Sur le plan décisionnel et juridique, le chef d'établissement est responsable et décideur dans son établissement et l'accès au réseau informatique se fait sous la responsabilité de celui-ci. Tout utilisateur de ces moyens et ressources informatiques a le devoir de respecter les règles établies à l'intérieur de l'établissement ainsi que celles établies par les réseaux RENATER et AGRIATES. :: Introduction EAD2 La configuration du pare-feu Amon se fait par le biais d'une interface web d'administration : EAD2 Le pare-feu Amon dispose d'une interface d'administration proposant : - Des actions communes sur le serveur (Redémarrage...) - La configuration des filtres web appliqués lors de la navigation sur internet (Dansguardian) - La gestion des machines du réseau par groupe ou machine. - La gestion du pare-feu (horaires,ips interdites...). - L'observation des logs (notamment les accès refusés) Connexion et authentification Via le navigateur internet FIREFOX, cette interface est accessible sur https://<pedago>:4200 NB: L'adresse Ip du amon est l'adresse de votre passerelle :: Accepter l'alerte de sécurité 02/07/09 1 / 26
:: Cliquer en bas sur le lien bleu et ajouter une exception de sécurité :: Ajouter une exception de sécurité 02/07/09 2 / 26
:: Cliquer sur obtenir le certificat et confirmer l'exception de sécurité 02/07/09 3 / 26
:: Cliquer sur l'onglet (en vert) amon-ng 02/07/09 4 / 26
Vous connecter en tant qu'administrateur : Le login et mot de passe ont été communiqués sur la boite aux lettres électronique de l'établissement ainsi que le lien vers les ressources documentaires sur l'espace pédagogique du cria. 02/07/09 5 / 26
1 :: Menu Accueil En cliquant à droite sur DETAILS, dans la fenêtre principale vous pouvez visuellement avoir un état des différents services du serveur. Les voyants verts indiquent que les services fonctionnent correctement. Si un voyant est en rouge, nous vous invitons à prendre contact avec Scol-téléservices. 02/07/09 6 / 26
2 :: Menu Configuration 2 RESEAU PEDAGOGIQUE Ce menu permet pour le réseau Pédagogique de : créer des interdictions réseau ou web pour des groupes machines créer des interdictions réseau ou web pour des machines de voir l'historique des sites visités d'activer des filtres Web!!!! IMPORTANT : Ne pas toucher au Menu Configuration1 : Réseau Administratif!!!! a) Groupe de Machine Dans ce menu, pour le réseau Pédagogique, on peut pour un ensemble de postes interdire précisément l'accès au réseau et à internet. Créer un Nouveau groupe de machine en cliquant sur Créer un nouveau groupe de machine Indiquer le nom l'ip de début de plage Ip Pédago l'ip de fin de plage Ip Pédago :: il est possible de faire un groupe machine avec une seule machine pour pouvoir appliquer une politique de filtrage web :: Ajout d'interdiction, choisissez parmi : «Jamais» c'est aucune interdiction mais l'intérêt est d'appliquer une politique de filtrage «Interdiction web tout le temps» induit aucune gestion horaire, ni politique filtrage) «Interdiction de web selon des horaires» (voir la gestion des horaires ci dessous) que l'on peut coupler avec des politiques de filtrage «Interdiction de toute activité réseau» (pas de gestion horaire, ni de politique filtrage) ET une politique de filtrage web selon les 3 politiques de filtrage de contenu que vous aurez définies dans la partie Menu Configuration 2 d) Sites 1) Filtres ou selon la politique : modérateur, interdits, liste blanche (voir annexe) 02/07/09 7 / 26
Pour lever l'interdiction d'un groupe machine : dans la frise, cliquez sur la croix de la colonne suppression Définir des horaires pour un groupe de machine, si l'interdiction de web selon horaires a été activée car par défaut toutes les heures sont à l'état d'interdiction. Cliquez sur l'horloge se trouvant sur la ligne de votre groupe de machine. 02/07/09 8 / 26
