Sécurité et Internet - Académie de Bordeaux

Sécurité et Internet
Informations générales
Dans le cadre de l’obligation de sécurisation de l’accès à l’Internet (note DT/B1 31 du 27 mai
2005 du ministre de l’éducation nationale) quelques pistes de réponses techniques gratuites
ou payantes vous sont proposées.
Il est utile de distinguer les dangers qui découlent de l’intrusion de personnes ou de logiciels
malveillants sur une machine, de ceux qui sont liés à la possibilité de naviguer sur des sites
aux contenus illicites.
Les pare-feu, antivirus, antispywares, relèvent du premier type de risque.
Les solutions de filtrage sont, elles, sensées éviter l’accès aux pages Internet ‘interdites’.
Ces solutions de filtrages peuvent être basées sur des ‘listes blanches’ (seules les adresses
contenues dans la liste sont accessibles) ou sur des ‘listes noires’ (les adresses de la liste
noire sont bloquées).
Sécurité externe : Les antivirus
C’est le rectorat de Bordeaux qui pilote le déploiement des antivirus dans les
établissements et écoles. Chaque année un contrat est passé avec un éditeur de
logiciel antivirus. Ce sont les produits de la société Trend Micro qui ont été retenus
depuis 2003.
Solution institutionnelle pour les écoles.
- PCCillin 9 : cette version n’est plus supportée par Trend. Il ne faut donc plus l’utiliser car
les nouvelles définitions virales ne sont plus téléchargées.
- PCCillin 14, 15 (Internet Security 2006 -2007): Chaque année depuis 2005 le rectorat de
Bordeaux achète un lot de licences PCCillin. Les licences ne concernent qu’un seul poste
« administratif » par école. La licence n’est valable qu’un an (un message de péremption
s’affiche quand la licence va arriver à expiration). Une application Internet (enquav1) permet
de déclarer le nombre, le type de version installée. A l’issue de cette déclaration, l’application
permet de télécharger le logiciel et attribue un numéro de licence. Attention : le numéro de
licence doit être entré dans le logiciel à l’installation : sinon il ne sera valable que 3 mois.
€
€
€
Quantité attribuée par école : 1 par poste « administratif »
Durée de validité de la licence : 1 an à compter du jour de
l’installation
Modalité de récupération du logiciel et de la licence :
application « enquav » http://ecoles33.ac-bordeaux.fr/enquav
Internet Security regroupe un antivirus mais aussi une protection anti-programmes
espions et un pare-feu.
- Office Scan : Il s’agit d’une version qui est à installer dans le cas d’un réseau (réseaux
poste à poste ou client-serveur) Suivant les versions le logiciel s’installe sur un poste qui
1
Application enquav : http://ecoles33.ac-bordeaux.fr/enquav
Inspection Académique de la Gironde – Centre de Ressources TICE
1
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
servira de « serveur-antivirus » soit en mode « Filebase » soit en mode « http ». Ainsi une
machine du réseau devient "serveur OfficeScan" et téléchargera les définitions antivirales2.
€
OfficeScan version 5.06 en mode FileBase (pour les clients 9x, 2000 et XP) :
à chaque démarrage les autres machines iront télécharger les nouvelles
définitions sur le serveur officescan.
€
€
€
Quantité attribuée par école : illimitée
Durée de validité de la licence : illimitée
Modalité de récupération du logiciel et de la licence : cédérom
« antivirus », courrier IA.
Attention : une mise à jour est nécessaire après l’installation:
Voir : http://antivirus.ac-bordeaux.fr/content.php?menu=1111&page_id=44
€
OfficeScan 7.x et sup. en mode http (sous Apache : serveur NT, 2000S ou
2003S, sous IIS sur une station dédiée XP Pro (moyennant configuration
particulière)): dès qu’une nouvelle définition est téléchargée elle est « poussée
automatiquement vers les stations clientes en fonction.
