Présentation d'un Réseau Escolan Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Escolan. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation). Sommaire Résumé du cahier des charges initial...1 Constitution d'un réseau Escolan :...1 Authentification unique:...2 Décomposition des communauté d'utilisateur...2 Plan d'adressage standardisé :...3 Les spécificités du réseau...3 Les Vlans...3 Utilité...3 Evolutivité...3 Schéma de principe...3 Vlan Transport...4 Utilité...4 Conséquences...4 Authentification obligatoire pour accès internet...5 Conclusions :...5 Tableau d'analyse des choix technologiques :...6 Explications en images :...7 Comment interdire efficacement l'accès a des sites illicites :...7 Cas de l'accès complètement ouvert en sortie :...7 Cas de l'accès partiellement ouvert en sortie :...7 Cas de l'accès partiellement ouvert en sortie et d'un proxy :...8 Utilisation de proxy anonymisants externes :...9 Résumé du cahier des charges initial Constitution d'un réseau Escolan : Le réseau est constitué : D'un ensemble de services typiquement réseau : un serveur DHCP configurées, capable de gérer les vlan un serveur DNS dynamique, lié au service de DHCP un annuaire d'authentification unique GIP RECIA http://www.recia.fr infra@recia.fr 1/10
Documentation officielle des filtres permettant d'assurer la sécurité et la traçabilité des usagers. D'un ensemble de services plutôt orienté utilisateurs : Service de partage de fichiers personnel et collectif Service de «Dossiers web» personnel et collectif Service de base de données client/serveur Outils de travail collaboratifs ( Gestion de devoirs, de partages spécialisés, ) Panoplie d'outils divers (Publication, enseignement assisté, documentation rapide,...) D'une infrastructure réseau sécurisée et évolutive : Vlan, avec possibilité de vlan dynamique Technologie intégrant le wifi sécurisé ( matériel spécifique obligatoire pour assurer la sécurité du réseau ) Ces différents ensembles sont très étroitement liés, et bon nombre de fonctionnalités réseau sont limités de part les choix technologiques et les choix de configurations fait a différents niveau. Ces choix ont toujours été fait dans un but d'améliorer la sécurité et de diminuer la probabilité de DOS sur le réseau. Authentification unique: L'une des principales caractéristiques de Escolan est de proposer une authentification unique et centralisée sur l'ensemble des services réseaux. Cette authentification est utilisée à la fois lors de l'authentification sur les services de partage de fichiers, sur les accès aux web, à l'interface d'administration, aux espaces de travail collaboratif, sur les vlan dynamiques,... Tout service et/ou programme capable d'utiliser le standard d'authentification LDAP pourra bénéficier de l'authentification unique. De plus, le standard d'authentification unix (PAM) est capable d'utiliser l'authentification LDAP. Tout les services/programmes capables d'utiliser ce standard pourront eux aussi bénéficier de l'authentification unique. Enfin, puisque l'authentification LDAP est aussi utilisée sur les serveurs de fichiers, les standards lanmanger et NTLM de Microsoft pourront être mise en oeuvre. Remarque : authentification unique ne veux pas dire «Single Sign On». Les services web peuvent re-demander l'authentification si nécessaire. La base d'authentification est unique. La mise en place d'un SSO complet est à l'étude. Décomposition des communauté d'utilisateur Le cahier des charges d'escolan met l'accent sur l'existence de différentes communautés dans un établissement scolaire. Ces communautés ont chacune leurs spécificités, et de ces spécificités découlent les droits qu'elles ont sur d'autre communautés. Par exemple, les élèves, comme les professeurs doivent pouvoir accéder aux serveurs de fichiers ou ils stockent leurs documents personnels. Par contre, un professeur doit pouvoir accéder au logiciel de gestion de notes, alors que les élèves ne doivent pas pouvoir le faire. Confier cette tache aux serveurs rends l'ensemble du réseau vulnérable à la moindre faille sur système d'exploitation des serveurs. Afin de limiter au maximum ce risque, Escolan s'appuie une technologie vlan. Deux modes de fonctionnement sont possibles : statique : une prise = un point d'entrée dans un vlan donné. Dynamique : une authentification très sécurisée permet de basculer dynamiquement la GIP RECIA http://www.recia.fr infra@recia.fr 2/10
