Les zones de sécurité
Présentation
L'éditeur ERA est un outil de conception par zones[1]. Une zone[1] correspond physiquement à une carte réseau. Cela permet de découper le parc de machines en réseau ou sous-réseau.
Le pare-feu lui-même étant une zone à part, appelée par convention bastion
.
Les zones sont ensuite ordonnées par niveau de sécurité[2] sous forme d'entiers de 0 à 100.
100 est le niveau de sécurité maximal et correspond à la zone bastion
. Cela permet de "cartographier" tout le réseau.
Par convention, le niveau de sécurité le plus faible de toutes les zones est affecté à la zone "extérieur".
Les machines de la zone ont un accès complet aux zones de niveau inférieur et aucun accès à celles de niveau supérieur.
Une zone correspond à un réseau et dans cette zone, on retrouve des sous-réseaux et des machines, correspondant à la notion d'extrémité[3] utilisée dans ERA.
Une extrémité est un sous-ensemble d'une zone :
Elle est définie par un ensemble d'adresses IP ou une adresse réseau.
Elle hérite du niveau de sécurité de la zone à laquelle elle appartient.
Ajouter une zone
Il est possible à tout moment, même après la conception initiale du modèle, d'ajouter une zone de sécurité. L'ajout d'une zone de sécurité se fait en cliquant sur le bouton Ajouter Zone
de la barre d'icônes.
Les cases des noms des zones sont cliquables.
Un clic droit dans une case des noms de zones permet d'afficher les zones ainsi que les extrémités[3] qui y sont associées.
Truc & astuceles trigrammes (préfixes) de zones
Dans le choix des noms de zone :
les trois premières lettres (trigramme) du nom de la zone sont discriminantes, par exemple :
statistique
etstation
sont des noms de zone incompatibles (c'est la même zonesta
) ;le mot clef
bastion
est réservé (pour la zone du bastion lui-même) ;le mot clef
extérieur
est également réservé (pour la zone extérieure, internet).
Conseilla gestion des VLAN
Une zone peut aussi représenter un VLAN.
C'est une bonne pratique de créer une nouvelle zone pour gérer un VLAN.
Il n'est pas possible de créer une zone pour tous les VLAN.
S'il y en a plusieurs il faut les créer un à un manuellement.
Truc & astuceSyntaxe Creole pour la création des VLAN
Il est fréquent que les valeurs des IP des VLAN soient stockées dans une variable Creole, et que cette variable soit multiple (une variable multiple au sens Creole est une variable qui contient une liste de valeurs). Il faut alors manier correctement la syntaxe Creole pour créer une zone de VLAN.
Exemple Exemple de création d'un VLAN de eth1
Dans la widget de création d'une zone, il faut mettre une IP et un netmask variable :
ip variable : %%id_vlan_eth1[0].adresse_ip_vlan_eth1
netmask variable :
%%id_vlan_eth1[0].adresse_netmask_vlan_eth1
Ajouter une extrémité
La liste des extrémités est disponible dans le menu bibliothèque
/ extrémités
.
Il est également possible de lister les extrémités d'une zone, en cliquant droit sur le bouton de la zone et en sélectionnant voir la liste des extrémités
.
Pour créer une nouvelle extrémité, faire un clic droit dans la zone dans laquelle vous voulez l'inclure. Ensuite, choisir définir un ensemble de machines
ou définir un sous-réseau
suivant que vous voulez inclure un groupe d'IP ou un sous-réseau.
Attention
Les alias IP doivent être gérés comme des extrémités et non comme une zone : un alias n'est pas une zone.
Pour ajouter une extrémité de type alias, il faut spécifier le type "alias" dans l'éditeur d'extrémité :
Il est fréquent que les valeurs des IP des alias soient stockées dans une variable Creole, et il est fréquent aussi que cette variable soit multiple (une variable multiple au sens Creole est une variable qui contient une liste de valeurs). Il faut alors manier correctement la syntaxe Creole pour créer une extrémité qui est un alias.
Dans la widget de création d'une extrémité, il faut alors mettre une IP et un netmask variable.
Dans la zone correspondant à la carte, créer une extrémité (clic droit sur la case de la zone).
Exemple
Un alias de eth2 doit être créé de la façon suivante :
ip variable : %%alias_ip_eth2[0]
network variable : %%alias_network_eth2[0]
Il sera possible ensuite de créer une directive avec cette extrémité plutôt qu'avec l'extrémité correspondant à l'IP de la zone elle-même.
AttentionLes mauvaises fausses bonnes idées pour créer un alias
- créer une zone supplémentaire avec une carte eth0:X ;
- aller de suite dans les inclusions statiques ;
utiliser la variable eth0 de Creole comme IP multivaluée.
Les extrémités de type conteneur
Il est possible également de créer une extrémité dans la zone bastion. Dans la zone bastion il y a depuis la version 2.4 un nouveau type d'extrémité, le type conteneur. Ce type d'extrémité permet de créer des directives à destination des conteneurs (directives de type INPUT).
Une extrémité de type conteneur est à destination du conteneur. Elle nécessite deux informations : le nom de l'interface (typiquement : "br0", "eth1", ... ), et le nom du conteneur (typiquement : "bdd", "internet"...)