SIIEE :Architectures, réseaux et sécurité dans l’EPLE

1. SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

2. Remerciements à • P. Danel - directeur du CRDP d’auvergne - CTICE de l’académie de clermont-Fd. • D. Busson - directeur du Centre Informatique Académique de Clermont-Fd. • L. Bourdot - Chef de projet EOLE - CTIAD de Dijon. • M.Affre - Chef du bureau DA A3. Ministère de l’Education Nationale. • Pour leur soutien et leur confiance. • F. Alcaraz - Conseil Régional d’Auvergne • et le groupe technique “resauv” chargé de la mise en place du réseau régional d’Auvergne (coopération enseignement supérieur , santé, recherche, enseignement secondaire …) • Pour le partenariat qu’ils ont contribué à instaurer. • Les auteurs : AM Bondi- responsable informatique CRDP d’auvergne - DATICE G Chaideyrou - responsable équipe réseaux - CIA Clermont-Fd

3. SIIEE :Architectures, réseaux et sécurité dans l’EPLE Textes de références : - lettre conjointe DA / DT adressée aux recteurs le 5 Avril 2002 : “SIIEE” - comprenant une annexe “recommendations en terme de sécurité - SIIEE” - comprenant une note de cadrage “SIIEE”. la présentation suivante s’appuie sur ces textes, et utilise EOLE (AMON) à titre d’exemple. EOLE (Ensemble Ouvert Libre Evolutif)

4. préambule • Le contexte en EPLE: • critères “ethniques” : diverses communautés. • Critères “topologiques” : contraintes géographiques. • Les “réticences”:sécuriser = “empécher de travailler ?” = “espionner ?” = “niveller ?”attitudes “nombrilistes” , syndrome de la “bonbonnière” , syndrome du “mécanicien” … • Le résultat attendu: un extranet EPLE qui : • réponde à tous les besoins … et prévoit l’imprévisible !!!

5. Module AMON : pare-feu. * Module VPN (chiffrement) * Module messagerie * ... EOLE : préambule EOLE est un concept organisé autour de “modules”: Cette présentation concerne principalement le module AMON (… et VPN…)

6. Plan de la présentation • EPLE: l’existant. • Politique de sécurité / zones de confiance. • Architecture EOLE (AMON). • principes de migration. • Les règles de communication inter-zones. • EOLE : l’approche technique - adresses. • Bilan provisoire / discussion

7. EPLE : l’existant.

8. Réseau académique Fournisseur d’accès Internet Réseau régional ? Numeris 1 Numeris 2 Problèmatique : ¤ Migration vers des nouvelles technologies (BLR, ADSL, RR ...). Evolutions en respectant l’existant Réseau administratif 10.xx.yy.0 (24/8) Mais devant: ¤ garantir la sécurité de l’EPLE ¤ aider au respect de la loi pour la protection des mineurs 10.xx.1yy.0 (24/8) Réseaux pédagogiques ¤ rendre un meilleur service (optimisation BP, mutualisation …)

9. Intégrer de nouvelles solutions (BLR, ADSL, RR ...) garantir la sécurité del’EPLE - responsabilités juridiques ? rendre un meilleur service (optimisation BP, mutualisation …) respect de l’existant Banaliser la méthode de raccordement de l’EPLE vers l’exterieur. Pare-feu , logiciels de protection des mineurs … services réseaux cache (DNS, proxy FTP, HTTP …) intégration sur mesure Qu’apporte EOLE (AMON) ?

10. EOLE (pare-feu AMON) Une approche de la sécurité de l’EPLE par définition de zones de confiance

11. “la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la cour” : lieu protégé de la rue, c ’est un lieu de partage et d’échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité. EOLE : zones et niveaux de sécurité

12. EOLE : zones et niveaux de sécurité “la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la rue” “maison” ADM “la cour” “la cour” : lieu protégé de la rue, c ’est un lieu de passage, partage et échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité. “maison” PEDAGOGIUE Autre “maison” Eole est le garant de l’application de cette “POLITIQUE de SECURITE conformement aux“recommendations en terme de sécurité - SIIEE” du 5 Avril 2002

13. EOLE : zones et niveaux de sécurité “la rue” Mettre en place des zones et niveaux de sécurité n’a pas pour but d’empecher le dialogue entre des partenaires. “maison” ADM “la cour” Mais au contraire, de permettre à des partenaires de dialoguer en toute confiance. “maison” PEDAGOGIUE Autre “maison”

14. EOLE : un concept évolutif • une réponse homogène pour l’académie qui répond aux besoins d’aujourd’hui. • un concept générique, mais qui sait s’adapter aux cas particulier • Une architecture qui peut s’étendre par adjonction de nouveaux boitiers EOLE

15. “La rue” Visible du mode entier “maison” ADM L’administration, l’intendance ... “maison” greta Réseau ADM ADM Visible par l’Education Nationale Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” Greta ou autres reseaux 1 EOLE ou 2 EOLEs ? “La cour” Visible uniquement dans l’établissement

16. 1 EOLE ou 2 EOLEs ? Par adjonction de nouveaux EOLE , on traite propement la cohabition d’un établissement avec : - l’eventuel GRETA hebergé … et éclaté entre etablissements. - l’eventuel réseau d’un IEN localisé dans l’etablissement... - l’eventuelle présence d’un CDDP … - l’eventuelle présence d’un reseau issu du projet d’une collectivité - un établissement “éclaté” sur plusieurs sites.

