare-feu (Era) Écran 65 Journaliser la directive v - Le marquage Le marquage est une fonctionnalité avancée de iptables * permettant d'identifier un paquet grâce à une marque spécifiée dans l'interface. vi - Les directives optionnelles Présentation Une directive optionnelle* est une directive qui va être activable ou désactivable depuis l'ead *. Pour cela, il est indispensable d'affecter un libellé optionnel à cette directive. Il est aussi possible de choisir un libellé optionnel préexistant dans la liste des libellés affectés aux directives, ce qui crée une notion de groupe de directives optionnelles. Écran 66 La directive est étiquetée comme optionnelle Attention Remarquons qu'un libellé optionnel sert de tag (d'identifiant), et doit être composé de caractères alphanumériques [1-9] [a-z] [A-Z], éventuellement des "_" ou des espaces. Il est impératif de ne pas mettre d'accents ou autres caractères spéciaux. Directive optionnelle active Une directive optionnelle n'est pas active par défaut dans Era, c'est-à-dire que la directive ne sera pas appliquée sur le serveur cible. Pour l'appliquer, il faut aller la cocher comme active dans l'ead. Mais il est possible de rendre une directive active par défaut dans Era. Dans ce cas, il faudra aller dans l'ead pour la désactiver. L'état actif et la possibilité de marquer une directive comme optionnelle sont deux notions différentes. Pour activer une directive, aller dans Bibliothèque / Directives optionnelles. 72

73 Éditeur de Règles de Pare-feu (Era) Écran 67 Fenêtre de la bibliothèque permettant d'étiqueter une directive comme optionnelle Les directives optionnelles cachées Une directive optionnelle cachée est une directive optionnelle qui n'appaîtra pas dans l'ead. Elle n'est activable que par une procédure particulière. Pour créer une directive optionnelles cachés, aller dans Bibliothèque / Directives Optionnelles et cocher directives cachées. 73

74 Éditeur de Règles de Pare-feu (Era) Écran 68 Les directives cachées Une directive cachée est désactivée par défaut. Pour l'activer, faire un patch au /etc/eole/distrib/active_tags et mettre dedans le libellé optionnel de la directive (un libellé par ligne). fichier Attention Il est préférable d'utiliser un libellé optionnel court (par exemple " auth_nufw" plutôt que "authentification avec NuFW"). Dans le fichier active_tags, ne pas mettre de commentaire. Voir aussi... > cf "Directives optionnelles", page La qualité de service La qualité de service ne concerne que les flux des zones internes vers l'extérieur. C'est une QOS * externe. Il est possible d'accéder à la fenêtre de gestion de la QOS * de deux manières : depuis le menu Bibliothèque / Qualité de service (QOS) ; en cliquant sur la zone Extérieur depuis le tableau des flux. 74

75 Éditeur de Règles de Pare-feu (Era) Écran 69 Gestion de la Qualité de Service Dans cette boîte de dialogue, il faut : fixer des valeurs de bande passante en upload et en download (c'est-à-dire les flux globaux disponibles entre l'intérieur et l'extérieur), en méga bits par seconde (soit un débit de un million de bits par seconde) ; à l'aide des poignées de manipulation des différentes boîtes représentant chaque zone, affecter un pourcentage de flux relatif à chaque zone. Attention La QOS peut-être définie dans un modèle sans être activée, pensez à l'activer dans les options du modèle Les options du modèle Il est possible d'ajouter des règles spécifiques à netbios et à la QOS depuis le menu Bibliothèque / Options du modèle. Écran 70 Fenêtre des options du modèle Activer netbios permet d'ajouter des règles permettant de bloquer les requêtes du réseau Microsoft vers l'extérieur. Cette règle est activée par défaut. Si vous voulez utiliser les règles de Qualité de Service (QOS), il est indispensable de l'activer dans cette fenêtre. Par défaut, les règles de QOS ne sont pas actives. 75

