salle acces libre dans un lycée

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

salle acces libre dans un lycée

Messagepar tay_ » 29 Août 2005 12:04

salut tt le monde

je viens d'arriver dans un lycée en temp qu'admin reseau, et je dois installer une salle accès libre informatique, le mec que je remplace ne m'a pas laissé beaucoup d'explications sur ce qu'il voulait faire, alors j'ai commencer a faire un peu a ma sauce avec ce qu'il avait commandé comme matos:

j'ai 10 pc avec carte reseau wifi netgear 108 mbp et 2 bornes wifi netgear
une imprimante avec prise rj45

dans la salle je n'ai que 2 prise reseau rj45 reliées à la baie de brassage

j'ai ipcop comme pare feu, j'ai donc configuré ma borne wifi sur la zone bleue
et je pensai installer la borne directement dans la salle ( dans le faux plafond )

j'ai bien pensé brancher directement la borne wifi directement sur la zone verte c'est a dire sur le lan et mettre un cryptage wpa psk ou un truc comme ca mais je trouve ca vraiment trop dangereux comme solution quand on sait que deja une clé wep ne tient pas longtmp avec aircrack ...

1er problème c'est que je n'aurai pas accès au serveur d'impression, donc obliger de brancher l'imprimante en réseau ( la ca devient du bidouillage : j'aurai installé un hub 5 ports pour pouvoir brancher l'imprimante, la borne wifi, la prise reseau provenant d'ipcop)

2eme problème : l'antivirus
j'ai norton antivirus corporate 9.0, le problème c'est que la aussi je n'aurai pas accès au serveur antivirus
et c'est la que je n'ai trouvé aucune solution...
:?
si vous avez des solutions ou des améliorations à faire vous etes les bienvenus :roll:
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar Franck78 » 29 Août 2005 13:03

C'est bien toute cette énumération de "j'aurais... si" mais au final on ne sait pas :

1) comment c'est branché
2) qu'il y a-t-il de dispo sur la baie de brassage
3) ou sont disposés les matériels
4) ce qu'est censé protéger l'ipcop
5) quels sont les autres serveur 'inccessibles' et pourquoi....
6) régles de sécurités imposées, par toi, par d'autres ...

En clair, si tu veux de l'aide, il faut du concret :!:


Bye

PS:"quand on sait que deja une clé wep ne tient pas longtmp avec aircrack"

mouais. Penses simplement que la clé est inscrite quelque part sur la machine mise à dispo de l'élève et qu'ils n'onront pas besoin de aircrack pour l'attaquer. Sauf si tu maitrises sur le bout des doigts tes linux*! De plus il faut un certain nombre d'échange de trames pour que aircrack puisse commencer son boulot. Donc le temps est directement lié au traffic capturé.

*linux: une knoppix bootable sur le réseau en pxe si tu ne veux pas passer ton temps à réparer les xp cassés!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tay_ » 29 Août 2005 13:41

l'idée d'un linux bootable par le reseau me plait mais je ne sais pas si je vais avoir le droit : car c'est une salle accès libre, alors je pense qu'il faudra qu'eleves aient des outils compatibles avec windows ( excel word powerpoint ... ) et qu'ils sachent s'en servir tout seul aussi.

alors pour l'architecture matérielle :

il ya une baie de brassage dans la salle serveur, c'est sur cette baie qu'atterrissent les deux prises réseau de la salle en question, et qu'atterrisse d'ailleurs toutes les prises reseau du lycée.

il y a trois serveurs principaux :
un serveur primaire
deux serveurs secondaires ( un pour l'administration et un pour la pedago )
tous les serveurs sont dans un domaine

a coté de ca il y a une machine qui fait office de serveur d'impression, de serveur antivirus et de serveur de sauvegarde, c'est justement ce serveur qui ne pourra pas etre accessible par les machines de la salle acces libre.

par mesure de securité j'ai pas envi de mettre du wifi sur lan, je suis peut etre parano ... mais avec les "kamikazes" qu'on a au lycée je prefere pas.

le switch de tete est manageable et il y a 11 switchs de 24 ports branchés dessus, seulement il ne reste aucun switch de libre, c'est a dire qu'il ont tous au moins 10 prises branché dessus


la salle serveur se trouve a environ 20 metres de la salle acces libre, et il y a 4 epaisseur de mur en béton à passer ( si on installe la borne wifi dans la salle serveur )

j'espere avoir été assé concret
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar Franck78 » 29 Août 2005 14:28

tay_ a écrit:l'idée d'un linux bootable par le reseau me plait mais je ne sais pas si je vais avoir le droit : car c'est une salle accès libre, alors je pense qu'il faudra qu'eleves aient des outils compatibles avec windows ( excel word powerpoint ... ) et qu'ils sachent s'en servir tout seul aussi.


