Téléverser un fichier

introduction a direct access

7
26 LE MENSUEL INFORMATIQUE POUR LA GESTION ET LOPTIMISATION DES ENVIRONNEMENTS IT PROFESSIONNELS SEPTEMBRE 2010 INTRODUCTION À MICROSOFT DIRECTACCESS >> Par Olivier Detilleux Introduction Depuis quelques années, le modèle traditionnel du système d’information des entreprises évolue. De nouvelles méthodes de travail - en particulier le nomadisme, l’avènement de l’externalisation ou l’émergence des services po- sitionnés dans le « nuage » - obligent les entreprises à ouvrir de plus en plus les frontières de leurs réseaux. Ces ouvertures sont souvent perçues comme des failles de sécurité pour les ressources de la zone de confiance de l’entreprise. Pour répondre à ces nouveaux besoins en limitant les risques de vulnérabilités, le modèle classique du système d’informa- tion doit évoluer. Nous allons voir dans cet article quel- le peut être une nouvelle vision du réseau de l’entreprise, et comment Microsoft DirectAccess s’inscrit comme une solu- tion qui répond à ces problématiques. La vision traditionnelle du SI L’architecture Construit autour des serveurs d’infrastructure et d’applications, le périmètre de confiance du système d’information englobe non seulement les ressources mais aussi les utilisateurs. Afin de leur donner accès au monde extérieur qui, par définition, est non sécurisé, cette zone est protégée par des dispositifs de >> DE NOUVELLES MÉTHODES DE TRAVAIL - EN PARTICULIER LE NOMADISME, LAVÈNEMENT DE LEXTERNALISATION OU LÉMERGENCE DES SERVICES POSITIONNÉS DANS LE « NUAGE » - OBLIGENT LES ENTREPRISES À OUVRIR DE PLUS EN PLUS LES FRONTIÈRES DE LEURS RÉSEAUX Une solution pour la dépérimétrisation

Upload: prince-godasse-okitembo

Post on 11-Dec-2015

214 views

Category:

Documents


2 download

Report

DESCRIPTION

Direct Access

TRANSCRIPT

Page 1: Introduction a Direct Access

26 le mensuel informatique pour la gestion et l’optimisation des enVironnements it professionnels septembre 2010

introduCtion à miCrosoFt dirECtaCCEss

>> Par Olivier Detilleux

IntroductionDepuis quelques années, le modèle traditionnel du système d’information des entreprises évolue. De nouvelles méthodes de travail - en particulier le nomadisme, l’avènement de l’externalisation ou l’émergence des services po-sitionnés dans le « nuage » - obligent les entreprises à ouvrir de plus en plus les frontières de leurs réseaux. Ces ouvertures sont souvent perçues comme des failles de sécurité pour les ressources de la zone de confiance de l’entreprise.

Pour répondre à ces nouveaux besoins en limitant les risques de vulnérabilités, le modèle classique du système d’informa-tion doit évoluer.

Nous allons voir dans cet article quel-le peut être une nouvelle vision du réseau de l’entreprise, et comment Microsoft DirectAccess s’inscrit comme une solu-tion qui répond à ces problématiques.

La vision traditionnelle du SIL’architectureConstruit autour des serveurs d’infrastructure et d’applications, le périmètre de confiance du système d’information englobe non seulement les ressources mais aussi les utilisateurs. Afin de leur donner accès au monde extérieur qui, par définition, est non sécurisé, cette zone est protégée par des dispositifs de

>> De nouvelles méthoDes De travail - en particulier le nomaDisme, l’avènement De l’externalisation ou l’émergence Des services positionnés Dans le « nuage » - obligent les entreprises à ouvrir De plus en plus les frontières De leurs réseaux

Une solution pour la dépérimétrisation

Page 2: Introduction a Direct Access

27

filtrage et de blocage, les firewalls et les proxys. Les admi-nistrateurs réseaux veillent avec attention aux ouvertures de ports et de flux dans ces équipements.

Une zone d’échange dite « sécurisée » au niveau réseau est mise en place pour permettre aux utilisateurs noma-des d’accéder à certaines ressources de l’entreprise. Cette DMZ, isolée du réseau interne, permet de filtrer les com-munications transitant entre l’extérieur et l’intérieur.

La sécuritéEn interne, tous les moyens sont mis en place pour limi-ter les risques et assurer la sécurité des ressources : antivi-rus, mises à jour automatiques et des applications, droits sur les fichiers ou les applications, authentification de l’utilisateur via l’annuaire Active Directory, renouvelle-ment de mot de passe, utilisation d’un proxy pour le filtrage d’URL ou l’analyse des flux HTTPs. La sécurité englobe la couche réseau et la couche applicative.

