===
ERA
===

application graphique de gnration de rgles de scurit


:date: 23 mars 2006, prsentation et prise en main
:version: era 1.2-dev
:site web: http://eole.orion.education.fr/

.. contents::
   :class: handout


 quoi a sert ?
================

Era se compose de deux parties :

.. class:: incremental

- le frontend, organise la politique de filtrage du pare-feu et l'enregistre dans un fichier XML.
- le backend, gnrant le script iptables  partir du fichier XML. 

.. class:: tiny

    
    Il permet de gnrer la
    description d'un pare-feu, sa politique gnrale de scurit et de la
    sauvegarder intgralement dans un seul fichier sous un format XML
    interne  l'application.


.. container:: handout


    .. note:: 
        
        Le backend peut tre classiquement install sur Amon, il peut aussi
        tre utilis depuis le frontend pour gnrer un script utilisable sur
        toute machine compatible iptables/netfilter.
            
        - format xml de description du pare-feu
        - modlisation pour amon
        - le gnrateur de rgles
        
        
        Ensuite, il est possible de gnrer  partir du fichier XML de
        description du pare-feu, un script de rgles iptables pour Netfilter
        de manire  implmenter ces rgles sur un pare-feu cible. 

.. footer:: version 1.2 | http://eole.orion.education.fr/


comment concevoir le pare-feu 
=============================

une modlisation du pare-feu permet d'ordonner des rgles en vue d'une cohrence globale de scurit

.. image:: modele.png
   :align: center
   :scale: 60

.. container:: handout


    .. note::

        - les zones et les flux    
        - l'orientation par flux

l'interface graphique
=====================

La fentre principale : les zones, et les flux qui les relient. 

.. image:: era.png
   :scale: 80
   :align: center

.. container:: handout

    .. note::

        - description de la fentre principale
        - les directives de scurit sont classes d'aprs leur origine et
          leur destination. 
	- mentionner qu'il y a deux cases par flux
        - un diteur orient flux de rgles
        - l'organisation des directives de scurit



orientation des flux
====================

.. class:: small

    pour le modle trois zones...

.. image:: montant_descendant.png
   :align: center


politique de scurit par dfaut
================================

.. class:: small

    ... ce qui est autoris et ce qui est interdit

.. image:: autorisation_interdiction.png
   :align: center


.. class:: handout
    
    Chaque zone est donc relie  une autre zone par des flux de
    rgles. Les **flux montants** concernent les interactions d'un niveau de
    scurit plus faible vers un niveau de scurit plus lev, et
    rciproquement pour les **flux descendants**.

rsum du  modle de scurit
=============================

Rcapitulatif des composants de la matrice de flux

.. class:: incremental

- les zones et les extrmits
- les flux 
- le tableau des flux et leur orientation
- les directives de scurit (montantes et descendantes)


l'diteur de directives
=======================


.. class:: tiny

   exemple : de la pdago vers l'extrieur, on ne peut qu'interdire


.. image:: editeur.png
   :align: center
   :scale: 80

.. container:: handout

    .. note:: 

        une directive est de type autorisation ou interdiction, mais
        a ne veut absolument pas dire qu'il y a des choses qu'on ne
        peut interdire ou autoriser ! Il suffit simplement de changer
        de case.


description d'une directive
===========================

.. class:: incremental

- les types de directives 

  - autorisation 
  - interdiction
  - redirection
  - snat, dnat

- les extrmits d'origine et de destination
- le service (ou groupe de services) qui y est associ

.. class:: tiny

    c'est au niveau de la directive que sont dfinies toutes les
    actions possibles (plages horaires, log...)

.. container:: handout

    .. note:: 

        ce qui est accessible  une directive (extrmits, services)
        doit tre dfini  l'extrieur.

intgration sur un amon
=======================

.. class:: incremental

- les variables crole sont accessibles
- les directives optionnelles (au niveau de l'ead)
- les directives caches et l'imbriquation de modles
- l'envoi d'un modle vers zephir

.. container:: handout

    .. note:: 

        - il est donc possible de concevoir un parc de pare-feu
          parfaitement maintenable
	- pas d'quivalent semble-t-il actuellement, mme dans
          le monde propritaire


fonctionnalits de bas niveau
=============================

- plages horaires
- logs
- inclusions statiques de rgles iptalbes
- netbios
- ...

.. container:: handout

    .. note:: 

        - on n'est donc jamais bloqu, il est toujours possible
          d'intervenir au plus bas niveau, sur le ``lance.firewall``

	- description rapide de l'arborescence amon (ce que fait le
          ``/usr/sbin/bastion restart`` ou le ``reconfigure``

	- les fichiers modles sont disponibles dans ``/usr/share/era/modles``

	- le rpertoire source est `/usr/share/eole/bastion/modeles` 

        - le fichier template est `/etc/eole/bastion.xml`, c'est une copie d'un des fichiers du rpertoire des modles 

        -  le fichier instanci est `/usr/share/eole/bastion/xml/bastion.xml`, c'est lui qui va servir pour la gnration de l'iptables. 

la suite : mise en pratique !
=============================

- des questions ? 
- ressources : site de diffusion eole, documentation utilisateur, la page era du wiki
- etape suivante : conception et design de pare-feu avec era
- merci...
