SlideShare une entreprise Scribd logo
l   C O M M U N I C AT I O N                                                                                                                           l   C O M M U N I C AT I O N



                               Sécurité


Quelle technologie pour les accès distants sécurisés?
                               SOLUTIONS. S’il est incontesté que VPN IPSEC est un bon                                                          de simplement relayer les re-        est beaucoup plus intéressante
                                                                                                                                                quêtes HTTP vers l’application       que le tunnel classique. En utili-     e-Xpert Solutions SA
                               choix pour la sécurisation des connexions de type site à site,                                                   que l’on désire atteindre. Cette     sant un lien de type PPP dans un       Au bénéfice d’une longue expérience dans les secteurs financiers
                                                                                                                                                méthode est très efficace en ter-    tunnel SSL, il est alors possible
                               qu’en est-il des connexions de type clients vers le réseau de                                                    mes de performance et de por-        de transporter tout type de
                                                                                                                                                                                                                            et industriels, e-Xpert Solutions propose à sa clientèle des solu-
                                                                                                                                                                                                                            tions «clés en main» dans le domaine de la sécurité informatique
                               l’entreprise? Un article de e-Xpert Solutions.                                                                   tabilité (pas d’installation de      protocoles (TCP, UDP et                des réseaux et des applications. Des solutions qui vont de la sé-
                                                                                                                                                code mobile).                        ICMP). Ce mode de fonction-            curité d’architecture – tel le firewall, VPN (SSL, IPSEC), le contrôle
                                                                                                                                                Webify . L’idée est de transfor-     nement est alors très proche           de contenu, l’antivirus, filtrage d’URL, code mobile – aux solu-
                                                                    bien par les collaborateurs inter-   dans d’autres contextes comme,         mer un certain nombre de             d’une solution VPN utilisant la        tions plus avant-gardistes comme la prévention des intrusions
                                                                    nes que les partenaires, les         par exemple, pour sécuriser une        protocoles connus (messagerie,       technologie IPSEC. Dans ce             (approche comportementale), les firewalls applicatifs HTTP, l’au-
                                                                    clients, etc. Quant aux méthodes     communication de type «ldap»           transfert de fichiers, Netbios,      mode de travail, il est fortement      thentification forte, la biométrie, les architectures PKI ou encore
                                                                    d’accès, elles vont du portable      ou pour «tunneliser» d’autres          etc.) en code HTML pour que          recommandé d’utiliser un fire-         la sécurisation des OS Unix et Microsoft et des postes clients (fi-
                                                                                                                                                                                                                            rewall personnel).
                                                                    d’entreprise, du PC personnel,       protocoles. On parle alors de          le navigateur puisse l’interpré-     wall personnel.
                                                                    du Kiosk Internet, aux PDA, etc.     protocole «over SSL».                  ter. Cette méthode présente
                                                                       Cette diversité de moyens                                                malheureusement des limita-             IPSEC client :                     induit bien souvent des problè-       pour accéder de manière sécuri-
                                                                    d’accès, de type de population          Technologie VPN SSL                 tions en termes d’applications          les points forts                   mes techniques d’interopérabi-        sée aux ressources internes clas-
                                                                    et d’applications fait qu’aujour-    Dans le cadre de la technologie        supportées.                          La technologie IPSEC est in-          lité. Pour une grande entreprise,     siques de l’entreprise. Cette so-
                                                                    d’hui il n’est pas simple de         VPN SSL, l’idée est d’utiliser ce      Helper Software. C’est l’idée        contestablement une très bonne        ce déploiement peut vite deve-        lution est en effet en mesure
                                                                    choisir la bonne technologie         protocole pour sécuriser les ac-       la plus utilisée. Il s’agit d’un     solution en termes de sécurité.       nir un calvaire! Du fait de la né-    d’offrir une grande facilité de
                                                                    VPN d’accès distant sécurisé.        cès distants vers l’entreprise.        code mobile chargé la première       Elle offre au même titre que          cessité d’un client VPN, il n’est     déploiement au sein de l’entre-
                                                                       Depuis quelques mois, on en-      Dans ce sens, il s’agit souvent        fois sur le poste nomade. Ce         SSL la confidentialité, l’inté-       pas possible d’accéder aux res-       prise et surtout de faciliter la
                                                                    tend beaucoup parler de VPN          d’une solution de type «ap-            code peut être du Java ou un ac-     grité et l’authentification en uti-   sources de son entreprise depuis      gestion des postes nomades.
                                                                    SSL comme étant la solution de       pliance» que l’on connecte di-         tiveX. Cette solution permet         lisant aussi les mécanismes de        un Kiosk Internet.                       Toutefois, IPSEC n’est de
                                                                    remplacement de la technologie       rectement sur une zone publique        alors virtuellement de déporter      cryptographie moderne.                   Un autre point faible est le ni-   loin pas à négliger, surtout
                                                                    IPSEC pour les accès distants.       de son firewall d’entreprise           tout type d’applications internes       Cependant, IPSEC est supé-         veau de complexité technique          dans des environnements de-
                                                                    Mais avant de voir les avantages     (DMZ). Cette «appliance» sert          via des technologies similaires à    rieure à SSL en termes de sé-         engendré par un déploiement de        mandant un haut niveau de sé-
                                                                    et les inconvénients, voyons le      alors de terminaison SSL au na-        Citrix ou Terminal Server de         curité. IPSEC est capable de          clients IPSEC. Cette complexité       curité et pour des ressources
                                                                    principe de base d’un VPN uti-       vigateur du poste nomade qui,          Microsoft. L’inconvénient est        changer régulièrement la clé de       est due principalement à des          internes particulières. Je pense
                                                                    lisant la technologie SSL.           au préalable, est authentifié. La      qu’elle demande un peu plus de       session symétrique lors de la         problématiques de routages IP         notamment à des accès de ges-
                                                                                                         plupart des solutions construc-        puissance côté poste nomade et       même session alors que SSL            qui nécessitent bien souvent la       tions systèmes et réseaux (ad-
                                                                       Le protocole SSL                  teurs sont capables de supporter       dans certains cas les droits ad-     garde la même. IPSEC sup-             mise en œuvre d’une solution de       ministrateurs).                l
                                                                    SSL est un protocole qui a été       les mécanismes d’authentifica-         ministrateurs.                       porte l’algorithme AES pour le        translation d’adresses (NAT), la
                                                                    développé par Netscape en            tion forte* tels que RSA Secur-        Tunneling. La dernière solution      chiffrement des données alors         problématique de la translation             Sylvain Maret, directeur
                                                                    1994 (Version 1.0). Le but de ce     ID, certificats numériques (To-        est basée sur l’encapsulation de     que la majorité des applica-          d’adresses au niveau du provi-                                 veille
                                                                    protocole était d’offrir des ser-    ken USB, smartcard, «soft certi-       protocole dans SSL. Il existe là     tions SSL ne l’ont pas encore         der internet qui nécessite aussi la                  technologique
                                                                    vices de sécurité point à point      ficate»), et le protocole radius.      aussi plusieurs approches :          implémenté. De même qu’il est         mise en place d’un mécanisme                   e-Xpert Solutions SA
                                                                    pour leur navigateur. SSL est           Une fois authentifié, l’utilisa-    • Le tunnel classique SSL : cette    «facile» d’effectuer une at-          appelé «NAT Traversal».
                                                                    capable de garantir la confiden-     teur peut accéder à ses applica-       solution consiste à ouvrir une       taque de type «Men in the                                                   *Note : pour offrir des accès
                                                                    tialité, l’authentification et le    tions classiques dans son navi-        session SSL entre le client et son   Middle» sur SSL, il est difficile       Conclusion                          distants sécurisés, il est
                                                                    contrôle d’intégrité des don-        gateur internet.                       serveur (Appliance SSL). Une         de la réaliser avec IPSEC.            A la vue des principaux points        fortement recommandé de
                                                                    nées en utilisant des mécanis-                                              fois celle-ci ouverte, l’applica-                                          faibles de la technologie IPSEC       mettre en œuvre un mécanisme
                                                                    mes classiques de cryptogra-            Mais comment cela                   tion cliente se connecte alors sur      IPSEC client : les                 pour les accès distants, je pense     d’authentification forte, par



