7
Sécurité des Systèmes d'Information et de Communication PRÉSENTATION Table des matières 1 - Introduction........................................................................................................................................................2 2 - Objectifs.............................................................................................................................................................2 2.1 - Authentifier et contrôler les connexions....................................................................................................2 2.2 - Tracer et imputer tout en protégeant la vie privée.....................................................................................3 2.3 - Sécuriser..................................................................................................................................................... 3 2.3.1 - le réseau de consultation.....................................................................................................................3 2.3.2 - le portail............................ ..................................................................................................................3 2.3.3 - les usagers...........................................................................................................................................4 3 - Solution développée................................................................................................................... ........................4 4 - Exploitation........................................................................................................................................................5 4.1 - pour l'usa ger..................... .......................................................................................................................... 5 4.2 - pour les administrateurs.............................................................................................................................5 5 - Annexe - Réglementation française.................................................................................................................. 7 Projet : ALCASAR Auteur : Rexy with support of « ALCASAR Team » Objet : Présentation du portail Version : 2.0 Mo ts c lés : portail cap tif , co ntr ôle d' acc ès, imput abi lit é, traçabi lit é, a uth ent ifi cation Dat e : Jan vie r 2011 Présentation ALCASAR 1/7

alcasar-presentation.pdf

  • Upload
    ahouba

  • View
    18

  • Download
    0

Embed Size (px)

Citation preview

  • Scurit des Systmes d'Information et de Communication

    PRSENTATION

    Table des matires1 - Introduction........................................................................................................................................................22 - Objectifs.............................................................................................................................................................2

    2.1 - Authentifier et contrler les connexions....................................................................................................22.2 - Tracer et imputer tout en protgeant la vie prive.....................................................................................32.3 - Scuriser.....................................................................................................................................................3

    2.3.1 - le rseau de consultation.....................................................................................................................32.3.2 - le portail..............................................................................................................................................32.3.3 - les usagers...........................................................................................................................................4

    3 - Solution dveloppe...........................................................................................................................................44 - Exploitation........................................................................................................................................................5

    4.1 - pour l'usager...............................................................................................................................................54.2 - pour les administrateurs.............................................................................................................................5

    5 - Annexe - Rglementation franaise..................................................................................................................7

    Projet : ALCASAR Auteur : Rexy with support of ALCASAR Team

    Objet : Prsentation du portail Version : 2.0

    Mots cls : portail captif, contrle d'accs, imputabilit, traabilit, authentification Date : Janvier 2011

    Prsentation ALCASAR 1/7

  • 1 - Introduction ALCASAR est un portail libre1 et gratuit de contrle d'accs Internet pour les rseaux ouverts de consultation. Il authentifie, impute et protge les accs des usagers indpendamment des quipements connects (micro-ordinateur, tablette Internet, console de jeux, webphone, PDA, etc.). ALCASAR intgre des fonctions de filtrage permettant de rpondre aux divers besoins des organismes (entreprise, centres de loisirs, tablissements scolaires, etc.). En France, il permet aux responsables d'un rseau de consultation Internet de rpondre aux obligations lgales (cf. annexe). ALCASAR s'appuie sur une vingtaine de logiciels libres afin de constituer un portail captif authentifiant scuris. Au-del de ces aspects, ALCASAR est utilis comme support pdagogique dans le cadre de formations aux techniques de scurisation des rseaux.

    ALCASAR est un projet indpendant, initi en 2008 par Richard REY (rexy), Franck BOUIJOUX (3abtux) et Pascal LEVANT (angel95). Au fil du temps, l'quipe de suivi de projet s'est densifie. Elle est complte par des contributeurs ponctuels identifiables sur le forum et par une multitude de testeurs acharns.

    Nous vous remercions, contributeurs, testeurs, hotliners et usagers d'ALCASAR pour le retour d'exprience apport ainsi que pour les bonnes ides d'volution qui ne cessent d'alimenter notre imagination (et nos soires).

