Project

General

Profile

Scénario #33295

Amon : Onglet RVP : Accès RVP par le proxy

Added by Laurent Couillaud almost 2 years ago. Updated almost 2 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Emmanuel GARETTE
Category:
-
Target version:
Distribution EOLE - Prestation Cadoles MEN 2021 46-49
Start date:
10/13/2021
Due date:
12/10/2021
% Done:

100%

Story points:
2.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
EOLE 2.8.1
Release relationship:
Auto

Description

Bonjour,
Serait-il possible de faire une évolution de la documentation du Amon concernant l'onglet RVP et la partie Accès RVP par le proxy.

Je pense qu'il manque une phrase du style: "Il faut déclarer tous les plans d'adressage réseaux qui sont derrière le VPN afin de sécurisé l'ensemble des sites disponible depuis votre académie."

Comme par défaut, les tunnels sont montés dans sphynx pour les réseaux 192.168.0.0/16, 10.100.0.0/16, 172.27.65.0/24, 172.27.66.0/24 et 172.27.67.0/24, il faut renseigné ces plages IP.

Pourquoi je fait cette demande ? Parce que ça fait des années que les configurations dans nos amons sont avec juste l'adresse 192.168.0.0/16 et qu'on a découvert que depuis le pédagogique ont arrivé à atteindre l'intranet de notre vice-rectorat.
C'est en faisant des essais sur notre maquette que j'ai compris comment fonctionné ce paramétrage et que donc qu'il manque une indication de sécurité dans ce sens sur la documentation.

En vous remerciant.
Cordialement,
Laurent Couillaud

Subtasks

Tâche #33403: Faire les règles eraFerméEmmanuel GARETTE

Tâche #33409: Adapter le dictionnaireFerméEmmanuel GARETTE

Tâche #33420: Ajout d'un test squashFerméEmmanuel GARETTE

Related issues

Related to Distribution EOLE - Tâche #33437: Valider le scénario Amon : Onglet RVP : Accès RVP par le proxy Fermé 11/23/2021
Related to Distribution EOLE - Tâche #33410: Mettre à jour la documentation RVP et Proxy Fermé 10/13/2021
Blocked by Distribution EOLE - Tâche #33354: Attente d'informations sur le scénario proxy et RVP Fermé 10/28/2021

History

#1 Updated by Joël Cuissinat almost 2 years ago

  • Tracker changed from Demande to Scénario
  • Due date set to 11/05/2021
  • Target version set to Prestation Cadoles MEN 2021 42-45
  • Release set to Documentation
  • Story points set to 1.0

#3 Updated by Emmanuel GARETTE almost 2 years ago

Pour moi ce n'est pas qu'un problème de documentation, mais c'est surtout un problème de libellé (ou de logique) dans les dictionnaires.

Lorsqu'on met : "Accès RVP par le proxy" à "non", on s'attend à ce que l'accès à la zone Agriate soit bloqué par le proxy.

Mais si on choisit de mettre "Accès RVP par le proxy" à "non", il n'est plus possible de définir les zones RVP (donc il n'est pas possible de les interdire).

Pour ce problème je vois deux solutions :

- changer le libeller de "Accès RVP par le proxy" par "Interdire des interfaces autre que 1 à accéder à des réseaux RVP"
- pouvoir configurer les réseaux RVP même si "Accès RVP par le proxy" est à "non"

La variable "Autoriser d'autres zones que l'interface 1 à accéder à ce réseau" est également peu clair et compliqué dans ca réalisation.

Elle consiste a mettre une ACL et a autoriser toutes les réseaux à y accéder. Ne pas mettre d'ACL/autorisation aura le même effet mais serait plus simple et plus lisible. En gros, il n'y a aucune raison pour l'administrateur remplisse le réseau RVP qu'il veut restreindre pour l'ouvrir au 4 vents avec cette option.

Pour les versions stable actuellement, je propose de mettre cette variable en mode expert pour la cacher des utilisateurs dans le but de supprimer cette variable inutile. Dans une version futur il faudrait la supprimer.

Je changerais également le libellé des deux variables :

- 'Adresse réseau de la zone RVP' par 'Adresse réseau de la zone RVP à restreindre à l'interface 1'
- 'Masque de sous-réseau de la zone RVP' par 'Masque de sous-réseau de la zone RVP à restreindre à l'interface 1'

Enfin ces variables ne traite que le cas du proxy.

Les ports autres que les ports proxyfiés (dns, mail, chat, ...) sont accessibles depuis toutes les zones. Il serait bon de prendre en charge également les règles du pare feu pour bloquer complètement l'accès à agriate pour la partie pédagogique.

#4 Updated by Matthieu Lamalle almost 2 years ago

  • Assigned To set to Ludwig Seys

#5 Updated by Emmanuel GARETTE almost 2 years ago

  • Assigned To deleted (Ludwig Seys)

En attente d'information.

#6 Updated by Joël Cuissinat almost 2 years ago

  • Story points changed from 1.0 to 2.0
Passage à 2 points pour :
  • modifier les dicos
  • faire les tests
  • le modèle era
  • modifier la doc
    En 2.8.1

#7 Updated by Emmanuel GARETTE almost 2 years ago

  • Assigned To set to Emmanuel GARETTE

#8 Updated by Joël Cuissinat almost 2 years ago

  • Subject changed from Amon : Documentation : Onglet RVP : Accès RVP par le proxy to Amon : Onglet RVP : Accès RVP par le proxy

#9 Updated by Joël Cuissinat almost 2 years ago

  • Target version changed from Prestation Cadoles MEN 2021 42-45 to Prestation Cadoles MEN 2021 46-49

#10 Updated by Joël Cuissinat almost 2 years ago

  • Related to Tâche #33437: Valider le scénario Amon : Onglet RVP : Accès RVP par le proxy added

#11 Updated by Joël Cuissinat almost 2 years ago

  • Related to Tâche #33410: Mettre à jour la documentation RVP et Proxy added

#12 Updated by Joël Cuissinat almost 2 years ago

  • Status changed from Nouveau to Terminé (Sprint)

OK hors tâche de doc reportée : #33410

#13 Updated by Joël Cuissinat almost 2 years ago

  • Release changed from Documentation to EOLE 2.8.1

Also available in: Atom PDF