Présentation d'un Réseau Escolan



Documents pareils
Présentation d'un Réseau Eole +

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Écoles Rurales Numériques et AbulÉdu

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Les risques HERVE SCHAUER HSC

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

État Réalisé En cours Planifié

Chapitre 2 Rôles et fonctionnalités

Cisco Certified Network Associate

Installation d'un serveur DHCP sous Windows 2000 Serveur

La Solution Crypto et les accès distants

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Phase 1 : Introduction 1 jour : 31/10/13

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

GENERALITES. COURS TCP/IP Niveau 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Assistance à distance sous Windows

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Services Réseaux - Couche Application. TODARO Cédric

ORTIZ Franck Groupe 4. Terminal serveur pour administrer un serveur Windows à distance, client rdp linux.

Licence professionnelle Réseaux et Sécurité Projets tutorés

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Installer une imprimante réseau.

Projet Sécurité des SI

Formation SCRIBE EAD

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Utilisation d'un réseau avec IACA

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Proxy et reverse proxy. Serveurs mandataires et relais inverses

AccessMaster PortalXpert

Restriction sur matériels d impression

Module 0 : Présentation de Windows 2000

La haute disponibilité de la CHAINE DE

NAS 224 Accès distant - Configuration manuelle

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Sécurité des Postes Clients

Logiciel de gestion d'imprimante MarkVision

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Gestion des identités

Annuaire LDAP, SSO-CAS, ESUP Portail...

Projet : PcAnywhere et Le contrôle à distance.

TAGREROUT Seyf Allah TMRIM

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

1 LE L S S ERV R EURS Si 5

Présentation du Serveur SME 6000

But de cette présentation

Tutoriel : Comment installer une compte (une adresse ) sur un logiciel de messagerie (ou client messagerie)?

Menaces et sécurité préventive

Microsoft Windows NT Server

NOTIONS DE RESEAUX INFORMATIQUES

Guide de l'utilisateur de l'application mobile

À propos de la mise à jour Mac OS X (Delta)

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Citrix XenApp 7.5 Concepts et mise en oeuvre de la virtualisation d'applications

Business et contrôle d'accès Web

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Maintenance de son PC

Catalogue & Programme des formations 2015

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

JetClouding Installation

Logiciel 7.0. Système de Base TELMATWEB 7.0 Logiciel Telmatweb V7.0 comprenant les fonctionnalités suivantes en standard : TARIFS PUBLICS

Déployer des Ressources et des Applications sous Android.

Guide d'administration

z Fiche d identité produit

Gestion des utilisateurs et Entreprise Etendue

Sécurité des réseaux Les attaques

Contrôle d accès à Internet

Installation du client Cisco VPN 5 (Windows)

OpenDNS: Un DNS rapide et utile

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Guide Google Cloud Print

Installation du client Cisco VPN 5 (Windows)

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Les modules SI5 et PPE2

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

ClaraExchange 2010 Description des services

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

CONFIGURATION DE BASE

Entrainement à l'évaluation des acquis Windows 2008 R2 et Active Directory

UCOPIA EXPRESS SOLUTION

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Live box et Nas Synology

Déploiement, administration et configuration

Transcription:

Présentation d'un Réseau Escolan Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Escolan. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation). Sommaire Résumé du cahier des charges initial...1 Constitution d'un réseau Escolan :...1 Authentification unique:...2 Décomposition des communauté d'utilisateur...2 Plan d'adressage standardisé :...3 Les spécificités du réseau...3 Les Vlans...3 Utilité...3 Evolutivité...3 Schéma de principe...3 Vlan Transport...4 Utilité...4 Conséquences...4 Authentification obligatoire pour accès internet...5 Conclusions :...5 Tableau d'analyse des choix technologiques :...6 Explications en images :...7 Comment interdire efficacement l'accès a des sites illicites :...7 Cas de l'accès complètement ouvert en sortie :...7 Cas de l'accès partiellement ouvert en sortie :...7 Cas de l'accès partiellement ouvert en sortie et d'un proxy :...8 Utilisation de proxy anonymisants externes :...9 Résumé du cahier des charges initial Constitution d'un réseau Escolan : Le réseau est constitué : D'un ensemble de services typiquement réseau : un serveur DHCP configurées, capable de gérer les vlan un serveur DNS dynamique, lié au service de DHCP un annuaire d'authentification unique GIP RECIA http://www.recia.fr infra@recia.fr 1/10

