Réseau-Etablissement-Internet

RESEAUX D’ETABLISSEMENT ET ACCES INTERNET
Le « haut débit » dans les établissements
Avec le développement des usages de communication, dû notamment à la banalisation de l’Internet, de
nouveaux services, des accès plus rapides et une connexion permanente sont maintenant possibles.
I - Rappel de l'existant
Il existe plusieurs types de connexion à Internet dans les établissements de l’académie. Ils dépendent à la fois
du type d'établissement (lycée ou collège), du département dans lequel ils se trouvent (Aisne, Oise ou
Somme) et du service auquel ils appartiennent (administration ou pédagogie).
Pour disposer d'un accès sur Internet, un périphérique indispensable va se connecter à son homologue chez
le fournisseur d'accès Internet (F.A.I). Ce dernier est soit le Rectorat, soit la Région. En fonction du F.A.I. et du
type de connexion nous avons les associations périphérique / type de connexion suivants :
! RTC classique (carte modem)
! Numéris (carte RNIS – routeur Cisco ou Shiva)
! ADSL (modem / routeur ADSL)
Jusqu'à présent, pour que les remontées "Télech" ( écha nges de données entre le Rectorat et le réseau
administratif) puissent se faire, dans le respect des normes de sécurité, l'établissement devait disposer
nécessairement d'un accès Numéris vers le Rectorat.
La configuration de la plupart des EPLE est actuellement la suivante :
1
2
Routeur Numéris ou ADSL
Routeur Numéris
" – le réseau pédagogique accède à Internet par l'intermédiaire du réseau régional ou d’un fournisseur
d’accés privé
( Wanadoo,Free … ) par un routeur NUMERIS ou ADSL
# – le réseau administratif accède à Internet par l'intermédiaire du Rectorat (réseau Intranet protégé) en
utilisant un raccordement Numéris direct ou Oléane.
1
II - Evolution proposée en 2003 :
Les EPLE disposant d'une "connexion ADSL" pour la pédagogie leur permettant d’accéder à Internet par le
réseau régional, ont la possibilité, sous certaines conditions, d’utiliser cette sortie pour le réseau administratif.
Des contraintes techniques liées au déploiement de l’ADSL par France Telecom font cependant que certains
établissements ne pourront pas bénéficier d’un raccordement à l’ADSL dans l’immédiat .
Avantages de l’ADSL :
$%la connexion étant permanente, les surfacturations téléphoniques liées à des connexions
intempestives disparaissent
$%les débits sont plus importants (8 à 16 fois plus rapide qu'avec un accès Numéris)
$%la connexion Numéris et l’abonnement associé sont supprimés
$%de nouveaux services pourront être proposés : sauvegarde des données pédagogiques au niveau
du Rectorat …
Inconvénients de l'ADSL :
$%l'établissement étant relié en permanence à Internet, les réseaux locaux sont soumis aux risques
de malveillance et d'intrusion. Il y a donc nécessité de les sécuriser.
$%la connexion ADSL est partagée par tous les utilisateurs de l’établissement ( pédagogie et
administration). Ainsi, suivant le débit minimum garanti , la bande passante peut être saturée et ne
pas laisser passer les données arrivant " en surnombre "
$%Le I-minitel, tel qu’il est actuellement, ne sera plus disponible (lié à l’utilisation du routeur SHIVA )
Les services télématiques liés aux Brevet des collèges, CAP, BEP et baccalauréat ne pourront
ainsi plus être utilisés par le biais de cette application. Des solutions de substitution comme
CARIOCA sont à l’étude.
Architecture proposée :
$%Pourront disposer de cette architecture réseau les établissements passant par le réseau régional.
$%Pour l’instant seuls les lycées, la plupart des collèges de la Somme et de l'Oise sont concernés.
$%Pour les collèges de l’Aisne , un accord entre la Région et le Conseil Général de l’Aisne devrait
intervenir prochainement .
Figure 1 Architecture réseau proposée
2
III - Sécurisation du réseau de l’établissement
a) pourquoi ?
Actuellement, le chef d’établissement est seul responsable de la sécurisation, à la fois, de son réseau
pédagogique et administratif. Ceci implique la mise en place de protections des mineurs, d’une charte
d’utilisation (des modèles de charte seront bientôt disponibles au niveau national ), d’un contrôle strict des flux
entrants et sortants, vers et depuis le ou les réseaux internes.