station dans un vlan en fonction des droits associés que compte de l'usager connecté. Plan d'adressage standardisé : Un plan d'adressage standardisé est proposé à l'ensemble des établissements. Ce plan d'adressage inclus un certain nombre de contraintes liées entre autre aux vlans, aux besoins de télémaintenance, aux contraintes de fonctionnement du réseau coté administratif fixés par la DPMA dans le cas des lycées, aux contraintes fixées par les hôpitaux dans les cas des EFSS,. Ce plan d'adressage est fourni lors de l'installation, et est disponible dans l'interface d'administration. Il est aussi possible d'en demander un copie à la télémaintenance. Les spécificités du réseau Les Vlans Utilité Les vlan permettent de cloisonner le réseau en différents sous-réseau, reliés entre eux par des routeurs. Ces routeurs permettent d'organiser la visibilité entre les Vlans de manières assez souple. Evolutivité Le concept des vlans est très souple. Il permet d'envisager des évolutions à cour ou moyen terme. Ils nous permettent de mettre en place la téléphonie ip, la visioconférence, le wifi, de basculer en vlan dynamique, utilisant l'authentification unique,... Schéma de principe GIP RECIA http://www.recia.fr infra@recia.fr 3/10
Vlan Transport le Vlan Communication est non routé dans un réseau Escolan. Ce point particulier à plein de conséquences sur le fonctionnement du réseau. Utilité Ce choix se justifie par la nécessité de maîtriser les flux d'informations en provenance et à destination d'internet. Un réseau complètement routé peut permettre à une machine de sortir directement sur internet en évitant les zones de filtrage. La seule manière d'interdire tout court-circuitage des zones de filtrage est de les rendre obligatoires. Puisque le vlan communication n'est pas routé, les paquets arrivent jusque dans ce vlan et ne savent plus où aller. Seul le serveur de communication «Proxy» est alors capable de traiter les paquet. Conséquences Les conséquences sont multiples pour les usagers : Obligation d'utiliser systématiquement un proxy pour aller sur internet Impossibilité de mettre en place des clients de mail lourd. Les mails sont consultés via les webmails. Impossibilité de visualiser les flux video lorsque ceux-ci ne sont pas proxiifiables GIP RECIA http://www.recia.fr infra@recia.fr 4/10
Impossibilité de prendre la main sur une machine distante depuis le réseau pédagogique... Toutes ces impossibilités sont motivées par les nombreuses possibilités de contournement qu'offrent quotidiennement les sites pirates sur internet ( proxy anonymes, rebond sur des machines extérieurs, ) pour accéder a des sites illicites. Le paragraphe Explications en images tente d'expliquer ces notions à partir d'exmples concrets. Authentification obligatoire pour accès internet. L'accès a l'intranet ( serveur web interne à l'établissement ) est complètement transparent à l'utilisateur. Il n'a pas besoin d'être authentifié par le proxy. Par contre, dés que l'utilisateur va sur internet, l'établissement est légalement tenu de tracer nominativement les utilisateurs sans quoi l'établissement est responsable globalement responsable des agissements des usagers. C'est la raison pour laquelle tout accès internet requière une authentification. Pour des raisons de simplicité de fonctionnement dans le vlan éleves, l'indentification des usagers se fait actuellement par recoupement des informations de connexion au domaine. La mise en place des vlans dynamiques permet de garantir une meilleur tracabilité des usagers ( puisque l'ouverture du port du switch requiere une authentification ). Cette technologie permet de laisser des accès très ouverts tout en gardant la tracabilité. L'authentification tranparente par «ntlm» a été supprimé pou car bon nombre d'applications ne géraient pas l'authentification via ntlm. Du coup, les stations de travail avaient des comportement erratiques. Du fait de la présence de l'authentification, il est impossible de mettre en place un proxy transparent. Il