Depuis l’extérieur, la sécurité est toute autre. Le passage par la DMZ, volontairement peu permissive, ne prend en général pas en compte la sécurité applicative, ne permettant souvent qu’une sécurité au niveau du réseau. Microsoft propose, dans ses solutions d’accès distant, une couche de sécurité applicative, en particulier dans la nou-

velle passerelle Forefront UAG (Unified Access Gateway). Voir figure 1.

Les méthodes d’accès depuis l’extérieurA chaque besoin est associée une solution d’accès distant. En voici quelques-unes, fondées sur les technologies Microsoft : voir tableau 1.

Toutes ces solutions sont performan-tes, et permettent un accès sécurisé tant au niveau réseau qu’au niveau applicatif pour certaines. Néanmoins, la solution RPC

over HTTP mise à part, chacune d’entre elle Une action manuelle de la part de l’utilisateur final (via une interface de connexion) pour établir la connexion.

Les limites du modèleNous avons évoqué précédemment les limites de la DMZ réseau, qui n’offre souvent qu’une protection réseau et non pas applicative. Nous avons vu aussi que Microsoft ajoute la couche manquante grâce à sa passerelle d’accès distant, Fo-refront UAG. Néanmoins, ce que le modèle ne peut assurer, c’est le suivi, le support et l’intégrité du poste nomade.

Quand le poste n’est plus dans la zone de confiance, il n’est plus possible pour l’utilisateur d’appliquer les stratégies de groupes ou encore de mettre à jour son mot de passe. Il ne bénéficie généralement plus des services fournis par son proxy. Pour l’administrateur système, il n’est plus possible de supervi-ser le poste, de prendre la main à distance, ou de le verrouiller en cas de vol. En d’autres termes, le poste est hors contrôle.

Vers un nouveau modèleUne première approchePrenons l’exemple d’un Datacenter, où des données d’entreprise sont mises à disposition d’utilisateurs distants. Les données, l’utilisateur et l’entreprise font chacun partie du domaine de confiance. Pour autant,

Figure 1 - La vision traditionnelle du réseau d’entreprise

Besoins Solutions Apports

Accès réseau à des ressources internes

VPN SSL via les services RRASAccès à des ressources situées dans la zone de confiance

Accès à un poste de travail virtuel (VDI)

Passerelle Remote Desktop L’utilisateur retrouve son environnement d’entreprise

Accès à la messagerie via le client lourd Outlook 2003 ou supérieur

RPC over https Authentification transparente, intégrée

Accès à une application client lourd ou Web

Publication via Forefront UAG Sécurité applicative possible

Tableau 1 Les méthodes de connexion au réseau d’entreprise

Page 3: Introduction a Direct Access

28 le mensuel informatique pour la gestion et l’optimisation des enVironnements it professionnels septembre 2010

dans le modèle réseau traditionnel du système d’infor-mation, l’utilisateur doit être dans le même périmè-tre physique que la ressource à laquelle il accède, sans utiliser de passerelle ou de publication. On peut donc imaginer un nouveau modèle, où l’utilisateur serait systématiquement distant, et ses ressources dans une zone de confiance autonome. Il faut donc considérer que par défaut, l’utilisateur est dans une zone non sé-curisée. Le périmètre de la zone de confiance ne doit plus être confiné derrière les firewalls de bordure de l’entreprise, mais étendue au poste de travail et au lien réseau. Voir figure 2. Les apports du nouveau modèleSi on considère que l’utilisateur est dans la confiance de l’entreprise quel que soit son emplacement, en particu-lier sur Internet, les apports de ce modèle sont consé-quents :

- Le poste reste en permanence connecté au système d’information de l’entreprise, donc manageable

- L’utilisateur a accès à l’ensemble de ses données

- Les moyens mis en œuvre pour sécuriser l’utilisateur, son poste et ses données sont appliqués

- L’utilisateur dispose des services de télédistribution et de support

- Les contraintes associées aux clients pour la connexion distan-te sont levées. La connexion est permanente et transparente.

- En allant plus loin, c’est l’im-plantation même des bureaux qui peut être revue, les zones d’hébergement, etc.

