par Mel Beckman, Mis en ligne le 24/05/2006 - Publié en Janvier 2006
S’il est une application qui mérite le trophée « killer app » sur Internet, c’est bien le travail en réseau privé virtuel. Les réseaux privés virtuels (VPN, virtual private networks) ont commencé comme une solution compliquée apportée à un problème de sécurité épineux : relier deux réseaux distants par Internet, sans exposer le trafic à l’indiscrétion ou à l’intrusion des pirates. Le but du VPN était alors simplement de remplacer des circuits privés coûteux entre des emplacements. Et donc, les utilisateurs de VPN ont assumé la complexité pour obtenir en échange d’importantes économies mensuelles. Mais les VPN ont connu une forte croissance pour assurer une connectivité sécurisée là où il n’y en avait pas auparavant : télétravailleurs, partenaires professionnels, fournisseurs, clients, employés branchés depuis le Starbucks du coin. La technologie VPN est devenue très bon marché mais, malheureusement, pas beaucoup moins complexe.Cette complexité persistante est due partiellement au protocole qui a remporté la guerre des standards VPN, IPSec (IP Security). Conçu pour fonctionner dans des environnements réseau très divers, du mode commuté au sans fil en passant par la large bande passante, IPSec présente des dizaines d’options configurables. Les fournisseurs de VPN IPSec vendent un logiciel client spécial pour alléger le fardeau de la configuration, mais peu d’entreprises sont prêtes à ajouter encore un autre logiciel propriétaire à leur panoplie. Pourtant, l’autre solution – support IPSec intégré dans les systèmes d’exploitation pour postes de travail – constitue une entreprise de configuration et de dépannage fastidieuse. Fastidieuse pour des spécialistes réseau expérimentés, mais carrément hors de portée de l’utilisateur lambda.
En butte à la résistance des clients face à leur solution utilisateur final IPSec, les fournisseurs de VPN ont imaginé un contournement astucieux : le VPN SSL.
A son niveau le plus élémentaire, une connexion VPN SSL ne demande à l’utilisateur qu’un navigateur Web. Bien sûr, des produits VPN SSL plus élaborés peuvent procurer pratiquement toutes les fonctionnalités d’un VPN IPSec et même un contrôle de stratégie de granularité plus fine. Et tous les produits VPN SSL ont un avantage déterminant : facilité d’installation et d’assistance. Exactement ce que le help desk de n’importe quel administrateur de réseau aime entendre.
Pour comprendre comment vous pouvez utiliser les VPN SSL en lieu et place de leurs frères IPSec, vous devez connaître le spectre des produits et les diverses fonctions qu’ils permettent. Certains produits VPN SSL sont véritablement sans client, tandis que d’autres utilisent des applets Java ou ActiveX légères transférées automatiquement du Web. Certains emploient une simple authentification par ID/mot de passe utilisateur. D’autres ont recours à des certificats numériques de haute sécurité. Certains donnent aux utilisateurs l’accès complet à votre réseau lorsqu’ils sont connectés ; d’autres vous permettent de limiter l’accès aux seules ressources permises par des contrôles appropriés.
Aucun produit VPN SSL ne fonctionne directement sur l’iSeries, donc vous ajouterez encore un autre produit hétérogène à votre attirail. Mais c’est pour la bonne cause.
Les VPN SSL simplifient la sécurité des utilisateurs distants
Pour apprécier la manière dont les VPN SSL fonctionnent, intéressons- nous d’abord à IPSec. Les connexions IPSec peuvent aller de réseau à réseau ou d’utilisateur à réseau. Le but d’IPSec est clair : faire en sorte qu’un réseau distant ou ordinateur hôte semble être connecté directement à votre réseau privé derrière le pare-feu d’entreprise.
Pour cela, IPSec crée une interface réseau virtuelle, soit sur une passerelle (qui peut être un pare-feu ou un routeur), soit directement à l’intérieur de l’ordinateur d’un utilisateur final. Cette interface virtuelle a l’apparence et le comportement d’un adaptateur de réseau LAN ou WAN. En fait, la plupart des VPN IPSec ressemble à des cartes Ethernet, avec leur propre adresse IP et leurs entrées de table de routage. Une fois le tunnel IPSec établi, les utilisateurs à une extrémité du tunnel peuvent accéder librement à toutes les ressources du réseau à l’autre extrémité, comme l’illustre la figure 1. Les VPN SSL diffèrent de la variété IPSec de deux manières principales : les VPN SSL ne sont que des connexions de l’utilisateur au réseau et les VPN SSL ne créent pas une interface réseau virtuelle, de sorte que l’accès ne se fait que dans un sens et sous contrôle étroit. Il s’en suit que l’utilisateur distant n’a qu’un accès limité aux ressources du réseau hôte et ce dernier n’a pas d’accès réciproque à l’utilisateur (figure 2).
