Page d'aide concernant l'intranet

[English][Français][Accueil]


Créer son propre intranet :

Que ce soit pour tester un cdrom Minilgos sur un petit réseau local isolé ou pour véritablement créer votre propre environnement intranet au bureau ou à la maison, ce guide vous permettra rapidement d'avancer, même si vous n'êtes pas un expert. Mais si vous débutez reportez cette aventure à plus tard et essayez d'abord Minilgos directement avec votre modem, surtout si vous êtes seul.
L'avantage de gérer son propre intranet est de pouvoir choisir soi-même la capacité de stockage des comptes FTP. L'inconvénient est de devoir laisser allumé en permanence le ou les ordinateurs qui joueront un rôle de serveur FTP, HTTP, SMTP ou POP3, et surtout de les faire connaître au monde extérieur.
Les logiciels indiqués dans cette page fonctionnent sur toutes les versions de Windows, sont freeware ou shareware sans contrainte (sauf Comtun), et probablement les plus simples à mettre en place, idéaux pour de simple tests. Les professionnels préfèreront des suites de logiciels plus robustes, tournant sous unix (comme Apache par exemple), qui conviendront parfaitement aux cdroms Minilgos et accepteront des montées en charges élevées.

Création du serveur DHCP (facultatif) :

Le logiciel "Comtun" est facile à installer et peut servir de serveur DHCP. Activez la fonction DHCP et dans les propriétés avancées de ce service, définissez une plage d'adresse IP (par exemple de 192.168.0.10 à 192.168.0.40). Dès lors tout ordinateur réglé pour obtenir automatiquement son adresse IP en recevra une de la part de ce serveur DHCP (il sera authentifié par l'adresse physique de sa carte réseau). En ce qui concerne les cdrom Minilgos il suffit d'indiquer "DHCP" dans le champ "adresse IP" lors de leur configuration.
Si vous ne voulez pas de serveur DHCP, vous devrez fixer des adresses IP fixes et deux ordinateurs ne devront jamais avoir la même (si vous créez deux cdroms minilgos pour deux personnes différentes, vous devrez fixer deux adresses IP différentes).
Il existe un autre protocole nommé BOOTP qui est en fait l'ancêtre du protocole DHCP et qui rend le même service. Vous pouvez eventuellement écrire "BOOTP" au lieu de "DHCP" dans la configuration d'un cdrom Minilgos pour tester ce mode. Normalement tout serveur DHCP doit accepter les requêtes BOOTP mais "Comtun" ne le fait pas (ce n'est pas vraiment génant).
Si vous souhaitez permettre un accès vers internet, "Comtun" propose également la fonction DNS et NAT. Le protocole DHCP indiquera aux PCs leur nouveau DNS et leur nouvelle passerelle (l'ordinateur sur lequel "Comtun" tournera). NAT assure le relais des trames IP avec les traduction d'adresses qui s'imposeront et DNS relayera les demandes de traductions de noms de serveurs vers les DNS internet.
N'oubliez pas de configurer correctement votre pare-feu pour autoriser la réception des requêtes.
(Vous devrez ajouter manuellement DHCP, port 67, type UDP et DNS, port 53, type UDP).
Malheureusement, parfois, à cause des pare-feux, les serveurs ne répondent pas immédiatement aux requêtes des clients (perte aléatoire de paquet). N'hesitez pas à tester les clients et les serveurs avec et sans pare-feu.
Si vous avez Windows XP, vous pouvez créer un réseau local (sur le côté gauche dans panneau de configuration => connexions réseau) qui produira le même effet que Comtun, mais attention, l'adresse IP de votre PC deviendra 192.168.0.1.

Création du serveur HTTP (pages webs, accès en lecture) :

Le logiciel "Abyss WEB server" est facile à installer. Après avoir choisi un nom d'utilisateur et un mot de passe pour l'administration du serveur WEB (demandé à la fin de l'installation), lancez le serveur. La racine physique de votre serveur web est "c:\program files\abyss web server\htdocs\". Un exemple de page d'accueil index.htm s'y trouve déjà. Avec Internet Explorer vous pouvez accéder à cette page par l'adresse "http://(adresse ip du pc)". Notez que si vous essayez de changer l'emplacement de la racine physique, le succès n'est pas garanti, donc n'hésitez pas à revenir aux valeurs par défaut en cas de problème. Créez un répertoire symbolisant le répertoire du compte internet de l'abonné par exemple "prénom.nom". Inutile de créer des sous-répertoires pour préparer le térrain pour minilgos, car celui-ci créera automatiquement les sous-répertoires dont il a besoin, notament le sous-répertoire FTP (prénom de l'utilisateur) personnel de l'utilisateur minilgos. Via le support maximal vous pouvez demander une version personnalisée de Minilgos qui offre un accès à vos pages WEB publiques en lieu et place de l'accès vers WWM, c-à-d World Wide Minilgos, la sous-partie protégée du WEB (ainsi que tout ce dont vous pourriez avoir besoin, par exemple des émulateurs de terminaux pour accéder à des ordinateurs centraux, ou des applications spécifiques).

