• Auteurs :
    • ChristopheDubreuil
  • Version : 2.0

  • Date de création :

    16/03/2012

  • Modification : Pas de modification

  • Status : En cours d'écriture

  • Relectures :

    Relu par :

  • Validation :
    Validé par :
    • Non validé
  • Destinataire :

  • Commentaires :

  • Vie du document :
    • 1.0 :

      Version initiale

      15/12/2011

img_logo_escolan.png

Présentation d'ESCOLAN

Résumé du cahier des charges initial

Constitution d'un réseau Escolan

Le réseau est constitué :

D'un ensemble de services typiquement réseau :

  • un serveur DHCP configuré, capable de gérer les vlan
  • un serveur DNS dynamique, lié au service de DHCP
  • un annuaire d'authentification unique
  • des filtres permettant d'assurer la sécurité et la traçabilité des usagers.

D'un ensemble de services plutôt orienté utilisateurs :

  • Service de partage de fichiers personnel et collectif
  • Service de « Dossiers web » personnel et collectif
  • Service de base de données client/serveur
  • Outils de travail collaboratif ( Gestion de devoirs, de partages spécialisés, … )
  • Panoplie d'outils divers (Publication, enseignement assisté, documentation rapide, ...)

D'une infrastructure réseau sécurisée et évolutive :

  • Vlan, avec possibilité de vlan dynamique
  • Technologie intégrant le wifi sécurisé ( matériel spécifique obligatoire pour assurer la sécurité du réseau )

Ces différents ensembles sont très étroitement liés, et bon nombre de fonctionnalités réseau sont limités de part les choix technologiques et les choix de configurations fait à différents niveaux. Ces choix ont toujours été faits dans un but d'améliorer la sécurité et de diminuer la probabilité de DOS sur le réseau.

Authentification unique

L'une des principales caractéristiques de Escolan est de proposer une authentification unique et centralisée sur l'ensemble des services réseaux. Cette authentification est utilisée à la fois lors de l'authentification sur les services de partage de fichiers, sur les accès aux web, à l'interface d'administration, aux espaces de travail collaboratif, sur les vlan dynamiques, ...

Tout service et/ou programme capable d'utiliser le standard d'authentification LDAP pourra bénéficier de l'authentification unique.

De plus, le standard d'authentification unix (PAM) est capable d'utiliser l'authentification LDAP. Tout les services/programmes capables d'utiliser ce standard pourront eux aussi bénéficier de l'authentification unique.

Enfin, puisque l'authentification LDAP est aussi utilisée sur les serveurs de fichiers, les standards lanmanger et NTLM de Microsoft pourront être mise en oeuvre.

Remarque : authentification unique ne veux pas dire «Single Sign On ». Les services web peuvent re-demander l'authentification si nécessaire. La base d'authentification est unique.

La mise en place d'un SSO complet est à l'étude.

Décomposition des communautés d'utilisateurs

Le cahier des charges d'Escolan met l'accent sur l'existence de différentes communautés dans un établissement scolaire. Ces communautés ont chacune leurs spécificités, et de ces spécificités découlent les droits qu'elles ont sur d'autres communautés.

Par exemple, les élèves, comme les professeurs doivent pouvoir accéder aux serveurs de fichiers ou ils stockent leurs documents personnels. Par contre, un professeur doit pouvoir accéder au logiciel de gestion de notes, alors que les élèves ne doivent pas pouvoir le faire.

Confier cette tache aux serveurs rends l'ensemble du réseau vulnérable à la moindre faille sur système d'exploitation des serveurs.

Afin de limiter au maximum ce risque, Escolan s'appuie une technologie vlan. Deux modes de fonctionnement sont possibles :

  • statique : une prise = un point d'entrée dans un vlan donné.
  • Dynamique : une authentification très sécurisée permet de basculer dynamiquement la station dans un vlan en fonction des droits associés que compte de l'usager connecté.
Plan d'adressage standardisé

Un plan d'adressage standardisé est proposé à l'ensemble des établissements. Ce plan d'adressage inclus un certain nombre de contraintes liées entre autre aux vlans, aux besoins de télémaintenance, aux contraintes de fonctionnement du réseau coté administratif fixés par la DPMA dans le cas des lycées, aux contraintes fixées par les hôpitaux dans les cas des EFSS, ….