                               D
Mobilité Les entreprises et            e plus en plus d’entrepri-   phie (encryptions symétrique,           fonctionne-t-il?                    son adresse IP de type «local-          principaux points faibles?         que la technologie SSL est une        exemple quelque chose que
leurs employés étant de plus           ses offrent déjà, où veu-    asymétrique et fonction de «ha-      Suivant les constructeurs, il          host» (127.0.0.1) puis entre dans    Le principal point faible d’un        bonne solution pour offrir aux        l’on possède et quelque chose
en plus mobiles, la                    lent offrir, un système      chage»). SSL est essentielle-        existe plusieurs approches : Re-       le tunnel pour en ressortir du       client IPSEC est son déploie-         utilisateurs un système simple        que l’on connaît.
technologie doit suivre…       d’accès distants sécurisé à leurs    ment basé sur la technologie         verse Proxy, Transformation            côté de «l’appliance». Alors ce-     ment sur les postes nomades.
                               ressources informatiques inter-      PKI, notamment pour l’authen-        HTTP vers l’applicatif Webify,         lui-ci relaie cette connexion vers   Pour chaque poste, il est néces-
                               nes. Ces accès vont du système       tification du serveur par l’inter-   Helper Software, Tunneling:            l’applicatif final. Cette méthode    saire d’installer un logiciel
                               de messagerie interne, à l’intra-    médiaire d’un certificat numé-       Reverse Proxy.                         présente toutefois une limita-       VPN. Ce logiciel est très intru-
                               net, aux serveurs de fichiers, aux   rique. Aujourd’hui, SSL est          Il s’agit de la méthode la plus        tion : elle ne peut qu’encapsuler    sif sur la machine car il travaille
                               applications métiers (ERP,           principalement utilisé par les       simple mais elle fonctionne            des protocoles de type TCP.          à un niveau très bas dans la cou-
                               CRM, SCM), etc. Ces nou-             navigateurs internet (http://...)    uniquement avec un applicatif          • PPP over SSL : cette solution      che ISO (niveau 2 et 3) et ceci
                               veaux services sont utilisés aussi   mais il est possible de l’utiliser   final «web enabled». L’idée est

