Document Technique SMART SD WAN by SAYSE

DESCRIPTION TECHNIQUE
SMART SD-WAN
Vivez l’expérience logicielle qui optimise tous vos accès IP

SOMMAIRE
A PROPOS DE SAYSE .................................................................................................................................. 4
I. LE PRINCIPE DU SD-WAN by SAYSE .................................................................................................. 5
1. Pourquoi choisir la technologie SD-WAN .................................................................................. 5
2. Les atouts du SD-WAN : 5 points clés .......................................................................................... 6
3. Avantages technologique du SD-WAN by SAYSE ..................................................................... 6
4. La passerelle universelle ................................................................................................................ 7
5. Bénéfices Clients ................................................................................................................................ 7
6. Modules SD-WAN ............................................................................................................................... 8
7. Maquette SD-WAN ............................................................................................................................. 9
8. Délais de livraison ............................................................................................................................. 9
II. CARACTERISTIQUES DES BOITIERS CONNECTES .................................................................... 10
1. Concentrateur IP - Boitier S300 ................................................................................................. 10
2. Boitier Connecté – S200 ................................................................................................................ 11
3. Boitier Connecté – S100 ................................................................................................................ 12
4. Caractéristiques de l’Appliance ................................................................................................. 13
III. FONCTIONNALITES AVANCEES .................................................................................................... 14
1. Le Firewall ......................................................................................................................................... 14
1.1 Le Firewall IP (layer3) ............................................................................................................................ 14
1.2 Fonctionnalité de sécurité avancée ................................................................................................... 14
2. Le Boitier Connecté ........................................................................................................................ 15
2.1 Architecture des Boitiers Connectés ................................................................................................. 15
2.2 NAT/PAT ..................................................................................................................................................... 15
2.3 DMZ ............................................................................................................................................................... 15
2.4 La gestion multi-liens Internet ............................................................................................................ 15
2.5 Le Vlan 802.1q ........................................................................................................................................... 16
2.6 La qualité de service (QOS - Quality Of Service) ............................................................................ 16
2.7 La priorisation des flux .......................................................................................................................... 17
2.8 La répartition des charges ou « load balancing » de liaisons .................................................... 17
2.9 Routage statique ...................................................................................................................................... 17
2.10 Politique de routage (ou routage avancé) .................................................................................... 17
2.11 Templates ................................................................................................................................................ 18
3. Le réseau Privé Sécurisé SAYSE : SD-WAN ............................................................................ 19
3.1 Vpn avec IPsec ........................................................................................................................................... 19
3.2 Protocoles de sécurité ............................................................................................................................ 20
3.3 Vpn avec la technologie STS - SAYSE TUNELING SYSTEM ........................................................... 21
3.4 Le chiffrement ........................................................................................................................................... 22
3.5 les VPN dédiés aux accès distants (télétravail) ............................................................................. 23
Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

SAYSE, 10 rue de la Paix – 75002 PARIS – Tél : 0 825 620 520
Contact@sayse.fr - www.sayse.fr
Page 2 sur 43
4. Caractéristiques du filtrage d’URL ............................................................................................ 23
4.1 Le filtrage Web .......................................................................................................................................... 23
4.2 L’anti-phishing .......................................................................................................................................... 25
4.3 Filtrage protocolaire ............................................................................................................................... 25
5. Caractéristiques des Concentrateurs RPS – Réseau Privé Sécurisé .............................. 25
5.1 La Gestion de la redondance entre les Concentrateurs IP ......................................................... 26
5.2 Gestion de la redondance entre Centres de Données .................................................................. 26
5.3 Le système de monitoring ..................................................................................................................... 26
5.4 Les sauvegardes ....................................................................................................................................... 26
5.5 Système de NAT « 1 pour 1 » ................................................................................................................ 26
6. Administration des Boitiers Connectés .................................................................................. 27
6.1 Le serveur HTTPS .................................................................................................................................... 27
6.2 Les certificats ............................................................................................................................................ 27
6.3 La clef d'activation ................................................................................................................................... 27
6.4 Le compte consultant .............................................................................................................................. 28
6.5 Le compte installateur ........................................................................................................................... 28
7. Administration centralisée ......................................................................................................... 29
7.1 Supervision en temps réel de l'ensemble du parc. ....................................................................... 30
7.2 Analyse du trafic réseau avec Netflow. ............................................................................................. 38
7.3 Informations clients ................................................................................................................................ 39
7.4 Système de macro et micro gestion des Boitiers Connectés ..................................................... 39
7.5 Répudiation Boitier Connecté ............................................................................................................. 39
7.6 Gestion de privilèges sur la console administration. .................................................................. 39
8. Processus de commande et d’expédition ............................................................................... 40
9. Contrats de maintenance ............................................................................................................. 40
10. Maintenance matérielle ............................................................................................................. 40
10.1 Echange standard d’un Boitier Connecté ...................................................................................... 40
III. SERVICES SUPPLEMENTAIRES ..................................................................................................... 42
1. Antivirus de flux web .................................................................................................................... 42
2. Anti-virus et Anti-spam de mails ............................................................................................... 42
3. Option modem 3/4G ...................................................................................................................... 43
4. Application Iphone/Ipad et Androïd ....................................................................................... 43

Page 3 sur 43
A PROPOS DE SAYSE
SAYSE est le premier Opérateur SD-WAN* français
Quand le logiciel devient l’interface de tous les accès IP de votre Entreprise, vous
bénéficiez d’une plus grande flexibilité de gestion, d’une liberté totale dans le choix des
opérateurs, d’un accès direct à tous les paramétrages et d’un déploiement en quelques
clics. Vous êtes au coeur de la 3ème génération de réseau : le SD-WAN.
La technologie logicielle, embarquée au sein des Boîtiers Connectés et de la solution