Ce plan d'adressage est fourni lors de l'installation, et est disponible dans l'interface d'administration. Il est aussi possible d'en demander un copie à la télémaintenance.

Les spécificités du réseau

Les Vlans
Utilité

Les vlan permettent de cloisonner le réseau en différents sous-réseau, reliés entre eux par des routeurs. Ces routeurs permettent d'organiser la visibilité entre les Vlans de manières assez souple.

Evolutivité

Le concept des vlans est très souple. Il permet d'envisager des évolutions à court ou moyen terme. Ils nous permettent de mettre en place la téléphonie ip, la visioconférence, le wifi, de basculer en vlan dynamique, utilisant l'authentification unique, ...

Le vlan Transport

le Vlan Communication est non routé dans un réseau Escolan. Ce point particulier à plein de conséquences sur le fonctionnement du réseau.

Utilité

Ce choix se justifie par la nécessité de maîtriser les flux d'informations en provenance et à destination d'Internet.

Un réseau complètement routé peut permettre à une machine de sortir directement sur internet en évitant les zones de filtrage. La seule manière d'interdire tout court-circuitage des zones de filtrage est de les rendre obligatoires.

Puisque le vlan communication n'est pas routé, les paquets arrivent jusque dans ce vlan et ne savent plus où aller. Seul le serveur de communication « Proxy » est alors capable de traiter les paquets.

Conséquences

Les conséquences sont multiples pour les usagers :

  • Obligation d'utiliser systématiquement un proxy pour aller sur internet
  • Impossibilité de mettre en place des clients de mail lourd. Les mails sont consultés via les webmails.
  • Impossibilité de visualiser les flux video lorsque ceux-ci ne sont pas proxiifiables
  • Impossibilité de prendre la main sur une machine distante depuis le réseau pédagogique
  • ...

Toutes ces impossibilités sont motivées par les nombreuses possibilités de contournement qu'offrent quotidiennement les sites pirates sur internet ( proxy anonymes, rebond sur des machines extérieurs, … ) pour accéder à des sites illicites.

Le paragraphe Explications en images tente d'expliquer ces notions à partir d'exmples concrets.

Authentification obligatoire pour accès internet.

L'accès à l'Intranet ( serveur web interne à l'établissement ) est complètement transparent à l'utilisateur. Il n'a pas besoin d'être authentifié par le proxy. Par contre, dès que l'utilisateur va sur internet, l'établissement est légalement tenu de tracer nominativement les utilisateurs sans quoi l'établissement est globalement responsable des agissements des usagers.

C'est la raison pour laquelle tout accès internet requière une authentification.

Pour des raisons de simplicité de fonctionnement dans le vlan élèves, l'identification des usagers se fait actuellement par recoupement des informations de connexion au domaine.

La mise en place des vlans dynamiques permet de garantir une meilleur traçabilité des usagers ( puisque l'ouverture du port du switch requière une authentification ). Cette technologie permet de laisser des accès très ouverts tout en gardant la traçabilité.

L'authentification transparente par « ntlm » a été supprimé car bon nombre d'applications ne géraient pas l'authentification via ntlm. Du coup, les stations de travail avaient des comportement erratiques.

Du fait de la présence de l'authentification, il est impossible de mettre en place un proxy transparent. Il est donc obligatoire de configurer les stations de travail pour qu'elles utilisent le proxy. Cette configuration est automatique dans la plupart des cas. Ce point est détaillé plus loin dans la documentation.

Conclusions :

Tout logiciel qui n'est pas capable d'utiliser un proxy ( éventuellement authentifié, selon les réglages ) ne pourra pas fonctionner sur le réseau.

Il est nécessaire de paramétrer correctement les logiciels (maj automatique d'antivirus, de windows, … )

Surveillance toute particulière à apporter sur le fonctionnement des profils errants (disparition des paramètres de proxy, ...)