42                                                                                                                                  l   11/03   11/03   l                                                                                                                                       43

Contenu connexe

En vedette

Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeTelecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Savoir-faire Linux
 
Offre Sécurité Linagora
Offre Sécurité LinagoraOffre Sécurité Linagora
Offre Sécurité Linagora
LINAGORA
 
Renaissance Pki Maret
Renaissance Pki MaretRenaissance Pki Maret
Renaissance Pki Maret
Sylvain Maret
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefs
fabricemeillon
 
La signature numérique
La signature numériqueLa signature numérique
La signature numérique
Bruno Bonfils
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LINAGORA
 
Virtualisation
VirtualisationVirtualisation
Virtualisation
Majid CHADAD
 
PKI and Applications
PKI and ApplicationsPKI and Applications
PKI and Applications
Svetlin Nakov
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source
LINAGORA
 
Pki
PkiPki
Romain laborde protection du système d'information sécurisation des flux des ...
Romain laborde protection du système d'information sécurisation des flux des ...Romain laborde protection du système d'information sécurisation des flux des ...
Romain laborde protection du système d'information sécurisation des flux des ...
geowine
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
Alphorm
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Cours si1
Cours si1Cours si1
Cours si1
Hafsa Elfassi
 

En vedette (20)

Presentation
PresentationPresentation
Presentation
 
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur AjouteeTelecommunications Infrastructures Open Source Haute Valeur Ajoutee
Telecommunications Infrastructures Open Source Haute Valeur Ajoutee
 
Vpn
VpnVpn
Vpn
 
Offre Sécurité Linagora
Offre Sécurité LinagoraOffre Sécurité Linagora
Offre Sécurité Linagora
 
Renaissance Pki Maret
Renaissance Pki MaretRenaissance Pki Maret
Renaissance Pki Maret
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefs
 
Splunk
SplunkSplunk
Splunk
 
La signature numérique
La signature numériqueLa signature numérique
La signature numérique
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
 
Virtualisation
VirtualisationVirtualisation
Virtualisation
 
PKI and Applications
PKI and ApplicationsPKI and Applications
PKI and Applications
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source
 
Pki
PkiPki
Pki
 
Romain laborde protection du système d'information sécurisation des flux des ...
Romain laborde protection du système d'information sécurisation des flux des ...Romain laborde protection du système d'information sécurisation des flux des ...
Romain laborde protection du système d'information sécurisation des flux des ...
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 
Cours si1
Cours si1Cours si1
Cours si1
 
Cryptographie
CryptographieCryptographie
Cryptographie
 

Similaire à Quelle technologie pour les accès distants sécurisés ?

Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
Sylvain Maret
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clients
Sylvain Maret
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Emeric Kamleu Noumi
 
Full Plaquette Groupe Psi
Full Plaquette Groupe PsiFull Plaquette Groupe Psi
Full Plaquette Groupe Psi
Groupe PSI Adequa-si
 
Etude Cas Skyguide RSA mobile
Etude Cas Skyguide RSA mobileEtude Cas Skyguide RSA mobile
Etude Cas Skyguide RSA mobile
Sylvain Maret
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
FredericPaumier
 
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Matooma
 
Plaquette de présentation DFM
Plaquette de présentation DFMPlaquette de présentation DFM
Plaquette de présentation DFM
Mikael Guenni
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Sylvain Maret
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
Mahdi Ben Othmen
 
Competitic choisissez la solution d'hébergement - numerique en entreprise
Competitic   choisissez la solution d'hébergement - numerique en entrepriseCompetitic   choisissez la solution d'hébergement - numerique en entreprise
Competitic choisissez la solution d'hébergement - numerique en entreprise
COMPETITIC
 
Présentation: les pares-feux nouvelles génération
Présentation: les pares-feux nouvelles générationPrésentation: les pares-feux nouvelles génération
Présentation: les pares-feux nouvelles génération
OussemaJedidi
 
iGOvirtual Fr
iGOvirtual FriGOvirtual Fr
iGOvirtual Fr
guybelliveau
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
DotRiver
 
PréSentation Telnowedge 2011
PréSentation Telnowedge 2011PréSentation Telnowedge 2011
PréSentation Telnowedge 2011
guibertbruno
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
Medinsoft
 

Similaire à Quelle technologie pour les accès distants sécurisés ? (20)

Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clients
 
Vpn
VpnVpn
Vpn
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
 
Full Plaquette Groupe Psi
Full Plaquette Groupe PsiFull Plaquette Groupe Psi
Full Plaquette Groupe Psi
 
Etude Cas Skyguide RSA mobile
Etude Cas Skyguide RSA mobileEtude Cas Skyguide RSA mobile
Etude Cas Skyguide RSA mobile
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
Comment bien maîtriser la connectivité IoT/M2M de vos objets connectés ?
 
Plaquette de présentation DFM
Plaquette de présentation DFMPlaquette de présentation DFM
Plaquette de présentation DFM
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Competitic choisissez la solution d'hébergement - numerique en entreprise
Competitic   choisissez la solution d'hébergement - numerique en entrepriseCompetitic   choisissez la solution d'hébergement - numerique en entreprise
Competitic choisissez la solution d'hébergement - numerique en entreprise
 
Unipass
Unipass Unipass
Unipass
 
Présentation: les pares-feux nouvelles génération
Présentation: les pares-feux nouvelles générationPrésentation: les pares-feux nouvelles génération
Présentation: les pares-feux nouvelles génération
 
iGOvirtual Fr
iGOvirtual FriGOvirtual Fr
iGOvirtual Fr
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
 
23508212 vpn
23508212 vpn23508212 vpn
23508212 vpn
 
PréSentation Telnowedge 2011
PréSentation Telnowedge 2011PréSentation Telnowedge 2011
PréSentation Telnowedge 2011
 
Ce qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud ComputingCe qu'il faut savoir sur le Cloud Computing
Ce qu'il faut savoir sur le Cloud Computing
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
Sylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
Sylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
Sylvain Maret
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
Sylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
Sylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
Sylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
Sylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
Sylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Sylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Sylvain Maret
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
Sylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Quelle technologie pour les accès distants sécurisés ?

  • 1. l C O M M U N I C AT I O N l C O M M U N I C AT I O N Sécurité Quelle technologie pour les accès distants sécurisés? SOLUTIONS. S’il est incontesté que VPN IPSEC est un bon de simplement relayer les re- est beaucoup plus intéressante quêtes HTTP vers l’application que le tunnel classique. En utili- e-Xpert Solutions SA choix pour la sécurisation des connexions de type site à site, que l’on désire atteindre. Cette sant un lien de type PPP dans un Au bénéfice d’une longue expérience dans les secteurs financiers méthode est très efficace en ter- tunnel SSL, il est alors possible qu’en est-il des connexions de type clients vers le réseau de mes de performance et de por- de transporter tout type de et industriels, e-Xpert Solutions propose à sa clientèle des solu- tions «clés en main» dans le domaine de la sécurité informatique l’entreprise? Un article de e-Xpert Solutions. tabilité (pas d’installation de protocoles (TCP, UDP et des réseaux et des applications. Des solutions qui vont de la sé- code mobile). ICMP). Ce mode de fonction- curité d’architecture – tel le firewall, VPN (SSL, IPSEC), le contrôle Webify . L’idée est de transfor- nement est alors très proche de contenu, l’antivirus, filtrage d’URL, code mobile – aux solu- bien par les collaborateurs inter- dans d’autres contextes comme, mer un certain nombre de d’une solution VPN utilisant la tions plus avant-gardistes comme la prévention des intrusions nes que les partenaires, les par exemple, pour sécuriser une protocoles connus (messagerie, technologie IPSEC. Dans ce (approche comportementale), les firewalls applicatifs HTTP, l’au- clients, etc. Quant aux méthodes communication de type «ldap» transfert de fichiers, Netbios, mode de travail, il est fortement thentification forte, la biométrie, les architectures PKI ou encore d’accès, elles vont du portable ou pour «tunneliser» d’autres etc.) en code HTML pour que recommandé d’utiliser un fire- la sécurisation des OS Unix et Microsoft et des postes clients (fi- rewall personnel). d’entreprise, du PC personnel, protocoles. On parle alors de le navigateur puisse l’interpré- wall personnel. du Kiosk Internet, aux PDA, etc. protocole «over SSL». ter. Cette méthode présente Cette diversité de moyens malheureusement des limita- IPSEC client : induit bien souvent des problè- pour accéder de manière sécuri- d’accès, de type de population Technologie VPN SSL tions en termes d’applications les points forts mes techniques d’interopérabi- sée aux ressources internes clas- et d’applications fait qu’aujour- Dans le cadre de la technologie supportées. La technologie IPSEC est in- lité. Pour une grande entreprise, siques de l’entreprise. Cette so- d’hui il n’est pas simple de VPN SSL, l’idée est d’utiliser ce Helper Software. C’est l’idée contestablement une très bonne ce déploiement peut vite deve- lution est en effet en mesure choisir la bonne technologie protocole pour sécuriser les ac- la plus utilisée. Il s’agit d’un solution en termes de sécurité. nir un calvaire! Du fait de la né- d’offrir une grande facilité de VPN d’accès distant sécurisé. cès distants vers l’entreprise. code mobile chargé la première Elle offre au même titre que cessité d’un client VPN, il n’est déploiement au sein de l’entre- Depuis quelques mois, on en- Dans ce sens, il s’agit souvent fois sur le poste nomade. Ce SSL la confidentialité, l’inté- pas possible d’accéder aux res- prise et surtout de faciliter la tend beaucoup parler de VPN d’une solution de type «ap- code peut être du Java ou un ac- grité et l’authentification en uti- sources de son entreprise depuis gestion des postes nomades. SSL comme étant la solution de pliance» que l’on connecte di- tiveX. Cette solution permet lisant aussi les mécanismes de un Kiosk Internet. Toutefois, IPSEC n’est de remplacement de la technologie rectement sur une zone publique alors virtuellement de déporter cryptographie moderne. Un autre point faible est le ni- loin pas à négliger, surtout IPSEC pour les accès distants. de son firewall d’entreprise tout type d’applications internes Cependant, IPSEC est supé- veau de complexité technique dans des environnements de- Mais avant de voir les avantages (DMZ). Cette «appliance» sert via des technologies similaires à rieure à SSL en termes de sé- engendré par un déploiement de mandant un haut niveau de sé- et les inconvénients, voyons le alors de terminaison SSL au na- Citrix ou Terminal Server de