Les contraintesLa principale difficulté du modèle consiste à s’assurer que l’utilisateur distant n’est

pas un imposteur. Dans le modèle classique, l’uti-lisateur étant positionné dans les murs de l’entre-prise, son identité est validée par le fait qu’il ait le droit d’accéder au bâtiment, qu’il soit installé dans un bureau à son nom, que ses collègues puissent le reconnaître. Quand l’utilisateur n’est plus dans les locaux, il devient impossible de faire une telle reconnaissance visuelle et physique sans passer par une reconnaissance biométrique par exemple. La principale difficulté de la dépérimétrisation consis-te non seulement à donner l’accès, mais surtout à sécuriser la connexion en fonction de l’identité de l’utilisateur, notamment stockée dans l’annuaire Active Directory.

Eléments de la dépérimétrisationComme vu précédemment, la dépérimétrisation a deux enjeux majeurs :

- Etendre la connectivité réseau de bout en bout depuis n’importe où

- Valider l’identité de l’utilisateur et du poste de travail utilisé dans l’annuaire d’entreprise

Connectivité de bout en bout

Les limites d’IPv4Si nous faisons un état des lieux de l’utilisation d’IPv4, il apparaît que ce type d’adressage n’est pas adapté à notre besoin. En effet, les adresses IPv4 sont séparées en deux

Figure 2

Adressage privé (RFC1918) Adressage public

Définissent un périmètre clos, non accessible direc-tement du monde extérieur

Accessibles en direct, sans processus de translation

Plages d’adresses non uniques, car utilisées dans chaque réseau d’entreprise

Adresses uniques à travers le monde, mais leur nombre arrive à expiration

Tableau 2 Adressage IPv4

Page 4: Introduction a Direct Access

29

groupes : voir tableau 2.

Il n’est donc pas possible, en conservant un adres-sage privé dans l’entreprise, d’accéder directement à une ressource depuis l’extérieur.

La philosophie IPv6L’adressage IPv6 a été conçu pour permettre de fournir à chaque élément réseau, du serveur au routeur en passant par l’ordinateur domestique, une adresse unique et publi-que. La notion d’adressage privé n’est pas la philosophie d’IPv6. Il existe bien un adressage local, mais par défini-

tion, il est réservé pour les réseaux non connectés à Inter-net. Vous trouverez des documentations sur les « unique local addresses » et sur IPv6 d’une manière générale sur le site de Microsoft1.

Il semble donc qu’IPv6 soit notre solution pour une connectivité de bout en bout, sans intermédiaire.

Identité de l’utilisateurPar utilisateur, on entend le poste de travail et la per-sonne qui l’utilise. Il convient de vérifier cette double identité, afin de fournir l’accès aux ressources qui leurs

Poste du domaine Poste hors domaine

Windows 7 Enterprise / Ultimate DirectAccess VPN SSL

Autres OS (Windows XP, Windows 7 Home, Pro, Linux, MacOS etc…)

VPN SSL VPN SSL

Tableau 3 Conditions d’utilisation de DirectAccess / VPN SSL

Note 1 Microsoft and Ipv6 : http://technet.microsoft.com/en-us/network/bb530961.aspx

Page 5: Introduction a Direct Access

30 le mensuel informatique pour la gestion et l’optimisation des enVironnements it professionnels septembre 2010

sont dédiées et d’appliquer correctement les stratégies de sécurité qui leurs sont associées.Aujourd’hui, un grand nombre de solution de gestion des identités numériques sont à notre disposition, en particulier l’utilisation d’un certificat associé à une authentification via un annuaire Active Directory. A cette identité est associé un chiffrement, qui permet de sécuriser la communication via un réseau non maîtrisé, Internet.

Microsoft DirectAccessLe but de cet article étant de vous présenter la solution DirectAccess dans le contexte de la dépérimétrisation, je n’aborderai pas la partie configuration de la solution, et les éléments à mettre en œuvre pour son architecture et son déploiement.

GénéralitésMicrosoft DirectAccess est une nouvelle fonctionnali-té introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et

Intégrale. C’est une solution de connexion, depuis n’importe où et transparente pour l’utilisateur, à votre système d’information. Cette fonctionnalité s’appuie sur les deux principes de la dépérimétrisation : La connexion de bout en bout et la gestion de l’identité.

DirectAccess ne remplace pas les solutions existan-tes, car nécessite des conditions pour son utilisation : voir tableau 3.

La connexion de bout en bout avec DirectAccessIPv6 n’étant aujourd’hui que très peu implanté nos réseaux d’infrastructure, il parait difficile de s’appuyer sur ce protocole pour assurer cette connectivité. Néanmoins, un certain nombre de mécanismes de translation sont à notre disposition pour garantir une connexion IPv6, en utilisant les réseaux IPv4.

IPv6 d’entrepriseIl faut dans un premier temps mettre en place IPv6 au sein

Figure 3 - Stratégie de groupe pour le paramétrage des technologies de transition IPv6

DNS64 NAT64

Permet de transformer la résolution IPv4 d’un serveur DNS en une réponse IPv6. Cette fonctionnalité permet donc de résoudre des noms de serveurs ne supportant pas IPv6.

Permet la communication entre le réseau mixte IPv6 et un réseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6

Tableau 4

Emplacement Méthode de translation

Public (dispose d’une adresse IPv4 publique) 6to4

Domicile (derrière un NAT - box ADSL par exemple) Teredo

Domicile ou Client (derrière un proxy ou NAT filtrant - hors https)

IP-HTTPS

Tableau 5

Page 6: Introduction a Direct Access

31

Figure 5

Figure 4

Page 7: Introduction a Direct Access

32 le mensuel informatique pour la gestion et l’optimisation des enVironnements it professionnels septembre 2010

de votre entreprise. Depuis Windows Server 2008, les car-tes réseaux supportent nativement un adressage IPv6. Par défaut, les adresses sont du type « fe80::/10 ». Il s’agit d’une adresse « link local », équivalent du « 169.254.0.0/16 » d’IPv4. Néanmoins, elle ne permet pas la communication via les réseaux IPv4. Cette communication est assurée via l’affectation d’une adresse ISATAP, fournie par un routeur ISATAP installé dans votre réseau, votre serveur DirectAc-cess par exemple.

Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux compo-sants lors de la mise en œuvre de DirectAccess : voir tableau 4.

IPv6 personnelUne fois le poste client en dehors du réseau d’entreprise, il doit disposer d’une adresse IPv6. Plusieurs solutions sont à sa disposition pour faire la translation d’adresse IPv6 vers IPv4 : voir tableau 5.

Je vous laisse consulter plus en détail ces différentes méthodes de translation disponibles dans les systèmes d’exploitation Windows Server 2008 R2 et Windows 72.

DirectAccess configure via stratégie de groupe les postes clients pour le paramétrage de leurs interfaces ré-seau. Ci-dessous un aperçu : voir figure 3. La gestion de l’identitéComme vu précédemment, il est nécessaire de garantir l’identité du poste client, de l’utilisateur et du serveur auquel la connexion est effectuée. DirectAccess s’ap-puie sur les certificats numériques ordinateurs et sur l’authentification Active Directory de l’utilisateur pour gérer cette identité.

Lors de la configuration du poste de travail, le compte ordinateur reçoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services d’infras-tructure de l’entreprise. Il est ensuite possible à l’utili-sateur de s’authentifier, pour monter le second tunnel IPSec applicatif.

Principe de connexionIl apparaît que la connexion aux ressources de l’entre-prise se fait en deux temps : connexion aux serveurs d’infrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour l’authentifica-tion, de politique réseau et l’étude de la conformité du poste de travail, les serveurs de mises à jour ou

télédistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois l’ensemble des vérifications d’in-tégrité effectuées. Voir figures 4 et 5.

En résuméLes nouvelles technologies de gestion de connectivité de bout en bout et de gestion de l’identité permet-tent aujourd’hui de redessiner le contour des zones de confiance des entreprises. Cette dépérimétrisation est un atout fort, d’une part pour l’utilisateur qui a un ac-cès continu et complet à l’ensemble de ses ressources, et d’autre part pour les administrateurs qui peuvent gérer les postes nomades en toutes circonstances.

Dans ce contexte, Microsoft nous propose DirectAccess, solution d’extension du réseau d’entreprise pour les postes Windows 7. DirectAccess n’est pas une solution VPN SSL, au sens où le VPN SSL connecte l’utilisateur au réseau, quand DirectAccess étend bidirectionnellement le réseau au poste et à l’utilisateur.

Grâce à cette solution, il est désormais possible, dès lors que l’infrastructure interne de l’entreprise le per-met, de fournir à l’utilisateur nomade la même expé-rience que l’utilisateur interne. De plus, la sécurité du poste s’en trouve augmentée, car la politique de sécurité de l’entreprise est appliquée, si bien entendu le poste est bien managé et reste conforme aux standards définis par l’entreprise (NAP) : navigation via le proxy d’entre-prise, application des stratégies de groupes, verrouillage à distance des lecteurs de données via BitLocker en cas de vol du poste.

