Aperçu technique Projet «Internet à l école» (SAI)



Documents pareils
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

GENERALITES. COURS TCP/IP Niveau 1

Cisco Certified Network Associate

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

LAB : Schéma. Compagnie C / /24 NETASQ

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Contrôle d accès à Internet

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

z Fiche d identité produit

Sécurité des réseaux Firewalls

CAHIER DES CLAUSES TECHNIQUES

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Logiciel 7.0. Système de Base TELMATWEB 7.0 Logiciel Telmatweb V7.0 comprenant les fonctionnalités suivantes en standard : TARIFS PUBLICS

Le filtrage de niveau IP

Présentation Internet

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Positionnement produit

Contrôle d accès Centralisé Multi-sites

Cours CCNA 1. Exercices

Conditions / questions générales

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

1 LE L S S ERV R EURS Si 5

TAGREROUT Seyf Allah TMRIM

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Services Réseaux - Couche Application. TODARO Cédric

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

Manuel d Installation et de Configuration Clic & Surf C&S 3.3

Configuration de l adressage IP sur le réseau local LAN

Pare-feu VPN sans fil N Cisco RV120W

I. Description de la solution cible

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Gamme d appliances de sécurité gérées dans le cloud

Le routeur de la Freebox explications et configuration

Guide d installation et de configuration du serveur de messagerie MDaemon

Cisco Certified Network Associate

Informations Techniques Clic & Surf V 2.62

LIVRE BLANC. Guide des fonctionnalités. Aperçu des avantages et des fonctions.

CONFIGURATION DE BASE

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Critères d évaluation pour les pare-feu nouvelle génération

Réseaux CPL par la pratique

L3 informatique Réseaux : Configuration d une interface réseau

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Mettre en place un accès sécurisé à travers Internet

Sommaire. 1. Tout savoir sur la Box. 1.1 Caractéristiques techniques

Administration des ressources informatiques

Installation d un serveur virtuel : DSL_G624M

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Administration de systèmes

Mandataires, caches et filtres

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

COTISATIONS VSNET 2015

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

CONFIGURATION DE BASE

Catalogue «Intégration de solutions»

DOSSIER DE PRESSE WANADOO PRO GROUPE. 11 septembre 2001

Figure 1a. Réseau intranet avec pare feu et NAT.

Présentation et portée du cours : CCNA Exploration v4.0

CONFIGURATION DE BASE

Le réseau Internet.

CONFIGURATION DE BASE

Serveur FTP. 20 décembre. Windows Server 2008R2

escan Entreprise Edititon Specialist Computer Distribution

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Fiche d identité produit

Présentation du modèle OSI(Open Systems Interconnection)

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Quelques propositions pour une organisation des ressources réseaux prenant en compte les besoins du LACL

Internet Subscriber Server II. Just plug in... and go to the Internet

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Les clés pour un hébergement web réussi. Bruno Mairlot Maehdros SPRL

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Manuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

ERP Service Negoce. Pré-requis CEGID Business version sur Plate-forme Windows. Mise à jour Novembre 2009

Pare-feu VPN sans fil N Cisco RV110W

Notice d installation et d utilisation SIP PBX 100

Transcription:

Aperçu technique Projet «Internet à l école» (SAI) Contenu 1. Objectif 2 2. Principes 3 3. Résumé de la solution 4 4. Adressage IP 4 5. Politique de sécurité 4 6. Mise en réseau Inhouse LAN 4 7. Organisation et exploitation 5 8. Messageries hébergées chez ISP 5 Authentification SMTP 5 Relais de messagerie IP-Plus 5 9. Serveur DNS 5 10. Plage d adresses IP privée (zone INTRANET) 6 11. Plage d adresses IP publique (zone Public_Servers) 6 12. Pare-feu propre à l école 6 Version 1.0: Août 2012