Exemple de problème : Windows XP est incapable de valider sa licence lors de l'installation, du fait qu'il ne propose pas de configurer le proxy à ce point de l'installation. Il faut donc dans ce cas ne pas valider, finir l'installation, régler le proxy, puis valider la licence ( Ce bug semble corrigé sur les versions récentes de XP ).

Tableau d'analyse des choix technologiques :

Type d'applications Avantages Inconvénients et conséquences
Clients mail
  • Limitation des problèmes de configurations
  • Limitation des problèmes de maintenance
  • Suppression des problèmes de profils errant
  • Amène les utilisateurs à s'intéresser au GroupWare installé sur le site, et donc élargissement de l'horizon applicatif.
  • Diminution importante du risque viral
  • Frustration des utilisateurs habitués aux clients de messagerie (notamment les différentes versions d'Outlook)
  • De la pédagogie est nécessaire pour expliquer en quoi l'utilisation d'un Groupware ou d'un WebMail est préférable à un client de messagerie traditionnel
PEER-TO-PEER
  • Du fait de la combinaison non routage + proxy authentifié, le peer-to-peer est plus compliqué à mettre en place.
?
Virus
  • Limitation des possibilités d'attaque de virus et de vers.
  • Les virus sont gênés pour accéder au web. La propagation est plus difficile.
  • La propagation directe entre les vlans personnels et élèves est impossible du fait du cloisonnement.
 
Impression
  • Forte recommandation d'utiliser un serveur d'impression. Cela permet de contrôler le fonctionnement général des impressions.
  • Possibilité de gérer les impressions, les quotas, d'abstraire les drivers, ..
  • Interdit aux virus d'attaquer directement les imprimantes.
  • Permet d'installer les imprimantes en fonction de l'utilisateur connecté et de la salle.
  • Fort changement des habitudes. L'impression poste à poste est limitée au vlan de la machine partageant l'imprimante.
  • Grosse difficulté de compréhension du concept de serveur d'impression la part des utilisateurs
  • Gros problèmes d'impression souvent dus à des bug dans les drivers d'imprimantes ou à des incompatibilité matériel (boitier fonctionnant mal en général).
Partage de fichiers
  • Isolement des postes, et par conséquent, limitation de la visibilité.
  • Un partage sur le vlan personnels n'est visible que depuis le vlan personnels. (dossiers et/ou imprimantes)
  • cette pratique n'est pas à encourager. Pousser les utilisateurs à utiliser les partages des serveurs.
  • Pas de vue globale du réseau :
  • Certaines machines sont accessibles d'un coté, mais pas de l'autre. Pourtant, elle apparaissent partout, puisqu'elle sont enregistrées dans le Wins

Le réseau Microsoft est un réseau qui a beaucoup de mal à fonctionner en environnement routé. La mise en place d'un serveur wins est obligatoire.

ATTENTION : ON NE PEUT AVOIR Q'UN SEUL SERVEUR WINS DANS UN RESEAU. SI VOUS AVEZ D'AUTRES SERVEURS SUR LE RESEAU, CONTROLEZ QUE LES WINS DE SES SERVEURS SONT ETEINTS

De plus, du fait de l'imbrication très forte des différents services réseaux, un fonctionnement correct du DNS est lui aussi obligatoire pour que le réseau Microsoft fonctionne correctement. Explications en images : ------------------------

Comment interdire efficacement l'accès à des sites illicites :
Cas de l'accès complètement ouvert en sortie :

Dans ce cas, il n'y a aucune possibilité de filtrage.

images/1000000000000300000001493611840D.png Les utilisateurs accèdent librement à internet. C'est la configuration « comme à la maison ».

Le firewall est configuré pour interdire les intrusions venant de l'extérieur. Tout flux initié de l'intérieur du réseau vers l'extérieur est autorisé.

Cas de l'accès partiellement ouvert en sortie :

Solution intermédiaire, peu sécurisée : Dans ce cas, le firewall est configuré pour interdire les intrusions venant de l'extérieur. Tout flux initié de l'intérieur du réseau vers l'extérieur est autorisé, à l'exception des flux vers les ports standardisé du web ( 80,8080,3128,443 ), lesquels sont redirigés vers un dispositif de filtrage, qui permet d'interdire l'accès à certains site.

images/1000000000000355000001C50505BC3F.png On voit sur ce schéma que l'accès à un site illicite sur un port quelconque ( 1280 dans l'exemple ) n'est pas intercepté par le firewall.

