Présentation

De Idefix
Révision datée du 14 novembre 2019 à 15:11 par Dysmas (discussion | contributions) (Page créée avec « == Idéfix, pour quoi faire ? == Idéfix a été conçu en milieu monastique afin de protéger l’espace de la vie contemplative de l’agression que représente l’intr... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Sauter à la navigation Sauter à la recherche

Idéfix, pour quoi faire ?

Idéfix a été conçu en milieu monastique afin de protéger l’espace de la vie contemplative de l’agression que représente l’intrusion d’Internet dans la clôture. La vie moderne ne permet plus guère de se passer totalement d’Internet et nous devons nous y soumettre. Cela nous met en face de tentations considérablement plus graves que celles d’autrefois, en matière de morale (la pornographie se trouve à quelques clics), de curiosité, de dispersion, de perte de temps etc. Compter uniquement sur sa propre force de caractère pour résister à toutes ces tentations est une illusion. Et même si cela fonctionne cela représente une dépense d’énergie bien inutile.

Idéfix a été conçu de façon à réduire autant que faire se peut les tentations inutiles. Il ne peut en aucune manière tout résoudre, et ne dispense pas l’utilisateur de faire de vrais choix concernant l’utilisation qu’il veut faire d’Internet.

Idéfix est un filtre qui cherche dans la mesure du possible à limiter les sites accessibles à ceux qui sont d’utiles pour la personne considérée. Accessoirement, il contient également un pare-feu, mais ce n’était pas son but premier. Idéfix avait également pour but de se présenter d’une manière suffisamment simple pour pouvoir être paramétré par une personne qui ne soit pas spécialiste. Les solutions trouvées dans le commerce présentaient l’inconvénient d’être soient simples, mais pas suffisamment performantes, soit suffisamment performantes mais alors trop compliquées.

Idéfix présente plusieurs niveaux d’autorisation ou interdiction, qui peuvent être entremêlés à volonté :

  1. Autorisation pour une personne particulière (ou un groupe), d’une liste de sites auxquels elle a accès. Il s’agit du filtrage par liste blanche. Des conditions de temps peuvent être ajoutées : l’accès n’aura lieu que tel jour de la semaine, entre telle et telle heure. Tout ce qui n’est pas dans la liste est inaccessible. Des listes noires, sont également utilisables, et les conditions de temps peuvent être positives ou négatives.
  2. Autorisation pour une personne ou un groupe, d’un service particulier : par exemple courrier électronique, Skype, ou navigation sur Internet. Il est extrêmement facile de donner ainsi l’accès au courrier électronique mais pas à la navigation sur Internet. Ici encore, des conditions de temps peuvent être ajoutées. Tout service qui n’est pas explicitement autorisé est inaccessible.
  3. Enfin un filtrage général, qui concernera nécessairement tout le réseau et ne peut pas être particularisé, permet d’autoriser ou interdire certaines catégories de sites : par exemple interdiction de tout ce qui est pornographie, ou sites dangereux de toutes sortes, des jeux, de la radio, télévision, vidéo etc.

Les défauts

1) La première configuration est assez technique, surtout si on active le filtrage par DNS. L’aide d’un technicien est normalement nécessaire. Une fois cette configuration faite, il n’y a normalement pas de raison d’y revenir. La configuration du filtrage se fait dans un programme séparé, actuellement disponible pour Windows et bientôt pour Linux.

2) Idéfix est encore en phase de test sur un nombre très limité d’exemplaires. Il ne peut donc être utilisé qu’en mode expérimental.

Le boîtier

Idéfix est construit sur une carte Rock64, de la compagnie Pine64, une carte qui ressemble de très près aux Raspberry Pi dont elle reprend la taille et la disposition, mais qui a la particularité de pouvoir recevoir une carte fille avec un deuxième port Ethernet. Cette carte n’apparaît pas dans l’image ci-dessous. Idéfix est totalement silencieux puisqu’il ne comporte pas de ventilateur.

legende legende

Sur cette photo, la carte additionnelle qui contient le deuxième port ethernet n'est pas montrée afin qu'on puisse voir la carte mère.

Pour les techniciens

Idéfix est construit sur une distribution Linux Armbian Buster (version de Debian pour processeur Arm). Dans une première version, issue d'une simplification d'Endian Firewall, le premier filtrage se faisait par proxy non transparent (squid), le deuxième se faisait en utilisant les possibilités très vastes de iptables, le troisième par un serveur DNS externe spécialisé dans le filtrage, par exemple SafeDNS. Ce dernier service est payant, SafeDNS demande 20$ par an pour un site, ce qui est peu de chose.

La dernière version d'Idéfix a retrouvé un filtrage transparent (c'est à dire sans aucune modification sur les ordinateurs clients), en remplaçant le proxy Squid par un serveur DNS Unbound qui assure les deux premiers niveaux de filtrage et envoie ensuite au filtre DNS externe pour le filtrage par catégories.

Installation

Il suffit de connecter Idefix d’un côté sur le routeur qui donne accès à Internet, de l’autre sur un switch qui connecte les postes de la maison. Si le Wifi est nécessaire, il faudra le désactiver sur la Livebox, et ajouter un point d’accès Wifi sur le réseau. La configuration réseau initiale est assez technique et demandera normalement l'aide d'un spécialiste.

Performances

Elles sont largement surdimensionnées. Avec un processeur AMD quatre cœurs à 1,4GHz, 4 Go de RAM et une carte eMMC, on constate en utilisation que le processeur monte rarement au-dessus de 2% d’utilisation, et la RAM à environ 10%.

Administration

Elle se fait par l'interface web intégrée à Idéfix, nommée Supervix. La gestion des autorisations se fait par un programme externe, Confix, soit directement sur Idéfix, si on est connecté au réseau local, soit sur Internet via un serveur ftp, Idefix se synchronisant à intervalle réguliers. L’interface sera conçue pour être compréhensible par un non spécialiste, mais ceux qui préféreront laisser à un technicien extérieur de soin de cette administration pourront le faire.