amon-matice2008
Download
Report
Transcript amon-matice2008
Mars 2008
LE PARE-FEU AMON.
http://eole.orion.education.fr
[email protected]
[email protected]
[email protected]
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
➢
Eole répond aux objectifs suivants :
–
Services mutualisés (Administration/Pédagogie).
Utilisation des logiciels libres (GPL).
Respect des contraintes légales
(Propriété intellectuelle, Droit des Personnes et des
Enfants).
Réalisation modulaire, donc évolutive et ouverte sur
les standards du marché.
Facilité de mise en œuvre et de déploiement.
Administration à distance.
–
–
–
–
–
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
➢
Construction modulaire
Module disponible
Pare-Feu: AMON 1.5 (mandriva)
Pare-Feu: AMON 2.0 (ubuntu)
Concentrateur VPN Académique: SPHYNX 2.0
Gestion centralisée des serveurs: ZEPHIR 2.0
HORUS: serveur administratif (1.5 ou 2.0)
Serveur pédagogique Annuaire Messagerie: SCRIBE
Surveillance IDS Snort: PRELUDEMANAGER
Supervision en complément de Zephir: SENTINELLE
Centralisation des Logs: ZEPHIRLOGS
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
Module Eole, même cdrom
pour tous les modules
+
ET
=
Machine Cible
BOOT CD
Choix du module
Serveur
Installé
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
➢
Module Pare-Feu : AMON
● Passerelle de sécurité qui permet de créer un
Intranet sécurisé dans l'établissement.
● Installé sur un serveur dédié (UC seulement)
● Il n'assure que des fonctions liées à la sécurité
Pédagogie
INTERNET
INTRANET Etablissement
Administration
DMZ
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
➢
fonctionnalités du serveur Amon VPN :
–
Routage avancé (route –n)
–
Filtrage adresse IP
–
Contrôle utilisation Internet
–
Outil d'administration simplifié (EAD & EAD2)
–
Contrôle à distance (ssh, EAD et EAD2)
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
➢
fonctionnalités du serveur Amon :
–
–
Routage avancé
●
Partage de ressources et de bande passante
●
Translation d'adresse de source et de destination
●
Réseau virtuel privé (IpSec+Certificats PKI) vers Rectorat
Filtrage adresse IP
●
Vis à vis de l’extèrieur.
●
Entre les trois sous réseaux.
●
Entre l’établissement et le réseau Académique par VPN.
●
IPTABLE permet de construire un firewall 'StateFull‘
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
➢
fonctionnalités du serveur Amon :
–
–
Contrôle utilisation Internet :
●
Service de Cache Web.
●
Authentification des utilisateurs par sso
●
Filtrage de site.
●
Suivi détaillé de la navigation Web
●
Journalisation pour contrôle à posteriori.
●
Statistiques Hebdomadaires.
Outil d'administration simplifié (EAD et EAD2).
●
Pas besoin de connaître linux
René GOMEZ DIASER Montpellier
Ensemble Ouvert Libre Evolutif.
René GOMEZ DIASER Montpellier
Nouveautés Amon NG
-Forward DNS sélectif par zone de destination et possibilité d'être ou non
master d'une zone.
-Forward DNS général plus obligatoire (pour permettre la résolution des
in.*)
-Gestion de plusieurs caches pères en fonction de la zone de destination.
-Authentification Ntlm.
-Support DHCP (sur l'interface externe)
-Relais DHCP entre zones.
-Gestion des Vlans.
-Ead#2 multi utilisateurs.
-Interdiction de Destination via l'Ead.
-Mode 'safe' ' (non affichages des images et urls interdites) pour les moteurs
de recherches (Avant c'était juste pour le domaine Google.fr)
-Mode liste blanche - Mode 'Tout interdit sauf' pour certains utilisateurs.
René GOMEZ DIASER Montpellier
Migration 1.5 vers Amon NG
1) Sur Zephir préparer la migration de 1.5 vers 2.0
2) Installation du module AMON NG (Attention : Avant la
réinstallation du module, il faut penser à sauvegarder les logs
sur AMON 1.5!)
installer le dernier client zephir (sur clé usb ou cdrom)
dpkg –i zephir-client_2.0-eole79-all.deb
Lancer enregistrement_zephir et suivre la procédure de
récupération de la migration préparée sur Zephir (Utilisation
du même identifiant de serveur Zephir)
Puis instance zephir.eol.
