Embed Size (px)
Citation preview
Serveur EOLE - Amon
Extrait du DANE de Lyon
https://dane.ac-lyon.fr/spip/Serveur-EOLE-Amon
Serveur EOLE - Amon- Se former - Réseaux locaux -
Date de mise en ligne : samedi 21 mars 2015
Copyright © DANE de Lyon - Tous droits réservés
Copyright © DANE de Lyon Page 1/14
Serveur EOLE - Amon
<span class='spip_document_915 spip_documents spip_documents_right' style='float:right;'>
Présentation
Historique
Il y a quelques années, le serveur SLIS assurait le rôle de filtrage internet et fournissait également les adresses IPaux postes informatiques via son serveur DHCP.
A présent, le DHCP est assuré par le serveur de fichiers Scribe et le filtrage web par le serveur Amon qui est déjà enplace dans les établissements. Ce même serveur assure déjà le filtrage de la zone "Personnels".
L'architecture des réseaux en est modifiée et simplifiée.
A présent, nous avons cette architecture, avant nous avions cela.
Nous allons traiter ici que de la partie concernant la zone Elèves d'un établissement.
Fonctionnalités• Il protège le réseau interne des attaques externes• Il protège la zone Personnels contre les attaques de la zone Elèves• Il enregistre toutes les connexions (qui ? quand ? où ?)• Il sert de proxy-cache ce qui permet d'accélérer les connexions internet• Il filtre l'accès à Internet grâce à une liste noire nationale• Il résout les adresses IP en nom de machines (serveur DNS)• ...
Copyright © DANE de Lyon Page 2/14
Serveur EOLE - Amon
Gestion du serveur AMON
Sur le plan décisionnel et juridique, le chef d'établissement est responsable et décideur dans son établissement etl'accès au réseau informatique se fait sous la responsabilité de celui-ci.
Un Amon ne s'éteint pas et ne se redémarre pas sauf si c'est spécifiquement demandé par l'assistance ou la DSI.Le personnel du réseau administratif travaille en permanence sur l'intranet du Rectorat via des tunnels sécurisés.
Via l'interface EAD
Tout utilisateur de ces moyens et ressources informatiques a le devoir de respecter les règles établies à l'intérieur del'établissement ainsi que celles établies par les réseaux RENATER et AGRIATES.
Introduction
La configuration du pare-feu Amon se fait par le biais d'une interface web d'administration EAD.
Le pare-feu Amon dispose d'une interface d'administration proposant :
• Des actions communes sur le serveur (Redémarrage ...)• La configuration des filtres web appliqués lors de la navigation sur internet (Dansguardian)• La gestion des machines du réseau par groupe ou machine.• La gestion du pare-feu (horaires, IPs interdites...).• L'observation des logs (notamment les accès refusés)
Connexion et authentification
L'accès à l'interface EAD est possible avec 2 logins, dont 1 seul nous intéresse (l'autre étant réservé àl'administration de l'établissement). Il nous permettra de paramétrer le filtrage de la zone Elèves.
UNE seule station, avec une IP fixe, de la zone Élèves est autorisée à se connecter à l'EAD de l'Amon.
Pour savoir comment fixer une IP fixe, cette FAQ Comment fixer une IP fixe sur Windows 7 ? est à disposition.OSCAR permet également d'accéder à l'AMON de manière simplifiée via le menu Scribe.
Copyright © DANE de Lyon Page 3/14
Serveur EOLE - Amon
Le login et le mot de passe sont donnés lors de la migration sur Scribe ou de la suppression du SLIS. Dans tous lesautres cas, ils sont à demander auprès de la plateforme d'assistance
A noter que sur un Amon 2.3, le login est 'eole2' et plus 'amon2'.
Une fois connecté, plusieurs informations sont disponibles :
• Dernière mise à jour du serveur• Dernière mise à jour de la liste noire de l'Université de Toulouse• Etat des différents services
Tous les serveurs AMON (collèges, lycées) sont supervisés par la DSI du Rectorat.
Copyright © DANE de Lyon Page 4/14
Serveur EOLE - Amon
Personnalisation de l'EAD
Il est intéressant à travers l'interface EAD de l'AMON de pouvoir accéder aux différents serveurs (Scribe, Eclair ...),cela permet de n'avoir qu'une seule adresse pour gérer ses serveurs.
