Serveur EOLE - Amon

 Présentation

Historique

Il y a quelques années, le serveur SLIS assurait le rôle de filtrage internet et fournissait également les adresses IP aux postes informatiques via son serveur DHCP.

A présent, le DHCP est assuré par le serveur de fichiers Scribe et le filtrage web par le serveur Amon qui est déjà en place dans les établissements. Ce même serveur assure déjà le filtrage de la zone “Personnels”.

L’architecture des réseaux en est modifiée et simplifiée.

A présent, nous avons cette architecture, avant nous avions cela.


Nous allons traiter ici que de la partie concernant la zone Elèves d’un établissement.

Fonctionnalités

  • Il protège le réseau interne des attaques externes
  • Il protège la zone Personnels contre les attaques de la zone Elèves
  • Il enregistre toutes les connexions (qui ? quand ? où ?)
  • Il sert de proxy-cache ce qui permet d’accélérer les connexions internet
  • Il filtre l’accès à Internet grâce à une liste noire nationale
  • Il résout les adresses IP en nom de machines (serveur DNS)

 Gestion du serveur AMON


Sur le plan décisionnel et juridique, le chef d’établissement est responsable et décideur dans son établissement et l’accès au réseau informatique se fait sous la responsabilité de celui-ci.


Un Amon ne s’éteint pas et ne se redémarre pas sauf si c’est spécifiquement demandé par l’assistance ou la DSI. Le personnel du réseau administratif travaille en permanence sur l’intranet du Rectorat via des tunnels sécurisés.

Via l’interface EAD

Tout utilisateur de ces moyens et ressources informatiques a le devoir de respecter les règles établies à l’intérieur de l’établissement ainsi que celles établies par les réseaux RENATER et AGRIATES.

Introduction

La configuration du pare-feu Amon se fait par le biais d’une interface web d’administration EAD.

Le pare-feu Amon dispose d’une interface d’administration proposant :

  • Des actions communes sur le serveur (Redémarrage …)
  • La configuration des filtres web appliqués lors de la navigation sur internet (Dansguardian)
  • La gestion des machines du réseau par groupe ou machine.
  • La gestion du pare-feu (horaires, IPs interdites…).
  • L’observation des logs (notamment les accès refusés)
Connexion et authentification

L’accès à l’interface EAD est possible avec 2 logins, dont 1 seul nous intéresse (l’autre étant réservé à l’administration de l’établissement). Il nous permettra de paramétrer le filtrage de la zone Elèves.


UNE seule station, avec une IP fixe, de la zone Élèves est autorisée à se connecter à l’EAD de l’Amon.

Pour savoir comment fixer une IP fixe, cette FAQ Comment fixer une IP fixe sur Windows 7 ? est à disposition. OSCAR permet également d’accéder à l’AMON de manière simplifiée via le menu Scribe.


Le login et le mot de passe sont donnés lors de la migration sur Scribe ou de la suppression du SLIS. Dans tous les autres cas, ils sont à demander auprès de la plateforme d’assistance

A noter que sur un Amon 2.3, le login est ’eole2’ et plus ’amon2’.

Une fois connecté, plusieurs informations sont disponibles :

  • Dernière mise à jour du serveur
  • Dernière mise à jour de la liste noire de l’Université de Toulouse
  • Etat des différents services


Tous les serveurs AMON (collèges, lycées) sont supervisés par la DSI du Rectorat.

Personnalisation de l’EAD

Il est intéressant à travers l’interface EAD de l’AMON de pouvoir accéder aux différents serveurs (Scribe, Eclair …), cela permet de n’avoir qu’une seule adresse pour gérer ses serveurs.

  • Connectez-vous sur l’EAD de l’AMON https://172.16.0.252:4200/ (ancien adressage) ou https://172.X.Y+3.252:4200/ (nouvel adressage)
  • Cliquez à gauche sur le menu Administration puis Ajouter un serveur.

  • Une nouvelle fenêtre s’ouvre :

  • Renseignez comme suit :
    • Ip du serveur : 192.168.220.10 si Scribe en DMZ ou 172.16.0.241 si ancien plan d’adressage
    • Nom du serveur : srv-scribe
    • Login : scribe ou eole (si Scribe 2.3)
    • Mot de passe : mot de passe défini lors de l’installation


Pour se connecter ainsi sur le serveur Scribe, il faut utiliser l’utilisateur scribe ou eole (l’utilisateur ’admin’ ne fonctionnera pas)

 Fonctionnalités

On pourra ainsi pour la zone Elèves :

  • créer des interdictions réseau ou web pour des groupes machines ou des machines
  • voir l’historique des sites visités
  • activer des filtres Web

Groupes machines

Cette fonctionnalité est accessible par le menu Filtre web 2

Cf. la page dédiée

Sources et destinations

Par défaut, tous les accès à des sites nécessitent une authentification (si elle est active) et toutes les machines du réseau doivent s’identifier. Mais certains systèmes ou logiciels doivent pouvoir se mettre à jour de façon transparente. De plus, le proxy conserve une version des pages téléchargées en cache pour limiter la consommation réseau. Ce comportement n’est pas adapté à tous les sites.

Pour les sites comportant des données sensibles, il est nécessaire de s’assurer que des données relatives à la navigation sur ce domaine ne soient pas placées dans le cache du serveur. Certaines machines peuvent également avoir besoin de naviguer avec des données provenant directement du site consulté.

Certains postes clients ou serveurs du réseau ont besoin d’effectuer des mises à jour automatiquement, les sites de mise à jour doivent être accessibles sans authentification. Certaines machines peuvent également avoir besoin de naviguer sans être authentifiées.

