SERVICE INFORMATIQUE Page 1/6 Rapport sur l installation du Réseau Wifi au Lycée François 1er Présentation du Réseau Wi-Fi (Rapport à l usage de l ensemble des utilisateurs du système d information du lycée François 1er) Rédigé par : Jacky Etienne Laurent Hussenet Approuvé par : Philippe Hanen Agnès Langelier Rudy Chimiak Gestion des versions Version Date Rédacteur Objet de la modification 01 20/01/2012 Jacky ETIENNE Laurent HUSSENET Création Responsable : Jacky ETIENNE Assistants d Education Informatique : Adrien ROUSSEY Thomas HACQUE Téléphone : 03.26.41.22.00 poste 289 Mél : serviceinfo.lyc-francois1er@ac-reims.fr Réf :Document1
Lycée François 1er Notice de présentation du Réseau Wifi Page 2/6 1. Présentation 1.1 Contexte Le service informatique à mis en place au Lycée Francois 1 er un réseau Wi-Fi (Wireless Fidelity) sécurisé sur la majeure partie de la cité scolaire. Le déploiement de 24 bornes Wi-Fi de marque Cisco se fera dès la rentrée de janvier 2012 sur 10 des 12 bâtiments de la cité scolaire. Seul la Loge et le Gymnase ne seront pas équipés de bornes Wi-Fi. Il s'agit de : permettre l'accès au réseau via des connexions sans fil aux différents services (connectivité Internet, ENT, mail, etc.) à toute personne possédant un identifiant au Lycée François 1 er, à partir d'un ordinateur / téléphone mobile / PDA / etc. définir des niveaux de sécurité adaptés aux différentes populations des établissements : élèves, professeurs, personnels administratifs, professeurs invités, visiteurs, etc. Pour chacune de ces populations, le mode d'authentification peut être personnalisé ainsi que les droits d'accès aux applications/ressources du réseau. Quatre réseaux sans-fil sont mis à disposition : WIFI_PROFS : destiné aux administratifs, personnels et enseignants. Une fenêtre de login s ouvre à la connexion où un paramétrage doit être effectué sur le poste client. L'identification se fait en utilisant le compte personnel du lycée. Informations dans l Espace Numérique de Travail. WIFI_ELEVES : destiné aux élèves. Une fenêtre de login s ouvre à la connexion ou un paramétrage doit être effectué sur le poste client. L'identification se fait en utilisant votre compte du lycée. Information dans l Espace Numérique de Travail. WIFI_FRANCOIS1ER_HOTSPOT : destiné aux administratifs, personnels, élèves et enseignants n ayant pas un ordinateur adapté. Ainsi que les inspecteurs, enseignants de passage, invités ou personnels d'autres établissements. Ces derniers devront se présenter au service informatique pour obtenir une identification. Autre réseau : destiné aux ordinateurs portables attribués aux différentes sections du lycée, paramétrage par le service informatique. Le SSID n est pas diffusé. Correspond à autre réseau sur l image ci-contre. Chaque réseau sans-fil est "ouvert" : il suffit qu'il soit détecté par votre ordinateur pour que vous puissiez vous y connecter. Vous ne pourrez cependant pas avoir accès à Internet sans vous être identifié(e). 1.2 RESPONSABILITES D UN SERVICE OU D UN ETABLISSEMENT DANS LE CADRE DE LA MISE EN PLACE D UN RESEAU WI-FI Recommandations juridiques relatives à l implémentation de bornes Wi-Fi Depuis 1991 ((Loi du 10/07/1991) le principe du secret des correspondances englobe la correspondance émise par la voie électronique dès lors qu elle est privée. «Il est donc nécessaire de sécuriser le réseau déployé sous peine éventuellement de voir la responsabilité du service informatique ou de l établissement engagée pour négligence. Pour rappel, l auteur de la violation est puni d un an d emprisonnement et de 45 000 d amende.» «A cet égard, le service ou l établissement devra réfléchir à la mise en place de divers outils pour limiter sa responsabilité. A cet effet, et pour minimiser sa responsabilité des conditions générales d utilisation pourrait s avérer utiles de même que la généralisation de login password pour tracer l utilisation des services sur le réseau.»
