Client Leger

U N I V E R S I T E D E M A R N E L A VA L L E E FILIERE INFORMATIQUE RESEAU ANNEE 2002-2003 ADRIEN MACHADO FABIEN LOCUSSOL
E X P O S E R E S E AU CLIENT LEGER
Filire Informatique & Rseaux
IR 2000 - Anne 2003
SOMMAIRE 1. ARCHITECTURE ........................................................................................................................ 5 1.1 PRESENTATION ........................................................................................................................ 5 1.1.1 Le modle Client/Serveur ................................................................................................ 5 1.1.2 Architecture Client/Serveur traditionnelle ...................................................................... 6 1.1.3 Architecture Client-Lger/Serveur .................................................................................. 7 1.2 FONCTIONNEMENT .................................................................................................................. 9 1.3 ELEMENTS DARCHITECTURE .................................................................................................. 9 1.3.1 Vocabulaire ..................................................................................................................... 9 1.3.2 Deux architectures possibles......................................................................................... 10 2. TECHNOLOGIE ........................................................................................................................ 12 2.1 MULTIWIN ............................................................................................................................. 12 2.2 ICA ........................................................................................................................................ 12 2.2.1 Prsentation des paquets ICA ....................................................................................... 13 2.2.2 Les diffrentes commandes............................................................................................ 14 Les commandes de canaux virtuels permettent la transmission des informations concernant les diffrents canaux virtuels entre le client et le serveur................................................................... 14 2.2.3 Encapsulation de paquet ICA........................................................................................ 15 2.2.4 Canaux virtuels.............................................................................................................. 16 2.3 TECHNOLOGIE SPEEDSCREEN ............................................................................................... 17 2.4 IMA ....................................................................................................................................... 18 2.4.1 Citrix Management Console.......................................................................................... 18 2.4.2 Sous-systmes IMA ........................................................................................................ 19 2.4.3 Magasin de donnes (Data Store) ................................................................................. 19 2.4.4 Cache de l'hte local ..................................................................................................... 20 2.4.5 Zones ............................................................................................................................. 20 2.4.6 Collecteur de donnes (Data Collector)........................................................................ 21 2.4.7 Priorit .......................................................................................................................... 21 3. 4. AVANTAGES.............................................................................................................................. 23 ELEMENTS FINANCIERS....................................................................................................... 25 4.1 COUT DE POSSESSION DES APPLICATION - TCO .................................................................... 25 4.1.1 Capital matriel, rseau et logiciel ............................................................................... 25 4.1.2 Gestion des systmes et des rseaux.............................................................................. 25 4.1.3 Support Technique......................................................................................................... 26 4.1.4 Utilisateurs finaux et cots affrents ............................................................................. 26 4.1.5 Rpartition du TCO (GartnerGroup) ............................................................................ 27 4.2 SOLUTION JUSTIFICATIONS ECONOMIQUES APPROCHE TCO .......................................... 28 4.2.1 Rduction du TCO avec lapport dune solution client lger/serveur........................... 29 4.2.2 Capital matriel, rseau et logiciel ............................................................................... 29 4.2.3 Administration des systmes et rseaux, support technique.......................................... 29 4.2.4 Utilisateurs finaux et cots associs.............................................................................. 30 4.2.5 Autres lments de TCO ................................................................................................ 30 4.2.6 Conclusion..................................................................................................................... 31
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
5.
SECURITE EN ARCHITECTURE CENTRALISEE CITRIX ............................................. 32 5.1 IDENTIFICATION DES FLUX DINFORMATIONS UTILISES ........................................................ 32 5.1.1 Gestion des sessions ICA............................................................................................... 32 5.1.2 Explorateur ICA ............................................................................................................ 32 5.2 ETABLISSEMENT DES CONNEXIONS ....................................................................................... 33 5.2.1 Architecture simple........................................................................................................ 33 5.2.2 Architecture portail ....................................................................................................... 34 5.3 CONTRAINTES SUR LAPPLICATION DUNE POLITIQUE DE SECURITE .................................... 35 5.3.1 Traverse dun pare-feu ................................................................................................ 35 5.3.2 Translation dadresses .................................................................................................. 36 5.4 ETAT DE LART DES SOLUTIONS DE SECURITE ....................................................................... 37 5.4.1 Critres communs.......................................................................................................... 37 5.4.2 Authentification ............................................................................................................. 38 5.4.3 Filtrage.......................................................................................................................... 44 5.4.4 Scurisation des changes............................................................................................. 52
6.
CONCURENTS ........................................................................................................................... 59 6.1 MICROSOFT............................................................................................................................ 59 6.2 NEW MOON............................................................................................................................ 60 CONCLUSION ..................................................................................................................................... 61
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
Introduction
L'ide cl de Citrix tait de transposer le modle graphique X-Window propre aux systmes UNIX vers un environnement Microsoft Windows tout en gardant une compatibilit totale du parc applicatif Windows. C'est aujourd'hui chose faite, grce au protocole ICA (Independent Computing Architecture). Larchitecture ICA permet tout type de poste client de faire passer lexcution des applications du poste individuel au serveur. Cela se traduit par une gestion des applications centralise permettant de simplifier les tches dinstallation, damliorer le support technique et la scurit en ne demandant quune quantit minimale de bande passante. Dots dune solution Citrix, les responsables informatiques sont en mesure de grer lensemble de leurs applications partir dun point unique centralis. Cette approche offre une simplicit et une efficacit sans pareil, mme dans les environnements informatiques les plus complexes. La famille de produits Citrix se compose de solutions serveur dapplications (MtaFrame ) et de serveurs portails (Nfuse). Ces solutions permettent un accs Internet scuris des applications Windows, UNIX et Java partir de tout poste client, et via tout type de connexion, tout en offrant une facilit de gestion et une extensibilit ingale.
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
1.
1.1
ARCHITECTURE
PRESENTATION
Le potentiel d'une entreprise gagner en productivit et en comptitivit se mesure par sa capacit rendre ses applications accessibles de la manire la plus simple, la plus rapide possible, au plus grand nombre d'utilisateurs, au moindre cot et en toute scurit. On peut distinguer aujourdhui deux modles darchitecture permettant une entreprise de mettre ses applications disposition des utilisateurs : Le modle de base Client/Serveur, Le modle driv Client Lger/Serveur.
1.1.1
LE MODELE CLIENT/SERVEUR
Linformatique client/serveur rsulte de lvolution logique des environnements rseau actuels et offre la possibilit aux entreprises dtendre les ressources, de simplifier le dploiement et la gestion des applications et de rduire les frais lis lacquisition des applications. Le modle client/serveur rpartit le traitement dapplications entre les diffrents ordinateurs dun rseau.
FIGURE 1 : MODELE CLIENT/SERVEUR Une application client/serveur est constitue dun logiciel serveur et dun logiciel client.
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
Le logiciel client est responsable de linterface avec lutilisateur. Lutilisateur entre des donnes lcran qui sont transformes en une requte par le logiciel client. Cette requte est crite dans un langage spcifique comme par exemple le protocole HTTP pour le Web. Cette requte est envoye par le logiciel client au logiciel serveur. Le logiciel serveur rcupre les requtes des logiciels clients qui sadressent lui. Il excute la requte et renvoie le rsultat au logiciel client demandeur. Le logiciel client reoit le rsultat et modifie laffichage en consquence du ct utilisateur. Le logiciel serveur est gnralement install sur un ordinateur puissant et ddi ce service car il est destin traiter toutes les requtes des utilisateurs souhaitant utiliser le service. Souvent linformatique client/serveur est utilise pour interroger une base de donnes et la modifier. La machine hbergeant le logiciel serveur est appel serveur frontal ; ce service reoit les requtes des clients et les traite en collaboration avec une base de donnes. Un serveur appel serveur dorsal est charg de la gestion et de lhbergement de la base de donnes.
1.1.2
ARCHITECTURE CLIENT/SERVEUR TRADITIONNELLE
Les applications d'une entreprise, quelle que soit son architecture, sont de deux types : Les applications locales, cest dire les applications dont le traitement seffectue entirement sur un ordinateur, Les applications dites client/serveur, cest dire les applications dont le traitement est rparti entre diffrents ordinateurs du rseau : elles sont en effet constitues dun logiciel serveur spcifique install sur un serveur dapplications et dun logiciel client spcifique install sur un autre ordinateur.
Serveur Application 1
Serveur Application 2 Rseau LAN et/ou WAN
Poste de travail Client Application 1 Client Application 2 Application 3 Application 4
FIGURE 2 : ARCHITECTURE CLIENT/SERVEUR TRADITIONNELLE
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
Les applications 1 et 2 sont des applications client/serveur alors que les applications 3 et 4 sont des applications locales. Dans ce type d'architecture, toutes les applications sont installes sur chaque poste de travail utilisateur: les applications 3 et 4 et le logiciel client des applications 1 et 2.
1.1.3
ARCHITECTURE CLIENT-LEGER/SERVEUR
L'architecture en question est dite Architecture Client Lger/Serveur parce que tout le traitement des applications ou presque est pris en charge par des serveurs; les postes client, qu'ils soient "lourds" ou "lgers", accdent aux applications via ces serveurs, sans qu'il soit ncessaire de tlcharger ou de rcrire les applications.
Serveur dapplication 1
Serveur dapplication 2
Serveurs CITRIX Windows 2000 Server Services Terminal Server Mtaframe XP Client Application 1 Client Application 2 Application 3 Application 4 Rseau LAN et/ou WAN
Poste de travail Linux Client ICA
Poste de travail DOS Client ICA
Terminal Windows Poste de travail Client ICA Windows (3x - 9X - 2000 - Me - XP) Client ICA
Macintosh Client ICA
Portable Client ICA
Figure 3 : Architecture Client-Lger/Serveur L'architecture "Client Lger/Serveur" comporte trois composants essentiels : Un systme d'exploitation multi-utilisateur Comme le montre la figure 2, des serveurs sont regroups en "batterie" et supportent chacun un systme d'exploitation Windows 2000 avec le composant Services Terminal Server. Ce composant permet Windows 2000 d'avoir la fonctionnalit multi-utilisateur. Cela signifie que, lorsquil est install sur un serveur Windows 2000, chaque utilisateur dispose sur ce serveur dune mulation Windows 2000 sur laquelle tournent ses applications. Ainsi plusieurs utilisateurs peuvent se connecter en mme temps sur ces serveurs et excuter des applications dans des sessions indpendantes et protges.
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
La technologie MtaFrame Cest un lment capable de sparer la logique d'une application de son interface utilisateur, de telle sorte que seules les frappes clavier, les clics souris et les diffrences d'affichage cran transitent sur le rseau. Ainsi, la batterie Citrix distribue la prsentation de chaque interface utilisateur vers les postes clients. Cette technologie sappuie sur un composant logiciel serveur (le logiciel MtaFrame), un composant protocole de rseau (le protocole ICA) et un composant logiciel client (le client ICA). Le logiciel MtaFrame MtaFrame XP 1.0 est la dernire version du composant logiciel serveur. Il s'agit d'une couche logicielle ajoute au systme d'exploitation multi-utilisateurs sur chaque serveur de la batterie Citrix. Le protocole ICA La communication entre le logiciel serveur MtaFrame et le logiciel client est ralis au moyen du protocole propritaire ICA de Citrix. Ce protocole permet n'importe quel priphrique client d'accder n'importe quelle application par n'importe quel type de connexion rseau. ICA est un protocole de services de prsentation distant grce auquel seules les frappes clavier, les clics de souris et les mises jour d'cran circulent sur le rseau. Le client ICA Il sagit dun client universel. Comme le montre la figure 2, chaque utilisateur informatique de l'entreprise dispose dun seul logiciel client install sur son poste de travail, et ce quel qu'il soit. Il s'agit du client ICA de Citrix. Grce lui, les utilisateurs ont accs l'ensemble des applications de l'entreprise. La gestion centralise des applications et des postes clients Dans l'architecture que montre la Figure 1, toutes les applications de l'entreprise sont installes sur chaque poste de travail des utilisateurs informatiques. Alors que dans l'architecture que montre la Figure 2, toutes les applications de l'entreprise sont installes uniquement en un point central qui est la batterie de serveurs Citrix. Dans le cas d'applications Client/Serveur, seul le logiciel client spcifique l'application est install. Le bon fonctionnement des applications de l'entreprise est assur avec une bande passante considrablement rduite et une station de travail plus lgre en termes de puissance de calcul.
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
1.2
FONCTIONNEMENT
Principe de fonctionnement
5
Les ordres souris/claviers sont remonts au serveur
1
Lapplication sexcute sur le serveur
4 2 3
affiche sur le poste client
Linterface est dporte
envoye sur le rseau
FIGURE 4 : PRINCIPE DE FONCTIONNEMENT DE LA TECHNOLOGIE CITRIX
1.3
1.3.1
1.3.1.1
ELEMENTS DARCHITECTURE
VOCABULAIRE
APPLICATION PUBLIEE
Une application publie est une application accessible via la technologie Citrix. Cette application est excute sur le serveur MtaFrame et est accessible en utilisant un logiciel client ICA.
1.3.1.2
FERME DE SERVEURS
Une ferme de serveurs est un ensemble de serveurs sur lesquels sont publies des applications. Lutilit principale dune ferme de serveurs est de raliser de la rpartition de charge ( load balancing ) entre les diffrents serveurs en fonction des applications publies sur chacun deux.
LOCUSSOL MACHADO
Le Client Lger
IR 2000 - Anne 2003
1.3.2
DEUX ARCHITECTURES POSSIBLES
On distingue principalement deux types darchitectures centralises bases sur la technologie Citrix : Larchitecture simple : laccs aux applications publies est effectu par lintermdiaire dun client ICA. Larchitecture portail : laccs aux applications publies est ralis par lintermdiaire dune page web.
1.3.2.1
LARCHITECTURE SIMPLE
Larchitecture simple est compose de clients ICA relis une ferme de serveurs dapplications (serveurs Citrix MetaFrame). Lutilisateur accde aux applications sur Metaframe via un programme spcifique (Program Neighborhood) permettant la gestion locale des paramtres de connexion (fichiers ICA). Le contrle daccs et lautorisation daccs aux applications sont effectus sur le serveur Metaframe. La saisie du login et du mot de passe (si ncessaire) est ralise louverture de la session avec le serveur mais peut tre automatise dans le logiciel Neighborhood. Une variante est possible en accdant aux paramtres de connexions par le navigateur web. Lutilisateur accde aux applications sur le serveur Metaframe via le chargement http dun fichier de paramtres de connexion ICA excut par le programme ActiveX WFICA32.EXE. Le contrle daccs et lautorisation daccs aux applications sont effectus sur le serveur Metaframe. La saisie du login et du mot de passe (si ncessaire) est ralise louverture de la session avec le serveur. Ces deux architectures supportent la fonctionnalit de Load Balancing au travers du protocole TCPIP port UDP 1604. Une fois connect, le client Citrix, quel quil soit utilisant toujours le port TCP 1494.
1.3.2.2
1.3.2.2.1
LARCHITECTURE PORTAIL
PRESENTATION
Ladoption dInternet par les entreprises constitue le moteur dentranement du concept de rseau universel, cest--dire lintgration transparente des rseaux locaux (LAN), des rseaux tendus (WAN), de lInternet, des intranets et des extranets qui permet aux entreprises doptimiser leurs communications. Toutefois, aujourdhui, peu dapplications critiques sont conues pour tre dployes via le Web. De nombreuses entreprises sont en train de rcrire leurs applications existantes pour la publication sur le rseau en utilisant du code HTML, des scripts Java et dautres moyens propritaires. Mais cette approche ncessite un investissement de temps et dargent considrable. Pour tirer parti du rseau rapidement et dans de bonnes conditions de rentabilit, les entreprises ont besoin dune solution qui leur permette dintgrer et de publier les applications nouvelles et existantes dans tout navigateur Web standard. Et cela instantanment. Les produits de portails applicatifs de Citrix fonctionnent en toute transparence avec les solutions Citrix de gestion et de dploiement dapplications, ce qui permet aux entreprises de regrouper leurs applications et les informations dans une seule vue de portail. Les utilisateurs peuvent alors y accder partir de tout navigateur Web, de tout type de poste client, via tout type de connexion, et en tout lieu. En outre, tout contenu de portail peut tre personnalis de telle sorte que les utilisateurs reoivent les applications et les informations dont ils ont besoin pour travailler efficacement. Citrix NFuse est le portail applicatif de Citrix pour environnement MtaFrame. Il est tlchargeable gratuitement dans sa version 1.6.
LOCUSSOL MACHADO
Le Client Lger
10
IR 2000 - Anne 2003
1.3.2.2.2
FONCTIONNEMENT
Larchitecture portail est compose de clients ICA, dun service Web auquel on a ajout lextension NFuse de Citrix et dune ferme de serveurs dapplications. Lutilisateur accde aux applications via une page HTML de son navigateur. Le service Web est utilis pour rcuprer lidentit et le mot de passe puis afficher, dans une page HTML, les liens daccs aux applications autorises cet utilisateur. Ce dernier clique sur lapplication dsire ce qui dclenche le transfert dun fichier ICA personnalis qui est ensuite interprt et excut par le client ICA ActiveX.
LOCUSSOL MACHADO
Le Client Lger
11
IR 2000 - Anne 2003
2.
2.1
TECHNOLOGIE
MULTIWIN
MultiWin est une technologie Citrix qui permet plusieurs utilisateurs de partager simultanment l'unit centrale, les cartes rseau, les ports d'Entre/Sortie et autres ressources figurant sur la console du serveur. Ainsi, plusieurs utilisateurs peuvent se connecter et lancer des applications dans des sessions protges distinctes sur le serveur sans tre gns par les autres utilisateurs. A l'origine, Citrix a dvelopp la technologie MultiWin pour sa gamme de produits WinFrame. En mai 1997, Microsoft a acquis une licence d'exploitation de la technologie MultiWin pour l'incorporer son produit Windows NT Server 4.0, Terminal Server Edition (TSE), permettant ainsi plusieurs utilisateurs d'accder simultanment au mme produit. Aujourd'hui, Microsoft a intgr la technologie MultiWin au service Terminal Server de ses produits Windows 2000 Server.
2.2
ICA
FIGURE 5 : FLUX ICA L'architecture ICA Independant Computing Architecture) est le protocole de services de prsentation distance multicanal dvelopp par Citrix. Le protocole ICA utilise gnralement 10 20kbps de la bande passante pour transfrer des donnes entre le serveur et le client ICA. Sur le serveur, le protocole ICA spare la logique d'une application de son interface utilisateur et envoie l'interface utilisateur ainsi que les donnes audio la machine cliente.
LOCUSSOL MACHADO
Le Client Lger
12
IR 2000 - Anne 2003
Sur le client ICA, l'utilisateur peut ainsi voir l'interface utilisateur de l'application et entendre les donnes audio. Le client ICA utilise le protocole ICA pour renvoyer les frappes clavier et les clics souris au serveur. Le protocole ICA permet : excute la logique de toutes les applications sur le serveur; rduit le trafic en transfrant les rafrachissements d'cran, les donnes audio, les frappes clavier et les clics souris entre le serveur et le client; utilise comme protocole de transport les protocoles LAN et WAN standards (IPX, SPX, TCP/IP, NetBIOS et NetBEUI) ainsi que les connexions rseau traditionnelles (asynchrone, RNIS, relais de trames, ATM et autres); permet aux applications d'tre excutes rapidement, comme sur un rseau local, mme avec des connexions trs faible dbit; permet aux applications 16 et 32 bits les plus rcentes de fonctionner sur des ordinateurs clients anciens qui normalement ne pourraient pas les excuter.
2.2.1
PRESENTATION DES PAQUETS ICA
Un paquet ICA est compos d'une commande d'un octet obligatoire et de donnes optionnelles. Le paquet peut comporter comme prfixe des prambules qui sont ngocis au moment de la connexion afin de grer la transmission du paquet. La nature du support de transmission (rseau local et connexion asynchrone) et les options dfinies par l'utilisateur (telles que la compression) ont une incidence sur la dfinition globale du paquet.
Le paquet ICA
Paquet TCP Donnes de commande
Commande Compression Chiffrement En-tte ICA Contrle d erreur En-tte TCP
Fanion de fin
FIGURE 6 : PAQUET ICA
LOCUSSOL MACHADO
Le Client Lger
13
IR 2000 - Anne 2003
Les cinq premiers champs et le dernier ont une taille de un octet. Ils sont tous facultatifs sauf le champ de commande . Len-tte et le fanion sont prsents dans le cas o le protocole de transport nassure pas luimme la fragmentation comme TCP. Le champ de contrle derreur est utilis pour la dtection derreur, la garantie de livraison et le squencement des paquets. Il nest prsent que si le protocole de couche infrieure est non fiable. Les champs relatifs au chiffrement et la compression sont galement optionnels. Ils servent respectivement la gestion dun paquet ICA chiffr et la gestion de donnes compresses. Le champ commande est le seul champ obligatoire. Cest len-tte du paquet ICA de base. Le champ donnes de commande contient les attributs associs au champ commande . La longueur de ce champ dpend de la commande et peut tre vide. Ce champ est destin contenir les paquets des canaux virtuels.
2.2.2
2.2.2.1
LES DIFFERENTES COMMANDES