Mauvaise réponse :!: Tu pars du principe qu'ils sont imcapable de lire un menu... Mais ce n'est pas le débat ici.

L'objectif n'est toujours pas très clair. Mais sur la base de tes dires, je comprend qu'il y a un réseau pédago et rien pour les élèves.
Donc un réseau local classique en NT.

Le conseil que je te donne est le suivant: n'envisage même pas de partager la moindre ressource de ce réseau pédago avec la future salle accès libre! Juste l'accès internet.

Tu ne dis rien sur l'emplacement de l'IPCop.... Il pourrait servir à isoler les deux réseaux. Dépend comment tu le branches. RED+GREEN+BLUE? RED+GREEN?

Pour les branchements physiques, l'AP dans la salle et sur la prise RJ 45. L'autre RJ pour l'imprimante. A l'autre bout, IPCOP, mini-switch cela dépend de ton choix.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tay_ » 29 Août 2005 15:01

ben ouai un reseau nt classique, ipcop est configuré en ( rouge + orange + vert + bleue )

en gros on a une dmz pour les ap qui on besoin d'etre consultées du net: emploi du temps mail et tout ça

sur la zone verte il y a le lan nt

sur la zone bleue il y aura la borne wifi et l'imprimante branchés sur un mini switch

par contre j'ai toujours le meme pb, l'antivirus, je ne pense pas que norton corporate fonctionne dans un groupe de travail sans serveur, si quelqu'un a une idée ??
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar jdh » 29 Août 2005 15:05

Voila un projet intéressant !

L'idée de base pourrait être de prévoir

- un firewall (IPCOP ou autre),
- un point d'accès Wifi,
- les PCs seront connectés en Wifi sur le côté Green (ou Bleu) du firewall,
- le firewall assurant la connexion au réseau de l'établissement pour accéder à Internet.

(Cela fait un peu "luxe" de disposer d'un firewall pour une salle mais c'est ABSOLUMENT nécessaire pour isoler cette salle des ressources autres.)

Concernant le Wifi, la sécurité de base est :

- ne pas faire de broadcast sur le SSID su réseau,
- utiliser un SSID assez long avec pas mal d'aléatoire,
- utiliser WPA-PSK (avec TKIP) qui fonctionne très bien avec des XP SP2 ou avec Linux+ndiswrapper + wpa_supplicant,
- ajouter éventuellement un filtrage MAC (aisément contournable mais ...).

Ceci mis en oeuvre, tu auras créé une zone SUFISAMENT fermée et isolée du reste grace au firewall.

Bien évidemment, le plan d'adressage de la salle sera spécifique et disjoint du reste de l'établissement. Idéalement, tu connecteras le firewall de la salle au firewall d'accès extérieur.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar tay_ » 29 Août 2005 15:22

quel boulet !!!! je retire ce que j'ai dit : on peut installer norton corporate en mode autonome :lol:

c'est du tout bon :P et ca avance bien mon projet :D

merci pour les infos sur les protections en wifi, je vais installer et configurer ca de ce pas


jdh, tu penses vraiment qu'il faille un autre pare feu rien que pour la salle ?
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar tay_ » 29 Août 2005 15:40

et au niveau des restrictions de droits utilisateurs, perso j'avais pensé a poledit sur chaques poste

chaques postes seraient configurés pour aller chercher les fichiers qui permettent de gerer les restrictions ( les fichiers ***.pol je crois) sur le lecteur reseau d'un poste qui serait dans la salle serveur et qui permettrait de gerer les droits à distance

j'aimerai bien installer aussi vnc sur ce poste, et pouvoir prendre la main à distance sur les pc de la salle acces libre, mais ca serait une faille béante d'avoir 10 pc en wifi avec sur chaques pc un serveur vnc non ?


à la limite le pc qui hébergerai le lecteur reseau pour poledit et vnc pourrait aussi heberger un serveur norton corporate, mais la je serais marron au niveau des licences, donc on verra plus tard :wink:
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar jdh » 29 Août 2005 15:44

Dans un contexte tel que celui là, il est extrement IMPORTANT de séparer les réseaux : réseau pour la gestion de l'établissemment, réseau de salle ("ouverte"). Il me semble normal qu'il y ait un firewall entre ces 2 réseaux (avec des règles solides côté "salle" !).

Ce firewall peut être le firewall d'accès à Internet ... pourvu que la salle arrive sur une patte bien précise et identifiable. A ce moment, tu vois qu'il faut soit un adressage statique soit un DHCP sur chaque patte (ce que ne doit pas savoir faire IPCOP).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar tay_ » 29 Août 2005 15:50

pas de pb a ce niveau je vais configurer ipcop en ip statique sur la patte bleue

la borne wifi et les pc de la salle aussi auront leur adresse ip statique

je crois que la patte bleue d'ipcop est bien séparée des autres mais je vais aller poser la question aux gars du forum ipcop pour voir ce qu'ils en pensent :wink:
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar Franck78 » 29 Août 2005 16:34

A mon avis, tu te plantes complètement en voulant administrer des postes PC public. Penses plutôt à comment distribuer une image permettant de le reconstruire en 5 minutes.