Dans la 2eme partie de la page, une fenêtre s'ouvre qui permet l'édition horaire journalière pour le groupe de machine. Ainsi, vous définissez les horaires d'ouverture et de fermeture dans la journée : Pour définir de nouvelles plages horaires de navigation autorisée : Choisissez une heure de début Une heure de fin Un jour d'application Pour supprimer une plage horaire : cliquez sur la croix de la colonne suppression 02/07/09 9 / 26
b) Postes 1 Destination interdite Il est possible d'interdire - pour toute machine pédagogique - l'accès à un réseau ou une machine du réseau pédagogique ou DMZ. Une machine du réseau administratif ne pourra plus accéder à la machine du réseau pédagogique ou DMZ indiquée dans la liste des destinations interdites. Pour interdire l'accès à un réseau ou machine pédagogique ou DMZ Indiquer l'ip ou le réseau 02/07/09 10 / 26
Pour lever l'interdiction Cliquer dans les destinations interdites sur la ligne du poste ou réseau à ré autoriser :: Par défaut, tout poste administratif peut accéder au réseau pédagogique :: :: A l'inverse, tout poste pédagogique ne peut accéder au réseau administratif :: 2 Postes Dans ce menu, pour le réseau Pédagogique, il est possible d'interdire pour un poste précisément l'accès au réseau et à internet. Pour définir l'interdiction d'un poste (ou sous réseau) Indiquer l'adresse IP L'heure de début L'heure de fin Le niveau de restriction : Toute activité Réseau ou Web 02/07/09 11 / 26
Pour lever l'interdiction Cliquer dans la liste des postes interdits sur la ligne du poste à ré autoriser 02/07/09 12 / 26
c) Visite des Sites Il est possible d'afficher l'historique des navigations selon un certain nombre de critères. Sur un ou plusieurs jours, il est possible d'afficher tous les logs de navigation et de rechercher selon des horaires une adresse ip des accés refusés :: Attention l'affichage peut se faire sur plusieurs pages :: 02/07/09 13 / 26
d) Sites 1 Filtres Dans cet espace, il est possible d'autoriser des accès web au moyen de filtres soit en utilisant une politique par défaut soit en créant jusqu'à 3 politiques de filtres personnalisées que vous pouvez appliquer distinctement à des groupes machine définit dans l'espace Configuration 2 -> a) Groupe de machine 02/07/09 14 / 26
2 Filtrage Amon grâce au service DansGuardian peut examiner le contenu des pages sur les en-têtes de la page ou sur la totalité de la page. 02/07/09 15 / 26
3 Sites Interdits Amon intègre déjà une liste nationale et académique non consultable - de sites interdits mais il est possible pour l'établissement de composer sa propre liste sites interdits en plus de celles ci-dessus imposées. indiquer le site à interdire sous la forme : www.msn.fr Ici encore, cet accès interdit sera strictement appliqué au réseau pédagogique; vous pouvez affiner la restriction selon le filtrage par défaut de amon et/ou aux politiques de personnalisées 1 2 ou 3 définies dans Menu Configuration 2 d) Sites 1) Filtres Pour ré-autoriser un site interdit, décocher la politique par défaut, 1 2 et 3 puis 02/07/09 16 / 26
4 Sites Autorisés Vous pouvez autoriser l'accès à un site pour le réseau pédagogique alors que celui ci fait partie de la liste noire nationale ou académique. Indiquer le site à autoriser sous la forme : www.ina.fr Vous pouvez affiner l'autorisation selon le filtrage par défaut de amon et/ou aux politiques de personnalisées 1 2 ou 3 Menu Configuration 2 d) Sites 1) Filtres Pour enlever un site autorisé, décocher la politique par défaut, 1 2 et 3 02/07/09 17 / 26
