Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
l   C O M M U N I C AT I O N                                                                                              ...
Prochain SlideShare
Chargement dans…5
×

Quelle technologie pour les accès distants sécurisés ?

1 330 vues

Publié le

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Quelle technologie pour les accès distants sécurisés ?

  1. 1. l C O M M U N I C AT I O N l C O M M U N I C AT I O N Sécurité Quelle technologie pour les accès distants sécurisés? SOLUTIONS. S’il est incontesté que VPN IPSEC est un bon de simplement relayer les re- est beaucoup plus intéressante quêtes HTTP vers l’application que le tunnel classique. En utili- e-Xpert Solutions SA choix pour la sécurisation des connexions de type site à site, que l’on désire atteindre. Cette sant un lien de type PPP dans un Au bénéfice d’une longue expérience dans les secteurs financiers méthode est très efficace en ter- tunnel SSL, il est alors possible qu’en est-il des connexions de type clients vers le réseau de mes de performance et de por- de transporter tout type de et industriels, e-Xpert Solutions propose à sa clientèle des solu- tions «clés en main» dans le domaine de la sécurité informatique l’entreprise? Un article de e-Xpert Solutions. tabilité (pas d’installation de protocoles (TCP, UDP et des réseaux et des applications. Des solutions qui vont de la sé- code mobile). ICMP). Ce mode de fonction- curité d’architecture – tel le firewall, VPN (SSL, IPSEC), le contrôle Webify . L’idée est de transfor- nement est alors très proche de contenu, l’antivirus, filtrage d’URL, code mobile – aux solu- bien par les collaborateurs inter- dans d’autres contextes comme, mer un certain nombre de d’une solution VPN utilisant la tions plus avant-gardistes comme la prévention des intrusions nes que les partenaires, les par exemple, pour sécuriser une protocoles connus (messagerie, technologie IPSEC. Dans ce (approche comportementale), les firewalls applicatifs HTTP, l’au- clients, etc. Quant aux méthodes communication de type «ldap» transfert de fichiers, Netbios, mode de travail, il est fortement thentification forte, la biométrie, les architectures PKI ou encore d’accès, elles vont du portable ou pour «tunneliser» d’autres etc.) en code HTML pour que recommandé d’utiliser un fire- la sécurisation des OS Unix et Microsoft et des postes clients (fi- rewall personnel). d’entreprise, du PC personnel, protocoles. On parle alors de le navigateur puisse l’interpré- wall personnel. du Kiosk Internet, aux PDA, etc. protocole «over SSL». ter. Cette méthode présente Cette diversité de moyens malheureusement des limita- IPSEC client : induit bien souvent des problè- pour accéder de manière sécuri- d’accès, de type de population Technologie VPN SSL tions en termes d’applications les points forts mes techniques d’interopérabi- sée aux ressources internes clas- et d’applications fait qu’aujour- Dans le cadre de la technologie supportées. La technologie IPSEC est in- lité. Pour une grande entreprise, siques de l’entreprise. Cette so- d’hui il n’est pas simple de VPN SSL, l’idée est d’utiliser ce Helper Software. C’est l’idée contestablement une très bonne ce déploiement peut vite deve- lution est en effet en mesure choisir la bonne technologie protocole pour sécuriser les ac- la plus utilisée. Il s’agit d’un solution en termes de sécurité. nir un calvaire! Du fait de la né- d’offrir une grande facilité de VPN d’accès distant sécurisé. cès distants vers l’entreprise. code mobile chargé la première Elle offre au même titre que cessité d’un client VPN, il n’est déploiement au sein de l’entre- Depuis quelques mois, on en- Dans ce sens, il s’agit souvent fois sur le poste nomade. Ce SSL la confidentialité, l’inté- pas possible d’accéder aux res- prise et surtout de faciliter la tend beaucoup parler de VPN d’une solution de type «ap- code peut être du Java ou un ac- grité et l’authentification en uti- sources de son entreprise depuis gestion des postes nomades. SSL comme étant la solution de pliance» que l’on connecte di- tiveX. Cette solution permet lisant aussi les mécanismes de un Kiosk Internet. Toutefois, IPSEC n’est de remplacement de la technologie rectement sur une zone publique alors virtuellement de déporter cryptographie moderne. Un autre point faible est le ni- loin pas à négliger, surtout IPSEC pour les accès distants. de son firewall d’entreprise tout type d’applications internes Cependant, IPSEC est supé- veau de complexité technique dans des environnements de- Mais avant de voir les avantages (DMZ). Cette «appliance» sert via des technologies similaires à rieure à SSL en termes de sé- engendré par un déploiement de mandant un haut niveau de sé- et les inconvénients, voyons le alors de terminaison SSL au na- Citrix ou Terminal Server de curité. IPSEC est capable de clients IPSEC. Cette complexité curité et pour des ressources principe de base d’un VPN uti- vigateur du poste nomade qui, Microsoft. L’inconvénient est changer régulièrement la clé de est due principalement à des internes particulières. Je pense lisant la technologie SSL. au préalable, est authentifié. La qu’elle demande un peu plus de session symétrique lors de la problématiques de routages IP notamment à des accès de ges- plupart des solutions construc- puissance côté poste nomade et même session alors que SSL qui nécessitent bien souvent la tions systèmes et réseaux (ad- Le protocole SSL teurs sont capables de supporter dans certains cas les droits ad- garde la même. IPSEC sup- mise en œuvre d’une solution de ministrateurs). l SSL est un protocole qui a été les mécanismes d’authentifica- ministrateurs. porte l’algorithme AES pour le translation d’adresses (NAT), la développé par Netscape en tion forte* tels que RSA Secur- Tunneling. La dernière solution chiffrement des données alors problématique de la translation Sylvain Maret, directeur 1994 (Version 1.0). Le but de ce ID, certificats numériques (To- est basée sur l’encapsulation de que la majorité des applica- d’adresses au niveau du provi- veille protocole était d’offrir des ser- ken USB, smartcard, «soft certi- protocole dans SSL. Il existe là tions SSL ne l’ont pas encore der internet qui nécessite aussi la technologique vices de sécurité point à point ficate»), et le protocole radius. aussi plusieurs approches : implémenté. De même qu’il est mise en place d’un mécanisme e-Xpert Solutions SA pour leur navigateur. SSL est Une fois authentifié, l’utilisa- • Le tunnel classique SSL : cette «facile» d’effectuer une at- appelé «NAT Traversal». capable de garantir la confiden- teur peut accéder à ses applica- solution consiste à ouvrir une taque de type «Men in the *Note : pour offrir des accès tialité, l’authentification et le tions classiques dans son navi- session SSL entre le client et son Middle» sur SSL, il est difficile Conclusion distants sécurisés, il est contrôle d’intégrité des don- gateur internet. serveur (Appliance SSL). Une de la réaliser avec IPSEC. A la vue des principaux points fortement recommandé de nées en utilisant des mécanis- fois celle-ci ouverte, l’applica- faibles de la technologie IPSEC mettre en œuvre un mécanisme mes classiques de cryptogra- Mais comment cela tion cliente se connecte alors sur IPSEC client : les pour les accès distants, je pense d’authentification forte, par D Mobilité Les entreprises et e plus en plus d’entrepri- phie (encryptions symétrique, fonctionne-t-il? son adresse IP de type «local- principaux points faibles? que la technologie SSL est une exemple quelque chose que leurs employés étant de plus ses offrent déjà, où veu- asymétrique et fonction de «ha- Suivant les constructeurs, il host» (127.0.0.1) puis entre dans Le principal point faible d’un bonne solution pour offrir aux l’on possède et quelque chose en plus mobiles, la lent offrir, un système chage»). SSL est essentielle- existe plusieurs approches : Re- le tunnel pour en ressortir du client IPSEC est son déploie- utilisateurs un système simple que l’on connaît. technologie doit suivre… d’accès distants sécurisé à leurs ment basé sur la technologie verse Proxy, Transformation côté de «l’appliance». Alors ce- ment sur les postes nomades. ressources informatiques inter- PKI, notamment pour l’authen- HTTP vers l’applicatif Webify, lui-ci relaie cette connexion vers Pour chaque poste, il est néces- nes. Ces accès vont du système tification du serveur par l’inter- Helper Software, Tunneling: l’applicatif final. Cette méthode saire d’installer un logiciel de messagerie interne, à l’intra- médiaire d’un certificat numé- Reverse Proxy. présente toutefois une limita- VPN. Ce logiciel est très intru- net, aux serveurs de fichiers, aux rique. Aujourd’hui, SSL est Il s’agit de la méthode la plus tion : elle ne peut qu’encapsuler sif sur la machine car il travaille applications métiers (ERP, principalement utilisé par les simple mais elle fonctionne des protocoles de type TCP. à un niveau très bas dans la cou- CRM, SCM), etc. Ces nou- navigateurs internet (http://...) uniquement avec un applicatif • PPP over SSL : cette solution che ISO (niveau 2 et 3) et ceci veaux services sont utilisés aussi mais il est possible de l’utiliser final «web enabled». L’idée est 42 l 11/03 11/03 l 43

×