Les zones de sécurité

Sommaire
  1. Présentation
  2. Ajouter une zone
  3. Ajouter une extrémité

Présentation

L'éditeur ERA est un outil de conception par zones[1]. Une zone[1] correspond physiquement à une carte réseau. Cela permet de découper le parc de machines en réseau ou sous-réseau.

Le pare-feu lui-même étant une zone à part, appelée par convention bastion.

Les zones sont ensuite ordonnées par niveau de sécurité[2] sous forme d'entiers de 0 à 100.

100 est le niveau de sécurité maximal et correspond à la zone bastion. Cela permet de "cartographier" tout le réseau.

Par convention, le niveau de sécurité le plus faible de toutes les zones est affecté à la zone "extérieur".

Les machines de la zone ont un accès complet aux zones de niveau inférieur et aucun accès à celles de niveau supérieur.

Les niveaux de sécurités des différentes zones (vue centrée sur le bastion)
Les niveaux de sécurités des différentes zones (vue centrée sur le bastion)

Une zone correspond à un réseau et dans cette zone, on retrouve des sous-réseaux et des machines, correspondant à la notion d'extrémité[3] utilisée dans ERA.

Une extrémité est un sous-ensemble d'une zone :

  • Elle est définie par un ensemble d'adresses IP ou une adresse réseau.

  • Elle hérite du niveau de sécurité de la zone à laquelle elle appartient.

Ajouter une zone

Il est possible à tout moment, même après la conception initiale du modèle, d'ajouter une zone de sécurité. L'ajout d'une zone de sécurité se fait en cliquant sur le bouton Ajouter Zone de la barre d'icônes.

Ajouter une zone au tableau des flux
Ajouter une zone au tableau des flux

Les cases des noms des zones sont cliquables.

Un clic droit dans une case des noms de zones permet d'afficher les zones ainsi que les extrémités[3] qui y sont associées.

Fenêtre d'édition de zone
Fenêtre d'édition de zone

Truc & astuceles trigrammes (préfixes) de zones

Dans le choix des noms de zone :

  • les trois premières lettres (trigramme) du nom de la zone sont discriminantes, par exemple : statistique et station sont des noms de zone incompatibles (c'est la même zone sta) ;

  • le mot clef bastion est réservé (pour la zone du bastion lui-même) ;

  • le mot clef extérieur est également réservé (pour la zone extérieure, internet).

Conseilla gestion des VLAN

Une zone peut aussi représenter un VLAN.

C'est une bonne pratique de créer une nouvelle zone pour gérer un VLAN.

Il n'est pas possible de créer une zone pour tous les VLAN.

S'il y en a plusieurs il faut les créer un à un manuellement.

Truc & astuceSyntaxe Creole pour la création des VLAN

Il est fréquent que les valeurs des IP des VLAN soient stockées dans une variable Creole, et que cette variable soit multiple (une variable multiple au sens Creole est une variable qui contient une liste de valeurs). Il faut alors manier correctement la syntaxe Creole pour créer une zone de VLAN.

Exemple Exemple de création d'un VLAN de l'interface 1

Dans la widget de création d'une zone, il faut mettre une IP et un netmask variable :

ip variable : %%id_vlan_eth1[0].adresse_ip_vlan_eth1

netmask variable : %%id_vlan_eth1[0].adresse_netmask_vlan_eth1

Ajouter une extrémité

La liste des extrémités est disponible dans le menu bibliothèque / extrémités.

Il est également possible de lister les extrémités d'une zone, en cliquant droit sur le bouton de la zone et en sélectionnant voir la liste des extrémités.

Liste des extrémités
Liste des extrémités

Pour créer une nouvelle extrémité, faire un clic droit dans la zone dans laquelle vous voulez l'inclure. Ensuite, choisir définir un ensemble de machines ou définir un sous-réseau suivant que vous voulez inclure un groupe d'IP ou un sous-réseau.

Un clic droit sur le nom d'une zone affiche le menu contextuel relatif à cette zone
Un clic droit sur le nom d'une zone affiche le menu contextuel relatif à cette zone
Ajout d'une extrémité dans le cas d'une liste de machines
Ajout d'une extrémité dans le cas d'une liste de machines
Ajout d'une extrémité de type sous réseau
Ajout d'une extrémité de type sous réseau

Attention

Les alias IP doivent être gérés comme des extrémités et non comme une zone : un alias n'est pas une zone.

Pour ajouter une extrémité de type alias, il faut spécifier le type "alias" dans l'éditeur d'extrémité :

Il est fréquent que les valeurs des IP des alias soient stockées dans une variable Creole, et il est fréquent aussi que cette variable soit multiple (une variable multiple au sens Creole est une variable qui contient une liste de valeurs). Il faut alors manier correctement la syntaxe Creole pour créer une extrémité qui est un alias.

Dans la widget de création d'une extrémité, il faut alors mettre une IP et un netmask variable.

Dans la zone correspondant à la carte, créer une extrémité (clic droit sur la case de la zone).

Exemple

Un alias de l'interface 2 doit être créé de la façon suivante :

ip variable : %%alias_ip_eth2[0]

network variable : %%alias_network_eth2[0]

Il sera possible ensuite de créer une directive avec cette extrémité plutôt qu'avec l'extrémité correspondant à l'IP de la zone elle-même.

AttentionLes mauvaises fausses bonnes idées pour créer un alias

  • créer une zone supplémentaire avec une carte eth0:X ;
  • aller de suite dans les inclusions statiques ;

  • utiliser la variable eth0 de Creole comme IP multivaluée.

Les extrémités de type conteneur

Il est possible également de créer une extrémité dans la zone bastion. Dans la zone bastion il y a depuis la version 2.4 un nouveau type d'extrémité, le type conteneur. Ce type d'extrémité permet de créer des directives à destination des conteneurs (directives de type INPUT).

Une extrémité de type conteneur est à destination du conteneur. Elle nécessite deux informations : le nom de l'interface (typiquement : "br0", "eth1", ... ), et le nom du conteneur (typiquement : "bdd", "internet"...)