2 1. Objectif Swisscom (Suisse) SA propose aux cantons, à des conditions uniques, un réseau de formation reliant tous les LAN (réseaux locaux) des écoles en une seule infrastructure de communication avec des bandes passantes / temps de réponse garantis, ainsi qu un raccordement central à Internet à haut débit. Une fois leur école connectée, les élèves et le personnel enseignant peuvent utiliser Internet sans limite de volume ni de temps et gratuitement. La sécurité est assurée par un pare-feu central qui protège le réseau de formation contre les attaques et accès non autorisés de et vers l extérieur. La présente directive porte sur les conditions-cadres techniques et organisationnelles du raccordement des écoles au sein du canton. Offre «Standard» > SecurePopManaged Firewall, qui empêche les accès extérieurs non autorisés. > Web Content-Screening, filtre de contenu qui bloque l accès aux contenus Internet inappropriés. Offre «Extra» et «Spécial» > VDSL Business Access entry (jusqu à 30/10 MBit/s) > Office Access fibre optique (jusqu à 50/10 Mbits/s) > VDSL Business Enterprise-Access (dès 2/2 MBit/s jusqu à 200/200 MBit/s) Pour les raccordements dont la bande passante est plus élevée («Extra» et «Spécial»), c est au canton de décider quelle solution de sécurité utiliser. École 1 Intranet Public_Servers École 2 Intranet Internet Managed Firewall expert Le réseau canton (LAN-i) Public_Servers École 3 Intranet Public_Servers Web Content Screening

3 2. Principes Le réseau de formation pour le raccordement des écoles à Internet est conçu de manière totalement séparée des réseaux administratifs des différents cantons. Les communications avec les services cantonaux internes (hors écoles) et les autres réseaux de formation cantonaux passent exclusivement par le pare-feu Internet central sur le réseau de formation cantonal (un pare-feu par réseau de formation cantonal). Swisscom SA gère un helpdesk pour chaque réseau de formation. Les dérangements ne peuvent être signalés que par le service cantonal de coordination à Swisscom SA. Les écoles sont tenues de s adresser au service cantonal de coordination en cas de dérangement. Les frais d installation par des électriciens concessionnaires pour les câblages internes aux écoles en vue du raccordement au réseau de formation sont pris en charge par les écoles (resp. les cantons). Les écoles assurent les conditions appropriées en termes de locaux et de température (MODEM, routeur) dans leurs bâtiments. 3. Résumé de la solution Le réseau implémenté et exploité par Swisscom SA est basé sur les services LAN-I et le service Managed Firewall expert de Swisscom SA. Les écoles raccordent leurs terminaux (ordinateur, imprimante) via un LAN Ethernet, qu elles raccordent au routeur CISCO propre à Swisscom SA sur place. Tous les routeurs constituent entre eux, par canton, un réseau à 3 couches fermé avec connectivité «any-to-any», qui possède une seule passerelle centrale et sécurisée vers Internet. La protection est assurée par un pare-feu (Managed Firewall expert), dont le dispositif juridique («Policy») est valable pour toutes les écoles raccordées. Un Web Content Screening est disponible en option. Il est possible de définir par réseau cantonal quelles catégories disponibles sont autorisées ou bloquées. Les filtres peuvent être adaptés aux besoins spécifiques via un nombre limité de listes noires et blanches. 4. Adressage IP Swisscom SA élabore le concept d adressage IP, afin que chaque école reçoive une plage d adresses IP précise. Les adressages IP existants doivent être modifiés par les écoles en fonction du nouvel adressage. Les terminaux des écoles doivent être adressés soit de manière fixe, soit via le DHCP interne de l école. La fonctionnalité DHCP n est pas comprise dans la solution Swisscom. Pour ce faire, il faut utiliser la plage d adresses attribuée pour chaque école. Les cinq premières adresses IP (par sous-réseau) sont réservées pour Swisscom SA et ne peuvent pas être occupées. 5. Politique de sécurité Le dispositif juridique (policy) concernant le pare-feu central de chaque réseau de formation cantonal est applicable pour toutes les écoles raccordées. Le dispositif juridique mis en place est défini de manière ouverte à la demande des responsables de formation et ne répond pas aux dispositifs de sécurité habituellement restrictifs pour les pare-feu du segment de la clientèle commerciale. Des risques accrus en termes de sécurité peuvent donc survenir. Le pare-feu central n effectue ni une authentification des utilisateurs, ni un scan antivirus. 6. Mise en réseau Inhouse LAN Le LAN et donc les périphériques en réseau (ordinateurs, imprimantes) reçoivent des adresses IP privées selon le concept d adressage de Swisscom SA. Les écoles/cantons doivent se procurer et gérer eux-mêmes d éventuels moyens auxiliaires pour l administration des réseaux, tels que serveurs DNS ou DHCP.