LES COMMANDES DE CONTROLE
Les commandes de contrle permettent la gestion de la relation entre lapplication qui sexcute sur le serveur et laffichage au niveau du client. On trouve notamment les commandes suivantes : Initialisation de la connexion et ngociation des paramtres entre le client et le serveur, Contrle de laffichage sur le client, Parcours de larborescence du serveur par le client, Gestion de la souris et du clavier
2.2.2.2
LES COMMANDES SOURIS ET CLAVIER
Les commandes souris et clavier sont transmises du client vers le serveur. Un mme paquet ICA peut contenir plusieurs codes de touche. Pour la souris, ces commandes permettent non seulement de transmettre la position de la souris en coordonnes normalises mais galement ltat des boutons.
2.2.2.3
LES COMMANDES DE CANAUX VIRTUELS
Les commandes de canaux virtuels permettent la transmission des informations concernant les diffrents canaux virtuels entre le client et le serveur.
LOCUSSOL MACHADO
Le Client Lger
14
IR 2000 - Anne 2003
2.2.3
ENCAPSULATION DE PAQUET ICA
Le paquet ICA encapsule les donnes en les faisant passer par une srie de pilotes tels que le cryptage, la compression et la mise en trame. Les paquets, en traversant la pile de protocoles, adaptent les paquets en fonction du support de transmission utilis. Ces fonctionnalits correspondent la couche prsentation du modle OSI. Exemples dencapsulation : Le protocole de transport IPX ntant pas fiable, un pilote grant la fiabilit du protocole de transport IPX est ajout au-dessus du pilote de transport IPX. IPX tant un protocole bas sur des trames, le pilote de mise en trame nest pas inclus dans le paquet ICA correspondant. Le protocole de transport TCP est un protocole de transport orient flux. Le pilote de mise en trame est ajout au paquet ICA au-dessus du pilote de transport TCP. TCP tant un protocole de transport fiable, le pilote de contrle derreur nest pas ajout au paquet ICA.
Encapsulation ICA
Serveur Citrix
Application informations d cran, son, souris, et clavier Affichage ICA
Client ICA
Connexion ICA informations d cran, son, souris, et clavier
Pilote ICA
Flux de donnes ICA
Pilote ICA
Pilotes de protocole
Paquets de protocole
Pilotes de protocole
Pilote de transport
Transport de donnes
Pilote de transport
FIGURE 7 : ENCAPSULATION ICA Lorsque les donnes sont encapsules dans les pilotes ncessaires, le paquet ICA est plac sur a couche transport et envoy au client ICA. Sur le client ICA, le paquet ICA passe travers les mmes couches dans l'ordre inverse. Cette opration permet d'extraire les informations du pilote ICA et d'envoyer les donnes la couche de destination.
LOCUSSOL MACHADO
Le Client Lger
15
IR 2000 - Anne 2003
2.2.4
CANAUX VIRTUELS
FIGURE 8 : CANAUX VIRTUELS Le protocole ICA utilise des canaux virtuels pour tendre ses fonctionnalits et inclure divers type de donnes (audio et vido par exemple) et priphriques clients (lecteurs de badge, crayons lecteurs et scanners). Le protocole ICA peut prendre en charge 32 canaux virtuels et les routeurs intelligents sur le rseau peuvent les classer par ordre de priorit. En cas d'utilisation de plusieurs canaux virtuels, le protocole ICA intgre les canaux dans un paquet ICA au lieu d'envoyer un paquet par chane virtuelle. Ainsi, le protocole ICA n'est pas surcharg et reste efficace. Voici ci-dessous des exemples de canaux virtuels utiliss par le protocole ICA : Audio : transmet au client les donnes audio d'une application excute sur le serveur. Presse-papiers : transmet au client les donnes du Presse-papiers du serveur et inversement. Mappage des lecteurs : transmet au client les fonctions du systme de fichiers des applications excutes sur le serveur. Polices et disposition du clavier : envoie au client la table de clavier et les glyphes de polices qui se trouvent sur le serveur s'ils ne figurent pas dans le cache du disque du client Mappage des ports parallles : permet d'accder aux ports parallles du client depuis une application ou un spooler excuts sur le serveur.
LOCUSSOL MACHADO
Le Client Lger
16
IR 2000 - Anne 2003
Mise en file d'attente de l'imprimante : transmet au client les donnes imprimer des applications excutes sur le serveur. Mappage des ports srie : offre un accs bidirectionnel simultan aux ports srie du client depuis une application ou un spooler excuts sur le serveur. Canal de contrle de SpeedScreen : transmet les donnes de la fonction Rduction de latence SpeedScreen entre le client et le serveur. Affichage ICA : exporte les images graphiquues de l'application vers le client. La chane virtuelle Affichage ICA rduit la bande passante utilise par MtaFrame XP en envoyant, lorsque cela est possible, uniquement les rafrachissements d'cran au lieu de l'cran ou du bitmap entier.
2.3
TECHNOLOGIE SPEEDSCREEN
SpeedScreen est l'agent de protocole ICA qui permet de rduire la latence et d'amliorer l'apparence des applications bases sur le serveur en limitant la quantit de bande passante consomme. La technologie SpeedScreen est constitue de plusieurs composants : Reducer 1 et Reducer 2 : il s'agit des algorithmes utiliss pour la compression des flux de donnes. Cache permanent des images bitmap : cache cr sur le disque local du client pour y enregistrer les bitmaps frquemment utiliss afin de ne pas avoir les retransmettre. Autre mthode de mise en cache : algorithme qui fractionne l'cran en petits lments et les stocke en mmoire. Lorsque l'cran est modifi, seules les mises jour incrmentielles et non plus l'intgralit de l'cran sont envoyes au client depuis le serveur. Mise en file d'attente et suppression : algorithme qui examine les lments graphiques envoys au client. Les donnes qui ne sont plus valides sont supprimes. Rduction de latence SpeedScreen : rduit le dlai lorsqu'une action est effectue au niveau du client ICA et que les informations sont renvoyes par le serveur MtaFrame XP. Cette fonction s'avre particulirement utile sur les rseaux tendus et les connexions entrantes. La fonction Rduction de latence SpeedScreen traite ces dlais de deux faons :
Retour des cliques souris : transforme temporairement le pointeur de la souris afin d'indiquer qu'une action est en cours. La dure de la transformation du pointeur de la souris dpend de la latence de la connexion rseau. Le pointeur de souris reprend sa forme initiale ds rception de la rponse du serveur. Echo local du texte : renvoie immdiatement l'information l'utilisateur en rponse aux donnes (sur une connexion trs lente) en anticipant la rponse du serveur MtaFrame XP. Le rsultat rellement fourni par le serveur est appliqu ds qu'il est disponible. La fonction Rduction de latence SpeedScreen rduit la latence des connexions ncessitant entre 150 ms et 500 ms pour tre tablies. Cette fonction apporte une nette amlioration aux connexions ncessitant entre 250 ms et 500 ms. En revanche, son bnfice n'est pas perceptible pour les connexions latence infrieure 150 ms. Par dfaut, la fonction Rduction de latence SpeedScreen est dsactive pour les connexions ICA sur un rseau local.
LOCUSSOL MACHADO
Le Client Lger
17
IR 2000 - Anne 2003
2.4
IMA
L'architecture IMA (Independant Management Architecture) constitue l'ossature de MtaFrame XP. Elle fournit la structure des communications de serveur serveur. L'architecture IMA est un systme de gestion centralise articul autour de plusieurs sous-systmes fondamentaux qui dfinissent et contrlent l'excution de produits sur un serveur MtaFrame XP. L'architecture IMA : centralise toutes les tches d'administration dans une seule application avec interface utilisateur appele Citrix Management Console, dploie des sous-systmes fondamentaux qui assurent ensemble la fonctionnalit des produits Citrix actuels et venir.
L'architecture IMA peut tre excute sur tous les serveurs MtaFrame XP et les serveurs fonctionnent selon un modle homologue. Les communications entre les sous-systmes IMA sont tablies au moyen de messages envoys sur le protocole TCP/IP depuis des serveurs homologues ou la CMC.
2.4.1
CITRIX MANAGEMENT CONSOLE
La Citrix Management Console remplace les utilitaires d'administration de serveurs Citrix et d'administration de l'quilibrage de charge, ainsi que le gestionnaire d'applications publies et Citrix Licensing disponibles dans MtaFrame1.8. La CMC permet aux administrateurs de grer les serveurs MtaFrame XP. Elle peut aussi tre excute sur tout systme disposant de Java Runtime Environment (JRE) version 1.3 ou suprieure, du protocole TCP/IP et de l'un des systmes d'exploitation suivants : Microsoft Windows 2000 (Professional, Server, Advanced Microsoft Windows NT 4.0 (Server ou Workstation); Microsoft Windows NT Server 4.0, Terminal Server Edition. Server ou Data Center);
Remarque : Un client ICA doit tre install sur le systme afin que la CMC puisse observer les sessions ICA.
LOCUSSOL MACHADO
Le Client Lger
18
IR 2000 - Anne 2003
2.4.2
SOUS-SYSTEMES IMA
FIGURE 9 : SOUS-SYSTEMES IMA L'architecture IMA est constitue de sous-systmes. Un sous-systme est un fichier DLL (bibliothque de liaison de donnes). Grce ces sous-systmes, l'architecture IMA est modulaire et extensible. Il est possible d'ajouter de nouveaux sous-systmes et de remplacer des sous-systmes par des versions plus rcentes. Les sous-systmes interagissent via une couche de messagerie qui achemine les donnes travers les sous-systmes des serveurs MtaFrame XP de la batterie.
2.4.3
MAGASIN DE DONNEES (DATA STORE)
Le Magasin de donnes stocke les donnes de configuration statiques et assure le suivi des informations de la batterie de serveurs MtaFrame XP qui ne changent pas frquemment. Ce magasin est une base de donnes qui utilise Microsoft Access, SQL Server ou une base de donnes Oracle. Le sous-systme de stockage permanent met jour les donnes du magasin par l'envoi de messages. Avec MtaFrame XP, les serveurs n'envoient pas les donnes tous les serveurs de la batterie. Les informations sont centralises dans le magasin de donnes. Le magasin de donnes contient les informations suivantes : Les informations relatives aux applications publies, y compris les proprits de la connexion ICA, le nom de l'application, les utilisateurs autoriss se connecter cette application, la taille de la fentre, le nombre de couleurs, le niveau de cryptage et le paramtrage audio; Les informations sur la configuration du serveur pour la batterie; Les informations sur la configuration utilisateur pour la batterie; Les informations relatives au pilote d'imprimante et l'imprimante.
LOCUSSOL MACHADO
Le Client Lger
19
IR 2000 - Anne 2003
2.4.4
CACHE DE L'HOTE LOCAL
Le cache de l'hte local est prsent sur chacun des serveurs MtaFrame XP de la batterie. Il contient un sous-ensemble des donnes de configuration stockes dans le magasin. La premire fois qu'un serveur est attach la batterie, il reoit une copie des informations du magasin de donnes et les enregistre dans le cache de l'hte local. Lorsqu'un serveur est rinitialis, il consulte son cache d'hte local afin d'obtenir les informations requises pour pouvoir tre rattach la batterie. Une fois le serveur en ligne, le magasin de donnes informe le cache de l'hte local des changements. Le cache de l'hte local reoit uniquement les donnes qui ont t modifies, ce qui permet de rduire le volume de donnes changes sur le rseau et de limiter la frquence des consultations du magasin pour les mises jour. Au cours de cette opration, le cache de l'hte local est vrifi toutes les 15 minutes pour assurer la cohrence. Une actualisation peut tre provoque par l'arrt, puis le redmarrage du service IMA serveur. Remarque : l'interruption et le redmarrage du service IMA du serveur n'ont aucune incidence sur les sessions des utilisateurs connects. Toutefois, les utilisateurs essayant de se connecter au serveur de l'arrt ou du redmarrage du service IMA se verront refuser l'accs. Le cache de l'hte local peut munrer les serveurs ainsi que les applications et effectuer un filtrage avec Citrix Program Neighborhood. En cas de dfaillance du magasin de donnes, le serveur continue ainsi fonctionner en utilisant les informations locales. Le cache de l'hte local se trouve dans le fichier Program Files\Citrix\IndependantManagementArchitecture\IMALHC.MDB.
2.4.5
ZONES
Figure 10 : Zones
LOCUSSOL MACHADO
Le Client Lger
20
IR 2000 - Anne 2003
Une zone contient un sous-ensemble de serveurs l'intrieur d'une batterie de serveurs. Chaque zone dispose d'un collecteur de donnes qui rassemble et diffuse les informations aux serveurs de la zone et aux collecteurs de donnes des autres zones. Une zone sert amliorer les performances d'une batterie de serveurs MtaFrame XP en permettant aux serveurs lis gographiquement d'tre rassembls, qu'ils soient connects au mme sous-rseau ou non. Par dfaut, la zone est l'quivalent du sous-rseau TCP/IP et tous les serveurs sont ajouts la zone par dfaut. Si les serveurs de la batterie se trouvent dans des zones, rgions ou pays diffrents, un administrateur peut utiliser la CMC pour crer des zones et configurer les serveurs en fonction des zones auxquelles ils appartiennent. La sparation des serveurs en zones en fonction de leur situation gographique peut rendre l'administration de la batterie de serveurs plus efficace et amliorer les performances car les collecteurs de donnes sont moins loigns de serveurs. Remarque : les zones peuvent recouvrir plusieurs sous-rseaux et un sous-rseau peut faire partie de plusieurs zones.
2.4.6
COLLECTEUR DE DONNEES (DATA COLLECTOR)
Un collecteur de donnes est une base de donnes en mmoire qui met jour les donnes spcifiques aux zones. Les collecteurs de donnes reoivent les mises jour de donnes incrmentielles et les requtes en provenance des serveurs de la zone. Les collecteurs de donnes stockent les informations dynamiques qui ne sont pas lies la configuration, telles que les charges du serveur, les sessions, actives et dconnectes ainsi que les utilisateurs et les licences en cours d'utilisation. Ils communiquent entre eux afin que chaque zone soit notifie des mises jour importantes effectues dans les autres zones. Grce cette communication entre les diffrents collecteurs de donnes d'une batterie, les serveurs de cette batterie n'ont pas besoin de communiquer entre eux. Dans chaque zone, un serveur MtaFrame XP fait office de collecteur de donnes pour cette zone. Ce collecteur de donnes est l'explorateur ICA principal de cette zone (en mode mixte). Par dfaut, le collecteur de donnes est le premier serveur de la zone. En cas de dfaillance du serveur faisant office de collecteur de donnes, un autre serveur de la zone le remplace en fonction de son niveau de priorit. Un administrateur peut utiliser la CMC pour attribuer un niveau de priorit chaque serveur.
2.4.7
PRIORITE
Le niveau de priorit permet de dterminer quel serveur MtaFrame XP deviendra Collecteur de donnes de cette zone. Les informations relatives la priorit sont enregistres avec les notes de version et les fonctionnalits dans le magasin de donnes. Lorsqu'un serveur collecteur de donnes tombe en panne, est dconnect du rseau ou dplac vers une autre zone, l'un des serveurs de la zone est slectionn comme collecteur de donnes par le protocole TCP. Ce choix est bas sur le niveau de priorit. Ds qu'un serveur est dsign comme collecteur de donnes, il envoie un message aux autres serveurs de la zone pour les informer de sa nouvelle identit. Tous les messages destins au collecteur de donnes seront dsormais envoys ce nouveau collecteur.
LOCUSSOL MACHADO
Le Client Lger
21
IR 2000 - Anne 2003
Un administrateur peut utiliser la CMC pour attribuer un niveau de priorit chaque serveur. Les niveaux de priorit sont les suivants : Plus haute priorit : indique que ce serveur devient le collecteur de donnes pour cette zone. Un seul serveur de la zone doit avoir ce niveau de priorit. Prioritaire : inique que ce serveur devient le collecteur de donnes pour cette zone si aucun serveur n'est slectionn en tant que Plus haute priorit. Priorit par dfaut : indique que ce serveur essaie de devenir le collecteur de donnes pour cette zone, si aucun serveur n'a le niveau de priorit Plus haute priorit ou Prioritaire. Il s'agit du choix par dfaut. Tous les serveurs qui sont rattachs une zone sont initialement dfinis sur Priorit par dfaut. Sans priorit : indique que ce serveur devient le collecteur de donnes pour cette zone uniquement si aucun serveur n'a le niveau de priorit Plus haute priorit, Prioritaire ou Priorit par dfaut.
Remarque : MtaFrame XP n'utilise pas de collecteur de donnes de secours. En cas de dfaillance du collecteur de donnes, un nouveau collecteur de donnes est slectionn et tous les serveurs de la zone envoient leurs donnes spcifiques la zone du nouveau collecteur.
LOCUSSOL MACHADO
Le Client Lger
22
IR 2000 - Anne 2003
3.
AVANTAGES
Les avantages d'une architecture Client Lger/Serveur, apports par la technologie Citrix, par rapport une architecture Client/Serveur traditionnelle sont indniables et multiples. Rduction du Cot de Proprit TCO Avec sa capacit simplifier le dploiement et l'administration des applications, faciliter le support technique et rduire le temps que passent les utilisateurs maintenir leurs propres ordinateurs, la solution centralise client lger de Citrix peut permettre d'conomiser entre 25% et 30% des cots affrents aux rseaux. Contrle centralis En gnral, le dploiement des applications d'entreprise est onreux et complexe et demande beaucoup de temps. Il oblige les administrateurs systmes de l'entreprise distribuer physiquement les applications sur chaque poste client, contrler la prsence ventuelle de plusieurs versions, se charger du support utilisateur, prendre en compte les nombreuses configurations systmes. Le logiciel MtaFrame XP de Citrix amliore la gestion des applications en permettant le dploiement quasi instantan, l'administration et le support de ces dernires pour des centaines d'utilisateurs partir d'un point central. Les mises jour ne sont effectues quune seule fois : sur le serveur Citrix. Des performances indpendantes de la bande-passante Les applications d'entreprise conues pour des rseaux large bande passante et des machines de bureau puissantes congestionnent les rseaux et n'offrent que des performances limites sur des lignes faible dbit. Le logiciel MtaFrame XP de Citrix est optimis pour des connexions avec un dbit aussi faible que 14400 bps. Pour cette raison, tout utilisateur distant peut compter sur des performances dans l'utilisation des applications quivalentes celles dun rseau local, mme lorsque la bande passante est rduite ou le trafic rseau lev. Cette indpendance par rapport la bande passante augmente lefficacit du rseau et rduit de ce fait ses cots. Intgration dans des environnements informatiques htrognes L'htrognit des environnements informatiques est un tat de chose indniable pour l'entreprise d'aujourd'hui, avec un large ventail de postes clients, de systmes d'exploitation, de protocoles et de connexions rseaux. Le logiciel MtaFrame XP de Citrix offre un accs universel aux applications Windows, indpendamment de la nature du poste client, du systme d'exploitation, du type de connexion rseau ou du protocole. Htrognit des postes clients Pratiquement tout poste client peut accder aux serveurs Citrix MtaFrame sans rcriture de code, sans modification du matriel client ou reconfiguration de ce dernier. Ces postes peuvent tre des PC base de processeur x86 ou de pentium, des terminaux Windows, des portables et des priphriques d'information, aussi bien que des clients DOS, UNIX, OS/2 Warp, Mac OS ... Htrognit des connexions rseaux Les utilisateurs peuvent se connecter au rseau travers des lignes tlphoniques standards, des liaisons WAN (T1, T3, X.25), des connexions large bande (RNIS, relais de trame, ATM), des
LOCUSSOL MACHADO
Le Client Lger
23
IR 2000 - Anne 2003
connexions sans fil, via l'Internet ou des intranets. Les utilisateurs disposent de performances quivalentes celles des rseaux locaux quelle que soit la connexion rseau utilise. Pour cette raison, les entreprises vitent des mises niveau coteuses de leur structure rseau. Htrognit des protocoles de rseaux Le logiciel Citrix MtaFrame XP supporte tous les protocoles usuels des LANs et des WANs, dont TCP/IP, IPX, SPX, NetBIOS. Gestion des systmes Il n'y a donc pas de limite dans la puissance pouvant tre mise en oeuvre ct serveurs. Au fur et mesure que la taille de l'entreprise passe de quelques dizaines des centaines voire des milliers d'utilisateurs, les administrateurs rseaux de celle-ci peuvent simplement ajouter de nouveaux serveurs Citrix MtaFrame la batterie de serveurs en rpartition de charge. Gestion des applications Le logiciel MtaFrame XP permet aux administrateurs systmes de l'entreprise de grer et d'tendre l'utilisation des applications toute l'entreprise. Intgration transparente des ordinateurs de bureau Les utilisateurs ont un accs complet toutes leurs ressources systmes locales, alors mme que les applications tournent distance sur le serveur Citrix MtaFrame. Ils n'ont donc pas besoin d'une formation spcifique puisqu'ils continuent travailler dans leur environnement de travail habituel.
LOCUSSOL MACHADO
Le Client Lger
24
IR 2000 - Anne 2003
4.
4.1
ELEMENTS FINANCIERS
COUT DE POSSESSION DES APPLICATION - TCO
TCO signifie Total Cost of Ownership. Le TCO dune organisation englobe quatre domaines principaux : Cots en capital matriel, rseau et logiciel pour les nouvelles acquisitions et mises niveau, Cots de gestion des systmes et rseaux, Cots de support technique, Cots des systmes dinformation et cots lis aux utilisateurs finaux. De rcentes analyses du TCO ont galement permis didentifier dautres catgories importantes de cots : dpenses en dveloppement de logiciels, frais de communications rseau et cots indirects de non-activit rsultant des priodes de panne du systme.
4.1.1
CAPITAL MATERIEL, RESEAU ET LOGICIEL
Les cots en capital matriel et logiciel constituent llment du TCO le lus palpable et le plus facilement identifiable. Bien que pouvant tre significatifs, ils reprsentent moins du tiers du cot total dun ordinateur de bureau client. Toutefois, ces cots ne constituent quune partie des cots totaux. Il faut en effet y ajouter les mises jour du processeur, de la mmoire physique, de la mmoire de masse et priphriques de stockage, du matriel de connectivit qui peuvent largement dpasser le cot dacquisition initial. La plupart des analyses de TCO supposent que le nouveau matriel ou les solutions de gestion ont t achets leur cot minimum. Nanmoins, le remplacement grande chelle des environnements informatiques reprsente un cot prohibitif.
4.1.2
GESTION DES SYSTEMES ET DES RESEAUX
Bien que moins palpables, les cots de gestion et dadministration dun environnement informatique demeurent pourtant un lment part entire du TCO ; ceux-ci peuvent slever 6275 dollars par ordinateur de bureau Windows 95 au bout de cinq ans dexploitation. Le dploiement rgulier dapplications, cest--dire notamment linstallation, la configuration et la gestion des logiciels, est souvent une activit laborieuse et onreuse. Non seulement les administrateurs doivent distribuer physiquement les applications chaque client, mais ils doivent galement grer les problmes de contrle des versions, ladministration distance, les multiples configurations systme et la duplication des donnes.
LOCUSSOL MACHADO
Le Client Lger
25
IR 2000 - Anne 2003
Les cots de gestion des systmes et des rseaux englobent galement les cots de mise en place des technologies dinformation et de sous-traitance qui sont associes la gestion des rseaux, des systmes et des supports de donnes. Ces cots concernent notamment les activits de sauvegarde, de maintenance du matriel, de gestion de la scurit informatique et celle dadministration des serveurs et des rseaux. Malgr les dfis que cela reprsente, il existe peu de solutions pour rpondre aux problmes sous-jacents de gestion
4.1.3
SUPPORT TECHNIQUE
Comme le cot de gestion, le cot du support technique est moins palpable mais bien rel. Ils englobent les dpenses en main duvre, systmes et logiciels qui sont engages pour le support des utilisateurs, les contrats associs, le personnel technique, la formation des utilisateurs finaux et les services annexes. Daprs les donnes du GartnerGroup, le cot du support technique peut slever 8165 dollars sur cinq ans, soit environ 16% du TCO. Des solutions permettent aujourdhui dautomatiser la procdure de support aux utilisateurs, mais elles nont pas rsolu les problmes fondamentaux lis la ncessit dadministrer des centaines, voire des milliers dordinateurs de bureau clients disperss travers une organisation.
4.1.4
UTILISATEURS FINAUX ET COUTS AFFERENTS
Les cots indirects lis aux utilisateurs finaux sont les plus difficiles quantifier et correspondent souvent llment le plus controvers du TCO. Ils englobent les cots et linefficacit des utilisateurs finaux lorsque ceux-ci essaient de rsoudre eux-mmes les problmes et ceux de leurs collgues au lieu de recourir au service de support. De tels cots sont quantifis en temps perdu ou en baisse de productivit rsultant dactivits telles que la gestion de fichiers, le dveloppement dapplications personnelles ou de macros et lauto-formation. Bien que les environnements PC et client/serveur aient fourni aux utilisateurs finaux les applications dont ils avaient besoin, ils ont malheureusement accentu les contraintes techniques. Par ailleurs, la cration de ces environnements sest faite aux dpens du contrle et de la scurit. Dans une architecture c/s traditionnelle, les applications et les donnes vitales de lentreprise rsident la fois sur le serveur et les postes clients dissmins en diffrents lieux. Les risques de dtournement (ou accs non autoriss) et de perte dinformation sont accrus. Tous ces facteurs reprsentent 40% du TCO rel dune organisation.
LOCUSSOL MACHADO
Le Client Lger
26
IR 2000 - Anne 2003
4.1.5
REPARTITION DU TCO (GARTNERGROUP)
Daprs une tude du GartnerGroup, le cot de possession dune application classique (dploye sur un PC) peut tre rparti ainsi :
Le principal challenge que les entreprises doivent relever est le suivant (source Citrix) :
LOCUSSOL MACHADO
Le Client Lger
27
IR 2000 - Anne 2003
La matrise, le dploiement et la facilit dadministration des applications sont les trois facteurs essentiels au choix logiciels dans les entreprises. La diminution du trafic rseau, la simplicit de mise jour et les nombreuses possibilits MetaFrame (support, formation utilisateur) sont des points auxquels rpond parfaitement loffre Citrix base sur le concept du client lger. Le schma suivant dtaille les souhaits des directeurs informatiques :
4.2
SOLUTION JUSTIFICATIONS APPROCHE TCO
ECONOMIQUES
La solution de Citrix est une solution globale, fdrant la diversit logicielle et matrielle existante, et laissant la libert de choix pour les investissements futurs. Elle prserve les investissements engags sur les produits logiciels "Microsoft Windows compliant" acquis et dploys dans votre socit . Elle ne ncessite aucune mise jour de ce parc. Le problme de lvolution des configurations (nouveaux runtimes) disparat puisque le poste ne gre plus que le simple pilote daffichage ICA (Independent Computing Architecture, protocole de prsentation de Citrix permettant, entre autres, la gestion des vnements graphiques de type Windows). Ladoption dune telle solution simplifie considrablement la gestion du parc micro de votre socit et contribue rduire les cots tous les niveaux (dploiement, administration, gestion des configurations, ). En effet, le cot rel dacquisition, de dploiement et dadministration des applications informatiques pour un ensemble dutilisateurs finaux est bien suprieur au cot dachat initial dun PC et des logiciels. Il reste cependant en dterminer le plus prcisment dans quelles proportions. Daprs le GartnerGroup, le cot total dun PC en rseau sous Windows 95 slve prs de 50000$ au bout de cinq ans. Le rsultat net dun passage la solution client lger propose par Citrix est une rduction du TCO pouvant aller jusqu 57%.
LOCUSSOL MACHADO
Le Client Lger
28
IR 2000 - Anne 2003
4.2.1
REDUCTION DU TCO AVEC LAPPORT DUNE SOLUTION CLIENT LEGER/SERVEUR
Dans le modle client lger/serveur, le dploiement, la gestion, le support et lexcution des applications se font intgralement sur serveur. Il utilise un systme dexploitation multi-utilisateurs qui permet plusieurs utilisateurs de se connecter et dexcuter des applications sur le serveur en sessions indpendantes et protges. Il emploie une mthode qui consiste sparer lapplication du poste client. Ce dernier est cantonn traiter les ordres daffichage qui reoit au format ICA et envoyer ses vnements clavier/souris au serveur en utilisant le mme protocole ICA. Les sessions client lger/serveur fonctionnent partir de linfrastructure et des normes informatiques actuelles ainsi que des produits Windows prsents ou venir. Cela signifie une meilleure rentabilit des investissements informatiques ordinateurs de bureau, rseaux, applications et formation. Les sessions client lger/serveur permettent une rduction des cots dans les quatre postes cls du TCO.
4.2.2
CAPITAL MATERIEL, RESEAU ET LOGICIEL
Les sessions client lger/serveur offrent une solution base sur les terminaux Windows qui, de par leur rentabilit, peuvent contribuer rduire le cot moyen du capital en ordinateurs de bureau de 21%. Par exemple, le dploiement dune solution client lger/serveur partir dune nouvelle gnration de matriel client lger comme les terminaux Windows Wyse Winterm a permis une socit amricaine situe San Francisco dconomiser environ 1 million de dollars sur un cycle de vie de cinq ans. En permettant de prserver lintgralit de linfrastructure existante et dutiliser les applications Win32 les plus performantes, la banque de Walnut Creek (Californie) a ralis une conomie de 40% grce la solution client lger/serveur de Citrix. Cette solution lui a permis dviter lachat de nouveaux serveurs et lembauche dadministrateurs rseau pour chaque succursale, tout en donnant accs aux applications vitales de lentreprise avec des PC et des anciennes bornes interactives travers un rseau WAN. Parce que les applications rsident et sexcutent 100% sur le serveur, les architectures client lger/serveur offrent un moyen aux compagnies dutiliser ces dernires partir des postes existants. En outre, il existe une parfaite intgration entre lordinateur de bureau, les ressources, les applications locales et distantes de lutilisateur, et ceci avec des performances exceptionnelles.
4.2.3
ADMINISTRATION DES SYSTEMES ET RESEAUX, SUPPORT TECHNIQUE
Larchitecture client lger rsout les problmes de gestion et de support technique en permettant un contrle des applications et des fichiers de donnes partir dun point unique. Elle inclut des outils de gestion dentreprise qui permettent aux administrateurs de dployer, configurer, grer et supporter les applications dun seul endroit. Linstallation de nouvelles applications ou les mises jour des applications existantes est ralise uniquement sur le serveur et mise instantanment la disposition de tous les ordinateurs de bureau clients. Ainsi, la solution client lger/serveur de Citrix a permis Hewlett-Packard de dployer un logiciel de ressources humaines vers plus de 25000 employs dissmins dans toute lEurope. Cette solution a permis de grer de faon centrale les applications et les donnes, tout en donnant chacun des employs la possibilit daccder en temps rel aux donnes vitales afin de leur permettre de procder des mises jour et des recherches dinformation.
LOCUSSOL MACHADO
Le Client Lger
29
IR 2000 - Anne 2003
Les spcialistes du support technique peuvent prendre le contrle distance dune session utilisateur (mode shadow) afin de visualiser lcran de ce dernier et prendre le contrle de sa souris et de son clavier. Cela simplifie considrablement le support, le diagnostic des problmes et la formation. Selon Otto Folprecht, administrateur de rseaux pour Tree Island, socit base en Colombie britannique avec des filiales en Californie et Washington, une solution client lger/serveur applique des terminaux Windows sest avre tre la solution la plus simple et la plus conomique pour le dploiement dapplications travers notre entreprise. Pour moi, cette solution densemble correspond lide que je me fais du Zero Administration. Les donnes du GartnerGroup indiquent quune solution Citrix peut abaisser les cots du support technique de 25% et les cots dadministration denviron 60%. Une tude ralise par Zona Research a rvl quune solution client lger/serveur prsentait des avantages bien plus consquents ; en effet, les cots dadministration et de gestion de 15 ordinateurs personnels dans un rseau Windows NT sont approximativement 500% suprieurs aux cots dadministration et de gestion de 15 postes Winterm fonctionnant dans une architecture client lger/serveur.
4.2.4
UTILISATEURS FINAUX ET COUTS ASSOCIES
Avec larchitecture client lger/serveur, les administrateurs et les employs du service de support bas au sige, peuvent assurer leur fonction vis vis des filiales sans quil soit ncessaire de recourir des techniciens dans chaque agence. Par exemple, Kein Smith, directeur du service de support de Pro Staff, une socit possdant 130 filiales explique : terme, nous rduirons de faon substantielle les cots annuels de possession des applications, puisque leur dploiement, leur configuration et le support des utilisateurs seront assurs en central depuis les serveurs situs au sige de la socit. Parce quune solution client lger/serveur maintient les applications et les donnes sur le serveur, les utilisateurs peuvent accder aux informations et aux applications dont ils ont besoin en toute scurit sans que les administrateurs sexposent aux risques lis au tlchargement de donnes et dapplications. La gestion de fichiers et des applications est confie aux professionnels. Les sauvegardes pratiques au niveau des serveurs assurent que toutes les donnes vitales de la socit sont archives. En fin de compte, les cots de lutilisateur final sont rduits dun tiers.
4.2.5
AUTRES ELEMENTS DE TCO
Larchitecture client lger/serveur offre de nombreux autres avantages pour la matrise du TCO. Plutt que davoir dvelopper de nouvelles applications orientes rseau, le modle client lger/serveur utilise les applications Windows actuelles 16 et 32-bit. Ce modle permet galement aux administrateurs de publier des applications Windows via des pages HTML sans rcrire une seule ligne de code. Par exemple, daprs Allen Hewes, ingnieur chez Standard Forms Inc., une solution client lger/serveur nous a permis de rduire considrablement le cot total de possession de nos applications dentreprise puisquelle nous a dispens de lobligation de rcrire 5 Go de code. Les architectures client lger/serveur minimisent le trafic rseau, y compris pour les applications Win32 actuelles. Ainsi pour une entreprise, la mise niveau structurelle dun WAN nest plus une ncessit. Par ailleurs, les modles client lger/serveur constituent une solution trs fiable qui permet de diminuer les cots lis lindisponibilit dun serveur, notamment grce la fonctionnalit de rpartition de charge qui permet un ensemble de serveurs identiques (ferme ou grappe) de simuler un mode cluster volu.
.
LOCUSSOL MACHADO
Le Client Lger
30
IR 2000 - Anne 2003
Les architectures client lger/serveur rduisent le TCO des organismes qui : Ont besoin de prserver et damortir leur investissement ralis, Ont besoin dutiliser des applications Win32 dans un environnement htrogne, Possdent un parc important de PC 286/386/486, Ont un besoin croissant en personnel de support technique et dadministration, Ont besoin de dployer et de grer des applications pour des milliers dordinateurs clients/serveur, Doivent fournir un support technique des filiales ou agences, Ont besoin damliorer le contrle et la scurit dans leur environnement informatique, Dveloppent ou rcrivent des applications afin de les publier via leur intranet, Se trouvent devant la ncessit de mettre niveau un rseau tendu afin de bnficier dune bande passante plus haut dbit et de performances plus leves.
4.2.6
CONCLUSION
Selon le GartnerGroup, lavantage offert par les solutions client lger/serveur en matire de cot de capital, de gestion, de support et utilisateur final slve 22%. Daprs Zona Research, lavantage atteint 57%. Lavantage devient encore plus important lorsquune organisation amortit et augmente son parc informatique et ses rseaux existants. Aujourdhui, les solutions client lger/serveur de Citrix garantissent une rduction importante des cots et sont en passe de devenir le moyen le plus fiable de rduire la complexit et le cot global de linformatique dentreprise.
LOCUSSOL MACHADO
Le Client Lger
31
IR 2000 - Anne 2003
5.
SECURITE EN ARCHITECTURE CENTRALISEE CITRIX
Cette partie pour but de mettre en vidence les contraintes lies lutilisation de la technologie Citrix sur lapplication dune politique de scurit.
5.1
IDENTIFICATION DES FLUX DINFORMATIONS UTILISES
Lidentification des flux dinformations utiliss par Citrix MetaFrame permet de mettre en vidence les services et les changes quil faut scuriser. On distingue deux services ncessaires au bon fonctionnement des applications sexcutant dans lenvironnement Citrix MetaFrame : La gestion des sessions clientes (sessions ICA). Lexplorateur ICA (ICA Browser).
5.1.1
GESTION DES SESSIONS ICA
Lorsquun utilisateur souhaite accder une application, il clique sur une icne ou un lien hypertexte pointant vers lapplication souhaite. Un mcanisme de cration de session entre le client et le serveur est alors lanc. Ce service permet daccder aux applications publies par lintermdiaire du protocole ICA correspondant au port TCP 1494 sur le serveur dapplications.
5.1.2
EXPLORATEUR ICA
Chaque serveur Citrix excute le service Explorateur ICA. Lexplorateur principal gre la liste des explorateurs et reoit rgulirement des mises jour des explorateurs membres. Lexplorateur principal collecte les informations suivantes : Les serveurs Citrix disponibles, Les applications disponibles, Les licences communes, Les informations relatives aux performances et la charge des serveurs Citrix. Les clients Citrix ICA interrogent le service Explorateur ICA pour obtenir la liste des serveurs et des applications publies et ladresse des serveurs et des applications publies lors du lancement dune session. Les clients Citrix ICA doivent donc rechercher lexplorateur principal pour obtenir ladresse dun serveur ou dune application publie. Le service Explorateur ICA utilise le port UDP 1604 du ct client et du ct serveur.
LOCUSSOL MACHADO
Le Client Lger
32
IR 2000 - Anne 2003
5.2
5.2.1
ETABLISSEMENT DES CONNEXIONS