C'est quoi l'objectif de ces postes hein ?
- accès internet controlé (pas trop de sites hors sujet)
- fournir un environnement bureautique automone (et je pense openoffice)
- aucun échange entre les postes
- vu ta description, tu ne te lances pas dans le top compliqué. Pas d'identification de l'élève, pas de messagerie interne, pas d'espace disque privé pour son stockage.

Définit bien cette partie et tu pourras éliminer un tas de services superflus.
Et quand cela sera écris noir sur blanc, tu pourras facilement en tirer une liste de services à destination des élèves...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar tay_ » 29 Août 2005 17:03

j'ai deja la solution ghost, en fait je vais faire un répertoire ghost sur le pc sur lequel sera deja poledit, ensuite il ne me restera plus qu'a créer la disquette de boot avec l'utilitaire ghost pour créer un mappage réseau vers le pc ou se trouvera mon image ghost, (en fait j'utilise deja cette méthode dans le lycée) et lancer le ghost

c'est sur qu'avec du wifi le ghost va pas se faire en 5 minutes, alors j'avais pensé mettre l'image ghost directement sur chaque pc, mais c'est un peu banqual si je veu mettre a jour l'image ghost, faut que je me tape 10 fois les memes manip'...

ben nan je fais pas dans le compliqué pour le moment j'ai deja envi que ca marche, je pourrai perfectionner au prochaines vacances scolaires.

au niveau de la messagerie interne c clair que pour le moment il n'y en aura pas

et pour la suite bureautique, le gars que je remplace avait deja acheté des licences office donc jvé les installer sur ces pc la.

donc en gros les pc serviront :

à avoir accès a internet ( firefox pour limiter les spywares)
à faire de la bureautique( word , excel , powerpoint ...)
à stocker les fichiers provenant des logiciels de bureautique et quelques page html

au niveau de l'espace disque j'avoue ne pas y avoir encore pensé, le pc de test que je suis en train de monter a deja 2 partitions, une pour le systeme et une pour l'image ghost, je pense en faire une troisieme pour les fichiers de l'eleve.

si vous avez des idées je suis preneur
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Messagepar frost » 30 Août 2005 09:45

Tu peux utiliser Quartz, qui permet de redistribuer une image (Rembo, je crois), comme on te l'a suggérait plus haut, il faut bien scinder tes réseaux pedagogiques de celui de l'accés libre (utilise des vlans).

Concernant Ghost, la version server (ou pro) te permait d'envoyer une image sur x postes à la fois comme si tu ne l'envoyais qu'à une seule personne (en utilisant le broadcast).

question bête quel os voudrais-tu appliquer sur tes machines ?

Pour les fichiers de tes élèves : un serveur de fichier avec quota à 100 mo. avec un script de recherche de fichier mp3, avi,.....
Frost
------------------------------
Ipcop Addict
------------------------------
Avatar de l’utilisateur
frost
Contre-Amiral
Contre-Amiral
 
Messages: 465
Inscrit le: 28 Fév 2004 01:00
Localisation: Arras

Messagepar Les_Marches » 30 Août 2005 12:12

Bonjour,

Pourquoi ne pas envisager un environnement diskless sur les postes étudiants?

Avec un serveur de boot/PXE, les étudiants ouvriraient des sessions entièrement sur le réseau et tu pourrais leur fournir des clés USB afin de sauvegarder leurs données.

C'est assez récurrent dans les établissements scolaires.

Cela permet :

- économie au niveau disque dur
- Parc homogène
- Clients diskless
- Protection contre virus, utilisateur malicieux, etc.

Par contre, il te faut un serveur béton pour distribuer tout ça.
"Will Install Needless Data On Whole System"
Avatar de l’utilisateur
Les_Marches
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 18 Juin 2004 16:05
Localisation: IDF

Messagepar tay_ » 30 Août 2005 13:01

je ne vais pas pouvoir faire du diskless avec le serveur que j'aurai, ca va etre un vieux serveur :
pentium 3 500 mhtz
256 de ram
2 disques dur scsi de 10 giga

avec ca je pensais faire un serveur de fichiers ( d'apres ce que disait frost, serveur de fichier avec quota de 100mo )et peu etre un serveur d'impression

les 10 pc de la salle sont sous xp pro, c'est pas des foudre de guerre non plus, c'est des sempron 2800+
avec 256 de ram et disque dur de 40 giga.

l'idée des clé usb, je pense que ca va etre une source de pb, ( perte, vol de clé, clé cassée...)
je prefere qu'il amene les leurs.
tay_
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 22 Août 2005 14:01

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron