Un article de EoleWiki.

Sommaire 1 Scribe dans une DMZ avec Amon 1.1 Explications 1.2 Installation manuelle 1.3 Facilité Eole 1.3.1 Amon NG 1.3.2 Amon 1.5 1.3.3 Après mise à jour d'Amon 1.3.4 Sur Zephir 1.3.5 Utilisation

Scribe dans une DMZ avec Amon

Ceci est valable pour Scribe-1.0 et ScribeNG (2.0, 2.1, 2.2)

Explications

L'installation de Scribe et plus largement des serveurs pédagogiques dans une DMZ permet de les isoler d'attaques provenant de l'intérieur (ex. services saturés par un virus utilisant le broadcast), et de les placer dans une zone ou l'accès aux autres zones de l'établissement doit être explicitement autorisé.

L'utilisation d'une DMZ vise aussi à faciliter l'ouverture des services Scribe sur Internet :

• accès FTP au répertoire personnel
• service WEB
  • Messagerie
  • SPIP/Eva
  • GIBII

Installation manuelle

Pour permettre un bon fonctionnement du Scribe dans une DMZ, certains ports demandent à être ouvert. Ces ports servent à la communication du serveur avec les stations clientes, pour le protocol Samba et pour le service Scribe :

• 137-139 (tcp/udp) : Samba
• 445 (tcp)  : Samba
• 8788 (tcp)  : service Scribe

Par défaut sur Amon, une dmz peut se connecter sur Internet. Il faut cependant NATer le traffic. Si la communication entre la DMZ et l'extérieur est fermée, les ports à ouvrir sont :

• vers Zephir :
  • 22 (tcp)
  • 7080 (tcp)
  • 8090 (tcp)

• vers le serveur de mise à jour :
  • 80 (tcp)

• permettre l'accès sur tous les ports à :
  • database.clamav.net
  • cvd.clamav.net

Si vous voulez pouvoir accéder au Scribe depuis l'extérieur sur le web et le ftp, il faut rediriger la connection faite sur les ports 21 et 443 (http sécurisé) depuis l'extérieur sur Amon, sur le Scribe en renseignant les mêmes ports. Pour plus de détails sur la création de modèles de parefeu : Documentation Era

Facilité Eole

Amon intègre désormais un modèle 4zones-scribe et un dictionnaire additionnel scribe-dmz_dico.eol. Ces fichiers sont à utiliser de la façon suivante :

Amon NG

Lors de la configuration du serveur ('gen_config'), choisir le modèle "4zones-scribe" puis sélectionner "Oui" pour l'item "Activer la gestion d'un Scribe dans la DMZ". Un onglet supplémentaire apparait permettant de saisir les informations nécessaires au bon fonctionnement d'un Scribe dans la DMZ et de client situés sur le réseau pédagogique.

Amon 1.5

Sur un parefeu Amon-1.5 (4 cartes réseau) nouvellement installé :

• AVANT la génération de la configuration Amon (./gen_dico), copier le fichier scribe-dmz_dico.eol dans /etc/eole/dicos/ :

cp -f scribe-dmz_dico.eol /etc/eole/dicos/

• Configurez Amon

./gen_dico

• • Choisissez le modèles 4zones-scribe

Nom du modele de parefeu (3zones, 4zones, 4zones-scribe)

• • A la fin trois questions supplémentaires

Adresse IP Scribe sur DMZ
Nom du Scribe sur DMZ (pour ajout DNS)
Activer relayage dhcp de pedago->scribe dmz (oui/non)

• Instanciez Amon

./instance-amon zephir.eol

Après mise à jour d'Amon

Sur un parefeu Amon déjà installé et possédant déjà une DMZ (4 cartes réseau) :

• Copiez le fichier scribe-dmz_dico.eol dans /etc/eole/dicos/ :

cp -f scribe-dmz_dico.eol /etc/eole/dicos/

• Configurez Amon en repartant des anciennes valeurs

./gen_config (différent de ./gen_dico)

• • Choisissez le modèles 4zones-scribe

Nom du modele de parefeu (3zones, 4zones, 4zones-scribe)

• • A la fin trois questions supplémentaires

Adresse IP Scribe sur DMZ
Nom du Scribe sur DMZ (pour ajout DNS)
Activer relayage dhcp de pedago->scribe dmz (oui/non)

• Instanciez Amon

./instance-amon zephir.eol

Sur Zephir

Créez une variante intégrant le dictionnaire additionnel scribe-dmz_dico.eol et appliquez là à chaque Amon nécessitant la modification. Ensuite éditez la configuration du serveur Amon pour renseigner les valeurs supplémentaires :

• nom du modele : 4zones-scribe
• IP du Scribe
• Nom du Scribe
• Activer le relayage DHCP (oui/non)

Il est impératif que l'Amon soit à jour pour utiliser le modele 4zones-scribe.

OU

Ajoutez un dictionnaire personnalisé directement sur un serveur. Récupérez le dictionnaire scribe-dmz_dico.eol (dans /root sur Amon), allez dans la page d'état du serveur Amon à modifier :

• voir les fichiers personnalisés => dictionnaires additionnels

puis éditez la configuration

• zephir.eol [modifier/générer]

Utilisation

Le relayage du DHCP sera assuré entre Scribe et le réseau pédagogique. Un patch sur le fichier dhcpd.conf reste pour l'instant nécessaire pour prendre en compte un sous-réseau supplémentaire (le réseau pédago).

Le modèle 4zones-scribe ouvre les ports nécessaires entre la DMZ et le réseau pédagogique :

• 137-139 (tcp/udp) : Samba
• 445 (tcp)  : Samba
• 8788 (tcp)  : service Scribe
• 5800/5900 (tcp)  : VNC

Il permet aussi d'ouvrir/fermer l'accès à Scribe depuis l'extérieur via une règle optionnelle disponible dans l'EAD d'Amon (fermé par défaut).

Cette règle redirige les ports 20/21 (ftp) et 443 (https) pour un accès à Scribe depuis Internet. Désactivée par défaut, elle est disponible dans :

• EAD Amon => "services" => "sécurité personnalisée" => "Ouvrir SCRIBE sur internet"