ARCHITECTURE SIMPLE
Dans une architecture simple une session ICA est tablie de la manire suivante (cf. Figure ): 1. Le client Citrix ICA envoie un paquet au port 1494 du serveur Citrix en demandant une connexion. Un port libre suprieur 1023 est attribu alatoirement du ct du client. 2. Le serveur Citrix rpond en envoyant des paquets au client Citrix ICA avec le port de destination demand ltape 1.
FIGURE 12 : ETABLISSEMENT DUNE CONNEXION ICA (ARCHITECTURE SIMPLE) En cas de demande dune application en Load Balancing , le mcanisme de communication Explorateur ICA est mis en uvre. Voir ci-dessus. Comme indiqu plus haut, les paramtres de connexion peuvent provenir ; soit dun fichier ICA charg pralablement via le navigateur, soit au travers du logiciel Program Neighborhood .
LOCUSSOL MACHADO
Le Client Lger
33
IR 2000 - Anne 2003
5.2.2
ARCHITECTURE PORTAIL
Dans une architecture portail une session ICA est tablie de la manire suivante (cf. Figure 13) : 1. Lutilisateur se connecte au site web en tapant lurl dans son navigateur. Une page de login apparat. Lutilisateur tape son login et son mot de passe. Une requte HTTP contenant ces informations est alors envoye au serveur web. 2. Le serveur web reoit les informations concernant lutilisateur et les transmet au service Citrix XML(interface entre http (port 80) et lexplorateur ICA) du serveur dapplications Citrix. 3. Le serveur dapplications dtermine quelles sont les applications auxquelles lutilisateur a le droit daccder. Ces informations sont envoyes au serveur web via le service XML. 4. Le serveur web gnre une page HTML contenant les liens vers les applications de lutilisateur. Cette page est affiche dans le navigateur web de lutilisateur. 5. Lorsque lutilisateur clique sur licne dune application, le navigateur web envoi une requte au serveur web pour retrouver lapplication dsigne. Cette requte est traite par le serveur web qui renvoie les paramtres de lapplication au navigateur web de lutilisateur sous la forme dun fichier ICA paramtr dynamiquement. 6. Le navigateur web reoit ces paramtres et les transmet au client ICA install sur la poste de lutilisateur. 7. Le client ICA reoit les paramtres de lapplication et les utilise pour tablir une session ICA avec le serveur dapplications.
Architecture portail Squence de connexion

