article ssl ipsec

de simplement relayer les re-quêtes HTTP vers l’applicationque l’on désire atteindre. Cetteméthode est très efficace en ter-mes de performance et de por-tabilité (pas d’installation decode mobile).We b i fy . L’idée est de transfor-mer un certain nombre deprotocoles connus (messagerie,transfert de fichiers, Netbios,etc.) en code HTML pour quele navigateur puisse l’interpré-t e r. Cette méthode présentemalheureusement des limita-tions en termes d’applicationss u p p o r t é e s .Helper Software. C’est l’idéela plus utilisée. Il s’agit d’uncode mobile chargé la premièrefois sur le poste nomade. Cecode peut être du Java ou un ac-tiveX. Cette solution permetalors virtuellement de déportertout type d’applications internesvia des technologies similaires àCitrix ou Terminal Server deMicrosoft. L’inconvénient estqu’elle demande un peu plus depuissance côté poste nomade etdans certains cas les droits ad-m i n i s t r a t e u r s .Tunneling. La dernière solutionest basée sur l’encapsulation deprotocole dans SSL. Il existe làaussi plusieurs approches :• Le tunnel classique SSL: cettesolution consiste à ouvrir unesession SSLentre le client et sonserveur (Appliance SSL). Unefois celle-ci ouverte, l’applica-tion cliente se connecte alors surson adresse IP de type «local-host» (127.0.0.1) puis entre dansle tunnel pour en ressortir ducôté de «l’appliance». Alors ce-lui-ci relaie cette connexion versl’applicatif final. Cette méthodeprésente toutefois une limita-t i o n : elle ne peut qu’encapsulerdes protocoles de type T C P.• PPP over SSL : cette solution

est beaucoup plus intéressanteque le tunnel classique. En utili-sant un lien de type PPP dans untunnel SSL, il est alors possiblede transporter tout type deprotocoles (TCP, UDP e tICMP). Ce mode de fonction-nement est alors très proched’une solution VPN utilisant latechnologie IPSEC. Dans cemode de travail, il est fortementrecommandé d’utiliser un fire-wall personnel.

IPSEC client :les points fort s

La technologie IPSEC est in-contestablement une très bonnesolution en termes de sécurité.Elle offre au même titre queS S L la confidentialité, l’inté-grité et l’authentification en uti-lisant aussi les mécanismes decryptographie moderne.

Cependant, IPSEC est supé-rieure à SSL en termes de sé-curité. IPSEC est capable dechanger régulièrement la clé desession symétrique lors de lamême session alors que SSLgarde la même. IPSEC sup-porte l’algorithme AES pour lec h i ffrement des données alorsque la majorité des applica-tions SSL ne l’ont pas encoreimplémenté. De même qu’il est«facile» d’effectuer une at-taque de type «Men in theMiddle» sur SSL, il est diff i c i l ede la réaliser avec IPSEC.

IPSEC client : lesp rincipaux points faibles?

Le principal point faible d’unclient IPSEC est son déploie-ment sur les postes nomades.Pour chaque poste, il est néces-saire d’installer un logicielVPN. Ce logiciel est très intru-sif sur la machine car il travailleà un niveau très bas dans la cou-che ISO (niveau 2 et 3) et ceci

induit bien souvent des problè-mes techniques d’interopérabi-lité. Pour une grande entreprise,ce déploiement peut vite deve-nir un calvaire! Du fait de la né-cessité d’un client VPN, il n’estpas possible d’accéder aux res-sources de son entreprise depuisun Kiosk Internet.

Un autre point faible est le ni-veau de complexité techniqueengendré par un déploiement declients IPSEC. Cette complexitéest due principalement à desproblématiques de routages IPqui nécessitent bien souvent lamise en œuvre d’une solution detranslation d’adresses (NAT), laproblématique de la translationd’adresses au niveau du provi-der internet qui nécessite aussi lamise en place d’un mécanismeappelé «NAT Tr a v e r s a l » .

C o n c l u s i o nA la vue des principaux pointsfaibles de la technologie IPSECpour les accès distants, je penseque la technologie SSL est unebonne solution pour offrir auxutilisateurs un système simple

pour accéder de manière sécuri-sée aux ressources internes clas-siques de l’entreprise. Cette so-lution est en effet en mesured ’ o ffrir une grande facilité dedéploiement au sein de l’entre-prise et surtout de faciliter lagestion des postes nomades.