€
€
€
Quantité attribuée par école : 1 par serveur
Durée de validité de la licence : 1 an
Modalité de récupération du logiciel et de la licence : contacter
le MATICE de la circonscription
Documentations :
5.06 : trend_doc_util_ofsc.pdf et trend_filebase2.pdf à http://antivirus.acbordeaux.fr/telechargements/
7.3 ou 8 :
http://malbec.ac-bordeaux.fr/antivirus/content.php?menu=22&page_id=45
€ Solution institutionnelle pour les enseignants :
- PCCillin
Procédure permettant d'acquérir de une à 5 licences personnelles de PC Cillin.(coût annuel
de 5€ par licence) :
http://www.ac-bordeaux.fr/communiquer-autres-services/info-virus.html
- Produits gratuits :
Attention : Pour les trois logiciels suivants, l’usage privé cité dans la licence d’utilisation
exclut l’usage dans un établissement scolaire. (Solutions acceptables pour les PC
personnels des enseignants).
€
€
€
2
Antivir Personnal édition (gratuit) Anglais
http://www.pcastuces.com/logitheque/antivir.html
AVG free édition (gratuit) avec numéro de série en ligne :
http://www.avgfrance.com
AVAST : très efficace, peu gourmand en ressource (gratuit) :
http://www.avast.com
« patterns »
Inspection Académique de la Gironde – Centre de Ressources TICE
2
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
Sécurité externe : Les anti-spyware, anti-malware …
Désinfections, logiciels espions, malveillants, chevaux de troie
€ A Squared (http://www.emsisoft.de/fr/software/free/)
€ Ad-Aware (http://www.lavasoftusa.com/ )
€ Spybot - Search & Destroy (http://www.safer-networking.org/fr/)
Protection des données personnelles (adresses, numéros de téléphone, …)
€ http://www.logprotect.fr/
Sécurité interne : le filtrage
€ Cas d’une architecture réseau centralisée :
Dans ce type d’architecture réseau, un poste dédié (serveur) centralise et filtre le flux
internet. L’ensemble des postes rattachés au serveur bénéficie ainsi de la protection
mise en œuvre. C’est le seul système qui permette de conserver les traces de
navigation des utilisateurs. Différentes distributions3 permettent d’installer un tel
serveur :
€
€
Installation d’un serveur Eole :http://eole.orion.education.fr/
installation d'une distribution IPCOP http://www.ipcop.org/ (voir Ipcop en annexe)
Grâce à ces distributions, installables sur des machines désuètes, ne nécessitant que
l’ajout de cartes réseau supplémentaires, il est possible, à peu de frais, de créer un
proxy-pare-feu4 filtrant efficace.
Il existe également des solutions matérielles commerciales assurant ces services.
€ Cas d’une architecture réseau poste à poste ou d’un poste isolé :
Un seul poste à protéger, ou plusieurs postes en réseau sans serveur.
Les solutions mises en œuvre sont de type logiciel, à déployer sur chaque poste à
protéger.
Quelques exemples :
Solutions payantes
€ Pack sécurisé Navsécur + ABCD, 30 € (contact :CDDP de la Gironde)
http://cyberlibrairie.crdp-poitiers.org/LABCDduNet/
€ Surfpass 365€ ttc par école : http://www.cogilab.com/fr/education/index.htm
€ Optenet filter 328€ ttc pour une école http://www.optenet.com/fr/
Solutions gratuites
€ Naomi 3.4.90 :http://www.naomifilter.org/setup-fr.exe
Naomi est un logiciel de contrôle gratuit et simple d'utilisation. N'étant pas basé
sur une liste noire, il analyse selon certains critères le contenu des pages Web
ainsi que les images et ferme le navigateur Internet lorsqu'un contenu
pornographique, raciste, sectaire ou violent est détecté. Relativement efficace
sous win2000 et supérieur.
3
4
Distribution : package système d’exploitation et logiciels, souvent sous Linux
Cf pour ces termes techniques : http://christian.caleca.free.fr/http/
Inspection Académique de la Gironde – Centre de Ressources TICE
3
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
Textes de références et sources :
€
€
€
€
€
€
Charte Internet 2003 http://crtice33.ac-bordeaux.fr/site rubrique « imprimés
institutionnels »
Usage de l’internet dans le cadre pédagogique et protection des mineurs
CIRCULAIRE N°2004-035 DU 18-02-2004
http://www.education.gouv.fr/bo/2004/9/MENT0400337C.htm
http://www.filtra.info/ test octobre 2006
http://www.educnet.education.fr/aiedu/
Site académique antivirus http://antivirus.ac-bordeaux.fr
Site académique, sécurité http://ssi.ac-bordeaux.fr
Glossaire technique :
virus : Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer
sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en
perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se
répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais
aussi
les
disquettes,
les
cédéroms,
les
clefs
USB,
etc.
