Sécurité et Internet - Académie de Bordeaux
Transcription
Sécurité et Internet - Académie de Bordeaux
Sécurité et Internet Informations générales Dans le cadre de l’obligation de sécurisation de l’accès à l’Internet (note DT/B1 31 du 27 mai 2005 du ministre de l’éducation nationale) quelques pistes de réponses techniques gratuites ou payantes vous sont proposées. Il est utile de distinguer les dangers qui découlent de l’intrusion de personnes ou de logiciels malveillants sur une machine, de ceux qui sont liés à la possibilité de naviguer sur des sites aux contenus illicites. Les pare-feu, antivirus, antispywares, relèvent du premier type de risque. Les solutions de filtrage sont, elles, sensées éviter l’accès aux pages Internet ‘interdites’. Ces solutions de filtrages peuvent être basées sur des ‘listes blanches’ (seules les adresses contenues dans la liste sont accessibles) ou sur des ‘listes noires’ (les adresses de la liste noire sont bloquées). Sécurité externe : Les antivirus C’est le rectorat de Bordeaux qui pilote le déploiement des antivirus dans les établissements et écoles. Chaque année un contrat est passé avec un éditeur de logiciel antivirus. Ce sont les produits de la société Trend Micro qui ont été retenus depuis 2003. Solution institutionnelle pour les écoles. - PCCillin 9 : cette version n’est plus supportée par Trend. Il ne faut donc plus l’utiliser car les nouvelles définitions virales ne sont plus téléchargées. - PCCillin 14, 15 (Internet Security 2006 -2007): Chaque année depuis 2005 le rectorat de Bordeaux achète un lot de licences PCCillin. Les licences ne concernent qu’un seul poste « administratif » par école. La licence n’est valable qu’un an (un message de péremption s’affiche quand la licence va arriver à expiration). Une application Internet (enquav1) permet de déclarer le nombre, le type de version installée. A l’issue de cette déclaration, l’application permet de télécharger le logiciel et attribue un numéro de licence. Attention : le numéro de licence doit être entré dans le logiciel à l’installation : sinon il ne sera valable que 3 mois. € € € Quantité attribuée par école : 1 par poste « administratif » Durée de validité de la licence : 1 an à compter du jour de l’installation Modalité de récupération du logiciel et de la licence : application « enquav » http://ecoles33.ac-bordeaux.fr/enquav Internet Security regroupe un antivirus mais aussi une protection anti-programmes espions et un pare-feu. - Office Scan : Il s’agit d’une version qui est à installer dans le cas d’un réseau (réseaux poste à poste ou client-serveur) Suivant les versions le logiciel s’installe sur un poste qui 1 Application enquav : http://ecoles33.ac-bordeaux.fr/enquav Inspection Académique de la Gironde – Centre de Ressources TICE 1 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 servira de « serveur-antivirus » soit en mode « Filebase » soit en mode « http ». Ainsi une machine du réseau devient "serveur OfficeScan" et téléchargera les définitions antivirales2. € OfficeScan version 5.06 en mode FileBase (pour les clients 9x, 2000 et XP) : à chaque démarrage les autres machines iront télécharger les nouvelles définitions sur le serveur officescan. € € € Quantité attribuée par école : illimitée Durée de validité de la licence : illimitée Modalité de récupération du logiciel et de la licence : cédérom « antivirus », courrier IA. Attention : une mise à jour est nécessaire après l’installation: Voir : http://antivirus.ac-bordeaux.fr/content.php?menu=1111&page_id=44 € OfficeScan 7.x et sup. en mode http (sous Apache : serveur NT, 2000S ou 2003S, sous IIS sur une station dédiée XP Pro (moyennant configuration particulière)): dès qu’une nouvelle définition est téléchargée elle est « poussée automatiquement vers les stations clientes en fonction. € € € Quantité attribuée par école : 1 par serveur Durée de validité de la licence : 1 an Modalité de récupération du logiciel et de la licence : contacter le MATICE de la circonscription Documentations : 5.06 : trend_doc_util_ofsc.pdf et trend_filebase2.pdf à http://antivirus.acbordeaux.fr/telechargements/ 7.3 ou 8 : http://malbec.ac-bordeaux.fr/antivirus/content.php?menu=22&page_id=45 € Solution institutionnelle pour les enseignants : - PCCillin Procédure permettant d'acquérir de une à 5 licences personnelles de PC Cillin.