17. EOLE (pare-feu AMON) Approche par les flux de communication: Quelles sont les règles de passage d’une zone à l’autre ?

18. Communication chiffrée Visible par l’Education Nationale 1 etablissement “éclaté” “La rue” Visible du mode entier “maison” ADM L’administration, ... “maison” ADMautre batiment Réseau ADM ADM “La cour” Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” PEDAGOGIQUE Visible uniquement dans l’établissement

19. Visible par l’Education Nationale Ou bien : “La rue” “La rue” + chiffrement éventuel (voir AGRIATES) Visible du mode entier “maison” ADM L’administration, ... “maison” ADMautre batiment Réseau ADM ADM “La cour” “La cour” Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” PEDAGOGIQUE Visible uniquement dans l’établissement

20. Où installer EOLE ? - Dans un local sûr, au point d’interconnexion de tous les réseaux de l’etablissement. - Dans une armoire informatique - avec une alimentation secourue.

21. EOLE (pare-feu AMON) Comment passer de la situation actuelle à l’architecture EOLE ?

22. Avant EOLE Réseau académique Fournisseur d’accès Internet Réseau régional ? Numeris 1 Numeris 2 Réseau administratif Site partagé avec : GRETA ? IEN ? CIO ? CDDP ? Projets de Collectivités ? 10.xx.yy.0 (24/8) 10.xx.1yy.0 (24/8) Réseaux pédagogiques

23. Après EOLE Réseau académique Fournisseur d’accès Internet Réseau régional ? “La rue” Zone d’accueil (non sécurisée) Zone de partage et d’échange sécurisée EOLE “maison” greta “la cour” Autres réseaux pédagogiques (greta, collectivité…) “Maison” autres réseaux Réseau administratif “Maison” ADM “Maison” PEDAGOGIQUE Réseaux pédagogiques

24. Après EOLE Réseau académique Fournisseur d’accès Internet Réseau régional ? “la rue” EOLE Web etablissement (adm + pédagogie), BCDI, RLR , messageries , serveurs FTP, etc ... Teleac ,GEP , etc … “maison” greta “maison” ADM “la cour” Micros élèves et enseignants, serveurs de fichiers, authentification et droits d’accès, etc ... “maison” PEDAGOGIQUE “maison” Autres réseaux

25. Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Acces Internet Acces sites disciplinaires “maison” ADM “la cour” Depuis réseaux Pedago “maison” PEDAGOGIQUE Acces BCDI, RLR, web serveur antivirus généralisé, etc ...

26. Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Acces Internet, courrier, teleac, etc ... Depuis réseau Adm Acces BCDI, RLR, web etc ... “maison” ADM “la cour” “maison” PEDAGOGIQUE

27. Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Depuis zone de partage “la cour” “maison” ADM “la cour “maison” PEDAGOGIQUE Pas de “remontée” = protection des utilisateurs

28. Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” Depuis l’exterieur Acces tres reglementé. Telemaintenances ... Acces reglementé. Professeurs depuis l’exterieur consultations depuis l’exterieur “maison” ADM “La cour” “maison” PEDAGOGIQUE Pas de “remontée” = protection des utilisateurs

29. EOLE: Que fait-il ? - garant de l’application d’une politique de sécurité.(Qui peut faire quoi ? Comment?) - garant des chemins empruntés par une communication.(données confidentielles / données publiques) -> tout en optimisant les coûts

30. EOLE: Que fait-il ? Exemple (très simplifié ) de décisions prises par EOLE. - le cas d’un “proxy”

31. Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 Que dit la politique de sécurité ? Si c’est autorisé, je traite. Sinon, je préviens que c’est pas autorisé. N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan ) “la rue” OUI ! Je sais !(c’est lucky luke !) “maison” ADM “La cour” question réponse “maison” PEDAGOGIQUE

32. Réseau académique Fournisseur d’accès Internet Fournisseur d’accès Internet 2 N’aurais-je pas déjà répondu à la même question ?(syndrome de Rantanplan) “la rue” NON ! Tant pis, je ferai mieux la prochaine fois “maison” ADM “La cour” question “maison” PEDAGOGIQUE

33. Réseau académique Fournisseur d’accès Internet 1 Fournisseurd’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça s’adresse à un autre établissement “maison” PEDAGOGIQUE

34. Réseau académique Fournisseur d’accès Internet 1 Fournisseurd’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça s’adresse à un serveur sur Internet “maison” PEDAGOGIQUE

