Wiki du DRT

Outils d'utilisateurs

Outils du Site


slis41

Exporter la page au format Open Document

SLIS 4.1

SLIS (Serveur Linux pour l'Internet Scolaire) assure la sécurité du réseau élèves (pare-feu) et la protection des mineurs (filtrage d'URL).

Toute modification de configuration doit donc être faite avec la plus grande prudence et en toute connaissance de cause. Le chef d'établissement doit en être informé. C'est ce dernier qui est légalement responsable de la sécurité du réseau de l'établissement.

Toute machine accessible de l'extérieure doit être placée en DMZ. Pas sur le réseau élèves (et encore moins sur le réseau personnels).

Présentation SLIS 4.1

La version 4.1 reprend l'ensemble des fonctionnalités de la version 3.2 et intègre en plus un serveur LCS. Elle est basée sur une distribution Linux debian Etch (version 4.0) et bientôt Lenny (version 5.0). Plus d'information sur DEBIAN et les différentes versions. Ceci permet une meilleure prise en compte des nouveaux matériels (et plus particulièrement les disques SATA).

SLIS 4.1 utilise la virtualisation XEN.

Schéma de principe :

Dans l'académie, la machine virtuelle “Debian vierge” n'est pas installée par défaut.

  • eth0 : wan → connexion côté routeur (zone internet)
  • eth1 : lan → connexion côté réseau pédagogique (zone élèves)
  • eth2 : DMZ → possibilité de créer une DMZ pédagogique sur le SLIS. Fonction pas utilisée aujourd'hui dans l'académie.

Voir aussi le schéma général pour l'architecture complète d'un établissement.

Fonctionnalités principales du serveur de filtrage

  • Pare-feu : sécurise les accès de l'intérieur vers l'extérieur et de l'extérieur vers l'intérieur.
  • Proxy : fonction cache et filtrage d'URL à partir des bases de l'Université Toulouse 1 Sciences Sociales. Il est possible de personnaliser une liste blanche et une liste noire (voire même de créer des nouvelles bases personnalisées à l'établissement).
  • Serveur Web :
  • DHCP : dans un établissement équipé d'un serveur SLIS, c'est généralement celui-ci qui assure la fonction DHCP. :!: Il ne doit y avoir qu'un seul DHCP sur un réseau local pour 99% des établissements scolaires. Il est possible de lier une ip et une adresse mac (serveur DHCP avec réservation d'IP), une machine récupère ainsi toujours la même IP: ceci permet de créer des sous réseau par groupe de postes (par salle par ex.).
  • DNS
  • Filtrage des accès Internet par sous-réseaux : il est possible de personnaliser les règles de filtrages par sous réseau.

Autres fonctionnalités possibles

Voir la documentation LCS : http://wwdeb.crdp.ac-caen.fr/LcsDoc ou http://ipslis

Procédure d'installation

Voir la page Installation SLIS 4.1

Administration et paramétrages

L'accès à l'interface d'administration d'un SLIS 4.1 se fait toujours en https sur le port 1098.

:!: Si vous le modifiez assurez-vous de choisir un mot de passe sécurisé : au moins cinq caractères alphanumériques « salés » (!*;#, etc)

Lors de la première connexion à l'interface d'administration du Slis, il est demandé d'indiquer les coordonnées de l'administrateur du SLIS. Ces coordonnées seront utilisées pour joindre l'administrateur en cas de besoin. Soyez certain de renseigner des informations valides. Nom de l'administrateur, son email, et son téléphone direct, à défaut celui de l’établissement. S’il n’y a pas d’administrateur local, mettre le numéro de téléphone de l’établissement, l’adresse email du chef d’établissement (ce.rne@ac-lyon.fr) et le nom “Chef etablissement”. Ces informations peuvent être éditées via le menu “Mon profil”.