76 Éditeur de Règles de Pare-feu (Era) 2.6. L'inclusion statique Il est possible d'insérer des règles iptables personnalisées. Ces règles vont venir s'insérer à la fin du fichier généré. On accède à la fenêtre des inclusions statiques par le menu Bibliothèque / Inclusion Statique. Il s'agit d'une zone de saisie de texte. Écran 71 Fenêtre d'insertion des inclusions statiques Attention Aucune validation n'est faite par Era sur ces règles insérées directement par l'utilisateur. Précisons que cette possiblité est réservée à un utilisateur avancé, qui maitrise parfaitement la syntaxe iptables Imbriquer des modèles Il est possible d'imbriquer des modèles, c'est-à-dire de faire dépendre des modèles les uns des autres. Un modèle devient un modèle père, les autres modèles héritent de toutes ses caractéristiques (directives, bibliothèques, flux, zones,...). Pour imbriquer des modèles, créez d'abord un modèle de manière habituelle. Ce modèle deviendra le modèle père. Ensuite, créez un nouveau fichier dans l'éditeur, et choisissez dans le menu Fichier / importer un modèle. Le modèle est chargé comme d'habitude mais les directives importées ne sont plus éditables (elles sont grisées). Ne seront éditables que les directives que vous allez rajouter. En plus de l'existant, vous pouvez faire toute modification utile (ajout de zone, création de directives, etc...). Attention Vous ne pouvez plus changer le fichier père de place ni le renommer, le chemin du fichier père est enregistré comme attribut. 76

77 Éditeur de Règles de Pare-feu (Era) 2.8. Communication avec Zéphir La connexion au Zéphir est possible depuis le menu Zephir. Écran 72 Connection à Zéphir Importer un modèle Era intègre la possibilité d'échanger des modèles avec un serveur Zéphir. Lors du première utilisation des fonctions d'importation Zéphir, des informations de connexion vous seront demandées. Vous devez spécifier ici l'adresse du serveur Zéphir, et le nom et le mot de passe d'un utilisateur ayant les droits nécessaires (lecture pour l'import et écriture pour l'export). Une fois connecté, vous pourrez saisir l'identifiant du serveur. Le modèle est alors téléchargé et ouvert dans Era. Cette procédure n'est valable que si vous avez déjà remonté le modèle de pare-feu dans Zéphir. Écran 73 Importation d'un modèle XML depuis le Zéphir A l'enregistrement, il vous sera demandé si vous voulez remonter le modèle sur Zéphir. Exporter un modèle Zéphir Lorsque vous avez construit un modèle de pare-feu, vous pouvez l'envoyer directement sur un serveur Zéphir avec le menu Envoi à zephir. Si vous ne les avez pas encore renseignées, Era vous demandera les informations nécessaires à la connexion. Les options suivantes vous sont proposées pour la sauvegarde sur Zéphir : pour un serveur : sauvegarde le modèle sur le serveur et change le modèle actif dans la configuration du serveur ; pour une variante : le fichier est ajouté à la liste des fichiers de la variante ; pour un groupe : idem que pour un seul serveur, mais sur tous les Amon présents dans le groupe choisi. 77

78 Éditeur de Règles de Pare-feu (Era) Écran 74 Exportation vers Zéphir 3 Compléments techniques 3.1. Le format XML interne Les composantes du tableau des flux sont : les flux ; les zones ; les directives montantes et descendantes. Le format XML interne suit une DTD qui correspond à la modélisation par flux. Les noms des balises correspondent aux noms des objets Era. Il y a la liste des zones, puis les extrémités et les services, les groupes de services, et enfin les flux contenant les directives. La représentation interne en objets est la suivante : 78

79 Éditeur de Règles de Pare-feu (Era) Fig. 6 La représentation interne (objets) 79

80 Éditeur de Règles de Pare-feu (Era) Directive(FwObject) : directive ; Service(FwObject), ServiceGroupe(FwObject) : service et liste de services ; Zone(FwObject), Extremite(FwObject) ; Flux(FwObject). Les directives optionnelles Dans le fichier era.noyau.constants.py il y a deux constantes intéressantes ici DIRECTIVE_OPTIONAL = 1 DIRECTIVE_ACTIVE = 2 Ces filtres permettent de savoir si une directive est optionnelle ou non. Pour cela, il faut regarder l'attribut attrs de la directive. Si directive.attrs = 0, alors la directive n'est ni optionnelle, ni active. attrs=0 : pas optionnelle attrs=1 : optionnelle mais pas active attrs=3 : optionnelle et active la valeur 2 correspond à non optionnelle mais active, ce qui n'a pas de sens. Les valeurs autorisées sont donc [0,1,3] ACTION_DENY = 1 : barrage ACTION_ALLOW = 2 : pont ACTION_FORWARD = 4 : redirect ACTION_DNAT = 8 : dnat ACTION_MASK = 16 : masque Exemple Exemple d'une directive de type masque : action="16" attrs="0" nat_extr="exterieur_bastion" nat_port="0" Exemple d'une directive de type dnat : action="8" attrs="0" nat_extr="serveur_web" nat_port="80" 3.2. Comportement du Backend Règles implicites : le REDIRECT Un redirect doit inclure aussi une chaine input chaine xxx-bas. A une règle de forward vient donc se greffer une règle de type input. Fig. 7 règles implicites : le redirect Il y a une règle de forward (une redirection) : Fig. 8 La règle de forward 80

81 Éditeur de Règles de Pare-feu (Era) la chaine input qui vient se greffer sur le redirect (sur le forward) est implicite.un forward z1->z2 doublé d'une redirection, ajoute une règle de type input vers le bastion. Une directive de redirection génère donc deux règles : une règle input vers le bastion une règle forward z1->z2 La règle dite "implicite" est la règle de type INPUT. Une règle implicite se place en fin de pile pour chaque flux (elle n'est pas placée directement à côté de sa règle de FORWARD dans le fichier de règles générées). Règles implicites : Le DNAT et le SNAT Lors d'un DNAT, une règle de type input est doublée d'un forward (elle s'ajoute à un FORWARD). Même chose pour le masque de SNAT. Exemple : un serveur de la DMZ répond à une requête sur le port 80 du bastion. Un INPUT est transformé en FORWARD. Fig. 9 requète de DNAT Fig. 10 Une règle de type SNAT Un poste de travail peut surfer sur le web avec l'ip publique du bastion. Cela permet de surfer masqué Intégration avec Créole Créole propose un concept de variables multivaluées qui peuvent être utilisées dans Era. Era utilise bien-sûr les variables de dictionnaire Créole "simples", mais la fonctionnalité d'utilisation des variables de dictionnaires dans Era peut-être étendue aux fonctionnalité Créole. Si une variable %%variable est multi-valuée (au sens de Créole, c'est-à-dire que ça peut-être une liste), et que cette variable est présente dans une règle iptables, alors la règle iptables sera répétée autant de fois que de valeurs dans %%variable cette fonctionnalité génère du code avec une boucle for : %for %%v in %%variable /sbin/iptable bla bla %%v bla bla %end for 81

82 Éditeur de Règles de Pare-feu (Era) 3.4. Le compilateur La génération des règles iptables A la compilation du fichier XML, un certain nombre d'actions sont effectuées. Ce sont des règles iptables : définition d'une sous-chaîne pour chaque flux (liaison entre zone/extrémité) ; création de la politique par défaut (en fonction du niveau des zones) ; ajout des règles correspondant aux directives ; ajout de règles implicites liées au directives ; insertion des inclusions statiques (règle iptables de bas niveau). Sur Amon, le compilateur gère aussi l'affichage des règles optionnelles dans l'ead et récupère leur configuration en cas de mise à jour, et contrôle l'activation des directives cachées. Le script iptables peut-être généré depuis l'interface Era ou bien depuis un utilitaire ligne de commande plus complet. Le bouton générer, bouton de génération des règles iptables n'est utile que si l'on n'est pas sur un Amon. Il est donc possible depuis l'interface de transcrire directement en règles iptables ce qui est enregistré dans le fichier XML. Écran 75 Bouton de génération de la sortie au format iptables C'est aussi au moment de la compilation que sont gérées les directives cachées. Elles sont activées ou désactivées selon ce qui a été spécifié. Utilisation en ligne de commande Aller dans le répertoire era /usr/share/era et lancer le compilateur avec le fichier de modèles adapté [era] [$./backend/compiler --help] [compiler [options] era_model_file.xml] par exemple : [era] [$./backend/compiler modeles/3zones.xml ] différentes options sont possibles, taper[ --help] pour les détails ou regarder le fichier /usr/share/era/bastion.sh qui correspond à ce qui est lancé par le service bastion [service bastion restart] est lancé 4 Quelques références Site officiel du logiciel (présentation, téléchargement) : id_article=29 Code source du logiciel (versions, branches, tags) : 82

83 Problèmes Amon VIII Problèmes Amon 1 Problèmes liés au proxy Problèmes avec l'https La règle de pare-feu par défaut redirige le trafic Internet directement vers le proxy local. C'est le mécanisme de proxy transparent. Cette méthode ne permet toutefois pas de laisser passer le flux chiffré (https) par ce même mécanisme. Pour accéder aux sites en https, il est nécessaire de configurer le proxy sur les postes clients (par exemple avec ESU sur Scribe). Vider le cache du proxy Dans cas, il peut être utile de vider le cache du proxy, cela est possible à l'aide des commandes suivantes : service squid stop rm rf /var/spool/squid/* service squid start 83

84 Documentations techniques IX Documentations techniques 1 Services actifs sur Amon Niveaux de fonctionnement La distribution Ubuntu, ne fait pas de distinction entre les runlevels de niveau 2 à 5. 0 : Arrêt 1 : Mode maintenance 2 à 5 : Mode multi-utilisateur complet avec serveur graphique si installé. 6 : Redémarrage Services communs à tous les modules atd bastion cron ead-server ead-web (optionnel) eole-sso (optionnel) gpm mdadm ntp nut rc.local rmnologin rng-tools rsync rsyslog ssh stunnel4 ulogd usplash z_stats (sauf Zéphir) Services spécifiques agregation (optionnel, géré par bastion) bacula-fd (optionnel) bind9 84

85 Documentations techniques clamav-freshclam (optionnel) clamav-daemon (optionnel) dansguardian dhcp3-relay (optionnel) freeradius (optionnel) killp2p (optionnel, géré par bastion) krb5-admin-server (optionnel) krb5-kdc (optionnel) libnss-ldap nginx (optionnel) nufw (optionnel) nuauth (optionnel) qoseole (optionnel, géré par bastion) rvp (optionnel, géré par bastion) samba (optionnel) samhain (optionnel) snort (optionnel) squid winbind (optionnel) 85

86 Glossaire Glossaire Amon Module de pare-feu du projet EOLE. Balise méta Information sur la nature et le contenu d'une page web, ajoutée dans l'en-tête de la page HTML. Creole Creole vient de "Création EOLE". Il est une brique de base du projet EOLE qui consiste à partir d'un dictionnaire de données et d'une liste de configuration modèles et de fusionner les deux (d'instancier les fichiers de configuration, en langage Creole) sur une machine cible particulière. C'est le processus de configuration d'un serveur. Directive Une directive est une règle Era d'autorisation, d'interdiction, de redirection ou de NAT d'un service ou un groupe de services entre deux extrémités d'une zone. Directive optionnelle Directive paramétrée dans Era et qui peut être activée ou désactivée depuis une autre interface. Les directives optionnelles le sont depuis l'ead et les directives optionnelles cachés le sont dans fichier active_tags sur Amon. EAD Application web de gestion et d'administration des modules EOLE. C'est aussi un serveur de commandes systèmes sécurisé et avec une authentification locale ou SSO (Single Sign On). EOLE Acronyme de Ensemble Ouvert Libre Evolutif, le projet EOLE propose des solutions libres et gratuites pour l'installation de serveurs réseau internet intranet. Era Acronyme d'editeur de Règles pour Amon, logiciel de génération de pare-feu, conçu à l'origine pour les pare-feu EOLE. Site de diffusion du logiciel Extrémité Une extrémité est un sous ensemble d'une zone. Elle est définie par une ou plusieurs adresses IP ou bien un sous-réseau. Elle hérite du niveau de sécurité de la zone à laquelle elle appartient. Filtrage syntaxique Système de pondération détectant des mots interdits dans une page et lui assignant un score en fonction de la gravité et du nombre de mots détectés. Le proxy bloquera les pages dont le score dépasse un certain seuil. Flux Lien entre deux zones. Flux descendant Interactions d'un niveau de sécurité plus fort vers un niveau de sécurité plus faible avec une politique par défaut "autorisé". Flux montant Interactions d'un niveau de sécurité plus faible vers un niveau de sécurité plus fort avec une politique par défaut "interdit". Iptables Interface ligne de commandes pour netfilter, définition de wikpédia Liste blanche Une liste blanche est une liste d'adresse web autorisées par le proxy. Liste noire Une liste noire est une liste d'adresses web bloquées par le proxy. Maximum Transmission Unit La MTU difinit la taille maximum du paquet (en octet) pouvant être transmis sur le réseau sans fragmentation. Pour plus d'information : 86