Serveur Web + NFuse 3 5 7 6 Client ICA Ferme de serveurs Citrix 2
4 interne HTTP Citrix XML ICA Navigateur Web
Poste client
Figure 13 : Etablissement dune connexion dans le cas dune architecture portail
LOCUSSOL MACHADO
Le Client Lger
34
IR 2000 - Anne 2003
5.3
CONTRAINTES SUR LAPPLICATION DUNE POLITIQUE DE SECURITE
Lutilisation dune architecture centralise Citrix permet de rduire les flux lis lutilisation des diffrentes applications client/serveur classique en un seul type de flux grce lutilisation du protocole ICA. Il est difficile de dcoder un flux ICA en sniffant le rseau puisque seules les mises jour sont envoyes sur le rseau. Toutefois, des contraintes sur lapplication de la politique de scurit de lentreprise sont introduites par lutilisation de la technologie Citrix sur le rseau.
5.3.1
TRAVERSEE DUN PARE-FEU
Un pare-feu permet de laisser passer ou de bloquer les paquets de donnes en fonction de ladresse et du port de destination. Pour utiliser ICA via un pare-feu sur le rseau, il faut configurer correctement le pare-feu afin de permettre laccs aux services suivants : gestion des sessions ICA et explorateur ICA.
5.3.1.1
GESTION DES SESSIONS ICA
Le pare-feu doit tre configur pour permettre aux paquets TCP/IP du port 1494 dtre transmis aux serveurs Citrix sur le rseau. Il faut aussi permettre aux paquets TCP/IP des ports suprieurs 1023 dtre transmis aux clients Citrix ICA. Cf. Figure . Si le pare-feu nest pas dfini pour transmettre les paquets ICA, les utilisateurs reoivent le message derreur There is no route to the specified address (aucune route vers ladresse indique).
5.3.1.2
EXPLORATEUR ICA
De mme, le pare-feu doit tre configur pour autoriser les connexions entrantes et sortantes UDP du port 1604 aux serveurs Citrix pour permettre laccs lquilibrage de charge, aux batteries de serveurs et lexploration des serveurs ICA de fonctionner correctement (cf. Figure ). Si ce port nest pas autoris au niveau du pare-feu, ces services ne pourront pas fonctionner. Lexploration des serveurs utilise pour rcuprer la liste des applications publies ne pourra pas tre effectue car le client ne peut pas interroger lexplorateur principal. La rpartition de charge ne fonctionnera pas, ainsi si un serveur tombe en panne il faut prvoir un serveur de secours sur lequel lutilisateur peut se connecter pour continuer travailler.
LOCUSSOL MACHADO
Le Client Lger
35
IR 2000 - Anne 2003
Ports autoriser sur un firewall