Documentation officielle des filtres permettant d'assurer la sécurité et la traçabilité des usagers. D'un ensemble de services plutôt orienté utilisateurs : Service de partage de fichiers personnel et collectif Service de «Dossiers web» personnel et collectif Service de base de données client/serveur Outils de travail collaboratifs ( Gestion de devoirs, de partages spécialisés, ) Panoplie d'outils divers (Publication, enseignement assisté, documentation rapide,...) D'une infrastructure réseau sécurisée et évolutive : Vlan, avec possibilité de vlan dynamique Technologie intégrant le wifi sécurisé ( matériel spécifique obligatoire pour assurer la sécurité du réseau ) Ces différents ensembles sont très étroitement liés, et bon nombre de fonctionnalités réseau sont limités de part les choix technologiques et les choix de configurations fait a différents niveau. Ces choix ont toujours été fait dans un but d'améliorer la sécurité et de diminuer la probabilité de DOS sur le réseau. Authentification unique: L'une des principales caractéristiques de Escolan est de proposer une authentification unique et centralisée sur l'ensemble des services réseaux. Cette authentification est utilisée à la fois lors de l'authentification sur les services de partage de fichiers, sur les accès aux web, à l'interface d'administration, aux espaces de travail collaboratif, sur les vlan dynamiques,... Tout service et/ou programme capable d'utiliser le standard d'authentification LDAP pourra bénéficier de l'authentification unique. De plus, le standard d'authentification unix (PAM) est capable d'utiliser l'authentification LDAP. Tout les services/programmes capables d'utiliser ce standard pourront eux aussi bénéficier de l'authentification unique. Enfin, puisque l'authentification LDAP est aussi utilisée sur les serveurs de fichiers, les standards lanmanger et NTLM de Microsoft pourront être mise en oeuvre. Remarque : authentification unique ne veux pas dire «Single Sign On». Les services web peuvent re-demander l'authentification si nécessaire. La base d'authentification est unique. La mise en place d'un SSO complet est à l'étude. Décomposition des communauté d'utilisateur Le cahier des charges d'escolan met l'accent sur l'existence de différentes communautés dans un établissement scolaire. Ces communautés ont chacune leurs spécificités, et de ces spécificités découlent les droits qu'elles ont sur d'autre communautés. Par exemple, les élèves, comme les professeurs doivent pouvoir accéder aux serveurs de fichiers ou ils stockent leurs documents personnels. Par contre, un professeur doit pouvoir accéder au logiciel de gestion de notes, alors que les élèves ne doivent pas pouvoir le faire. Confier cette tache aux serveurs rends l'ensemble du réseau vulnérable à la moindre faille sur système d'exploitation des serveurs. Afin de limiter au maximum ce risque, Escolan s'appuie une technologie vlan. Deux modes de fonctionnement sont possibles : statique : une prise = un point d'entrée dans un vlan donné. Dynamique : une authentification très sécurisée permet de basculer dynamiquement la GIP RECIA http://www.recia.fr infra@recia.fr 2/10