Toutefois, IPSEC n’est deloin pas à négliger, surtoutdans des environnements de-mandant un haut niveau de sé-curité et pour des ressourcesinternes particulières. Je pensenotamment à des accès de ges-tions systèmes et réseaux (ad-m i n i s t r a t e u r s ) . l

Sy l vain Ma ret, dire c t e u rveille

t e c h n o l o g i q u ee - X p e rt Solutions SA

* N o t e : pour offrir des accès

distants sécurisés, il est

fortement recommandé de

mettre en œuvre un mécanisme

d’authentification forte, par

exemple quelque chose que

l’on possède et quelque chose

que l’on connaît.De plus en plus d’entrepri-ses offrent déjà, où veu-lent off r i r, un système

d’accès distants sécurisé à leursressources informatiques inter-nes. Ces accès vont du systèmede messagerie interne, à l’intra-net, aux serveurs de fichiers, auxapplications métiers (ERP,CRM, SCM), etc. Ces nou-veaux services sont utilisés aussi

bien par les collaborateurs inter-nes que les partenaires, lesclients, etc. Quant aux méthodesd’accès, elles vont du portabled’entreprise, du PC personnel,du Kiosk Internet, aux PDA, etc.

Cette diversité de moyensd’accès, de type de populationet d’applications fait qu’aujour-d’hui il n’est pas simple dechoisir la bonne technologieVPN d’accès distant sécurisé.

Depuis quelques mois, on en-tend beaucoup parler de V P NS S L comme étant la solution deremplacement de la technologieIPSEC pour les accès distants.Mais avant de voir les avantageset les inconvénients, voyons leprincipe de base d’un VPN uti-lisant la technologie SSL.

Le protocole SSLS S L est un protocole qui a étédéveloppé par Netscape en1994 (Version 1.0). Le but de ceprotocole était d’offrir des ser-vices de sécurité point à pointpour leur navigateur. SSL e s tcapable de garantir la confiden-tialité, l’authentification et lecontrôle d’intégrité des don-nées en utilisant des mécanis-mes classiques de cryptogra-phie (encryptions symétrique,asymétrique et fonction de «ha-chage»). SSL est essentielle-ment basé sur la technologiePKI, notamment pour l’authen-tification du serveur par l’inter-médiaire d’un certificat numé-rique. Aujourd’hui, SSL e s tprincipalement utilisé par lesnavigateurs internet (http://...)mais il est possible de l’utiliser

dans d’autres contextes comme,par exemple, pour sécuriser unecommunication de type «ldap»ou pour «tunneliser» d’autresprotocoles. On parle alors deprotocole «over SSL».

Technologie VPN SSLDans le cadre de la technologieVPN SSL, l’idée est d’utiliser ceprotocole pour sécuriser les ac-cès distants vers l’entreprise.Dans ce sens, il s’agit souventd’une solution de type «ap-pliance» que l’on connecte di-rectement sur une zone publiquede son firewall d’entreprise(DMZ). Cette «appliance» sertalors de terminaison SSL au na-vigateur du poste nomade qui,au préalable, est authentifié. Laplupart des solutions construc-teurs sont capables de supporterles mécanismes d’authentifica-tion forte* tels que RSA S e c u r-ID, certificats numériques (To-ken USB, smartcard, «soft certi-ficate»), et le protocole radius.

Une fois authentifié, l’utilisa-teur peut accéder à ses applica-tions classiques dans son navi-gateur internet.

Mais comment celaf o n c t i o n n e - t - i l ?

Suivant les constructeurs, ilexiste plusieurs approches : Re-verse Proxy, Tr a n s f o r m a t i o nH T T P vers l’applicatif We b i f y,Helper Software, Tu n n e l i n g :Re verse Proxy. Il s’agit de la méthode la plussimple mais elle fonctionneuniquement avec un applicatiffinal «web enabled». L’idée est

4 311/03 l

l C O M M U N I C AT I O N

4 2 l 1 1 / 0 3

l C O M M U N I C AT I O N

S O LUTIONS. S’il est incontesté que VPN IPSEC est un bon

choix pour la sécurisation des connexions de type site à site,

q u’en est-il des connexions de type clients vers le réseau de

l’ e n t reprise? Un article de e-Xpert So l u t i o n s .

Quelle technologie pour les accès distants sécuri s é s ?S é c u r i t é

Mobilité Les entreprises etleurs employés étant de plusen plus mobiles, latechnologie doit suivre…

e - X p e rt Solutions SAAu bénéfice d’une longue expérience dans les secteurs financierset industriels, e-Xpert Solutions propose à sa clientèle des solu-tions «clés en main» dans le domaine de la sécurité informatiquedes réseaux et des applications. Des solutions qui vont de la sé-curité d’ a rc h i t e c t u re – tel le firewall, VPN (SSL, IPSEC), le contrôlede contenu, l’antivirus, filtrage d’URL, code mobile – aux solu-tions plus ava n t - g a rdistes comme la prévention des intrusions( a p p roche comportementale), les firewalls applicatifs HTT P, l’ a u-thentification forte, la biométrie, les arc h i t e c t u res PKI ou encorela sécurisation des OS Unix et Mi c rosoft et des postes clients (fi-rewall personnel).