UCOPIA Livre Blanc

Livre Blanc UCOPIA
Juin 2015
mbre
2 Livre blanc UCOPIA
Table des matires

INTRODUCTION ................................................................................................................................................. 7
2 PRESENTATION GENERALE DE LA SOLUTION UCOPIA ............................................................. 9
2.1 ARCHITECTURE GLOBALE DE LA SOLUTION UCOPIA .......................................................................... 10
3 FONCTIONNALITES UCOPIA .............................................................................................................. 12
3.1 SECURITE ............................................................................................................................................. 12
3.1.1 Certification de scurit CSPN ....................................................................................................... 12
3.1.2 Authentification ............................................................................................................................... 12
3.1.2.1 Authentification depuis le portail Web captif ......................................................................................... 12
3.1.2.2 Authentification par rseaux sociaux ...................................................................................................... 14
3.1.2.3 Authentification RADIUS/802.1x .......................................................................................................... 15
3.1.2.4 Authentification automatique par adresse MAC ..................................................................................... 16
3.1.2.5 Authentification par adresse MAC ou adresse IP fixe ............................................................................ 16
3.1.2.6 Authentification en environnement Windows ........................................................................................ 16
3.1.2.7 Authentification Shibboleth .................................................................................................................... 16
3.1.3 Contrle daccs par profil utilisateur ............................................................................................ 17
3.1.4 Traabilit ....................................................................................................................................... 17
3.1.5 Organisation en rseaux virtuels (VLAN) ....................................................................................... 17
3.1.6 Filtrage dURLs .............................................................................................................................. 18
3.1.7 DPSK (Dynamic Pre Share Key) Ruckus ........................................................................................ 19
3.1.8 Dtection dintrusion....................................................................................................................... 20
3.1.9 Politiques de mot de passe .............................................................................................................. 20
3.1.10 Contrle du mot de passe et quarantaine ................................................................................... 20
3.1.11 Scurit Radio ............................................................................................................................. 20
3.1.12 Journal daudit ........................................................................................................................... 21
3.2 MOBILITE ............................................................................................................................................. 21
3.2.1 Modle de mobilit .......................................................................................................................... 21
3.2.2 Profils adaptables ........................................................................................................................... 22
3.2.3 BYOD (Bring Your Own Device) .................................................................................................... 22
3.2.4 Transparence daccs ou Zro configuration ........................................................................... 22
3.2.5 Qualit de Service ........................................................................................................................... 23
3.2.5.1 QoS par service ...................................................................................................................................... 23
3.2.5.2 QoS par utilisateur .................................................................................................................................. 24
3.2.6 Quota de volume de donnes ........................................................................................................... 24
3.2.7 Multi portails ................................................................................................................................... 24
3.2.8 Personnalisation du portail ............................................................................................................. 24
3.2.9 Portail captif et contenu dynamique ............................................................................................... 25
3.2.10 Application mobile pour smartphones et tablettes ...................................................................... 26
3.2.11 Compatibilit iPass ..................................................................................................................... 26
3.3 PROVISIONNEMENT DE COMPTES UTILISATEUR .................................................................................... 27
3.3.1 Auto-enregistrement depuis le portail captif ................................................................................... 27
3.3.1.1 Auto-enregistrement One Click Button ............................................................................................ 27
3.3.1.2 Auto-enregistrement libre (formulaire) .................................................................................................. 27
3.3.1.3 Auto-enregistrement par SMS ................................................................................................................ 28
3.3.1.4 Auto-enregistrement par email ............................................................................................................... 28
3.3.1.5 Auto-enregistrement par impression de ticket ........................................................................................ 29
3.3.2 Parrainage ...................................................................................................................................... 30
3.3.3 Portail de dlgation ....................................................................................................................... 30
3.3.3.1 Prrogatives des administrateurs dlgus.............................................................................................. 30
3.3.3.2 Personnalisation du portail de dlgation ............................................................................................... 32
3.3.3.3 Multi zones ............................................................................................................................................. 32
3.3.3.4 Gnration de comptes en masse ............................................................................................................ 32
3.4 PAIEMENT ET FACTURATION................................................................................................................. 32
3.4.1 Paiement en ligne ............................................................................................................................ 32
3.4.2 Connexion avec outil de facturation (PMS) .................................................................................... 33
3.4.3 Connexion avec serveur de cartes prpayes (PPS) ....................................................................... 33
3.4.4 Gestion dvnements ...................................................................................................................... 33
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
3.5 ADMINISTRATION ................................................................................................................................. 34

3.5.1 Profils dadministration .................................................................................................................. 34
3.5.2 Administration des politiques de scurit et de mobilit ................................................................. 34
3.5.3 Supervision, traabilit ................................................................................................................... 35
3.5.4 Reporting ......................................................................................................................................... 40
3.5.5 Configuration du contrleur UCOPIA ............................................................................................ 41
3.5.6 Exploitation du contrleur UCOPIA ............................................................................................... 41
3.5.7 Administration centralise .............................................................................................................. 41
3.5.8 Administration SNMP ..................................................................................................................... 41
3.5.9 Administration via CLI .................................................................................................................... 41
3.5.10 Exportation Syslog ...................................................................................................................... 41
3.5.11 Administration multi sites ........................................................................................................... 41
3.5.12 Gestion de compte par lutilisateur ............................................................................................ 42
4 ARCHITECTURE UCOPIA ..................................................................................................................... 43
4.1 CONTROLEUR UCOPIA ....................................................................................................................... 43
4.2 ADMINISTRATION UCOPIA ................................................................................................................. 45
4.3 POINTS DACCES WI-FI......................................................................................................................... 47
4.4 PREREQUIS DES POSTES UTILISATEURS ................................................................................................. 47
5 INTEGRATION UCOPIA DANS UNE INFRASTRUCTURE RESEAU ............................................ 48
5.1 INTEGRATION AVEC UN OU PLUSIEURS ANNUAIRES DENTREPRISE ....................................................... 48
5.2 ADRESSAGE IP ET ARCHITECTURES VLAN .......................................................................................... 50
5.3 INTEGRATION AVEC UN PROXY WEB DENTREPRISE ............................................................................. 52
5.4 INTEGRATION AVEC UN SERVEUR RADIUS EXTERNE .......................................................................... 52
5.5 INTEGRATION AVEC UNE ARCHITECTURE PKI ...................................................................................... 52
5.6 INTEGRATION DANS LES ARCHITECTURES UNIVERSITAIRES .................................................................. 53
5.6.1 Architecture EDUROAM ................................................................................................................. 53
5.6.2 Architecture Shibboleth ................................................................................................................... 54
5.7 COUPLAGE AVEC UN PRODUIT TIERS .................................................................................................... 55
5.7.1 API .................................................................................................................................................. 55
5.7.2 Couplage avec un PMS (Property Management System) ................................................................ 56
5.7.3 Couplage avec un PPS (Pre Paid System) ...................................................................................... 57
5.7.4 Couplage avec la solution iPass ..................................................................................................... 57
6 ARCHITECTURES RESEAU .................................................................................................................. 59
6.1 ARCHITECTURES MONO SITE ................................................................................................................ 59
6.2 ARCHITECTURES MULTI SITES .............................................................................................................. 61
6.2.1 Architecture centralise .................................................................................................................. 61
6.2.2 Architecture partiellement centralise ............................................................................................ 62
6.2.3 Architecture distribue .................................................................................................................... 63
6.2.4 Architecture mixte ........................................................................................................................... 64
6.3 ARCHITECTURE MULTI ZONES .............................................................................................................. 64
6.4 ARCHITECTURE CLOUD ........................................................................................................................ 65
7 HAUTE DISPONIBILITE ........................................................................................................................ 68
7.1 REDONDANCE....................................................................................................................................... 68
7.2 REPARTITION DE CHARGE ..................................................................................................................... 69
8 PLATE-FORME UCOPIA WEB SERVICES ......................................................................................... 70
8.1 EXPLOITATION ..................................................................................................................................... 70
8.1.1 Installation automatique de la licence UCOPIA (ou mise jour) .................................................. 70
8.1.2 Mise disposition automatique des mises jour ............................................................................ 70
8.1.3 Ouverture automatique dun tunnel de maintenance ...................................................................... 70
8.1.4 Contrle de la validit de la maintenance ....................................................................................... 71
8.2 SUPERVISION ET ADMINISTRATION ....................................................................................................... 71
8.3 BUSINESS INTELLIGENCE ET ANALYTIQUE ............................................................................................ 72
8.4 CAMPAGNES MARKETING .................................................................................................................... 73
8.5 ARCHITECTURE .................................................................................................................................... 75
9 GAMMES UCOPIA ................................................................................................................................... 77
10 PERFORMANCES .................................................................................................................................... 82
11 APPLIANCES MATERIELLES .............................................................................................................. 83
12 APPLIANCES VIRTUELLES .................................................................................................................. 88
13 MAINTENANCE ....................................................................................................................................... 89
14 CONCLUSION ........................................................................................................................................... 90
15 ANNEXE 1 : DOCUMENTATION .......................................................................................................... 92
15.1 MANUELS ............................................................................................................................................. 92
15.2 APIS ..................................................................................................................................................... 92
15.3 COUPLAGE AVEC PRODUITS TIERS ........................................................................................................ 93
15.4 CERTIFICATION DE SECURITE ............................................................................................................... 93
16 ANNEXE 2 : GLOSSAIRE ....................................................................................................................... 94
16.1 RESEAU ................................................................................................................................................ 94
16.2 WI-FI.................................................................................................................................................... 94
16.3 AUTHENTIFICATION ............................................................................................................................. 95
16.4 CHIFFREMENT ...................................................................................................................................... 96
16.5 ANNUAIRE ............................................................................................................................................ 97
Table des figures

Figure 1: La solution UCOPIA ............................................................................................................. 10
Figure 2: Architecture globale de la solution UCOPIA ....................................................................... 10
Figure 3: Page d'accueil du portail UCOPIA ........................................................................................ 13
Figure 4: Affichage des services autoriss depuis le portail UCOPIA.................................................. 14
Figure 5: Authentification par rseaux sociaux ..................................................................................... 15
Figure 6: Authentification Shibboleth ................................................................................................... 16
Figure 7: Architecture VLAN UCOPIA ............................................................................................... 18
Figure 8: Portail UCOPIA avec Ruckus DPSK .................................................................................... 20
Figure 9: Le modle de mobilit UCOPIA............................................................................................ 21
Figure 10 : Conditions BYOD............................................................................................................... 22
Figure 11: Edition du portail UCOPIA ................................................................................................. 25
Figure 12: Portail UCOPIA avec encarts publicitaires.......................................................................... 25
Figure 13: Application UCOPIA pour Smartphones............................................................................. 26
Figure 14: Portail "One Click Button" .................................................................................................. 27
Figure 15: Portail avec auto-enregistrement par formulaire (libre) ....................................................... 28
Figure 16: Portail avec auto-enregistrement par SMS .......................................................................... 28
Figure 17: Portail avec auto-enregistrement par mail ........................................................................... 29
Figure 18 : Portail avec auto-enregistrement par impression de ticket ................................................. 29
Figure 19: Auto-enregistrement avec parrainage ................................................................................. 30
Figure 20: Portail de dlgation Gestion de la validit ...................................................................... 31
Figure 21: Portail de dlgation Gestion des utilisateurs ................................................................... 32
Figure 22: Portail avec paiement en ligne et choix de forfaits .............................................................. 33
Figure 23: Dfinition dun profil utilisateur .......................................................................................... 35
Figure 24: Journal des sessions utilisateurs ........................................................................................... 36
Figure 25: Journal dactivit pour un utilisateur ................................................................................... 37
Figure 26: Journal dactivit (URLs visites par un utilisateur) ........................................................... 38
Figure 27: Visualisation de statistiques ................................................................................................. 39
Figure 28: Exemple de rapport au format PDF ..................................................................................... 40
Figure 29: Architecture UCOPIA.......................................................................................................... 43
Figure 30: Architecture du contrleur UCOPIA ................................................................................... 44
Figure 31: Architecture des outils d'administration UCOPIA ............................................................... 46
Figure 32: Processus de connexion d'un utilisateur ............................................................................... 48
Figure 33: Configuration d'un annuaire externe d'authentification ....................................................... 49
Figure 34: Authentification avec cascade dannuaires .......................................................................... 49
Figure 35: Configuration du contrleur (annuaires dauthentification) ............................................... 50
Figure 36: Configuration IP/VLAN par dfaut du contrleur UCOPIA ............................................... 50
Figure 37: Politiques dadressage en fonction du profil utilisateur ....................................................... 51
Figure 38: Politiques d'adressage et VLANs de sortie .......................................................................... 51
Figure 39: Configuration RADIUS ....................................................................................................... 52
Figure 40: Architecture EDUROAM avec UCOPIA ............................................................................ 53
Figure 41 : Architecture Shibboleth avec UCOPIA .............................................................................. 55
Figure 42: Couplage avec un produit tiers ............................................................................................ 56
Figure 43: Couplage avec un PMS ........................................................................................................ 57
Figure 44: Architecture globale iPass/UCOPIA.................................................................................... 58
Figure 45: Architecture iPass ................................................................................................................ 58
Figure 46: Architecture UCOPIA mono site (cas 1) ............................................................................. 59
Figure 47: Architecture UCOPIA mono site (cas 2) ............................................................................. 60
Figure 48: Architecture multi sites centralise ...................................................................................... 62
Figure 49: Architecture multi sites partiellement centralise ................................................................ 63

Figure 50: Rplication d'annuaire UCOPIA en architecture distribue ................................................ 64
Figure 51: Architecture multi zones ...................................................................................................... 65
Figure 52: Architecture Cloud ............................................................................................................... 66
Figure 53: Architecture de redondance UCOPIA ................................................................................. 69
Figure 54: Architecture de rpartition de charge UCOPIA ................................................................... 69
Figure 55: Statistiques globales en fonction des numros de version ................................................... 71
Figure 56: Nombre de connexions simultanes sur un contrleur ........................................................ 72
Figure 57: Exemple de tableau de bord analytique .............................................................................. 73
Figure 58: Exemple de campagne marketing ........................................................................................ 74
Figure 59: Exemple de campagne marketing (suite) ............................................................................. 75
Figure 60: Architecture de la plate-forme UCOPIA Web Services ...................................................... 76
Figure 61: Contrleur format "US250" ................................................................................................. 83
Figure 62: Contrleur format "US2000" ............................................................................................... 83
Figure 63: Contrleur format US5000RDP ..................................................................................... 83
Figure 64 : Contrleur format US10000RDP .................................................................................. 84
Figure 65 : Contrleur format US20000RDP .................................................................................. 84
1 Introduction
Selon IDC, il y a 75 Millions de professionnels nomades en Europe, qui passent 70% de leur temps de
travail hors de leur bureau. Par ailleurs, le nombre demploys ne disposant pas dun bureau atteint 46
Millions et augmente de 4,4% par an (Gartner). Tous ces nomades ont besoin daccder Internet et
au Systme dinformation de lentreprise, dans leur bureau, en salle de runion, lhtel, chez leurs
clients et leurs fournisseurs. Ds lors quun accs nomade est propos, les employs se connectent
1h45 de plus chaque jour, ce qui contribue une amlioration de la productivit de 22% (Source NOP
World). Autrement dit, la mobilit donne plus de souplesse et plus dutilisation donc plus defficacit.
Selon Forrester, 38% des entreprises fournissent chaque mois 20 visiteurs au moins un accs rseau
et 11% de ces entreprises dpassent les 200 visiteurs connects.
Les entreprises disposent dj dinfrastructures IP sur lesquelles circulent les flux gnrs par les
applications donnes et voix et continuent les tendre avec notamment la technologie sans fil Wi-Fi.
Le dploiement dun accs nomade consiste donc mutualiser cette infrastructure pour rpondre
tous les utilisateurs (visiteurs, clients, fournisseurs, employs,) et tous les usages (du simple accs
Internet jusqu un accs aux applications de lentreprise).
Par ailleurs, lessor des terminaux mobiles bouleverse les usages. Dici 2016, le nombre de
Smartphones devrait atteindre 480 millions, et 65% dentre eux seront utiliss dans le cadre du BYOD
(Bring Your Own Device) (Source Analyse firm IDC).
Dans ce contexte, la scurit est un enjeu essentiel : authentification des utilisateurs et des terminaux,
contrle des accs en fonction de lidentit de lutilisateur, de son rle mais aussi de son terminal, du
lieu et de lheure de connexion, traabilit des connexions et des usages pour rpondre aux exigences
lgales en vigueur. La simplicit de lusage et la gestion des utilisateurs (ouverture de compte, gestion
des droits daccs, assistance technique, etc.) conditionnent lefficacit des accs nomades et le retour
sur investissement.
Au-del de la scurit, les organisations veulent transformer leur investissement Wi-Fi en une
opportunit de revenus (services la carte, revenus publicitaires, etc.). Selon Gartner, le march du
Wi-Fi va crotre de 3.7B$ en 2011 9.7B$ en 2017 soit une croissance annuelle de 57% pour les
oprateurs et de 17% pour les entreprises.
La solution UCOPIA permet aux employs, clients, fournisseurs ou visiteurs de se connecter dans les
environnements professionnels et daccder trs simplement aux ressources de lIntranet, de lInternet
ou de lExtranet avec la double garantie de scurit et de qualit de service. UCOPIA apporte
galement une rponse aux organisations qui souhaitent un retour sur investissement de leur
infrastructure Wi-Fi grce ses services dAnalytique et de campagne marketing.
UCOPIA dveloppe et commercialise deux gammes de produits : UCOPIA Advance et UCOPIA
Express. UCOPIA Advance est destine aux grands projets (nombreux utilisateurs, plusieurs sites,
intgration fine avec le LAN) des entreprises, des campus, des administrations, des centres de congrs
ou des stades. UCOPIA Express vise les projets plus petits (mono site, quelques dizaines ou centaines
de connexions simultanes) mais privilgie la simplicit de la mise en uvre et de lexploitation.
UCOPIA Express est parfaitement adapte aux besoins des collges, des htels, des cliniques et des
PME en gnral.
Ce livre blanc dcrit la solution UCOPIA dans son ensemble, toutes gammes de produits confondues.
Il prsente dans un premiers temps les composants de loffre et ses principales fonctionnalits. Une
deuxime partie est consacre larchitecture de la solution, le rle et le fonctionnement de chaque
composant et module sont prsents de faon dtaille. Une troisime partie est consacre la faon
dont la solution UCOPIA sintgre dans les architectures rseau existantes. Une quatrime partie dcrit
les diffrentes architectures UCOPIA (mono site, multi sites, etc.). La cinquime partie aborde les
architectures de haute disponibilit (redondance et rpartition de charge). La suite du document

prsente la plate-forme UCOPIA Web Services et ses nombreuses fonctions, puis finalement, les
diffrentes gammes de loffre UCOPIA sont prsentes avec pour chacune delle leurs objectifs et
leurs fonctionnalits.
2 Prsentation gnrale de la solution UCOPIA