5 Extensions Vous pouvez interdire l'accès en téléchargement ou consultation selon des extensions de fichiers de type mp3, zip, exe... Saisir l'extension à interdire sous la forme : pdf Vous pouvez affiner l'autorisation selon le filtrage par défaut de amon et/ou aux politiques de personnalisées 1 2 ou 3 Menu Configuration 2 d) Sites 1) Filtres Pour ré-autoriser une extension, décocher la politique par défaut, 1 2 et 3 02/07/09 18 / 26
6 Type MIME Le type MIME est utilisé d'une part pour typer les documents attachés à un courrier mais aussi pour typer les documents transférés par le protocole HTTP. Lors d'une transaction entre un serveur web et un navigateur internet, le serveur web envoie en premier lieu le type MIME du fichier envoyé au navigateur, afin que ce dernier puisse savoir de quelle manière afficher le document. Dans ce menu, vous pouvez bloquer l'accès à des pages Internet en bloquant des types MIME. Choisir le type MIME à bloquer et le filtrage Pour ré-autoriser un type MIME, décocher la politique par défaut, 1 2 et 3 02/07/09 19 / 26
7 Sites du mode liste blanche Vous pouvez créer une liste de sites autorisés : l'accès web sera strictement limiter à cette liste pour groupe de machine qui utilisera la politique optionnelle liste blanche voir Configuration 2 a) Groupe de machine) Pour enlever un site du mode liste blanche, cliquer sur le site 02/07/09 20 / 26
3 :: Menu Configuration Générale a) P2P et Horaires du Parefeu 1 P2P Par défaut les échanges Peer to Peer sont interdits Compte tenu de la rapidité d'adaptation des outils de téléchargement peer to peer, ce filtre ne peut être considéré comme fiable à 100% Cliquez sur Autoriser ou Interdire 02/07/09 21 / 26
2 Horaires du Parefeu Définir des horaires d'ouverture Pour chaque jour, choisir les horaires de début et de fin d'ouverture Fermer le parefeu Amon Mettre les horaires à '--------' pour le jour de fermeture 02/07/09 22 / 26
b) Règles du Parefeu!!!! Ce menu est commun au Réseau Administratif ET Pédagogique!!!! Vous pouvez ouvrir des serveurs en établissement sur internet. En rendant actif, l'un de ces serveurs dans l'interface EAD2, vous indiquez à AMON les permissions d'entrées sorties vers ces serveurs. Ils seront placés physiquement sur le réseau DMZ avec un adressage IP spécifique. Le réseau DMZ est un réseau à part du réseau Administratif et du réseau Pédagogique pour assurer une sécurité supplémentaire de ceux-ci. Vous pouvez mettre en place un serveur HTTP HTTPS SSH SCRIBE Pronotes ou Campus Lors de la migration de votre serveur AMON en Version NG, courant 2009, le plan d'adressage IP public et privé de ces serveurs vous a été communiqué sur la Boite Aux Lettres électronique du Secrétariat. Cocher actif sur la ligne du serveur à mettre en place, en cochant par exemple : Ouvrir Serveur Scribe sur ip publique 1!!!! IMPORTANT : Procéder aux ouverture par ordre 1 puis 2 puis 3!!!!!!! si l'adresse IP publique 1 est déjà utilisée pour un Serveur web ftp ssh ou notes Cocher Ouvrir Serveur Scribe sur l'ip publique 2 ou 3!!! 02/07/09 23 / 26
!!!! En cas de doute : n'hésiter pas à prendre contact avec Scol-Téléservices!!!! 02/07/09 24 / 26
4 :: Menu Outils a) Signalement Par l'intermédiaire de ce menu vous pouvez accéder au site http://aiedu.education.fr/ afin d'apporter votre contribution à la fiabilité des listes nationales en proposant la fermeture ou la réouverture d'un site internet. 02/07/09 25 / 26
5 :: Menu Système Serveur Redémarrer!!! Attention vous ne devez jamais éteindre le Serveur AMON!!! :: Pour toute maintenance obligeant l'arrêt du Serveur AMON, veuillez contacter Scol Téléservices :: 02/07/09 26 / 26