De même, des outils de téléchargements qui utiliseraient des ports spécifiques pourraient télécharger de manière incontrôlée n'importe quel contenu ( licite ou non ).

Par contre, ça marche presque « comme à la maison ». Tous les outils fonctionnent sans configuration particulière.

Cas de l'accès partiellement ouvert en sortie et d'un proxy :

Ce cas est très proche du précédent. Le schéma sert principalement à comprendre le principe de fonctionnement d'un proxy depuis un client :

images/10000000000004D90000017C10FAB0C7.png

Le client est configuré pour utiliser le proxy. Toutes les requêtes du client, quelles qu'elles soient, remontent vers le proxy ( requêtes http, https, ou sur n'importe quel autre port ).

Les requêtes ftp aussi remontent vers le proxy.

Le proxy analyse alors les requêtes et autorise ou non l'accès à la ressource.

Le proxy a différentes méthodes d'analyse ( par liste d'url, par fréquence de mots dans les pages, par expression interdites dans les pages ou dans les url, … ).

Par contre, le proxy ne traite que les requêtes « internet ». Il n'est pas conçu pour proxiiser des protocoles autre que le http. Il ne proxiisera pas les requêtes ssh, imap, pop, ….

Utilisation de proxy anonymisants externes :

Une méthode possible pour contourner les filtres d'accès mis en place est d'utiliser un proxy anonymisant sur internet. Ces proxy sont soit des sites web qui permettent d'afficher à leur url contenu de pages web diverse, soit de véritables serveurs proxy ( utilisant le protocole d'encapsulation des proxy ).

Le premier type de proxy est aisément bloquable via les listes d'interdiction du proxy interne.

Par contre, le second type est beaucoup plus compliqué à bloquer. En effet, le proxy peut fonctionner sur n'importe quel port. Du coup, le simple fait de laisser un port ouvert en sortie laisse la possibilité d'accéder à de tels proxy. Si l'utilisateur que l'on désire tracer dispose d'un tel proxy, il nous serra complètement impossible de savoir ce qu'il fait.

images/10000000000005C10000017C5F6ADA2E.png

Dans l'exemple proposé, le proxy externe peut fonctionner sur n'importe quel port ouvert comme les ports 80, 8080, 3128 ou bien 443.

Mais l'accès peut aussi se faire sur des ports complètement différents, réservés théoriquement à d'autres usages :

  • 143 ( port imap de messagerie )
  • 53 ( port dns )

Du coup, n'importe quel port laissé ouvert en sortie permet à un usager à l'intérieur du réseau d'accéder à un proxy anonymisant à l'extérieur du réseau, et du coup de surfer en toute impunité.

La seule méthode pour contrer ce genre de contournement extrêmement simple à réaliser et très répandu sur le web ( une petite recherche sur google avec les termes « ports proxy anonymisant » vous donnera une idée du nombre de proxy disponibles...), consiste à interdire explicitement tout accès sortant non proxiisé.

images/10000000000004D200000214FC62038F.png

La conséquence directe de cette interdiction est l'impossibilité aux autres protocoles réseau de fonctionner vers internet. C'est à cause de cette interdiction qu'il est impossible d'utiliser un client de messagerie lourd sur le réseau pédagogique, ou bien d'ouvrir un session ssh vers un serveur externe, ou bien de faire des requêtes dns sur des serveurs externes.

images/100000000000041200000213D9FF635A.png

On travail ensuite par liste blanche, en autorisant sélectivement, port par port, et adresse par adresse les accès sortants. Cela permet par exemple de rétablir les accès aux messagerie à l'aide de clients lourds, mais uniquement sur certain domaines parfaitement connus ( laposte.net par exemple )


Catégorie RECIA

AdminDocs: Présentation d'ESCOLAN (last edited 10/10/2014 14:50:44 by ChloeFonck)