Réseau-Etablissement-Internet
Transcription
Réseau-Etablissement-Internet
RESEAUX D’ETABLISSEMENT ET ACCES INTERNET Le « haut débit » dans les établissements Avec le développement des usages de communication, dû notamment à la banalisation de l’Internet, de nouveaux services, des accès plus rapides et une connexion permanente sont maintenant possibles. I - Rappel de l'existant Il existe plusieurs types de connexion à Internet dans les établissements de l’académie. Ils dépendent à la fois du type d'établissement (lycée ou collège), du département dans lequel ils se trouvent (Aisne, Oise ou Somme) et du service auquel ils appartiennent (administration ou pédagogie). Pour disposer d'un accès sur Internet, un périphérique indispensable va se connecter à son homologue chez le fournisseur d'accès Internet (F.A.I). Ce dernier est soit le Rectorat, soit la Région. En fonction du F.A.I. et du type de connexion nous avons les associations périphérique / type de connexion suivants : ! RTC classique (carte modem) ! Numéris (carte RNIS – routeur Cisco ou Shiva) ! ADSL (modem / routeur ADSL) Jusqu'à présent, pour que les remontées "Télech" ( écha nges de données entre le Rectorat et le réseau administratif) puissent se faire, dans le respect des normes de sécurité, l'établissement devait disposer nécessairement d'un accès Numéris vers le Rectorat. La configuration de la plupart des EPLE est actuellement la suivante : 1 2 Routeur Numéris ou ADSL Routeur Numéris " – le réseau pédagogique accède à Internet par l'intermédiaire du réseau régional ou d’un fournisseur d’accés privé ( Wanadoo,Free … ) par un routeur NUMERIS ou ADSL # – le réseau administratif accède à Internet par l'intermédiaire du Rectorat (réseau Intranet protégé) en utilisant un raccordement Numéris direct ou Oléane. 1 II - Evolution proposée en 2003 : Les EPLE disposant d'une "connexion ADSL" pour la pédagogie leur permettant d’accéder à Internet par le réseau régional, ont la possibilité, sous certaines conditions, d’utiliser cette sortie pour le réseau administratif. Des contraintes techniques liées au déploiement de l’ADSL par France Telecom font cependant que certains établissements ne pourront pas bénéficier d’un raccordement à l’ADSL dans l’immédiat . Avantages de l’ADSL : $%la connexion étant permanente, les surfacturations téléphoniques liées à des connexions intempestives disparaissent $%les débits sont plus importants (8 à 16 fois plus rapide qu'avec un accès Numéris) $%la connexion Numéris et l’abonnement associé sont supprimés $%de nouveaux services pourront être proposés : sauvegarde des données pédagogiques au niveau du Rectorat … Inconvénients de l'ADSL : $%l'établissement étant relié en permanence à Internet, les réseaux locaux sont soumis aux risques de malveillance et d'intrusion. Il y a donc nécessité de les sécuriser. $%la connexion ADSL est partagée par tous les utilisateurs de l’établissement ( pédagogie et administration). Ainsi, suivant le débit minimum garanti , la bande passante peut être saturée et ne pas laisser passer les données arrivant " en surnombre " $%Le I-minitel, tel qu’il est actuellement, ne sera plus disponible (lié à l’utilisation du routeur SHIVA ) Les services télématiques liés aux Brevet des collèges, CAP, BEP et baccalauréat ne pourront ainsi plus être utilisés par le biais de cette application. Des solutions de substitution comme CARIOCA sont à l’étude. Architecture proposée : $%Pourront disposer de cette architecture réseau les établissements passant par le réseau régional. $%Pour l’instant seuls les lycées, la plupart des collèges de la Somme et de l'Oise sont concernés. $%Pour les collèges de l’Aisne , un accord entre la Région et le Conseil Général de l’Aisne devrait intervenir prochainement . Figure 1 Architecture réseau proposée 2 III - Sécurisation du réseau de l’établissement a) pourquoi ? Actuellement, le chef d’établissement est seul responsable de la sécurisation, à la fois, de son réseau pédagogique et administratif. Ceci implique la mise en place de protections des mineurs, d’une charte d’utilisation (des modèles de charte seront bientôt disponibles au niveau national ), d’un contrôle strict des flux entrants et sortants, vers et depuis le ou les réseaux internes. En effet, le sport favori d'un grand nombre de petits malins consiste à observer les ports IP (canal par lequel transitent les données sur Internet), des postes de travail ou des serveurs