Configuration du module Amon avec le module Scribe en DMZ

L'installation d'un module Scribe et plus généralement de serveurs pédagogiques dans une DMZ[1] permet de les isoler d'attaques provenant de l'intérieur (par exemple des services saturés par un virus utilisant le broadcast[2]) et de les placer dans une zone où l'accès aux autres réseaux de l'établissement doit être explicitement autorisé.

L'utilisation d'une DMZ vise également à faciliter l'ouverture de services sur Internet, et notamment les services web (portail de l'établissement, messagerie, logiciels de vie scolaire, ...) et l'accès FTP.

Diagramme d'une DMZ
Diagramme d'une DMZ

Ports à ouvrir

Pour permettre un bon fonctionnement du serveur Scribe dans une DMZ, certains ports demandent à être ouverts.

Ces ports servent à la communication entre le serveur et les stations clientes, notamment pour le protocole Samba et pour le service Scribe (client Scribe) :

  • 137-139 (TCP/UDP) : Samba ;
  • 445 (TCP) : Samba ;
  • 8788 (TCP) : service Scribe (client Scribe) ;
  • 5800/5900 (TCP) : VNC.

Par défaut, sur le module Amon, une DMZ peut se connecter sur Internet.

Il faut cependant faire de la traduction d'adresse réseau (NAT[3]) pour assurer le trafic.

Si la communication entre la DMZ et l'extérieur est fermée, les ports à ouvrir sont :

  • pour le serveur Zéphir : 22 (TCP), 7080 (TCP) et 8090 (TCP) ;
  • pour les serveurs mises à jour : 80 (TCP) ;
  • pour les bases de données antivirales : tous les ports vers les adresses database.clamav.net et cvd.clamav.net

Pour pouvoir accéder au serveur Scribe depuis l'extérieur par le web et par le FTP, il faut rediriger la connexion effectuée sur les ports 21 et 443 (HTTP sécurisé) depuis l'extérieur sur le serveur Amon vers le serveur Scribe.

Configuration automatique

Par défaut, le module Amon propose des modèles de pare-feu facilitant la mise en place d'un serveur Scribe en DMZ. Pour configurer le pare-feu, il faut dans l'onglet Firewall, choisir un Modèle de filtrage compatible :

  • 3zones-dmz : gestion d'une zone pedago sur l'interface 1 et d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 2 ;

  • 4zones : gestion d'une zone admin sur l'interface 1, d'une zone pedago sur l'interface 2 et d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 3 ;

  • 5zones : gestion d'une zone admin sur l'interface 1, d'une zone pedago sur l'interface 2, d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 3 et d'une zone DMZ privée sur l'interface 4.

Complément

Le modèle de zones proposées correspond à un modèle de filtrage ERA. Les modèles de filtrage ERA sont la description de pare-feu enregistrés dans des fichiers XML situés par défaut dans le répertoire /usr/share/era/modeles/.

Truc & astuce

Avec ERA il est possible de créer un nouveau modèle personnalisé dans le répertoire /usr/share/era/modeles/. Celui-ci apparaîtra dans la liste des modèles proposés par défaut.

Ces modèles requièrent que le serveur Scribe soit déclaré au niveau du module Amon.

Pour se faire, dans l'onglet Firewall en mode normal ou expert, il faut répondre oui à la question Activer la gestion d'un Scribe dans la DMZ.

Cela entraîne l'apparition de nouvelles variables permettant de déclarer le nom et l'adresse IP du module Scribe.

Attention

Si le module Scribe offre un service DHCP pour le réseau pédagogique, il faudra activer et configurer le relai du DHCP entre ce serveur et le réseau pédagogique.