Création du serveur FTP (les même pages webs, mais avec accès en écriture) :

Le logiciel "Quick'n Easy FTP server" est facile à installer (dézippez les fichiers dans "c:\program files\ftp server" par exemple). Lancez le programme et indiquez le nom d'utilisateur du compte FTP (par exemple "prénom.nom"). Choisissez ensuite son mot de passe. Définissez, pour finir, le répertoire racine physique, qui doit coincider avec le répertoire du compte correspondant dans la racine physique du serveur web ("c:\program files\abyss web server\prénom.nom"). Accordez tous les droits à ce compte. Cliquez "start". Iconifiez la fenêtre.

Création du serveur POP3 (méssagerie intranet facultative) :

Le logiciel "POP3 server" est facile à installer (dézippez les fichiers dans "c:\program files\pop3 server" par exemple). Lancez le programme. Cliquez le bouton "settings", puis l'onglet "user accounts". Créer le compte (utilisez une adresse courriel pour le nom du compte). Choisissez son mot de passe. Iconifiez la fenêtre. L'emplacement physique de la boîte aux lettres est "c:\inetpub\mailroot\drop\". Vous pouvez y placer des fichiers .eml pour simuler la réception de courriels.

Création du serveur SMTP (envoi de courriel intranet facultatif) :

Le logiciel "PostCast server Free Edition" est facile à installer (dézippez setup.exe et lancez le pour installer les fichiers dans "c:\program files\PostCast server"). Accepter tous les paramêtres proposés. L'adresse du serveur SMTP est bien sûr celle du PC. Tout courriel envoyé à ce serveur apparaitra dans la fenêtre du programme et pourra être sauvegardé sous forme de fichier .eml, par exemple dans le répertoire de la boîte aux lettres POP3 du destinataire du courriel (Edit->Save as...). Je ne donne ici aucune info pour organiser la copie automatique des fichiers .eml dans le bon répertoire ou leur envoi vers internet car pour mes tests je n'en ai pas besoin et je n'ai pas vraiment creusé la question (c'est quand même plus pratique d'utiliser les boîtes aux lettres offertes par son fournisseur d'accès internet; en général ils offrent 5 boîtes au total pour un seul abonnement).

A propos de la sécurité :