En effet, le sport favori d'un grand nombre de petits malins consiste à observer les ports IP (canal par lequel
transitent les données sur Internet), des postes de travail ou des serveurs afin de trouver les failles de sécurité
du système d’exploitation ou des applications. Certains pirates réussissent de cette manière à prendre le
contrôle d'une machine et à en dérober les informations confidentielles, voire les détruire en installant un virus
ou un cheval de Troie sur un poste de travail ou un serveur.
Avec de petits logiciels qu’il est facile de se procurer, il est en résumé possible de surveiller les informations
circulant sur les réseaux et de porter atteinte
- aux postes de travail connectés au réseau
- aux serveurs du réseau
- aux données contenues sur ces machines ou circulant sur ces réseaux : interception,
falsification, destruction
Mener une politique de sécurité lorsque l’on dispose d’un réseau informatique est donc indispensable
b) comment ?
Pour protéger le réseau local de toutes les attaques provenant de l'Internet, il existe de nombreuses solutions
payantes ou non. Les solutions retenues, Eole et Slis, font parties des solutions dites « libres », basées sur le
système Gnu/Linux. Ces solutions proposent, entre autres, un service de pare-feu (sécurisation du réseau
local), de proxy-cache (accélération de la navigation Internet) et de filtrage des sites (protection des mineurs).
1) SLIS
Slis remplit, en tête du réseau pédagogique, les fonctions de pare-feu (filtrage, authentification), proxy
(accélérateur d’accès aux données), serveur web local.
Une présentation complète du projet SLIS est en ligne sur
le site :
http://slis.ac-grenoble.fr/
2) EOLE
En plus de sa fonctionnalité « pare-feu » appelé Amon, Eole met en œuvre une sécurisation des
communications Téléac et de télémaintenance au travers un VPN (Réseau Virtuel Privé) entre l’établissement
et le Rectorat.
Une présentation complète du projet EOLE est en ligne
sur le site du ministère :
http://eole.orion.education.fr/
Remarque : il est impératif pour installer un serveur EOLE de posséder une connexion avec le réseau
administratif à l'endroit où se trouve l'arrivée de l'ADSL
3
c) pourquoi laisser les deux réseaux séparés ?
Les risques d'intrusion ne venant pas nécessairement de l'extérieur, une politique de séparation physique des
réseaux permet d’avoir un niveau de sécurisation plus important que dans le cadre d’un réseau unique. En
effet, n'avoir qu'un seul réseau physique en ayant pour seule protection un login et un mot de passe n'est pas
une garantie suffisante dans une stratégie de protection des données.
De plus les informations du Réseau administratif n’ont pas à transiter sur le réseau pédagogique à la merci du
premier élève malin qui analysera le réseau
d) quelles sont les perspectives d'évolution ?
Le Schéma Stratégique des Systèmes d’Information et de Télécommunications (S3it) définit, dans le projet de
Service Intranet / Internet d'Etablissements Scolaires et d'Ecoles (S2i2e), des préconisations techniques pour
la mise en œuvre de services Internet (web – annuaire travail collaboratif….).
La mise en œuvre de ces services au niveau d'un EPLE nécessite :
$%une zone d'adressage publique
$%des ressources en personnel informatique
$%des serveurs
Le texte complet des préconisations techniques du S2i2e
est en ligne sur le serveur ministériel educnet à l'adresse
http://www.educnet.education.fr/plan/s2i2e.htm
Le S3it est en ligne à l’adresse
http://www.pleiade.education.fr/systeme/s3it/index.htm
Une solution d'authentification avec support physique (clé USB) est à l'étude. Cette solution permettrait à partir
de n’importe quel poste d’utiliser des ressources pédagogiques ou administratives en fonction des droits de
l’utilisateur, qui ont été validés par un double système d’authentification : mot de passe/login – Clé USB.
L’utilisateur n’ayant pas de clé USB serait considéré comme un utilisateur avec des droits restreints(
typiquement un élève ). Il sera alors possible de réunir les réseaux pédagogique et administratif de façon
sécurisante
IIV – Informations pratiques
Le chef d’établissement peut, dans la mise en place ou la réorganisation des dispositifs matériels et logiciels
de sécurisation, être conseillé ou aidé par le personnel informatique de l’académie d’Amiens.
Pour une installation d'EOLE faire une demande d'étude de faisabilité (câblage, serveur) par l'intermédiaire de
la plate forme d'assistance (GL contact, produit : Eole, type de problème : installation) .
Pour cela rendez vous à l’adresse http://rectorat.ac-amiens.fr/ rubrique « Assistance » puis « GLContact »
4