La V4R4 améliore nettement TCP/IP pour AS/400 : des VPN de grande classe, un SSL étendu et de meilleures performances Vous avez un secret que vous tenez à conserver jalousement. Jusqu'à présent, vous ne pouviez donc pas transmettre ce secret à un partenaire sur Internet depuis votre AS/400, en tout cas pas sans acheter du matériel de sécurité supplémentaire. Et voici que la V4R4, grâce à son support des VPN (Virtual Private Networks, ou réseaux privés virtuels) fondé sur les standards, change tout cela. On peut désormais établir des connexions privées sécurisées avec des AS/400 à distance ou tout autre système compatible avec le standard VPN IP Security (IPsec). Toujours avec cette version, IBM a considérablement amélioré les performances et corrigé quelques problèmes, mineurs mais persistants, qui grevaient certaines fonctions TCP/IP. Bien que l'OS/400 soit sur le point de rattraper son retard en matière de fonctionnalités TCP/IP, il lui manque encore une poignée d'importantes fonctions. Prenez connaissance ci-après des bons et des mauvais points de cette dernière release. Vous saurez ainsi quelles tâches peuvent être confiées en toute sécurité à l'AS/400, et lesquelles ont encore besoin de l'appui des autres.
TCP/IP pour AS/400 : Quoi de neuf en 99 ?
La
V4R4 procure à TCP/IP pour AS/400 les ajouts et modifications dont la liste
suit :
-
L2TP
(Layer 2 Tunneling Protocol) pour établir des liaisons virtuelles point
à point sur Internet
-
IPsec
(IP Security) pour le cryptage de clés publiques des liaisons L2TP
-
Telnet
SSL (Secure Sockets Layer) pour établir des sessions de terminal
interactives cryptées
-
améliorations
des performances TCP/IP grâce à des modifications de son architecture
-
ISAKMP
(Internet Security Association Key Management Protocol) pour échanger
en toute sécurité des clés de cryptage sur des connexions douteuses
-
Serveur
IKE (Internet Key Exchange) pour l’administration centralisée des clés
de cryptage publiques et des certificats numériques
-
ajout
à Operations Navigator (OpsNav) d’assistants de configuration TCP/IP pour
Frame Relay, ATM (Asynchronous Transfer Mode) et PPP (Point-to-Point
Protocol)
-
amélioration
du support et de la sécurité de SMTP (Simple Mail Transfer Protocol)
-
amélioration
de FTP (File Transfer Protocol) client et serveur
-
amélioration
de Telnet en matière de performances et de reprise après erreur
-
TCP/IP
via OptiConnect pour établir des canaux TCP/IP à haute bande passante
entre des systèmes AS/400
Parallèlement à l’explosion du commerce électronique sur Internet, on
voit se généraliser la connectivité inter-entreprises sous la forme de réseaux
privés virtuels. Les connexions client/serveur sûres ne suffisent plus. Pour
se déployer dans de bonnes conditions, le commerce électronique nécessite
trois autres types de protection : serveur/serveur, serveur/réseau et réseau/réseau.
L’AS/400 n’acceptait jusqu’ici que des connexions VPN de type réseau à réseau,
et uniquement avec le firewall physique basé sur l’INS (Integrated Netfinity
Server) d’IBM (précédemment connu sous le nom d’IPCS, ou Integrated PC Server,
PC Serveur Intégré en français). L’OS/400 a besoin des fonctionnalités VPN
d’IPsec et de ses fonctions connexes. Or, la V4R4, non seulement permet
d’utiliser les VPN sans matériel supplémentaire, mais simplifie aussi leur
administration grâce à OpsNav.
