Optimiser la sécurité de son réseau pédagogique dans un environnement Kwartz
Version 03/02/06
Vous êtes responsable du réseau pédagogique de votre établissement, sous Kwartz.
Vous n'ignorez pas les risques potentiels vu que tous vos postes sont reliés à Internet, cette page est faite pour vous.
Nous aborderons d'abord le pare-feu dans sa globalité, puis sur le contrôle des machines pour terminer par le contrôle des utilisateurs.
Toutes ces opération se font depuis l'interface Kwartz-Control.
Nicolas
Inscription liste de distribution
Pour vous tenir informé des mises a jour du site
En cas de problème de sécurité sur les Kwartz,
Ou pour toute autre information importante
concernant l'informatique sous un réseau Kwartz,
Configuration du pare-feu Kwartz
Nous allons tout d'abord faire le point sur le pare-feu du Kwartz.
Celui-ci est paramétrable depuis "Sécurité" --> "Pare-feu":
Ici, des modifications ont déjà été effectuées.

On ne doit modifier les paramètres du pare-feu qu'en connaissance de cause.
On n'ouvre pas des ports à tout va !
Certains ouvrent tout pour ne pas être ennuyé... Grave erreur !

Par défaut, le pare-feu est paramétré ainsi -->

Le fait par exemple d'ouvrir le LDAP a l'extérieur permettrait à n'importe qui d'obtenir la liste de vos utilisateurs... Autre exemple, le service "pop" (la réception du courrier électonique), n'est ouvert qu'en entrée, ce qui est logique et ne doit pas être changé.
 
Srv E
Srv S
Postes
Ping      
Web, pages internet (http, https)      
Transfert de fichier (ftp)      
Réception de courrier (pop-3, imap)      
Forum (nntp)      
Partage de fichiers (smb)      
Annuaire LDAP      
Connexion sécurisée à distance (ssh)      
KWARTZ~Control      
Connexion réseau privé virtuel (pptp)      
Contrôle selon les machines

Dans un réseau informatique, il faut connaître l'équipement se connectant à son réseau. Dans de gros établissements, il serait tellement facile de brancher son portable à une prise d'une salle peu surveillée et de surfer... ou tout simplement de propager le virus récupéré à la maison !
Il est donc nécessaire de filtrer les machines, avant même de filtrer les utilisateurs.

Cela se fait très facilement depuis le menu "Sécurité" --> "Contrôle selon les machines":

Il suffit de décocher la toute dernière case afin de ne pas autoriser les postes inconnus à surfer -->

D'autre part, il ne faut généralement pas inscrire des postes dont on n'est pas sur de leur identité.
En effet, parfois un certain nombre de postes est en attente de validation dans "Réseau" - "Inscription automatique" (voir copie d'écran).
Etes-vous certain de connaitre l'emplacement de ces machines ?

Ne jamais oublier que seule l'adresse MAC (Série de caractère ressemblant à ceci: 00:0D:93:44:B2:12) est fiable et permet une authentification quasi certaine du poste. On ne se fie pas uniquement à son nom qui peut être changé par n'importe qui.

On obtient l'adresse MAC soit sous Rembo, lors du démarrage de la machine ou sous Windows en tapant dans une fenêtre MS-DOS "ipconfig/all".
Contrôle selon les utilisateurs

Vous pensiez sans doute qu'il suffisait, pour actionner les listes noires et enregistrer les logs, d'appliquer une règle par défaut dans "Sécurité" - "Accès à Internet" (1) et (2) ?

C'est faux. Il est très facile à un utilisateur de pouvoir surfer sans être authentifié ! Certes le blocage par les listes noires sera effectif (à condition d'avoir correctement paramétré le profil par défaut) mais impossible de savoir qui fait quoi...

La seule solution fiable est de créer des "Profils d'accès à Internet" où l'on placera tous les utilisateurs connus du réseau (profs, élèves...) et de bloquer tous les autres (ce sera donc notre "Profil par défaut").
La méthode est simple mais assez longue. Créons d'abord un premier "Profils d'accès à Internet" ou je vais placer mes profs.

Cliquer sur "Définir un nouveau profil". Je choisis un nom pour ce profil, soit "Professeurs". Je vais maintenant choisir qui fait partie de ce groupe. Pour cela, je clique sur "Sélectionner...", une fenêtre s'ouvre.
A gauche, tous les utilisateurs de mon Kwartz, profs et élèves mélangés. Je pourrais très bien avoir un seul et unique profil, mettre tous les utilisateurs dans celui-ci, cela fonctionnerait.
Je préfère créer différents profils au cas ou, par exemple, je voudrais en bloquer un pour une durée déterminée.

Je peux afficher uniquement les utilisateurs d'un certain groupe (les groupes sont visibles dans le menu "Utilisateurs" - "Groupes") en choisissant celui-ci dans la liste déroulante visible en bas à gauche de ma fenêtre.

Une fois le groupe désiré affiché, je le déplace dans la colonne de droite ("Utilisateurs sélectionnés") en cliquant sur le bouton "Ajouter les utilisateurs affichés".

Voir la démonstration ci-contre...

Cliquer sur l'image pour voir l'animation

Il est possible de rajouter autant d'utilisateurs ou de groupes que je désire dans mon profil. Une fois terminé, je clique sur "OK" pour fermer la fenêtre.