4 7. Organisation et exploitation Dans chaque canton, un service de coordination central est désigné pour le réseau de formation cantonal. Ses tâches vis-à-vis de Swisscom SA et des écoles raccordées sont les suivantes: > Traitement et transmission des demandes des écoles cantonales. > Traitement des modifications de configuration sur le pare-feu central à l attention de Swisscom SA. > Interlocuteur unique pour les écoles en cas de dérangements techniques ou liés à l exploitation dans le réseau de formation cantonal. > Interface cantonale unique avec le helpdesk SAI dédié de Swisscom SA. Un interlocuteur technique doit être désigné par école. Les dérangements dans le réseau de formation cantonal ne sont signalés aux services cantonaux de coordination que par les interlocuteurs techniques. Informations techniques 8. Messageries hébergées chez ISP Normalement, les fournisseurs de messagerie n autorisent l envoi d e-mails via leurs serveurs que depuis la propre plage d adresses IP. Deux possibilités sont disponibles pour pouvoir également envoyer des mails depuis les réseaux SAI à partir de comptes de messagerie externes: Authentification SMTP Actuellement, la plupart des fournisseurs de messagerie offrent une authentification SMTP, la méthode la plus simple pour envoyer des e-mails via un serveur SMTP externe. Relais de messagerie IP-Plus L école configure sur les Clients le serveur de messagerie IP-Plus mailhub.ip-plus.net comme serveur SMTP pour l envoi de messages électroniques (en lieu et place de mail.bluewin.ch). Spécialement mis à disposition pour «Internet à l école», ce serveur remplace les deux indiqués auparavant: > mailhost.ip-plus.net > smtp.ip-plus.net Les écoles qui utilisent encore l un de ces deux serveurs devraient envisager de passer prochainement au nouveau serveur. 9. Serveur DNS Pour autant que l école n exploite pas son propre serveur DNS, elle peut enregistrer les deux serveurs DNS IP-Plus ci-après sur les Clients et serveurs: sdns1.ip-plus.net 164.128.36.36 sdns2.ip-plus.net 164.128.36.37 Les serveurs DNS standard d IP-Plus ne sont plus disponibles pour SAI. 10. Plage d adresses IP privée (zone INTRANET) Le concept d adressage IP de Swisscom prévoit, pour l adressage d ordinateurs de l école, des adresses de la plage privée 10.x.x.x. Le pare-feu SecurePoP central autorise, par canton, pour cette plage d adresses, tous les services courants dont un ordinateur a besoin (http, ftp, pop3, smtp, etc.). Sur demande, certains ports de la zone INTRANET sont ouverts à Internet. Les ouvertures de ports concernent toujours l ensemble du réseau cantonal et ne peuvent pas être limitées à certaines écoles ou adresses IP. L accès à un serveur de la plage d adresses 10.x.x.x depuis Internet n est pas pris en charge. Vues d Internet, ces adresses sont cachées derrière l adresse publique du pare-feu (212.x.x.x) par Network-Address-Translation (NAT).