station dans un vlan en fonction des droits associés que compte de l'usager connecté. Plan d'adressage standardisé : Un plan d'adressage standardisé est proposé à l'ensemble des établissements. Ce plan d'adressage inclus un certain nombre de contraintes liées entre autre aux vlans, aux besoins de télémaintenance, aux contraintes de fonctionnement du réseau coté administratif fixés par la DPMA dans le cas des lycées, aux contraintes fixées par les hôpitaux dans les cas des EFSS,. Ce plan d'adressage est fourni lors de l'installation, et est disponible dans l'interface d'administration. Il est aussi possible d'en demander un copie à la télémaintenance. Les spécificités du réseau Les Vlans Utilité Les vlan permettent de cloisonner le réseau en différents sous-réseau, reliés entre eux par des routeurs. Ces routeurs permettent d'organiser la visibilité entre les Vlans de manières assez souple. Evolutivité Le concept des vlans est très souple. Il permet d'envisager des évolutions à cour ou moyen terme. Ils nous permettent de mettre en place la téléphonie ip, la visioconférence, le wifi, de basculer en vlan dynamique, utilisant l'authentification unique,... Schéma de principe GIP RECIA http://www.recia.fr infra@recia.fr 3/10

Vlan Transport le Vlan Communication est non routé dans un réseau Escolan. Ce point particulier à plein de conséquences sur le fonctionnement du réseau. Utilité Ce choix se justifie par la nécessité de maîtriser les flux d'informations en provenance et à destination d'internet. Un réseau complètement routé peut permettre à une machine de sortir directement sur internet en évitant les zones de filtrage. La seule manière d'interdire tout court-circuitage des zones de filtrage est de les rendre obligatoires. Puisque le vlan communication n'est pas routé, les paquets arrivent jusque dans ce vlan et ne savent plus où aller. Seul le serveur de communication «Proxy» est alors capable de traiter les paquet. Conséquences Les conséquences sont multiples pour les usagers : Obligation d'utiliser systématiquement un proxy pour aller sur internet Impossibilité de mettre en place des clients de mail lourd. Les mails sont consultés via les webmails. Impossibilité de visualiser les flux video lorsque ceux-ci ne sont pas proxiifiables GIP RECIA http://www.recia.fr infra@recia.fr 4/10

Impossibilité de prendre la main sur une machine distante depuis le réseau pédagogique... Toutes ces impossibilités sont motivées par les nombreuses possibilités de contournement qu'offrent quotidiennement les sites pirates sur internet ( proxy anonymes, rebond sur des machines extérieurs, ) pour accéder a des sites illicites. Le paragraphe Explications en images tente d'expliquer ces notions à partir d'exmples concrets. Authentification obligatoire pour accès internet. L'accès a l'intranet ( serveur web interne à l'établissement ) est complètement transparent à l'utilisateur. Il n'a pas besoin d'être authentifié par le proxy. Par contre, dés que l'utilisateur va sur internet, l'établissement est légalement tenu de tracer nominativement les utilisateurs sans quoi l'établissement est responsable globalement responsable des agissements des usagers. C'est la raison pour laquelle tout accès internet requière une authentification. Pour des raisons de simplicité de fonctionnement dans le vlan éleves, l'indentification des usagers se fait actuellement par recoupement des informations de connexion au domaine. La mise en place des vlans dynamiques permet de garantir une meilleur tracabilité des usagers ( puisque l'ouverture du port du switch requiere une authentification ). Cette technologie permet de laisser des accès très ouverts tout en gardant la tracabilité. L'authentification tranparente par «ntlm» a été supprimé pou car bon nombre d'applications ne géraient pas l'authentification via ntlm. Du coup, les stations de travail avaient des comportement erratiques. Du fait de la présence de l'authentification, il est impossible de mettre en place un proxy transparent. Il est donc obligatoire de configurer les stations de travail pour qu'elles utilisent le proxy. Cette configuration est automatique dans la plupart des cas. Ce point est détaillé plus loin dans la documentation. Conclusions : Tout logiciel qui n'est pas capable d'utiliser un proxy ( éventuellement authentifié, selon les réglages ) ne pourra pas fonctionner sur le réseau. Il est nécessaire de paramétrer correctement les logiciels (maj automatique d'antivirus, de windows, ) Surveillance toute particulière à apporter sur le fonctionnement des profils errants (disparition des paramètres de proxy,...) Exemple de problème : Windows XP est incapable de valider sa licence lors de l'installation, du fait qu'il ne propose pas de configurer le proxy à ce point de l'installation. Il faut donc dans ce cas ne pas valider, finir l'installation, régler le proxy, puis valider la licence ( Ce bug semble corrigé sur les versions ressentes de XP ). GIP RECIA http://www.recia.fr infra@recia.fr 5/10

Tableau d'analyse des choix technologiques : Type d'applications Avantages Inconvénients et conséquences Clients mail Limitation des problèmes de configurations Limitation des problèmes de maintenance Suppression des problèmes de profils errant Amène les utilisateurs à s'intéresser au GroupWare installé sur le site, et donc élargissement de l'horizon applicatif. Diminution importante du risque viral PEER-TO-PEER Du fait de la combinaison non routage + proxy authentifié, le peer-to-peer est plus compliqué à mettre en place. Virus Limitation des possibilités d'attaque de virus et de vers. Les virus sont gênés pour accéder au web. La propagation est plus difficile. La propagation directe entre les vlans personnels et élèves est impossible du fait du cloisonnement. Impression Forte recommandation d'utiliser un serveur d'impression. Cela permet de contrôler le fonctionnement général des impressions. Possibilité de gérer les impressions, les quotas, d'abstraire les drivers,.. Interdit aux virus d'attaquer directement les imprimantes. Permet d'installer les imprimantes en fonction de l'utilisateur connecté et de la salle. Partage de fichiers Isolement des postes, et par conséquent, limitation de la visibilité. Un partage sur le vlan personnels n'est visible que depuis le vlan personnels. (dossiers et/ou imprimantes) cette pratique n'est pas à encourager. Pousser les utilisateurs à utiliser les partages des serveurs. Frustration des utilisateurs habitués aux clients de messagerie (notamment les différentes versions d'outlook) De la pédagogie est nécessaire pour expliquer en quoi l'utilisation d'un Groupware ou d'un WebMail est préférable à un client de messagerie traditionnel? Fort changement des habitudes. L'impression poste à poste est limitée au vlan de la machine partageant l'imprimante. Grosse difficulté de compréhension du concept de serveur d'impression la part des utilisateurs Gros problèmes d'impression souvent dus à des bug dans les drivers d'imprimantes ou à des incompatibilité matériel (boitier fonctionnant mal en général). Pas de vue globale du réseau : Certaines machines sont accessibles d'un coté, mais pas de l'autre. Pourtant, elle apparaissent partout, puisqu'elle sont enregistrées dans le Wins Le réseau Microsoft est un réseau qui a beaucoup de mal à fonctionner en environnement routé. La mise en place d'un serveur wins est obligatoire. ATTENTION : ON NE PEUT AVOIR Q'UN SEUL SERVEUR WINS DANS UN RESEAU. SI VOUS AVEZ D'AUTRES SERVEURS SUR LE RESEAU, CONTROLEZ QUE LES WINS DE SES SERVEURS SONT ETEINDS De plus, du fait de l'imbrication très forte des différents services réseaux, un fonctionnement correct du DNS est lui aussi obligatoire pour que le réseau Microsoft fonctionne correctement. Explications en images : Comment interdire efficacement l'accès a des sites illicites : Cas de l'accès complètement ouvert en sortie : GIP RECIA http://www.recia.fr infra@recia.fr 6/10

Dans ce cas, il n'y a aucune possibilité de filtrage. Les utilisateurs accèdent librement à internet. C'est la configuration «comme à la maison». Le firewall est configuré pour interdire les intrusions venant de l'extérieur. Tout flux initié de l'intérieur du réseau vers l'extérieur est autorisé. Cas de l'accès partiellement ouvert en sortie : Solution intermédiaire, peu sécurisée : Dans ce cas, le firewall est configuré pour interdire les intrusions venant de l'extérieur. Tout flux initié de l'intérieur du réseau vers l'extérieur est autorisé, à l'exception des flux vers les ports standardisé du web ( 80,8080,3128,443 ), lesquels sont redirigé vers un dispositif de filtrage, qui permet d'interdire l'accès à certains site. On voie sur ce schéma que l'accès à un site illicite sur un port quelconque ( 1280 dans l'exemple ) n'est pas intercepté par le firwall. De même, des outils de téléchargement qui utiliseraient des ports spécifiques pourrait télécharger de manière incontrôlé n'importe quel contenu ( licite ou non ). Par contre, ça marche presque «comme à la maison». Tous les outils marchent sans configuration particulière. GIP RECIA http://www.recia.fr infra@recia.fr 7/10

