Les serveurs-passerelle fonctionneront sous Linux ou FreeBSD, qui répondent tous deux aux critères:
Les communications Wifi, qui circulent dans l'air, sont interceptables par quiconque possède un appareil compatible avec les normes de transmission utilisées. Pour remédier à cela, le standard 802.11 propose un système de cryptage appelé WEP (Wired Equivalent Privacy) au niveau de la couche MAC (OSI 2). WEP présente toutefois des failles connues, qui en font un système peu fiable, quelle que soit la taille des clefs utilisées, d'autant qu'il existe des logiciels automatisant l'exploitation des failles. Les implémentations de WEP par les fabricants d'appareils ne sont en outre pas compatibles d'un fabricant à l'autre, sauf quelques rares exceptions.
Pour ces raisons, le cryptage WEP sera désactivé et remplacé par les tunnels virtuels (VPN) entre les serveurs et les postes clients, qui constituent une alternative plus fiable et plus intéropérable. Les tunnels VPN seront réalisés au moyen du protocole PPTP (Point to Point Tunneling Protocol), qui est compatible avec tous les systèmes d'exploitations récents et facile à configurer sur les postes clients.
L’utilisation de la cryptographie respectera la réglementation en vigueur.
Les usagers devront s'authentifier lors de chaque connection en fournissant un login et un mot de passe, qui peuvent être enregistrés une fois pour toute sur leur poste. Les échanges d'authentification seront protégés par SSL. L'authentification sera réalisée au moyen d'un serveur Radius et l'accès aux ressources sera contrôlé par les composants de filtrage des paquets (firewall).
Les accès de chaque usager seront enregistrés dans des fichiers de logs qui seront conservés pendant la durée requise et pourront être divulgués aux autorités compétentes selon les règles prescrites par la loi. Le stockage des données nominatives relatives aux usagers fera l'objet d'une déclaration auprès de l'ART.
L'établissement de la connection se fera par défaut au moyen d'adresses IP dynamiques fournies par un serveur DHCP, comme pour les connections par modem. Les usagers souhaitant établir un réseau entre eux utiliseront cependant des adresses IP fixes qui leur seront fournies par l'administrateur du réseau.
Le serveur-passerelle pourra être administré à distance grâce à un serveur SSH, la transmission de fichiers à fins d'administration s'effectuant par SCP, de manière à garantir la sécurité des transactions.
Un serveur DNS en mode "cache" sera installé sur le serveur local de manière à écourter les requêtes DNS des usagers en leur évitant d'emprunter la liaison satellite, soulageant celle-ci d'autant.
Outre les services de base énoncés ci-dessus, le serveur-passerelle pourra héberger des services complémentaires destinés aux usagers du réseau local:
Ces serveurs seront exclusivement réservés aux usagers du réseau local . Les sites web ou FTP accessibles depuis l'internet devront être hébergés sur d'autres serveurs, mieux adaptés à cette fonction.
Par défaut, le firewall sera configuré pour interdire la communication entre les postes des usagers et ceux-ci ne pourront échanger des informations et des fichiers qu'à travers les applications du serveur (web, FTP, SMB, etc...). Les règles du firewall pourront cependant être assouplies au cas par cas pour permettre à certains usagers qui en feront la demande de s'inter-connecter.
| Précédent | Sommaire | Suite |