(coût annuel de 5€ par licence) : http://www.ac-bordeaux.fr/communiquer-autres-services/info-virus.html - Produits gratuits : Attention : Pour les trois logiciels suivants, l’usage privé cité dans la licence d’utilisation exclut l’usage dans un établissement scolaire. (Solutions acceptables pour les PC personnels des enseignants). € € € 2 Antivir Personnal édition (gratuit) Anglais http://www.pcastuces.com/logitheque/antivir.html AVG free édition (gratuit) avec numéro de série en ligne : http://www.avgfrance.com AVAST : très efficace, peu gourmand en ressource (gratuit) : http://www.avast.com « patterns » Inspection Académique de la Gironde – Centre de Ressources TICE 2 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 Sécurité externe : Les anti-spyware, anti-malware … Désinfections, logiciels espions, malveillants, chevaux de troie € A Squared (http://www.emsisoft.de/fr/software/free/) € Ad-Aware (http://www.lavasoftusa.com/ ) € Spybot - Search & Destroy (http://www.safer-networking.org/fr/) Protection des données personnelles (adresses, numéros de téléphone, …) € http://www.logprotect.fr/ Sécurité interne : le filtrage € Cas d’une architecture réseau centralisée : Dans ce type d’architecture réseau, un poste dédié (serveur) centralise et filtre le flux internet. L’ensemble des postes rattachés au serveur bénéficie ainsi de la protection mise en œuvre. C’est le seul système qui permette de conserver les traces de navigation des utilisateurs. Différentes distributions3 permettent d’installer un tel serveur : € € Installation d’un serveur Eole :http://eole.orion.education.fr/ installation d'une distribution IPCOP http://www.ipcop.org/ (voir Ipcop en annexe) Grâce à ces distributions, installables sur des machines désuètes, ne nécessitant que l’ajout de cartes réseau supplémentaires, il est possible, à peu de frais, de créer un proxy-pare-feu4 filtrant efficace. Il existe également des solutions matérielles commerciales assurant ces services. € Cas d’une architecture réseau poste à poste ou d’un poste isolé : Un seul poste à protéger, ou plusieurs postes en réseau sans serveur. Les solutions mises en œuvre sont de type logiciel, à déployer sur chaque poste à protéger. Quelques exemples : Solutions payantes € Pack sécurisé Navsécur + ABCD, 30 € (contact :CDDP de la Gironde) http://cyberlibrairie.crdp-poitiers.org/LABCDduNet/ € Surfpass 365€ ttc par école : http://www.cogilab.com/fr/education/index.htm € Optenet filter 328€ ttc pour une école http://www.optenet.com/fr/ Solutions gratuites € Naomi 3.4.90 :http://www.naomifilter.org/setup-fr.exe Naomi est un logiciel de contrôle gratuit et simple d'utilisation. N'étant pas basé sur une liste noire, il analyse selon certains critères le contenu des pages Web ainsi que les images et ferme le navigateur Internet lorsqu'un contenu pornographique, raciste, sectaire ou violent est détecté. Relativement efficace sous win2000 et supérieur. 3 4 Distribution : package système d’exploitation et logiciels, souvent sous Linux Cf pour ces termes techniques : http://christian.caleca.free.fr/http/ Inspection Académique de la Gironde – Centre de Ressources TICE 3 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 Textes de références et sources : € € € € € € Charte Internet 2003 http://crtice33.ac-bordeaux.fr/site rubrique « imprimés institutionnels » Usage de l’internet dans le cadre pédagogique et protection des mineurs CIRCULAIRE N°2004-035 DU 18-02-2004 http://www.education.gouv.fr/bo/2004/9/MENT0400337C.htm http://www.filtra.info/ test octobre 2006 http://www.educnet.education.fr/aiedu/ Site académique antivirus http://antivirus.ac-bordeaux.fr Site académique, sécurité http://ssi.ac-bordeaux.fr Glossaire technique : virus : Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB, etc. (extrait http://fr.wikipedia.org/wiki/Virus_informatique) vers (worm). Ils se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie. Dès qu'ils ont infecté un ordinateur, ils s'envoient euxmêmes à des adresses contenues dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante (comme le ver I Love You). Les experts n'arrivent pas à se mettre d'accord sur l'appartenance ou non des vers à la classe des virus informatiques. (extrait http://fr.wikipedia.org/wiki/Virus_informatique) chevaux de Troie (Trojan horses) comportent des routines nuisibles exécutées sans l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les portes dérobées. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule. Ils prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car il leur manque la fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un virus. (extrait http://fr.wikipedia.org/wiki/Virus_informatique) logiciels espions (espiogiciel, mouchard ou en anglais spyware) sont des logiciels malveillants qui s'installent dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il se sont installés, très souvent sans que l'utilisateur n'en ait connaissance. (extrait : http://fr.wikipedia.org/wiki/Virus_informatique) Inspection Académique de la Gironde – Centre de Ressources TICE 4 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 Annexe : Serveur Ipcop : Exemple de dispositif matériel assurant le routage de l’Internet, la protection des réseaux et le filtrage des accès. Le problème : Connecter le secrétariat de la commune, les classes des écoles à un seul point, sur un seul abonnement ADSL en sécurisant les accès entrants et sortants. La topographie des lieux : classique mairie, école à proximité, une cour sépare les classes (une classe côté mairie, deux autres en face) 2 4 2 6 3 4 2 5 2 1 1 2 3 4 5 6 Serveur Postes clients wifi Modem ADSL Points d’accès Wifi Antenne directionnelle Antenne omnidirectionnelle La machine IPCOP (1) gère 3 cartes réseau (on peut en mettre 4 si l’on veut héberger un site web communal) une interface ROUGE pour l'Internet = le modem (3) une interface VERTE pour le réseau (LAN) filaire (cette carte peut ne pas être utilisée dans le cas d’un réseau wifi complet) une interface BLEUE pour le LAN Wifi (reçoit le premier point d’accès (4)) (une interface ORANGE pour un serveur web accessible de l'extérieur mais sans possibilité de remonter au LAN) Inspection Académique de la Gironde – Centre de Ressources TICE 5 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 Ipcop, à quoi ça sert ? Ipcop est un package logiciel de petite taille qui s’installe sur des machines ne nécéssitant pas de grandes ressources5. IPcop c’est : € € € € € € € € Une distribution de pare-feu basée sur Linux, stable, sécurisée et hautement configurable. Une administration facile depuis un navigateur par l'intégration d'un serveur web. Un client DHCP permettant éventuellement à IPCop d'obtenir une adresse IP de votre FAI6. Un serveur DHCP7 vous permettant de configurer facilement les machines de votre réseau interne. Un serveur mandataire DNS8 pour accélérer la résolution des requêtes de nom de domaine. Un serveur mandataire web (proxy) pour accélérer l'accès au web. Un système de détection d'intrusion pour identifier les attaques externes sur votre réseau. La possibilité de segmenter votre réseau en un réseau VERT, sûr, protégé de l'Internet ; un réseau BLEU pour votre réseau local WiFi ; et un réseau ORANGE, 5 Voir les matériels compatibles : http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopHCLv01 6 Fournisseur d’Accès à Internet 7 DHCP : Dynamic Host Control Protocol : permet à un serveur de distribuer des adresses IP à la demande des stations clientes 8 DNS : Domain Name System : fournit à partir d’un » adresse IP numérique le nom de domaine correspondant et vice-versa. Inspection Académique de la Gironde – Centre de Ressources TICE 6 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 zone démilitarisée