Clients ICA UDP Source : TCP Source :
1494 Destination : 1494
TCP Source :
Firewall
UDP Source :
ICA (TCP) ICA Browser (UDP)
Serveurs MetaFrame
FIGURE 12 : PORTS A AUTORISER SUR UN FIREWALL Attention : lautorisation des accs non accrdits au service dexplorateur comporte quelques risques au niveau de la scurit. On ne permettra la transmission des donnes Explorateur ICA au travers dun pare-feu uniquement si lquilibrage de charge et lexploration des serveurs via le pare-feu sont essentiels. Dans le cas dune architecture portail, il faudra aussi veiller autoriser le service web (port 80) sur les quipements de filtrage se trouvant entre le client et le serveur web NFuse. De mme, si des quipements de filtrage sont prsents entre le serveur web NFuse et la ferme de serveurs dapplications, il faut autoriser le port correspondant au service Citrix XML (le plus souvent le port 80 est utilis mais il peut tre diffrent).
5.3.2
TRANSLATION DADRESSES
Les quipements rseaux et de scurit peuvent utiliser la translation dadresses IP pour convertir les adresses IP prives en adresses IP publiques. Les adresses publiques permettent de contacter une machine depuis lextrieur tandis que son adresse IP prive permet de le contacter de lintrieur. Cette translation dadresse est supporte par les logiciels clients ICA et serveur. Il faut indiquer, au niveau des serveurs dapplications, ladresse publique de chacun des serveurs (en utilisant la commande altaddr /set @IP ).
LOCUSSOL MACHADO
Le Client Lger
36
IR 2000 - Anne 2003
5.4
ETAT DE LART DES SOLUTIONS DE SECURITE
Pour les besoins dune entreprise, des applications doivent tre mises disposition des employs nomades, des clients et des partenaires. Une infrastructure rseau commune entre lentreprise et ses clients, partenaires et fournisseurs ou lutilisation de lInternet (par exemple pour les nomades) permet daccder aux ressources de lentreprise. Toutefois, on doit assurer lauthentification des tiers, la confidentialit et lintgrit des informations changes. Pour cela il faut mettre en place des solutions dauthentification, de filtrage et de scurisation des changes. Les solutions de scurit en authentification forte, firewall (techniques de filtrage) et de scurisation des changes applicables en environnement Citrix sont prsentes par la suite. Dans cet tat de lart, les solutions techniques (protocole, service) sont tout dabord prsentes puis les principaux produits, utilisables en architecture centralise Citrix et permettant la mise en uvre de la solution technique pralablement prsente, sont identifis.
5.4.1
CRITERES COMMUNS
Pour la slection des produits et des solutions , les critres suivants communs toutes les solutions ont t pris en compte: Disponibilit en France. Compatibilit avec lenvironnement Citrix et aussi avec lenvironnement client lger si des terminaux sont mis en place. Eviter au maximum dintervenir sur les plates-formes des utilisateurs (impossible dans le cas de lutilisation de terminaux). Dans le cas de partenaires, il nest pas possible dintervenir sur leurs postes. Interoprabilit entre les quipements de scurit existant et nouveaux. Les standards existant (IETF) ou les alliances entre constructeurs sont utiliss comme rfrence : Les standards sont dfinis par lIETF (Internet Engineering Task Force), lorganisme de normalisation de lInternet. Lalliance OPSEC est une initiative de lditeur CheckPoint Software, un des principaux acteurs dans le domaine filtrage et de la scurisation des changes avec son produit far Firewall-1/VPN-1. Cette alliance a pour but dassurer linteroprabilit de lensemble des solutions de scurit membres. Haute disponibilit afin dassurer un service fiable daccs aux applications et aux donnes. Niveau de scurit offert. Performances. Solution globale adapte au maximum lensemble des besoins de lentreprise dans le domaine considr. Administration centralise. Administration distance. Cot.
LOCUSSOL MACHADO
Le Client Lger
37
IR 2000 - Anne 2003
5.4.2
AUTHENTIFICATION
Lauthentification permet dassurer lidentit dune personne ou dun serveur.
5.4.2.1
AUTHENTIFICATION FORTE
Lauthentification forte encore appele authentification deux facteurs est base sur quelque chose que lon possde et sur quelque chose que lon connat. Un exemple est laccs un compte bancaire. Lorsque que lon souhaite retirer de largent un distributeur on utilise sa carte puce associe un numro quatre chiffres (code PIN). Ce mcanisme correspond une authentification forte de lutilisateur de la carte puisquil faut la fois possder la carte et aussi connatre le code PIN pour effectuer un retrait. Lauthentification forte combine donc lutilisation dun authentificateur (token en anglais) et dun code secret. Un authentifieur est gnralement un objet physique toutefois certains diteurs utilisent des authentifieurs logiciels. Pour assurer un niveau de scurit lev en ce qui concerne lauthentification, on peut dcider de choisir une solution dauthentification forte plutt quune simple authentification par mot de passe. En effet, une solution de mot de passe statique comporte quelques risques car le couple login / mot de passe peut tre dcouvert. De petits logiciels la porte de tous et faciles se procurer par lintermdiaire du web, permettent de dcouvrir en quelques minutes les mots de passe les plus simples dun systme. En quelques heures des mots de passe plus complexes seront aussi dcouverts. Ces outils sont bass sur lutilisation dun dictionnaire. Pour laccs des ressources sensibles rseau, on utilisera donc une solution dauthentification forte. Toutefois, dans un environnement local avec peu de risques, une solution dauthentification classique par login/mot de passe suffit si lon veille modifier son mot de passe rgulirement et que celui-ci nest pas facile deviner.
5.4.2.2
PROTOCOLE DAUTHENTIFICATION
Dans une organisation o des personnes travaillent distance, il est ncessaire de protger les rseaux et les services des accs non autoriss des utilisateurs distants. Lauthentification des utilisateurs est souvent ralise par un service spcifique appel AAA pour Authentication, Authorization et Accounting (authentification, contrle daccs et suivi dactivits). Ce service dauthentification est gnralement mis en place au travers lutilisation dun protocole spcifique. Les principaux protocoles dauthentification sont les suivants : RADIUS TACACS TACACS+ XTACACS Kerberos
LOCUSSOL MACHADO
Le Client Lger
38
IR 2000 - Anne 2003
Les protocoles de la famille TACACS sont assez rpandus et utilisent le protocole TCP contrairement RADIUS qui sappuie sur UDP. Toutefois, ne ce sont pas des standards dfinis par un organisme de standardisation comme lIETF. Seuls RADIUS et Kerberos sont des standards. Kerberos est mis en place dans lauthentification Windows 2000 au sein dActive Directory (annuaire Microsoft). Ce protocole permet lauthentification des entits communicantes (clients et serveurs) et des utilisateurs. Dans le cas o le service Citrix daccs aux applications est mis en place uniquement pour les membres dun domaine Windows 2000, cette solution est la plus simple mettre en place. Pour des accs distants soit par modem en appelant un serveur daccs, soit par lInternet (via la solution portail de Citrix : NFuse), lauthentification Kerberos est difficile mettre en place si on nest pas dans le mme domaine Windows (ou dans un sous-domaine de ce domaine), elle est complexe dployer car des lments doivent tre mis en place du ct utilisateur et linteroprabilit nest pas vidente entre deux systmes dauthentification diffrents bass sur Kerberos. Pour ces raisons, RADIUS est le plus appropri pour un accs distant aux applications utilisant Citrix. Le protocole RADIUS est dcrit ci-dessous. Pour obtenir des informations sur les autres protocoles, il est possible de consulter les RFC disponibles sur le site web de lIETF (www.ietf.org). 5.4.2.2.1 RADIUS
RADIUS (Remote Authentication Dial In User Service) est un protocole de transport des informations dauthentification dvelopp par Livingston Enterprises. Cest un standard normalis par lIETF, il est dfini dans les RFC 2138 et RFC 2139 : (la RFC 2138 traite de laspect authentification de RADIUS et la RFC 2139 traite laspect accounting (suivi des activits). Contrairement aux autres protocoles dauthentification comme TACACS et ses successeurs(TACACS+, XTACACS), RADIUS est un standard. RADIUS est gratuit, son code est public et cest un protocole ouvert (il est possible de lui rajouter des fonctionnalits supplmentaires). Il supporte de nombreux mcanismes dauthentification. Les changes entre client et serveur sont chiffrs. Ce protocole est interoprable avec dautres protocoles dauthentification comme TACACS, TACACS+ et XTACACS. De nombreuses solutions commerciales dauthentification offrent la compatibilit RADIUS. 5.4.2.2.2 PRINCIPE DE FONCTIONNEMENT
RADIUS est bas sur un modle client/serveur, lauthentification est ralise de manire centralise. RADIUS utilise le protocole UDP. Les numros de ports qui lui sont attribus sont le port UDP 1645 pour lauthentification et le port 1646 pour le suivi des activits. La fiabilit du transport des informations est ralise par RADIUS et non par le protocole de transport car RADIUS sappuie sur UDP. Le serveur RADIUS tourne habituellement sur une machine UNIX ou Windows NT. Un serveur RADIUS permet dauthentifier un utilisateur grce son nom dutilisateur et son mot de passe interne ou il peut jouer le rle de client (via un proxy RADIUS) pour lauthentification des utilisateurs base sur un systme dauthentification diffrent (comme Unix, NT, Netware, etc). Un serveur RADIUS peut jouer le rle de client pour un autre serveur RADIUS. Ce mcanisme est particulirement utile lorsquune entreprise veut externaliser la gestion de laccs distant tout en gardant le contrle sur sa scurit. Le protocole RADIUS offre beaucoup de possibilits, le succs ou lchec dune tentative dauthentification peut dpendre du serveur daccs depuis lequel la requte a t envoye, lheure, le jour ou ladresse IP de lutilisateur. Il est aussi possible de dfinir des restrictions pour les transactions quun utilisateur peu effectuer. Des implmentations peuvent ajouter des fonctionnalits supplmentaires celle de base (RADIUS est un protocole ouvert).
LOCUSSOL MACHADO
Le Client Lger
39
IR 2000 - Anne 2003
Un utilisateur qui souhaite tablir une connexion contacte le serveur daccs distant (remote access server RAS ou network access server - NAS) qui est en fait un client RADIUS. Lutilisateur envoie son nom dutilisateur et son mot de passe au serveur daccs (requte de type access-request), qui transmet les informations au serveur RADIUS pour lauthentification. Le serveur RADIUS vrifie les informations dauthentification et renvoie le paquet adquat : - un access-accept : lautorisation est accepte, des informations supplmentaires comme ladresse IP ou le masque de rseau sont envoyes. - access-reject : le nom dutilisateur et le mot de passe sont errons. - access-challenge : dans le cas de lutilisation dun mcanisme de mot de passe usage unique (One Time Passsword OTP) avec challenge. Dans le cas de lutilisation dun mcanisme dauthentification mot de passe dynamique (mot de passe usage unique), le serveur envoi un challenge (numro) lutilisateur. Lutilisateur gnre un nouveau mot de passe en utilisant son authentifieur. Lutilisateur envoie ensuite un access-request contenant le mot de passe gnr. Le serveur vrifie les informations reues et renvoi un paquet adquat (access-accept ou access-reject). Les clients autoriss mettre une requte vers le serveur sont identifis par leur adresse IP et une clef partage (secret). Le mot de passe est chiffr en utilisant lalgorithme suivant : MD5(secret) XOR password (o MD5 est un algorithme de hachage). Un certain nombre de fonctions de suivi dactivit sont dfinies dans la norme (accounting-request / accounting-response). 5.4.2.2.3 METHODES DAUTHENTIFICATION ET AUTHENTIFIEURS
Aprs avoir slectionn le protocole dauthentification, il faut dterminer la manire dont on va sauthentifier. Plusieurs mthodes dauthentification sont possibles, certaines ncessitent le dploiement, pour chaque utilisateur, dun objet appel authentifieur fournissant des informations ncessaires la procdure dauthentification. Les mthodes prsentes sont les plus courantes, elles ne sont pas supportes par toutes les solutions du march.
5.4.2.2.3.1 MOT DE PASSE STATIQUE
Lauthentification par mot de passe statique est trs rpandue. Cest la solution la plus souvent utilise pour accder un systme. La procdure dauthentification dbute par une procdure de login durant laquelle on fournit son login et son mot de passe (chane de caractres secrtes). Le systme rcupre ces informations et regarde dans sa base de comptes des utilisateurs si la personne est bien enregistre et si le mot de passe qui a t tap est correct. Si le couple login/mot de passe est correct, lauthentification est russie et laccs au systme est permis. Pour un hacker expriment ou un utilisateur initi il est techniquement facile de dcouvrir le mot de passe dun utilisateur. En effet, en utilisant des outils disponibles sur lInternet il est assez ais de dcouvrir les mots de passe douverture dune session Windows NT ou Unix. De tels outils sont bass sur lutilisation dun dictionnaire rpertoriant les mots de passe les plus utiliss. Plus le mot de passe est simple, plus il sera facile et rapide de le dcouvrir. Pour les mots de passe plus complexes, il faudra un peu plus de temps mais sa dcouverte reste toujours possible pour des dures infrieures une journe dans des configurations classiques cest dire sans mcanisme de scurit spcifique. De plus, la principale faiblesse de cette mthode est quen sniffant le rseau on peut rejouer la squence dauthentification. Il faut donc chiffrer les changes et le fichier dans lequel sont stocks les mots de passe sur le serveur.
LOCUSSOL MACHADO
Le Client Lger
40
IR 2000 - Anne 2003
5.4.2.2.3.2 MOT DE PASSE A USAGE UNIQUE (OU ONE TIME PASSWORD OTP)
A chaque demande de connexion lutilisateur fournit un mot de passe diffrent gnrer soit par une petite calculette affichant un nouveau mot de passe priodiquement ou chaque fois que lon a se connecter en pressant une touche. Ce mcanisme est souvent associ lutilisation dun code PIN que seul lutilisateur connat. Le principe est simple : un mme algorithme tourne de manire indpendante sur le serveur et sur la calculette. Lorsque la calculette fournie un nouveau mot de passe usage unique le serveur, de son ct, connat le mot de passe sans pour autant quil y ait une communication entre les deux entits. Il nest pas utile de chiffrer ce mot de passe puisquil nest pas rejouable.
5.4.2.2.3.3 CARTE A PUCE
Le plus souvent, la carte puce est utilise dans le cadre dune infrastructure cl publique. Mais elle peut aussi servir dauthentifieur en fournissant le mot de passe usage unique. La puce gnrant un mot de passe priodiquement.
5.4.2.2.3.4 CLE USB
Le principe est le mme que celui dune carte puce. On peut la fois lutiliser dans le cadre dune infrastructure cl publique mais aussi comme authentifieur fournissant un mot de passe dynamique (OTP). Pour utiliser une cl USB, il suffit de possder un port USB disponible sur tous les postes datant de moins de trois ans. Linventeur de la cl dauthentification USB est Rainbow Technologies avec ses produits iKey1000 et iKey2000 (version PKI).
5.4.2.2.3.5 LA BIOMETRIE
La biomtrie est base sur lutilisation des caractristiques physiques des personnes. Un diteur franais : ZalixBiomtrie (www.zalix.fr) propose des solutions sintgrant dans les environnements Windows et notamment Active Directory. Le march de la biomtrie est en pleine expansion et les prix deviennent abordables. 5.4.2.2.4 CHOIX DUNE METHODE DAUTHENTIFICATION
La technologie Citrix permet dutiliser des terminaux Windows appels terminaux client-lger sur lesquels il nest pas possible dinstaller un logiciel spcifique pour grer lutilisation de lauthentifieur. Un lecteur de cartes puce, une cl USB ou les systmes bass sur la biomtrie ncessitent linstallation dun logiciel spcifique pour la gestion de ces priphriques. Leur utilisation nest possible que si lon nutilise pas de terminaux client-lger ou ci ces derniers prennent en considration, dans le futur, ces solutions. Pour toutes les raisons qui viennent dtre noncs, la mthode dauthentification forte prconise est celle du mot de passe usage unique (OTP) sappuyant sur un authentificateur souvent sous forme de calculette.
LOCUSSOL MACHADO
Le Client Lger
41
IR 2000 - Anne 2003
5.4.2.3
SOLUTIONS
Dans le cas dune utilisation de Citrix au sein dun domaine Windows 2000, Kerberos peut tre mise en place au travers dActive Directory. Kerberos fournit un bon niveau de scurit pour lauthentification (Kerberos authentifie la fois les utilisateurs et les services en utilisant un algorithme de chiffrement asymtrique). Dans le cas o les applications sont rendues accessibles par Citrix en utilisant un accs distant, RADIUS est privilgier comme protocole dauthentification. Il existe de nombreuses solutions implmentant le protocole RADIUS dont certaines sont libres. RADIUS ncessite linstallation dun client auquel sadresse le serveur MetaFrame pour authentifier lutilisateur. Ce client est install sur le serveur MetaFrame pour en permettre laccs authentifi en utilisant RADIUS. Toutefois, le produit Citrix MetaFrame est en majorit prsent dans lenvironnement Windows bien quil existe un produit Citrix MetaFrame pour lenvironnement Unix. Les solutions libres ne sont pas adaptes lenvironnement Citrix sous Windows, elles sont plutt destines aux environnements Unix. Les solutions commerciales sont donc envisager. Voici les quatre principales solutions dauthentification du march, toutes compatibles RADIUS: RSA SecurID de RSA Security (leader mondial) SafeWord de SecureComputing (trs prsent aux Etats-Unis) ActivCard SafeData de SafeData Systems (rachet rcemment par ActivCard) Les solutions RSA SecurID et SafeWord savrent bien adaptes lenvironnement Citrix. La solution SafeWord propose mme un agent spcifique lenvironnement Citrix. Lintgration de RSA SecurID en environnement Citrix est documente dans laide du produit MetaFrame. Voici une tude dtaille de ces deux solutions : 5.4.2.3.1 RSA SECUREID
RSA SecurID, solution dauthentification forte de RSA Security, repose sur le principe de mot de passe usage unique. Afin dtre autoriss se connecter, les utilisateurs doivent sauthentifier en utilisant conjointement deux facteurs dauthentification totalement distincts : Quelque chose que seul lutilisateur connat : le code secret (PIN). Quelque chose dunique que seul lutilisateur possde : lauthentifieur RSA SecurID. Lauthentifieur gnre un code unique toutes les 30 60 secondes, non usurpable, non rejouable. Lauthentification est ralise en une seule tape : lutilisateur saisit son login et recopie la suite de chiffres affiche sur son authentifieur suivie de son code secret dans la partie password . La solution dauthentification forte RSA SecurID est compose dun ou plusieurs serveurs dauthentification RSA ACE/Server et dagents RSA ACE/Agent qui envoient les requtes au(x) serveur(s) dauthentification. Les serveurs dauthentification RSA ACE/Server contiennent les informations dauthentification pour chaque utilisateur. Cest une base de donnes partir de laquelle on donne ou non lautorisation de connexion un utilisateur. Le code secret associ au code dauthentification forme un passcode transmis au serveur dauthentification. Le serveur ACE/Server peut tre install sur une plate-forme Windows NT ou Unix (Sun, HP ou IBM). Un unique ACE/Server peut grer 100 000 utilisateurs. Un mcanisme de Master/Backup (Principal/Secours) permet dassurer une haute disponibilit. Lorsque le serveur principal est hors dusage, le serveur de secours prend le relais automatiquement.
LOCUSSOL MACHADO
Le Client Lger
42
IR 2000 - Anne 2003
Quand le serveur principal est rpar, il reprend alors la main. La communication entre le serveur principal et celui de secours sappuie sur le protocole TCP, les changes entre ces deux entits sont chiffrs et la cl est modifie toutes les 10 minutes. Un mcanisme de rpartition de charge peut tre mis en place entre les serveurs par rplication des serveurs ACE/Server. LACE/Server permet dauthentifier la fois les utilisateurs locaux et les utilisateurs distants. Lauthentification des utilisateurs qui souhaitent accder aux ressources du rseau est ralise par lintermdiaire dagents installs sur les ressources du rseau. Les paquets sont chiffrs, lors de la premire connexion entre lagent et le serveur, un secret est chang. Les agents dauthentification RSA ACE/Agent sont chargs de la transmission du passcode entre la plate-forme de lutilisateur et le serveur dauthentification. Cet agent dclenche la demande dauthentification ds quun utilisateur demande laccs une ressource protge. Un agent permet de scuriser les accs aux ressources : RAS/NAS (accs distant), firewall, serveurs web (Microsoft IIS, Lotus Domino, IPlanet), systmes dexploitation (Windows NT, Solaris, IBM AIX, HP-UX, RedHat Linux),et messagerie. RSA SecurID se dcline selon une vaste gamme de formes possibles rpondant des besoins diffrents. Un authentifieur fourni un nouveau code toutes les 30 60 secondes. Voici les diffrentes formes dauthentifieurs : Porte-cls : fourni un nouveau code priodiquement. Calculette : avec ou sans pin pour obtenir un nouveau code dauthentification.. Carte puce. Logiciel : pour PC ou pour PalmPilot. Les serveurs dauthentification sont synchroniss de manire temporelle avec les authentifieurs qui fournissent un nouveau code priodiquement. Il arrive quun authentifieur soit dsynchronis avec le serveur, il faut alors le resynchroniser la main (voir www.rsasecurity.com pour plus de dtails). 5.4.2.3.2 SAFEWORD
Le principe de fonctionnement de la solution dauthentification SafeWord de SecureComputing est proche de celui de RSA SecurID. Les principales caractristiques de ce produit sont : serveur AAA : authentification, contrle daccs et suivi dactivits, mot de passe dynamique usage unique (OTP), support de nombreux priphriques dauthentification, performances leves jusqu 150 authentifications par seconde, rplication et rpartition de charge entre serveurs dauthentification (jusqu 4 serveurs), administration centralise partir dune seule console dadministration. gestion des dplacements au sein dun rseau (un utilisateur qui est habituellement authentifi sur un lieu A par un service dauthentification, se dplace sur un lieu B ou un autre service dauthentification est prsent, le service dauthentification B interroge le service A pour authentifier lutilisateur mobile et met jour sa table pour grer lutilisateur en B). Les authentifieurs disponibles sont : Calculette : avec ou sans code PIN pour obtenir un nouveau code dauthentification. Logiciel pour PC, PalmPilot. Cartes puce et cl USB uniquement pour le produit SafeWord Plus (permet dutiliser une infrastructure cl publique). Biomtrie. Mot de passe classique.