    Le site principal d'ALCASAR est situ l'adresse : www.alcasar.info

    Le forum et le suivi du projet sont hbergs sur la plate-forme ADULLACT de dveloppement coopratif : adullact.net/projects/alcasar

    Ce document de prsentation gnrale est accompagn des trois documents suivants : installation (alcasar-installation), exploitation (alcasar-exploitation) et documentation technique (alcasar-technique -- en cours de finalisation)

    2 - Objectifs

    2.1 - Authentifier et contrler les connexionsALCASAR est positionn en coupure entre le rseau de consultation et Internet afin d'en interdire l'accs pour les usagers non authentifis (identifiant + mot de passe). Il se comporte comme un sas d'accs pour l'ensemble des services Internet.

    Le contrle des connexions permet, par exemple, de dfinir des usagers et des groupes d'usagers autoriss se connecter. Pour chaque usager ou groupe d'usagers, il est possible de dfinir des dates de fin de validit, des crneaux de connexion hebdomadaire ainsi que des dures maximales de connexion, des dbits ou des volumes maximum de donnes tlchargeables. Pour grer les usagers, ALCASAR s'appuie sur une base interne qui peut tre couple un annuaire externe de type LDAP ou Active Directory.

    1 ALCASAR est sous licence GPLV3. La GPL (General Public Licence) de la FSF (Free Software Foundation) est la licence de rfrence dans le monde du logiciel libre. Les quatre rgles suivantes dfinissent cette licence :

    libert d'excuter le programme pour tous les usages, libert d'tudier le fonctionnement du programme et de l'adapter ses besoins, libert de redistribuer des copies du programme, libert d'amliorer le programme et de publier ces amliorations.

    De plus, la FSF a introduit la notion de copyleft (par opposition copyright ) qui oblige un logiciel GPL modifi rester sous licence GPL. Cette notion permet de rendre la licence contaminante et vite ainsi les drives propritaires but purement lucratif.

    Prsentation ALCASAR 2/7

  • 2.2 - Tracer et imputer tout en protgeant la vie priveALCASAR permet aux responsables d'organismes de rpondre aux exigences des politiques d'accs et d'utilisation des rseaux de consultation Internet. En France, il permet de dcliner l'obligation lgale de tracer et d'imputer les connexions. Les extraits de la loi franaise relatifs cette obligation sont prsents en annexe.

    Ces exigences consistent authentifier les usagers du rseau de consultation lorsqu'ils dcident de se connecter sur Internet et produire, pour chacun d'eux, une trace prcise de toutes les activits ralises (consultation, tlchargement, coute multimdia, courriel, discussion, blog, connexions chiffres, etc.). ALCASAR produit ces traces sous forme de fichiers pouvant tre aisment archivs sur supports externes afin d'tre exploites dans le cadre d'une enqute judiciaire. Dans le cadre de la cybersurveillance et pour rpondre aux exigences de la CNIL (cf. annexe), la production de ces traces est associe aux mcanismes suivants afin d'en assurer la non-rpudiation et afin de garantir la protection de la vie prive :

    les flux lis l'authentification des usagers sur ALCASAR sont chiffrs. Les usagers peuvent modifier leur mot de passe tout moment. Ces mots de passe sont stocks chiffrs dans la base interne. Les fichiers de trace peuvent tre chiffrs. Ces prcautions permettent de prvenir l'accusation d'un autre usager ou d'un administrateur d'avoir rcupr, exploit ou modifi des donnes ;

    la consultation directe des activits Internet nominatives est impossible. En effet, les traces des connexions sont volontairement clates dans plusieurs fichiers dont les domaines sont spars (authentifications d'un ct et activits Internet de l'autre). L'imputation des connexions n'est ainsi rendue possible qu'aprs un travail d'agrgat sur ces fichiers. Ce travail est rserv aux autorits judiciaires. L'interface graphique de gestion d'ALCASAR ne prsente que des statistiques de connexion et aucune donne nominative lie aux activits ralises sur Internet ;

    la protection contre les oublis de dconnexion est prise en compte. ALCASAR dconnecte automatiquement les usagers dont l'quipement de consultation ne rpond plus (arrt de systme, pannes rseau, etc.). En outre, un module externe permet de dconnecter automatiquement l'usager la fermeture de sa session.

