Application Libre pour le Contrôle d'Accès Sécurisé et Authentifié au Réseau
ALCASAR est un projet libre et gratuit de portail captif authentifiant sécurisé.
Simple à déployer et à administrer, il permet de protéger, de contrôler et d'imputer les accès d'un réseau de consultation Internet.
2 - Objectif Imprimer Envoyer

Authentifier et contrôler les connexions

Alcacar est positionné en coupure entre le réseau de consultation et Internet afin d'en interdire l'accès pour les usagers non authentifiés (identifiant + mot de passe). Il se comporte comme un sas d'accès pour l'ensemble des services Internet.

Le contrôle des connexions implémenté dans Alcasar permet, par exemple, de définir des usagers et des groupes d'usagers autorisés à se connecter. Pour chaque usager ou groupe d'usagers, il est possible de définir des dates de fin de validité de compte, des créneaux de connexion hebdomadaire ainsi que des durées maximales de connexion par session, journée ou mois. Pour gérer les usagers, Alcasar s'appuie sur une base interne qui peut être couplée à un annuaire externe de type LDAP/A.D.

Tracer et imputer tout en protegeant la vie privée

Alcasar permet aux responsables d'organismes de répondre aux exigences des politiques d'accès et d'utilisation des réseaux de consultation Internet. En France, il permet de décliner l'obligation légale de tracer et d'imputer les connexions.

Ces exigences consistent à authentifier les usagers du réseau de consultation lorsqu'ils décident de se connecter à Internet et à produire, pour chacun d'eux, une trace précise de toutes les activités réalisées (consultation, téléchargement, écoute multimédia, courrier, discussion, blog, etc.). Alcasar produit ces traces sous forme de fichiers pouvant être aisément archivés sur supports externes afin d'être exploitées dans le cadre d'une enquête judiciaire. Dans le cadre de la cybersurveillance et pour répondre aux exigences de la CNIL, la production de ces traces est associée aux mécanismes suivants afin d'en assurer la non-répudiation et afin de garantir la protection de la vie privée :

  • les flux liés à l'authentification des usagers sont chiffrés. Les usagers peuvent changer leur mot de passe à tout moment. Ces mots de passe sont stockés chiffrés. Les fichiers de trace peuvent être chiffrés. Ces précautions permettent de prévenir l'accusation d'un autre usager ou d'un administrateur d'avoir récupérés, exploités ou modifiés des données ;

  • la consultation directe des activités Internet nominatives est impossible. En effet, les traces des connexions sont volontairement « éclatées » dans plusieurs fichiers dont les domaines sont séparés (authentifications d'un côté et activités Internet de l'autre). L'imputation des connexions n'est ainsi rendue possible qu'après un travail d'agrégat sur ces fichiers (réservé aux autorités judiciaires). L'interface graphique de gestion d'Alcasar ne présente aucune donnée nominative liée aux activités réalisées sur Internet ;

  • la protection contre les « oublis » de déconnexion. Alcasar déconnecte automatiquement les usagers dont l'équipement de consultation ne répond plus (arrêt système, pannes réseau, etc.). En outre, un module externe permet de déconnecter automatiquement l'usager à la fermeture de sa session Windows.


Sécuriser

le réseau de consultation

Alcasar intègre un pare-feu et un antivirus de flux WEB afin de protéger les équipements du réseau de consultation des menaces externes directes. De plus, un module spécifique a été mis en place afin de protéger les usagers authentifiés des tentatives d'un pirate interne cherchant à usurper leurs sessions.

Les mises à jour de sécurité des équipements de consultation (antivirus et rustines/patch) sont rendues possibles et automatisables à travers la déclaration d'une liste de sites pouvant être contactés directement sans authentification préalable.

le portail

La sécurité du portail a été élaborée comme pour un système bastion devant résister à différents types de menaces :

  • utilisation et sécurisation d'un système d'exploitation récent et minimaliste (Mandriva Linux LSB) ;

  • protection du portail vis-à-vis d'une attaque interne (durcissement et anticontournement) ;

  • les logiciels choisis sont reconnus par la communauté comme des valeurs sûres et éprouvées ;

  • possibilité d'effectuer une image complète et « à chaud » du système sur CDROM. Cela permet de le réinstaller rapidement en cas de panne matérielle ;

  • concernant l'accès à l'interface de gestion : chiffrement des trames, authentification et comptabilité des accès, séparation entre les fonctions d'archivage, de gestion des usagers et d'administration (au moyen de profils d'administrateurs).

les usagers

Afin de protéger les usagers, Alcasar met en oeuvre deux dispositifs de filtrage :

  • le premier permet de bloquer l'accès aux sites dont le contenu est jugé répréhensible ou non-conforme. Il est entièrement paramétrable (activation, désactivation, ajout ou retrait de site, etc.) ;
  • le deuxième permet de bloquer tout traffic autre que le traffic WEB et de n'activer que les services réseau désirés (https, transfert ftp, flux multimédia, etc.). Il permet, de plus, pour chaque service de restreindre les accès aux seuls sites identifiés (listes blanches).
Ces deux dispositifs optionnels ont surtout été élaborés pour les organismes susceptibles d'accueillir un jeune public.
 
Free template 'I, Gobot' by [ Anch ] Gorsk.net Studio. Please, don't remove this hidden copyleft!