La solution UCOPIA est une solution scurise ddie la gestion de la mobilit dans les rseaux sans
fil Wi-Fi et filaires. Les principaux avantages dUCOPIA sont les suivants.
La Scurit de lentreprise et des utilisateurs: UCOPIA propose une authentification
forte construite sur une architecture 802.1x et un serveur RADIUS. Une fois authentifi,
lutilisateur bnficie dun chiffrement WPA ou WPA2 afin de garantir la confidentialit
de ses communications. Un mode dauthentification bas sur HTTPS et un portail Web
(login et mot de passe) est galement propos afin daccueillir sans contraintes les
visiteurs. UCOPIA permet de dfinir puis de contrler finement les droits daccs en
prenant en compte lidentit de lutilisateur, la nature du service demand, le type
dquipement, le lieu et lheure de la demande. De plus, UCOPIA assure une parfaite
traabilit du trafic des utilisateurs afin de garantir la conformit aux lois anti-terroristes.
Le confort et la productivit des utilisateurs : quiconque a utilis son PC hors de son
bureau ou de son entreprise a pu constater la difficult y retrouver ses applications
mme les plus courantes : accs Internet ncessitant la reconfiguration du navigateur
pour prendre en compte un ventuel Proxy, impossibilit denvoyer des messages sous
son compte professionnel et difficult utiliser une imprimante. UCOPIA rsout tous ces
problmes automatiquement : accs zro configuration, sans assistance technique, avec
une qualit de service contrle et prvisible.
Lintgration dans les infrastructures de communication et de scurit : les entreprises
disposent dune infrastructure rseau (DHCP, VLAN, VPN, annuaire, etc.). Le Wi-Fi doit
sintgrer dans cet existant en souplesse. UCOPIA grce son approche modulaire et
ouverte apporte des rponses toutes ses questions et permet aux entreprises de
dployer du Wi-Fi sans remettre en cause son existant.
La simplicit de la mise en uvre et de ladministration: le contrleur UCOPIA sinstalle
et se configure trs simplement grce ses outils dadministration conviviaux. La
cration des profils et des comptes utilisateurs est la porte dun non spcialiste.
UCOPIA combine ainsi une scurit professionnelle une simplicit de mise en uvre
exceptionnelle.
Le retour sur investissement des infrastructures mises en place : les organismes
dployant des rseaux Wi-Fi souhaitent un retour sur investissement de leur
infrastructure. Le service dAnalytique UCOPIA va permettre aux organisations de mieux
apprhender les usages et de mieux connaitre leurs utilisateurs. Utilis en conjonction
avec le service de Campagnes Marketing Web, il est alors possible de proposer aux
utilisateurs des services valeur ajoute gnrateur de revenu, et/ou de montiser les
accs par lajout de publicits cibles.
Figure 1: La solution UCOPIA
2.1 Architecture globale de la solution UCOPIA

La solution UCOPIA se prsente sous la forme dune Appliance matrielle (ou virtuelle), et vient se
greffer sur une infrastructure Wi-Fi ou filaire. Cette infrastructure est connecte au rseau local
dentreprise travers le contrleur UCOPIA qui joue le rle de passerelle et de contrleur comme
dcrit dans le schma ci-dessous.
Figure 2: Architecture globale de la solution UCOPIA
Dautres architectures sont possibles, notamment des architectures dans le Cloud, voir Section 6.4.
Deux composants principaux constituent le contrleur UCOPIA :

Le contrleur implmente lauthentification base soit sur un portail captif HTTPS, soit
sur une architecture 802.1x et un serveur RADIUS, le contrle daccs par filtrage des flux
utilisateurs, la dtection et la correction automatique des flux mal configurs, la qualit
de service et la traabilit du trafic des utilisateurs.
Loutil dadministration permet dadministrer lensemble de la solution UCOPIA,
configuration du contrleur, dfinition des politiques de scurit et de mobilit de
lentreprise, supervision. De plus loutil dadministration permet de dlguer des
utilisateurs habilits un droit dadministration limite (par exemple provisionnement de
comptes pour accueillir des visiteurs dans une entreprise ou les clients dun htel).
3 Fonctionnalits UCOPIA
3.1 Scurit
La scurit est un lment essentiel pour un utilisateur nomade, UCOPIA offre les moyens de mettre
en uvre les mcanismes de scurit indispensable dans un contexte de mobilit, il permet notamment
dinstaller un climat de confiance mutuelle entre le nomade et son environnement daccueil.
La solution UCOPIA permet un utilisateur de se connecter en toute scurit grce ses mcanismes
dauthentification. Lutilisateur, une fois authentifi, ne peut accder quaux applications autorises
par son ou ses profils. Les profils peuvent dpendre du lieu ou de lheure de connexion, voire de
lquipement de lutilisateur. UCOPIA utilise les architectures VLAN pour renforcer le cloisonnement
des diffrentes populations dutilisateurs.
3.1.1 Certification de scurit CSPN
Le produit UCOPIA a obtenu une certification CSPN dlivr par lANSSI (Agence Nationale de la
Scurit des Systmes dInformation). Cela consiste attester que le produit a subi avec succs une
valuation par un centre dvaluation agr par lANSSI dans un temps et une charge contraints
conduisant une certification.
Les travaux dvaluation ont eu pour objectifs :
de vrifier que le produit est conforme ses spcifications de scurit (authentification,
contrle daccs par profil, traabilit, etc.) ;
de coter les mcanismes de faon thorique, de recenser les vulnrabilits connues de
produits de sa catgorie ;
de soumettre le produit des tests de vulnrabilit visant contourner ses fonctions de
scurit.
Voir le site de lANSSI pour consulter les lments de certification.

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_01.html
3.1.2 Authentification
UCOPIA propose plusieurs modes dauthentification, allant dune authentification de type portail Web
captif base sur HTTPS jusqu une authentification forte base sur le protocole 802.1x/EAP. Ces
diffrents modes dauthentification cohabitent dans un mme rseau, ventuellement sous diffrents
rseaux logiques (VLAN), chacun correspondant diffrentes catgories dutilisateurs. Par exemple,
une entreprise peut proposer ses employs une authentification forte base sur des certificats en
EAP/TLS et peut rserver lauthentification par login et mot de passe depuis un portail Web ses
visiteurs. Dans chaque mode dauthentification, la cl dauthentification a une dure limite dans le
temps.
3.1.2.1 Authentification depuis le portail Web captif
Ce mode dauthentification est comparable dun point de vue ergonomique celui utilis par les
hotspots. Lutilisateur, louverture de son navigateur Web, se voit automatiquement redirig vers une
page Web dauthentification hberge par le contrleur UCOPIA ou ventuellement externe celui-ci.
La page lui propose de sauthentifier en utilisant un couple login/mot de passe (mode standard), une
fois lauthentification russie, les services autoriss saffichent dans la fentre et lutilisateur peut en
faire usage.
La copie dcran suivante montre la page daccueil du portail UCOPIA permettant une
authentification par login et mot de passe (mode standard) ainsi que de lauto-enregistrement par email
et par formulaire libre.
Figure 3: Page d'accueil du portail UCOPIA
Une fois lutilisateur authentifi, les services autoriss par son profil saffichent dans la fentre.
Figure 4: Affichage des services autoriss depuis le portail UCOPIA
Rauthentification automatique
Par dfaut, UCOPIA propose un mcanisme permettant de renforcer la scurit pour le mode
dauthentification par portail en mettant en oeuvre une authentification qui est rejoue priodiquement
et de faon transparente pour lutilisateur. Dans ce cas, il faudra que lutilisateur conserve la fentre du
portail ouverte pour que sa connexion reste active. Il est nanmoins possible de dsactiver cette option
par configuration, lutilisateur sera alors dconnect quand il teindra son poste ou dsactivera sa
connexion rseau. Lactivation ou la dsactivation de ce mcanisme seffectue au niveau du profil
utilisateur. Le temps de dconnexion sur inactivit est configurable.
Utilisation dun mme couple didentifiants pour plusieurs connexions simultanes
Par dfaut, le mme login/mot de passe ne peut tre utilis pour deux connexions simultanes, et ce
pour des raisons de traabilit et de scurit. Cette option peut toutefois tre dsactive pour autoriser
plusieurs postes utilisateurs (PC, Smartphone) se connecter avec le mme couple didentifiants. Il est
possible de contrler le nombre de connexions simultanes pour un profil utilisateur donn.
Redirection vers un portail dentreprise
Il est possible de rediriger lutilisateur vers un portail externe UCOPIA. Ce fonctionnement peut tre
intressant pour, par exemple, alimenter une base de donnes Marketing. Concernant lauthentification
de lutilisateur, deux modes sont proposs, (1) revenir sur le portail UCOPIA, (2) rester sur le portail
dentreprise qui devra alors tre enrichi avec le dialogue dauthentification UCOPIA. Pour ce dernier
cas, UCOPIA fourni une API permettant de raliser le dialogue dauthentification.
3.1.2.2 Authentification par rseaux sociaux

Afin de ne pas multiplier le nombre didentifiants pour un utilisateur et ainsi de simplifier lusage,
lutilisateur peut utiliser les identifiants dun de ses rseaux sociaux (Facebook, Twitter, Google ou
LinkedIn) pour sauthentifier sur le portail captif.
Figure 5: Authentification par rseaux sociaux
Les informations propres lutilisateur seront enregistres dans les journaux utilisateurs des fins de
traabilit et/ou de marketing.
Lorganisation dployant UCOPIA pourra dvelopper sa propre application rseau social afin de faire
apparatre une page ses couleurs lors de la saisie par lutilisateur de ses identifiants.
3.1.2.3 Authentification RADIUS/802.1x

Un serveur RADIUS est embarqu dans le contrleur UCOPIA permettant de jouer le rle du serveur
dauthentification de larchitecture 802.1x.
Authentification par login/mot de passe et protocole 802.1x
Les protocoles tels que PEAP ou TTLS peuvent tre utiliss pour lauthentification par login/mot de
passe.
Authentification par certificats et protocole 802.1x
Lauthentification par certificat repose sur le protocole 802.1x/EAP-TLS qui s'appuie sur une
infrastructure de type PKI. Le serveur RADIUS et le client du rseau sont munis de certificats dlivrs
par une autorit de certification commune. UCOPIA sappuie sur des certificats mis par un tiers de
confiance.
3.1.2.4 Authentification automatique par adresse MAC

Aprs une premire authentification de type portail russie, UCOPIA peut enregistrer ladresse MAC
de lutilisateur. Il sera ainsi possible de connecter de faon transparente lutilisateur lorsquil se
reprsente et ce grce la reconnaissance automatique de son adresse MAC.
Ce mcanisme permet de rendre le parcours client plus fluide en ne prsentant le portail
dauthentification que pour la premire connexion. Lactivation de ce mcanisme seffectue au niveau
du profil de lutilisateur et peut sappliquer tout type de portail.
De plus, il est possible de verrouiller laccs pour un quipement donn (ou plusieurs) partir de son
adresse MAC. Ceci permet dviter le partage des identifiants entre plusieurs utilisateurs utilisant
diffrents quipements.
3.1.2.5 Authentification par adresse MAC ou adresse IP fixe
UCOPIA propose une authentification base sur des adresses MAC ou adresses IP fixes. Les adresses
doivent tre renseignes depuis loutil dadministration. Ce mode peut savrer utile pour authentifier
des quipements IP qui nauraient pas la capacit sauthentifier avec des protocoles plus labors tel
que 802.1x.
3.1.2.6 Authentification en environnement Windows
UCOPIA permet de raliser, en environnement Windows, une authentification machine avant
lauthentification de lutilisateur. Lobjectif de lauthentification machine, au-del de sa fonction
premire dauthentification, va permettre de dclencher sur le serveur Windows des scripts (type
Netlogon), qui vont par exemple monter des lecteurs rseaux, excuter des scripts de mise jour
antivirus, dmarrer certains utilitaires spcifiques, etc.
3.1.2.7 Authentification Shibboleth
Shibboleth est un mcanisme de propagation d'identit dploy plus particulirement en
environnement universitaire. Lobjectif est que lutilisateur puisse sauthentifier avec ses identifiants
Shibboleth partir du portail captif UCOPIA. Pour cela, il est redirig sur une page lui permettant
tout dabord de slectionner son tablissement dappartenance puis dentrer ses identifiants de
connexion. Une fois authentifi lutilisateur se voit attribuer un profil qui est dduit partir de son
affiliation et de son site dappartenance (voir Section 5.6.2 pour larchitecture technique).
Figure 6: Authentification Shibboleth
3.1.3 Contrle daccs par profil utilisateur
Le contrle daccs des utilisateurs doit sexercer de manire fine, en fonction de lutilisateur et de ses
droits. Pour ce faire le contrleur UCOPIA utilise un mcanisme de filtre bas sur des rgles et
construit partir du profil de lutilisateur. Le filtre est install sur le contrleur ds quun utilisateur est
authentifi. Il sera supprim lors de sa dconnexion.
Le profil de lutilisateur dcrit les droits daccs aux applications, la dure et le mode de connexion,
les plages horaires et les zones autorises de connexion, etc. Un mme utilisateur peut avoir plusieurs
profils dpendant de diffrents critres (lieu, temps, quipement).
Le filtre peut proposer de nombreuses autres fonctionnalits que lon peut mettre en uvre dans un
rseau Wi-Fi. La scurit en est un exemple, mais dautres applications tout aussi importantes peuvent
galement tre intgres cet environnement. Dans le cadre de la solution UCOPIA, le filtrage est
utilis notamment pour grer la qualit de service.
3.1.4 Traabilit
UCOPIA enregistre et sauvegarde deux types dinformation : les informations de sessions des
utilisateurs (qui sest connect quand) et les informations de trafic (qui a fait quoi). En effet, ds lors
qu'une organisation accueille des visiteurs, elle a l'obligation lgale de conserver le trafic
Internet des visiteurs qui se connectent au rseau (loi du 23 janvier 2006 sur le terrorisme et la
traabilit) (voir Section 3.5.3).
3.1.5 Organisation en rseaux virtuels (VLAN)
UCOPIA offre la possibilit dutiliser des VLAN en entre et en sortie du contrleur UCOPIA. En
effet, trs souvent les entreprises architecturent leur rseau en VLAN et il est important en installant
UCOPIA de pouvoir continuer bnficier des mcanismes disolation rseau mis en place sur le
rseau existant.
Considrons le cas dun dploiement Wi-Fi, chaque SSID configur sur les points daccs Wi-Fi est
associ un VLAN, ces VLANs se retrouvent en entre du contrleur UCOPIA. Le contrleur UCOPIA
alloue des plages dadresses IP distinctes pour chacun des VLANs. Par dfaut UCOPIA fonctionne en
mode NAT mais peut tre configur en mode routage au niveau de chaque VLAN de sortie en
fonction du profil de lutilisateur (voir Section Adressage IP et architectures VLAN).
Par ailleurs, en fonction de son profil, le flux dun utilisateur pourra tre rinject en sortie du
contrleur UCOPIA dans un VLAN particulier.
Le schma ci-dessous illustre une architecture VLAN pour deux types de populations, des visiteurs et
des employs dune entreprise. Les visiteurs sauthentifient en mode portail Web et les employs en
802.1x. Chacune des populations est redirige dans son VLAN dappartenance ct rseau
dentreprise.
Figure 7: Architecture VLAN UCOPIA
3.1.6 Filtrage dURLs
UCOPIA propose nativement une fonction de filtrage dURLs qui peut sactiver par profil utilisateur.
Diffrentes catgories dURLs (Adulte, Agressif, etc.) peuvent tre filtres permettant par exemple de
diffrencier un profil Enfant dun profil Adulte .
Les catgories disponibles sont les suivantes.
Achat en ligne Sites d'achat en ligne.
Adulte Sites adultes allant de l'rotique la pornographie.
Agressif Sites faisant la promotion de la violence et de la haine.
Banque Sites de banque en ligne.
Blog Sites d'hbergement de blogs.
Chat Sites de dialogue et conversation en ligne.
Drogue Sites faisant la promotion de la drogue.
Hameonnage Faux sites de banque ou incitant donner des informations personnelles

frauduleusement.
Hbergement Sites d'hbergement de fichiers.
Jeux d'argent Sites de jeux d'argent.
Jeux en ligne Sites de jeux en ligne ou de distribution de jeux.
Messagerie Sites de messagerie en ligne.
Piratage Sites de piratage.
Presse Sites de presse en ligne.
Publicit Sites proposant de la publicit.
Redirecteur Sites permettant de contourner le filtrage des URLs.
Rencontre Sites de rencontre en ligne.
Rseaux
Rseaux sociaux.
sociaux
Vido Sites d'hbergement de contenu audio et/ou vido.
Virus Tout site qui injecte des programmes malvaillants.
Warez Annuaires de liens pour tlchargement de fichiers.
Il est galement possible dutiliser un produit de filtrage tiers grce une redirection des flux HTTP
ou travers le protocole ICAP.
La solution base sur la redirection de flux HTTP est ralise grce au proxy Web embarqu dans le
contrleur UCOPIA. Il permet de rediriger les flux vers le produit en charge du filtrage dURLs. Les
identifiants de lutilisateur peuvent tre passs au produit tiers afin quil puisse appliquer diffrentes
politiques en fonction de lutilisateur.
3.1.7 DPSK (Dynamic Pre Share Key) Ruckus
La solution Wi-Fi Ruckus1 propose un mcanisme innovant de distribution dynamique de cl de

chiffrement, la cl tant unique par utilisateur. DPSK est un compromis idal entre 802.1x et une
simple passphrase.
Le portail captif UCOPIA peut tre associ ce mcanisme DPSK afin de renforcer la scurit du
portail tout en conservant la simplicit dusage.
Lutilisateur va tout dabord sassocier un SSID ouvert et senregistrer sur le portail UCOPIA
avec lune des mthodes dauto-enregistrement sa disposition. La cl va lui tre octroye et
communique en mme temps que ses identifiants. Un utilitaire peut tre tlcharg depuis le portail
pour automatiser la configuration de la cl sur son quipement. Lutilisateur peut ensuite se connecter
sur le portail avec ses identifiants, il sera associ un SSID scuris et son trafic sera chiffr.
1
www.ruckuswireless.com
Figure 8: Portail UCOPIA avec Ruckus DPSK
3.1.8 Dtection dintrusion
UCOPIA permet de dtecter et de contrer des attaques consistant usurper lidentit dun utilisateur.
Lusurpation seffectue sur le mme rseau Ethernet en falsifiant des adresses ARP (MAC) pour des
adresses IP donnes. Ce type dattaque est plus sensible en cas dutilisation dun mode
dauthentification par portail moins scuris quun mode 802.1x qui ne dlivre pas dadresse IP avant
authentification de lutilisateur. Dans ce type dattaque, le poste cibl par l'attaque mettra jour sa
table ARP avec une fausse adresse MAC et ne pourra plus communiquer avec le contrleur UCOPIA.
UCOPIA, une fois lattaque dtecte, se charge en temps rel de remettre dans un tat cohrent les
tables ARP des postes attaqus.
3.1.9 Politiques de mot de passe
Des politiques de mot de passe peuvent tre dfinies pour chaque profil utilisateur. Il est ainsi possible
de dfinir la longueur du mot de passe ainsi que les caractres qui entrent dans sa composition.
Lassociation dune politique de mot de passe au profil permet de rpondre diffrents usages, par
exemple lapplication dune politique fortement scurise pour des employs dentreprise accdant
des ressources du rseau, et une politique simplifie pour des visiteurs sauto-enregistrant par SMS.
3.1.10 Contrle du mot de passe et quarantaine
Un utilisateur entrant plusieurs fois conscutives un mot de passe erron peut tre mis en quarantaine.
Le nombre de tentatives ainsi que le temps de quarantaine sont configurables.
3.1.11 Scurit Radio
La confidentialit des donnes transmises est assure par les quipementiers qui commercialisent les
cartes IEEE 802.11 et les points daccs. Cette scurit est de type WPA (Wireless Protected Access)
ou WPA2 qui offre les fonctions de chiffrement TKIP ou AES, utilisant des clefs dynamiques.
UCOPIA est bien sr compatible avec ces protocoles. UCOPIA est plus gnralement compatible
802.11i.
3.1.12 Journal daudit
A des fins de scurit et de traabilit, toutes les oprations dadministration sont notes au format
Syslog. Cela concerne les oprations effectues depuis loutil dadministration, le portail de dlgation
et la CLI Web.
3.2 Mobilit
La gestion de la mobilit consiste dfinir quelles sont les politiques de mobilit de lentreprise dune
part et les mettre en uvre dautre part. Par ailleurs, il faut que lutilisateur nomade puisse accder
en tout lieu aux services autoriss de faon simple et transparente et lui garantir la Qualit de Service
ncessaire la bonne excution de ses applications.
3.2.1 Modle de mobilit
UCOPIA a dfini un modle de mobilit prenant en compte plusieurs dimensions, le Qui ,

Quoi , Quand, O et Comment . Le Qui identifie les utilisateurs du rseau et leurs
matriels, le Quoi les applications accessibles depuis ce rseau. La plupart des systmes traitant de
scurit sur les rseaux sans fil sarrtent ces deux dimensions. UCOPIA prolonge ce modle, le
Quand introduit la notion de temps, par exemple, les employs dune entreprise peuvent se
connecter toute heure alors que les visiteurs uniquement aux heures daccueil de lentreprise. Le
O va conditionner les droits daccs de lutilisateur, en effet, les droits peuvent tre diffrents en
fonction du lieu sur lequel il se connecte. Cette dimension de lieu va introduire une dernire dimension
qui est le Comment , en effet, le fait dtre sur des sites diffrents peut amener utiliser un mode
dauthentification particulier.
Exemple : un utilisateur se trouvant au sige de son entreprise utilisera une authentification forte de
type 802.1x, accdera sans restrictions au LAN dentreprise, et ce toute heure de la journe. Quand il
se trouvera sur une filiale de lentreprise, il utilisera un mode dauthentification de type portail Web et
ses droits daccs seront limits la fois en terme de services (accs Internet ou VPN dentreprise) et
en termes de plages horaires (de 9h 18h).
Figure 9: Le modle de mobilit UCOPIA
3.2.2 Profils adaptables
La mise en uvre du modle de mobilit UCOPIA sappuie sur la notion de profil utilisateur
adaptable. En effet, UCOPIA, dans sa gamme Advance, permet dadapter automatiquement le profil
du nomade en fonction de diffrents critres : le lieu de connexion (site, zone), lheure de connexion,
voire lquipement avec lequel le nomade se connecte.
Grce aux profils adaptables, il est ais de spcifier les configurations suivantes :
1. Les tudiants qui si connectent dans la zone Amphithatre pendant la priode dexamens
voient leurs droits daccs modifis (pas dInternet, accs uniquement aux serveurs
pdagogiques).
2. Les tudiants qui se connectent dans la zone Bibliothque se connectent avec un crdit
temps de 2 heures par jour, ils nont pas de limite de temps sur la zone Rsidence
Universitaires .
3. Les employs dune entreprise se connectent en authentification forte (802.1x) sur le sige
social et peuvent accder au LAN sans restrictions, ils sauthentifient en mode portail sur une
filiale et voient leurs droits daccs restreints (Internet, VPN dentreprise).
4. Les clients dun htel qui se connectent dans les chambres ont une connexion illimite, ils ont
un crdit temps dans les zones restaurant et accueil.
3.2.3 BYOD (Bring Your Own Device)
Le profil adaptable peut sappliquer au type de matriel de lutilisateur et ainsi permettre de mettre en
uvre des politiques de scurit et de mobilit propres un type de matriel. Cette fonctionnalit peut
tre utilise dans les entreprises pour grer le BYOD et ainsi appliquer un traitement particulier aux
quipements personnels des employs.
Par exemple, les tlphones mobiles et les tablettes ne pourront se connecter quaux jours et heures
ouvrs avec des droits daccs restreints.
Lors de la dfinition du profil, la condition BYOD pourra sexprimer de la faon suivante :
Figure 10 : Conditions BYOD
Si la condition est satisfaite, le profil sadaptera pour mettre en uvre les droits daccs et les horaires
de connexion appropris.
Il est noter que les conditions permettant de slectionner les quipements peuvent faire intervenir le
constructeur et le systme dexploitation (nom et version).
3.2.4 Transparence daccs ou Zro configuration
Lobjectif de la transparence daccs est de permettre des utilisateurs ne connaissant pas

linfrastructure daccueil de pouvoir utiliser leur terminal et leurs applications sans besoin de
configuration ou dinstallation particulire.
La transparence daccs gre par UCOPIA est base sur la technologie de filtrage. Puisque le filtre
est capable de reconnatre le type dapplication et lutilisateur metteur et rcepteur, il peut dterminer
que lapplication est inadapte au contexte prsent. Par exemple, un client visiteur dune entreprise se
connectant sur le rseau sans fil et qui souhaite mettre un message ou bien imprimer un document, ne
peut effectuer ces travaux parce quil ne possde pas le droit ou plus simplement parce quil na pas
les drivers ncessaires. Le filtre est capable de dtecter ces problmes et de proposer des solutions. En
voici quelques exemples.
Adressage IP : la configuration rseau du terminal de lutilisateur importe peu. En effet,
quil soit configur en adressage IP fixe ou en adressage DHCP, le contrleur UCOPIA se
charge dtablir la connexion de faon transparente pour lutilisateur.
Accs Internet: beaucoup dentreprises mettent en place des proxy Internet pour des
raisons de scurit et les navigateurs des employs de ces entreprises sont configurs en
consquence afin dutiliser le proxy. Si un tel utilisateur tente daccder Internet dans
un environnement sans proxy Web ou avec un autre proxy, cela ne fonctionne pas : il
doit modifier la configuration de son navigateur. UCOPIA assure le bon fonctionnement
du navigateur de lutilisateur indpendamment de sa configuration et il redirige si besoin
est vers le proxy dentreprise.
Email: envoyer un email depuis un environnement qui nest pas son environnement
habituel gnralement choue car les rseaux des entreprises sont construits pour se
protger de ce type de message qui pourrait par exemple servir de couverture des
mcanismes de spam . UCOPIA dtecte les messages sortants de type SMTP et
redirige automatiquement les paquets vers le serveur SMTP local de lentreprise si bien
sr lutilisateur est autoris envoyer un message. Lutilisateur ne modifie pas sa
configuration de client de messagerie et le mail peut partir en toute transparence.
Impression : imprimer un document dans un environnement qui nest pas le sien relve
trs souvent du dfi. Il faut connatre le type dimprimante, savoir quel est son driver, o
il se trouve, comment linstaller. UCOPIA apporte la rponse ce type de problme, le
contrleur embarque un serveur dimpression dont le rle est de mettre disposition de
faon transparente le driver de limprimante.
UCOPIA est galement compatible avec la solution AirPrint2 pour imprimer de faon
transparente en environnement Wi-FI et Apple.
Lensemble de ces mcanismes de transparence daccs mis en uvre par UCOPIA garantit
lutilisateur final productivit et confort dutilisation. Il rduit de faon spectaculaire la charge de
travail de lassistance technique car il nest plus ncessaire de la solliciter lors dune connexion dans
un environnement daccueil.
3.2.5 Qualit de Service
UCOPIA peut diffrencier les flux traversant les contrleurs UCOPIA et ainsi grer des priorits de
flux en fonction des choix de ladministrateur.
Deux niveaux de gestion de la Qualit de Service sont proposs :
Au niveau des services
Au niveau des utilisateurs
3.2.5.1 QoS par service
Pour chaque service, il est possible de dfinir :
La priorit de traitement des services
Les services dfinis dans le contrleur UCOPIA peuvent avoir deux niveaux de priorit :
temps rel ou normal. Les flux de type de temps rel sont traits en priorit.
2
AirPrint est une technologie propose par Apple qui permet dimprimer des documents de haute
qualit, et ce laide de larchitecture dimpression sans pilotes dApple.
Le dbit garanti des services

Par dfaut, les services se partagent la bande passante disponible. UCOPIA permet de
configurer chaque service afin de garantir un dbit pour chacun deux.
Le dbit garanti est exprim en kilo bit par secondes (Kbps).
La limitation de bande passante
La limitation de bande passante sapplique un service et est exprime en Kbps. Les
paquets d'un flux dpassant cette limite sont limins.
3.2.5.2 QoS par utilisateur
Une limitation du dbit ascendant et descendant peut tre dfinie par utilisateur au
niveau du profil utilisateur. Chaque utilisateur ayant ce profil se verra attribuer ces
limitations. Le dbit descendant correspond au flux allant de la carte Ethernet IN vers
OUT, le dbit ascendant correspond linverse.
3.2.6 Quota de volume de donnes
Afin de contrler lusage qui est fait du rseau, un quota de volume de donnes transfres peut tre
dfini au niveau du profil de lutilisateur. Ce quota peut tre fix pour le dbit ascendant, descendant
ou la somme des deux. En cas de dpassement du seuil, des rgles peuvent sappliquer pour soit
bloquer lutilisateur, soit limiter sa bande passante.
3.2.7 Multi portails
Les diffrents modes de portails peuvent cohabiter, en effet, chaque zone (voir Section 6.3) en entre
du contrleur UCOPIA, il est possible dassocier un portail fonctionnant dans un mode particulier. Par
exemple, dans un htel, les clients du restaurant sauto-enregistrent sur le portail (mode SMS) et ont
une dure de connexion limite 30 minutes, les clients de lhtel disposent dun compte utilisateur
cr lors de leur inscription et peuvent se connecter sans limite de temps.
3.2.8 Personnalisation du portail
Le portail UCOPIA reconnait le type de terminal utilis (PC, smartphone ou tablette) et peut ainsi
proposer un portail dont le format est appropri au terminal.
Le portail est personnalisable grce un mode Edition permettant de changer le fond dcran, le
logo, dajouter des images, du texte, des URLs accessibles sans authentification, etc. Chaque format
de portail (PC, smartphone et tablette) peut ainsi tre personnalis.
La copie dcran ci-dessous montre le portail en mode Edition .
Figure 11: Edition du portail UCOPIA

Pour une personnalisation plus avance, le code HTML du portail peut tre export, retravaill et
rimport dans le contrleur UCOPIA.
3.2.9 Portail captif et contenu dynamique
Le portail UCOPIA peut afficher du contenu dynamique partir dun serveur de contenu.
Il est ainsi possible de proposer un contenu publicitaire sur le portail en provenance dune rgie, le
contenu pouvant changer chaque rafraichissement de portail.
La copie dcran ci-dessous montre un exemple de portail personnalis affichant un encart publicitaire.
Figure 12: Portail UCOPIA avec encarts publicitaires
3.2.10 Application mobile pour smartphones et tablettes
Une application mobile UCOPIA pour Smartphones est disponible. Lobjectif de lapplication est
double, dune part simplifier le parcours utilisateur et donc la connexion un rseau UCOPIA, dautre
part permettre un administrateur dlgu de crer trs simplement un compte utilisateur.
Lapplication propose un mode dauto-enregistrement. Ce mode vite davoir crer son compte
depuis le portail captif. Son fonctionnement consiste proposer la premire connexion le
renseignement dun formulaire didentification, les autres connexions seront alors transparentes. Le
formulaire peut ventuellement tre supprim pour une complte transparence dutilisation.
Lapplication mmorise les identifiants de lutilisateur, ils sont rejous automatiquement en prsence
dune demande dauthentification et en fonction du contrleur UCOPIA sur lequel lapplication se
connecte
Les comptes utilisateur peuvent tre cres directement partir des contacts du rpertoire du
Smartphone, les tickets de connexion peuvent tre envoys lutilisateur depuis le Smartphone par
SMS ou par email.
Lapplication pourra tre personnalise aux couleurs du client (htel, entreprises, ). Changement du
logo, texte, etc.).
Lapplication UCOPIA est gratuite et disponible en franais et en anglais.
iPhone Androd
Figure 13: Application UCOPIA pour Smartphones
3.2.11 Compatibilit iPass
iPass3 est une solution permettant des utilisateurs nomades de se connecter leur environnement
professionnel de faon scurise depuis une infrastructure Wi-Fi. iPass sutilise depuis un PC, un
smartphone ou une tablette.
UCOPIA est compatible iPass, il permet ainsi de prendre en charge tout utilisateur iPass de faon
transparente. Cest un avantage pour toute organisation (htel, centre de congrs, etc.) qui veut attirer
et fidliser une population dutilisateurs professionnels (voir Section 5.7.4 pour larchitecture).
3
www.ipass.com
3.3 Provisionnement de comptes utilisateur

Les comptes peuvent tre crs de diffrentes faons, soit par ladministrateur depuis loutil
dadministration, soit depuis le portail de dlgation par un administrateur dlgu, soit par
lutilisateur final travers les mthodes dauto-enregistrement du portail captif.
3.3.1 Auto-enregistrement depuis le portail captif
Diffrents modes dauto-enregistrement sont proposs, ces modes sont disponibles depuis le portail
captif et peuvent ventuellement cohabiter. Il est par exemple possible de prsenter un portail qui
combine le mode standard (login/mot de passe) avec un ou plusieurs modes dauto-enregistrement
(SMS, email , ).
Lavantage du provisionnement de compte par auto-enregistrement est de ne demander aucune
intervention de ladministration puisque le compte de lutilisateur est automatiquement cr par
laction dauto-enregistrement. Pour renforcer la scurit, il est possible dajouter un mot de passe
pralable pour accder au portail, ce mot de passe sera le mme pour tous les utilisateurs du portail.
3.3.1.1 Auto-enregistrement One Click Button

Le portail One Click Button a t conu pour apporter une grande facilit dusage. Un seul bouton
de connexion pour accder aux services. Une acceptation de charte ou un formulaire renseigner peut
venir complter ce portail.
Figure 14: Portail "One Click Button"
3.3.1.2 Auto-enregistrement libre (formulaire)

Lutilisateur senregistre sur le portail en indiquant son nom, prnom et ventuellement son email et
son numro de tlphone. Il reoit ses identifiants directement sur le portail. Lavantage de ce mode
est de privilgier la simplicit dusage.
Figure 15: Portail avec auto-enregistrement par formulaire (libre)

3.3.1.3 Auto-enregistrement par SMS
Lutilisateur sauto-enregistre sur le portail en indiquant son nom, prnom et numro de tlphone
mobile. Il reoit son mot de passe par SMS sur son tlphone, son login sera son numro de tlphone.
Pour mettre en uvre ce type de portail, il faudra que lorganisation utilisant la solution UCOPIA
sabonne une des plates-formes de SMS proposes par UCOPIA. La traabilit est garantie grce au
numro de tlphone mobile.
Figure 16: Portail avec auto-enregistrement par SMS

3.3.1.4 Auto-enregistrement par email
Lutilisateur sauto-enregistre sur le portail en indiquant son nom, prnom et adresse email. Il reoit
ses identifiants par email. Pour mettre en uvre ce type de portail, ladministration devra ouvrir
tout ou partie du rseau pendant un laps de temps donn afin que lutilisateur puisse consulter sa
messagerie. La traabilit est garantie grce lemail de lutilisateur. Ce mode prsente lavantage
dtre gratuit en comparaison du mode SMS qui a le cot denvoi du SMS.
Figure 17: Portail avec auto-enregistrement par mail
3.3.1.5 Auto-enregistrement par impression de ticket