Il y a quatre niveaux d'interfaces :

  • novice : suffisant pour la plupart des tâches d'administration
  • intermédiaire : menu novice + gestion du pare-feu + Information Réseau & Informations système “simples”
  • avancé : menu intermédiaire + configuration du Lan + Informations systèmes “avancées” (IRQ, modules etc..)
  • expérimental : menu avancé + fonctionnalité expérimentale (configuration Wan)

Services

Permet de visualiser l'état des services, les arreter ou les redémarrer et les configurer.

Configuration type du DHCP

Il faut respecter le cahier des charges académique du plan d'adressage IP

:!: Attention si vous êtes équipés d'un serveur Scribe, pour assurer une connexion performante des clients Windows sur le serveur Scribe, il est essentiel de renseigner le Scribe comme serveur WINS.

Informations réseaux

Permet d'avoir des informations sur l'état des cartes réseau, la table de routage et des tests de ping.

La table de routage est configurée par les services académiques.

Lecture de la table de routage :

  • ligne 1 : pour aller vers le réseau 10.169.179.0 (WAN), il n'y a pas de passerelle [0.0.0.0], et on utilise l'interface eth0
  • ligne 2 : pour aller vers le réseau 192.168.234.0 (DMZ SLIS), il n'y a pas de passerelle [0.0.0.0], et on utilise l'interface eth2
  • ligne 3 : pour aller vers le réseau 192.168.220.0 (DMZ AMON), il y a une passerelle 172.16.0.252 (IP AMON sur le LAN élèves), et on utilise l'interface eth1
  • ligne 4 : pour aller vers le réseau 172.16.0.0 (LAN élèves), il n'y a pas de passerelle [0.0.0.0] et on utilise l'interface eth1
  • ligne 5 : pour aller vers tous les autres réseau [0.0.0.0] (c'est à dire Internet ), on passera par une passerelle [10.169.179.254] (IP routeur) et ceci en utilisant l'interface eth0

Journaux et statistiques

Permet de visualiser le journal des accès web. La journalisation des fichiers de connexion pour un contrôle a posteriori est une obligation légale. Voir les préconisations du S2i2e.

Maintenance

Permet d'effectuer certaines opérations de maintenance dont la configuration de l'onduleur et des sauvegardes.

:!: Il est impératif que le SLIS soit protégé par un onduleur

Sécurité

Filtrage web

:!: La protection des mineurs dépend de ces réglages !!!!

Le filtrage d'URL utilise les bases de l'Université Toulouse 1 Sciences Sociales. Une mise à jour des slis est effectuée chaque nuit.

Règles par défaut

A l'installation les règles par défaut ont été activées.

L'ordre des règles est important. Elles sont lues du haut vers le bas jusqu'à ce que l'une d'elles s'applique.

Une liste blanche et une liste noire existent maintenant dans la règle par défaut.

Une règle doit toujours commencer par “Laisser_passer - Blanche” et se terminer “Bloquer - Noire” puis “Laisser_passer - all”.

Ainsi si vous souhaitez ajouter une interdiction ou une autorisation, il suffit de l'ajouter dans la liste noire ou la liste blanche. Il est possible de filtrer selon 3 critères :

  • Les URLs (Uniform Ressource Locator): filtrage sur une adresse. Exemple : www.ac-lyon.fr. Si ajoutez cette URL à la base noire, www.ac-lyon.fr sera filtré mais www2.ac-lyon.fr ou encore ce.ac-lyon.fr seront autorisées.
  • Les domaines : filtrage d'un domaine. Exemple : “ac-lyon.fr”. Si vous ajoutez ce domaine à la base noire. www.ac-lyon.fr, www2.ac-lyon.fr, ce.ac-lyon.fr … tout le domaine “ac-lyon.fr” sera filtré.
  • Les expressions rationnelles : filtrage sur une chaîne de caractère dans une url. Exemple : “lyon”. Si vous ajoutez cette expression à la base noire, www.ac-lyon.fr, www2.ac-lyon.fr, ce.ac-lyon.fr, www.lyonpoche.com … toutes les adresses contenant l'expression “lyon” seront filtrées. :!: A utiliser avec prudence…