On retrouve la fenêtre de tout à l'heure, sauf que les utilisateurs choisis précédemment sont listés -->

Cliquer sur "Mettre à jour" pour valider.
Maintenant il est possible de définir des périodes pendant lesquelles l'accès est autorisé. Dans l'exemple je choisis "Tout le temps" -->
On doit maintenant définir ce que ce groupe peut visiter (ou pas !) comme sites. On utilise la liste noire de Toulouse et éventuellement des listes personnalisées.
Ne pas oublier de laisser passer les 2 listes "Bibliothèque" et "Désinfection virale" qui ne sont pas des listes noires mais des listes blanches.
Après avoir validé ("Mise à jour") la page suivante --> affiche le résumé de l'action. Tous les autres sites que ceux bloqués sont implicitement autorisés.
On recommence l'opération si nécessaire avec d'autres profils (élèves...) jusqu'à avoir tous les utilisateurs du réseau dans un profil (ne pas en oublier, sinon ils n'auront pas accès au Web).
Maintenant que les profils sont définis, on paramètre le "Profil par défaut" afin d'empêcher tout utilisateur non authentifié de surfer.

Pour cela on procède comme auparavant, sauf que l'on bloque tout accès (voir copie d'écran -->).

Au final, on se retrouve avec une série de règles ressemblant à celles-ci -->

Il suffira dans les jours suivants de regarder dans les logs si des identifiants inconnus réussissent encore à surfer...
Quelques précautions au sujet de Winadmin
Il vous parait normal d'utiliser "Winadmin" comme utilisateur classique, d'utiliser ce compte pour aller sur n'importe quel poste du réseau.

Winadmin n'est pas un compte comme les autres. C'est en effet le seul utilisateur ayant le droit d'écriture sur le lecteur réseau "P:" contenant les programmes réseau .

Quelle importance, allez-vous me dire ?

Sachez que sur le "P:" est stocké l'antivirus OfficeScan. Si jamais vous ouvrez une session "Winadmin" sur un poste vérolé, vous pouvez être sur que le virus va tenter de se propager là où il peut, notamment sur le "P:" où il a le droit d'écriture, et particulièrement dans le répertoire "pccsrv" d'Officescan...

Maintenant que cela est fait, souvenez-vous que tous les postes de votre réseau lancent à l'ouverture de session l'antivirus sur le "P:".

Vous commencez à imaginer le problème... tous les postes du réseau vérolés... bon amusement !

Il est donc primordial pour la sécurité du réseau de n'utiliser "Winadmin" qu'en cas de nécessité (lors de l'installation d'un programme sur le "P:" par exemple).

Vous pouvez tout à fait créer des comptes pour les administrateurs ("admin", "tice"...) où vous stockerez vos programmes et fichiers divers utiles au fonctionnement des salles.
Utiliser la liste personnalisée pour bloquer des sites non répertoriés

Pour ajouter une liste personnalisée, aller dans le menu "Sécurité" puis "Accès à Internet". En bas choisir "Gestion des groupes de sites".
Dans cette section vous pouvez ajouter des sites ou des domaines qui seront soit interdits en plus des listes noires, soit autorisés malgré leur présence dans la liste noire originale.

Cliquer sur "Créer un nouveau groupe de sites".

Ici je veux bloquer le domaine "ac-lille.fr". Je donne un nom explicite à mon groupe de façon à m'y retrouver. J'ajoute un ou plusieurs domaines ou sites dans la liste.
Attention il y a une différence entre un site et un domaine: Si je veux bloquer le site porno "http://www.fouettemoiavecdesortiesfraiches.com" j'indique "fouettemoiavecdesortiesfraiches.com" dans la section "Domaines". En revanche si je trouve un site perso interdit chez free ("http://jetrichealecole.free.fr" par exemple), je bloque seulement la page perso et pas le domaine... J'indique donc clairement "http://jetrichealecole.free.fr" dans la section "Adresse / URL".
Une fois fini cliquer sur "Créer le groupe". Je vois mon nouveau groupe dans la liste.
Je retourne dans le menu "Sécutiré" - "Accès à internet".
Au choix, je clique sur le profil sur lequel je veux appliquer ma liste. Ici nous l'appliquerons au profil par défaut. Je clique donc sur la règle du profil par défaut.
Ici des blocages sont déjà actifs. Nous allons donc ajouter notre liste. Cliquer sur "Editer".
Je clique sur ma liste (en haut, dans "Groupes de sites"). Je clique sur "Mettre à jour".

Et voilà !
Voici quelques sites utilisés par les logiciels de messagerie instantanée.
MSN Messenger
  Bloquer les domaines "messenger.hotmail.com", "msgr.hotmail.com", "webmessenger.msn.com" et "login.live.com"
  Pour info le logiciel utilise le port 1863
Yahoo Messenger
  Bloquer le domaine "scs.msg.yahoo.com"
  Pour info le logiciel utilise le port 5050
AIM (AOL Instant Messenger)
  Bloquer le domaine "login.oscar.aol.com"
  Pour info le logiciel utilise le port 5190
ICQ
  Bloquer le domaine "login.icq.com"
  Pour info le logiciel utilise le port 5190