5 11. Plage d adresses IP publique (zone Public_Servers) Un nombre limité d adresses IP publiques sont également mises à disposition pour les systèmes devant être directement adressables depuis Internet (appelés «Public_Servers»). Le pare-feu SecurePoP central autorise, par canton, pour cette plage d adresses, tous les services courants. Sur demande, des ports spécifiques entre la zone «Public_Servers» et Internet sont ouverts dans les deux directions. Les ouvertures de ports concernent toujours l ensemble du réseau cantonal et ne peuvent pas être limitées à certaines écoles ou adresses IP. Remarque: La plage d adresses pour la zone «Public_Servers» est configurée sur le même raccordement que la zone INTRANET («Multi-Netting»). Il ne s agit dès lors pas d une DMZ sur une interface de pare-feu dédiée. Attention: en raison du manque d adresses IPv4, nous ne pouvons mettre des adresses IP publiques à disposition qu avec la plus grande retenue. En principe, une école reçoit une plage de 4 adresses, dont une seule peut être utilisée. Dans tous les cas, le formulaire de demande (adresse IP publique) doit être complété. Nous ne pouvons en principe pas autoriser une deuxième plage (dont les 4 adresses pourraient être utilisées). Prière de prendre contact avec nous pour que nous puissions vous conseiller d autres procédures. (Etat: été 2012) 12. Pare-feu propre à l école Swisscom exploite, dans le cadre de l initiative «Internet à l école», un pare-feu dédié par réseau cantonal. Les pare-feu propres aux écoles ne sont pas pris en charge (à l exception d OpenNet). L utilisation par une école de son propre pare-feu peut entraîner des problèmes ou des interruptions de débit. La navigation sur Internet peut être fortement ralentie. Ces problèmes ont été constatés dans des écoles qui disposent d une salle informatique où de nombreux utilisateurs surfent simultanément et consultent parfois les mêmes pages Web. Assistance WCS Caractéristiques du service WCS > Infrastructure centrale, extensible si nécessaire. > Utilisation uniquement sur des connexions d adresses IP privées (et non sur les adresses IP publiques). > Filtre URL subdivisé en catégories (12 basic & 90 sous-catégories). > Liste noire/blanche explicite (pilotage de la catégorisation standard pour une URL). Possibilité d effectuer 10 saisies au maximum par liste. > Mode «Safe Search» forcé pour les gros moteurs de recherche (Google, Yahoo, etc.). > Catégories à bloquer sélectionnables par le service cantonal de coordination (KKS) via www.securepop.ch. > Catégories individuelles par réseau cantonal, mais uniformes pour toutes les écoles au sein du réseau. > Banque de données actualisée quotidiennement. > Transparence pour l utilisateur, aucun paramètre de proxy nécessaire dans le navigateur. > Plate-forme basée entre autres sur des serveurs proxy dont le cache enregistre temporairement les pages consultées. > Filtrage URL actif uniquement pour HTTP, mais pas pour HTTPS, FPT, ni les autres protocoles. > Déviation sur une autre page spéciale des utilisateurs qui essaient de consulter un site bloqué. L utilisateur est alors informé que Swisscom/SecurePoP a bloqué l URL. La catégorie de blocage correspondante est en outre affichée. > Possibilité de consulter l appartenance d une URL définie à une catégorie et de demander une nouvelle catégorisation (http://www.trustedsource.org/en/feedback/url?action=checksingle). > Pas de prise en charge d un upload sur Internet via le protocole http. Utilisation soit du protocole FTP, soit du protocole sécurisé HTTPS. > «Reputation»: catégorie dynamique qui montre la réputation ou la nocivité d une URL. Problème lié au rafraîchissement des pages Web Souvent, des utilisateurs de l école traitent des pages Web hébergées en externe. Comme le serveur proxy mémorise temporairement le contenu de la page dans le cache, la modification n est pas visible immédiatement. Le serveur proxy affiche encore l ancienne page du cache. La nouvelle plate-forme WCS n offre aucune possibilité de désactiver le caching.

6 Solution Afin d empêcher le caching, les marqueurs (tags) META ci-après peuvent être intégrés dans la page Web. Sinon, les entrées peuvent aussi être effectuées par l administrateur du serveur Web comme Header. 1) <meta http-equiv="pragma" content="no-cache"> A l attention des agents proxy: prière de ne pas mémoriser le fichier sur le serveur proxy. 2) <meta http-equiv="cache-control" content="no-cache"> Indication pour le navigateur: ne pas utiliser de cache, mais télécharger depuis la page originale. Anonymizers Category Sur Internet, certains serveurs (Anonymizing Proxies) ne servent qu à contourner un filtre URL et donc à permettre l accès à des pages normalement bloquées. Si la catégorie «Anonymizers» est bloquée (via www.securepop.ch), l accès à ce type de serveur est impossible. Authentification basée sur les adresses IP Les offres externes sont en partie authentifiées sur la base de l adresse IP source. Les fournisseurs compétents doivent être informés sur le fait que la plage d adresses IP de la plate-forme WCS doit être autorisée comme adresse IP source. Pour garantir l indépendance par rapport aux éventuelles extensions de la plate-forme WCS, toute la classe C doit être autorisée: 194.209.88.0/24 (194.209.88.0-194.209.88.255) Cela n est valable que pour les connexions HTTP. Les connexions HTTPS ne passent pas par la plate-forme WCS, et c est l adresse IP externe du pare-feu SecurePoP central qui apparaît alors comme adresse IP source. Veuillez noter que la plage d adresses indiquée est utilisée par tous les réseaux SAI et n est donc pas limitée au réseau d un canton.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back