Amon

Le module Amon est un pare-feu facile à installer et à utiliser. Il permet de faire respecter la politique de sécurité du réseau et les types de communication autorisés. Il a pour principale tâche de contrôler le trafic entre différentes zones : Internet et le réseau interne.

Le filtrage se fait selon plusieurs critères :
 l’origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.)
 les options contenues dans les données (fragmentation, validité, etc.)
 les données elles-mêmes (taille, correspondance avec un motif, etc.)

Un pare-feu permet de se prémunir des attaques extérieures.

Un pare-feu fait office de routeur, il permet donc de partager en toute sécurité un accès Internet en toute sécurité entre les sous-réseaux d’un réseau local.
Installé sur un serveur dédié, équipé de deux, trois, quatre ou cinq interfaces réseau, il permet d’organiser au mieux l’architecture réseau d’un établissement.

Il est également possible de créer un réseau virtuel privé ( RVP, VPN) entre l’établissement et un concentrateur académique (vice-rectorat). Ce réseau virtuel privé permet de sécuriser les flux sensibles au travers d’Internet.

Pour l’Éducation nationale, ce réseau est nommé réseau AGRIATES .

Principales fonctionnalités

 routage
 authentification des utilisateurs
 filtrage IP
 filtrage de site amélioré (listes noires et contenu)
 réseau virtuel privé
 suivi détaillé de la navigation web
 mises à jour automatiques
 journalisation des fichiers logs
 détection d’intrusions
 service de cache web
 administration simplifiée
 statistiques sur l’état du système
 statistiques d’utilisation

Les services Amon

Chaque module EOLE est constitué d’un ensemble de services.
Chacun de ces services peut évoluer indépendamment des autres et fait l’objet d’une actualisation ou d’une intégration par l’intermédiaire des procédures de mise à jour. Ce qui permet d’ajouter de nouvelles fonctionnalités ou d’améliorer la sécurité.

Services communs à tous les modules
 Noyau Linux 3.x : Noyau Linux Ubuntu
 OpenSSH : prise en main à distance moyennant une demande d’authentification
 Rsyslog : service de journalisation et de centralisation des logs
 Pam : gestion des authentifications
 EAD : outil EOLE pour l’administration du serveur
 EoleSSO : gestion de l’authentification centralisée
 Exim4 : serveur de messagerie
 NUT : gestion des onduleurs
 NTP : synchronisation avec les serveurs de temps

Services spécifiques au module Amon
 Bind : implémentation la plus répandue du DNS (résolution des noms de machine en adresse IP)
 iptables : filtrage d’adresses IP
 Squid : proxy cache qui permet d’accélérer les connexions Internet
 e2guardian : outil de filtrage syntaxique des adresses web
 LightSquid : générateur de statistiques pour le proxy Squid
 Strongswan : version libre d’IPSec. Permet la création de réseaux virtuels privés ;
 NginX : proxy inverse
 FreeRADIUS : service d’authentification réseau
 ERA : outil de génération de règles iptables