Lutilisateur senregistre sur le portail en renseignant un formulaire et demande limpression dun
ticket sur lequel se trouveront ses identifiants de connexion. Le ticket simprime laccueil de
lorganisation o la personne se prsente. Ce mode prsente lavantage dapporter un gain de temps
substantiel pour le rceptionniste (pas dinformation saisir) et une connexion scurise (lutilisateur
doit se prsenter laccueil pour rcuprer ses identifiants, un contrle didentit peut ventuellement
tre ralis).
Figure 18 : Portail avec auto-enregistrement par impression de ticket
3.3.2 Parrainage
Afin de renforcer la scurit pour les modes dauto-enregistrement, il est possible de faire valider la
demande denregistrement par un tiers, un parrain.
Ainsi lors de lauto-enregistrement sur le portail, lutilisateur renseigne lemail de son parrain auquel
sera envoye la demande denregistrement. Le parrain reoit un email avec deux liens lui permettant
daccepter ou de refuser la demande.
Lutilisateur est notifi de la dcision sur le portail.
Ce mode par parrainage peut tre utilis pour les modes dauto-enregistrement par email, SMS et
formulaire.
Figure 19: Auto-enregistrement avec parrainage
3.3.3 Portail de dlgation
Ladministrateur peut dlguer une ou plusieurs personnes le droit de crer des comptes utilisateurs.
Pour ce faire, un portail de dlgation est mis disposition de ces personnes habilites. Ce portail est
plus particulirement utilis pour accueillir des visiteurs dans une entreprise ou des clients dans un
htel. Le portail de dlgation ne ncessite aucune comptence technique, il sagit dun outil Web trs
simple dutilisation.
Les administrateurs dlgus peuvent tre dfinis localement dans lannuaire UCOPIA o appartenir
un annuaire dentreprise externe (Active Directory par exemple).
Le portail de dlgation est disponible en plusieurs langues.
3.3.3.1 Prrogatives des administrateurs dlgus

Ladministrateur UCOPIA peut adapter le portail de dlgation en fonction des usages et des
utilisateurs. Ladministrateur peut en consquence crer diffrents profils ayant plus ou moins de
prrogatives. Le portail de dlgation sadaptera alors automatiquement en fonction des prrogatives
de son utilisateur. Par exemple, pour un usage simplifi, loutil pourra tre rduit sa plus simple
expression en gnrant un ticket de connexion partir des seules informations de nom et prnom de
lutilisateur. Pour un usage plus avanc, ladministrateur dlgu sera mme de crer un compte en
allouant un profil, une plage horaire, il pourra ventuellement modifier le compte aprs cration,
rditer un ticket de connexion, re-gnrer un mot de passe, dtruire le compte, etc.
Voici titre dexemple, une utilisation du portail de dlgation.
1. Choix dun profil parmi un ensemble de profils prdfinis
2. Renseignement des informations nominatives de lutilisateur
3. Choix de plages horaires et/ou de crdit temps
4. Gnration dun ticket de connexion rsumant les informations permettant lutilisateur de se
connecter (login, mot de passe, restrictions horaires, etc.)
5. Le ticket peut tre imprim, envoy par email ou par SMS suivant les possibilits de
lUCOPIA en place.
Les copies dcran ci-dessous montrent respectivement la slection dune plage horaire de connexion
et/ou dun crdit temps depuis le portail de dlgation ainsi que la gestion des comptes utilisateur.
Figure 20: Portail de dlgation Gestion de la validit
Figure 21: Portail de dlgation Gestion des utilisateurs
3.3.3.2 Personnalisation du portail de dlgation

Le portail de dlgation est personnalisable grce un mode Edition permettant de changer le fond
dcran, le logo, dajouter des images, du texte, etc.
3.3.3.3 Multi zones
A linstar du portail dauthentification, le portail de dlgation peut se dcliner par zone. Par exemple,
dans le cadre dune architecture centralise, une chane dhtels pourra proposer pour chacune de ses
enseignes un portail de dlgation aux couleurs de lenseigne.
3.3.3.4 Gnration de comptes en masse
Le portail de dlgation autorise la gnration de comptes en masse , cette fonctionnalit savrant
trs pratique lors dvnements tels que sminaires ou congrs. La cration en masse peut seffectuer
en important un fichier au format CSV afin dobtenir les informations nominatives des utilisateurs.
Les tickets de connexion peuvent tre imprims ou envoys par mail ou SMS.
3.4 Paiement et facturation

UCOPIA permet la mise en uvre de solution de paiement daccs Internet, paiement en ligne depuis
le portail captif ou connecteur avec des outils de facturation.
3.4.1 Paiement en ligne
Lutilisateur peut acheter un temps de connexion ou crdit temps en ralisant un paiement en ligne.
Lutilisateur est invit choisir un forfait sur le portail UCOPIA puis est redirig vers le site Paypal
ou Ogone suivant la configuration du portail UCOPIA. Il peut payer soit en utilisant son compte
Paypal soit en utilisant sa carte de paiement (PayPal ou Ogone). Une fois la transaction effectue avec
succs, lutilisateur peut se connecter sur le portail UCOPIA en utilisant le login et mot de passe
dlivrs par UCOPIA sur le portail. Optionnellement les identifiants peuvent tre dlivrs par SMS. La
traabilit est assure car UCOPIA rcupre les informations nominatives de lutilisateur depuis le site
PayPal ou Ogone. Pour mettre en uvre ce type de portail lorganisation utilisant UCOPIA doit
possder un compte PayPal ou Ogone afin de se voir rtribue des achats des utilisateurs.
Figure 22: Portail avec paiement en ligne et choix de forfaits
3.4.2 Connexion avec outil de facturation (PMS)
UCOPIA fonctionne en association des outils de facturation de type PMS (Property Management
System). Comme le paiement en ligne, le couplage UCOPIA/PMS utilise une notion de forfait. Le
forfait est dfini par ladministrateur UCOPIA. Cela peut tre un forfait 1h, 3h, ou forfait emails ,
ou forfait Tous les jours ouvrs de 16h 18h , etc. Les forfaits sont proposs au choix de
lutilisateur sur le portail UCOPIA aprs authentification.
3.4.3 Connexion avec serveur de cartes prpayes (PPS)
UCOPIA peut fonctionner avec un serveur de cartes prpayes de type PPS (Pre Paid System). A
chaque carte est associ un temps de connexion. Lutilisateur sauthentifie sur le portail captif avec
lidentifiant de sa carte et un captcha code. Le temps octroy par la carte et le temps consomm
saffichent sur le portail aprs authentification.
3.4.4 Gestion dvnements
Pour rpondre aux besoins des environnements de type centres dexposition, UCOPIA propose une
gestion dvnement. Un vnement se matrialise par un forfait nomm et une date de validit, par
exemple Le salon de lauto du 4 au 12 avril .
Un exposant peut acheter sur le portail captif (via Ogone) une extension de son forfait pour plusieurs
connexions simultanes, pour par exemple offrir un accs Internet ses visiteurs ou collaborateurs.
Un prix dgressif peut tre appliqu pour les achats de connexions supplmentaires. Un rcapitulatif
des paiements (sous la forme dun document PDF) peut tre obtenu par lexposant depuis le portail
captif.
3.5 Administration
Loutil dadministration est ddi ladministrateur rseau, il permet de grer les politiques de
mobilit de lentreprise, lensemble de la configuration UCOPIA ainsi que les aspects supervision et
journalisation.
Ladministration peut dlguer des personnes habilites mais non spcialistes rseau des droits
dadministration limits, notamment la cration de comptes utilisateur. Le dlgu dispose dun
portail dit de dlgation pour crer ou modifier des comptes utilisateur (voir Section 3.3.3).
Loutil dadministration ainsi que le portail de dlgation sont accessibles travers une interface Web
scurise en HTTPS.
3.5.1 Profils dadministration
Diffrents profils dadministration peuvent tre crs afin doctroyer plus ou moins de prrogatives
aux administrateurs. Par exemple, un administrateur sera habilit effectuer des modifications de
configuration rseau alors quun autre ne pourra que modifier les profils utilisateurs ou les portails
dauthentification.
3.5.2 Administration des politiques de scurit et de mobilit
Loutil dadministration UCOPIA va permettre de dfinir les services qui seront accessibles depuis le
rseau daccueil, les profils utilisateurs (droits daccs, plages horaires, zones, QoS, filtrage dURLs,
etc.) et les utilisateurs. Par dfaut un utilisateur hrite des proprits de son profil mais il est possible
de redfinir pour un utilisateur certaines proprits telles que sa dure de validit ou les plages horaires
de connexion.
Les services sont caractriss par diffrents paramtres tels que les numros de ports, les adresses IP
des serveurs impliqus dans le service, les protocoles rseau, etc. UCOPIA est livr avec un ensemble
de services prdfinis (Web, Mail, Transfert de fichier, VPN, etc.), ces services sont bien sr
personnalisables.
Les catgories dURLs devant tre filtres et donc interdites peuvent tre spcifies au niveau de
chaque profil dutilisateur.
La copie dcran ci-dessous montre la cration dun profil utilisateur avec slection des droits daccs,
des heures de connexion et des URLs autorises.
Figure 23: Dfinition dun profil utilisateur
3.5.3 Supervision, traabilit
UCOPIA gre des journaux de sessions et de trafic, ces journaux sont crs localement sur le
contrleur UCOPIA et sont accessibles depuis loutil dadministration UCOPIA.
Les journaux de sessions
Concernant les journaux de sessions, les informations sauvegardes sont les suivantes :
Le login, nom et prnom de lutilisateur
Les adresses IP et MAC de lutilisateur
Le sous-rseau dentre sur lequel lutilisateur se trouve
Le type dauthentification : 802.1x ou mode portail Web
Les horaires de connexion : heure laquelle lutilisateur sest connect, heure
laquelle il sest dconnect
Le profil de lutilisateur
Les champs additionnels ajouts par ladministrateur, par exemple email, nom de
socit, numro de carte didentit.
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
Figure 24: Journal des sessions utilisateurs

Les journaux dactivit ou de trafic
Concernant les journaux dactivit, les informations sauvegardes sont les suivantes :
Les types de services utiliss, la frquence dutilisation de chacun deux
Les adresses IP sources et destinations
Les numros de ports
Les URLS
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
Figure 25: Journal dactivit pour un utilisateur
La recherche dun utilisateur partir dune information est particulirement simple. Par exemple, la
copie dcran ci-dessous montre le rsultat de la demande qui a visit lURL www.google.com dans
un intervalle de temps dfini. UCOPIA retrouve le ou les utilisateurs rpondant ces critres,
lensemble des pages visites est prsent.
Figure 26: Journal dactivit (URLs visites par un utilisateur)
Les journaux sont compresss dynamiquement afin doptimiser la place sur le disque dur du contrleur
UCOPIA. Les journaux peuvent galement tre exports, manuellement ou automatiquement (via
FTPS), vers une machine tierce.
Les journaux peuvent tre galement utiliss des fins de statistiques pour notamment mieux
apprhender lusage qui est fait du contrleur UCOPIA. Pour cela, UCOPIA propose diffrentes vues
statistiques prconfigures.
Figure 27: Visualisation de statistiques

La connaissance de lensemble de ces donnes dexploitation du rseau daccueil permet
ladministrateur UCOPIA doptimiser sa gestion en dterminant par exemple si le rseau est
correctement dimensionn pour rpondre aux besoins des utilisateurs. Il permet galement de savoir
quels sont les utilisateurs qui se connectent rgulirement sur le rseau, quels sont les services qui sont
sollicits, les ressources dployes pour ces demandes, etc.
3.5.4 Reporting
Un rapport de statistiques des sessions utilisateurs au format PDF peut tre gnr automatiquement et
priodiquement (par jour, par semaine, etc.). Le rapport est envoy par email un ou plusieurs
destinataires ou dpos sur un serveur FTP.
Les rapports peuvent tre gnrs par zone.
Le rapport inclut des statistiques telles que :
Nombre de sessions simultanes
Nombre total de sessions
Dure moyenne des sessions
Rpartition du nombre de sessions par mode d'authentification, par profil utilisateur
Rpartition du nombre de sessions par sous-rseau d'entre, par zone
Rpartition du nombre de sessions par constructeurs dquipement, par systme
dexploitation
Liste des utilisateurs les plus consommateurs en bande passante
etc.
Figure 28: Exemple de rapport au format PDF
3.5.5 Configuration du contrleur UCOPIA
A travers loutil dadministration, ladministrateur UCOPIA va pouvoir spcifier le paramtrage

global du contrleur (paramtres rseau, VLAN, etc.) et effectuer des configurations plus spcifiques
telles que cascade dannuaires ou configuration du RADIUS en mode proxy.
3.5.6 Exploitation du contrleur UCOPIA
Lexploitation du contrleur consiste grer les sauvegardes de lensemble de la configuration

(configuration rseau, personnalisation, annuaire UCOPIA, journaux), mettre jour le contrleur
UCOPIA avec les dernires Releases, mettre en place un tunnel pour autoriser la tlmaintenance
(tunnel entre le contrleur et les serveurs de maintenance UCOPIA), etc.
Les sauvegardes de configuration peuvent tre faites automatiquement sur un serveur FTP.
3.5.7 Administration centralise
Dans le cas darchitecture multi sites, plusieurs contrleurs UCOPIA peuvent tre dploys (voir
Section Architecture ). Dans ce cas, un contrleur sera configur comme tant Principal , il sera
alors en charge de ladministration centralise de tous les autres contrleurs.
3.5.8 Administration SNMP
Le contrleur UCOPIA intgre un agent SNMP, lui permettant ainsi dtre supervis depuis un outil
de supervision du march compatible SNMP.
UCOPIA propose une MIB standard MIB-2 afin de permettre le dialogue entre loutil de supervision
et lagent UCOPIA. De plus, des traps SNMP peuvent tre dclenches afin de surveiller les diffrents
services actifs du contrleur (DHCP, RADIUS, SQL, etc.).
3.5.9 Administration via CLI
Une CLI (Command Line Interface) est disponible. Lobjectif est de permettre certaines oprations
dadministration avance.
La CLI est accessible depuis loutil dadministration graphique. Depuis la CLI, Il est par exemple
possible de visualiser les diffrents journaux internes dun contrleur UCOPIA (DHCP, RADIUS,
etc.), de lancer des commandes rseau (nslookup, tcpdump, etc.), de redmarrer ou de visualiser le
statut des services (DHCP, RADIUS, proxy, LDAP, etc.).
3.5.10 Exportation Syslog
Le fichier Syslog UCOPIA qui centralise les journaux dvnements peut tre export dun contrleur
UCOPIA afin dtre pris en charge par un serveur Syslog. Les vnements envoys peuvent tre filtrs
par catgorie (DHCP, RADIUS, ).
3.5.11 Administration multi sites
Dans le cas dune architecture multi sites centralise, il est intressant de pouvoir ddier des oprations
dadministration chaque site. Pour cela, sur le contrleur central, une zone dentre peut tre associe
un site. Il sera alors possible dadministrer au niveau de la zone, par exemple en allouant une licence
par zone, un portail, un compte Ogone, etc. Les rapports de statistiques peuvent galement tre
gnrs par zone.
3.5.12 Gestion de compte par lutilisateur
Ladministrateur peut donner la possibilit lutilisateur de grer son propre compte utilisateur depuis
le portail captif. Lutilisateur pourra ainsi modifier ses informations personnelles (nom, prnom, email,
) et grer sa liste dquipements. En effet, dans le cas o les quipements de lutilisateur sont
enregistrs par le contrleur UCOPIA, ceux-ci seront visibles depuis la page dadministration de
compte. Lutilisateur aura alors la possibilit dintervenir, par exemple pour supprimer un quipement
qui nexiste plus.
4 Architecture UCOPIA
Nous dcrivons dans cette section les diffrents modules constituant larchitecture UCOPIA ainsi que
les protocoles utiliss lors des interactions entre ces modules.
En rgle gnrale, lensemble du trafic en provenance des utilisateurs est redirig vers le contrleur
UCOPIA qui est en coupure logique (ou physique) entre un rseau daccueil (Wi-Fi et/ou filaire) et le
LAN de lorganisation.
Les protocoles dauthentification entre les postes des utilisateurs et le contrleur UCOPIA sont soit
802.1x/EAP ou HTTPS. Le serveur RADIUS et les outils dadministration UCOPIA dialoguent avec
le ou les annuaires LDAP travers le protocole scuris LDAPS. La traabilit est assure par une
base de donnes des journaux au format SQL. Ladministration seffectue en mode Web HTTPS.
Le contrleur UCOPIA est bas sur une architecture Linux.
Figure 29: Architecture UCOPIA
4.1 Contrleur UCOPIA

Le contrleur est le cur de larchitecture UCOPIA, il est en charge de mettre en uvre les politiques
de scurit et de mobilit dfinies depuis loutil dadministration. Le contrleur comprend plusieurs
modules en charge de lauthentification, du contrle daccs par profil utilisateur, de la Qualit de
Service, du filtrage dURLs, de laccs transparent aux services, etc. Le module Gestionnaire de
scurit et de mobilit orchestre lensemble des modules.
Figure 30: Architecture du contrleur UCOPIA

