Virtual Private Networking (VPN)

les données sous forme cryptée, pour que personne ne
puisse (en interceptant ou en manipulant les données transportées) lire ou
modifier leur flux.

           
La V4R3 supportait VPN avec le Firewall for AS/400 tournant sur IPCS, ce
qui supposait que les tunnels se terminent au niveau de l’interface publique
vers l’IPCS (figure 1a). Ce type de tunnel de firewall à  firewall, est coûteux,
difficile à  maintenir et peu souple : la protection cesse à  la limite du WAN.
Cette technique empêche de prolonger un tunnel dans le LAN de sa propre
organisation ou dans ceux de quelqu’un d’autre (de votre service R&D à 
celui d’un fournisseur, par exemple) avec moins de sécurité que nécessaire.

           
Bon point. La V4R4 offre le
support VPN à  l’AS/400 lui-même, permettant ainsi de créer des tunnels VPN
directement entre tout AS/400 (ou tout autre hôte bénéficiant des
fonctionnalités IPSec) dans le réseau. On peut donc établir un VPN entre l’AS/400
du service R&D du site principal et un AS/400 d’un autre site, voire le site
d’un fournisseur ou d’un client. Les données sont entièrement protégées d’un
lieu à  l’autre.

           
En V4R4, le VPN utilise L2TP et le protocole IPsec sécurisé avec ISAKMP,
pour échanger des clés de cryptage en toute sécurité sur des connexions vulnérables,
et un serveur IKE pour l’administration centrale des clés de cryptage publiques
et des certificats numériques. Bien que le cryptage des données soit au coeur
de VPN, la gestion des clés joue un grand rôle dans le large déploiement des
VPN. La fonction de gestion des clés de l’OS/400 permet de créer et de
distribuer en toute sécurité des clés de cryptage à  travers tout le réseau,
sans que cette dissémination mette la sécurité en péril.

           
Avec VPN basé sur des standards, l’OS/400 ne se limite pas aux
connexions VPN avec d’autres AS/400 ; il peut interopérer avec tout autre
plate-forme reconnaissant ces standards, comme de nombreux routeurs, des
serveurs Unix et même des clients Windows et Macintosh (figure 1b). Et comme
VPN en V4R4 est entièrement mis en oeuvre à  l’intérieur de l’OS/400, la création
de nouveaux VPN n’entraîne aucun surcoût. Cela favorise la multiplication des
VPN qui sont désormais utilisables pour des connexions de type intranet et
Internet, et même pour des collaborateurs mobiles appelant par l’intermédiaire
d’un fournisseur de service Internet (ISP, Internet Service Provider) extérieur.

           
Mauvais point. Le cryptage,
une fonction essentielle de VPN, sollicite beaucoup le processeur. La V4R4 réalise
le cryptage VPN entièrement avec le processeur central de l’AS/400, sans aucune
possibilité de le décharger sur un matériel spécialisé, comme les options
coprocesseur de cryptage de l’AS/400 existant chez IBM. Cela limite le champ
d’action de VPN, car chaque tunnel VPN supplémentaire alourdit le fardeau de
traitement du cryptage de l’OS/400.

           
En même temps que l’annonce de la V4R4, IBM a indiqué son intention de
proposer une nouvelle fonction cryptographique pour l’AS/400, qui offrirait le
stockage sécurisé et des clés de cryptage utilisant la technologie carte PCI
IBM 4758, qui aujourd’hui assure des fonctions de cryptage en offload pour
d’autres systèmes IBM. Espérons que Big Blue permettra également le déchargement
sur les coprocesseurs, du cryptage et d’autres corvées de couche 2, gourmandes
en coprocesseurs, laissant ainsi au processeur de l’AS/400 sa puissance pour ce
qu’il accomplit le mieux : les traitements applicatifs.