87 Glossaire Modèle Era enregistre la description d'un pare-feu en dans un fichier XML situé par défaut dans un répertoire nommé modeles. Ce fichier est souvent dérivé d'un modèle livré de base, fichiers de référence présent dans le dossier modèles sur lequel se base l'utilisateur. Par extension, un modèle est n'importe quel fichier de description de pare-feu dans Era. Netfilter Netfilter est un outil de filtrage de paquets sous linux. Le logiciel qui lui est associé est iptables. Niveau de sécurité Nombre entier (entre 0 et 100) permettant d'ordonner les zones par ordre croissant. NuFW Logiciel applicatif de filtrage authentifié, NuFW ajoute la notion d'utilisateurs aux règles de filtrage et constitue un système de gestion d'identité au niveau des couches réseaux ( Pair à pair Protocole permettant de se connecter directement d'un ordinateur à un autre sans passer par un serveur central. Ce protocole est souvent utilisé pour partager des fichiers. Pare-feu Traduction mot-à-mot de l'anglais firewall, par exemple le pare-feu EOLE Amon. Path MTU (Maximum Technique permettant, dans un réseau, de déterminer la taille du MTU entre deux Transmission Unit) hôtes afin d'éviter la fragmentation des paquets. Discovery Pour plus d'informations : Politique de filtrage Une politique de filtrage permet de définir une suite d'autorisation et d'interdiction dans les accès web. Qualité de service Régulation des flux du trafic sur un réseau, définition de Wikpedia Réseau AGRIATES RACINE-AGRIATES fait partie du projet réseau RACINE, dont l' objectif consiste à fournir un support sécurisé pour les échanges d'information (ou Réseau Virtuel Privé (RVP)) entre entités du ministère en s'appuyant sur des infrastuctures réseau ouvertes. RACINE-AGRIATES a ainsi pour objectif la fourniture d'un support sécurisé pour les échanges d'information (RVP) entre le réseau de l'administration des établissements et leur rectorat de rattachement. AGRIATES : Accès Généralisé aux Réseaux Internet Académiques et Territoriaux pour les Etablissements Scolaires. RACINE-AGRIATES rassemble dans une même "zone de confiance" académique les établissements scolaires et les services académiques. Ce nouveau réseau privé virtuel sécurisé est l'intranet académique. Service Couple protocole et/ou port (ou plage de ports). Tableaux de flux Ensemble de lien entre les zones permettant de définir une politique par défaut et de classer un ensemble de règles (directives). Template Un template au sens de Creole est un fichier à instancier, c'est-à-dire un modèle contenant des variables Creole, qui sera compilé et à partir duquel Creole pourra générer un fichier cible (typiquement un fichier de configuration serveur). Type MIME Un type MIME est une information permettant de connaitre le format d'un document sans se baser sur l'extension. Zone Découpage d'un réseau en restant centré sur le pare-feu, le pare-feu lui-même étant une zone nommée par convention bastion, c'est la zone la plus sécurisée (niveau 100). Chaque zone est définie par un nom, une adresse réseau, et un niveau de sécurité. 87