Lycée François 1er Notice de présentation du Réseau Wifi Page 3/6 Extrait des recommandations proposé par la DCSSI (Direction centrale de la sécurité des systèmes d'information) de l Education Nationale. Toute nouvelle installation doit utiliser du matériel conforme à la norme 802.11i et permettant la mise en œuvre de tous les mécanismes de sécurité définis par la norme 802.11i. 1.3 L Equipe Présentation des personnes ayant participés à l installation : Vincent FORTRAT, Ingénieur Technique, société Axians / Interact Systèmes Laurent HUSSENET, Directeur technique plateforme Système d Information, maître de conférences Université de Reims Thomas LOMBART, Ingénieur d étude, Université de Reims, intervenant plateforme Jacky ETIENNE, Responsable Lycée François 1er 2. Les solutions choisies La nouvelle architecture réseau sans-fils diffuse plusieurs identifiants (SSID). Chaque SSID dispose de son propre mécanisme de sécurité et d authentification. L accès est donc différencié pour les ressources et, en conséquence, par le niveau de service offert. Le choix pour chaque SSID d être ou non annoncé a été défini à l installation. La mise en œuvre des procédures d authentification et de traçabilité des connexions en fonction des utilisateurs (élèves, enseignants, personnel administratif, agents, ) nous a obligé à concevoir une politique d accès pour chaque réseau (élèves, profs,..). A ce stade de la lecture de ce document, il est primordial de connaître la différence entre l accès réseau et l accès aux services : - L accès au réseau est une authentification permettant l accès au support réseau. Elle n est pas (encore) nécessaire pour le réseau câblé, mais indispensable pour le réseau sans-fil. - L accès autorisé au réseau correspond bien à l autorisation du service informatique sous couvert par l administration du lycée au support. Elle permet l accès au site du lycée et à l Internet. L accès aux ressources nécessite une autre authentification. Ainsi, un usager désirant accéder aux ressources du lycée peut fournir de une (depuis le réseau câblé) à deux authentifications (depuis le réseau sans-fil). Tout le système d information du lycée est basé sur un seul annuaire (Eole/Scribe). Ainsi, un usager utilisera la même authentification pour l accès au réseau et l accès aux ressources. La responsabilité de l usager pourra être engagée pour l une ou l autre des méthodes d accès. 2.1 Différents appareils mobiles Le parc d équipements capables d accéder au réseau Wifi est très hétérogène. De pars la grande diversité des types de clients Wifi (ordinateur, Smartphone, tablette, ) et de par la grande diversité des systèmes d exploitation (Windows Xp, Seven, Android, Linux, IOS). Contrairement à un réseau filaire, pour lequel il est relativement aisé de contrôler l accès physique (prise du commutateur) et d en définir la classe d accès (élève, enseignant, personnel, ), un réseau wifi permet l accès réseau de manière globale, sans contrainte géographique (à la couverture près), par un équipement du lycée ou non (équipement personnel). L authentification non anonyme est capitale pour engager la responsabilité de l usager en cas d infraction et plusieurs réseaux wifi sont nécessaires pour mettre en place une politique d accès. De plus, contrairement à une liaison câblée, la liaison radio doit être chiffrée pour garantir la confidentialité des données.