curité. IPSEC est capable de clients IPSEC. Cette complexité curité et pour des ressources principe de base d’un VPN uti- vigateur du poste nomade qui, Microsoft. L’inconvénient est changer régulièrement la clé de est due principalement à des internes particulières. Je pense lisant la technologie SSL. au préalable, est authentifié. La qu’elle demande un peu plus de session symétrique lors de la problématiques de routages IP notamment à des accès de ges- plupart des solutions construc- puissance côté poste nomade et même session alors que SSL qui nécessitent bien souvent la tions systèmes et réseaux (ad- Le protocole SSL teurs sont capables de supporter dans certains cas les droits ad- garde la même. IPSEC sup- mise en œuvre d’une solution de ministrateurs). l SSL est un protocole qui a été les mécanismes d’authentifica- ministrateurs. porte l’algorithme AES pour le translation d’adresses (NAT), la développé par Netscape en tion forte* tels que RSA Secur- Tunneling. La dernière solution chiffrement des données alors problématique de la translation Sylvain Maret, directeur 1994 (Version 1.0). Le but de ce ID, certificats numériques (To- est basée sur l’encapsulation de que la majorité des applica- d’adresses au niveau du provi- veille protocole était d’offrir des ser- ken USB, smartcard, «soft certi- protocole dans SSL. Il existe là tions SSL ne l’ont pas encore der internet qui nécessite aussi la technologique vices de sécurité point à point ficate»), et le protocole radius. aussi plusieurs approches : implémenté. De même qu’il est mise en place d’un mécanisme e-Xpert Solutions SA pour leur navigateur. SSL est Une fois authentifié, l’utilisa- • Le tunnel classique SSL : cette «facile» d’effectuer une at- appelé «NAT Traversal». capable de garantir la confiden- teur peut accéder à ses applica- solution consiste à ouvrir une taque de type «Men in the *Note : pour offrir des accès tialité, l’authentification et le tions classiques dans son navi- session SSL entre le client et son Middle» sur SSL, il est difficile Conclusion distants sécurisés, il est contrôle d’intégrité des don- gateur internet. serveur (Appliance SSL). Une de la réaliser avec IPSEC. A la vue des principaux points fortement recommandé de nées en utilisant des mécanis- fois celle-ci ouverte, l’applica- faibles de la technologie IPSEC mettre en œuvre un mécanisme mes classiques de cryptogra- Mais comment cela tion cliente se connecte alors sur IPSEC client : les pour les accès distants, je pense d’authentification forte, par D Mobilité Les entreprises et e plus en plus d’entrepri- phie (encryptions symétrique, fonctionne-t-il? son adresse IP de type «local- principaux points faibles? que la technologie SSL est une exemple quelque chose que leurs employés étant de plus ses offrent déjà, où veu- asymétrique et fonction de «ha- Suivant les constructeurs, il host» (127.0.0.1) puis entre dans Le principal point faible d’un bonne solution pour offrir aux l’on possède et quelque chose en plus mobiles, la lent offrir, un système chage»). SSL est essentielle- existe plusieurs approches : Re- le tunnel pour en ressortir du client IPSEC est son déploie- utilisateurs un système simple que l’on connaît. technologie doit suivre… d’accès distants sécurisé à leurs ment basé sur la technologie verse Proxy, Transformation côté de «l’appliance». Alors ce- ment sur les postes nomades. ressources informatiques inter- PKI, notamment pour l’authen- HTTP vers l’applicatif Webify, lui-ci relaie cette connexion vers Pour chaque poste, il est néces- nes. Ces accès vont du système tification du serveur par l’inter- Helper Software, Tunneling: l’applicatif final. Cette méthode saire d’installer un logiciel de messagerie interne, à l’intra- médiaire d’un certificat numé- Reverse Proxy. présente toutefois une limita- VPN. Ce logiciel est très intru- net, aux serveurs de fichiers, aux rique. Aujourd’hui, SSL est Il s’agit de la méthode la plus tion : elle ne peut qu’encapsuler sif sur la machine car il travaille applications métiers (ERP, principalement utilisé par les simple mais elle fonctionne des protocoles de type TCP. à un niveau très bas dans la cou- CRM, SCM), etc. Ces nou- navigateurs internet (http://...) uniquement avec un applicatif • PPP over SSL : cette solution che ISO (niveau 2 et 3) et ceci veaux services sont utilisés aussi mais il est possible de l’utiliser final «web enabled». L’idée est 42 l 11/03 11/03 l 43