Cas de l'accès partiellement ouvert en sortie et d'un proxy : Ce cas est très proche du précédent. Le schéma sert principalement à comprendre le principe de fonctionnement d'un proxy depuis un client : Le client est configuré pour utiliser le proxy. Toutes les requêtes du client, quelles qu'elles soient, remontent vers le proxy ( requêtes http, https, ou sur n'importe quel autre port ). Les requêtes ftp aussi remontent vers le proxy. Le proxy analyse alors les requêtes et autorise ou non l'accès à la ressource. Le proxy a différentes méthodes d'analyse ( par liste d'url, par fréquence de mots dans les pages, par expression interdites dans les pages ou dans les url, ). Par contre, le proxy ne traite que les requêtes «internet». Il n'est pas conçu pour proxiiser des protocoles autre que le http. Il ne proxisera pas les requêtes ssh, imap, pop,. Utilisation de proxy anonymisants externes : Une méthode possible pour contourner les filtres d'accès mis en place est d'utiliser un proxy anonymisant sur internet. Ces proxy sont soit des sites web qui permettent d'afficher à leur url contenu de pages web diverse, soit de véritables serveurs proxy ( utilisant le protocole d'encapsulation des proxy ). Le premier type de proxy est aisément bloquable via les listes d'interdiction du proxy interne. Par contre, le second type est beaucoup plus compliqué a bloquer. En effet, le proxy peut fonctionner sur n'importe quel port. Du coup, le simple fait de laisser un port ouvert en sortie laisse la possibilité d'accéder à de tels proxy. Si l'utilisateur que l'on désire tracer dispose d'un tel proxy, il nous serra complètement impossible de savoir ce qu'il fait. Dans l'exemple proposé, le proxy externe peut fonctionner sur n'importe quel port ouvert comme les ports 80, 8080, 3128 oubien 443. Mais l'accès peut aussi se faire sur des ports complètement différents, réservés GIP RECIA http://www.recia.fr infra@recia.fr 8/10

théoriquement à d'autres usages : 143 ( port imap de messagerie ) 53 ( port dns ) Documentation officielle Du coup, n'importe quel port laissé ouvert en sortie permet à un usager à l'intérieur du réseau d'accéder à un proxy anonymisant à l'extérieur du réseau, et du coup de surfer en toute impunité. La seule méthode pour contrer ce genre de contournement extrêmement simple à réaliser et très répandu sur le web ( une petite recherche sur google avec les termes «ports proxy anonymisant» vous donnera une idée du nombre de proxy disponibles...), consiste a interdire explicitement tout accès sortant non proxiisé. La conséquence directe de cette interdiction est l'impossibilité aux autre protocoles réseau de fonctionner vers internet. C'est à cause de cette interdiction qu'il est impossible d'utiliser un client de messagerie lourd sur le réseau pédagogique, oubien d'ouvrir un session ssh vers un serveur externe, oubien de faire des requetes dns sur des serveurs externes. GIP RECIA http://www.recia.fr infra@recia.fr 9/10

On travail ensuite par liste blanche, en autorisant sélectivement, port par port, et adresse par adresse les accès sortants. Cela permet par exemple de rétablir les accès aux messagerie à l'aide de clients lourds, mais uniquement sur certain domaines parfaitement connus ( laposte.net par exemple ) GIP RECIA http://www.recia.fr infra@recia.fr 10/10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back