En résumé, Microsoft propose avec DirectAccess une solution innovante qui nous incite à revoir la notion de périmètre de confiance de nos infrastructures :

• Poste connecté en permanence au SI ce qui permet un meilleur contrôle et donc une sécurité accrue

• Connexion transparente pour l’utilisateur qui travaille de la même façon à l’intérieur qu’à l’extérieur de l’en-treprise

Olivier DETILLEUXService Line Manager

Core Infrastructure [email protected]

Note 2 : Support for IPv6 in Windows Server 2008 R2 and Windows 7 : http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx


Secondary Storage and System Software - YUynucc.yu.ac.kr/~hrcho/Courses/FS/Chapter03.pdf · 4. Storage as a Hierarchy Registers RAM RAM disk and disk cache Direct-access Serial Archival

Filtration Housings. Корпуса фильтров для... · filtration expertise and dedicated technical support. Committed to process improvement Direct access to our teams

Utilisation de Access - epsic.ch · PDF file1.11.Page d’accès aux données ... Introduction à Microsoft Access ... Les bases de données JET 4.0 peuvent faire parties de solutions

AT-LP120-USB Direct-Drive Professional USB and Analog ...g-ec2.images-amazon.com/images/G/01/HARDLINES/user... · Direct-Drive Professional USB and Analog Turntable System Introduction

Introduction to Open Access · 2018. 8. 9. · Main Library - Open Access 19.05.2014 Page 1 Open Access: Current trends and future developments Symposium of the Consortium of Swiss

Loi fédérale 642.11 sur l’impôt fédéral direct · Première partie Introduction Art. 1 Objet de la loi Au titre de l’impôt fédéral direct, ... bilier ou un nantissement

Access Initiation

VBA pour Access - fnac-static.comMicrosoft Access qui veulent créer des applications utilisant les outils et les objets Access. Les versions successives de Microsoft Access 2000,

Initiation Access

Securite Access

Biology Direct BioMed Central · 2017. 8. 25. · BioMed Central Page 1 of 18 (page number not for citation purposes) Biology Direct Research Open Access The orthology of HLA-E and

LES MOLECULES DADHESION. Molécules solubles: cytokines, hormones … Contact direct: molécules dadhésion INTRODUCTION Le contact cellulaire:

VBA Access 2007 - death.world2.free.frdeath.world2.free.fr/Admin/ACCESS/VBA Access 2007... · Introduction Access 2007 dispose du langage de programmation Visual Basic Edition Application

INTRODUCTION - melomain.weebly.commelomain.weebly.com/uploads/8/2/9/2/8292068/sgbdr.pdf · Microsoft Access 29/09/2005 EL ARBAOUI JALILA 1 INTRODUCTION : Le numéro un du marché

Geospatial eXtensible Access Control Markup Language … · 2010. 4. 23. · XACML Introduction • eXtensible Access Control Markup Language (XACML) ... Encryption SAML XKMS ebXML

Initiation à l’Utilisation de l’Informatique 2009-2010 ...Cours Access 1 sur 40 Initiation à l’Utilisation de l’Informatique 2009-2010 Introduction à Access 2003 (sur Windows

Access - ado

Introduction aux Bases de Données SGBDR Microsoft Access

Access Requete

Access 2007

Cours Access Patrice Buche · Patrice Buche Réaliser une base de données avec Access 21/01/2005 page 3 1. Introduction 1.1 Introduction générale Cet enseignement d’informatique

BASE DE DONNEES ACCESS - academiepro.com€¦ · BASE DE DONNEES ACCESS Intervenant : Soad LHAROUI Soad LHAROUI 1. Cours ACCESS Introduction Avant de commencer, regardons quelques-uns

Odbc Access

VBA Access 2013m.editions-eni.fr/livre/vba-access-2013-coffret-de-2... · Editions ENI VBA Access 2013 Programmer sous Access Collection Ressources Informatiques Table des matières

SGBDR - ACCESS

300Mbps Wireless-N Access Point/Repeater · 2014-10-25 · Instruction Manual 1 Introduction The WFREPEAT300N 300Mbps Wireless-N WiFi Access Point and Repeater has two selectable

Hypnose et Auto Hypnose en direct de la rééducation. · Auto Hypnose en direct de la rééducation Tout droit réserver Jonathan Bel Legroux Introduction Voici un retour dexpérience

Exemple de configuration WPA 2 (Wi-Fi Protected Access 2)€¦ · Exemple de configuration WPA 2 (Wi-Fi Protected Access 2) Contenu Introduction Conditions préalables Conditions

Formation access

Microsoft Access

L’impact de l’investissement direct étranger sur la … 4 - Introduction Depuis au moins une vingtaine d’années, le Royaume-Uni se pose en champion de l’investissement direct

Access 2010

Access - Cours

Cours access

Introduction à l'Open Access