afin de trouver les failles de sécurité du système d’exploitation ou des applications. Certains pirates réussissent de cette manière à prendre le contrôle d'une machine et à en dérober les informations confidentielles, voire les détruire en installant un virus ou un cheval de Troie sur un poste de travail ou un serveur. Avec de petits logiciels qu’il est facile de se procurer, il est en résumé possible de surveiller les informations circulant sur les réseaux et de porter atteinte - aux postes de travail connectés au réseau - aux serveurs du réseau - aux données contenues sur ces machines ou circulant sur ces réseaux : interception, falsification, destruction Mener une politique de sécurité lorsque l’on dispose d’un réseau informatique est donc indispensable b) comment ? Pour protéger le réseau local de toutes les attaques provenant de l'Internet, il existe de nombreuses solutions payantes ou non. Les solutions retenues, Eole et Slis, font parties des solutions dites « libres », basées sur le système Gnu/Linux. Ces solutions proposent, entre autres, un service de pare-feu (sécurisation du réseau local), de proxy-cache (accélération de la navigation Internet) et de filtrage des sites (protection des mineurs). 1) SLIS Slis remplit, en tête du réseau pédagogique, les fonctions de pare-feu (filtrage, authentification), proxy (accélérateur d’accès aux données), serveur web local. Une présentation complète du projet SLIS est en ligne sur le site : http://slis.ac-grenoble.fr/ 2) EOLE En plus de sa fonctionnalité « pare-feu » appelé Amon, Eole met en œuvre une sécurisation des communications Téléac et de télémaintenance au travers un VPN (Réseau Virtuel Privé) entre l’établissement et le Rectorat. Une présentation complète du projet EOLE est en ligne sur le site du ministère : http://eole.orion.education.fr/ Remarque : il est impératif pour installer un serveur EOLE de posséder une connexion avec le réseau administratif à l'endroit où se trouve l'arrivée de l'ADSL 3 c) pourquoi laisser les deux réseaux séparés ? Les risques d'intrusion ne venant pas nécessairement de l'extérieur, une politique de séparation physique des réseaux permet d’avoir un niveau de sécurisation plus important que dans le cadre d’un réseau unique. En effet, n'avoir qu'un seul réseau physique en ayant pour seule protection un login et un mot de passe n'est pas une garantie suffisante dans une stratégie de protection des données. De plus les informations du Réseau administratif n’ont pas à transiter sur le réseau pédagogique à la merci du premier élève malin qui analysera le réseau d) quelles sont les perspectives d'évolution ? Le Schéma Stratégique des Systèmes d’Information et de Télécommunications (S3it) définit, dans le projet de Service Intranet / Internet d'Etablissements Scolaires et d'Ecoles (S2i2e), des préconisations techniques pour la mise en œuvre de services Internet (web – annuaire travail collaboratif….). La mise en œuvre de ces services au niveau d'un EPLE nécessite : $%une zone d'adressage publique $%des ressources en personnel informatique $%des serveurs Le texte complet des préconisations techniques du S2i2e est en ligne sur le serveur ministériel educnet à l'adresse http://www.educnet.education.fr/plan/s2i2e.htm Le S3it est en ligne à l’adresse http://www.pleiade.education.fr/systeme/s3it/index.htm Une solution d'authentification avec support physique (clé USB) est à l'étude. Cette solution permettrait à partir de n’importe quel poste d’utiliser des ressources pédagogiques ou administratives en fonction des droits de l’utilisateur, qui ont été validés par un double système d’authentification : mot de passe/login – Clé USB. L’utilisateur n’ayant pas de clé USB serait considéré comme un utilisateur avec des droits restreints( typiquement un élève ). Il sera alors possible de réunir les réseaux pédagogique et administratif de façon sécurisante IIV – Informations pratiques Le chef d’établissement peut, dans la mise en place ou la réorganisation des dispositifs matériels et logiciels de sécurisation, être conseillé ou aidé par le personnel informatique de l’académie d’Amiens. Pour une installation d'EOLE faire une demande d'étude de faisabilité (câblage, serveur) par l'intermédiaire de la plate forme d'assistance (GL contact, produit : Eole, type de problème : installation) . Pour cela rendez vous à l’adresse http://rectorat.ac-amiens.fr/ rubrique « Assistance » puis « GLContact » 4