Principe de fonctionnement

Shémas

pare feu

Le réseau informatique n'est jamais relié directement à Internet, mais passe par un filtre qui autorise ou non les paquets entrants et sortants (l'échange de données), stocke les données pour accélérer l'affichage, enregistre les logs de connexion...

Le serveur Proxy

Un serveur proxy est un ordinateur ou un module qui sert d’intermédiaire entre un navigateur Web et Internet.
Le proxy participe à la sécurité du réseau :

Amélioration de la navigation

La plupart des proxys assurent ainsi une fonction de cache ( en anglais caching ), c'est-à-dire la capacité à garder en mémoire (en "cache") les pages les plus souvent visitées par les utilisateurs du réseau local afin de pouvoir les leur fournir le plus rapidement possible.

Domain Name System

Le Domain Name System ( DNS ou système de nom de domaine ) est un service permettant de traduire un nom de domaine en adresse IP.

 

Deux principales fonctions pour ce service :

Autrement dit, lorsque vous envoyez une requête en saisissant une adresse URL dans un navigateur, cette requête est renvoyée à un serveur DNS qui va la traduire en adresse IP ou inversement :  « quelle est l’adresse de www.google.fr ? », le DNS répond « 74.125.230.248 ».

Cette requête s’appelle une résolution de nom de domaine.

Le DNS est un système par arborescence dont le sommet, la racine est représentée par un point, le point des .com, .fr .org etc.
Puis viennent les branches, les org, fr qui sont des sous-domaines du domaine racine.

Les domaines se trouvant immédiatement sous la racine sont appelés domaine de premier niveau ( TLD : Top Level Domain ).

Le domaine wikipedia.org. est un sous-domaine de .org

Dns-raum
CC BY-SA 2.5, Lien

 

Les fournisseurs d'accès à Internet mettent à disposition de leurs clients ces serveurs DNS.

Certains pirates détournent également ces serveurs en modifiant vos paramètres réseaux ou votre fichier « hosts » pour faire pointer les requêtes DNS vers des serveurs pirates (voir encadré).

 

Il existe également des serveurs récursifs ouverts ( qui font suivre les adresses ).
 Google Public DNS 
- IPv4 : 8.8.8.8 et 8.8.4.4
- IPv6 : 2001:4860:4860::8888 et 2001:4860:4860::88442
 OpenDNS
- IPv4 : 208.67.222.222 et 208.67.220.2201 ; 208.67.222.220 et 208.67.220.2222 ; 208.67.222.123 et 208.67.220.1233 ;
- IPv6 (Sandbox) : 2620:0:ccc::2 et 2620:0:ccd::24

 

Les serveurs racine sont gérés par douze organisations différentes : deux sont européennes, une japonaise et les neuf autres sont américaines. 

Filtrage

Le filtrage est appliqué en fonction de la politique de sécurité en place sur le réseau. Ceci permet de bloquer selon une liste noire, les sites considérés comme malveillants et/ou inutiles au contexte de travail de l'entreprise ( pornographie ... etc ) .

Des règles de filtrage peuvent donc être appliquées :


Filtrage machine ou groupes de machine par plage d'adresse IP

Des règles de filtrage peuvent donc être appliquées :

En ajoutant une référence à ce groupe, il est possible :


Filtrage syntaxique

Système de pondération par mot clef se base sur un fichier qui est mis à jour toutes les nuits.

Authentification

Textes

La Direction du Numérique pour l'Éducation (DNE) publie le référentiel des Services Intranet / Internet d’Établissements scolaires et d’Écoles (S2i2e) qui devient le Cadre de Référence des services d’Infrastructures Numériques d’Établissements scolaires et d’écoles (CARINE v1), ainsi que du Cadre de référence pour l’Accès aux Ressources pédagogiques via un équipement Mobile (CARMO v2). Ces documents fournissent des orientations et des recommandations pour l'élaboration et la mise en œuvre des projets d’infrastructures numériques et d'équipements mobiles pour l'accès aux ressources pédagogiques numériques.

 

Authentification unique

Chaque utilisateur doit être authentifié de manière unique, typiquement via un identifiant et un mot de passe. Un identifiant / mot de passe de type eleve / eleve est donc formellement proscrit.

authentification

 

image pdfCARINE : http://cache.media.eduscol.education.fr/

image pdfCARMO : http://cache.media.eduscol.education.fr/

Afin de limiter l'accès au réseau extérieur, et de renforcer ainsi la sécurité du réseau local, il peut être nécessaire de mettre en place un système d'authentification pour accéder aux ressources extérieures.

 

Usurpation d'identité

Une fiche d'Eduscol sur le sujet : https://goo.gl/PNhzkd

Logs ou journaux de connexions

Stockage des Logs

Le stockage, des logs des sites visités et des pages vues, permet à l'administrateur du réseau de redéfinir la politique de sécurité du réseau et/ou d'intervenir auprès d'un utilisateur qui visite fréquemment des sites malveillants...

Les événements tracés sont enregistrés dans des journaux (ou logs). Ils répondent à des exigences légales.

Les connexions et déconnexions sont enregistrées par authpf via syslog, fournissant ainsi à l'administrateur l'adresse IP de la machine utilisée, le login de l'utilisateur, l'heure de l'établissement de la session, l'heure à laquelle la session s'est terminée et sa durée.

Il est donc possible de remonter à tout moment à la source d'un message, d'une consultation ou d'une action.

Les logs de connexion ne doivent pas être conservés plus de 6 mois ( CNIL ).

Equipement Individuel Mobile (EIM)

Le WiFi

wifi Le référentiel Wi-Fi apporte aux différents acteurs du numérique éducatif les éléments à prendre en compte lors de la mise en place du Wi-Fi en établissement et école, afin de les aider à obtenir une infrastructurefiable et adaptée aux usages.

 

image lien http://eduscol.education.fr/cid89186/referentiel-wi-fi.html

Le document Cadre technique s'adresse davantage aux personnes responsables de la mise en œuvre et de la sécurité.

CE QU’IL FAUT RETENIR

image pdf Référentiel sur l’usage du Wi-Fi en établissement et école Usages et cadre juridique : http://goo.gl/PU9gWp

image pdfRadiofréquences et santé : http://goo.gl/Un1Wf5

Enseigner avec les EIM

Le terme "équipement individuel mobile" désigne le plus souvent les tablettes, les téléphones portables et les liseuses.

Ces équipements sont (1) :

Le BYOD : 

BYOD (ou BYOT) est l’acronyme de l’expression anglophone « Bring your own device/technology ».

Plusieurs traductions francophones ont été proposées, telles que : AVAN (« Apportez votre appareil numérique »), PAP (« Prenez vos appareils personnels ») ou AVEC (« Apportez votre équipement personnel de communication »), retenue par la Commission générale de terminologie et de néologie française.

Ce phénomène est apparu aux États-Unis au tournant des années 2000. Il est contemporain de la multiplication des équipements personnels et mobiles, de la diffusion des pratiques connectées dans les divers contextes sociaux (personnels, famille, école, travail…). Concrètement, il s’agit pour l’individu de recourir à ses équipements propres, en contexte professionnel ou scolaire, afin de poursuivre des objectifs professionnels ou scolaires (Alberta Éducation, 2012). Le BYOD concerne particulièrement le milieu professionnel et les entreprises, mais il se conçoit aussi en termes d’éducation. Il s’agit alors d’utiliser en situation et à des fins pédagogiques, en classe et/ou en dehors, les outils nomades personnels des élèves ou des étudiants comme de leurs enseignants, généralement les téléphones, mais aussi, par exemple, les tablettes ou liseuses, baladeurs, etc.

Plus largement, le BYOD rencontre la réflexion sur les usages des technologies pour l’éducation et les déploiements successifs de machines dans les établissements d’enseignement. Il pourrait par là-même également répondre en partie aux enjeux éducatifs contemporains tels que l’adéquation des supports et objectifs d’enseignement et d’apprentissage avec la réalité des pratiques sociales. Cette solution peut être envisagée comme une alternative aux conditions budgétaires en matière d’équipement.

Alléger les étapes de choix, d’achat et de maintenance des terminaux de connexion peut également enrichir la réflexion sur les ressources électroniques et les applications pour l’éducation. Le recours aux équipements personnels des élèves et des enseignants pose cependant des problèmes spécifiques, de nature logistique, juridique et déontologique, principalement : sécurité des données personnelles, sécurité des matériels, inégalités d’accès entre élèves, connectivité et interopérabilité. Mais de quelles données de recherche disposons-nous à ce stade sur la problématique BYOD ? Des apports pédagogiques ont-ils pu être identifiés par les chercheurs dans ce contexte ? Autant de questions que se propose de soulever cette contribution.

source : http://www.cndp.fr/agence-usages-tice/

image lienhttp://eduscol.education.fr/ecogest/usages/enseigner-avec-EIM

image lienhttp://eduscol.education.fr/cid72525/