ou DMZ en partie protégée de l'Internet rassemblant vos serveurs publiquement accessibles. Sécurité externe anti-intrusion: Chaque interface (carte-réseau) est dans un adressage différent : la communication n'est donc pas possible entre les interfaces sauf celle qui est autorisée par IPCOP. Seules les machines en wifi autorisées par l'IPCOP ont accès à l'internet. Le parefeu veille et une détection sur les paquets reçus sur l'interface Rouge est effectuée. Sécurité interne, Filtrage : : rajout de squidguard pour ipcop sur le serveur : listes noires de l’Université de Toulouse (recommandation du Ministère de l’Education Nationale). Au final : les fonctionnalités de l'Internet filtré partout, de la sécurité et des journaux d'accès, pas de câbles. Possibilité d'administration à distance (avec DNS dynamique) Combien ça coûte, où le trouver ? Ipcop est gratuit et téléchargeable à http://www.ipcop.org/1.4.0/ Squidguard qui gère le filtrage des sites internes est également gratuit : http://franck78.ath.cx/ Ipcop, sur quel matériel est-ce que ça fonctionne ? « IPCop tourne sur une machine dédiée. Il pourra utiliser une machine un peu ancienne ou du matériel "obsolète" tel qu'un processeur 386, 32Mo de RAM et un disque dur de 300Mo. Mais si vous envisagez d'utiliser une ou plusieurs des fonctionnalités avancées d'IPCop telles que le proxy web ou la détection d'intrusion, vous aurez besoin de plus de mémoire RAM, de plus d'espace disque et d'un processeur plus rapide. Un lecteur de disquette n'est pas obligatoire mais se révèle utile pour la création de sauvegarde et la restauration de votre configuration. Vous aurez cependant besoin de ce lecteur de disquette si votre machine ne veut pas démarrer depuis le CDROM ou si vous souhaitez effectuer l'installation par le réseau en HTTP. Un lecteur de CDROM permet une installation aisée d'IPCop mais n'est pas non plus obligatoire : vous pouvez installer IPCop à partir du réseau par le protocole HTTP. Au moins une carte réseau (ou NIC pour Network Interface Card) est nécessaire. L'expérience montre que la qualité du réseau dépend de la qualité des cartes réseau et donc de leur prix : utilisez une carte Ethernet 10/100Mbps de bonne qualité pour l'interface VERTE et vous ne le regretterez pas. Si votre connexion à l'Internet utilise un modem câble ou un modem ADSL Ethernet, vous devrez avoir deux cartes réseau. IPCop peut également être installé sur une carte Compact Flash (les instructions pour ce type d'installation se trouvent dans le Manuel d'Installation disponible sur la page IPCop Documentation). L'installation faite, vous pouvez retirer le moniteur et le clavier de votre machine IPCop : IPCop se gère par le réseau depuis votre navigateur web. » Extraits de http://www.ipcop.org/1.4.0/fr/install/html/ Inspection Académique de la Gironde – Centre de Ressources TICE 7 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06 Budget, exemple : € € € € € € € € une vieille machine (P133 mini ou P2) (récupération : 0 € ou achat à des revendeurs spécialisés) 1 modem ADSL (55 €) pour assurer la connexion ADSL si non existant. 1 onduleur (90 €) pour assurer la protection électrique du serveur 3 cartes réseau (40 €) pour séparer les réseaux (Rouge, Bleu, Vert) 2 antennes wifi (une omnidirectionnelle + 1 directionnelle) 180 € les 2 du câble coxial en descente (3.5 € /m) 2 point d'accès Wifi (un configuré en accès point l'autre en répéteur) (95 € pièce) des cartes wifi sur toutes les machines (31 € pièce) Total < 750 € (accès pour 4 machines) Configuration d’Ipcop : Une fois la distribution installée (cf. http://www.ipcop.org/1.4.0/fr/install/html/) et squidguard chargé et installé (http://franck78.ath.cx/squidGuard-doc/fr/squidGuard-fr.html ), il faut configurer les réseaux, l’anti-intrusion et le filtrage. Exemple de configuration des réseaux http://www.ipcop.org/1.4.0/fr/install/html/ Inspection Académique de la Gironde – Centre de Ressources TICE 8 BP 919 - 33060 BORDEAUX CEDEX – 05.56.56.37.34 – 05.56.56.36.55 – [email protected] 12/06