Préconisation Réseau Etablissement Privé

Ce que nous rencontrons dans les établissements privés :
1-Le réseau basique :
Il s’agit d’un réseau filaire partagé par l’ensemble des acteurs de l’établissement
(administratifs, enseignants, élèves…). Aucune séparation des postes (flux) n’est prévue.
Dans certaines configurations le routeur permet également des connexions par WIFI. Le
routeur peut également distribuer la configuration réseau aux postes (service dit DHCP). Tous
les flux sont autorisés vers l’Internet (web, messagerie, messagerie instantanée, pear to
pear…). Aucun système de protection des mineurs (interdiction des sites pornographiques,
violents…). Aucun système de logs.
2-Séparation des réseaux par des accès Internet différents (FAI) :
Dans ce modèle, même s’il existe une séparation physique des réseaux, comme dans le
modèle précédent on trouve rarement des systèmes de protection.
Ce que nous préconisons :
1-Le modèle sécurisé Amon :
Dans ce modèle, le serveur Amon est un pare-feu (firewall) qui protège le réseau
administratif (règles de filtrage des flux, gestion des contenus Internet, DHCP, VPN …).
Une connexion sécurisée permet d’accéder au réseau des applications des établissements au
Rectorat (réseau dit AGRIATES). Ce réseau est sécurisé par authentification et par
chiffrement des flux (RVP : Réseau Virtuel Privé ou VPN : Virtual Private Network).
Cette connexion (dit tunnel) permet à l’ensemble des postes du réseau administratif d’accéder
aux applications de la zone de concentration AGRIATES.
La séparation est physique (cartes de connexion des réseaux différentes) ou logique (Vlans
via des Switchs compatibles).
2-Mutualisation de l’accès Internet pour le réseau administratif et pédagogique via un
Amon:
Le firewall Amon sert également pour le réseau pédagogique. Les services de protection sont
donc accessibles à ce réseau (protection des mineurs, logs…).
3-Modèle avec séparations des services applicatifs de l’établissement :
Dans ce modèle les serveurs applicatifs (pronote, windows server…) de l’établissement sont
séparés des réseaux utilisateurs. A travers ce modèle des services supplémentaires peuvent
être également accessibles (Télémaintenance via internet, serveur web…).
Les préconisations :
•
Un responsable du réseau sur le site (la gestion du réseau ne peut pas être confiée à un
élève)
•
Accès sécurisé au local serveur et à l’armoire de brassage
•
Un onduleur pour le serveur est préconisé (mais pas obligatoire)
•
Une pré-étude par téléphone avec le service réseau du Rectorat avec échange de
documents nécessaires (schéma réseau, informations sur le FAI, adressage IP, serveurs
et services utilisés…).
•
Une adresse IP fixe (IP privée du Réseau du Réseau Régional ou IP publique du FAI)
•
Une étude sur place par l’équipe réseau du rectorat avec le responsable technique de
l’établissement avec installation le jour même si l’état des lieux le permet (local,
réseau, infrastructure…).
•
Lors de l’installation, une interruption du service réseau de 2 heures peut être
nécessaire.
•
Une reconfiguration réseau de l’ensemble des postes de l’établissement peut être
également nécessaire (en fonction de l’étude préalable). L’équipe réseau du Rectorat
fait passé le savoir faire pour la migration des postes. Elle n’a pas la responsabilité du
parc micro de l’établissement.
•
Un serveur Pentium III (minimum) avec 256 Mo de mémoire et un ensemble de cartes
réseaux nécessaires en fonction du modèle choisi (2,3 ou 4).
•
Présentation au responsable technique de l’interface web pour la gestion du firewall.
Les équipes techniques du Rectorat restent responsable du Firewall (sauvegarde,
surveillance, mise à jour…). L’établissement ne dispose pas du compte d’administration
du Firewall. Une charte est signée entre l’établissement et le Rectorat.