• Connectez-vous sur l'EAD de l'AMON https://172.16.0.252:4200/ (ancien adressage) ouhttps://172.X.Y+3.252:4200/ (nouvel adressage)
• Cliquez à gauche sur le menu Administration puis Ajouter un serveur.
• Une nouvelle fenêtre s'ouvre :
• Renseignez comme suit :• Ip du serveur : 192.168.220.10 si Scribe en DMZ ou 172.16.0.241 si ancien plan d'adressage• Nom du serveur : srv-scribe• Login : scribe ou eole (si Scribe 2.3)• Mot de passe : mot de passe défini lors de l'installation
Pour se connecter ainsi sur le serveur Scribe, il faut utiliser l'utilisateur scribe ou eole (l'utilisateur 'admin' ne
Copyright © DANE de Lyon Page 5/14
Serveur EOLE - Amon
fonctionnera pas)
Fonctionnalités
On pourra ainsi pour la zone Elèves :
• créer des interdictions réseau ou web pour des groupes machines ou des machines• voir l'historique des sites visités• activer des filtres Web
Groupes machines
Cette fonctionnalité est accessible par le menu Filtre web 2
Cf. la page dédiée
Sources et destinations
Par défaut, tous les accès à des sites nécessitent une authentification (si elle est active) et toutes les machines duréseau doivent s'identifier. Mais certains systèmes ou logiciels doivent pouvoir se mettre à jour de façontransparente. De plus, le proxy conserve une version des pages téléchargées en cache pour limiter la consommation
Copyright © DANE de Lyon Page 6/14
Serveur EOLE - Amon
réseau. Ce comportement n'est pas adapté à tous les sites.
Pour les sites comportant des données sensibles, il est nécessaire de s'assurer que des données relatives à lanavigation sur ce domaine ne soient pas placées dans le cache du serveur. Certaines machines peuvent égalementavoir besoin de naviguer avec des données provenant directement du site consulté.
Certains postes clients ou serveurs du réseau ont besoin d'effectuer des mises à jour automatiquement, les sites demise à jour doivent être accessibles sans authentification. Certaines machines peuvent également avoir besoin denaviguer sans être authentifiées.
Pour cela, il existe deux mécanismes :
• ne pas utiliser de cache ou d'authentification pour certains sites (destination) ;• ne pas utiliser de cache ou d'authentification pour certaines machines locales (source).
Cache et authentification de la destination Dans Configuration générale / Cache et Authentification /Destinations :
• entrer le nom du domaine ;• cocher authentification et/ou cache ;• valider.
Visites de sites
La consultation des accès est soumis à un cadre législatif très strict. En effet, "les administrateurs de réseaux nedoivent pas divulguer des informations qu'ils auraient été amenés à connaître dans le cadre de leurs fonctions ... "(Voir "fiche n°7 - Les administrateurs réseau" sur le de la CNIL)
Plus d'infos ici sur Eduscol.C'est pour cela que la DSI a décidé de ne pas rendre ce service disponible sur lesserveurs Amon en version 2.3.
Cette fonctionnalité est accessible par « Visites des sites ».
Les tentatives d'accès à des sites interdits apparaîtront en rouge.
Vous pouvez également ne consulter que les accès refusés en cochant la case idoine.
Copyright © DANE de Lyon Page 7/14
Serveur EOLE - Amon
N'utilisant pas (encore) le pare-feu authentifiant, la fonctionnalité par login est inopérante
Sites
Cette fonctionnalité est accessible par le menu Filtre web 2
Le filtrage web permet de :
• configurer la manière dont le filtrage s'effectue ;• associer des filtres à des utilisateurs (pas possible dans notre académie) ;• associer des filtres à des machines.
Listes
Ce tableau permet de gérer le filtrage, notamment sur tout ce qui concerne les webmails, le phishing etc... Cettebase (Base de Toulouse), identique à celle utilisée par le serveur SLIS, est régulièrement mise à jour.
Copyright © DANE de Lyon Page 8/14
Serveur EOLE - Amon
Copyright © DANE de Lyon Page 9/14
Serveur EOLE - Amon
Attention à ne pas oublier de valider à la fin des sélections !
Il est possible de signaler des sites pour améliorer les performances et la qualité de cette base de sites interdits parl'intermédiaire du menu 'Outils'
Il est possible d'associer une politique de filtrage à un groupe de machines ou plusieurs groupes de machines(colonnes 1 à 3).