est donc obligatoire de configurer les stations de travail pour qu'elles utilisent le proxy. Cette configuration est automatique dans la plupart des cas. Ce point est détaillé plus loin dans la documentation. Conclusions : Tout logiciel qui n'est pas capable d'utiliser un proxy ( éventuellement authentifié, selon les réglages ) ne pourra pas fonctionner sur le réseau. Il est nécessaire de paramétrer correctement les logiciels (maj automatique d'antivirus, de windows, ) Surveillance toute particulière à apporter sur le fonctionnement des profils errants (disparition des paramètres de proxy,...) Exemple de problème : Windows XP est incapable de valider sa licence lors de l'installation, du fait qu'il ne propose pas de configurer le proxy à ce point de l'installation. Il faut donc dans ce cas ne pas valider, finir l'installation, régler le proxy, puis valider la licence ( Ce bug semble corrigé sur les versions ressentes de XP ). GIP RECIA http://www.recia.fr infra@recia.fr 5/10
Tableau d'analyse des choix technologiques : Type d'applications Avantages Inconvénients et conséquences Clients mail Limitation des problèmes de configurations Limitation des problèmes de maintenance Suppression des problèmes de profils errant Amène les utilisateurs à s'intéresser au GroupWare installé sur le site, et donc élargissement de l'horizon applicatif. Diminution importante du risque viral PEER-TO-PEER Du fait de la combinaison non routage + proxy authentifié, le peer-to-peer est plus compliqué à mettre en place. Virus Limitation des possibilités d'attaque de virus et de vers. Les virus sont gênés pour accéder au web. La propagation est plus difficile. La propagation directe entre les vlans personnels et élèves est impossible du fait du cloisonnement. Impression Forte recommandation d'utiliser un serveur d'impression. Cela permet de contrôler le fonctionnement général des impressions. Possibilité de gérer les impressions, les quotas, d'abstraire les drivers,.. Interdit aux virus d'attaquer directement les imprimantes. Permet d'installer les imprimantes en fonction de l'utilisateur connecté et de la salle. Partage de fichiers Isolement des postes, et par conséquent, limitation de la visibilité. Un partage sur le vlan personnels n'est visible que depuis le vlan personnels. (dossiers et/ou imprimantes) cette pratique n'est pas à encourager. Pousser les utilisateurs à utiliser les partages des serveurs. Frustration des utilisateurs habitués aux clients de messagerie (notamment les différentes versions d'outlook) De la pédagogie est nécessaire pour expliquer en quoi l'utilisation d'un Groupware ou d'un WebMail est préférable à un client de messagerie traditionnel? Fort changement des habitudes. L'impression poste à poste est limitée au vlan de la machine partageant l'imprimante. Grosse difficulté de compréhension du concept de serveur d'impression la part des utilisateurs Gros problèmes d'impression souvent dus à des bug dans les drivers d'imprimantes ou à des incompatibilité matériel (boitier fonctionnant mal en général). Pas de vue globale du réseau : Certaines machines sont accessibles d'un coté, mais pas de l'autre. Pourtant, elle apparaissent partout, puisqu'elle sont enregistrées dans le Wins Le réseau Microsoft est un réseau qui a beaucoup de mal à fonctionner en environnement routé. La mise en place d'un serveur wins est obligatoire. ATTENTION : ON NE PEUT AVOIR Q'UN SEUL SERVEUR WINS DANS UN RESEAU. SI VOUS AVEZ D'AUTRES SERVEURS SUR LE RESEAU, CONTROLEZ QUE LES WINS DE SES SERVEURS SONT ETEINDS De plus, du fait de l'imbrication très forte des différents services réseaux, un fonctionnement correct du DNS est lui aussi obligatoire pour que le réseau Microsoft fonctionne correctement. Explications en images : Comment interdire efficacement l'accès a des sites illicites : Cas de l'accès complètement ouvert en sortie : GIP RECIA http://www.recia.fr infra@recia.fr 6/10
