21 septembre 2006

Tunnel VPN SSL

Mis au point pour scuriser un protocole rseau (TCP/IP), SSL est utilis pour sauthentifier et
crypter les donnes vhicules dans les rseaux (Ex. Sites Internet marchands et bancaires). Les
tunnels VPN SSL fournissent les mmes services que les VPN IPSec ou PPTP, avec plus de
flexibilit et pour un cot dadministration moindre.

Une technologie homogne :
On compte un grand nombre dOS supports (Windows, Linux, Unix, Palm, etc.) mais aussi
lexistence de brique de communication complmentaires, en vue de grer par exemple plusieurs
catgories de trafic (Voix sur IP, Applicatifs, etc.) et leur qualit de services associe.


SSL sur des Appliances ddis :
Parfois, les Firewall ne laissent pas passer IPSec ou PPTP, ou alors il faut les configurer pour
autoriser certaines adresses IP.
Lautre inconvnient dIPSec ou et de PPTP rside dans le fait quun client doit tre install et/ou
configur sur chaque poste de travail du parc.
Le protocole SSL lve ces obstacles puisquil est implment dans tous les navigateurs Web et
franchi toujours les Firewall.
Ladministration sen trouve donc normment simplifi puisque tout se pilote depuis lappliance et
il ny aucune intervention prvoir sur les postes utilisateurs ; que ce soit pour la premire mise en
service ou une mise jour, un utilisateur peut initialiser un tunnel SSL seul.
Avec le protocole SSL, laccs toutes les applications, mme en mode client/serveur, est possible.

Caractristique technique :
SSL est un protocole qui vient se placer au dessus de la couche TCP/IP. Il permet aux couches
encore suprieures (HTTP, LDAP, IMAP, SMTP) de profiter d'un mode d'accs scuris. Les trois
fonctionnalits principales de SSL sont :
- l'authentification du serveur,
- l'authentification du client,
- le chiffrement des donnes.
Il se compose de deux couches : le SSL Record Protocol concerne l'encodage (envoi des donnes) et
le SSL Handshake protocol la ngociation (phase qui prcde la validation des donnes par l'un ou
par l'autre).

SSL peut prendre en charge diffrents algorithmes cryptographiques pour authentifier et envoyer des
certificats, et pour tablir des cls. Le sous protocole de ngociation a entre autres pour fonction de
dfinir les paramtres du chiffrement : sera choisi celui qui rpond le mieux aux besoins et aux outils
des deux communicants. Les algorithmes gnralement utiliss sont les suivants : DES (Data
Encryption Standard), MD5 (Message Digest), RC2 & RC4 (Rivest encryption Ciphers), SHA-1
(Secure Hash Algorithm), SKIPJACK (algorithme de clef symtrique mis en place par Fortezza).


Les autres avantages de la solution SSL Gateway :


21 septembre 2006
La reconnexion automatique et transparente du poste client aprs un incident (ex : perte de lien
internet)

Il est possible de grer la scurit des htes connects (ex : test de la prsence dAV ou de firewall
sur le poste client, appartenance un domaine, etc.) mais il est aussi possible de crer un accs
dgrad travers un bureau de type X Windows gr par lappliance.

Lappliance SSL dispose dun mode TCP avec fentrage cass pour rduire le temps de rponse
dapplications utilisant du flux UDP (ex : tlphonie sur IP).

Le choix du VPN SSL permet la connexion des applications compatibles (principalement HTML)
depuis un PDA.



Conclusion :

Compte tenu de tous ses avantages la fois pour les utilisateurs, notamment les nomades et pour
l'administrateur du rseau local et tendu, nous prconiserons SSL chaque fois qu'une entreprise
prsente les besoins suivants :

- Multiplication des nomades ou des postes fixes en tltravail.
- Utilisation intensive de la messagerie partir de postes nomades dans des conditions de
connexion peu prvisibles.
- Echanges de protocoles donnes, voix sur le mmes "liens internet".
- Dploiement sur le WAN de l'entreprise d'un logiciel mtier (Gestion, ERP).

La simplicit d'administration permet de multiplier les points d'accs au firewall central, sans pour
cela augmenter le temps d'administration et donc le contrat de service mensuel li au contrat E-
Secure. Seuls sont prendre en compte les cots initiaux d'installation et de paramtrage.