Pour cela, il existe deux mécanismes :

  • ne pas utiliser de cache ou d’authentification pour certains sites (destination) ;
  • ne pas utiliser de cache ou d’authentification pour certaines machines locales (source).
    Cache et authentification de la destination Dans Configuration générale / Cache et Authentification / Destinations :
  • entrer le nom du domaine ;
  • cocher authentification et/ou cache ;
  • valider.

Visites de sites


La consultation des accès est soumis à un cadre législatif très strict. En effet, “les administrateurs de réseaux ne doivent pas divulguer des informations qu’ils auraient été amenés à connaître dans le cadre de leurs fonctions … ” (Voir “fiche n°7 - Les administrateurs réseau” sur le de la CNIL)

Plus d’infos ici sur Eduscol.C’est pour cela que la DSI a décidé de ne pas rendre ce service disponible sur les serveurs Amon en version 2.3.

Cette fonctionnalité est accessible par « Visites des sites ».

Les tentatives d’accès à des sites interdits apparaîtront en rouge.

Vous pouvez également ne consulter que les accès refusés en cochant la case idoine.


N’utilisant pas (encore) le pare-feu authentifiant, la fonctionnalité par login est inopérante

Sites

Cette fonctionnalité est accessible par le menu Filtre web 2

Le filtrage web permet de :

  • configurer la manière dont le filtrage s’effectue ;
  • associer des filtres à des utilisateurs (pas possible dans notre académie) ;
  • associer des filtres à des machines.
Listes

Ce tableau permet de gérer le filtrage, notamment sur tout ce qui concerne les webmails, le phishing etc… Cette base (Base de Toulouse), identique à celle utilisée par le serveur SLIS, est régulièrement mise à jour.


Attention à ne pas oublier de valider à la fin des sélections !


Il est possible de signaler des sites pour améliorer les performances et la qualité de cette base de sites interdits par l’intermédiaire du menu ’Outils’

Il est possible d’associer une politique de filtrage à un groupe de machines ou plusieurs groupes de machines (colonnes 1 à 3).

Par défaut, si aucun groupe n’est défini, les stations utiliseront la politique « Défaut ».

Selon la politique de filtrage souhaitée dans l’établissement, il faudra cocher ou décocher les cases et valider.

Mode de filtrage

Laisser le paramétrage par défaut.

Sites interdits

Les sites présents dans cette liste ne seront pas accessibles.

Exemple : pour bloquer le site Radio Scoop qui ne fait pas partie du filtre “Radios”


Pour Interdire un site, ne pas saisir l’url mais le nom de domaine.
Exemple : radioscoop.com


Pour supprimer un site de cette liste, cliquer sur “aucun” et valider (cette manipulation est d’ailleurs valable pour tous les autres modes).
Sites autorisés

Il est possible de forcer l’autorisation de sites en les ajoutant sur la liste des sites autorisés.

Exemple : ouvrir l’accès à YouTube malgré le blocage “audio-video”


Pour autoriser un site, ne pas saisir l’url mais le nom de domaine.
Exemple : youtube.com
Extensions

Il est possible d’interdire des extensions, ainsi si l’URL pointe vers un fichier portant cette extension, elle sera interdite.

Exemple : pour interdire les fichiers .zip on saisira simplement « zip » et on valide.

Type MIME

IL s’agit ici de bloquer l’accès à des pages Internet en bloquant des types MIME.

Le type MIME est utilisé d’une part pour typer les documents attachés à un courrier mais aussi pour typer les documents transférés par le protocole HTTP. Lors d’une transaction entre un serveur web et un navigateur internet, le serveur web envoie en premier lieu le type MIME du fichier envoyé au navigateur, afin que ce dernier puisse savoir de quelle manière afficher le document.

Cette interdiction fonctionne comme celle des extensions.

Règles de pare-feu

  • Interdiction des forums : interdiction des protocoles de news, newsgroups (nntp, nntps, news…)
  • Interdiction des protocoles de messagerie : (pop, imap, ldap, pop, pop3s…)
  • Interdire l’envoi de mail sur tout internet (lutte anti-spam) : NE PAS DÉSACTIVER
  • Interdire l’utilisation des dialogues en direct : protocoles de discussions en ligne (irc, talk, mdqs…)
  • Interdire les connexions FTP : interdire l’utilisation de FTP (ftp, ftps sftp…)
  • Internet restreint : tout interdire sauf le web (tcp, udp sauf web via proxy)

Signalement

Cette fonctionnalité est accessible par le menu Outils

Afin d’améliorer les performances et la qualité du filtrage d’URLs par listes noires, un retour d’information est nécessaire. Il permet de supprimer de la liste des sites injustement filtrés et d’ajouter dans chaque catégorie de nouveaux sites découverts par les administrateurs et les utilisateurs.

Une procédure automatisée a été mise en place afin de recueillir les propositions de modification de la liste.

Pour soumettre une URL, 2 méthodes :

Un ensemble de moteurs logiciels analysera la page soumise et une vérification visuelle aura lieu si besoin avant l’incorporation du site dans les listes.

La participation de chacun par l’intermédiaire de ce processus permettra d’obtenir une liste de plus en plus performante.

Services

Cette fonctionnalité est accessible par le menu Services (mode normal)

Elle vous permet de redémarrer (ou arrêter) les services de :

  • Filtrage
  • Proxy
  • DNS

 Travaux Pratiques

  • Passer son ip en ip fixe.
  • Créer un groupe de machine comprenant son ip fixe et une autre ip.
  • Faire une réservation d’adresse sur le scribe pour son groupe de machine.
  • Autoriser skyblog (éditer le code source de la page)
  • Autoriser le webmail sfr
  • Vérifier le fonctionnement pour son groupe de machine.
  • Interdire un site.
  • Modifier les plages horaires donnant accès à internet