En premier lieu, sachez qu'un utilisateur minilgos n'a besoin ni d'antivirus, ni de pare-feu. Cependant, si vous avez des systèmes d'exploitation installés sur disque dur, en particulier s'ils jouent le rôle de serveurs pour des clients minilgos, vous DEVEZ installer un antivirus et un pare-feu afin d'éviter toute mauvaise surprise, pour colmater toutes les brêches de sécurité. "AVG" (très bonne mise à jour automatique et hebdomadaire de la base de données des virus connus) est un excéllent antivirus. La dernière version (ou service pack) de votre système d'exploitation local vous fournira un pare-feu intégré.
Même si le mécanisme anti-pourriel de Minilgos vous protège, vous pouvez recevoir des virus dans les courriels en provenance d'amis proches (ils apparaissent dans votre carnet d'adresses minilgos, et vous apparaissez dans leur carnet d'adresses sur disque dur, donc s'ils utilisent un système d'exploitation standard infecté, installé sur disque dur, le virus détectera votre adresse courriel et vous adressera des copies de lui-même dans des messages qui n'auront aucun sens pour vous mais qui viendront de vos amis). Mais Minilgos vous montrera le nom du fichier du virus avec le type '????' car il ne sera pas reconnu comme un des formats de données que Minilgos sait utiliser -Minilgos ne peut utiliser qu'un nombre limité de formats texte, son et image tels que 'TEXT', 'WAVE', 'JPEG'...-, donc le virus ne peut pas être activé et ne sera jamais une menace pour le code interne de Minilgos. Dans un tel cas de figure, effacez simplement le courriel et prévenez votre ami que son disque dur est infecté
.
Il n'est pas certain que le serveur HTTP Abyss vous permette d'interdire l'exploration des répertoires. Vous devriez l'interdire, car les fournisseurs d'accès l'interdisent. Pour minilgos c'est important puisque les données privées de l'utilisateur sont "cachées", c'est à dire sauvegardées dans un emplacement inconnu des pirates. L'invulnérabilité du code Minilgos (face aux pirates et aux virus) est obtenue grâce à la non existence de "portes de derrière" (ports écoutés autorisant des actions à distance), à la non existence de routines capable de télécharger et d'exécuter du code natif externe, et aussi, à cause du gravage du code sur un CD-R (vous pouvez graver sur un CD-RW ou même faire un transfert sur disquette, mais vous cassez alors cette invulnérabilité). La protection des données privées de l'utilisateur Minilgos, c'est une autre affaire. Les fournisseurs d'accès bien protégés empêchent les pirates de détecter les fichiers sur leur serveur HTTP en utilisant deux méthodes : la première, bien sûr, consiste à désactiver le droit d'exploration (ou droit de lister) afin d'interdire l'affichage de tous les fichiers existants (cela signifie que le logiciel client DOIT demander un fichier existant, avec le chemin d'accès complet, sinon l'erreur 404 survient); la deuxième consiste à détecter les accès répétés produisant des erreurs 404 (fichier non trouvé visant des fichiers qui changent de nom constament, preuve qu'un pirate est en train d'essayer toute les combinaisons de nom de fichier pour en détecter un (dans un tel cas de figure, une bonne procédure consiste à bloquer les connexions provenant de l'adresse IP du pirate, pendant 24 heures par exemple, de sorte que le nombre élevé de combinaisons à essayer et le temps requis pour changer d'adresse IP transforme la vie du pirate en enfer puisque il doit persévérer pendant des siècles...; si vous devez réellement surprotéger une donnée, créez la dans plusieurs sous-répertoires imbriqués les uns dans les autres -dans lesquels vous avez désactivé la propriété 'cache de liste', dans minilgos-, cela augmentera exponentiellement le nombre de combinaisons que le pirate devra explorer et réalisera la protection "parfaite" dont vous avez besoin).
Mais n'oubliez jamais que généralement un pirate évite de se fatiguer avec la technique et cherche plutôt à demander les mots de passe par téléphone ou par courriel en se faisant passer pour un administrateur par exemple -la règle de base est d'expliquer à tout utilisateur de n'importe quel système qu'il ne doit JAMAIS divulguer son mot de passe, quelque soit l'interlocuteur présumé et quelque soit la raison invoquée; car les administrateurs dans tous les systèmes ont leur propre mot de passe qui leur donne accès à tout; éviter également de se signer sur un pc ou un terminal autre que le sien car il pourrait avoir été trafiqué pour mémoriser le mot de passe-.
Puisque minilgos utilise un mot de passe global personalisé (à considérer un peu comme la moitié de la clef requise pour accéder aux serveurs du fournisseur d'accès; l'autre moité étant le mot de passe du fournisseur, altéré puis gravé sur le cd), s'il est mémorisé par un clavier modifié par exemple, ou si vous oubliez votre cdrom minlgos dans un cybercafé rien de méchant ne pourra se produire. Il vous faut juste EVITER de perdre votre cdrom ou de vous le faire voler, ET, EN MEME TEMPS, de donner votre mot de passe à quelqu'un ou de l'utiliser sur un clavier trafiqué qui va le mémoriser.
Bien sûr, une brêche s'ouvrira si le nom d'utilisateur et le mot de passe FTP ou POP3 sont détéctés sur le réseau. Pour prévenir cette brêche relative au serveurs FTP et POP3, demandez une version personalisée de minilgos qui utilisera une méthode d'authentification sécurisée comme CHAP par exemple (méthode trés sure utilisée pour le login PPP ou PPPoE, combinée avec l'encryptage non réversible MD5) en lieu et place du mot de passe en clair (malheureusement les fournisseurs d'accès internet n'offrent pratiquement jamais de serveurs FTP ou POP3 qui acceptent de telle méthode sécurisées) et vous devrez trouver sur le marché des serveurs FTP et POP3 qui acceptent la méthode d'authentification que vous aurez choisi (le protocole POP3 fait reference a la commande "APOP" rarement supportée). En fait, si vous pensez que quelqu'un risque de lire les paquets TCP/IP sur le réseau entre vous et vos propres serveurs FTP et POP3, vous pouvez demander un version personalisée de minilgos correspondant à des versions spécifiques des serveurs de votre fournisseur d'accès afin d'encrypter toutes les données puisqu'il est important de ne pas laisser les pirates prendre connaissance de tous les chemins d'accès des fichiers que votre cdrom va lire ou écrire. Si vous évitez Wi-Fi et obtenez la garantie de la part de votre fournisseur d'accès que personne ne peut espionner le trafic réseau entre leurs serveurs et vous-même, alors ça peut aller... autrement, il est temps de chercher un serveur FTP version améliorée, mais non standard, et d'utiliser HTTPS au lieu de HTTP. De toute façon, n'oubliez pas que la version gratuite de Minilgos est conçue principalement pour des enfants, et non des agents secrets... La confidentialité absolue des données est réalisable, mais au prix d'un effort certain côté client ET côté serveur -n'hésitez pas à contacter le support Minilgos pour vous renseigner-. Peut-être que Minilgos et les autres solutions NC pousseront les fournisseurs d'accès à offrir de nouveaux types d'accès grand public, toujours standard, mais conçus pour l'exploitation sûre de données distantes (vis à vis des 'sniffeurs' sur le réseau).