Dans ce cas, il n'y a aucune possibilité de filtrage. Les utilisateurs accèdent librement à internet. C'est la configuration «comme à la maison». Le firewall est configuré pour interdire les intrusions venant de l'extérieur. Tout flux initié de l'intérieur du réseau vers l'extérieur est autorisé. Cas de l'accès partiellement ouvert en sortie : Solution intermédiaire, peu sécurisée : Dans ce cas, le firewall est configuré pour interdire les intrusions venant de l'extérieur. Tout flux initié de l'intérieur du réseau vers l'extérieur est autorisé, à l'exception des flux vers les ports standardisé du web ( 80,8080,3128,443 ), lesquels sont redirigé vers un dispositif de filtrage, qui permet d'interdire l'accès à certains site. On voie sur ce schéma que l'accès à un site illicite sur un port quelconque ( 1280 dans l'exemple ) n'est pas intercepté par le firwall. De même, des outils de téléchargement qui utiliseraient des ports spécifiques pourrait télécharger de manière incontrôlé n'importe quel contenu ( licite ou non ). Par contre, ça marche presque «comme à la maison». Tous les outils marchent sans configuration particulière. GIP RECIA http://www.recia.fr infra@recia.fr 7/10
Cas de l'accès partiellement ouvert en sortie et d'un proxy : Ce cas est très proche du précédent. Le schéma sert principalement à comprendre le principe de fonctionnement d'un proxy depuis un client : Le client est configuré pour utiliser le proxy. Toutes les requêtes du client, quelles qu'elles soient, remontent vers le proxy ( requêtes http, https, ou sur n'importe quel autre port ). Les requêtes ftp aussi remontent vers le proxy. Le proxy analyse alors les requêtes et autorise ou non l'accès à la ressource. Le proxy a différentes méthodes d'analyse ( par liste d'url, par fréquence de mots dans les pages, par expression interdites dans les pages ou dans les url, ). Par contre, le proxy ne traite que les requêtes «internet». Il n'est pas conçu pour proxiiser des protocoles autre que le http. Il ne proxisera pas les requêtes ssh, imap, pop,. Utilisation de proxy anonymisants externes : Une méthode possible pour contourner les filtres d'accès mis en place est d'utiliser un proxy anonymisant sur internet. Ces proxy sont soit des sites web qui permettent d'afficher à leur url contenu de pages web diverse, soit de véritables serveurs proxy ( utilisant le protocole d'encapsulation des proxy ). Le premier type de proxy est aisément bloquable via les listes d'interdiction du proxy interne. Par contre, le second type est beaucoup plus compliqué a bloquer. En effet, le proxy peut fonctionner sur n'importe quel port. Du coup, le simple fait de laisser un port ouvert en sortie laisse la possibilité d'accéder à de tels proxy. Si l'utilisateur que l'on désire tracer dispose d'un tel proxy, il nous serra complètement impossible de savoir ce qu'il fait. Dans l'exemple proposé, le proxy externe peut fonctionner sur n'importe quel port ouvert comme les ports 80, 8080, 3128 oubien 443. Mais l'accès peut aussi se faire sur des ports complètement différents, réservés GIP RECIA http://www.recia.fr infra@recia.fr 8/10
théoriquement à d'autres usages : 143 ( port imap de messagerie ) 53 ( port dns ) Documentation officielle Du coup, n'importe quel port laissé ouvert en sortie permet à un usager à l'intérieur du réseau d'accéder à un proxy anonymisant à l'extérieur du réseau, et du coup de surfer en toute impunité. La seule méthode pour contrer ce genre de contournement extrêmement simple à réaliser et très répandu sur le web ( une petite recherche sur google avec les termes «ports proxy anonymisant» vous donnera une idée du nombre de proxy disponibles...), consiste a interdire explicitement tout accès sortant non proxiisé. La conséquence directe de cette interdiction est l'impossibilité aux autre protocoles réseau de fonctionner vers internet. C'est à cause de cette interdiction qu'il est impossible d'utiliser un client de messagerie lourd sur le réseau pédagogique, oubien d'ouvrir un session ssh vers un serveur externe, oubien de faire des requetes dns sur des serveurs externes. GIP RECIA http://www.recia.fr infra@recia.fr 9/10
On travail ensuite par liste blanche, en autorisant sélectivement, port par port, et adresse par adresse les accès sortants. Cela permet par exemple de rétablir les accès aux messagerie à l'aide de clients lourds, mais uniquement sur certain domaines parfaitement connus ( laposte.net par exemple ) GIP RECIA http://www.recia.fr infra@recia.fr 10/10