Mise à jour et amélioration des listes noires

Si vous identifiez un site non filtré, vous pouvez bien sûr l'ajouter dans liste noire personnalisée. Merci également de le soumettre à la liste nationale. Voir ci-dessous.
Attention: Ne mettez pas d'accents dans les listes noire ou blanche (de toutes façons les url internet n'ont jamais d'accents !) sous peine de faire planter squidGuard (le service qui filtre) et de ne plus avoir de filtrage actif …

Afin d’améliorer les performances et la qualité du filtrage, un retour d’information est nécessaire. Il permet de supprimer de la liste des sites injustement filtrés et d’ajouter dans chaque catégorie de nouveaux sites découverts par les administrateurs et les utilisateurs.

Une procédure automatisée a été mise en place afin de recueillir les propositions de modification de la liste. Pour soumettre une URL : http://aiedu.education.fr/ Un ensemble de moteurs logiciels analysera la page soumise et une vérification visuelle aura lieu si besoin avant l’incorporation du site dans les listes.

La participation de chacun par l’intermédiaire de ce processus permettra d’obtenir une liste de plus en plus performante.

Règles personnalisées

Il est possible d'ajouter des règles personnalisées. Ainsi on pourra créer une règle spécifique pour un groupe de postes (salle des profs par exemple). Cela nécessite de gérer les groupes de postes par sous réseau. Voir le chapitre network

Pare feu

:!: La sécurité du réseau local dépend de ces réglages.

C'est ici qu'il y a le plus de nouveautés ; Il n'y a plus aucune possibilité d'ouvrir des accès de l'extérieur vers le réseau élèves. La seule possibilité est d'avoir un accès sur la DMZ (lorsqu'il y en a une :-/).

  • Effacer la configuration du pare-feu permet de revenir aux règles par défaut FIXME à confirmer

Règles par défaut

Les règles par défaut de l'intérieur vers l'extérieur sont les suivantes. Elles doivent convenir pour la majorités des usages. A modifier avec beaucoup de prudence.

L'interface d'édition des règles de pare-feu a été grandement améliorée :-)

Accès par sous-réseaux

Le menu Accès par sous-réseaux permet de visualiser et modifier l'état (bloqué ou autorisé) de l'accès internet par sous réseau. L'état peut être défini par programmation horaire ou manuellement (bouton statut cliquable → bascule). Il est possible de nommer les sous réseaux. Par exemple, le sous réseau réservé pour les serveurs est 172.16.0.1 à 172.16.0.254. Il est en mode manuelle et état autorisé (permet les mises à jours serveurs, antivirus…).

Pour créer des sous réseau par groupe de postes, il faut gérer les réservation d'IP par station. Ceci peut-être facilement réalisé via le DHCP. Voir le DHCP - Existing leases

Proxy inverse

Le menu “proxy inverse” permet de faire du “reverse proxy” : redirection d'url afin de donner accès depuis l'extérieur à un serveur hébergé en interne.

:!: Cette fonction ne doit normalement pas être utilisée. Tout service accessible de l'extérieur doit être placé en DMZ. Voir remarque en haut de cette page sur la responsabilité du chef d'établissement.

Translation de port

Le menu “translation de port” permet de faire une redirection temporaire de port vers le réseau local ou la dmz. La redirection étant temporaire, cette opération est conforme aux préconisations de sécurité.

Par exemple pour prendre la main en ssh sur serveur Scribe.

FIXME à documenter

Network

  • Le menu NETWORK permet de gérer le DNS (Serveur de Nom de Domaine, Domain Name Service) et le DHCP (Protocole de Configuration d'Hôte Dynamique.

DNS

Vous avez la possibilité grâce à SLIS de gérer un serveur DNS qui s'occupera de traduire les noms de vos machines locales. La configuration du DNS consiste à associé l'IP d'une machine à un nom. Ainsi, en tapant ce nom dans un navigateur, le serveur DNS fera la correspondance avec l'IP de la machine.