Le contrleur est bas sur une technologie de filtrage qui permet de filtrer et de classifier les paquets
afin de mettre en uvre respectivement le contrle daccs par profil utilisateur et la qualit de
service. Le filtrage assure galement la dtection des flux correspondant des configurations errones.
Le filtrage se base sur les adresses IP des utilisateurs mais aussi sur les adresses MAC, les numros de
ports, les types de protocoles, etc.
Authentification: le contrleur embarque un serveur RADIUS qui est le serveur
dauthentification de larchitecture 802.1x. Ce serveur implmente diffrents algorithmes
dauthentification (PEAP, TTLS ou TLS). Le portail UCOPIA propose une authentification
par login/mot de passe et protocole HTTPS. Ce mode dauthentification peut galement
tre utilis via RADIUS, cette solution est utile pour les architectures base
dinterconnexions de serveurs RADIUS avec mcanisme de proxy. UCOPIA interroge
lannuaire LDAP UCOPIA et/ou un ou plusieurs annuaires externes pour raliser
lauthentification.
Contrle daccs : une fois lutilisateur authentifi, le module Compilateur de profil
recherche le profil de lutilisateur dans lannuaire LDAP UCOPIA et le compile en rgles de
filtrage quil installe dynamiquement au niveau du contrleur. Ces rgles sont retires
lorsque lutilisateur se dconnecte.
Qualit de Service : le contrleur UCOPIA reconnat le flot et le marque pour que les
paquets du flot soient traits dune certaine faon. La classification des flux et la gestion
de priorit sont implmentes par le module QoS. Les paquets sont dispatchs dans
des files dattentes afin de mettre en uvre la gestion de priorits.
Filtrage dURLs : le module Filtrage dURLs permet de filtrer les URLs en provenance
du trafic utilisateur et de ne rendre accessibles que celles autorises. Le filtrage sopre
partir de catgories prdfinies. La base des URLs est embarque dans le contrleur
UCOPIA.
Accs transparent : le module Zro Configuration/Rseau est bas sur le mcanisme
de filtrage des flux et permet de rectifier dynamiquement les erreurs de configuration
par rapport lenvironnement daccueil. Les techniques utiliss sont soit de la
redirection de flux vers les serveurs appropris (ex : mail ou proxy Web) soit de la mise
disposition automatique et transparente de composants ncessaires lexcution du
service (ex : pilote dimprimante). Pour raliser la mise disposition de pilotes
dimprimantes, un serveur dimpression est intgr au module zro configuration . Par
ailleurs, ce module dlivre des @IP en mode DHCP mais permet galement de prendre
en charge des postes utilisateur configurs en @IP fixe.
Zones : le module Zones implmente des zones logiques qui peuvent reprsenter
des lieux ou des sites et qui simplmentent en VLANs ou en sous-rseaux en fonction de
la couche rseau mise en oeuvre (niveau 2 ou 3).
Rdirection VLAN : Le module Politiques de sortie permet de router en sortie du
contrleur UCOPIA le flux dun utilisateur dans un VLAN en fonction de son profil (au lieu
de ladresse de destination du flux). Ce module prsente donc des fonctionnalits de
routage volu et utilise notamment le standard 802.1q pour la gestion des VLAN. Le flux
de lutilisateur peut galement sortir du contrleur en mode NAT ou en mode routage,
en fonction de la politique.
Adressage rseau: Le contrleur embarque un serveur DHCP, fonctionne en mode NAT
ou routage et assure un relais DNS.
Traabilit : Les journaux sont aliments par trois sources et stocks dans une base de
donnes SQL : le module Gestion des sessions enregistre les sessions des utilisateurs
(login, nom, prnom, @IP, @Mac, etc.), le module Gestion du trafic enregistre le
trafic des utilisateurs (enttes de paquets IP), le module Gestion des URLs enregistre
les URLs accdes par les utilisateurs.
4.2 Administration UCOPIA

Loutil dadministration UCOPIA est compos de plusieurs modules assurant la configuration du
contrleur UCOPIA, ladministration des politiques de mobilit et de scurit, la supervision de
lactivit du contrleur, lexploitation et les fonctions de dlgation.
Figure 31: Architecture des outils d'administration UCOPIA

Configuration : ce module permet de configurer les proprits rseau du contrleur
UCOPIA ainsi que les mcanismes dauthentification, de zro configuration et de
redondance/rpartition de charge. La personnalisation du portail UCOPIA et des tickets
de connexion est galement prise en charge par ce module. La configuration du
contrleur est traduite au niveau systme en fichiers de configuration Linux.
Administration des politiques de scurit et de mobilit : ce module permet
dadministrer les services, les profils utilisateurs et les utilisateurs. Il se repose sur un
modle de mobilit implment sous la forme dun schma LDAP afin dassurer la
persistance des informations, ce schma LDAP prend place dans lannuaire LDAP
embarqu dans le contrleur UCOPIA. Le protocole scuris LDAPS est utilis pour
dialoguer avec lannuaire.
Supervision du contrleur : les journaux de sessions et dactivit sont gnrs par le
contrleur UCOPIA dans une base de donnes de type SQL. Ce module permet
dinterroger cette base de donnes travers des requtes SQL.
Exploitation : ce module a en charge tout ce qui concerne lexploitation du contrleur
UCOPIA : sauvegarde/restauration des configurations (manuelle ou automatique via le
protocole FTPS), sauvegarde/restauration des journaux utilisateurs (manuelle ou
automatique via le protocole FTPS), mise jour du contrleur UCOPIA avec les nouvelles
versions UCOPIA, tlmaintenance, etc. Les sauvegardes de configuration sont au format
archive (.tar) compresse. Les mises jour de version doivent tre soit tlcharges
manuellement depuis le site Extranet UCOPIA, soit automatiquement tlcharges
depuis la plate-forme de gestion de parc UCOPIA. La tlmaintenance est assure par un
tunnel SSH qui stablie depuis le contrleur UCOPIA vers les serveurs de maintenance
UCOPIA.
SNMP : agent SNMP, permettant ainsi au contrleur dtre supervis depuis un outil de
supervision du march compatible SNMP.
CLI : langage de commandes permettant une administration avance du contrleur.
Portail de dlgation : le portail est en charge du provisionnement de compte lors de

laccueil de visiteurs, il est accessible depuis une interface Web en HTTPS. Il sinterface
avec lannuaire LDAP UCOPIA afin de crer les comptes utilisateurs, le protocole utilis
est LDAPS.
4.3 Points daccs Wi-Fi

Les prrequis des points daccs Wi-Fi dpendent des protocoles utiliss notamment lors de
lauthentification, par exemple une authentification 802.1x ncessitera que les points daccs
supportent ce protocole. Les points daccs sont configurs avec plusieurs SSIDs, chaque SSID est
encapsul dans un VLAN. On associe chaque VLAN une plage dadresses IP et un mode
dauthentification (802.1x ou mot de passe) et ce de manire isoler les diffrentes populations
dutilisateurs Wi-Fi.
Ladresse du serveur RADIUS doit tre spcifie dans les points daccs, ainsi que le secret partag
avec le serveur.
4.4 Prrequis des postes utilisateurs

Chaque mode dauthentification impose plus ou moins de pr-requis sur le poste de lutilisateur.
Portail Web HTTPS: la cl dauthentification est un couple login/mot de passe qui sera
utilis sur le portail UCOPIA. Aucun pr-requis sur le poste de lutilisateur nest demand.
Ce mode est compatible avec tout type de systmes dexploitation et de navigateurs
Internet.
802.1x/PEAP, TTLS : la cl dauthentification est un couple login/mot de passe.
Lutilisation du protocole PEAP ou TTLS ncessite un client 802.1x sur le poste de
lutilisateur (en standard sur Windows depuis Windows 2000 Service Pack 4).
802.1x/EAP-TLS : la cl dauthentification est un certificat. Le protocole
dauthentification EAP/TLS est bas sur une architecture PKI avec certificats Les
certificats sont de type X509 et installs dans le format PKCS#12 (Personal Information
Exchange Syntax Standard) pour le stockage des cls prives. Ils sinstallent soit
directement sur le poste de lutilisateur, soit sur une carte puce dans le format PKCS#12
(Public-Key Cryptography Standards). Lenvironnement EAP/TLS de Windows est
disponible partir de la version Windows 2000 Service Pack 3. Ce mode
dauthentification ne ncessite pas de logiciel client sur le poste de lutilisateur.
5 Intgration UCOPIA dans une infrastructure rseau

La solution UCOPIA inclut lensemble des modules ncessaires son fonctionnement, ce qui lui
permet dtre propose dans un mode cl en main trs simple de mise en uvre, ce packaging
convenant parfaitement aux petites entreprises ou aux agences dportes dune grande entreprise,
ayant peu de besoin et de moyen dintgration4. A linverse, les grandes entreprises ont des
infrastructures rseau complexes et souhaitent pouvoir rutiliser les solutions dj dployes en termes
de scurit et/ou dorganisation rseau. UCOPIA, grce son architecture, ouverte et modulaire, peut
sintgrer en souplesse dans les architectures rseau existantes et inter-oprer avec les outils en place
(annuaires LDAP, serveur RADIUS, Domaine Windows, PKI, outils tiers, .)5.
5.1 Intgration avec un ou plusieurs annuaires dentreprise

La solution UCOPIA permet de sinterfacer avec tout annuaire dentreprise compatible LDAP V3.
Dans le cas suivant, nous utiliserons deux annuaires, lannuaire dentreprise pour raliser
lauthentification des utilisateurs et lannuaire UCOPIA pour appliquer le profil associ lutilisateur.
Le fonctionnement lors du processus de connexion dun utilisateur est alors schmatis par la figure
ci-dessous.
Figure 32: Processus de connexion d'un utilisateur

Pour mettre en place ce mcanisme, il faut pouvoir dduire le profil dun utilisateur se trouvant dans
lannuaire UCOPIA partir dinformations prsentes dans lannuaire dentreprise.
La copie dcran suivante montre comment configurer la connexion un annuaire externe.
4 Gamme UCOPIA Express

5 Gamme UCOPIA Advance
Figure 33: Configuration d'un annuaire externe d'authentification

Un filtre LDAP de recherche permet didentifier lutilisateur, son profil UCOPIA sera dduit de
lattribut de groupe.
Le processus dauthentification UCOPIA fonctionne galement avec plusieurs annuaires dentreprise
en cascade. La recherche dun utilisateur lors dune demande dauthentification peut se faire dans un
premier annuaire puis si cette recherche choue dans un second annuaire, etc. Lannuaire UCOPIA
peut intervenir la fois dans le processus dauthentification et dans la recherche de profils utilisateurs.
Lordre dans lequel les annuaires sont interrogs est configurable depuis loutil dadministration
UCOPIA.
Figure 34: Authentification avec cascade dannuaires
La copie dcran suivante prsente une configuration avec trois annuaires (Employs, Partenaires,
local (ucopia)), lordre de la cascade dannuaires est spcifique un mode dauthentification. En effet,
il est possible de faire une distinction entre le mode dauthentification portail et le mode 802.1x/EAP,
par exemple pour le mode portail les trois annuaires interviennent dans un ordre particulier, pour le
mode 802.1x, seulement deux annuaires entrent en jeu (Employs et Partenaires) dans un ordre de
cascade diffrent du mode portail.
Figure 35: Configuration du contrleur (annuaires dauthentification)
5.2 Adressage IP et architectures VLAN

La solution UCOPIA permet une gestion trs fine du mcanisme dadressage rseau des utilisateurs
en fonction de leur profil et de la configuration du contrleur UCOPIA.
Le contrleur UCOPIA, se plaant dans larchitecture rseau en coupure entre le rseau Wi-Fi et le
LAN de lentreprise, est muni de deux cartes Ethernet 802.1q, autorisant ainsi une architecture VLAN
en entre et en sortie du contrleur.
UCOPIA embarque un serveur DHCP et fonctionne par dfaut en mode NAT. Par dfaut seul le
VLAN natif est configure en entre dUCOPIA, ce VLAN servant gnralement ladministration.
Tous les utilisateurs sortent du contrleur UCOPIA par la mme interface native eth0.
La figure suivante montre le fonctionnement par dfaut du contrleur UCOPIA.
Figure 36: Configuration IP/VLAN par dfaut du contrleur UCOPIA
Le mode dadressage peut tre personnalis en fonction du profil de lutilisateur. Par exemple, un
utilisateur ayant le profil Visiteur peut tre nat alors quun Employ sera rout. Ces politiques
dadressage se dfinissent sur les VLANs de sortie du contrleur UCOPIA. Le schma ci-dessous
illustre la mise en uvre de deux politiques de sortie sur le VLAN natif de sortie.
Figure 37: Politiques dadressage en fonction du profil utilisateur

Plusieurs VLANs de sortie peuvent tre dfinis au niveau du contrleur UCOPIA. En fonction du
profil de lutilisateur il sera alors possible de r-aiguiller le flux de lutilisateur dans un VLAN de
sortie particulier, le schma ci-dessous illustre ce type de configuration.
Figure 38: Politiques d'adressage et VLANs de sortie

Enfin, il est possible dassocier des zones (accueil, bureaux, bibliothque) aux VLANs afin dautoriser
ou interdire la connexion de lutilisateur sur ces zones qui sont dfinies au niveau du profil utilisateur
(voir Section 6.3).
Ce mcanisme va galement permettre de restreindre le nombre de VLANs par lesquels un utilisateur
entre dans le contrleur UCOPIA. Ceci peut tre intressant si lon souhaite par exemple quun
Employ utilise toujours le VLAN dentre associ une authentification forte de type 802.1x et quil
ne puisse pas utiliser le VLAN associ une authentification de type portail moins scurise.
5.3 Intgration avec un proxy Web dentreprise

UCOPIA permet de rediriger le trafic HTTP vers un proxy dentreprise grce son proxy Web
embarqu. Les informations propres lutilisateur (login et mot de passe) peuvent tre transmises au
proxy parent, ceci lui permet dappliquer des politiques diffrentes en fonction des utilisateurs.
5.4 Intgration avec un serveur RADIUS externe

Le contrleur UCOPIA embarque un serveur RADIUS utilis pour diffrents modes
dauthentification UCOPIA bass sur 802.1x/EAP.
Le serveur RADIUS UCOPIA peut-tre configur afin de jouer le rle de proxy vers un autre serveur
dauthentification. Il sera donc possible dutiliser le serveur RADIUS dentreprise en place de celui
dUCOPIA pour des besoins dauthentification ou daccounting.
La copie dcran ci-dessous montre la configuration du mode proxy RADIUS depuis loutil
dadministration UCOPIA.
Figure 39: Configuration RADIUS
5.5 Intgration avec une architecture PKI

La solution UCOPIA sintgre avec les architectures PKI existantes bases sur le protocole EAP-TLS
pour raliser lauthentification des utilisateurs.
Le certificat produit par lautorit de certification est un certificat dlivr au nom du contrleur
UCOPIA, celui-ci sera install sur le contrleur UCOPIA.
Le certificat pour lutilisateur est install au format pkcs12 dans le magasin de certificats personnel de
l'utilisateur sur son poste de travail ou bien embarqu dans une carte puce. Ces certificats devront
contenir un champ "CN" spcifiant l'identifiant de l'utilisateur tel qu'il est dfini dans l'annuaire
d'entreprise, afin quUCOPIA puisse authentifier lutilisateur.
De plus, les certificats gnrs par lautorit de certification doivent contenir l'extension ncessaire au
protocole EAP/TLS.
5.6 Intgration dans les architectures universitaires

5.6.1 Architecture EDUROAM
La capacit du serveur RADIUS UCOPIA tre configur en mode proxy rpond au besoin des
architectures dauthentification EDUROAM rencontres dans le monde universitaire.
EDUROAM est un projet Europen d'architecture d'authentification rpartie, utilisant le protocole
RADIUS, entre les tablissements d'enseignement suprieurs et de recherche franais. Cette
authentification vise offrir des accs rseau sans fil aux membres de la communaut concerne en
dplacement sur les sites des partenaires avec leur nom et mot de passe habituels.
Les serveurs RADIUS des participants sont connects un proxy national, lui-mme connect au
proxy international du projet EDUROAM. Les requtes d'authentifications sont achemines vers le
serveur d'authentification de l'tablissement d'appartenance de l'utilisateur par le biais du nom de
domaine associ son identifiant (de la forme user@etab.fr).
Figure 40: Architecture EDUROAM avec UCOPIA

UCOPIA est compatible avec larchitecture EDUROAM en apportant les fonctions suivantes
1. Proxy RADIUS
2. Analyse du domaine de l'utilisateur par le biais du nom de domaine (ou realm) associ son
identifiant (de la forme user@etab.fr). Ceci permet de raliser laiguillage vers le site
dappartenance de lutilisateur.
3. Authentification 802.1x/RADIUS ou par portail Web couple RADIUS. En effet, le mode
RADIUS est classiquement le serveur dauthentification de larchitecture 802.1x. UCOPIA
associe la simplicit dutilisation du mode portail Web avec le mode RADIUS et proxy
RADIUS.
5.6.2 Architecture Shibboleth
Shibboleth est un mcanisme de propagation d'identits, dvelopp par le consortium Internet2, qui
regroupe un grand nombre duniversits et de centres de recherches. L'objectif de la propagation
d'identits est double : dlguer l'authentification l'tablissement d'origine de l'utilisateur et obtenir
certains attributs de l'utilisateur (pour grer le contrle d'accs ou personnaliser les contenus).
Dans larchitecture Shibboleth, UCOPIA joue le rle de Service Provider. UCOPIA permet ainsi
travers son portail de rediriger lutilisateur vers le service de dcouverte de la fdration (Discovery
Service) partir duquel il peut slectionner son tablissement dorigine. Lutilisateur sera ensuite
redirig vers son fournisseur didentit pour authentification (Identity Provider).
UCOPIA fonctionne par dfaut avec le Discovery Service de RENATER mais peut-tre configur
pour utiliser un autre service.
Le schma ci-dessous montre les interactions entre les diffrents composants de larchitecture
Shibboleth.
Figure 41 : Architecture Shibboleth avec UCOPIA
5.7 Couplage avec un produit tiers

5.7.1 API
UCOPIA propose une API gnrique permettant dinterfacer le contrleur UCOPIA avec un produit
tiers. Ce couplage peut savrer intressant afin dutiliser UCOPIA en conjonction dun produit de
provisionnement de comptes utilisateurs et/ou de facturation de services. Prenons le cas dune clinique
qui utilise un produit permettant lors de lenregistrement dun patient de lui dlivrer des services tels
que TV, tlphone, accs Internet, et ensuite de les facturer. Dans ce contexte, UCOPIA serait en
charge du contrle de laccs Internet. Une fois le compte du patient cr dans loutil tiers, ce mme
compte sera cr automatiquement dans UCOPIA via lAPI afin dautoriser laccs Internet pour le
patient. Le patient quittant la clinique, UCOPIA sera interrog via son API pour connatre le temps
cumul de connexion Internet du patient et ainsi procder la facturation depuis loutil tiers.
LAPI se prsente sous la forme de requte http dont la syntaxe est la suivante :
http://<@IP du contrleur UCOPIA>/deleg/api_admin_deleg.php

Par exemple pour crer un compte utilisateur dont le login est jdupond et le profil guest :
http://10.0.0.1/deleg/api_admin_deleg.php?deleg_id=deleg&deleg_pwd=deleg&action=adduser&user
_id=jdupond&user_pwd=dupond&user_grp=guest
Larchitecture de ce type de couplage est la suivante :
Figure 42: Couplage avec un produit tiers
5.7.2 Couplage avec un PMS (Property Management System)
Le contrleur UCOPIA propose en plus de son API gnrique dinterfaage, une interface ddie avec
des produits de type PMS. Les PMS sont des produits de gestion clients et se rencontrent plus
particulirement dans les environnements hteliers ou hospitaliers, ils permettent lenregistrement des
clients, la facturation, etc.
Le couplage PMS/UCOPIA repose sur le protocole FIAS et fonctionne avec une notion de forfait. Le
forfait est dfini par ladministrateur UCOPIA, cela peut tre un forfait 1h, 3h, ou forfait emails ,
ou forfait Tous les jours ouvrs de 16h 18h , etc. Les forfaits sont proposs au choix de
lutilisateur sur le portail UCOPIA. UCOPIA informe le PMS des forfaits choisis afin quil puisse
oprer la facturation.
Larchitecture du couplage UCOPIA/PMS est la suivante :
Figure 43: Couplage avec un PMS
5.7.3 Couplage avec un PPS (Pre Paid System)
Le contrleur UCOPIA propose une interface ddie avec des produits de type PPS fonctionnant avec
des cartes prpayes. Lutilisateur sauthentifie sur le portail UCOPIA en renseignant le numro de
carte et le CAPTCHA code. Le numro de carte permet de faire une demande de crdit temps auprs
du serveur PPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de
lutilisateur est automatiquement cr dans UCOPIA. Lutilisateur visualise sur le portail le temps de
connexion associ la carte et le temps de connexion consomm.
5.7.4 Couplage avec la solution iPass
UCOPIA est compatible iPass et permet ainsi tout utilisateur abonn de se connecter depuis un
contrleur UCOPIA. Pour cela, lutilisateur iPass installe sur son matriel (PC, Smartphone, ) une
application iPass qui permet une connexion transparente. Cette application utilise un VPN pour assurer
la communication avec lentreprise de lutilisateur.
UCOPIA est compatible iPass et permet ainsi tout utilisateur abonn de se connecter depuis un
contrleur UCOPIA.
Larchitecture UCOPIA/iPass est la suivante.
Figure 44: Architecture globale iPass/UCOPIA

Le contrleur UCOPIA est en relation avec lapplication iPass via le protocole WISPr.
Lauthentification est ralise en RADIUS. Le RADIUS embarqu dans le contrleur UCOPIA est le
client dun serveur RADIUS UCOPIA centralis qui assure linteraction avec linfrastructure iPass (en
mode proxy). Lensemble des changes RADIUS seffectuent travers un tunnel VPN.
Le schma ci-dessous illustre cette architecture.
Figure 45: Architecture iPass
6 Architectures rseau
6.1 Architectures mono site
Les architectures mono site se rencontrent plus particulirement dans les environnements hteliers ou
entreprises de type PME.
Dans le cas des htels, les architectures rseau sont gnralement trs dpouilles , laccs Internet
est assur par un modem/routeur ADSL, un pare-feu assure la scurit priphrique. UCOPIA se
positionne en coupure physique (pas dorganisation en VLANs) entre le rseau daccueil des clients
(Wi-Fi et/ou filaire) et le pare-feu comme lindique le schma ci-dessous.
Figure 46: Architecture UCOPIA mono site (cas 1)

Concernant les PMEs, les architectures sont plus labores, il nest pas rare de rencontrer un annuaire
dans lequel sont rfrencs les employs de lentreprise, une organisation en VLAN et le besoin
daccueillir des visiteurs.
Larchitecture UCOPIA type est dans ce cas la suivante :
Figure 47: Architecture UCOPIA mono site (cas 2)

Plusieurs couples SSID/VLAN sont dfinies sur les points daccs Wi-Fi afin disoler les diffrentes
populations dutilisateurs (visiteurs, employs). Ces VLANs sont galement configurs en entre du
contrleur UCOPIA (carte Ethernet 802.1q). Lors du processus dauthentification dun utilisateur, le
contrleur UCOPIA peut proposer en fonction de lutilisateur des modes dauthentification distincts et
adapts, portail Web pour les visiteurs, protocole 802.1x pour les employs. Concernant
lauthentification des employs, UCOPIA peut interroger lannuaire dentreprise (LDAP, Active
Directory). Enfin en sortie du contrleur UCOPIA, le flux dun utilisateur peut tre redirig sur un
VLAN particulier ct LAN (le choix du VLAN sera fait en fonction du profil de lutilisateur).
6.2 Architectures multi sites

Les architectures multi sites se rencontrent le plus souvent dans les grandes organisations ou grandes
entreprises (grands comptes, universit, CROUS, CHU, etc.) ainsi que dans les rseaux dagences ou
de points de vente.
Larchitecture UCOPIA en environnement multi sites peut tre ralise avec un ou plusieurs
contrleurs UCOPIA. Le ou les contrleurs (s) peuvent tre centralis(s) sur un site ou bien distribus
sur diffrents sites en fonction des contraintes des connexions rseau entre les sites. Le choix de ne pas
positionner de contrleur sur un site distant peut galement dpendre du trafic associ ce site. Les
petits sites prfreront se rfrer un contrleur central, en revanche les sites plus importants
prfreront un contrleur local afin doptimiser les performances.
6.2.1 Architecture centralise
Dans une architecture centralise multi sites, le contrleur sera centralis sur lun des sites et assurera
le service pour lensemble des sites distants.
Le flux utilisateur sera centralis afin dutiliser lchappement Internet central. La centralisation du
flux peut soprer de diffrentes faons. Soit en assurant un routage des flux entre le site distant et le
site central, soit en tablissent un tunnel (niveau 2 ou 3) entre le site distant et le site central, soit, dans
le cas dune architecture Wi-Fi de type point daccs lger , en utilisant les tunnels LWAPP ou
CAPWAPP entre les bornes Wi-Fi se trouvant sur le site distant et le contrleur de bornes sur le site
central.
Cas dune architecture centralise avec rseau rout (N3) entre les sites distants et le site central
Si lon souhaite dans une architecture route conserver des fonctionnalits UCOPIA ncessitant
ladresse MAC telles que lauthentification automatique par adresse MAC ou lauthentification
802.1x, il faudra quun lment en amont dUCOPIA puisse relayer les requtes DHCP et bien
entendu que le service DHCP soit rendu par le contrleur UCOPIA.
Il persistera nanmoins pour cette architecture deux restrictions : (1) les postes clients sur le site
distant doivent tre configurs en DHCP, (2) la rpartition de charge ncessite que les lments de
niveau 3 puissent tre configurs pour rpartir le trafic sur les diffrentes contrleurs du cluster (ex :
source routing). Si ces restrictions ne sont pas souhaites, il faut alors tablir un tunnel de niveau 2
entre le site distant et le site central.
Il est noter que le contrleur UCOPIA central peut tre configur pour fonctionner la fois en
communication commute et route.
Figure 48: Architecture multi sites centralise
6.2.2 Architecture partiellement centralise
Il est possible de ne centraliser que certains services, en loccurrence les services de portail et
dauthentification. Un contrleur UCOPIA sera donc prsent sur chaque site en charge du contrle du
trafic utilisateur et un contrleur en central assurera les services de portail et dauthentification.
Dans cette architecture, les flux utilisateurs sont donc grs localement sur chaque site et
lchappement Internet local chaque site est utilis.
Le contrleur UCOPIA local ralise une redirection de portail vers lUCOPIA central,
lauthentification seffectue en RADIUS. La base des utilisateurs se trouve sur le contrleur central.
Lavantage de cette architecture est de pouvoir partager le portail dauthentification et la base des
utilisateurs entre tous les sites. Cela simplifie notamment ladministration en cas de mise jour du
portail.
Il est noter que cette architecture peut fonctionner avec uniquement une infrastructure Wi-Fi sur le
site distant (cest--dire sans contrleur UCOPIA). Il faut nanmoins que la solution Wi-Fi soit
compatible avec les protocoles de redirection portail et RADIUS.
Figure 49: Architecture multi sites partiellement centralise
6.2.3 Architecture distribue
Dans une architecture distribue, un contrleur est prsent sur chaque site.
Pour assurer une cohrence de lannuaire UCOPIA travers les diffrents sites, il est possible de
mettre en uvre un mcanisme de synchronisation de cet annuaire. Il faut alors dfinir un contrleur
dit Principal qui aura la charge de cette synchronisation. En consquence, toute opration effectue sur
un des annuaires UCOPIA du pool de contrleur seffectuera en ralit sur le contrleur Principal qui
rplique chaud la modification sur tous les contrleurs Secondaires. En revanche, linterrogation
dun annuaire UCOPIA et donc lauthentification des utilisateurs est toujours ralise en local sur le
contrleur. Ce mcanisme garantie une parfaite homognit en termes dadministration des
utilisateurs et des profils utilisateur.
Le schma ci-dessous illustre le mcanisme de rplication dannuaire.
Figure 50: Rplication d'annuaire UCOPIA en architecture distribue

Le contrleur principal doit tre absolument de la gamme Advance, en revanche les contrleurs
secondaires peuvent tre indiffremment de la gamme Express ou Advance.
6.2.4 Architecture mixte
En multi sites, les architectures prcdentes peuvent tre combines et ainsi avoir des sites distants qui
se rfrent un UCOPIA central alors que dautres auront leur propre contrleur local.
6.3 Architecture multi zones

UCOPIA propose une notion de zone permettant de dcrire un lieu, par exemple dans une entreprise,
une zone daccueil ou de bureaux, dans une universit, la bibliothque ou les amphithtres.
Les zones peuvent tre utilises des fins de scurit et/ou de mobilit. Pour renforcer la scurit, il
est possible de spcifier quune population dutilisateurs est autorise ou interdite se connecter sur
une zone. Par exemple, les visiteurs dune entreprise ne se connectent pas dans la zone Bureaux mais
uniquement dans la zone Accueil. Pour un usage des zones li la mobilit, il est possible de proposer
un portail captif diffrent pour chaque zone. Il est galement possible de faire varier les prrogatives
de lutilisateur suivant sa zone de connexion. Par exemple, un employ dune entreprise pourra se
connecter dans toutes les zones sans restriction de temps, accept dans la zone Accueil, o il verra son
temps de connexion limit.
Il existe des zones dentre et des zones de sortie, lentre et la sortie sont relatives au contrleur
UCOPIA et son architecture en coupure.
Dun point de vue rseau, les zones dentre correspondent des sous-rseaux. Dans une architecture
rseau local (niveau 2) les zones correspondront des VLANs, dans une architecture rseau distant
(niveau 3) les zones seront des sous-rseaux. Les zones en sortie correspondront dans tous les cas
des VLANs. La correspondance zone dentre/sous-rseaux seffectue lors de la configuration des
rseaux dentre au niveau du contrleur UCOPIA. En sortie, les zones sont associes un profil
utilisateur.
Dans lexemple ci-dessous, un profil Etudiant sera configur pour autoriser la connexion sur les zones
d'entres "Bibliothque" et "Caftria". La zone Administration sera interdite la connexion et
donc ne sera pas configure dans le profil. Sur le site ci-dessous, Bibliothque = vlan 2 + vlan3. Sur au
autre site la zone Bibliothque pourrait tre implmente avec dautres VLANs.
La zone de sortie est unique, elle correspond dune part un VLAN et dautre part une politique
dadressage en sortie du contrleur UCOPIA (NAT ou routage).
Figure 51: Architecture multi zones

Dans une architecture multi sites dont ladministration est centralise, la notion de zone est globale et
sapplique tous les contrleurs UCOPIA pouvant tre rparties sur les sites. En revanche, la faon
dont simplmentent ces zones est propre chaque contrleur. La correspondance zone/VLANs
seffectue lors de la configuration de chaque contrleur. Toutes les zones ne sont pas
systmatiquement implmentes sur chaque contrleur.
6.4 Architecture Cloud

UCOPIA propose diffrentes architectures, centralises, distribues ou mixtes (voir Sections
prcdentes) permettant de dployer des architectures Cloud trs flexibles.
Le schma suivant rsume les diffrentes possibilits darchitectures dans le Cloud.
Figure 52: Architecture Cloud
Cas No1 :
Le trafic utilisateur est centralis dans le Cloud, lchappement Internet seffectue au niveau
du Cloud. Lensemble des fonctions UCOPIA est assur par un (ou plusieurs) contrleurs
UCOPIA du Cloud.
Cette architecture rpond aux besoins des oprateurs, des WISP ou des grandes chanes de
magasins.
Cas No2 :
Le portail captif, lauthentification et lannuaire des utilisateurs sont centraliss dans le Cloud.
Cette architecture dporte certaines fonctions du contrleur UCOPIA dans le Cloud
permettant ainsi une administration centralise de ces fonctions. Un quipement Wi-Fi assure
la redirection vers le portail UCOPIA centralis et lauthentification (change RADIUS avec
le serveur RADIUS UCOPIA en central). Cette architecture prsente lavantage de ne pas
ncessiter lajout de composants sur le site local en dehors de lquipement Wi-Fi. En
revanche, en termes de traabilit, seuls les journaux de sessions utilisateur sont disponibles
au niveau du Cloud.
Cette architecture rpond aux besoins des WISP, oprateurs pour le bas/milieu de march. Ou
pour de nombreux petits points de ventes dune chane de magasins.
Cas No3:
Il sagit dune architecture comparable larchitecture 2, mais avec un contrleur UCOPIA
sur site local. De part la prsence dun contrleur UCOPIA sur site, cette architecture permet
de fournir lensemble des fonctions UCOPIA telles que traabilit du trafic utilisateur ou
filtrage dURLs.
7 Haute disponibilit UCOPIA6

Une architecture de redondance peut tre mise en place afin de ne pas interrompre le service du
contrleur UCOPIA en cas de dfaillance de la machine sur laquelle le contrleur fonctionne. Pour ce
faire, il faudra dployer deux contrleurs ayant la capacit se suppler lun lautre.
UCOPIA propose galement un mcanisme de rpartition de charge qui peut permettre plusieurs
contrleurs UCOPIA de se rpartir les connexions des utilisateurs. Redondance et rpartition de
charge sont deux mcanismes indpendants et complmentaires.
7.1 Redondance
Le modle de redondance UCOPIA est un modle Actif/Passif mettant en uvre deux contrleurs
UCOPIA, un seul tant actif un instant donn. Les contrleurs UCOPIA intervenant dans une
architecture de redondance dialoguent entre eux et peuvent par consquent sapercevoir de la
dfaillance de leur confrre.
Le basculement dun contrleur UCOPIA lautre seffectue grce une adresse IP virtuelle. En effet,
un instant donn, seul un contrleur dispose de l'adresse virtuelle. En cas de panne du contrleur
actif, le contrleur de redondance prend connaissance de la panne grce au protocole VRRP et
rcupre l'adresse IP virtuelle. Il devient ainsi le nouveau contrleur actif tout en assurant une totale
transparence pour les utilisateurs.
Les contrleurs UCOPIA dans une architecture de redondance (ou de rpartition de charge) obissent
larchitecture multi contrleurs UCOPIA, par consquent nous aurons un contrleur Principal
correspondant au contrleur Actif sur lequel ladministration seffectuera et nous aurons un contrleur
Secondaire correspondant au contrleur Passif. Lannuaire UCOPIA du contrleur Actif sera
rpliqu chaud sur lannuaire du contrleur Passif. Ce mcanisme permettra au contrleur Passif
dtre jour quand il sera sollicit pour passer en mode Actif.
Dans une architecture de redondance, les contrleurs UCOPIA doivent se trouver sur rseau de niveau
2.
Le schma ci-dessous illustre larchitecture de redondance.
6
Gamme Advance uniquement
Figure 53: Architecture de redondance UCOPIA
7.2 Rpartition de charge

La rpartition de charge permet de rpartir de faon uniforme les connexions des utilisateurs sur les
diffrents contrleurs. Sur chacun des contrleurs la charge montera jusqu' atteindre la limite fixe
par les licences des contrleurs.
Comme la reprise sur panne, la rpartition de charge est base sur un dialogue VRRP entre les
contrleurs UCOPIA et sur le principe dIP virtuelle. Seul le serveur DHCP du contrleur Principal est
activ.
Les contrleurs organiss en rpartition de charge utilisent le mcanisme de rplication chaud de
lannuaire UCOPIA pour maintenir tous les annuaires jour en temps rel.
Le schma ci-dessous illustre un exemple dans lequel trois contrleurs UCOPIA sont configurs en
rpartition de charge, un contrleur passif assure la redondance en cas de panne de lun des trois
contrleurs actifs.
Figure 54: Architecture de rpartition de charge UCOPIA
8 Plate-forme UCOPIA Web Services

La plate-forme UCOPIA Web Services (UWS), hberge par UCOPIA, est ddie aux clients et
partenaires UCOPIA et propose des fonctions dexploitation, de supervision et dadministration des
contrleurs UCOPIA, ainsi que des services danalytique et de marketing.
Pour pouvoir bnficier de ces services, il faudra que les contrleurs soient configurs de faon
autoriser le dialogue avec la plate-forme UWS (voir Section Architecture).
8.1 Exploitation
La plate-forme UWS est en mesure dapporter les services suivants en termes dexploitation du
contrleur UCOPIA
8.1.1 Installation automatique de la licence UCOPIA (ou mise jour)
Avant toute opration, une licence doit tre installe sur le contrleur UCOPIA.
La licence UCOPIA dtermine la gamme de contrleur (Express, Advance) ainsi que le nombre
maximum de connexions simultanes (Express 20, Advance 1000, etc.).
La licence une fois attribue un contrleur peut tre rpartie par ladministrateur en fonction des
zones et des profils utilisateur. La rpartition par zone peut savrer utile pour associer une licence
un lieu ou un site dans une architecture multi sites. La rpartition par profil permet de rserver un
nombre de licences pour un type dutilisateurs donn.
Une fois connect au rseau, le contrleur interroge la demande de ladministrateur la
plate-forme centrale. Celle-ci extrait les caractristiques de la machine (numro de srie,
etc.) et vrifie dans son systme dinformation la validit de la demande. Cette tape de
validation effectue, la licence est gnre et installe automatiquement sur le
contrleur UCOPIA.
8.1.2 Mise disposition automatique des mises jour
UCOPIA met rgulirement disposition des mises jour correctives et volutives dont
lobjectif est dapporter correctifs, amliorations et nouvelles fonctionnalits.
Grce la plate-forme UWS, les mises jour sont priodiquement tlcharges sur le
contrleur, elles sont prtes linstallation. Ladministrateur est inform et peut dcider
de leur installation.
La plate-forme propose galement le service dinstallation automatique pour les mises
jour correctives.
8.1.3 Ouverture automatique dun tunnel de maintenance
Le tunnel de maintenance permet au partenaire ou au support technique UCOPIA

dintervenir en tlmaintenance sur le contrleur UCOPIA pour effectuer des analyses et
diagnostics. En cas de ncessit, le tunnel sera activ automatiquement sans intervention
de ladministrateur. Il est not que le tunnel de maintenance est tabli du contrleur
UCOPIA vers les serveurs de maintenance.
8.1.4 Contrle de la validit de la maintenance
Une alerte prvient ladministrateur quand la validit de la maintenance expire. Par

ailleurs, le tlchargement des mises jour devient impossible une fois la maintenance
expire.
8.2 Supervision et administration

