Onglet Firewall [Installation et mise en œuvre du module AmonEcole ]

Onglet Firewall

Modèle de filtrage

Le modèle de filtrage doit être choisi en fonction du nombre d'interfaces activées et des services que l'on souhaite mettre en place.

Par convention, le premier caractère des modèles de filtrage proposés est un chiffre qui correspond au nombre d'interfaces désirées.

Les modèles de zone par défaut proposés supportent jusqu'à 5 cartes réseau :

2zones : gestion d'une zone admin ou pedago sur l'interface 1 ;
2zones-amonecole : modèle spécifique au module AmonEcole (pedago sur l'interface 1) ;
3zones : gestion d'une zone admin sur l'interface 1 et d'une zone pedago sur l'interface 2 ;
3zones-dmz : gestion d'une zone pedago sur l'interface 1 et d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 2 ;
4zones : gestion d'une zone admin sur l'interface 1, d'une zone pedago sur l'interface 2 et d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 3 ;
5zones : gestion d'une zone admin sur l'interface 1, d'une zone pedago sur l'interface 2, d'une zone DMZ publique pouvant accueillir un module Scribe sur l'interface 3 et d'une zone DMZ privée sur l'interface 4.

Complément

Chaque modèle de zone proposé correspond à un modèle de filtrage ERA. Les modèles de filtrage ERA sont la description de pare-feu enregistrés dans des fichiers XML situés par défaut dans le répertoire /usr/share/era/modeles/.

Truc & astuce

Avec ERA il est possible de créer un nouveau modèle personnalisé dans le répertoire /usr/share/era/modeles/. Celui-ci apparaîtra dans la liste des modèles proposés par défaut.

Déclaration d'un module Scribe en DMZ

La variable Activer la gestion d'un Scribe dans la DMZ permet la prise en charge par bastion^[1] des règles propres à la DMZ^[2].

Exemple

Si l'on souhaite mettre en place l'architecture suivante avec Amon :

un réseau administratif ;
un réseau pédagogique ;
une DMZ contenant un serveur Scribe hébergeant des services web à ouvrir depuis l'extérieur.

La configuration recommandée sera :

Nombre d'interfaces à activer : 4 (onglet Général en mode basique) ;
Modèle de filtrage : 4zones (onglet Firewall en mode basique) ;
Activer la gestion d'un Scribe dans la DMZ : oui (onglet Firewall en mode normal).

Interdire des accès réseaux

Par défaut, l'accès à des réseaux extérieurs pour des réseaux autres que l'interface 1 (l'interface 1 étant généralement admin) n'est pas interdit.

Si on passe l'option Interdire les interfaces autres que 1 à accéder à des réseaux extérieurs à oui, il est possible d'interdire l'accès

pour la ou les adresse(s) réseau et le ou les masque(s) souhaités.

Pour les réseaux RVP, il est habituel de ne pas conserver les données téléchargées par les utilisateurs dans le cache du proxy. C'est pour cela que l'option Désactiver le cache du proxy pour les accès à ce réseau est à oui par défaut. Cela signifie qu'en cas de téléchargement de page web, d'image, ... ces informations seront automatiquement re-téléchargées depuis le site source plutôt que conservées dans le cache du proxy.

Enfin, l'option En plus de l'interdiction proxy, interdire tous les protocoles permet de bloquer, via des règles iptables tout accès à ces réseaux.

Références

bastion

bastion est un service qui récupère les règles par défaut des zones réseaux utilisées par le module ainsi que toutes les règles personnalisées :

les règles optionnelles de l'EAD ;
les postes et les groupes de postes interdits ou restreints dans l'EAD ;
les règles sur les horaires de l'EAD ;
les règles ipsets (exceptions sur une directive) ;
les règles de la QOS ;
les règles tcpwrapper (host allow et hosts deny).

Le service bastion gère également les règles iptables dans les conteneurs lorsque le module en est pourvu.

La liste des actions du service se trouve dans le script /usr/share/era/bastion.sh.

Le service bastion met en cache les règles mais ne les régénère pas à chaque fois.

À partir de la version 2.6.1, seules les commandes reconfigure et bastion regen régénèrent les règles.

DMZ

Demilitarized Zone

En informatique, une zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet. Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Les services susceptibles d'être accédés depuis Internet seront situés en DMZ. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

Source Wikipédia : http://fr.wikipedia.org/wiki/Zone démilitarisée (informatique)