LOCUSSOL MACHADO
Le Client Lger
43
IR 2000 - Anne 2003
La gnration des mots de passe dynamique nest pas base sur le temps mais sur un numro dordre. Par rapport au numro dordre, un mot de passe dynamique est possible. Lors dune dsynchronisation entre le serveur et lauthentifieur, la premire connexion est refuse toutefois le serveur essaye de retrouver le numro dordre par rapport mot de passe dynamique quil a reu. Lors de la seconde authentification, si le mot de passe correspond bien au numro dordre alors lauthentification russie. Il nest donc pas ncessaire de resynchroniser le serveur avec lauthentifieur en passant par ladministrateur. Un agent spcifique Citrix MetaFrame permet dintgrer cette solution dauthentification dans cet environnement. Pour cela, les serveurs dapplications doivent faire partie dun domaine Windows. Sur chaque serveur Citrix, on doit installer cet agent. SafeWord est une solution dauthentification bien adapte lenvironnement Citrix car elle est simple installer, administrer et utiliser. De plus, elle ne ncessite aucune modification sur le poste de travail de lutilisateur rpondant bien la problmatique du poste client-lger. Pour plus de dtails, il est possible de se rfrer au site web de lditeur : www.securecomputing.com. 5.4.2.3.3 CHOIX DUNE SOLUTION
Les principales diffrences entre SafeWord et RSA SecurID sont : la notion de serveur principal/secours pour les serveurs dauthentification qui est prsente dans la solution de RSA Security alors que celle de SecureComputing ntablie pas cette hirarchie. la gnration des mots de passe usage unique est base sur le temps pour RSA SecurID (un toutes les 60 secondes) tandis quelle est base sur un numro dordre pour SafeWord ( chaque nouvelle authentification on rcupre le mot de passe usage unique en appuyant sur une touche). La solution SafeWord possde un agent spcifique lenvironnement Citrix contrairement RSA SecurID qui utilise un agent classique. Globalement, RSA SecurID est un produit plus complexe mettre en uvre et utiliser que SafeWord. Ce dernier est plus convivial. RSA Security est mieux implante en France et son produit est distribu en plus grand nombre alors que SecureComputing, qui a mont une antenne franaise il y a un an, a son rseau de distributeur encore peu dvelopp en France.
5.4.2.4
SELECTION DUNE SOLUTION COMPLETE DAUTHENTIFICATION
Pour les raisons qui viennent dtre noncs, la solution complte dauthentification que nous prconise est le produit SafeWord de SecureComputing en utilisant RADIUS comme protocole dauthentificaton et la mthode dauthentification de mot passe usage unique utilisant une calculette distribue chaque utilisateur du systme. Lutilisation dune infrastructure est rare de nos jours, peu dentreprises en dploient une car de telles solutions sont lourdes et complexes dployer et grer, et en plus elles sont trs chres. Elles ne sont utilises que dans des environnements ncessitant un niveau de scurit trs lev avec un nombre de postes important.
5.4.3
FILTRAGE
Un des principes de base de la scurit des rseaux est le cloisonnement des rseaux. Il permet de limiter les changes entre deux rseaux au strict ncessaire en nautorisant que certains flux. Le cloisonnement des rseaux est bas sur le dcoupage du rseau en zones de scurit. Les mcanismes de filtrage sont mis en place sur des quipements ddis, des routeurs ou des serveurs.
LOCUSSOL MACHADO
Le Client Lger
44
IR 2000 - Anne 2003
5.4.3.1
FIREWALL
Le terme firewall (pare-feu en franais) est souvent utilis pour dfinir un quipement qui implmente un mcanisme de filtrage rseau. Un firewall peut tre dfini comme un ensemble de composants mis en uvre entre deux rseaux, et contribuant fournir les proprits suivantes : Tout trafic de lintrieur vers lextrieur ou de lextrieur vers lintrieur doit imprativement passer par le firewall. Seuls les flux autoriss conformment la politique de scurit peuvent franchir le firewall. Le firewall doit tre lui-mme inaccessible afin dtre insensible aux attaques. A ces trois proprits sajoute une fonctionnalit importante, qui contribue notamment diffrencier les firewalls de simples routeurs sur lesquels on met en place des filtres : la gnration de traces relatives toute tentative de violation de la politique de scurit, mais aussi aux communications autorises.
5.4.3.2
5.4.3.2.1
DEFINITIONS
BASTION
On appelle bastion une machine expose aux attaques en provenance de lInternet ; elle bnficie en gnral dune configuration renforce sur le plan de la scurit (limitation des comptes et des services disponibles) lui permettant dtre immunise contre les attaques qui peuvent tre lances contre lui. 5.4.3.2.2 ZONE DEMILITARISEE (DMZ)
Une DMZ est un rseau isol du rseau protg par le firewall. Il supporte les machines vers lesquelles les utilisateurs dInternet ont le droit dtablir des connexions (serveurs SMTP, HTTP, FTP, etc.). Laccs une DMZ depuis lextrieur est contrl par le firewall, mais avec un politique de scurit moins stricte que pour le rseau interne.
5.4.3.3
TERMINOLOGIE DES MECANISMES DE FILTRAGE
En gnral, chaque produit du march utilise une dnomination propre pour dfinir son mode de fonctionnement. Toutefois, on distingue plusieurs classes. Un produit peut implmenter plusieurs de ces mthodes. Pour un flux donn, une seule mthode sera applique. 5.4.3.3.1 CONTROLE AU NIVEAU DES COUCHES RESEAU ET TRANSPORT
5.4.3.3.1.1 FILTRAGE DE PAQUETS (PACKET FILTERING)
Chaque trame subit une comparaison de certains de ses champs (adresses source et destination, numros de ports source et destination, options protocolaires) avec les paramtres des filtres qui sont dfinis. Ce mcanisme est trs performant et gnralement matriel (sur les routeurs). La notion de session nest pas gre. Le filtrage dlments de niveau applicatif ne peut tre ralis que par comparaison de squences de bits des emplacements fixes dans les trames.
LOCUSSOL MACHADO
Le Client Lger
45
IR 2000 - Anne 2003
Ce filtrage de bas niveau ne permet pas davoir beaucoup de recul sur les flux notamment en ce qui concerne la fragmentation IP. De plus ce type de firewall ne dispose pas de mcanisme dauthentification. Un exemple dutilisation de ce mcanisme est les ACL (Access Control List) dans les routeurs Cisco.
5.4.3.3.1.2 RELAYAGE DE CIRCUIT (CIRCUIT LEVEL GATEWAY)
Ce mcanisme gre la notion de session. Lorsquune connexion peut tre tablie conformment la politique de scurit, un contexte est cr en mmoire. Il sera dtruit la fin de la connexion. Tous les paquets dun mme flux sont rattachs au contexte correspondant et sont transmis directement au lieu dappliquer les rgles de filtrage chaque paquet comme prcdemment. La notion de contexte permet une plus grande prcision dans la gestion des flux, par exemple, il est possible de conditionner ltablissement dune connexion FTP lexistence dun contexte pour la connexion de contrle associe. Pour les services bass sur UDP, qui fonctionnent en mode non connect, la notion de session est gre au moyen dun compteur de temps. 5.4.3.3.2 CONTROLE AU NIVEAU APPLICATIF
5.4.3.3.2.1 RELAYAGE APPLICATIF (APPLICATION LEVEL GATEWAY)
Chaque service rseau est gr par un programme spcifique (proxy). Ce programme sait en analyser le flux applicatif et permet donc une plus grande finesse dans le contrle offert, tant sur le plan du filtrage que de la traabilit. Ce mcanisme est uniquement logiciel et ses performances sont mdiocre. Le niveau de scurit offert, pour une application donne, est lev La mise en uvre du relayage applicatif conduit masquer les adresses des machines clientes aux serveurs et inversement. En effet, il y a deux connexions, la premire initie par le client vers le proxy et la seconde initie par le proxy vers la machine destinataire (serveur). Lorsque lon se connecte un service on se connecte sur le proxy qui relaye la connexion au serveur cible. La machine cible est masque. Un programme de relayage gnrique (exemple : proxy SOCKS dcrit plus loin) peut tre utilis pour les services ne disposant pas dun programme spcifique (on ne bnficie alors daucune fonction danalyse du contenu du flux).
5.4.3.3.2.2 FILTRAGE ADAPTATIF (STATEFUL INSPECTION)
Ce mcanisme est le plus rcent. Bien quagissant au niveau des trames, un contrle des informations de niveau applicatif est ralis. La finesse de contrle est en gnral moindre que celle qui peut tre obtenue grce un relais applicatif. Le niveau de performance est potentiellement plus lev du fait que le traitement est effectu sans que les donnes aient eu remonter jusquau niveau des couches applicatives contrairement aux proxy. Ce mcanisme est un bon compromis entre le filtrage de paquet et le relais applicatif en terme de niveau de scurit offert et de performances. Des solutions matrielles commencent apparatre sur le march et offrent des logiciels qui implmentent ce mcanisme.
LOCUSSOL MACHADO
Le Client Lger
46
IR 2000 - Anne 2003
5.4.3.3.2.3 CONTROLE DE CONTENU
Un degr trs avanc de contrle de lutilisation des applications est atteint par certains produits mettant en uvre les deux modes de contrle prcdents. Certains sont capables : De filtrer les commandes GET ou PUT du protocole FTP ou HTTP De remplacer les informations relatives aux machines du rseau priv dans len-tte des messages lectroniques Dinhiber slectivement les scripts ActiveX et javascript, ou les applets Java dans les flux HTTP. On peut contrler les objets transmis au travers du mcanisme de filtrage comme : Un contrle antivirus appliqu aux messages et aux fichiers entrants et sortants. Une vrification de la nature du contenu des informations entrante et sortante (sujet, motscls, images caractre pornographique, ...).
5.4.3.4
STATEFUL INSPECTION PAR LEXEMPLE DE FIREWALL-1 DE CHECKPOINT
FireWall-1 (FW-1) de CheckPoint est un des acteurs principaux de la scurit rseaux pour les quipements filtrages. Le produit est compos de trois fonctionnalits : le filtrage par table dtats : technologie Stateful Inspection la translation dadresses (dynamique et statique) la mise en place de VPN Dans la suite de cette description, nous nous intresserons aux mcanismes mis en place dans la version 4.1 de FW-1. 5.4.3.4.1 LA BASE DE REGLES
La base de rgles de FW-1 permet de filtrer les paquets en fonctions des lments suivant : ladresse IP source, ladresse IP destination et les services source et destination (numro de port). Pour chaque rgle on associe une action dont les principales sont : Accept : le paquet est accept. Drop : le paquet est jet. Reject : la connexion est rejete Log : une information concernant lapplication de la rgle correspondante est crite dans un fichier. Alert : une alerte est envoye.
LOCUSSOL MACHADO
Le Client Lger
47
IR 2000 - Anne 2003
5.4.3.4.2
FONCTIONNEMENT
Lorsque le firewall reoit un paquet SYN initiant une connexion TCP, ce paquet SYN est confront la base de rgles du firewall. Ce paquet SYN est compar aux rgles de faon squentielle, si le paquet passe toutes les rgles sans tre accept , le paquet est refus. La connexion est alors droppe ou rejete (un RST est envoye la machine distante). Toutefois, si le paquet est accept, la session est enregistre dans la table de connexion du firewall. Chaque paquet suivant, sil na pas le bit SYN positionn, est compar la table dtat (stateful inspection). Si la session est dans la table, et que le paquet appartient cette session, alors le paquet est accept. Si le paquet nappartient pas la session, alors il est jet. Ce principe permet damliorer les performances car tous les paquets ne sont pas compars la base de rgle, seuls les paquets SYN initiant une connexion sont compars la base de rgles. Tous les autres paquets sont compars la table dtat situe en mmoire noyau et donc trs rapide. Lorsquune session est initie par un paquet SYN, un timeout est positionn 60 secondes. Le firewall attend alors un paquet retour pour tablir la connexion. Lorsquil reoit ce paquet, le timeout est positionn 3600 secondes. Le firewall attend nimporte quel paquet alors quil devrait attendre un paquet SYN/ACK et pas de contrle sur les numros de squence, Si on initie une session avec un paquet ACK, le firewall naccepte pas le paquet (ceci nest vrai qu partir de la version 4.1 SP2) car seul un paquet SYN peut initier une connexion et donc insrer une session dans la table dtat. Ce mcanisme est dsactivable permettant dviter de perdre les connexions tablies alors que lon est entrain de modifier la base de rgles ou que lon souhaite arrter puis redmarrer le firewall sans que les sessions en cours soit perdues. Toutefois, en dsactivant ce mcanisme on accrot le risque dintrusion tant donn quun paquet autre que SYN peut initier une session et donc cette session peut tre insre dans la table dtat. Ainsi, un paquet ACK dune session antrieur au redmarrage du firewall peut permettre daccepter de nouveau cette connexion en rajoutant les lments correspondants dans la table dtats. 5.4.3.4.3 FERMETURE DUNE CONNEXION TCP
FW-1 ferme les connexions en les laissant tomber en timeout. En effet, lorsquun paquet FIN ou RST est reu pour une session, le timeout passe de 3600 secondes 50 secondes. Si aucun paquet nest chang durant cette priode, la connexion est enleve de la table dtats. Si des paquets sont envoys pendant cette priode, le timeout est remis 50 secondes. Ce mcanisme permet de rduire les possibilits de dnis de service si quelquun envoie des paquets RST ou FIN spoofs. Ce comportement est similaire ltat TIME_WAIT dans lequel passe une connexion TCP aprs avoir acquitt le second paquet FIN lors de la fermeture dune session. 5.4.3.4.4 UDP
Les paquets UDP sont plus simples grer au niveau du firewall car par dfinition du protocole UDP, il ny a pas de notion dtat. Lorsque la base de rgles autorise un paquet UDP traverser le firewall, une entre est ajoute la table. Si un paquet se reprsente pendant la dure du timeout (40 secondes) avec les adresses IP source et destination et les ports source et destination correspondant, le paquet est accept. 5.4.3.4.5 ICMP
Le trafic ICMP nest pas inspect de faon stateful . Il nest jamais entr dans la table de connexions. Ainsi, il est difficile de faire diffrencier les diffrents trafics ICMP.
LOCUSSOL MACHADO
Le Client Lger
48
IR 2000 - Anne 2003
5.4.3.4.6
FRAGMENTATION
La fragmentation IP est souvent un problme pour les quipements de filtrages comme FW-1. FW-1 ralise un rassemblage des fragments, inspecte le paquet rassembl et applique la rgle correspondante.
5.4.3.5
PROXY SOCKS
Il nexiste pas de proxy pour la gestion du protocole ICA. Pour se rapprocher de la scurit et du service offert par un relais applicatif on peut utiliser les SOCKS. On peut configurer un client ICA pour se connecter un serveur Citrix via un proxy SOCKS. Toutefois, un proxy SOCKS ne fournit pas un niveau de scurit suffisant mais nous la prsentons car cest la solution propose par Citrix. L'utilisation d'un serveur proxy SOCKS permet entre autres : de camoufler des informations : les noms systme l'intrieur du pare-feu ne sont pas connus des systmes extrieurs au pare-feu via le DNS; d'effectuer lauthentification entre le client ICA et les serveurs proxy SOCKS ; deffectuer l'authentification entre deux serveurs proxy SOCKS ; deffectuer le relais entre deux serveurs proxy SOCKS ; de canaliser plusieurs connexions TCP dans une connexion ; dassurer une fonction proxy sur les diffusions UDP. Emplacement dun serveur proxy SOCKS On peut placer le serveur proxy d'un ct ou de l'autre du pare-feu. Dans certains cas, on peut choisir den placer un de chaque ct du pare-feu. Les configurations typiques dun serveur proxy SOCKS sont : Configuration d'un serveur proxy entre systmes clients et pare-feu (pour des connexions vers l'extrieur) : Pour interdire aux clients de se connecter directement des serveurs situs l'extrieur du pare-feu, installer un serveur proxy entre les systmes clients et le pare-feu, comme indiqu ci-dessous. Le serveur proxy utilise ses fonctionnalits d'authentification pour dterminer si les clients ICA peuvent accder aux rseaux extrieurs au pare-feu. Configurer le pare-feu pour qu'il laisse passer uniquement le trafic rseau provenant du serveur proxy SOCKS. Configuration d'un serveur proxy entre serveurs Citrix et pare-feu (pour des connexions vers l'intrieur) : Pour protger les serveurs Citrix, installer un serveur proxy entre les serveurs et le pare-feu. Le parefeu peut tre configur de deux manires dcrites ci-dessous. - Maximalisation de lapprobation : le pare-feu ne laisse passer que le trafic rseau dirig vers le serveur proxy SOCKS. Le serveur proxy procde l'authentification du client ICA. - Minimalisation du risque : non seulement le pare-feu ne laisse passer que le trafic rseau dirig vers le serveur proxy SOCKS, mais il nautorise de plus que les connexions partir d'ordinateurs spcifiques. Configuration d'un rseau priv virtuel avec deux serveurs proxy : On peut crer un rseau priv virtuel entre deux sites en configurant un serveur proxy l'intrieur du pare-feu de chacun des sites client et serveur. Configurer les pare-feu pour qu'ils n'autorisent que le trafic UDP dirig entre les deux serveurs proxy SOCKS et le protocole TCP sur le port SOCKS. Pour plus de scurit, configurer le serveur proxy SOCKS du site client ICA pour qu'il effectue lauthentification avec le serveur proxy SOCKS du site serveur Citrix. Il faut connatre l'adresse du serveur proxy SOCKS situ lintrieur du pare-feu externe. Le trafic UDP et le trafic TCP sont relays par le proxy.
LOCUSSOL MACHADO
Le Client Lger
49
IR 2000 - Anne 2003
5.4.3.6
SELECTION DES PRODUITS
Parmi tous les quipements de filtrage disponible sur le march il est difficile den choisir un plutt quun autre si on ne connat pas les mcanismes utiliss qui viennent dtre noncs ci-dessus. Il faut souvent faire trs attention en choisissant un tel quipement car sil nest pas adapt aux besoins ou sil est mal configur, il ne sert rien. Comme nous avons vu prcdemment, la technologie Citrix sappuie sur lutilisation du protocole ICA utilisant le port 1494 et sur un service dexploration utilisant le port UDP 1604. Il nexiste pas de relais applicatif (proxy) pour le protocole ICA, cette solution doit donc tre carte moins quon utilise un proxy gnrique (SOCKS). Toutefois, cette solution ne fournie pas un niveau de scurit suffisant. Le filtrage de paquets (Packet Filtering) nest pas non plus adapt aux flux ICA car il ne prend pas en compte la notion de session. Le filtrage adaptatif (Stateful Inspection) est bien adapt au flux ICA ncessaire au fonctionnement de la technologie Citrix. Nous choisirons donc les produits parmi cette catgorie. En ce qui concerne les solutions tournant sur un serveur Windows NT ou Unix, elles vont tre amenes disparatre. On assiste une volution de ces fonctionnalits vers des botiers ddis et les routeurs. Voici quand mme deux solutions tournant sur un serveur : CheckPoint Firewall-1 : facile dutilisation, il est lorigine du dveloppement de la technologie Stateful Inspection. NetWall dEvidian qui est un pare-feu hybride la fois proxy et aussi Stateful Inspection, ce produit est complexe et cote assez cher. Voici une liste non exhaustive des quipements de filtrages sur des botiers , ils mettent tous en uvre un mcanisme similaire au Stateful Inspection : Le PIX de Cisco : chssis firewall gigabit par inspection de paquets avec gestion de RPV compatible IPSec (chiffrement Triple DES, 168 bits) ; botier 3U pour armoire 19 pouces. Cisco IOS Firewall : systme dexploitation permettant de faire du filtrage, il est mis en place directement sur les routeurs Cisco. Nokia IPXXX de Nokia Internet Communication : runit un routeur IP et le coupe-feu logiciel de Check Point FireWall-1, VPN-1. Il cumule des fonctions de routage avances (RIP1 et 2, OSPF, BGP4, etc. ) et offre un large choix d'interfaces WAN. NetScreen : chssis firewall gigabit matriel dot d'une passerelle de VPN ; utilise la technologie Stateful Inspection ; VPN compatible IPSec ; client LDAP ; gestion des sous-rseaux virtuels (VLAN) ; fonctions de gestion du trafic (diffserv, gestion de priorits au niveau 4) ; alimentation et ventilation redondantes. WatchGuard : botier firewall qui met nettement laccent sur les dispositifs de surveillance de lactivit et dalerte en cas dattaque. Un abonnement permet laccs des mises jour automatiques. NetASQ : un diteur franais proposant des botiers firewall (inspection de paquets) et VPN. Cette solution est compatible OPSEC et est un acteur en pleine croissance. Linteroprabilit entre les solutions peut se faire laide du protocole CVP qui est implment sur de nombreux quipements de filtrage qui utilisent la plate-forme de compatibilit OPSEC de CheckPoint.
LOCUSSOL MACHADO
Le Client Lger
50
IR 2000 - Anne 2003
5.4.3.7
UNE AUTRE SOLUTION : ICA PASS THROUGH
Cette fonctionnalit fait office de relais applicatif ICA (proxy). Cette solution noffre pas de service de scurit en analysant les flux. Cest un service permettant de relayer une connexion ICA (port TCP 1494) et uniquement ce type de connexion. Ce service doit tre install sur un serveur ddi que lon place sur une DMZ publique. Il communique avec une ferme de serveur place sur une DMZ prive. LICA Pass Through simplmente sous la forme dun serveur Citrix MetaFrame configur de manire excuter le logiciel client ICA pour le compte des postes clients ICA. Cest donc ce serveur qui tablit une connexion au serveur dapplications Metaframe. Cette fonctionnalit permet de nautoriser le service explorateur ICA (trafic UDP) uniquement entre la ferme de serveurs et le serveur ICA pass through. Cette fonctionnalit est largement mise en uvre chez les entreprises autorisant lusage du client ICA via Internet (ex : Yahoo).
ICA pass through
Utilisateur
ICA pass through Serveur Citrix MetaFrame Client ICA
Ferme de serveurs Serveur Citrix MetaFrame
Client ICA
Interne ICA (TCP) ICA Browser (UDP)