La plate-forme UWS fournit des services additionnels dont les partenaires UCOPIA peuvent
bnficier. Lobjectif tant quils puissent superviser et administrer lensemble des contrleurs
UCOPIA de leur propre parc.
Une des premires fonctions de UWS est de pouvoir rorganiser un parc en fonction de diffrents
critres : par client final, par type de produit, par rgion, etc. Le parc pourra donc tre structur en
sous-ensembles de contrleurs UCOPIA permettant ainsi une gestion optimale du parc.
Les autres fonctions proposes vont permettre de superviser et dadministrer les contrleurs UCOPIA
soit de faon globale soit individuellement.
Les copies dcran ci-dessous illustrent quelques fonctions de supervision.
Figure 55: Statistiques globales en fonction des numros de version
Figure 56: Nombre de connexions simultanes sur un contrleur

Par ailleurs, le partenaire peut avoir accs par un simple clic aux outils dadministration pour vrifier
ou modifier une configuration. Il peut galement contrler le niveau de mise jour des contrleurs,
tlcharger des mises jour et les appliquer sur les contrleurs.
Des alertes peuvent tre dclenches sur certains types dvnement (contrat de maintenance expir,
disque arrivant saturation, contrleur dont la temprature est anormalement leve, etc.). Ces alertes
peuvent tre envoyes par email ladministrateur.
8.3 Business intelligence et analytique
Le contrleur UCOPIA enregistre et conserve tout un ensemble de donnes dusage du service (le
nombre de connexions simultanes, le nombre et la dure des sessions, etc.) mais aussi des
informations concernant les utilisateurs de la solution (qui sont-ils ? avec quels types dquipement se
connectent-ils ? que font-ils ?). Le portail captif ainsi que les connecteurs aux rseaux sociaux
contribuent enrichir la connaissance des utilisateurs.
Le service Wi-Fi Analytics disponible sur UWS va permettre au propritaire de la solution UCOPIA
dexplorer toutes ses donnes pour bnficier d'une vue d'ensemble. Il est ainsi possible de saisir
n'importe quel mot ou expression, dans n'importe quel ordre, dans la zone de recherche du service
danalytique pour obtenir des rsultats la fois instantans et associatifs, permettant de visualiser de
nouvelles connexions et relations entre les donnes.
Le service Wi-Fi Analytics permet par consquent de parfaitement apprhender lusage qui est fait
du Wi-Fi et dexploiter de nombreux KPI (Key Performance Indicator). Il propose notamment des
vues prdfinis sur les utilisateurs, leur matriel, leur comportement ainsi que sur les aspects
montisation. Le service permet lanalyse de donnes personnelles et dmographiques ncessaires au
marketing digital.
Le service danalytique facilite la prise de dcision et de part sa disponibilit dans le Cloud peut
sutiliser sans impacter la production.
Les associations de donnes sont prsentes graphiquement de faon dynamique et sous forme de
tableau de bord.
La page ci-dessous montre un exemple de tableau de bord.
Figure 57: Exemple de tableau de bord analytique
Ce service est ddi aux clients UCOPIA compte-tenu de la confidentialit des donnes manipules
ou aux revendeurs mandats par leur client.
8.4 Campagnes Marketing

Lobjectif du service Wi-Fi Marketing disponible sur UWS est de pouvoir mettre en uvre des
campagnes marketing travers un mcanisme dinjection Web. Linjection Web consiste injecter du
contenu dans les pages Web visites par lutilisateur final. Le contenu peut tre publicitaire ou des
services valeur ajoute. Comme le service dAnalytique, ce service est propos aux clients UCOPIA
ou aux revendeurs mandats par leur client.
Un htel pourra par exemple insrer une bannire en bas de page avec son logo permettant ses
clients de dcouvrir les services de son tablissement. Lutilisateur reste ainsi connect en permanence
aux services de lhtel et peut y accder immdiatement sans besoin de revenir sur une page
particulire. Cest la garantie pour lhtelier doptimiser la visibilit de ses services et amener ses
clients consommer plus et mieux.
Lajout de publicit est une autre utilisation de linjection, permettant de crer du revenu en
provenance des annonceurs publicitaires pour lorganisation qui dploie le service.
Ds lors quun contrleur UCOPIA est inscrit ce service, le trafic Web (HTTP) des utilisateurs est
alors redirig dans le Cloud afin que linjection puisse se raliser.
Diffrents types dinjection sont possible tels que bannire avec ou sans menu, image, vido, lien, etc.
Lexemple ci-dessous est celui dun htel qui a incrust en bas de page une bannire permettant de
donner des informations sur son htel et de renvoyer lutilisateur sur le site de lhtel.
Lutilisateur recherche un restaurant sur Internet. Lhtel lui propose par lintermdiaire de sa bannire
de dcouvrir le restaurant de lhtel.
Figure 58: Exemple de campagne marketing
Une popup saffiche sur laquelle lutilisateur peut cliquer afin de rejoindre le site de lhtel.
Figure 59: Exemple de campagne marketing (suite)
8.5 Architecture
Les contrleurs UCOPIA communiquent avec UWS travers le protocole HTTPS (remonte de
statistiques, etc.). Des tunnels SSH sont utiliss pour ladministration distante.
Larchitecture de la plate-forme UWS est la suivante.
Figure 60: Architecture de la plate-forme UCOPIA Web Services
9 Gammes UCOPIA
La solution UCOPIA se dcline en deux gammes produit : la gamme UCOPIA Express et la gamme
UCOPIA Advance.
La gamme UCOPIA Express se prsente sous la forme dun contrleur prt lemploi
parfaitement adapte aux besoins des htels, cliniques, tablissements denseignement
secondaires et PME en gnral. UCOPIA Express propose lessentiel des fonctions
UCOPIA en termes de scurit et de mobilit dans une approche privilgiant la simplicit
de la mise en uvre et de ladministration. UCOPIA Express fonctionne de faon
autonome sans intgration forte avec le LAN.
La gamme UCOPIA Advance est un contrleur qui propose lensemble des
fonctionnalits UCOPIA et qui est destine aux moyens et grands projets des entreprises,
des campus et des administrations UCOPIA Advance permet de rpondre aux besoins des
environnements multi sites et propose toutes les fonctions dintgration avec le LAN de
lentreprise. UCOPIA Advance peut tre redonde et fonctionne galement en rpartition
de charge.
Le tableau ci-dessous dcrit les fonctionnalits de chacune des gammes UCOPIA.
Fonctionnalits Express Advance
Scurit
Authentification
Portail Web captif

802.1x/PEAP

802.1x/TTLS

802.1x/TLS

Rseaux sociaux

@MAC ou @IP fixe

Authentification automatique par @MAC

Shibboleth

Authentification priodique et

transparente (mode portail)
Redirection vers portail dentreprise

Filtrage dURLs

Droits daccs en fonction du profil de lutilisateur

VLANs/sous-rseaux en entre du contrleur

Redirection sur VLAN de sortie en fonction du profil

utilisateur
Compatibilit 802.11i

Ruckus DPSK

ARP spoofing protection

URLs accessible avant authentification

Acceptation de charte avant authentification

Acceptation de charte pour information prive

Politiques de mot de passe et rcupration de mot de

passe perdu
Quarantaine aprs N tentatives de mot de passe

erron
Traabilit

Journaux des sessions utilisateurs

Journaux du trafic utilisateurs (URL,

applications)
Compression automatique des journaux

Rotation circulaire des journaux

Sauvegarde automatique des journaux via

FTP(S)
Journal daudit en Syslog

Mobilit
Zro configuration

Mode DHCP/IP fixe

Accs transparent mail

Accs transparent Internet

Accs transparent Imprimante

Compatibilit Airprint

VPN pass through

QoS (par service, par utilisateur)

Quota de volume de donnes

Contrle daccs bas sur le temps

Plage horaire de connexion

Crdit temps

Contrle daccs bas sur le lieu

Localisation par zone en entre et en

sortie
Profils adaptables

BYOD

Multi portails (un portail par zone)

Application mobile (iPhone, Androd, BlackBerry)

Compatibilit iPass

Administration
Licence par zone ou profil

Administration des politiques de scurit et de

mobilit (services, profils utilisateurs, etc.)
Provisionnement de comptes par auto-enregistrement

de lutilisateur, envoi SMS ou email, formulaire
Web, impression de ticket
Parrainage avec envoi demail

Exportation manuelle des comptes utilisateur en CSV

Exportation automatique des comptes utilisateur en

CSV
Administration dlgue (accueil des visiteurs)

Personnalisation

Multi zones

Dlivrance de coupon de connexion

(impression, email, SMS)
Cration de comptes utilisateur en masse

depuis un fichier CSV
Supervision des utilisateurs connects

Statistiques

Graphes prdfinis

Export CSV manuel

Export CSV automatique

Reporting (PDF) avec envoi automatique par email

et FTP(S)
Portail captif personnalisable via diteur graphique

Coupon de connexion personnalisable

Personnalisation avance de portail captif par

import/export HTML
Sauvegarde automatique de configuration via FTP(S)

SNMP MIB II

Syslog

CLI

Administration multi zones

Synchronisation chaud dannuaires UCOPIA

Port physique dadministration

(US5000, US10000) et UV
Paiement
Paiement en ligne via Paypal/Ogone

PMS connecteur

PPS connecteur

AAA (accounting)

Intgration
Intgration avec un annuaire LDAP dentreprise

(OpenLDAP, ActiveDirectory
Intgration avec plusieurs annuaires

Cascade dannuaires

Intgration avec RADIUS (proxy) RADIUS local intgr

Intgration avec proxy Web

Compatibilit ICAP

Intgration PKI

API Intgration produit tiers

Architecture
Serveur DHCP (IN), client DHCP (OUT)

DNS serveur/relai

NAT

Routage

NAT ou routage suivant profil utilisateur

Rplication dannuaires en multi sites

Haute disponibilit

Redondance

Rpartition de charge

Connexion de postes utilisateurs en filaire

Architecture centralise, distribue ou mixte

Appliance virtuelle

10 Performances
Dans chacune des gammes UCOPIA, il existe plusieurs licences proposants diffrentes capacits de
monte en charge en termes de connexions simultanes.
Le tableau ci-dessous prsente les capacits de chaque licence.
Licence Express Express Express Express Express Express Express Express Express Express
5 10 20 50 100 150 250 500 1000 2000
Express
Nombre 5 10 20 50 100 150 250 500 1000 2000

maximum
dutilisateurs
simultans
Licence Advance Advance Advance Advance Advance Advance Advance Advance

150 250 500 1000 2000 5000 10000 20000
Advance
Nombre 150 250 500 1000 2000 5000 10000 20000

maximum
dutilisateurs
simultans
Au-del de 20000 utilisateurs simultans, une solution sur mesure est propose (ex : cluster en
rpartition de charge pour la gamme Advance).
11 Appliances matrielles
Les contrleurs UCOPIA sont proposs en cinq types de matriel. Tous les contrleurs comportent a
minima deux ports Ethernet 10/100/1000 et un disque dur pour la sauvegardes des journaux
utilisateurs.
Le contrleur US250 pour la gamme Express supportant jusqu 250 utilisateurs simultanes.
Figure 61: Contrleur format "US250"
Le contrleur US2000 pour les gammes Express et Advance supportant jusqu 2000 utilisateurs
simultans.
Figure 62: Contrleur format "US2000"
Le contrleur US5000RDP pour les solutions ncessitant plus de dbit et de haute disponibilit. Le
contrleur est au format 2U. Il comporte 6 port Ethernet ddis au flux utilisateur (3 en entre, 3 en
sortie), un port ddi ladministration, deux disques en RAID et une alimentation redondante.
Gamme Advance uniquement jusqu 5000 utilisateurs simultans.
Figure 63: Contrleur format US5000RDP
Le contrleur US10000RDP linstar du serveur US5000RDP est prsent en format 2U, il

comporte 8 ports Ethernet ddis au flux utilisateur, un port dadministration, quatre disques en RAID
et une alimentation redondante. Gamme Advance uniquement supportant jusqu 10000 utilisateurs
simultans.
Figure 64 : Contrleur format US10000RDP
Le contrleur US20000RDP est le serveur haut de gamme. Il est prsent en format 2U, il
comporte 2 ports Ethernet 10Gb ddis au flux utilisateur, un port dadministration, huit disques en
RAID et une alimentation redondante. Gamme Advance uniquement supportant jusqu 20000
utilisateurs simultans.
Figure 65 : Contrleur format US20000RDP
Le tableau ci-dessous rsume le matriel pour chaque modle UCOPIA.
Express Express 5 Express 10 Express 20 Express 50 Express 100 Express 150 Express 250
US250
Matriel
Express Express 500 Express 1000 Express 2000
US2000
Matriel
Advance Adv Adv Adv Adva Adv Adv 5000 Adv 10000 Adv 20000
150 250 500 1000 2000
US2000 US5000RDP US10000RDP US20000RDP

Matriel
Les caractristiques techniques des contrleurs sont les suivantes :
Format Format Format Format Format

US250 US2000 US5000RDP US10000RDP US20000RDP
Disque 320 Gb 1 Tera 2 Tera (raid 1) 4 x 900 Gb (raid 5) 8 x 900 Gb (raid 6)

dur
Ports 2 (10/100/1000) 2 (10/100/1000) 6 (10/100/1000) 8 (10/100/1000) 2 x 10 Gb

rseau
3x IN, 3xOUT 4x IN, 4xOUT 1 (10/100/1000)
1 (10/100/1000) 1 (10/100/1000) Administration
Administration Administration
Puissance 24W 90 W 250 W 750 W 1100 W

lectrique
(alim externe) (2 alim. Hot Plug) (2 alim. Hot Plug) (2 alim. Hot Plug)
Dimension 52x270x160 mm 44x430x500mm 88x430x700mm 88x430x700mm 88x430x700mm