Maj-Auto –E
reconfigure
reboot
René GOMEZ DIASER Montpellier
Configuration AMON
➢
gen_config qui va créer deux fichiers /etc/eole/dico.eol et
/root/zephir.eol à partir de /etc/eole/dictionnaire
➢
instance zephir.eol pour instancier tout le système. Si
RVP le programme vous demandera la disquette générée
sur Sphynx. Crée un fichier /etc/eole/config.eol qui sera
utilisé par reconfigure
➢
diagnose pour vérifier la totalité des paramètres
➢
gen_patch permet de finaliser les paramètres
acadèmiques. Pour cela copier dans /etc/eole/modif les
fichiers personnalisés avant de lancer le gen_patch
René GOMEZ DIASER Montpellier
modèles pare feu avec NG
➢
➢
➢
➢
➢
Modèle 3 cartes (sans DMZ) UNE IP publique
3zonesv4.xml
Modèle 4 cartes dmz publique ce qui permet de
voir 3 serveurs de l ’extérieur 4zonesv4.xml
les modèles se trouvent dans
/usr/share/era/modeles/*.xml
Peu de cas particuliers
ne pas modifier les autres modèles mais utiliser
l’éditeur ERA
René GOMEZ DIASER Montpellier
prélude
René GOMEZ DIASER Montpellier
général
René GOMEZ DIASER Montpellier
services
René GOMEZ DIASER Montpellier
Interface-ext
René GOMEZ DIASER Montpellier
Interface-2
René GOMEZ DIASER Montpellier
Interface-3
René GOMEZ DIASER Montpellier
Scribe-dmz
René GOMEZ DIASER Montpellier
Zone-dns
René GOMEZ DIASER Montpellier
montpellier4zones
René GOMEZ DIASER Montpellier
La sécurité AMON
➢
AMON doit être dans un local accès limité
➢
Un onduleur est recommandé
➢
Le mot de passe de root pour les services
académiques seulement (PassEtabv2).
➢
Les comptes amon ou admin pour EAD#1 pour
mise à jour et interrogations locales dans
l ’établissement.
➢
Bientôt EAD#2 avec SSO sur LDAP
➢
Ports ouverts 22, 4200, 4201, 4202, 8501, 8502 et
44123 pour administration académique distante
René GOMEZ DIASER Montpellier
Postes clients
➢
Modification adresse IP machine
➢
Masque de réseau
➢
Adresse de la passerelle (Admin ou Pedago)
➢
Configuration du DNS (IP et nom du domaine)
➢
Pas besoin du proxy sur le navigateur, sauf pour
https).
René GOMEZ DIASER Montpellier
Quelques outils
➢
Snort -dvi ethx détection d ’intrusion
➢
iptraf analyse trafic réseau
➢
Chkrootkit voir si un rootkit est installé
➢
https://ip-serveur:8501/stats/fwlogwatch pour
générer un rapport hebdo des fichiers de log
➢
horaires ouverture et fermeture modifiables
➢
interdire un utilisateur ou une adresse IP
➢
Filtres de navigation DansGuardian et filtrage
protocoles internet (pop, smtp, forums, ftp..)
René GOMEZ DIASER Montpellier
IPTABLES
Le noyau contient à la base trois listes de règles dans la table `filter';
ces listes sont appelées chaînes du firewall.
Les trois chaînes sont appelées INPUT, OUTPUT et FORWARD.
_____
Entrée
/
\
Sortie
-->[Décision]--->|FORWARD|------->
[de routage]
\_____/
^
|
|
v
____
___
/
\
/
\
|OUTPUT|
|INPUT|
\____/
\___/
^
|
|
---->Processus local ----
René GOMEZ DIASER Montpellier
AMON 2.0
➢
Zephir pour superviser les AMON
➢
Ne jamais modifier une disquette PKI
➢
Haute disponibilité sur 2 SPHYNX
➢
Standardisation des modèles de pare feu 3zonesv4 et 4zonesv4.
➢
adresse DMZ1: www.lyc- avec comme alias ftp ports 20 21 22 80 443 8501
44123 et 49300
➢
adresse DMZ2: notes.lyc- avec comme alias edt, moliere et campus ports
20 21 22 80 443 8501 44123 et 49300
➢
adresse DMZ3: courrier.lyc- avec comme alias smtp, pop et webmail 20 21
22 25 80 110 143 443 8501 44123 et 49300
➢
adresse DMZ4: pour la visio tous les ports sont ouverts sur la machine en
10.2dept.num.5 dans les 2 sens.
René GOMEZ DIASER Montpellier
➢
➢
➢
➢
➢
➢
➢
➢
➢
➢
Conclusions
Internet -> admin et pédago tout est fermé (sauf retour
connexion et ip cria maintenance AMON et HORUS et
MATICE vers serveur pédago)
Internet -> dmz tout est fermé sauf port ouverts sur les 3
serveurs (voir liste)
admin -> pédago tout est ouvert
admin -> dmz tout est ouvert
admin -> internet tout est ouvert
pédago -> admin tout est fermé (sauf retour connexion)
pédago -> dmz tout est ouvert
pédago -> internet tour est ouvert
dmz -> admin et -> pédago tout est fermé (sauf retour
connexion)
dmz -> internet tout est ouvert
René GOMEZ DIASER Montpellier
Les évolutions d’AMON
➢
➢
➢
➢
➢
➢
➢
➢
➢
➢
➢
Remonter les logs sur le Rectorat pour archive avec ZephirLogs de
toutes les passerelles.
Intégration NuFW et Prélude
Installation d’un serveur Sentinelle et PréludeManager
Intégration de Qos ou Cos pour visio
Supprimer quelques modifications locales car elles sont intégrées au
fur et à mesure sur les distributions.
Diffuser le nouvel outil de diagnostic réseau
Gestion du filtrage (ip) par groupe de machine.
Gestion du filtrage de contenu par groupe d'utilisateurs.
Imports de listes de sites.
Intégration de l'antivirus avec le proxy
Gestion de plusieurs routeurs en sortie.
René GOMEZ DIASER Montpellier