Vous êtes responsable du réseau pédagogique de votre établissement, sous Kwartz.
Vous n'ignorez pas les risques potentiels vu que tous vos postes sont reliés à Internet, cette page est faite pour vous.
Nous aborderons d'abord le pare-feu dans sa globalité, puis sur le contrôle des machines pour terminer par le contrôle des utilisateurs.
Toutes ces opération se font depuis l'interface Kwartz-Control.

Configuration du pare-feu Kwartz

Nous allons tout d'abord faire le point sur le pare-feu du Kwartz.

Celui-ci est paramétrable depuis "Sécurité" --> "Pare-feu".

On ne doit modifier les paramètres du pare-feu qu'en connaissance de cause.
On n'ouvre pas des ports à tout va !
Certains ouvrent tout pour ne pas être ennuyé... Erreur !

Le fait par exemple d'ouvrir le partage de fichiers SMB à l'extérieur permettrait à n'importe qui d'accéder aux lecteurs réseau... Autre exemple, le service "pop" (la réception du courrier électonique), n'est ouvert qu'en sortie (c'est le PC dans le réseau qui initie la connexion au serveur distant), ce qui est logique et ne doit pas être changé.

 

Contrôle selon les machines

Dans un réseau informatique, il faut connaître l'équipement se connectant à son réseau. Dans de gros établissements, il serait tellement facile de brancher son portable à une prise d'une salle peu surveillée et de surfer...
Il est donc nécessaire de filtrer les machines, avant même de filtrer les utilisateurs.

Cela se fait très facilement depuis le menu "Sécurité" --> "Accès à Internet" --> "Mode d'accès des postes".

Il suffit de choisir l'option "Non autorisé" de la section "Autres postes" pour empêcher tout poste inconnu d'accéder à internet. (Copie d'écran)

D'autre part, il ne faut généralement pas inscrire des postes dont on n'est pas sûr de leur identité.
En effet, parfois un certain nombre de postes est en attente de validation dans "Réseau" - "Inscription automatique".
Etes-vous certain de connaitre l'emplacement de ces machines ?

Ne jamais oublier que seule l'adresse MAC (Série de caractère ressemblant à ceci: 00:0D:93:44:B2:12) est fiable et permet une authentification quasi certaine du poste. On ne se fie pas uniquement à son nom qui peut être changé par n'importe qui.

On obtient l'adresse MAC soit sous Rembo, lors du démarrage de la machine ou sous Windows en tapant dans une fenêtre MS-DOS "ipconfig/all".

 

Contrôle selon les utilisateurs

Vous pensiez sans doute qu'il suffisait, pour actionner les listes noires et enregistrer les logs, d'appliquer une règle par défaut dans "Sécurité" --> "Accès à Internet" ?

C'est faux. Il est très facile à un utilisateur de pouvoir surfer sans être authentifié ! Certes le blocage par les listes noires sera effectif (à condition d'avoir correctement paramétré le profil par défaut) mais impossible de savoir qui fait quoi...

La seule solution fiable est de créer des "Profils d'accès à Internet" où l'on placera tous les utilisateurs connus du réseau (profs, élèves...) et de bloquer tous les autres (ce sera donc notre "Profil par défaut").

La méthode est simple mais assez longue. Créons d'abord un premier "Profil d'accès à Internet" ou je vais placer mes profs.

Cliquer sur "Nouveau profil utilisateurs". Je choisis un nom pour ce profil, soit "Professeurs". Je valide cette règle sans contrainte de temps (OK). Il me propose ensuite de choisir quel(s) groupe(s) de site(s) bloquer (ou autoriser). Bien choisir "Interdire l'accès" et cocher les sections à restreindre (sites xxx par exemple). Il m'affiche un résumé de ce que je viens de faire.

De retour au menu "Sécurité" --> "Accès à Internet" je vais maintenant choisir qui fait partie de ce groupe. Pour cela, je clique sur le nom du groupe ("Professeurs" pour ceux qui suivent...) et cliquer sur "Ajouter". Le reste de la manipulation ne pose pas vraiment problème, il faut choisir les utilisateurs devant être inclus dans ce groupe; on peut choisir un groupe entier et inclure d'un coup tous les utilisateurs présents (à tout hasard le groupe "professeurs" ?).

On recommence l'opération si nécessaire avec d'autres profils ("Elèves"...) jusqu'à avoir tous les utilisateurs du réseau dans un profil (ne pas en oublier, sinon ils n'auront pas accès au Web). Chaque groupe pouvant avoir des restrictions différentes on peut par exemple limiter davantage les 6e que les 3e...

 

Quelques précautions au sujet de Winadmin

Il vous parait normal d'utiliser "Winadmin" comme utilisateur classique, d'utiliser ce compte pour aller sur n'importe quel poste du réseau.

Winadmin n'est pas un compte comme les autres. C'est en effet le seul utilisateur ayant le droit d'écriture sur le lecteur réseau "P:" contenant les programmes réseau .

Quelle importance ?

Sur le "P:" est stocké l'antivirus. Si jamais vous ouvrez une session "Winadmin" sur un poste vérolé, vous pouvez être sur que le virus va tenter de se propager là où il peut, notamment sur le "P:" où il a le droit d'écriture, et particulièrement dans le répertoire de l'antivirus...

Maintenant que cela est fait, souvenez-vous que tous les postes de votre réseau lancent à l'ouverture de session l'antivirus sur le "P:".

Vous commencez à imaginer le problème... tous les postes du réseau vérolés...

Il est donc primordial pour la sécurité du réseau de n'utiliser "Winadmin" qu'en cas de nécessité (lors de l'installation d'un programme sur le "P:" par exemple).

Vous pouvez tout à fait créer des comptes pour les administrateurs ("admin", "tice"...) où vous stockerez vos programmes et fichiers divers utiles au fonctionnement des salles.

 

Utiliser la liste personnalisée pour bloquer des sites non répertoriés

Pour ajouter une liste personnalisée, aller dans le menu "Sécurité" --> "Accès à Internet" --> "Groupes de sites". Dans cette section vous pouvez ajouter des sites ou des domaines qui seront soit interdits en plus des listes noires, soit autorisés malgré leur présence dans la liste noire originale.

Cliquer sur "Créer un nouveau groupe de sites".

Ici je veux bloquer pour l'exemple le domaine "ac-lille.fr". Je donne un nom explicite à mon groupe de façon à m'y retrouver (1) (pas d'espaces dans le nom...). J'ajoute un ou plusieurs domaines ou sites dans la liste (2).
Attention il y a une différence entre un site et un domaine: Si je veux bloquer le site porno "http://www.siteclassexxx.com" j'indique "siteclassexxx.com" dans la section "Domaines" puisque je ne veux qu'aucune page du domaine ne s'affiche. En revanche si je trouve un site perso interdit chez free ("http://jetrichealecole.free.fr" par exemple), je bloque seulement la page perso et pas le domaine (sinon toutes les pages perso chez free seraient bloquées)... J'indique donc clairement "http://jetrichealecole.free.fr" dans la section "Adresse / URL" puis valider la liste (3).

Je vois mon nouveau groupe dans la liste. Je retourne dans le menu "Sécutiré" --> "Accès à internet".
Au choix, je clique sur le profil sur lequel je veux appliquer ma liste. Ici nous l'appliquerons au profil "Elèves". Je clique donc sur la règle du profil "Elèves". Ici des blocages sont déjà actifs. Nous allons donc ajouter notre liste. Cliquer sur "Editer". Je vois maintenant la liste personnalisée que je viens de créer en plus de la liste noire d'origine. Je coche ma liste (1) et je valide (2).