Réseau Protégé "SafeNet"

Table des matières

Présentation du service "SafeNet"

Description sommaire

Le service « SafeNet » a pour but de fournir un réseau informatique protégé aux hôtes qui, pour des raisons techniques ou administratives, ne peuvent être convenablement protégés (antivirus) et/ou tenus à jour. Nous pensons ici en priorité aux équipements de laboratoire et aux machines dont le système d’exploitation n’est plus maintenu par l’éditeur.

Ces équipements ont uniquement accès à un nombre limité de services locaux sûrs (DNS, NAS, AD, LDAP, mail) nécessaires à leur bon fonctionnement et disposent d’un accès web filtré et limité par le biais d’un intermédiaire – proxy – dont nous avons la gestion. Afin d’éviter toute dissémination d’une éventuelle infection, les hôtes de ce réseau ne se voient pas entre eux.

Finalement, il est possible de joindre ces machines vulnérables depuis EPNET par le biais d’un serveur d’applications Windows, qui dispose de tous les logiciels de prise de contrôle à distance courants (Remote Desktop, VNC, SSH, NX, etc.).

(Schéma de principe)

Description détaillée

Le réseau protégé est pour l’instant formé de cinq VLAN qui couvrent les quatre domaines VTP (zones géographiques) de l’école et Microcity et se trouvent dans le range 10.40.0.0/13. Soit, en détails :

Ces VLAN ne sont pas routés depuis/vers EPNET et ses hôtes ne se voient pas entre eux, même au sein du même VLAN. Les règles d’accès – access lists – sont les mêmes pour tous les ports des switches de ces VLAN et ne permettent l’accès qu’à un nombre très restreint de services locaux et sûrs, indispensables au bon fonctionnement des machines (DNS, AD, LDAP, antivirus, activation Windows et relai de mail), à la navigation limitée et filtrée sur le web et au NAS afin de permettre l’échange de fichiers entre les machines ou avec les hôtes d’EPNET. La connectivité IPv6 n’est pour l’instant pas offerte sur ce réseau. Notons encore que des modifications de ces ACL ne seraient réalisées que si elles profitent à un grand nombre de clients. Nous ne pourrons pas apporter des changements au cas par cas. Le tableau ci-dessous illustre bien les ACL actuellement appliquées :

 

Service

Nom d’hôte

Adresse IP

Ports

DNS DIT-TI

stisun2.epfl.ch

stisun1.epfl.ch

stisun2.epfl.ch

stisun1.epfl.ch

128.178.15.7
128.178.15.8

2001:620:618:1a6:1:80b2:a66b:1

2001:620:618:1a6:1:80b2:a66a:1

53 (TCP et UDP)

Active Directory & WINS

AD1

AD2

AD3

AD5

 

WINS

128.178.15.227

128.178.15.228

128.178.15.229

128.178.15.231

128.178.15.44
 

tous (TCP&UDP)

Proxy WEB

webproxy01
webproxy02
webproxy03
webproxy04
webproxy-slb

128.178.109.229
128.178.109.45
128.178.109.20
128.178.109.67
128.178.109.8

8080 TCP
8080 TCP
8080 TCP
8080 TCP
8080 TCP

Proxy Remote Desktop

safenet-proxy.epfl.ch

128.178.109.58

Tous

KMS Windows

kms.epfl.ch

128.178.109.144

1688 TCP

NAS

plusieurs

128.178.102.0/24 (tout le subnet 102)

445 TCP (pour du CIFS) ou tout pour du NFS

Mail

mail.epfl.ch

128.178.222.71

2001:620:618:1a6:1:80b2:a603:2

25 et 465 TCP

 

LDAP

ldap.epfl.ch

128.178.222.15

389 et 636 TCP

Antivirus

zeus.epfl.ch

128.178.209.5

80 et 443 TCP

 

L’accès à certains services est soumis à des conditions particulières, à savoir :

Proxy Web

Certaines machines ou équipements ont très vraisemblablement un besoin de connectivité web. Afin de limiter au maximum les chances de contamination par ce biais, tout le trafic web passe par l’infrastructure de proxy web déjà en place. Cette dernière se charge d’analyser le contenu à l’aide de deux composantes distinctes :

Il est important de noter que, dans sa configuration actuelle, le proxy n’effectue aucune autre restriction quant au contenu qui est visionné. Les collaborateurs et étudiants se doivent de respecter les directives d’utilisation des moyens informatiques, consultables sur http://polylex.epfl.ch/page-60179-fr.html.

D’autre part, pour des raisons évidentes de confidentialité, toutes les pages web transitant par un canal sécurisé HTTPS ne seront pas analysées par le proxy. Les autres protocoles et applications ne sont pas autorisés à se connecter à Internet par le biais du proxy.

Les seules informations conservées sur le proxy sont celles relatives aux connexions qui transitent par ce service, à savoir :

Ces informations sont anonymisées (impossibilité de faire le lien direct entre une machine et son utilisateur) et uniquement utilisées à des fins de statistiques internes. Elles ne seront jamais communiquées à des tiers.

En outre, vous trouverez l'OLA -- Operational Level Agreement -- relative en cliquant sur le lien suivant

Active Directory & Serveurs DNS de la DIT-TI

Toutes les requêtes DNS faites sur les serveurs DNS situés au sommet de la forêt Active Directory de l’EPFL (actuellement les quatre contrôleurs de domaine AD1, AD2, AD3 et AD5) ainsi que sur les deux serveurs DNS de la TI (stisun1 et stisun2) sont journalisées à des fins statistiques et de surveillance du réseau. Ces données de journalisation sont formées de/d’ :

En voici trois exemples :

 

08:59:58.712416 IP 128.178.192.25.56168 > 128.178.15.229.53:  63224+ MX? epfl.ch. (25)

09:00:17.118360 IP 128.178.201.127.2804 > 128.178.15.229.53:  2+ PTR? 151.201.178.128.in-addr.arpa. (46)

09:00:19.624447 IP 128.178.81.6.65283   > 128.178.15.229.53:  63633+ A? 0-jv-w.channel.facebook.com. (45)
 

Dans l’état actuel des choses, il ne nous est pas possible de faire facilement le lien direct entre une adresse IP (une machine à un instant donné) et son utilisateur. Ces données sont donc anonymisées par la force des choses.


Afin de protéger au mieux la vie privée de nos utilisateurs, elles ne seront accessibles que par les trois personnes responsables de la sécurité informatique des machines et du réseau, à savoir :

 

Elles ne seront jamais communiquées brutes à des tiers sauf dans le cadre d’une enquête pénale, suite à une demande expresse d’un magistrat. Nous nous réservons toutefois le droit de partager les résultats de calculs statistiques effectués sur ces données brutes, en garantissant qu’ils soient parfaitement anonymes.

 

La durée de rétention de ces données a été fixée à quatre jours maximum (une tâche de nettoyage quotidienne purge toutes les entrées plus vieilles que trois jours). Les statistiques issues de ces journaux ne sont pas concernées par cette purge et pourraient potentiellement avoir une durée de vie illimitée.

 

N'hésitez pas à consulter l'OLA -- Operational Level Agreement -- relative à ce service en cliquant sur le lien suivant.

Accès à distance (Remote Desktop) depuis EPNET

Comme mentionné ci-avant, il est possible de se connecter de façon interactive aux hôtes de ce réseau par le biais d’un serveur d’applications Windows, dont l’accès est déterminé par le droit accred « safenetproxy », automatiquement attribué à tous les responsables informatiques de l’Ecole. Si vous ne disposez pas de ce rôle, il faudra prendre contact avec votre responsable « accréditation » de proximité.

Accès au service

Configuration réseau de la machine vulnérable

L'intégration d'une nouvelle machine dans le réseau protégé nécessite la (re)configuration de la prise sur laquelle elle sera connectée ainsi qu'une demande pour une nouvelle adresse IP. La téléphonie (UC) est disponible sur ce VLAN.

Le basculement d'une machine dans le réseau protégé requiert une demande de modification de l’affectation (VLAN) de la prise réseau ainsi qu'une demande pour une nouvelle adresse IP. Par défaut, le nom d'hôte de la machine à basculer subsiste. La téléphonie (UC) est disponible sur ce VLAN.

Basculement d'une prise existante dans le réseau protégé ou nouvelle demande.

Ces deux demandes sont très semblables et sont effectuées par le biais de la page du site network sur http://epnet.epfl.ch/responsables-informatiquesNotez que la téléphonie (UC) est bien disponible sur ce VLAN.

Demande d'une nouvelle adresse IP non routable

La demande s'effectue via la page http://epnet.epfl.ch/responsables-informatiques, où vous préciserez que vous souhaitez une adresse IP de type "Vulnerable-devices". Dans le champ "Comment.", ayez la gentillesse de mentionner le nom d'hôte souhaité et, s'il s'agit d'un basculement, précisez le nom d'hôte ainsi que l'adresse IP actuels de la machine.


 

Configuration logicielle de la machine vulnérable

Configuration IP

Ayez la gentillesse de remplacer l'adresse IP mentionnée dans l'exemple ci-dessous par celle que vous avez reçu de la part d'EPNET.

Adresse IP 10.4x.y.z (p.ex 10.40.3.4)
Masque de sous-réseau (netmask) 255.255.0.0
Passerelle (gateway) 10.4x.0.1 (pour l'exemple ci-dessus : 10.40.0.1)
Serveurs DNS 128.178.15.227
  128.178.15.228
  128.178.15.229 (optionnel)
  128.178.15.231 (optionnel)

Configuration du proxy web

Si certaines applications devaient avoir besoin d'une connectivité à Internet (web uniquement), il est nécessaire de les configurer afin qu'elles passent par le proxy web du réseau protégé. Pour ce faire, veuillez SVP vous référer au manuel de l'application et utiliser les paramètres suivants :

Adresse du proxy webproxy-slb.epfl.ch
Port 8080
(même proxy pour tous les protocoles)  

Vous trouverez ci-dessous les documents de configuration des navigateurs les plus courants :

Internet Explorer http://windows.microsoft.com/fr-ch/windows/change-internet-explorer-proxy-server-settings
Firefox http://support.mozilla.com/...
Chrome https://support.google.com/chrome/answer/96815?hl=fr
Opera http://help.opera.com/Windows/12.10/fr/server.html
Safari http://support.apple.com/kb/PH11876
   

Accès à distance/interactif au réseau protégé

Accès au "Terminal Server" Windows

Comme mentionné ci-avant, il est possible de se connecter de façon interactive aux hôtes du réseau protégé par le biais d’un serveur d’applications Windows, dont l’accès est déterminé par le droit accred "Accès au réseau protégé" automatiquement attribué à tous les responsables informatiques de l’Ecole. Si vous ne disposez pas de ce rôle, il faudra prendre contact avec votre responsable « accréditation » de proximité.

Ce serveur dispose de tous les outils les plus courants permettant la prise de contrôle à distance, soit, sans être exhaustif :

Pour utiliser ce serveur d'applications, veuillez SVP vous munir de votre client RDP -- Remote Desktop Protocol -- favori et vous connecter à safenet-proxy.epfl.ch. Utilisez votre compte personnel (pas le compte ADSCIPER) pour vous authentifier. Vous retrouverez des raccourcis vers toutes les applications mentionnées ci-avant sur le bureau.

Veuillez encore noter que cette machine n'est pas destinée à héberger vos fichiers personnels, que nous vous invitons à stocker sur une infrastructure prévue à cet effet (myNAS, p.ex).

Finalement, vu que ce serveur d'applications a connectivité réseau vers tous les hôtes de "SafeNet" (c'est son but), son intégrité doit absolument être préservée et nous avons mis des restrictions en place quant aux applications qui peuvent y être exécutées (whitelisting). Dans l'état actuel des choses, il n'est donc pas possible de télécharger et d'exécuter une application qui n'a pas été validée. Si vous deviez avoir besoin d'une application supplémentaire sur cette machine, ayez la gentillesse de nous contacter.

Lancement direct de "Remote Apps" (Expérimental)

Si vous disposez d'un système d'exploitation Windows récent (Windows Vista/2008 et ultérieur), vous avez la possibilité de faire tourner l'application de prise de contrôle à distance (VNC, PuTTY, NX, etc..) sur le serveur d'applications safenet-proxy et de ne récupérer que l'affichage de cette dernière.

Pour ce faire, il vous suffit de lancer l'un des fichiers .rdp se trouvant dans l'archive suivante.

Horaire du service

Le service « SafeNet » et ses fonctionnalités associées sont normalement disponibles 24 heures sur 24, 7 jours sur 7. Le serveur d’applications Windows fait exception à cette règle, car des mises à jour planifiées pourraient être réalisées entre 02h00 et 03h00 du matin le second mercredi de chaque mois. Les éventuelles interruptions ou maintenances du réseau informatique sont signalées par le biais du blog de la TI à la page http://blogs.epfl.ch/annoncedit-ti (souscription possible).

Support

Pour toute question relative au fonctionnement du service ou pour signaler un incident, veuillez SVP prendre contact avec le Service Desk de la VPSI (1234), ouvert entre 07h30 et 18h00 :

Par courriel 1234@epfl.ch
Depuis un téléphone interne 1234
Depuis n'importe quel téléphone +41 21 693 1234

Les techniciens de ce service feront alors le nécessaire pour faire suivre vos demandes aux spécialistes de la cellule sécurité de la VPSI. N'oubliez pas de mentionner l'adresse IP de la machine ainsi que la prise réseau concernées.