    2.3 - Scuriser

    2.3.1 - le rseau de consultation

    ALCASAR intgre un pare-feu et un antivirus de flux WEB afin de protger les quipements du rseau de consultation des menaces externes directes. De plus, un module spcifique a t mis en place afin de protger les usagers authentifis des tentatives d'un pirate interne cherchant usurper leurs sessions.

    Les mises jour de scurit des quipements de consultation (antivirus et rustines/patch) sont rendues possibles et automatisables travers la dclaration de sites pouvant tre contacts directement sans authentification pralable (sites de confiance).

    2.3.2 - le portail

    La scurit du portail a t labore comme pour un systme bastion devant rsister diffrents types de menaces :

    utilisation et scurisation d'un systme d'exploitation rcent et minimaliste (Mandriva Linux LSB) ;

    protection du portail vis--vis d'une attaque interne (durcissement et anticontournement) ;

    les logiciels choisis sont reconnus par la communaut comme des valeurs sres et prouves ;

    possibilit d'effectuer une image complte et chaud du systme sur CDROM. Cela permet de le rinstaller rapidement en cas de panne matrielle ;

    concernant l'accs l'interface de gestion, les prcautions suivantes ont t prises en compte : chiffrement des trames, authentification et comptabilit des accs, sparation entre les fonctions d'archivage, de gestion des usagers et d'administration (au moyen de profils d'administrateurs).

    Prsentation ALCASAR 3/7

  • 2.3.3 - les usagers

    Afin de protger les usagers authentifis, ALCASAR met en oeuvre deux dispositifs de filtrage :

    le premier permet de bloquer l'accs aux sites dont le contenu est jug rprhensible ou non-conforme (liste noire). Il est entirement paramtrable (activation, dsactivation, ajout ou retrait de site, etc.) ;

    le deuxime permet de bloquer tout trafic autre que le trafic WEB et de n'activer que les services rseau dsirs (Web scuris HTTPS , courriel SMTP/POP , etc.).

    Ces deux dispositifs optionnels ont surtout t labors pour les organismes susceptibles d'accueillir un jeune public.

    3 - Solution dveloppe Afin d'tre le plus universel possible, ALCASAR n'exploite que des technologies standardises lui permettant d'tre compatible avec tous les types de rseaux locaux de consultation (filaire, WIFI, CPL, etc.). Ces rseaux locaux de consultation (LAN) peuvent intgrer tout type d'quipements (PC fixes, PC portables, assistants personnels, smartphone, consoles de jeux, etc.) exploitant tout type de systmes d'exploitation (Windows, Unix, Linux, Blackberry, Symbian OS, MAC-OS, WEB-OS, etc.). Mis part un navigateur, les quipements du rseau de consultation n'ont besoin d'aucun logiciel spcifique pour fonctionner avec ALCASAR.ALCASAR est totalement indpendant des quipements fournis par le prestataire de service Internet (FAI). Il est bti autour d'une vingtaine d'lments constituants ainsi un portail captif authentifiant complet positionn en coupure entre Internet et le rseau de consultation.

    Prsentation ALCASAR 4/7

    Rseau de consultation

    Point d'accs WIFI

    quipements du FAI (Box ADSL)

    Commutateur (switch)

    ALCASAR

    Adaptateurs CPL

    Constituant d'Alcasar- Un seul PC de type bureautique possdant deux cartes rseau- Systme d'exploitation Linux pur et configur en routeur / parefeu- Passerelle d'interception- Serveur DHCP- Serveur d'authentification- Serveur de base de donnes (base des usagers et des groupes)- Filtrage WEB

    - relais cache (proxy cache)- filtre d'URL et de contenu- filtre antivirus

    - Filtrage de protocoles- Serveur de temps- Serveur de nom (DNS) intgrant un filtrage de domaine (blackhole)- Processeur de journalisation- Processus de clonage chaud du systme- Prise de contrle distantes scurises- Scripts de dploiement, de mise jour et de gestion- Interface WEB scurise d'administration :

    - gestion des usagers et des groupes d'usagers- gestion du filtrage- archivage des fichiers journaux- rapport statistique de connexion et de consultation- rapport temps rel des journaux du parefeu- rapport temps rel d'information systme- rapport temps rel d'activit sur le rseau de consultation

    Routeur multi-WAN . Cet quipement optionnel permet d'quilibrer la charge quand

    plusieurs connexions Internet sont utilises simultanment.

    Internet

  • Une procdure d'installation et de mise jour automatise a t labore afin de permettre un dploiement rapide d'ALCASAR par du personnel ayant une connaissance sommaire des techniques utilises. Toutes les fonctions techniques du portail ont t intgres dans un seul quipement standard (PC de bureautique).

    Une page d'accueil permet aux usagers de se dconnecter ou de changer leur mot de passe. Elle permet aux administrateurs d'accder de manire authentifie et scurise au centre de gestion du portail (Alcasar Control Center).

    4 - Exploitation

    4.1 - pour l'usager L'usager peut utiliser n'importe quel quipement connect sur le rseau de consultation. Au lancement

    d'un navigateur WEB, une page d'authentification lui est prsente dans la langue configure dans ses prfrences. Cette page contient une information l'informant des fonctions principales du portail. Elle lui permet aussi de modifier son mot de passe :

    sur PSP sur Palm (Palm-OS + blazer) sur tablette PC (Seven + IE8)

    sur Iphone (IOS + safari) Sur Palm pixie (Web-OS) sur PC fixe (XP + chrome)

    Une fois l'authentification effectue, le navigateur affiche la premire page de consultation ainsi qu'une fentre supplmentaire permettant de se dconnecter.

    En fonction de la configuration du portail et des postes de consultation, toutes les applications et tous les protocoles rseau sont alors disponibles pour l'usager (ftp, courrier lectronique, discussion, P2P, blog, etc.).

    4.2 - pour les administrateurs

    Un centre graphique de gestion du portail2 peut tre exploit de manire scurise par des administrateurs partir de n'importe quel quipement situ sur le rseau de consultation :

    2 Le document alcasar-exploitation dcrit les possibilits de ce centre de gestion.

    Prsentation ALCASAR 5/7

  • titre d'exemple, voici quelques possibilits de ce centre de gestion :

    Afficher et grer l'activit des quipements prsents sur le rseau de consultation.

    Grer les usagers : cration, suppression et import d'usagers ou de groupe d'usagers. Modification de leurs attributs (date d'expiration, priodes de connexions autorises, dures de connexion par session, par journe et par mois, bande passante autorise, etc.).

    Administration du portail : connexion sur un serveur d'annuaire, activation du service d'administration distance (ssh), etc.

    Consultation des statistiques d'exploitation du rseau de consultation, de la bande passante et du volume des connexions.

    Consultation des vnements du pare-feu :

    Rcupration des fichiers journaux pour archivage. Ces fichiers contiennent les traces des connexions. Ils constituent ainsi les preuves de l'activit du rseau de consultation. Ils peuvent tre chiffrs :

    Activation ou dsactiver de l'antivirus de flux WEB. Activation, de dsactivation, modification ou mise jour des listes noires (blacklists) de domaines ou d'URL filtrs. ALCASAR intgre l'excellente blacklist de l'Universit de Sciences Sociales Toulouse 1

    Activation, dsactivation ou modification du filtrage rseau (filtrage de protocoles) :

    Prsentation ALCASAR 6/7

  • 5 - Annexe - Rglementation franaiseDcret n 2006-358 du 24 mars 2006 relatif la conservation des donnes des communications lectroniques

    Article R10-13 I- En application du II de l'article L.34-1, les oprateurs de communications lectroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pnales :a) les informations permettant d'identifier l'utilisateur,b) les donnes relatives aux quipements terminaux de communication utiliss,c) les caractristiques techniques, ainsi que la date, l'horaire et la dure de chaque communication,d) les donnes relatives aux services complmentaires demands ou utiliss et leur fournisseur,e) les donnes permettant d'identifier le ou les destinataires de la communication....III- La dure de conservation des donnes mentionnes au prsent article est d'un an compter du jour de l'enregistrement.

    NOTA 1 : Une directive europenne est en prparation concernant l'augmentation de la dure de conservation des donnes de connexion. Suite aux attentats de Londres, 6 chefs d'tat de l'UE ont propos que le conseil europen porte cette dure trois ans.

    NOTA 2 : Selon l'article 10-14 de ce mme dcret, l'oprateur peut exploiter pendant 3 mois les traces des connexions (exclusivement dans le cadre de la scurit des rseaux).

    NOTA 3 : En France, l'oprateur est responsable de la traabilit et de l'imputabilit des connexions au niveau de l'adresse publique fournie par contrat. Si un rseau de consultation est dploy partir de cette adresse, le responsable de ce rseau doit mettre en oeuvre son systme de traabilit et d'imputabilit afin de dgager sa propre responsabilit (cf. ci-dessous).

    La loi n 2006-64 du 23 janvier 2006 sur la lutte contre le terrorisme Article 5

    Cette loi prcise que sont concernes par cette obligation de traabilit, les personnes qui, au titre d'une activit professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par lintermdiaire dun accs au rseau, y compris titre gratuit (CPCE, art. L. 34-1, I, al. 2). Tout manquement cette obligation expose une peine de prison dun an et 75000 euros damende, le quintuple pour les personnes morales.

    CNILLa CNIL et les tribunaux considrent la cybersurveillance lgale quand les trois conditions suivantes sont remplies :

    Lexistence de la cybersurveillance doit dabord avoir t porte la connaissance des salaris, soit par voie daffichage soit par note de service. ALCASAR fournit automatiquement cette information sur la page d'authentification lors de chaque connexion ;

    Les reprsentants du personnel doivent avoir t consults (pour simple avis) ;

    Elle doit tre justifie (proportionnalit) et limite une surveillance de flux (volume de trafic, type de fichiers changs, filtrage url, etc.) sans accder aux contenus des courriers lectroniques ni aux rpertoires identifis comme personnel sur le disque dur du poste de travail du salari sous peine dtre poursuivi pour violation de correspondance prive. Les traces enregistres par ALCASAR correspondent cette exigence.

    CERTAConcernant la gnration des fichiers journaux, les indications suivantes ont t prises en compte :

    http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-005/index.html

    Club des Directeurs de Scurit des EntreprisesL'article suivant synthtise les diffrentes obligations lgales franaises en intgrant la loi HADOPI :

    https://www.cdse.fr/spip.php?article593

    Prsentation ALCASAR 7/7

    1 - Introduction2 - Objectifs2.1 - Authentifier et contrler les connexions2.2 - Tracer et imputer tout en protgeant la vie prive2.3 - Scuriser2.3.1 - le rseau de consultation2.3.2 - le portail2.3.3 - les usagers

    3 - Solution dveloppe4 - Exploitation4.1 - pour l'usager4.2 - pour les administrateurs

    5 - Annexe - Rglementation franaise


  EXPLOITATION1. Introduction ALCASAR is an authenticated and secure captive portal. This paper describes how to exploit and administer it with the Alcasar Control Center (ACC) or

  EXPLOITATION1. Introduction ALCASAR is an authenticated and secure captive portal. This paper describes how to exploit and administer it with the Alcasar Control Center (ACC) or

Documents
CIC presentation.pdf

CIC presentation.pdf

Documents
PPE 2 Alcasar - WordPress.com · 2016. 6. 24. · Outils utilisés : Alcasar 2.9.2 , une image disque de Mageia 4.1 , une connexion Internet et un ordinateur fixe HP possédant deux

PPE 2 Alcasar - WordPress.com · 2016. 6. 24. · Outils utilisés : Alcasar 2.9.2 , une image disque de Mageia 4.1 , une connexion Internet et un ordinateur fixe HP possédant deux

Documents
ipoint_New Presentation.pdf

ipoint_New Presentation.pdf

Documents
New alcasar documentation Documentation · 2019. 4. 2. · alcasar_documentation Documentation, Version 0.1 1.2.1Besoins matériels ALCASAR n’exige qu’un PC bureautique standard

New alcasar documentation Documentation · 2019. 4. 2. · alcasar_documentation Documentation, Version 0.1 1.2.1Besoins matériels ALCASAR n’exige qu’un PC bureautique standard

Documents
Stadiums Presentation.PDF

Stadiums Presentation.PDF

Documents
OpenVPX Presentation.pdf

OpenVPX Presentation.pdf

Documents
Business Presentation.pdf

Business Presentation.pdf

Documents
INCA Presentation.pdf

INCA Presentation.pdf

Documents
ALCASAR - Portfolio€¦ · ALCASAR - Mise en œuvre du portail captif ALCASAR Page 3 sur 32 1. Introduction Le but d’un serveur ALCASAR est de pouvoir proposer un accès à Internet

ALCASAR - Portfolio€¦ · ALCASAR - Mise en œuvre du portail captif ALCASAR Page 3 sur 32 1. Introduction Le but d’un serveur ALCASAR est de pouvoir proposer un accès à Internet

Documents
Oral Presentation.pdf

Oral Presentation.pdf

Documents
changemois presentation.pdf

changemois presentation.pdf

Documents
SpecPoint Presentation.pdf

SpecPoint Presentation.pdf

Documents
DET4TC Presentation.pdf

DET4TC Presentation.pdf

Documents
Alcasar 2.9 Exploitation

Alcasar 2.9 Exploitation

Documents
muji presentation.pdf

muji presentation.pdf

Documents
PIT Presentation.pdf

PIT Presentation.pdf

Documents
Cheung Presentation.pdf

Cheung Presentation.pdf

Documents
Tutoriel ALCASAR – ALCASAR Tutorial Création d’un ... · Sécurité des Systèmes d’Information et de Communication Tutoriel ALCASAR – ALCASAR Tutorial Création d’un environnement

Tutoriel ALCASAR – ALCASAR Tutorial Création d’un ... · Sécurité des Systèmes d’Information et de Communication Tutoriel ALCASAR – ALCASAR Tutorial Création d’un environnement

Documents
MFL presentation.pdf

MFL presentation.pdf

Documents
Euromonitor Presentation.pdf

Euromonitor Presentation.pdf

Documents
Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée

Tout sur le portail captif Alcasar Tutoriel complet + Rapport detaillée

Documents
YOLO Presentation.pdf

YOLO Presentation.pdf

Documents
DOSES PRESENTATION.pdf

DOSES PRESENTATION.pdf

Documents
Cargo_Terminal Presentation.pdf

Cargo_Terminal Presentation.pdf

Documents
BLOGGER presentation.pdf

BLOGGER presentation.pdf

Documents
MIS Presentation.pdf

MIS Presentation.pdf

Documents
AUGURA presentation.pdf

AUGURA presentation.pdf

Documents
Alcasar 2.6.1 Installation Fr

Alcasar 2.6.1 Installation Fr

Documents
CR Presentation.pdf

CR Presentation.pdf

Documents