Lycée François 1er Notice de présentation du Réseau Wifi Page 4/6 2.1.1 Les ordinateurs portables du Lycée affecté aux Labos Concernant les ordinateurs portables appartenant au lycée, situés dans les Labos de physique du bâtiment Doré par exemple, le réseau Wi-Fi est conçu comme une extension du réseau filaire existant. Les utilisateurs se connectent au serveur d authentification du Lycée à l ouverture de la session Windows de la même manière qu une ouverture de session sur le réseau câblé. La connexion au Wi-Fi est paramétrée par le service informatique et sera transparente pour l utilisateur. La diffusion du nom SSID est désactivée. 2.1.2 Les ordinateurs des enseignants ou élèves Les réseaux WIFI_PROFS et WIFI_ELEVES sont des réseaux à authentification forte (802.11i, ou WPA2/CCMP) sur annuaire centralisé (RADIUS / LDAP / SCRIBE). Cette technique d accès est la plus utilisée et la plus reconnue au jour d aujourd hui par le monde de l entreprise et des réseaux de campus (Universités). Cependant, les équipements capables de se connecter à un tel réseau doivent disposer de l ensemble logiciel (driver) adéquat et bien paramétré. Il serait sans doute préférable que tout achat d équipement wifi fasse l objet d une validation par l équipe informatique du lycée, par exemple achat d ordinateurs portables, tablettes PC. En effet, cela permettra d une part de garantir la connectivité et d offrir un nombre limité de manuels permettant de réaliser soit même la connexion au réseau. Smartphone Serveur Radius Serveur Scribe Internet élèves Personnel administratif Iphone Android Contrôleur d authentification Annuaire du Lycée Router firewall Agents technique Réseau Pédagogique Point d Accès Wi-Fi Commutateur réseau Enseignants Personnes à authentifier Systèmes à authentifier Système authentificateur Serveur d authentification 2.1.3 Les ordinateurs des enseignants ou élèves sans 802.11i Lorsqu'un utilisateur ne dispose pas d'un ordinateur supportant l utilisation de 802.11i, une autre méthode pour s'authentifier est proposée. Cependant, il ne disposera que d un accès limité au réseau (site du lycée et internet). Ainsi, un système de type portail captif a été mis en place. Là encore, l'authentification s'appuiera sur le serveur d authentification du lycée (serveur Scribe). Le principe du portail captif est d accepter sans authentification l accès à un réseau étanche dont la seule porte de sortie passe par un dispositif d accès au reste du réseau. Ce dispositif autorise cet accès qu après une étape d authentification réalisée à travers un simple navigateur internet. Toute tentative d accès à un site web sera déroutée vers le dispositif d authentification jusqu à ce que cette authentification soit réalisée avec succès. Là encore, il faut rappeler que cette étape d authentification ne permet que l accès au reste du réseau. L accès à l ENT du lycée par exemple peut donc redemander l authentification de l usager (accès réseau vs accès ressource).
Lycée François 1er Notice de présentation du Réseau Wifi Page 5/6 Serveur d authentification Serveur Cova-chili Serveur Scribe invité Smartphone élèves Iphone Contrôleur d authentification Annuaire du Lycée Internet Personnel administratif Android Agents technique Point d Accès Wi-Fi Commutateur réseau Router firewall Navigateur Enseignants Personnes à authentifier Systèmes à authentifier Système authentificateur Se connecter à WIFI _FRANCOIS1ER_HOTSPOT, lorsque vous lancer votre navigateur, le serveur cova-chili vous redirige sur la page de login suivante : Entrer votre identifiant et mot de passe du lycée, puis vous aurez accès à Internet et Intranet du lycée. 3. Carte des zones de couvertures sans-fil du lycée Voici l emplacement de 21 bornes déjà installées en janvier 2012.
Lycée François 1er Notice de présentation du Réseau Wifi Page 6/6 4. Glossaire et abréviations ENT - Espace Numérique de Travail - Accès au cahier de texte, réservation de salle, etc. RADIUS - Remote Authentication Dial-In User Service - est un protocole client-serveur permettant de centraliser des données d'authentification. Hotspot - un point d'accès à Internet sans fil permettant aux utilisateurs de terminaux mobiles de se connecter à Internet. Scribe - Serveur pédagogique complet développé par le groupe de compétence EOLE (Ensemble Ouvert Libre Evolutif), académie de Dijon. Scribe est un contrôleur de domaine doté de fonctions évoluées. Il optimise la gestion de votre parc de stations clientes. Il dispose d'un annuaire qui référence, élèves, parents, personnels enseignant et administratifs, il est serveur de fichier et héberge l ENT au sein d'un portail Web 2.0. Protocole 802.1X protocole permettant d'authentifier les machines ou les utilisateurs connectés sur un réseau local. Il permet de transférer les paquets d'authentification et échange des clés qui vont être utilisées pour chiffrer les communications et en contrôler l'intégrité. SSID - Service Set Identifier- un réseau Wi-Fi porte toujours un nom d'identification afin que les ordinateurs puissent le détecter et se connecter dessus. WIFI - Wireless FIdelity- protocole de communication sans fil. Protocole 802.11i définit un réseau de sécurité robuste comportant des améliorations par rapport au mode de sécurisation WEP, cette norme utilise des moyens d'authentification et de cryptage.