Un enregistrement DNS peut être ajouté dans le domaine intranet.local ou nom-etablissement.ac-lyon.fr

Voir cette article wikipedia pour plus d'info sur DNS

DHCP

Le DHCP va permettre d'attribuer automatiquement l'IP, le masque de sous réseau, la passerelle, le DNS aux stations qui se connecteront au réseau pédagogique.

:!: Il ne doit y avoir qu'un seul serveur DHCP sur un réseau.

Voir cette article wikipedia pour plus d'info sur DHCP

Définition du DHCP

Permet de visualiser et modifier la plage d'adresses distribuées par le DHCP. Dans l'académie de Lyon cette plage est 172.16.127.1 à 172.16.130.254. Voir le plan d'adressage.

FIXME copie à refaire plage non conforme

La configuration des autres paramètres (passerelle, DNS, serveur WINS…)se fait via le menu SERVICES voir configuration du DHCP.

Entrée DHCP

Existing leases

Ce menu est une nouveauté sur SLIS 4.1. Il permet de visualiser les IP attribuées aux stations par le DHCP. Par défaut une station reçoit une IP disponible dans la plage d'adresse. On visualise donc ici toutes les stations qui ont sollicitées le serveur DHCP pour se connecter au réseau.

Dans ce tableau, il est d'ajouter une réservation DHCP. Ainsi, va pouvoir réserver une adresse IP à une station. Ainsi, à chaque connexion au réseau la station sollicitant le serveur DHCP recevra toujours la même adresse IP.

Le serveur DHCP réserve, associe une adresse IP à l'adresse physique (adresse mac) de la carte réseau de la station. On appelle cela du “DHCP statique”.

On pourra ainsi, réserver une plage d'adresses à un groupe de postes. Ainsi, on pourra exploiter l'accès par sous réseau ou encore appliquer une règle de filtrage spécifique à un groupe de postes.

  • Cas pratique : On va pouvoir dans une même plage d'adresse 172.16.5.XXX par exemple, affecter à toutes les stations professeurs une adresse IP “fixe”. Ainsi on pourra facilement attribuer des règles de filtrages différentes pour les stations faisant parties de la plage 172.16.5.XXX. En conséquences les professeurs auront un filtrage moins restrictif que élèves.
  • Méthode : il faut cocher une case dans la colonne Ajouter une réservation DHCP puis cliquer sur l'IP pour la modifier puis vérifier et éventuellement modifier le nom du poste dans la colonne NOMet enfin cliquer sur ajouter en bas de la page. Si tous c'est bien passé vous aller trouver le nom de la station ainsi que son IP dans le sous menus DHCP réservations.
DHCP réservations

Ce menu permet de visualiser l'ensemble des stations pour lesquelles on a réservé une adresse IP. On peut supprimer la réservation ou la changer

Ce menu affiche aussi l'adresse IP du poste sur lequel vous êtes connecté on peut ainsi la modifier et la réserver en indiquant la macadresse, le nom de la station puis en cliquant sur ajouter.

Add static route ou configuration de mon réseau local

Ce menu permet d'ajouter une route statique sur les postes clients.

LOL Cette fonctionnalité n'est utile que dans le cas d'une architecture spécifique. Elle n'est normalement pas utilisée.

  • Fonctionnement : Pour qu'une machine située sur un réseau A soit en mesure d'en contacter une autre située sur un réseau B, il faut que soit mis en place un mécanisme qui décrive comment aller de l'une à l'autre. C'est ce que l'on appelle le routage. Une route est définie par une paire d'adresses : une destination et une passerelle. Cette paire signifie que pour atteindre cette destination, vous devez passer par cette passerelle.
  • Cas pratique : Si on crée un sous réseau avec un routeur et qu'on relie les réseaux entre eux. Il faudra créer une route pour que le sous réseau puisse accéder à internet via le SLIS.

Liens utiles

slis41.txt · Dernière modification: 2012/05/30 14:34 (modification externe)