(HxLxP)
Kit rack 19en Rack 1U 19 Rack 2U 19 Rack 2U 19 Rack 2U 19
option
Les modles sont volutifs, soit par simple cl logicielle, soit par changement de matriel, les tableaux
ci-dessous prsentent les possibilits dvolution.
= cl logicielle
= changement de matriel
Licence Exp. 10 Exp. 20 Exp. 50 Exp. 100 Exp. 150 Exp. 250 Exp. 500 Exp 1000 Exp 2000
Matriel US250 US2000
Exp.5
Exp.10
Exp.20
Exp.50
Exp. 100
Exp. 150
Exp. 250
Exp. 500
Exp
1000
Licence Adv. 250 Adv. 500 Adv 1000 Adv 2000 Adv 5000 Adv 10000 Adv 20000
Matriel US2000 US5000 US10000 US20000
Adv. 150
Adv. 250
Adv. 500
Adv 1000
Adv 2000
Adv 5000
Adv
10000
12 Appliances virtuelles
Lappliance UCOPIA est propose en mode virtualis sous VMware, gamme Express et Advance.
Lensemble des fonctionnalits des gammes est support (redondance et quilibrage de charge inclus).
Quatre serveurs virtuels sont disponibles : UV250, UV2000, UV5000 et UV10000.
13 Maintenance
Les contrleurs UCOPIA sont commercialiss avec a minima une maintenance de 3 ans, extensible 5
ans.
Le contrat de maintenance couvre les points suivants :
Changement anticip du contrleur en cas de dfaillance matrielle (pour les appliances
physiques). Envoi dun matriel quivalent J+1 (en France mtropolitaine).
Mise disposition des mises jour logicielles correctives et volutives.
Accs pour le partenaire au service de support technique UCOPIA (niveau 2 et plus).
14 Conclusion
UCOPIA dveloppe et commercialise une solution destination des utilisateurs mobiles, elle leur
permet de se connecter simplement, en toute scurit et avec tout type dquipement (PC, smartphone,
tablettes) aux rseaux Wi-Fi ou filaire.
UCOPIA prsente les avantages et les bnfices suivants.
Une scurit professionnelle et un respect des obligations lgales
UCOPIA met en uvre des fonctions de scurit robustes conformes aux standards de
lindustrie. Des mcanismes dauthentification allant dun portal captif HTTPS une
authentification forte base sur les protocoles 802.1x/EAP et RADIUS. Un contrle
daccs bas sur le profil de lutilisateur, son lieu de connexion, son heure de connexion,
son type dquipement. Un filtrage dURLs par profil utilisateur. Une parfaite traabilit
du trafic utilisateur et la conservation des journaux de connexion pour rpondre aux
exigences lgales.
UCOPIA est certifi par lANSSI pour ses fonctions de scurit.
Un parcours client simple et convivial
UCOPIA propose une grande varit de parcours client permettant de rpondre
diffrents usages. Du simple clic pour se connecter des mthodes ncessitant
authentification et confidentialit. La reconnaissance de lquipement utilisateur permet
si besoin dassurer une connexion transparente.
Le portail captif donne la possibilit aux utilisateurs de sauto-enregistrer avec rception
des identifiants par divers biais (SMS, email, coupon papier, ).
Les mcanismes de zro-configuration UCOPIA facilitent laccs, ils permettent
lutilisateur de se connecter aisment quel que soit son quipement ou sa configuration.
Une application mobile pour smartphone contribue au confort de lutilisateur.
Une gestion des utilisateurs nomades
UCOPIA permet aux employs nomades, aux clients, partenaires, fournisseurs de se
connecter simplement et en toute scurit en tout lieu (bureau mobile, salle de runions
ou de formation, etc.), daccder leur messagerie, lInternet, dchanger ou
dimprimer des documents. Aucun pr requis ou configuration nest impos lutilisateur
et il naura pas faire appel lassistance technique pour imprimer un document ou
envoyer un message. UCOPIA contribue limage de marque des entreprises en
permettant aux visiteurs daccder leur rseau.
Une approche gnratrice de revenus
Le service dAnalytique permet de mieux apprhender les usages et les utilisateurs. Il est
alors possible de proposer des services valeur ajoute ou de la publicit cible sur le
portail captif ou dans les pages visites grce linjection Web. Ceci contribue
promouvoir, fidliser et montiser les accs.
Laccs aux services peut galement tre factur en achetant des forfaits en ligne depuis
le portail (carte de crdit, PayPal, Ogone) o travers les connecteurs avec des outils de
facturation.
Une solution hautement disponible
Grce son architecture en cluster, UCOPIA peut garantir une haute disponibilit du
service. Un cluster fonctionne en mode redondance et/ou en mode rpartition de
charge.
Un cot de possession (TCO) optimis
Le dploiement dune solution daccueil de nomades ncessite une intgration avec
linfrastructure de communication et de scurit existante. Sans UCOPIA, cela peut
ncessiter beaucoup de travail et de dlai. UCOPIA sintgre simplement au rseau en
place (VLAN, annuaire, etc.) sans remettre en cause les politiques de scurit dj
prsentes. Par ailleurs grce sa simplicit dadministration et ses mcanismes de zro
configuration, UCOPIA limite le besoin en ressources techniques. Tous ces avantages
contribuent rduire fortement le cot de possession dune telle solution.
Une solution prenne et volutive
Loffre UCOPIA est compose dune large gamme de produits permettant de rpondre
aussi bien aux besoins des petites structures qui souhaitent accueillir quelques
utilisateurs quaux architectures centralises multi sites assurant plusieurs milliers de
connexions simultanes.
La solution UCOPIA sadministre travers des outils de haut niveau puissants et
conviviaux. Des rapports de statistiques (nombre de sessions simultanes, dure des
sessions, types de matriels utiliss, etc.) permettent de mieux apprhender lusage qui
est fait de la solution en place.
Une plate-forme centralise permet une administration et une supervision distantes dun
parc de contrleurs UCOPIA.
La solution UCOPIA est indpendant des quipements rseau et peut fonctionner en
environnement htrogne, elle garantit ainsi la prennit des choix de matriel. UCOPIA
fonctionne en environnement filaire et Wi-Fi, son niveau dabstraction par rapport au
rseau physique lui permet dvoluer avec les standards.
15 Annexe 1 : Documentation
Un ensemble de documentations est propos avec le produit UCOPIA.
15.1 Manuels
Manuel dinstallation
Ce manuel sadresse aux administrateurs systme et/ou rseaux dsirant installer la
solution UCOPIA. Il dcrit linstallation et la configuration de lensemble des composants
de la solution. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration
Ce manuel sadresse aux administrateurs systme et/ou rseaux ayant en charge
ladministration dUCOPIA.
Sont prsents dans ce manuel l'outil d'administration et lensemble des procdures
dadministration. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration dlgue
Ce manuel dcrit le portail de dlgation, il est commun aux deux gammes de produit
UCOPIA : Express et Advance.
Manuel dutilisation de lditeur de portail UCOPIA
Ce manuel dcrit l'diteur graphique de portail UCOPIA. Ce manuel est commun aux
deux gammes de produit UCOPIA: Express et Advance.
Manuel dutilisation dUCOPIA
Ce manuel sadresse aux utilisateurs dun rseau contrl par UCOPIA. Il dcrit
lutilisation des diffrents modes de portail.
Ce manuel est commun aux deux gammes produit UCOPIA: Express et Advance.
Manuel dutilisation de la base de donnes des journaux utilisateurs
Les journaux de sessions et de trafic sont crs localement sur le contrleur UCOPIA et
sont accessibles depuis loutil dadministration UCOPIA. Les journaux sont stocks dans
une base de donnes SQL.
Afin de faciliter lintgration avec des applications tierces, UCOPIA propose de se
connecter la base SQL des journaux. Ce document dcrit le fonctionnement de cette
base de donnes, les entits de la base et de leurs attributs.
Manuel dutilisation de la CLI UCOPIA
Ce document dcrit la CLI (Command Line Interface) UCOPIA. Ce langage donne accs
certaines commandes rseau, systme ou administration avance. La CLI permet
galement de diagnostiquer dventuels dysfonctionnements.
15.2 APIs
API UCOPIA Administration dlgue
Lobjectif de lAPI dadministration dlgue est de permettre de coupler le contrleur

UCOPIA avec un outil tiers tel quun outil de provisionnement de compte et/ou de
facturation de services.
LAPI dadministration dlgue permet de crer/dtruire/modifier un compte utilisateur
ainsi que de rcuprer un temps de connexion cumule pour un utilisateur.
API UCOPIA Portail
LAPI Portail est utilise dans le cas dune personnalisation de portail avance. LAPI
dfinit lensemble des interactions entre le portail et le contrleur UCOPIA. A travers
cette API, tous les modes d'authentification sont possibles (portail standard avec login et
mot de passe, portail avec inscription par SMS, portail avec inscription par email, etc..).
API UCOPIA Application mobile
LAPI Application mobile est utilise pour apporter les fonctions de lapplication mobile
UCOPIA (authentification, sponsoring) une application tierce, par exemple une
application mtier.
15.3 Couplage avec produits tiers

Envoi de SMS via le contrleur UCOPIA
UCOPIA propose un mode de provisionnement de compte pour lequel l'utilisateur s'auto
enregistre sur le portail UCOPIA en utilisant son tlphone mobile. Il reoit ses
identifiants de connexion par SMS.
Ce document dcrit les diffrentes plates-formes de SMS avec lesquelles UCOPIA
s'interface.
Couplage UCOPIA avec un PMS
Le contrleur UCOPIA sinterface avec des produits de type PMS (Property Management
System).
Ce document dcrit la faon dont les produits interoprent.
Utilisation de Paypal avec UCOPIA
Ce document dcrit le mode de fonctionnement du portail UCOPIA permettant aux
utilisateurs dacheter forfait en ligne via Paypal. Il dtaille galement comment ouvrir un
compte Paypal et comment configurer UCOPIA en consquence.
UCOPIA et compatibilit iPass
Ce document dcrit la faon dont UCOPIA doit tre configur pour accueillir des
utilisateurs iPass. Il prcise galement les contraintes et configurations au niveau des
quipements rseau.
15.4 Certification de scurit
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_01.html
16 Annexe 2 : Glossaire
Nous prsentons dans cette annexe la dfinition des mots cls ou des acronymes utiliss dans ce
document.
16.1 Rseau
DNS - Domain Name Service : Service de nom de domaines (correspondance IP<->nom
des machines)
SNMP - Simple (ou Smart) Network Management Protocol : Protocole de la couche
application pour ladministration rseau.
HTTPS - Hyper Text Transfert Protocol over SSL : Protocole de transmission issu de
Netscape li une connexion par socket scurise.
VLAN Virtual Local Area Network: Permet de raliser plusieurs rseaux logiques sur un
mme rseau physique. Les VLANs sont configurs au niveau des Switch et des routeurs.
DHCP Dynamic Host Configuration Protocol : DHCP est un protocole permettant
dallouer une adresse IP a un client voulant se connecter au rseau.
NAT Network Address Translation : NAT est un mcanisme permettant dallouer des
adresses IP prives partir dune seule adresse IP publique.
ICAP Internet Content Adaptation Protocol : Le protocole ICAP dfinit une interface
normalise entre des quipements rseau jouant le rle de client (serveur mandataire, pare-
feu, passerelles de scurit), et des quipements de services (serveurs ICAP) dont l'objectif
est l'analyse et l'adaptation en temps rel des flux Web (ex : filtrage dURLs).
16.2 Wi-Fi
Wi-Fi Wireless Fidelity: Wi-Fi est le nom commercial pour la technologie IEEE 802.11.
Le Wi-Fi est compos de plusieurs standards.
802.11 b/a/g/n : Il sagit dun ensemble de standards pour dfinir les diffrents dbits
du Wi-Fi : 802.11a propose une bande passante de 54 Mbps sur une frquence de 5 Ghz,
802.11b et g oprent sur la frquence 2,4 Ghz et propose une bande passante
respectivement de 11 et de 54 Mbps. 802.11n propose une bande passante suprieure
100 Mbps.
802.11i : Standard de scurit pour le Wi-Fi ratifi en juin 2004. Il inclut 802.1x pour
lauthentification et AES (Advanced Encryption Standard) pour le chiffrement. 802.11i
require des quipements compatibles la fois ct client et ct point daccs.
802.11e : Standard pour la Qualit de Service. Il nest pas ratifi. 802.11e vise donner
des possibilits en matire de qualit de service au niveau de la couche liaison de
donnes. Ainsi cette norme a pour but de dfinir les besoins des diffrents paquets en
terme de bande passante et de dlai de transmission de telle manire permettre
notamment une meilleure transmission de la voix et de la vido.
802.11f : Standard pour le roaming. Il nest pas ratifi. 802.11f est une recommandation
l'intention des vendeurs de point d'accs pour une meilleure interoprabilit des
produits. Elle propose le protocole Inter-Access point roaming protocol permettant un
utilisateur itinrant de changer de point d'accs de faon transparente lors d'un
dplacement, quelles que soient les marques des points d'accs prsentes dans
l'infrastructure rseau.
16.3 Authentification
802.1x : Standard de contrle daccs au rseau, indpendant du support physique. Le
rseau permet uniquement le passage de trafic dauthentification tant que
lauthentification nest pas accomplie avec succs. Le 802.1x spcifie galement le
protocole EAPOL (EAP over LAN) qui permet lencapsulation des mthodes
dauthentification EAP.
EAP Extensible Authentication Protocol: EAP est un protocole dauthentification
oprant au niveau 2 OSI avant que le client nobtienne une adresse IP, il renforce ainsi la
scurit. Bases sur EAP, il existe de nombreuses mthodes dauthentification, par mot
de passe (PEAP, TTLS), par certificat (TLS), etc. EAP est utilis dans une architecture
802.1x et fonctionne par consquent avec un serveur dauthentification, gnralement
RADIUS.
EAP-MD5: Le client est authentifi par le serveur en utilisant un mcanisme de dfi
rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le
mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil
renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte,
compare les deux et en fonction du rsultat valide ou non lauthentification.
LEAP Lightweight EAP: est un mthode propre Cisco qui repose sur l'utilisation de
secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise
aucun certificat et est bas sur l'change de dfi et rponse.
EAP-TTLS Tunneled Transport Secure Layer : utilise TLS comme un tunnel pour
changer des couples attribut valeur la manire de RADIUS servant lauthentification..
PEAP Protected EAP: est une mthode trs semblable dans ses objectifs et voisine dans
la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS
pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification
supportes par EAP.
EAP-TLS Extensible Authentication Protocol-Transport Layer Security: Cest la plus
sre. Le serveur et le client possdent chacun leur certificat qui va servir les
authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit
de dployer une infrastructure de gestion de cls. Rappelons que TLS, la version
normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement,
authentification mutuelle, contrle dintgrit).
NTLM NT Lan Manager: est un protocole dauthentification Microsoft. Ce protocole
utilise un mcanisme de challenge-rponse pour lauthentification dans lequel les clients
peuvent prouver leur identit sans envoyer de mot de pass au serveur. Le protocole
consiste en 3 messages : Type 1 (ngociation), Type 2 (challenge) and Type 3
(authentification).
PKI Public Key Infrastructure: Une PKI est une architecture base sur des cls publiques
et prives stockes dans des certificats. Cette architecture permet aux entreprises de
dployer des solutions scurises pour changer des emails, des documents, etc.
RADIUS - Remote Access Dial-in User Services: RADIUS est un protocole standard pour
interroger de faon distante un serveur dauthentification.
OTP - One Time Password : Consiste utiliser des mots de passe qui ne peuvent tre
utiliss qu'une seule fois. Mme si le mot de passe est drob, il n'est pas rutilisable.
Dans la pratique, ce dispositif repose sur des techniques de cryptographie cls secrtes
ou symtriques et prend gnralement la forme d'une calculette avec un clavier et un
affichage numrique (ex. ActivCard, SecureID).
SSO Single Sign On : Le SSO permet de fdrer l'authentification. Grce au Single Sign-
On, il est possible de regrouper toutes les demandes d'authentification en une procdure
unique. Le confort des utilisateurs et le niveau de scurit s'en trouvent amliors.
WISPr Wireless Internet Service Provider roaming : WISPr est un protocole qui permet
aux utilisateurs de roamer entre plusieurs fournisseurs daccs Internet. Un serveur
RADIUS est utilis pour lauthentification et la vrification des identifiants.
16.4 Chiffrement
WEP Wired Equivalent Protection : WEP est un protocole fond sur lalgorithme RC4
(cl de 64 bits), il permet de raliser le contrle daccs lauthentification, la
confidentialit et lintgrit. Le WEP est connu pour ses faiblesses : cl de petite taille, cl
statique et partage par plusieurs utilisateurs.
TKIP Temporary Key Interchange Protocol: TKIP est un protocole de chiffrement
destin amliorer le WEP. Il gnre des cls dynamiques via des rauthentifications
802.1x priodiques.
AES, DES, 3DES: Il sagit dalgorithmes de chiffrement utilisant des cl de 128 bits. Ils sont
utiliss dans les solutions de VPN et dans les mcanismes de chiffrement des dernires
gnrations de points daccs.
VPN Virtual Private Network: Le principe du VPN est bas sur la technique du
tunnelling. Cela consiste construire un chemin virtuel aprs avoir identifi l'metteur
et le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce
chemin virtuel. Les donnes transmettre peuvent appartenir un protocole diffrent
d'IP. Dans ce cas le protocole de tunnelling encapsule les donnes en rajoutant une
entte, permettant le routage des trames dans le tunnel. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de dsencapsulation.
IPSec: Protocole permettant de scuriser les transmissions travers des rseaux non
scuriss comme lInternet. IPsec agit au niveau de la couche rseau, protgeant et
authentifiant les paquets IP entre les dispositifs participants, comme un routeur.
SSL Secure Socket Layer : SSL est un protocole pour grer la scurit de la transmission
de messages sur Internet. Il se positionne entre les couches HTTP et TCP.
WPA Wireless Protected Access: WPA est un sous-ensemble du standard 802.11i
regroupant 802.1x et TKIP.
WPA2 Renforce la scurit WPA en se basant sur lalgorithme de chiffrement AES.
WPA-PSK - Pre Shared Key : Mode permettant de profiter de la scurit WPA ans
disposer de serveur d'authentification. La configuration du WPA-PSK commence par la
dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en
utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps
prdfini.
DPSK Dynamic Pre Share Key : Solution Ruckus permettant de dlivrer dynamiquement
une cl de chiffrement unique par utilisateur.
16.5 Annuaire
LDAP Light Directory Access Protocol: LDAP est un protocole pour accder diffrents
services dun annuaire (interrogation, mise jour, etc). Les annuaires peuvent tre de
diffrents types.
LDAPS LDAP over SSL: Protocole scuris pour accder un annuaire.
www.ucopia.com

UCOPIA Livre Blanc

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

UCOPIA Livre Blanc

Transféré par

Droits d'auteur :

Formats disponibles

Livre Blanc UCOPIA

Table des matires

3.5 ADMINISTRATION ................................................................................................................................. 34

Table des figures

Figure 49: Architecture multi sites partiellement centralise ................................................................ 63

architectures de haute disponibilit (redondance et rpartition de charge). La suite du document

2 Prsentation gnrale de la solution UCOPIA

Figure 1: La solution UCOPIA

2.1 Architecture globale de la solution UCOPIA

Figure 2: Architecture globale de la solution UCOPIA

Deux composants principaux constituent le contrleur UCOPIA :

3.1.1 Certification de scurit CSPN

Voir le site de lANSSI pour consulter les lments de certification.

Figure 3: Page d'accueil du portail UCOPIA

Figure 4: Affichage des services autoriss depuis le portail UCOPIA

3.1.2.2 Authentification par rseaux sociaux

Figure 5: Authentification par rseaux sociaux

3.1.2.3 Authentification RADIUS/802.1x

3.1.2.4 Authentification automatique par adresse MAC

Figure 6: Authentification Shibboleth

3.1.3 Contrle daccs par profil utilisateur

3.1.5 Organisation en rseaux virtuels (VLAN)

Figure 7: Architecture VLAN UCOPIA

3.1.6 Filtrage dURLs

Achat en ligne Sites d'achat en ligne.

Adulte Sites adultes allant de l'rotique la pornographie.

Agressif Sites faisant la promotion de la violence et de la haine.

Banque Sites de banque en ligne.

Blog Sites d'hbergement de blogs.

Chat Sites de dialogue et conversation en ligne.

Drogue Sites faisant la promotion de la drogue.

Hameonnage Faux sites de banque ou incitant donner des informations personnelles

Hbergement Sites d'hbergement de fichiers.

Jeux d'argent Sites de jeux d'argent.

Jeux en ligne Sites de jeux en ligne ou de distribution de jeux.

Messagerie Sites de messagerie en ligne.

Piratage Sites de piratage.

Presse Sites de presse en ligne.

Publicit Sites proposant de la publicit.

Redirecteur Sites permettant de contourner le filtrage des URLs.

Rencontre Sites de rencontre en ligne.

Vido Sites d'hbergement de contenu audio et/ou vido.

Virus Tout site qui injecte des programmes malvaillants.

Warez Annuaires de liens pour tlchargement de fichiers.

3.1.7 DPSK (Dynamic Pre Share Key) Ruckus

La solution Wi-Fi Ruckus1 propose un mcanisme innovant de distribution dynamique de cl de

Figure 8: Portail UCOPIA avec Ruckus DPSK

3.1.8 Dtection dintrusion

3.1.9 Politiques de mot de passe

3.1.10 Contrle du mot de passe et quarantaine

3.1.11 Scurit Radio

3.1.12 Journal daudit

3.2.1 Modle de mobilit

UCOPIA a dfini un modle de mobilit prenant en compte plusieurs dimensions, le Qui ,

Figure 9: Le modle de mobilit UCOPIA

3.2.2 Profils adaptables

3.2.3 BYOD (Bring Your Own Device)

Figure 10 : Conditions BYOD

3.2.4 Transparence daccs ou Zro configuration

Lobjectif de la transparence daccs est de permettre des utilisateurs ne connaissant pas

3.2.5 Qualit de Service

Le dbit garanti des services

3.2.6 Quota de volume de donnes

3.2.7 Multi portails