16968d29af615796f194c02d42f14dcfb16edc11
R\303\251seau/Firewall/Projet3.md
... | ... | @@ -0,0 +1,44 @@ |
1 | +# Firewall ResEl 3 |
|
2 | + |
|
3 | +## Tâches |
|
4 | +1. Création d'un environnement de test |
|
5 | +2. Création d'une plateforme de script avec interface web, pour faciliter le suivi et la configuration |
|
6 | +3. Passage à nftables |
|
7 | +4. Création d'une abstraction pour la définition des règles et leur administration |
|
8 | +5. Vérification de l'utilité des règles en place (certaines étant historiques) |
|
9 | +6. Refactoring en profondeur du firewall v2 et de son architecture : mise en place de modules indépendant pour les modules annexes |
|
10 | + |
|
11 | +### Lot 1 : Création d'un environnement de test |
|
12 | +L'objectif est de créer un environnement vagrant pour réaliser des tests en intégration continue sur le firewall. |
|
13 | +Les tests peuvent dès à présent être menés sur le firewall v2 (reselqos), l'ensemble des fonctionnalités à tester étant similaire à la v3. |
|
14 | + |
|
15 | +Tests: |
|
16 | +- Accès internet/coupure en zone user en fonction du statut (inscription, paiement, banni) |
|
17 | +- Scan des ports ouverts à l'extérieur en comparaison à la liste de pat en place |
|
18 | +- Tests des pat vers les différentes machines |
|
19 | +- Vérification de la zone inscription et de la redirection vers resel.fr |
|
20 | +- Tests tcp,udp,icmp dans les différentes conditions |
|
21 | +- Tests de débits pour vérifier les shapes |
|
22 | +- Tests d'attaques ? |
|
23 | + |
|
24 | +Environnement: |
|
25 | +Utilisations de plusieurs machines vagrant pour simuler différents éléments réel: |
|
26 | +- firewall |
|
27 | +- bases de données : mysql & ldap |
|
28 | +- machine admin : test de redirection... (même machine que celle des bases de données ?) |
|
29 | +- utilisateur |
|
30 | + |
|
31 | +Réalisation des tests avec python unittest. |
|
32 | +A tester avec la version actuelle du fw. |
|
33 | +Mise en place incrémentale des tests (pas besoin de faire tout les tests d'un coup, déjà l'environnement et vérifier l'accès à internet c'est une première étape). |
|
34 | + |
|
35 | +### Lot 2 : Création d'une plateforme de script |
|
36 | + |
|
37 | + |
|
38 | +### Lot 3 : Passage à nftables |
|
39 | +Debian Stretch (9) va être livré avec nftables, youhou \o/ |
|
40 | +Je vous laisse regarder tout ce que ça apporte en plus par rapport à iptables : |
|
41 | +En soit la syntaxe est plus simple, et c'est surtout plus rapide. |
|
42 | +Du coup il faudra utiliser ça pour la prochaine version (stretch devrait sortir bientôt), de plus ça reste très similaire à iptables donc on ne perd pas l'acquis de reselqos. |
|
43 | + |
|
44 | +### Lot 4 : Création d'une abstraction pour la définition des règles et leur administration |