FIGURE 13 : PRINCIPE DE FONCTIONNEMENT DICA PASS THROUGH Le serveur ICA pass through nentrane pas lacquisition de licenses supplmentaires pour les utilisateurs. Celles-ci sont dcomptes sur le serveur dapplications Citrix rel.
LOCUSSOL MACHADO
Le Client Lger
51
IR 2000 - Anne 2003
5.4.4
5.4.4.1
SECURISATION DES ECHANGES

SERVICE DE CHIFFREMENT INTEGRE AUX PRODUITS DE CITRIX
Citrix MetaFrame propose un service de chiffrement du flux ICA. Le produit NFuse (associ un service web) fournit un service de chiffrement des flux HTTP et Citrix XML. 5.4.4.1.1 ARCHITECTURE SIMPLE
Dans une architecture simple, on peut scuriser les flux dinformations changes en chiffrant le flux ICA. Cette fonctionnalit fait partie du produit Citrix MetaFrame. Plusieurs niveaux de chiffrement sont disponibles. Lalgorithme de chiffrement utilis est RC5 de RSA Security. RC5 est un algorithme de chiffrement symtrique (encore appel cl secrte), la cl de chiffrement et de dchiffrement est identique, les deux entits communicantes doivent possder la mme cl. Cette cl est gnre sparment sur chaque entit par lalgorithme de Diffie-Hellman avec des cls de 1024 bits. Cet algorithme permet de gnrer une nouvelle cl sur chaque entit de la communication sans changer dinformation. Les paramtres de cet algorithme sont priodiquement modifis pour renouveler la cl partage. En limitant dans le temps lutilisation dune cl on rduit les risques de dcryptage des informations changes. Les possibilits offertes sont les suivantes : Cryptage des donnes dauthentification avec une cl RC5 de 128 bits. Cryptage du flux ICA avec une cl RC5 de 40, 56 ou 128 bits. Le niveau de chiffrement avec une cl de 128 bits est considr comme impossible dcrypter (en thorie). Le chiffrement avec des cls dune longueur de 40 bits et 56 bits ncessitent un investissement relativement important pour dcrypter les informations chiffres. On peut utiliser un niveau de chiffrement par type de connexion. Ladministrateur peut forcer les utilisateurs chiffrer leur connexion avec le serveur Citrix. Si le niveau minimum de chiffrement nest pas appliqu du ct du client ICA la connexion nest pas permise. 5.4.4.1.2 ARCHITECTURE PORTAIL
La scurisation des changes entre les diffrentes entits de larchitecture portail est possible comme suit : Entre le navigateur web et le serveur web : mettre en place SSL au niveau du serveur Web et utiliser un navigateur web compatible SSL. Pour protger les informations dauthentification contenues dans le fichier ICA on peut utiliser un mcanisme appel ticketing qui fournit un jeton de dure limite et valide pour une seule session ICA. La correspondance entre les informations dauthentification et ce jeton est effectu sur le serveur web. Entre le serveur Web et le serveur MetaFrame : scurisation du trafic XML en utilisant un relais Citrix SSL comme intermdiaire entre le serveur web et la ferme de serveurs MetaFrame. Dans le cas o lon ne peut pas utiliser cette configuration, on doit installer le serveur web sur le serveur Citrix MetaFrame si lon souhaite scuriser cet change. Entre le client ICA et le serveur MetaFrame : chiffrement de la squence dinitialisation et du flux ICA par RC5, utilisation du ticketing pour scuriser lauthentification.
LOCUSSOL MACHADO
Le Client Lger
52
IR 2000 - Anne 2003
5.4.4.2
IPSEC
Les applications publies peuvent tre accessibles non seulement par lintermdiaire du rseau informatique interne lentreprise mais aussi par des utilisateurs externes comme leurs partenaires, leurs clients, les utilisateurs nomades ou des agences disperses dans le monde accessible via lInternet. Pour transporter les informations en toute scurit on peut chiffrer les communications. IPSec est le standard de scurisation des changes sur rseau IP dfinis par lIETF. Nous tudierons cette solution car IPSec est amen remplacer les autres solutions de scurisation des changes (L2TP, PPTP, L2F). IPSec sajoute comme extension IPv4 et est intgre nativement dans IPv6. Dans la suite, nous nous intresserons uniquement au cas dIPv4, IPv6 ntant pas encore utilis grande chelle. 5.4.4.2.1 DESCRIPTION SUCCINCTE DIPSEC
IPSec est un protocole de scurisation des changes au niveau IP qui repose sur deux mcanismes : AH (Authentification Header) et ESP (Encapsulating Security Payload) fournissant plusieurs mode de scurisation. Les paramtres ncessaires lutilisation de ces mcanismes sont grs laide dassociations de scurit (Security Association SA). Une association de scurit regroupe les paramtres servant protger le trafic en fonction du mode de scurisation utilis. Les SA sont stockes dans une base de donnes des associations de scurit (Security Association Database SAD) et gres laide du protocole IKE (Internet Key Exchange) dchange de cls. Les protections offertes par IPSec sont bases sur des choix dfinis dans la base de donnes de politique de scurit (Security Policy Database, SPD). Cette liste de rgles permet de dcider, pour chaque paquet, sil se verra apporter des services de scurit, sil sera autoris passer ou sera rejet. IPSec peut tre utilis au niveau dun hte (station de travail ou serveur) ou au niveau de passerelles de scurit (routeur, firewall, proxy, ...) permettant ainsi des approches de scurisation lien par lien comme de bout en bout. IPSec peut tre utilis, notamment, pour la cration de rseaux privs virtuels ou la scurisation des accs distants. Le document de base pour comprendre le fonctionnement dIPSec est la RFC 2401.
LOCUSSOL MACHADO
Le Client Lger
53
IR 2000 - Anne 2003
5.4.4.2.2
LES DIFFERENTES APPROCHES DE SECURISATION
Entre deux machines (host-to-host) :
IPSec
Rseau non fiable
IPSec
Figure 14 : architecture IPSec Host-to-Host Entre deux rseaux (subnet-to-subnet) :
IPSec Rseau de confiance Passerelle de scurit Rseau non fiable
IPSec Rseau de confiance Passerelle de scurit
Figure 15 : architecture IPSec Subnet-to-Subnet Entre une machine et un rseau (host-to-subnet) :
IPSec Rseau non fiable Rseau de confiance Passerelle de scurit
Figure 16 : architecture IPSec Host-to-Subnet IPSec fournit plusieurs services de scurisation des changes base sur des en-ttes diffrentes : AH et ESP. AH (Authentication Header) assure lintgrit des donnes en mode non connect, lauthentification de lorigine des donnes et, de faon optionnelle, la protection contre le rejeu. Les services dintgrit et dauthentification sont raliss ensembles, laide dun bloc de donnes supplmentaire adjoint au message protger. Lexpditeur calcule les donnes dauthentification partir de lensemble des champs invariants du datagramme IP final. Ce mcanisme est dcrit dans la RFC 2402. ESP (Ensapsulating Security Payload) peut assurer, au choix, un ou plusieurs des services suivants : confidentialit intgrit des donnes en mode non connect et authentification de lorigine des donnes, protection contre le rejeu. ESP fonctionne sur le principe de lencapsulation : les donnes originales sont chiffres puis encapsules entre un en-tte et un trailer (pour indiquer la fin).
LOCUSSOL MACHADO
Le Client Lger
54
IR 2000 - Anne 2003
Si elle a t slectionne, lauthentification est toujours applique aprs que les donnes ne soient chiffres. Cela permet, la rception, de vrifier la validit du datagramme avant de se lancer dans la coteuse tche de dchiffrement. Ce mcanisme est dcrit dans la RFC 2406. Les algorithmes dauthentification (pour AH et ESP), et de chiffrement (pour ESP) utilisables sont lists dans la RFC 2407. Pour les mcanismes AH et ESP, deux modes sont possibles pour la scurisation des changes : le mode transport qui protge juste les donnes transportes. le mode tunnel qui protge le paquet IP complet (en-tte et donnes). Voici les configurations possibles en fonction du service dsir (le champ donnes correspond au protocole de niveau suprieur IP) :
En-tte IP d origine Donnes

Figure 17 : datagramme IP dorigine
En-tte IP d origine
AH
Donnes
Authentifi
Figure 18 : position de AH en mode transport
Nouvel en-tte IP
AH
En-tte IP d origine Donnes Authentifi
Figure 19 : position de AH en mode tunnel
En-tte IP En-tte d origine ESP
Donnes Chiffr Authentifi
Trailer Donnes ESP d authentification
Figure 20 : position de ESP en mode transport
Nouvel En-tte En-tte IP en-tte IP ESP d origine
Donnes
Trailer Donnes ESP d authentification
Chiffr Authentifi
Figure 21 : position de ESP en mode tunnel
LOCUSSOL MACHADO
Le Client Lger
55
IR 2000 - Anne 2003
5.4.4.2.3
SYSTEME DE NEGOCIATION ET DECHANGE DE CLES
Le cur du fonctionnement dIPSec repose sur des mcanismes de ngociation et dchange de paramtres (cls, algorithmes) pour lauthentification, lintgrit et la confidentialit. IPSec sappuie sur IKE (Internet Key Exchange) qui est une combinaison dISAKMP, Oakley et SKEME(dcrits cidessous). ISAKMP (Internet Security Association for Key Management Protocol) pose les bases permettant de construire des associations de scurit. ISAKMP est dcrit dans la RFC 2408. SKEME est un protocole orient connexion qui propose plusieurs modes dchanges de clefs distincts et se compose de trois phases : partage, change et authentification. Oakley ressemble beaucoup SKEME, et permet en plus la ngociation de paramtres. Oakley est dcrit dans la RFC 2412. IKE comporte diffrents modes et options de ngociation des cls. Une premire phase consiste en la ngociation dune association de scurit ISAKMP. Trois cls sont gnres lissue de cette premire phase : une pour le chiffrement, une pour lauthentification et une pour la drivation dautres clefs (par Diffie-Helman). Lauthentification des tiers peut se faire par secret partag pralable, chiffrement cl publique ou signature. Une seconde phase a pour objet la ngociation dassociations de scurit pour les mcanismes de scurit que lon souhaite utiliser. Les messages changs durant cette phase sont protgs en authentification, intgrit et confidentialit grce aux lments ngocis durant la premire phase. IKE est dcrit dans la RFC 2409.
5.4.4.3
CHOIX DUNE SOLUTION DE SECURISATION DES ECHANGES
Les fonctions de rseau priv virtuel peuvent tre purement logicielles, installer sur les plates-formes de serveurs gnralistes du march, ou prconfigures dans des botiers ddis, des coupe-feu (firewall) ou des routeurs multifonctions. Nous ne considrons que les principaux diteurs de solutions de scurit qui vont nous permettent de scuriser les changes en environnement Citrix. Les critres de choix essentiels sont la facilit de dploiement et dadministration, ltendue des fonctions de scurit comme la possibilit de se rfrer une politique globale de scurit.
LOCUSSOL MACHADO
Le Client Lger
56
IR 2000 - Anne 2003
5.4.4.3.1
SECURISATION DES ECHANGES ENTRE UN CLIENT ISOLE ET UN SERVICE CITRIX METAFRAME
Pour des connexions entre une plate-forme utilisateur et un rseau hbergeant le service Citrix MetaFrame daccs aux applications (cf. Figure 16 : architecture IPSec Host-to-Subnet) ou serveur isol (cf. Figure 14 : architecture IPSec Host-to-Host), il suffit dinstaller un logiciel client (client VPN) spcifique sur la plate-forme utilisateur pour la gestion du VPN. Cette configuration prend en compte le cas des nomades. Pour utiliser la technologie Citrix tout en garantissant la scurisation des changes, il faut ouvrir une session VPN laide dun client VPN avant dtablir la connexion au serveur Citrix laide dun client ICA. Ceci complique grandement lutilisation du service Citrix, lidal est que le client VPN soit intgr au client ICA ce qui est propose par Citrix au travers de son produit Citrix Extranet dcrit plus loin. Dans le cas de lutilisation de terminaux, il nest pas possible dinstaller de logiciel supplmentaire pour la gestion du VPN. Le client VPN comme le client ICA doit tre prinstall. Dans cette architecture Host-to, les solutions les plus intressantes sont le logiciel CheckPoint 2000, Windows 2000 Server et bien sr Citrix Extranet. Coupl un pare feu individuel, qui sinstalle en mme temps sur le poste de lutilisateur, le logiciel SecureClient de CheckPoint hrite directement et automatiquement des rgles de scurit fixes par ladministrateur. La seule configuration sur le poste de lutilisateur se rsume la dclaration dune adresse IP du serveur de VPN contacter. CheckPoint propose trois modes de chiffrement DES ou 3DES (de 40 168 bits). Microsoft se limite en standard lalgorithme 56 bits toutefois lalgorithme 3-DES 168 bits peut tre utilis ncessitant une mise niveau. Dans tous les cas la configuration ncessite lobtention dun certificat numrique, soit auprs dun organisme certificateur, soit par un serveur de certificats existant dans le rseau de lentreprise ou install loccasion. Linstallation du client nomade est plus simple que pour CheckPoint mais cette dernire solution est plus riche pour la configuration en accs distant et le dploiement des clients mobiles. Citrix, avec son produit Citrix Extranet, propose un produit complet sous la forme dun serveur grant les connexions VPN entre les clients ICA VPN et le(s) serveur(s) Metaframe. Les fonctionnalits offertes par le produit Citrix Extranet sont les suivantes : Contrle daccs. Identification et authentification des utilisateurs (possibilit de mcanisme dauthentification tierce avec RSA SecurID) Chiffrement. Suivie dactivit. Inscription en ligne dun utilisateur pour laccs aux applications ce qui facilite le dploiement de laccs aux applications. Pour accder aux applications, lutilisateur installe le client Citrix Extranet puis senregistre via une interface web. Administration centralise (gestion des serveurs et des utilisateurs, des droits daccs sur les applications, gestion de groupes, administration distance). Le port utilis par ce service est le port TCP 443 qui est couramment allou pour lutilisation de communications scurises par SSL. Il faudra veiller autoriser ce service sur les quipements de filtrages. Dans cette architecture Host-to, la solution prconise est le produit Citrix Extranet qui ajoute une fonctionnalit de client VPN au client ICA.
LOCUSSOL MACHADO
Le Client Lger
57
IR 2000 - Anne 2003
5.4.4.3.2
SECURISATION DES ECHANGES DE SITE A SITE
Un ensemble dutilisateurs prsents sur un mme rseau dun site dune entreprise peut avoir besoin dutiliser un service Citrix prsent sur un autre site de lentreprise ou site un extrieur lentreprise (on peut utiliser lInternet). Il faut donc scuriser les changes entre ces deux rseaux. Dans cette architecture dite Subnet-to-Subnet , il ny a pas de contraintes lies lutilisation de Citrix puisque les flux ICA sont chiffrs la sortie du rseau et dchiffrs lentre dans le second rseau au niveau des passerelles de scurit (routeur, firewall). Les solutions qui savrent les plus intressantes sont les fonctionnalits de scurit des routeurs Cisco et le produit CheckPoint 2000 de CheckPoint (FW-1/VPN-1). Lutilisation dun routeur Cisco (par exemple le 1720) est le plus simple mettre en uvre. Le logiciel Cisco Secure Policy Manager, livr avec le routeur, permet dassocier par simple glisser-dposer les lments constitutifs dun tunnel (quipements de rseau, conditions de filtrage de trafic, autorisations daccs, ...). Les options pour la configuration des tunnels sont assez compltes. Les rgles de chiffrement peuvent tre cres hors connexion. Une fois valides et traduites en langage IOS (langage des routeurs Cisco), elles sont, au choix de lutilisateur, transfres immdiatement ou ultrieurement aux routeurs. CheckPoint 2000, comme le routeur Cisco, oblige de dcrire au pralable, et trs prcisment, la topologie du rseau, ce qui procure ensuite une vision bien plus claire de linfrastructure. CheckPoint 2000 relie troitement VPN et firewall. Les stratgies de scurit dfinies sont dans la pratique traduites en rgles du firewall. Le routeur Cisco est plus simple dutilisation et plus riche en fonctions de scurit, de plus, le mode de licences de CheckPoint 2000 est trs contraignant. Enfin, Cisco prend en compte les protocoles de chiffrement VPN antrieurs IPSec comme L2TP, PPTP, L2F permettant ainsi une interoprabilit thorique avec des solutions VPN existantes utilisant ces protocoles. Cisco avec le Cisco Secure Policy Manager est la solution prconise pour une architecture VPN site site (Subnet-to-Subnet).
LOCUSSOL MACHADO
Le Client Lger
58
IR 2000 - Anne 2003
6.
6.1
CONCURENTS
MICROSOFT
Microsoft propose son propre composant Terminal Server, intgr en standard Windows 2000 Server, ainsi que son propre protocole RDP (Remote Display Protocol), pour la mise en place d'une architecture client-lger. Mais la plupart des entreprises qui adoptent cette architecture prfrent bnficier en plus des services valeur ajoute de la couche Metaframe de Citrix. Sur 100 serveurs Windows NT4 ou 2000 installs en environnement Terminal Server, on estime que 70 80 disposent de la couche Metaframe (Citrix). Comparaison entre les protocoles RDP (Microsoft) et ICA (Citrix) :
Clients Windows 3.11, 9x,NT, CE Clients DOS, Windows 3.1x, 9x, NT, CE, Unix, Mac, JAVA, NC, Navigateur WEB Optimisation bande passante Caching des bitmaps sur le disque du poste client Rpartition de charge / Load balancing Prise de main / Contrle distance Gestion des imprimantes locales Gestion des disques locaux Gestion du copier / coller Support Audio Support Vido Kits de dveloppements Support DCOM API publiques Cryptage
RDP OUI NON OUI OUI OUI1 OUI OUI NON OUI OUI3 OUI OUI OUI OUI OUI
ICA OUI OUI OUI OUI OUI2 OUI OUI OUI OUI OUI OUI4 OUI OUI OUI OUI5
(1) NLBS disponible sur W 2000 Advanced Server(2) Disponible avec Citrix Load Balancing (option)(3) Disponible avec le kit de dveloppement SDK (4) Disponible avec Citrix Vidoframe (3) Disponible avec Citrix Secure ICA Services (Option) - Support de cls 40 et 56 bits L'architecture ICA apporte une vraie valeur ajoute en terme d'administration des fermes de serveurs, de gestion de la rpartition des charges et de possibilit de prise de contrle distance pour faire du shadowing. De plus, le client ICA est disponible pour dautres clients que Windows et il permet la visibilit des disques locaux lorsque lutilisateur est en session sur le serveur.
LOCUSSOL MACHADO
Le Client Lger
59
IR 2000 - Anne 2003
6.2
NEW MOON
New Moon System Inc. est un diteur qui a mis au point des plates-formes logicielles permettant aux entreprises et ASP de grer efficacement et facilement leurs applications Windows distribues. La solution Canaveral iQ de New Moon amliore les performances du systme informatique et donc la rentabilit de l'entreprise. New Moon Canaveral iQ est associ Microsoft WTS, et reprsente une solution alternative Citrix. New Moon Canaveral iQ est une plate-forme de gestion d'applications pour les environnements client lger. Elle permet aux administrateurs systme de grer simplement et efficacement les relations complexes entre les utilisateurs, les serveurs applicatifs et les applications Windows hberges sur serveur. Canaveral iQ permet de :