(extrait
http://fr.wikipedia.org/wiki/Virus_informatique)
vers (worm). Ils se répandent dans le courrier électronique en profitant des failles des
différents logiciels de messagerie. Dès qu'ils ont infecté un ordinateur, ils s'envoient euxmêmes à des adresses contenues dans tout le carnet d'adresses, ce qui fait que l'on reçoit
ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante
(comme le ver I Love You). Les experts n'arrivent pas à se mettre d'accord sur
l'appartenance ou non des vers à la classe des virus informatiques. (extrait
http://fr.wikipedia.org/wiki/Virus_informatique)
chevaux de Troie (Trojan horses) comportent des routines nuisibles exécutées sans
l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les portes
dérobées. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule.
Ils prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler
par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car il leur manque la
fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un
virus. (extrait http://fr.wikipedia.org/wiki/Virus_informatique)
logiciels espions (espiogiciel, mouchard ou en anglais spyware) sont des logiciels
malveillants qui s'installent dans un ordinateur dans le but de collecter et transférer des
informations sur l'environnement dans lequel il se sont installés, très souvent sans que
l'utilisateur n'en ait connaissance. (extrait : http://fr.wikipedia.org/wiki/Virus_informatique)
Inspection Académique de la Gironde – Centre de Ressources TICE
4
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
Annexe : Serveur
Ipcop :
Exemple de dispositif matériel assurant le routage de
l’Internet, la protection des réseaux et le filtrage des
accès.
Le problème : Connecter le secrétariat de la commune, les classes des écoles à un
seul point, sur un seul abonnement ADSL en sécurisant les accès entrants et
sortants.
La topographie des lieux : classique mairie, école à proximité, une cour sépare les
classes (une classe côté mairie, deux autres en face)
2
4
2
6
3
4
2
5
2
1
1
2
3
4
5
6
Serveur
Postes clients wifi
Modem ADSL
Points d’accès Wifi
Antenne directionnelle
Antenne omnidirectionnelle
La machine IPCOP (1) gère 3 cartes réseau (on peut en mettre 4 si l’on veut héberger un site
web communal)
une interface ROUGE pour l'Internet = le modem (3)
une interface VERTE pour le réseau (LAN) filaire (cette carte peut ne pas être utilisée dans le cas
d’un réseau wifi complet)
une interface BLEUE pour le LAN Wifi (reçoit le premier point d’accès (4))
(une interface ORANGE pour un serveur web accessible de l'extérieur mais sans possibilité de
remonter au LAN)
Inspection Académique de la Gironde – Centre de Ressources TICE
5
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
Ipcop, à quoi ça sert ?
Ipcop est un package logiciel de petite taille qui s’installe sur des machines ne nécéssitant
pas de grandes ressources5.
IPcop c’est :
€
€
€
€
€
€
€
€
Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement
configurable.
Une administration facile depuis un navigateur par l'intégration d'un serveur web.
Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP de
votre FAI6.
Un serveur DHCP7 vous permettant de configurer facilement les machines de votre
réseau interne.
Un serveur mandataire DNS8 pour accélérer la résolution des requêtes de nom de
domaine.
Un serveur mandataire web (proxy) pour accélérer l'accès au web.
Un système de détection d'intrusion pour identifier les attaques externes sur votre
réseau.
La possibilité de segmenter votre réseau en un réseau VERT, sûr, protégé de
l'Internet ; un réseau BLEU pour votre réseau local WiFi ; et un réseau ORANGE,
5
Voir les matériels compatibles :
http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopHCLv01
6
Fournisseur d’Accès à Internet
7
DHCP : Dynamic Host Control Protocol : permet à un serveur de distribuer des adresses IP à la demande des stations clientes
8
DNS : Domain Name System : fournit à partir d’un » adresse IP numérique le nom de domaine correspondant et vice-versa.
Inspection Académique de la Gironde – Centre de Ressources TICE
6
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
zone démilitarisée ou DMZ en partie protégée de l'Internet rassemblant vos serveurs
publiquement accessibles.
Sécurité externe anti-intrusion:
Chaque interface (carte-réseau) est dans un adressage différent : la communication
n'est donc pas possible entre les interfaces sauf celle qui est autorisée par IPCOP.
Seules les machines en wifi autorisées par l'IPCOP ont accès à l'internet.
Le parefeu veille et une détection sur les paquets reçus sur l'interface Rouge est
effectuée.
Sécurité interne, Filtrage : :
rajout de squidguard pour ipcop sur le serveur : listes noires de l’Université de Toulouse
(recommandation du Ministère de l’Education Nationale).
Au final : les fonctionnalités
de l'Internet filtré partout, de la sécurité et des journaux d'accès, pas de câbles. Possibilité
d'administration à distance (avec DNS dynamique)
Combien ça coûte, où le trouver ?
Ipcop est gratuit et téléchargeable à http://www.ipcop.org/1.4.0/
Squidguard qui gère le filtrage des sites internes est également gratuit : http://franck78.ath.cx/
Ipcop, sur quel matériel est-ce que ça fonctionne ?
« IPCop tourne sur une machine dédiée. Il pourra utiliser une machine un peu ancienne ou
du matériel "obsolète" tel qu'un processeur 386, 32Mo de RAM et un disque dur de 300Mo.
Mais si vous envisagez d'utiliser une ou plusieurs des fonctionnalités avancées d'IPCop
telles que le proxy web ou la détection d'intrusion, vous aurez besoin de plus de mémoire
RAM, de plus d'espace disque et d'un processeur plus rapide.
Un lecteur de disquette n'est pas obligatoire mais se révèle utile pour la création de
sauvegarde et la restauration de votre configuration. Vous aurez cependant besoin de ce
lecteur de disquette si votre machine ne veut pas démarrer depuis le CDROM ou si vous
souhaitez effectuer l'installation par le réseau en HTTP.
Un lecteur de CDROM permet une installation aisée d'IPCop mais n'est pas non plus
obligatoire : vous pouvez installer IPCop à partir du réseau par le protocole HTTP.
Au moins une carte réseau (ou NIC pour Network Interface Card) est nécessaire.
L'expérience montre que la qualité du réseau dépend de la qualité des cartes réseau et donc
de leur prix : utilisez une carte Ethernet 10/100Mbps de bonne qualité pour l'interface VERTE
et vous ne le regretterez pas. Si votre connexion à l'Internet utilise un modem câble ou un
modem ADSL Ethernet, vous devrez avoir deux cartes réseau.
IPCop peut également être installé sur une carte Compact Flash (les instructions pour ce
type d'installation se trouvent dans le Manuel d'Installation disponible sur la page IPCop
Documentation).
L'installation faite, vous pouvez retirer le moniteur et le clavier de votre machine IPCop :
IPCop se gère par le réseau depuis votre navigateur web. »
Extraits de http://www.ipcop.org/1.4.0/fr/install/html/
Inspection Académique de la Gironde – Centre de Ressources TICE
7
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06
Budget, exemple :
€
€
€
€
€
€
€
€
une vieille machine (P133 mini ou P2) (récupération : 0 € ou achat à des revendeurs
spécialisés)
1 modem ADSL (55 €) pour assurer la connexion ADSL si non existant.
1 onduleur (90 €) pour assurer la protection électrique du serveur
3 cartes réseau (40 €) pour séparer les réseaux (Rouge, Bleu, Vert)
2 antennes wifi (une omnidirectionnelle + 1 directionnelle) 180 € les 2
du câble coxial en descente (3.5 € /m)
2 point d'accès Wifi (un configuré en accès point l'autre en répéteur) (95 € pièce)
des cartes wifi sur toutes les machines (31 € pièce)
Total < 750 € (accès pour 4 machines)
Configuration d’Ipcop :
Une fois la distribution installée (cf. http://www.ipcop.org/1.4.0/fr/install/html/) et squidguard
chargé et installé (http://franck78.ath.cx/squidGuard-doc/fr/squidGuard-fr.html ), il faut
configurer les réseaux, l’anti-intrusion et le filtrage.
Exemple de configuration des réseaux
http://www.ipcop.org/1.4.0/fr/install/html/
Inspection Académique de la Gironde – Centre de Ressources TICE
8
BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected]
12/06