Il s’en suit également que IPSec reste le roi du monde VPN de réseau à réseau.
L’utilisateur distant amorce une connexion VPN SSL en pointant son navigateur Web sur une passerelle VPN SSL : ce peut être une appliance dédiée ou un serveur animé par le logiciel VPN SSL. La connexion est cryptée par le protocole SSL/TLS, apprécié de nous tous, et elle peut donc tirer parti des divers mécanismes d’authentification reconnus par SSL. Le VPN SSL peut aussi authentifier les utilisateurs via votre infrastructure de répertoires existante, que ce soit Active Directory de Microsoft ou le standard LDAP (Lightweight Directory Access Protocol) ouvert. Pratiquement, cela signifie un mot de passe de moins à mémoriser pour vos utilisateurs et un point d’entrée de moins à suivre pour la maintenance add/drop.
Dès qu’un utilisateur a établi la session du navigateur VPN SSL, la passerelle VPN SSL joue le rôle de proxy pour le trafic HTTP et HTTP Secure (HTTPS) dans votre réseau d’entreprise. Si vous êtes habitués au SSL serveur Web traditionnel, vous serez surpris par la puissance de l’accès Web VPN SSL. Au lieu de connecter simplement les utilisateurs à un serveur Web de type SSL unique, une passerelle VPN SSL peut diriger les utilisateurs vers n’importe laquelle de vos applications intranet validées pour le Web, même si ces applications ellesmêmes ne sont pas validées pour SSL. Cet accès à distance sera largement suffisant pour de nombreux utilisateurs.
Si un VPN SSL ne fournissait que cela, ce serait déjà appréciable. Mais il va plus loin. Contrairement aux VPN IPSec de base, qui balancent les utilisateurs au milieu du LAN d’entreprise avec peu ou pas de restrictions, une passerelle VPN SSL vous permet de contrôler précisément les serveurs internes accessibles à chaque utilisateur.
Certaines passerelles vous permettent même de contrôler l’accès jusqu’au niveau de l’URL, limitant ainsi les parties d’une application accessibles aux utilisateurs distants. Les VPN IPSec, quel que soit leur prix, ne peuvent offrir un tel degré de contrôle.
Et si vos utilisateurs ne se contentent pas de l’accès Web à votre LAN ? Dans ce cas, vous pouvez appliquer d’autres protocoles au moyen du VPN SSL via une applet de connexion « IPSec virtuelle » spécifique au produit. Ces applets se connectent dans le système d’exploitation de l’utilisateur de la même manière qu’IPSec, en créant une interface réseau virtuelle. Mais, contrairement à IPSec, ces applets ne demandent pas de configuration complexe, parce qu’aucun choix d’options n’est proposé à l’utilisateur. C’est l’administrateur de la passerelle VPN SSL qui fait tous les choix quand il définit les diverses stratégies d’accès aux passerelles. Ainsi, vous pourriez laisser Simon accéder par FTP au serveur du département finances, donner à Alice la possibilité d’envoyer du courriel SMTP, et empêcher Fred d’accomplir l’une de ces actions ou les deux.
Ces fonctions VPN SSL avancées sont toutes propriétaires, mais comme les utilisateurs n’ont pas à installer de logiciel, il n’y a aucun souci de compatibilité. Il faut bien sûr que le fournisseur gère les systèmes d’exploitation poste de travail de vos utilisateurs. Tous les produits ne supportent pas tous les systèmes d’exploitation, mais ils supportent tous Windows et Internet Explorer qui, on ne s’en étonnera pas, constituent l’essentiel de la demande VPN SSL.
Au-delà de la prise en charge du système d’exploitation, il faut néanmoins connaître les principales catégories auxquelles appartiennent les produits VPN SSL : simple, hybride, multifonction et hybride multifonction.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.