Par défaut, si aucun groupe n'est défini, les stations utiliseront la politique « Défaut ».
Selon la politique de filtrage souhaitée dans l'établissement, il faudra cocher ou décocher les cases et valider.
Mode de filtrage
Laisser le paramétrage par défaut.
Copyright © DANE de Lyon Page 10/14
Serveur EOLE - Amon
Sites interdits
Les sites présents dans cette liste ne seront pas accessibles.
Exemple : pour bloquer le site Radio Scoop qui ne fait pas partie du filtre "Radios"
Pour Interdire un site, ne pas saisir l'url mais le nom de domaine. Exemple : radioscoop.com
Pour supprimer un site de cette liste, cliquer sur "aucun" et valider (cette manipulation est d'ailleurs valable pour tousles autres modes).
Sites autorisés
Il est possible de forcer l'autorisation de sites en les ajoutant sur la liste des sites autorisés.
Exemple : ouvrir l'accès à YouTube malgré le blocage "audio-video"
Pour autoriser un site, ne pas saisir l'url mais le nom de domaine. Exemple : youtube.com
Copyright © DANE de Lyon Page 11/14
Serveur EOLE - Amon
Extensions
Il est possible d'interdire des extensions, ainsi si l'URL pointe vers un fichier portant cette extension, elle serainterdite.
Exemple : pour interdire les fichiers .zip on saisira simplement « zip » et on valide.
Type MIME
IL s'agit ici de bloquer l'accès à des pages Internet en bloquant des types MIME.
Le type MIME est utilisé d'une part pour typer les documents attachés à un courrier mais aussi pour typer lesdocuments transférés par le protocole HTTP. Lors d'une transaction entre un serveur web et un navigateur internet,le serveur web envoie en premier lieu le type MIME du fichier envoyé au navigateur, afin que ce dernier puisse savoirde quelle manière afficher le document.
Cette interdiction fonctionne comme celle des extensions.
Règles de pare-feu
• Interdiction des forums : interdiction des protocoles de news, newsgroups (nntp, nntps, news...)• Interdiction des protocoles de messagerie : (pop, imap, ldap, pop, pop3s...)• Interdire l'envoi de mail sur tout internet (lutte anti-spam) : NE PAS DÉSACTIVER• Interdire l'utilisation des dialogues en direct : protocoles de discussions en ligne (irc, talk, mdqs...)• Interdire les connexions FTP : interdire l'utilisation de FTP (ftp, ftps sftp...)• Internet restreint : tout interdire sauf le web (tcp, udp sauf web via proxy)
Copyright © DANE de Lyon Page 12/14
Serveur EOLE - Amon
Signalement
Cette fonctionnalité est accessible par le menu Outils
Afin d'améliorer les performances et la qualité du filtrage d'URLs par listes noires, un retour d'information estnécessaire. Il permet de supprimer de la liste des sites injustement filtrés et d'ajouter dans chaque catégorie denouveaux sites découverts par les administrateurs et les utilisateurs.
Une procédure automatisée a été mise en place afin de recueillir les propositions de modification de la liste.
Pour soumettre une URL, 2 méthodes :
• via le lien suivant : http://aiedu.education.fr/• via l'EAD qui renvoie sur la même page
Un ensemble de moteurs logiciels analysera la page soumise et une vérification visuelle aura lieu si besoin avantl'incorporation du site dans les listes.
La participation de chacun par l'intermédiaire de ce processus permettra d'obtenir une liste de plus en plusperformante.
Services
Cette fonctionnalité est accessible par le menu Services (mode normal)
Elle vous permet de redémarrer (ou arrêter) les services de :
• Filtrage• Proxy
Copyright © DANE de Lyon Page 13/14
Serveur EOLE - Amon
• DNS
Travaux Pratiques• Passer son ip en ip fixe.• Créer un groupe de machine comprenant son ip fixe et une autre ip.• Faire une réservation d'adresse sur le scribe pour son groupe de machine.• Autoriser skyblog (éditer le code source de la page)• Autoriser le webmail sfr• Vérifier le fonctionnement pour son groupe de machine.• Interdire un site.• Modifier les plages horaires donnant accès à internet
Copyright © DANE de Lyon Page 14/14
