Encyclopédie Wikimonde

ALCASAR

Aller à : navigation, rechercher

ALCASAR
Logo

[[Fichier:Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).|Erreur Lua dans Module:Wikidata à la ligne 566 : attempt to index field 'wikibase' (a nil value).|280px|alt=Erreur Lua dans Module:Wikidata à la ligne 566 : attempt to index field 'wikibase' (a nil value).]]
Erreur Lua dans Module:Wikidata à la ligne 566 : attempt to index field 'wikibase' (a nil value).

Fondateur Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).
Développeur alcasar team
Première version Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).
Dernière version Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).
Version avancée Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).
Écrit en Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value)./ Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).
Environnements Linux
Langues Erreur Lua dans Module:Wikidata à la ligne 114 : attempt to index field 'wikibase' (a nil value).
Type NAC - portail captif
Licence GPLV3
Site web http://www.alcasar.net

ALCASAR est un contrôleur d'accès au réseau libre et gratuit. Aussi appelé portail captif, il authentifie, impute et protège les accès des utilisateurs indépendamment des équipements connectés. Intégrant des fonctions de filtrage, il permet de répondre aux besoins des organismes accueillant des mineurs. En France, ALCASAR permet aux responsables d'un réseau de consultation Internet de répondre aux obligations légales (entreprises, collectivités, proviseurs, associations, professionnels du tourisme, etc.)[1].

Objectifs

ALCASAR a été développé dans le but de satisfaire trois objectifs:

  • Authentifier et contrôler les connexions
Il bloque l'accès pour les utilisateurs non-authentifiés (identifiant + mot de passe). Il se comporte ainsi comme un sas d'accès pour l'ensemble des services Internet.
  • Tracer et imputer les connexions tout en protégeant la vie privée
Il permet aux responsables d'organismes de répondre aux exigences des lois et des politiques d'accès et d'utilisation des réseaux de consultation Internet. En effet, en Europe[2] et plus particulièrement en France[3],[4], le propriétaire d'un accès à Internet est responsable de tous les flux échangés à partir de sa connexion.
  • Sécuriser le réseau de consultation
Il intègre un système de filtrage permettant de protéger les utilisateurs et les équipements du réseau de consultation. Ce système est activable par utilisateur. Il est constitué d'un parefeu dynamique, d'un antivirus de flux Web et d'un contrôleur d'URL et de noms de domaine fonctionnant en mode "liste noire" (blacklist) ou "liste blanche" (whitelist). La liste des URLs et des noms de domaines est basée sur le travail de l'Université Toulouse 1 Capitole[5].

Solution

ALCASAR s'installe sur un mini-ordinateur possédant deux cartes réseau. Il doit être positionné en coupure entre Internet et le réseau de consultation qu'il protège. Il est totalement indépendant à la fois des équipements des Fournisseurs d'Accès à Internet (FAI) et des caractéristiques du réseau de consultation (WIFI, CPL, Ethernet, etc.). Les équipements situés sur le réseau de consultation peuvent être de tout type (PC, GSM, tablettes, consoles de jeux, etc.). Ils n'ont besoin d'aucune modification et d'aucun programme additionnel.

Constituants

Les éléments constitutifs du projet sont les suivants :

  • Système d'exploitation Linux sécurisé Mageia)
  • Pare-feu dynamique et routeur filtrant
  • [Portail captif] et serveur DHCP
  • Serveur d'authentification, d'autorisation et de comptabilité (Radius: Remote Authentication Dial-In User Service)
  • Serveur de base de données (base des utilisateurs)
  • Connecteur vers des serveurs d'annuaire externes LDAP ou Active Directory (A.D.©)
  • Serveur de temps
  • Service d'auto-enregistrement par SMS
  • Scripts de déploiement, de mise à jour et de gestion
  • Interface WEB d"administration :
    • gestion des utilisateurs, des groupes d'utilisateurs et de leur niveau de filtrage (protocoles réseau, noms de domaines, URL, antivirus)
    • gestion des paramètres réseau
    • archivage des fichiers journaux
    • rapport statistique des connexions
    • rapport d'activité hebdomadaire

Conformité

  • Anti-usurpation : En tant que [portail captif], ALCASAR associe un processus d'authentification chiffré (identifiant + mot de passe) à l'adresse MAC et l'adresse IP des équipements des utilisateurs. Pour empêcher qu'un pirate situé sur le réseau de consultation tente d'usurper ces deux adresses, ALCASAR intègre un processus de type "watchdog" qui analyse le réseau régulièrement et déconnecte l'utilisateur usurpé en avertissant l'administrateur. Pour améliorer encore le système d'anti-usurpation, il peut être utile d'activer les fonctionnalités de protection dédiées sur les équipements réseau actuels de type "commutateur Ethernet" ou "borne WIFI". En fonction des constructeurs, ces fonctionnalités sont nommées de manières différentes ("anti-spoofing" pour Alcatel-Lucent/Cisco/Linksys, "Hub&Spoke limit" pour Huawei/Dlink, "client isolation" pour Ubiquiti/Airview/Belkin). Dans le cas où un besoin en sécurité est très élevé sur le réseau de consultation, ALCASAR permet d'authentifier les utilisateurs via le protocole IEEE 802.1X. Très robuste, ce protocole nécessite que les utilisateurs exploitent un agent particulier sur leur équipement (comme wpa supplicant).
  • Journalisation : Le système de génération et de stockage des traces de connexion prend en compte les recommandations de l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information). Ainsi chaque trace permet de déterminer le nom d'utilisateur, l'adresse IP source, le port source, l'adresse IP destination, port destination, le volume de données échangé et la durée de la connexion.
  • Droit à l'oubli : Tous les soirs, les traces de connexion de plus d'un an sont supprimées.
  • Protection de la vie privée : Afin de protéger la vie privée des utilisateurs, plusieurs dispositifs ont été mis en œuvre :
    • Les traces de connexion ne contiennent pas le contenu de la communication (juste l'enveloppe).
    • les flux chiffrés ne sont jamais déchiffrés
    • Tous les utilisateurs sont avertis quand un fichier de traçabilité est généré dans le cadre d'une enquête judiciaire ou administrative.
    • Les administrateurs ne peuvent consulter que des statistiques anonymisées des connexions.
    • Les archives des traces peuvent être chiffrées. Elles ne sont pas directement exploitables pour ne pas révéler l'activité des utilisateurs.

Autres contrôleurs d'accès au réseau

Notes et références

  1. « Alcasar : propos d'utilisateurs - Securiteoff », sur www.securiteoff.com (consulté le 29 avril 2017)
  2. Directive 2006/24/CE sur la conservation des données
  3. Loi pour la confiance dans l'économie numérique
  4. Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, (lire en ligne)
  5. « Blacklists UT1 », sur dsi.ut-capitole.fr (consulté le 29 avril 2017)

Liens externes

Cet article « ALCASAR » est issu de Wikimonde Plus.

Erreur Lua dans Module:Suivi_des_biographies à la ligne 175 : attempt to index field 'wikibase' (a nil value).