Projet

Général

Profil

Scénario #33295

Amon : Onglet RVP : Accès RVP par le proxy

Ajouté par Laurent Couillaud il y a plus de 2 ans. Mis à jour il y a plus de 2 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Emmanuel GARETTE
Catégorie:
-
Version cible:
Distribution EOLE - Prestation Cadoles MEN 2021 46-49
Début:
13/10/2021
Echéance:
10/12/2021
% réalisé:

100%

Points de scénarios:
2.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.8.1
Liens avec la release:
Auto

Description

Bonjour,
Serait-il possible de faire une évolution de la documentation du Amon concernant l'onglet RVP et la partie Accès RVP par le proxy.

Je pense qu'il manque une phrase du style: "Il faut déclarer tous les plans d'adressage réseaux qui sont derrière le VPN afin de sécurisé l'ensemble des sites disponible depuis votre académie."

Comme par défaut, les tunnels sont montés dans sphynx pour les réseaux 192.168.0.0/16, 10.100.0.0/16, 172.27.65.0/24, 172.27.66.0/24 et 172.27.67.0/24, il faut renseigné ces plages IP.

Pourquoi je fait cette demande ? Parce que ça fait des années que les configurations dans nos amons sont avec juste l'adresse 192.168.0.0/16 et qu'on a découvert que depuis le pédagogique ont arrivé à atteindre l'intranet de notre vice-rectorat.
C'est en faisant des essais sur notre maquette que j'ai compris comment fonctionné ce paramétrage et que donc qu'il manque une indication de sécurité dans ce sens sur la documentation.

En vous remerciant.
Cordialement,
Laurent Couillaud

Sous-tâches

Tâche #33403: Faire les règles eraFerméEmmanuel GARETTE

Tâche #33409: Adapter le dictionnaireFerméEmmanuel GARETTE

Tâche #33420: Ajout d'un test squashFerméEmmanuel GARETTE

Demandes liées

Lié à Distribution EOLE - Tâche #33437: Valider le scénario Amon : Onglet RVP : Accès RVP par le proxy Fermé 23/11/2021
Lié à Distribution EOLE - Tâche #33410: Mettre à jour la documentation RVP et Proxy Fermé 13/10/2021
Bloqué par Distribution EOLE - Tâche #33354: Attente d'informations sur le scénario proxy et RVP Fermé 28/10/2021

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Tracker changé de Demande à Scénario
  • Echéance mis à 05/11/2021
  • Version cible mis à Prestation Cadoles MEN 2021 42-45
  • Release mis à Documentation
  • Points de scénarios mis à 1.0

#3 Mis à jour par Emmanuel GARETTE il y a plus de 2 ans

Pour moi ce n'est pas qu'un problème de documentation, mais c'est surtout un problème de libellé (ou de logique) dans les dictionnaires.

Lorsqu'on met : "Accès RVP par le proxy" à "non", on s'attend à ce que l'accès à la zone Agriate soit bloqué par le proxy.

Mais si on choisit de mettre "Accès RVP par le proxy" à "non", il n'est plus possible de définir les zones RVP (donc il n'est pas possible de les interdire).

Pour ce problème je vois deux solutions :

- changer le libeller de "Accès RVP par le proxy" par "Interdire des interfaces autre que 1 à accéder à des réseaux RVP"
- pouvoir configurer les réseaux RVP même si "Accès RVP par le proxy" est à "non"

La variable "Autoriser d'autres zones que l'interface 1 à accéder à ce réseau" est également peu clair et compliqué dans ca réalisation.

Elle consiste a mettre une ACL et a autoriser toutes les réseaux à y accéder. Ne pas mettre d'ACL/autorisation aura le même effet mais serait plus simple et plus lisible. En gros, il n'y a aucune raison pour l'administrateur remplisse le réseau RVP qu'il veut restreindre pour l'ouvrir au 4 vents avec cette option.

Pour les versions stable actuellement, je propose de mettre cette variable en mode expert pour la cacher des utilisateurs dans le but de supprimer cette variable inutile. Dans une version futur il faudrait la supprimer.

Je changerais également le libellé des deux variables :

- 'Adresse réseau de la zone RVP' par 'Adresse réseau de la zone RVP à restreindre à l'interface 1'
- 'Masque de sous-réseau de la zone RVP' par 'Masque de sous-réseau de la zone RVP à restreindre à l'interface 1'

Enfin ces variables ne traite que le cas du proxy.

Les ports autres que les ports proxyfiés (dns, mail, chat, ...) sont accessibles depuis toutes les zones. Il serait bon de prendre en charge également les règles du pare feu pour bloquer complètement l'accès à agriate pour la partie pédagogique.

#4 Mis à jour par Matthieu Lamalle il y a plus de 2 ans

  • Assigné à mis à Ludwig Seys

#5 Mis à jour par Emmanuel GARETTE il y a plus de 2 ans

  • Assigné à Ludwig Seys supprimé

En attente d'information.

#6 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Points de scénarios changé de 1.0 à 2.0
Passage à 2 points pour :
  • modifier les dicos
  • faire les tests
  • le modèle era
  • modifier la doc
    En 2.8.1

#7 Mis à jour par Emmanuel GARETTE il y a plus de 2 ans

  • Assigné à mis à Emmanuel GARETTE

#8 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Sujet changé de Amon : Documentation : Onglet RVP : Accès RVP par le proxy à Amon : Onglet RVP : Accès RVP par le proxy

#9 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Version cible changé de Prestation Cadoles MEN 2021 42-45 à Prestation Cadoles MEN 2021 46-49

#10 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Lié à Tâche #33437: Valider le scénario Amon : Onglet RVP : Accès RVP par le proxy ajouté

#11 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Lié à Tâche #33410: Mettre à jour la documentation RVP et Proxy ajouté

#12 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Statut changé de Nouveau à Terminé (Sprint)

OK hors tâche de doc reportée : #33410

#13 Mis à jour par Joël Cuissinat il y a plus de 2 ans

  • Release changé de Documentation à EOLE 2.8.1

Formats disponibles : Atom PDF