35. Réseau académique Fournisseur d’accès Internet 1 Fournisseurd’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça mérite une certaine confidentialité (par exemple : mail) “maison” PEDAGOGIQUE

36. si 10 élèves demandent la même page, Eole n’ira la chercher qu’une seule fois. réponse Tiens ! Voilà ce que tu as demandé Réseau académique Fournisseur d’accès Internet 1 Fournisseurd’accès Internet 2 OK, merci. Je le note. Comme ça, je saurai répondre si quelqu’un me pose à nouveau cette question. réponse EOLE a une mémoire d’éléphant ! “la rue” question “maison” ADM “La cour” question “maison” PEDAGOGIQUE

37. EOLE: stratégie pour un réseau régional Exemple de situation actuelle :- 1 réseau type privatif- 1 réseau “provider” Exemple de situation cible: - 1 réseau régional

38. Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. Exemple: - consultation web SNCF - acces forum public etc … Réseau académique Fournisseur d’accès Internet “la rue” “maison” ADM “la cour” Exemple: - un mail entre le chef d’etablissement et le rectorat, citant un nom d’élève mineur. - Un fichier type GEP - acces à une ressource d’un autre EPLE “maison” PEDAGOGIQUE

39. Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “tuyau” chiffré entre les partenaires E.N. Réseau académique Fournisseur d’accès Internet Réseau régional “la rue” “maison” ADM “la cour” “maison” PEDAGOGIQUE

40. Réseau régional “la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

41. EOLE (pare-feu AMON) Approche technique : les zones d’adresses - les translations d’adresses - l’adressage IP

42. Zone Internet Réseau académique Fournisseur d’accès Internet Réseau régional Translation NAT ou PAT Zone Extranet E.N. (adresses privées RFC 1918 nationales) Translation PAT greta Zone pédagogique (adresses privées locales EPLE)

43. Autre alternative Réseau académique Fournisseur d’accès Internet Zone Internet Translation NAT ou PAT Zone Extranet E.N. (adresses privées RFC 1918 nationales) Réseau régional (MPLS / VPN) greta Translation PAT Zone pédagogique (adresses privées locales EPLE)

44. Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Translation NAT ou PAT Adresses IP publiques (uniques) greta Translation PAT Adresses IP locales: identiques dans tous les EPLE

45. EOLE (pare-feu AMON) Proposition d’adressage IP: chaque académie est propriétaire des adresses 10.N°dep.x.0 10.100+N°dep.x.0 chaque académie peut découper cet espace au mieux de ses intérêts. Pour les plus grosses académies, si cet espace ne suffit vraiment pas, une “rallonge” peut etre accordée. 192.168.220.0 à 192.168.239.0 est libre pour les établissements.

46. EOLE (pare-feu AMON) Chaque académie est libre du découpage optimal de ces adresses. Exemples d’affectation d’adresses : - pour des EPLE (politique “généreuse” / “économe”)

47. Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Translation NAT ou PAT Adresses IP publiques (uniques) greta Translation PAT Adresses IP locales: identiques dans tous les EPLE

48. Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet 245 247 (248,249) 250 “la rue” 10.1xx.yy.192 (26/6) 246 (251 …) “la cour” 10.1xx.yy.0 (25/7) 126 231.246 239.246 192.168.224.0 à 192.168.231.0 (21/11) 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 ) Etablissementscolaire (politique généreuse) Translation NAT ou PAT Réserve: (non affectée) de 10.1xx.yy.128 à 191 : 64 @ de 10.xx.yy.144 à 255 : 112 @ ADM 10.xx.yy.0 (25/7) Greta 10.xx.yy.128 (28/4) 126 Translation PAT 143

49. Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissementscolaire (politique généreuse 512 @) Translation NAT ou PAT 64 @ Réserve: (non affectée) de 10.1xx.yy.128 à 191 : 64 @ de 10.xx.yy.144 à 255 : 112 @ “la rue” 10.1xx.yy.192 (26/6) 16 @ 128 @ 128 @ “maison” ADM 10.xx.yy.0 (25/7) Greta 10.xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT 2048 @ Env 1700 @ 512 @ “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) Autre “maison” 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )

50. Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissementscolaire (politique restrictive 256 @) Translation NAT ou PAT 16 @ Réserve: (non affectée) de 10.xx.yy.160 à 255 : 96 @ “la rue” 10.xx.yy.128 (28/4) 16 @ 64 @ 64 @ “maison” ADM 10.xx.yy.0 (26/6) Greta 10.xx.yy.144 (28/4) “la cour” 10.xx.yy.64 (26/6) Translation PAT 2048 @ Env 1700 @ 512 @ “maison” PEDAGOGIQUE 192.168.224.0 à 192.168.231.0 (21/11) Autre “maison” 192.168.232.0 à 192.168.239.0 ( + 192.168.220.0 à 192.168.223.0 )