Complter et sublimer les fonctionnalits de Microsoft RDP, Administrer, installer et configurer simplement, Contrler son activit afin de grer au mieux ses achats logiciels, Apporter une solution client lger serveur un prix abordable, Fournir une alternative intelligente aux solutions existant sur le march.
LOCUSSOL MACHADO
Le Client Lger
60
IR 2000 - Anne 2003
CONCLUSION
Bien plus quun simple diteur de logiciel, Citrix est aujourdhui devenu une technologie, un savoir-faire. Le march du Client Lger est en pleine expansion ces derniers temps. Les budgets de fonctionnement des Systmes dInformation des entreprises sont revus fortement la baisse depuis 2001. Ainsi, les dcideurs et architectes s'orientent de plus en plus vers des architectures de type portail afin de matriser les cots lors de l'ouverture du systme leur partenaire.
LOCUSSOL MACHADO
Le Client Lger
61
IR 2000 - Anne 2003
Glossaire
Administrateur Citrix : administrateur systme charg de l'installation, de la configuration et de la maintenance de serveurs Citrix. Application anonyme : application publie exclusivement pour les utilisateurs anonymes. Application publie : application installe sur un serveur Citrix ou dans une batterie de serveurs Citrix et configurs pour un accs multi-utilisateurs partir de clients ICA. Load Manager permet de grer la charge des applications publies sur les diffrents serveurs d'une batterie. Program Neighborhood et NFuse permettent d'ajouter une application publie sur le bureau client des utilisateurs. Assistant de publication d'application : assistant utilis pour publier des applications dans une batterie de serveurs Citrix. Bande passante : Quantit maximale d'informations que peut vhiculer un canal de communication. Barre des tches d'observation : barre des tches affiche sur le bureau d'un serveur Citrix, qui peut tre utilise pour observer plusieurs utilisateurs et pour basculer entre les diffrentes sessions observes. Base de donnes des mises jour des clients : base de donne utilise par les serveurs Citrix pour mettre jour automatiquement les clients ICA. Elle contient les copies des clients et des informations de configuration permettant d'effectuer les mises jour. Batterie de serveurs : groupe de serveurs Citrix grs comme une entit unique, avec des connexions physiques entre les serveurs et un magasin de donnes IMA. Choix d'un explorateur : processus suivi par les explorateurs ICA pour choisir un explorateur principal parmi les serveurs Citrix d'un rseau donn. Ce processus est dclench lorsqu'un nouveau serveur Citrix est dmarr, lorsque l'explorateur principal courant ne rpond pas ou lorsqu'un serveur ou un client ICA dtecte deux explorateurs principaux. Client de liaison : client ICA install sur un serveur MtaFrame et qui permet un utilisateur d'un client ICA quelconque d'accder des applications publies en s'y connectant partir du logiciel Citrix Program Neighborhood utilis alors en tant qu'application publie. Client ICA : logiciel Citrix qui permet un serveur Citrix partir de diffrents types de machine cliente. Client lger ou Client Fin (Thin Client) : Une architecture de ce type est une architecture clientserveur particulire, permettant plusieurs utilisateurs de se connecter en mme temps et dexcuter des applications sur le serveur dans des sessions indpendantes et protges. Le client est dit fin ou lger parce seuls les frappes clavier, les clics souris et les diffrentiels daffichage cran transitent sur le rseau : la machine cliente ne prend en charge aucun traitement de lapplication en cours dexcution, cest le serveur qui soccupe de tout. Par opposition au client lger, un client dit "lourd" assume une part du traitement applicatif dans une architecture client-serveur.
LOCUSSOL MACHADO
Le Client Lger
62
IR 2000 - Anne 2003
Collecteur de donnes : serveur MtaFrame utilis pour le stockage des donnes dynamiques d'une zone dfinie dans une batterie de serveurs MtaFrame XP. Connexion ICA : 1.port logique utilis par un client ICA pour se connecter un serveur Citrix et y ouvrir une session. Une connexion ICA est associe une connexion rseau (TCP/IP, IPX, SPX ou Net BIOS, par exemple) ou une connexion srie (par modem ou par cble). 2. Liaison active tablie entre un client ICA et un serveur Citrix. Connexion ICA personnalise : raccourci dfini par l'utilisateur, vers une application publie ou un serveur Citrix. Connexions ICA asynchrones : les connexions de type asynchrone permettent un accs direct par modem un serveur Citrix sans recourir RAS ni TCP/IP. Citrix Management Console : cet outil volutif et indpendant de toute plateforme, dvelopp par Citrix, permet l'administration des serveurs Citrix et des produits de gestion. Dimensionnement : dtermination des ressources ncessaires. Echo local du texte : fonctionnalit qui acclre l'affichage du texte ainsi saisi sur la machine cliente pour vitera l'utilisateur des temps d'attente trop importants sur le rseau. Explorateur ICA membre : en mode mixte, explorateur ICA sur un serveur Citrix d'un rseau, qui fournit l'explorateur principal des informations relatives aux licences, aux applications publies, aux performances et la charge des serveurs. Explorateur ICA principal : en mode mixte, explorateur ICA sur un serveur Citrix d'un rseau, qui collecte et met jour les informations relatives aux licences, aux applications publies, aux performances et la charge des serveurs, qu'il obtient des autres explorateurs membres du rseau. Fentre transparente : si une application publie est excute dans une fentre transparente, l'utilisateur peut se servir de toutes les fonctions de gestion de fentre de la plate-forme cliente (redimensionnement, rduction ...). Fichier ICA : fichier texte (avec l'extension .ICA) contenant des informations sur une application publie. Un fichier .ICA a le mme format qu'un fichier Windows .INI. Les informations y sont structures et peuvent tre interprtes par les clients ICA. Lorsqu'un client ICA reoit un fichier ICA, il initialise une session pour l'excution de l'application spcifie, sur le serveur Citrix indiqu dans le fichier. Flux : Donnes informatiques transitant sur un rseau d'un point un autre. Gestion de la charge : fonctionnalit de Citrix Load Manager, qui permet de grer la charge des applications. Lorsqu'un utilisateur lance une application publie qui est configure pour la gestion de la charge, la session ICA de cet utilisateur est lance sur le moins charg de la batterie, selon des critres qui peuvent tre dfinis. ICA (Independant Computing Architecture) : architecture utilise par Citrix pour sparer la logique d'une application de son interface utilisateur. ID de session : identificateur propre une session ICA sur un serveur Citrix donn.
LOCUSSOL MACHADO
Le Client Lger
63
IR 2000 - Anne 2003
IMA (Independant Management Architecture) : infrastructure serveur-serveur, dveloppe par Citrix, qui fournit des outils fiables, scuriss et volutifs pour la gestion d'une batterie de serveurs de toute taille. Installation des clients citrix ICA par le Web : mthode utilisant le Web pour dployer les logiciels clients ICA vers les utilisateurs. Elle consiste construire un site Web auquel les utilisateurs peuvent accder pour tlcharger les clients Citrix ICA correspondant leurs machines clientes. Interoprabilit : fonctionnalit de MtaFrame XP, qui permet celui-ci de fonctionner en mode mixte avec des serveurs MtaFrame 1.8 au sein de la mme batterie de serveurs. Les fonctions de MtaFrame XP ne sont pas toutes disponibles en mode mixte. Lancement et incorporation d'application (ALE) : fonctionnalit des serveurs Citrix et des clients ICA qui permet de lancer des applications Windows partir d'une page HTML ou de les incorporer dans une page HTML sans rcrire le code de ces applications. Licence de connexion : licence qui permet l'tablissement de connexions ICA entre une machine cliente et une batterie de serveurs Citrix. Un certain nombre d'unit de licence de connexion peut tre attribu un serveur donn, ou regroup pour tous les serveurs d'une batterie. Licence de produit : licence de logiciel qui autorise l'utilisation d'un produit Citrix. Machine cliente : systme informatique capable d'excuter l'un des clients ICA. Magasin de donnes : base de donnes ODBC utilise par une batterie de serveurs MtaFrame XP. Le magasin de donnes centralise les donnes de configuration relatives aux applications publies, aux utilisateurs, aux imprimantes et aux serveurs. Un seul magasin de donnes est associ chacune des batteries de serveurs Citrix IMA. Mappage des imprimantes clientes : fonctionnalit qui permet aux applications excutes sur un serveur Citrix d'envoyer des travaux d'impression aux imprimantes configures sur la machine cliente. Mappage des lecteurs clients : fonctionnalit qui permet aux applications excutes sur un serveur Citrix d'accder aux units physiques et logiques configures sur la machine cliente. Mappage des priphriques clients : fonctionnalit qui permet aux applications distantes excutes sur un serveur Citrix d'accder aux priphriques et aux units de stockage relies la machine locale. Elle consiste en plusieurs fonctionnalits distinctes : mappage des lecteurs clients, mappage des imprimantes clientes et mappage des ports COM clients. Mappage des ports COM clients : fonctionnalit qui permet aux applications excutes sur un serveur Citrix d'accder aux priphriques relis aux ports COM de la machine cliente. Mise jour automatique des clients : fonctionnalit des serveurs Citrix, permettant d'installer les versions les plus rcentes des clients ICA et de planifier le tlchargement et l'installation de ces logiciels sur les machines clientes des utilisateurs. Mode mixte : mode de fonctionnement des serveurs MtaFrame XP lorsqu'une batterie de serveurs contient la fois des serveurs MtaFrame XP et des serveurs MtaFrame 1.8.
LOCUSSOL MACHADO
Le Client Lger
64
IR 2000 - Anne 2003
Mode natif : mode de fonctionnement des serveurs MtaFrame XP lorsqu'un rseau comporte uniquement des serveurs Citrix IMA et que l'option permettant de fonctionner avec des serveurs MtaFrame 1.8 n'est pas slectionne. Noeud distant : machine cliente qui peut se connecter un rseau local ou tendu l'aide d'un modem et d'un logiciel de communication. Une fois connecte, la machine a accs aux mmes ressources rseau que n'importe quel autre noeud du rseau, mais elle est limite par la bande passante et les performances du modem. Nom affich : nom attribu l'application lors de sa publication. Ce nom apparat dans le nouveau client Program Neignborhood et dans les dossiers Applications de la console Citrix Management Console. Il est galement utilisable par les portails Web produits par la technologie NFuse de Citrix. Nom de l'application : chane de caractre permettant d'identifier de manire unique une application publie dans une batterie de serveurs. Les serveurs Citrix et les clients ICA utilisent ce nom pour diffrencier plusieurs applications qui pourraient porter le m^me nom affich. Observation : fonctionnalit des serveurs Citrix, qui permet un utilisateur disposant des droits appropris de se connecter distance la session ICA d'un autre utilisateur ou d'en prendre le contrle, des fins de diagnostic, de formation ou de support technique. Panoramique et mise l'chelle : fonctionnalit du client ICA permettant aux utilisateurs de visualiser une session distante dont la taille est suprieure celle du bureau de la machine cliente. Par exemple, si les dimensions du bureau de la machine cliente sont 1024 x 768 pixels et si les dimensions de la session ICA sont 1600 x 1200 pixels, l'image de la session est trop grande pour tre affiche dans la fentre d'affichage de la session. Le panoramique permet d'utiliser des barres de dfilement. La mise l'chelle fournit des contrles dans le menu systme, pour rduire la fentre de la session. Program Neighborhood : interface utilisateur des clients ICA Win32 et ICA Java, qui permet l'utilisateur de visualiser les applications publies qu'il peut utiliser dans la batterie de serveurs. Le logiciel Citrix Program Neighborhood contient des sries d'applications et des connexions ICA personnalises. Protocole ICA : protocole utilis par les clients ICA pour formater les donnes entres par l'utilisateur (frappes clavier, clics de souris ...) et pour les envoyer aux serveurs Citrix o elles doivent tre traites. Les serveurs Citrix utilisent galement ce protocole pour formater les donnes restitues par les applications (affichage, son, ...) et les envoyer la machine cliente. Rduction de latence Speedscreen : ensemble de technologies mises en oeuvre dans ICA et permettant de rduire la consommation en bande passante et le nombre total de paquets transmis, et donc de rduire les temps d'attente et d'harmoniser les performances, quelle que soit la connexion rseau utilise. Rseau tendu ou WAN (Wide Area Network) : Rseau de communication de donnes qui dssert des utilisateurs spars par une grande zone gographique et qui utilise souvent des quipements de transmission fournis par un oprateur. Rseau local ou LAN (Local Area Network) : Rseau de donnes haute vitesse et faible taux derreurs couvrant une zone gographique relativement petite (jusqu quelques milliers de mtres). Les rseaux locaux interconnectent des stations de travail, des priphriques, des terminaux et dautres quipements dans un seul immeuble ou autre zone gographique limite.
LOCUSSOL MACHADO
Le Client Lger
65
IR 2000 - Anne 2003
Restauration des connexions : fonction de client ICA qui permet aux utilisateurs ou aux administrateurs de dfinir plusieurs adresses de serveurs (serveurs principaux et serveurs de secours) pour une mme application publie. Cette fonction garantit aux utilisateurs la connexion aux applications publies, mme en cas d'incident sur un serveur. Retour des clics souris : fonctionnalit qui fournit une confirmation visuelle des clics souris. Lorsque l'utilisateur clique avec la souris, le logiciel client ICA transforme immdiatement le pointeur en sablier et confirme ainsi la prise en compte de cette action. Srie d'applications :ensemble des applications publies sur une batterie de serveurs et accessibles un utilisateur. Serveur Citrix : serveur MtaFrame, WinFrame ou VidoFrame sur lequel des applications ou des vidos sont publies. Service XML Citrix : service Windows NT qui fournit une interface HTTP l'explorateur ICA. Comme ce service utilise des paquets TCP et non UDP, les connexions peuvent tre tablies au travers de la plupart des pare-feu. Le service XML Citrix utilise le port 80 comme port par dfaut. Session anonyme : Session ICA ouverte par un utilisateur anonyme. Session dconnecte : session ICA sur le serveur Citrix, laquelle le client ICA n'est plus connect mais dans laquelle les applications de l'utilisateur sont toujours en cours d'excution. L'utilisateur peut se reconnecter une session dconnecte. S'il ne se reconnecte pas sous un certain dlai, le serveur Citrix met automatiquement fin la session. Session ICA : connexion durable entre un client ICA et un serveur Citrix, dfinie par un ID utilisateur et une connexion ICA spcifiques. Une session ICA est caractrise par un tat de connexion, des ressources serveur attribues l'utilisateur pour la dure de la session et toutes les applications excutes pendant la session. Une session ICA se termine normalement lorsque l'utilisateur du client ICA ferme sa session sur le serveur Citrix. SOCKS : protocole pour les communications TCP scurises au travers d'un pare-feu. Solution serveur centralise : modle informatique dvelopp par Citrix, dans lequel les applications sont publies sur des serveurs centraliss ou dans des batteries de serveurs. Les utilisateurs accdent ces applications partir de machines clientes distantes. Ce modle diffre du modle client-serveur traditionnel dans ce sens que toute la logique d'une application est excute sur le serveur hte, ce qui rduit la consommation en bande passante et les besoins en ressources des machines clientes. Terminal Windows (WBT) : Machine de type client fin fonctionnement limit, qui peut excuter des applications uniquement en se connectant un serveur d'application Citrix. Un terminal Windows ne peut pas excuter des applications localement. Utilisateur anonyme : utilisateur non identifi disposant de droits d'accs minimaux un serveur ou une batterie de serveurs Citrix et aux applications qui y sont publies. Zone : Ensemble de serveurs MtaFrame XP regroups logiquement, gnralement en fonction de leur sous-rseaux. Tous les serveurs MtaFrame XP d'une zone communiquent avec le serveur MtaFrame XP dsign collecteur de donnes pour cette zone.
LOCUSSOL MACHADO
Le Client Lger
66

Client Leger

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Client Leger

Transféré par

Droits d'auteur :

Formats disponibles

U N I V E R S I T E D E M A R N E L A VA L L E E FILIERE INFORMATIQUE RESEAU ANNEE 2002-2003 ADRIEN MACHADO FABIEN LOCUSSOL

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

ARCHITECTURE CLIENT/SERVEUR TRADITIONNELLE

Serveur Application 2 Rseau LAN et/ou WAN

Poste de travail Client Application 1 Client Application 2 Application 3 Application 4

Poste de travail Client Application 1 Client Application 2 Application 3 Application 4

Poste de travail Client Application 1 Client Application 2 Application 3 Application 4

Poste de travail Client Application 1 Client Application 2 Application 3 Application 4

FIGURE 2 : ARCHITECTURE CLIENT/SERVEUR TRADITIONNELLE

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Poste de travail Linux Client ICA

Poste de travail DOS Client ICA

Macintosh Client ICA

Portable Client ICA

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Linterface est dporte

envoye sur le rseau

FIGURE 4 : PRINCIPE DE FONCTIONNEMENT DE LA TECHNOLOGIE CITRIX

Filire Informatique & Rseaux

IR 2000 - Anne 2003

DEUX ARCHITECTURES POSSIBLES

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

PRESENTATION DES PAQUETS ICA

FIGURE 6 : PAQUET ICA

Filire Informatique & Rseaux

IR 2000 - Anne 2003

LES DIFFERENTES COMMANDES

LES COMMANDES SOURIS ET CLAVIER

LES COMMANDES DE CANAUX VIRTUELS

Filire Informatique & Rseaux

IR 2000 - Anne 2003

ENCAPSULATION DE PAQUET ICA

Flux de donnes ICA

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

Filire Informatique & Rseaux

IR 2000 - Anne 2003

CITRIX MANAGEMENT CONSOLE

Filire Informatique & Rseaux

IR 2000 - Anne 2003

MAGASIN DE DONNEES (DATA STORE)

Filire Informatique & Rseaux

IR 2000 - Anne 2003

CACHE DE L'HOTE LOCAL