S’il est vrai que les releases d’OS/400 précédentes supportaient le
cryptage SSL pour des connexions HTTP (Hypertext Transport Protocol) sécurisées
entre un serveur Web AS/400 et des browsers clients, d’autres services clients,
comme Telnet, FTP et Client Access, acceptaient encore des compromis. A tout le
moins, Client Access cryptait l’identification et le mot de passe utilisateur de
signon, servant à établir la connexion de base, mais cela n’empêchait pas
des intrus d’intercepter le trafic au niveau session pour tous les protocoles
non HTTP, au moment où ils empruntaient Internet. Pour assurer l’intégrité et
la sécurité du système, les administrateurs d’AS/400 évitaient d’utiliser
ces services sur des réseaux vulnérables. La V4R4 ajoute SSL à Telnet et à
Client Access et met ainsi le protocole SSL à la disposition d’autres services,
grâce à de nouvelles API. IBM a également renforcé la sécurité TCP/IP en
ajoutant le support pour ISAKAMP et IKE server (expliqués plus en détail un
peu plus loin) à l’OS/400.
Il est vrai qu’IBM a, dans les dernières releases, constamment amélioré
les performances de TCP/IP, tout d’abord en réécrivant entièrement la pile de
protocoles, puis en ajoutant des IOP (processeurs d’I/O) de communication
personnalisés, et en confiant au matériel une partie du traitement TCP/IP.
Pour la V4R4, IBM a étudié le flux de données TCP/IP au travers des IOP et
diverses couches de code OS/400, et a restructuré le code en conséquence, pour
diminuer le temps de latence, c’est-à -dire le temps que met un paquet pour
passer au travers du code TCP/IP pour OS/400. Il y a aussi un microcode optimisé
pour un matériel Ethernet spécifique, doublant ainsi les performances de TCP/IP
sur le matériel concerné.
La facilité d’utilisation reste un atout commercial de l’AS/400, mais de
récentes améliorations sont venues compliquer la configuration de TCP/IP
jusqu’à la rendre maîtrisable par les seuls super spécialistes. C’est
pourquoi la V4R4 s’est dotée d’un assistant de configuration EZ (EZ-setup
wizard) pour simplifier la configuration de base, avec une section
d’installation de TCP/IP pour les interfaces les plus courantes (Token-Ring et
Ethernet). En ajoutant des assistants de configuration ATM, frame relay et PPP
à OpsNav, la V4R4 simplifie l’administration.
Des coups de pouce à SMTP, FTP et Telnet ainsi que la prise en charge de
TCP/IP par OptiConnect, le produit de connectivité fibre optique d’IBM, parachèvent
les améliorations de TCP/IP en V4R4. Manquent encore les fonctions suivantes
(signalées comme AWOL dans l’article "Le TCP/IP de l’AS/400 gagne du
terrain"), NEWSMAGAZINE, novembre 1998) :
-
un DNS (Domain Name System) dynamique, établissant la correspondance
entre les adresses IP attribuées par DHCP (Dynamic Host Configuration Protocol)
et les noms servis par DNS
-
la possibilité pour l’OS/400 d’obtenir sa propre adresse d’un
serveur DHCP, pour simplifier le déploiement de l’OS/400 dans de petits groupes
de travail
-
le routage OSPF (Open Shortest Path First), qui remplace RIP (Routing
Information Protocol), et permet au routeur de mieux répondre aux évolutions
technologiques du réseau et d’assurer la sécurité des réseaux reliés à
Internet
-
le support de RADIUS (Remote Authentication Dial-In User Service) pour
authentifier les signon AS/400 et participer à des réseaux contrôlés par
RADIUS
La
dernière fonction de la liste, le support de RADIUS, est proposée dans un
produit tiers, Sentinel/400, de Better On-Line Solutions (pour plus
d’informations, voir "Sentinel/400 1.1", NEWS/400, septembre 1998).
Les trois autres fonctions, pour lesquelles il n’existe pas de solution tierce
partie, demeurent nécessaires pour faire de l’AS/400 une plate-forme TCP/IP à
part entière.
Malgré ces lacunes, les améliorations apportées aux sécurités par la
V4R4 procurent pratiquement toutes les fonctionnalités qu’exige le commerce
électronique moderne. Après examen détaillé de chacune de ces nouvelles
fonctions, vous serez prêt à faire votre entrée dans les VPN.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental