Configuration du module Amon avec le module Scribe en DMZ
L'installation d'un module Scribe et plus généralement de serveurs pédagogiques dans une DMZ[1] permet de les isoler d'attaques provenant de l'intérieur (par exemple des services saturés par un virus utilisant le broadcast[2]) et de les placer dans une zone où l'accès aux autres réseaux de l'établissement doit être explicitement autorisé.
L'utilisation d'une DMZ vise également à faciliter l'ouverture de services sur Internet, et notamment les services web (portail de l'établissement, messagerie, logiciels de vie scolaire, ...) et l'accès FTP.
Ports à ouvrir
Pour permettre un bon fonctionnement du serveur Scribe dans une DMZ, certains ports demandent à être ouverts.
Ces ports servent à la communication entre le serveur et les stations clientes, notamment pour le protocole Samba et pour le service Scribe (client Scribe) :
- 137-139 (TCP/UDP) : Samba ;
- 445 (TCP) : Samba ;
- 8788 (TCP) : service Scribe (client Scribe) ;
- 5800/5900 (TCP) : VNC.
Par défaut, sur le module Amon, une DMZ peut se connecter sur Internet.
Il faut cependant faire de la traduction d'adresse réseau (NAT[3]) pour assurer le trafic.
Si la communication entre la DMZ et l'extérieur est fermée, les ports à ouvrir sont :
- pour le serveur Zéphir : 22 (TCP), 7080 (TCP) et 8090 (TCP) ;
- pour les serveurs mises à jour : 80 (TCP) ;
- pour les bases de données antivirales : tous les ports vers les adresses
database.clamav.net
etcvd.clamav.net
Pour pouvoir accéder au serveur Scribe depuis l'extérieur par le web et par le FTP, il faut rediriger la connexion effectuée sur les ports 21 et 443 (HTTP sécurisé) depuis l'extérieur sur le serveur Amon vers le serveur Scribe.
Configuration automatique
Par défaut, le module Amon propose des modèles de pare-feu facilitant la mise en place d'un serveur Scribe en DMZ. Pour configurer le pare-feu, il faut dans l'onglet Firewall
, choisir un Modèle de filtrage
compatible :
3zones-dmz : gestion d'une zone pedago sur eth1 et d'une zone DMZ publique pouvant accueillir un module Scribe sur eth2 ;
4zones : gestion d'une zone admin sur eth1, d'une zone pedago sur eth2 et d'une zone DMZ publique pouvant accueillir un module Scribe sur eth3 ;
5zones : gestion d'une zone admin sur eth1, d'une zone pedago sur eth2, d'une zone DMZ publique pouvant accueillir un module Scribe sur eth3 et d'une zone DMZ privée sur eth4.
Complément
Le modèle de zones proposées correspond à un modèle de filtrage ERA. Les modèles de filtrage ERA sont la description de pare-feu enregistrés dans des fichiers XML situés par défaut dans le répertoire /usr/share/era/modeles/
.
Truc & astuce
Avec ERA il est possible de créer un nouveau modèle personnalisé dans le répertoire /usr/share/era/modeles/
. Celui-ci apparaîtra dans la liste des modèles proposés par défaut.
Ces modèles requièrent que le serveur Scribe soit déclaré au niveau du module Amon.
Pour se faire, dans l'onglet Firewall
en mode normal ou expert, il faut répondre oui
à la question Activer la gestion d'un Scribe dans la DMZ
.
Cela entraîne l'apparition de nouvelles variables permettant de déclarer le nom et l'adresse IP du module Scribe.
Attention
Si le module Scribe offre un service DHCP pour le réseau pédagogique, il faudra activer et configurer le relai du DHCP entre ce serveur et le réseau pédagogique.