SMART SD-WAN, permet d’unifier tous les accès à Internet (Free, SFR, Numericable, OVH,
Orange,...) et toutes les technologies (ADSL, VDSL, SDSL, FIBRE, ...) en France et à
l’international afin de booster et prioriser vos débits pour profiter d’un véritable Réseau
Privé Sécurisé (SD-WAN) entre vos différents établissements. Votre WAN Hybride est né. La
flexibilité de votre Réseau SD-WAN vous permet, en quelques clics, de gérer la priorisation
de chacun de vos flux, de sécuriser tous vos établissements, de superviser toutes vos
liaisons ou encore de se connecter à distance depuis votre SmartPhone, tablette, PC ou
Mac.
Les Concentrateurs IP peuvent être hébergés n’importe où dans le Cloud (boîtiers

physiques ou machines virtuelles) et permettent d’étoiler tous vos établissements vers
n’importe quel acteur du Cloud en l’intégrant à votre Réseau SD-WAN.
L’Application WEB permet d’assurer l’hypervision de vos établissements équipés de la

solution SAYSE, de gérer son Réseau SD-WAN, de le sécuriser, d’en assurer une disponibilité
maximale et avec des performances encore inégalées.
Enfin, vous pouvez vous affranchir des coupures physiques d’accès à Internet en intégrant
les options 4G ou Satellite.
Bienvenue dans une nouvelle ère de transport de vos données.

Page 4 sur 43
I. LE PRINCIPE DU SD-WAN by SAYSE
1. Pourquoi choisir la technologie SD-WAN
Quasiment toutes les entreprises en France et dans le monde qui ont plus de 1
établissement utilisent une forme de VPN - Virtual Private Network (VPN Ipsec, VPN SSL,
MPLS, ...) pour communiquer entre ses différents sites.
L’avènement des solutions Cloud a renforcé ces dispositifs pour que tous les
collaborateurs d’une entreprise, où qu’ils se trouvent, à n’importe quel moment et depuis
n’importe quel appareil, puissent accéder au Système d’Information de leur entreprise ou
bien à quelques applications.
L’accès doit être rapide, sécurisé et disponible tout le temps. Cela implique d’utiliser
les meilleures technologies réseau dans chaque localisation (meilleur rapport
qualité/prix/débit/technologie), de sécuriser les connexions pour garantir que seuls les
utilisateurs habilités puissent accéder aux données de l’entreprise, de garantir à la fois
la disponibilité de l’accès en lui même (cela implique de travailler avec au moins deux
opérateurs télécoms différents pour chaque établissement et/ou de combiner des
technologies filaires et sans fil) et garantir le débit nécessaire à certaines applications plus
critiques que d’autres (souvent dénommée Qualité de service ou classes de service)
comme certaines applications « métier », la téléphonie IP, ...
Ces enjeux outrepassent les solutions des fournisseurs d’accès à Internet locaux, mais
également des opérateurs télécoms historiques car cela impliquerait qu’ils se partagent
leur réseau et leur savoir-faire comme s’ils ne faisaient plus qu’un.
Dans ce contexte, une solution SD-WAN opérée vient se positionner au dessus des
infrastructures des opérateurs télécoms afin de les piloter. Dans ce sens, la solution
logicielle transcende l’infrastructure physique pour devenir une solution universelle au
profit de toutes les entreprises.

Page 5 sur 43
2. Les atouts du SD-WAN : 5 points clés
3. Avantages technologiques du SD-WAN by SAYSE

Page 6 sur 43
4. La passerelle universelle
5. Bénéfices Clients

Page 7 sur 43
6. Modules SD-WAN

Page 8 sur 43
7. Maquette SD-WAN
8. Délais de livraison

Page 9 sur 43

II. CARACTERISTIQUES DES BOITIERS CONNECTES
1. Concentrateur IP - Boitier S300
S300 - CONCENTRATEUR IP
7 ports Gigalan
Format du boitier Rack 1U

Dimension physique Dimensions (LxHxP): 431 x 44 x 305.8 mm / Poids: 5 kg
Alimentation Type / Watts: 1U ATX alim 180W
Entrée : AC 100~240V @ 50~60Hz
Sortie : +5V sortie: 1V min, 12V max; +3.3V sortie: 1V min, 14V max;
+12V sortie 1V min, 14V max
Refroidissement Processeur: 1 x CPU radiateur avec ventilateur
Système: 4 x ventilateur
Caractéristiques Température de fonctionnement:
d’environnement - ambiant: 0ºC ~40ºC
- entrepôt: 20ºC~70ºC
Humidité (HR), fonctionnement ambiant 5 ~ 90%, non-
fonctionnement: 5 ~ 95%, sans condensation
Mémoire Technologie: Dual-Channel DDR3 1066/1333 MHz
Capacité: 8GB
OS Linux
Stockage HDD : 1 x 3.5 SATA
I/O Interface Console: 1 x RJ45 / USB: 2 x USB 2.0
Bouton Reset : 1 x bouton reset
Extension PCI: 1 x Mini-PCIe
Watchdog: Oui
RTC interne avec batterie Li-on
Divers Module LCD: 2 x 20 Caractère facultatif LCM Graphique
Approbation et conformité CE Emission, FCC Class A, RoHS

Page 10 sur 43
2. Boitier Connecté – S200
S200 – Boitier Connecté

6 ports Gigalan
Format du boitier Système sans ventilateur embarqué (FanLess)
Dimension physique Dimensions (LxHxP): 200 x 42 x 145 mm; Poids: 1.2KG

Alimentation Type / Watts: alimentation 60W externe
Entrée : AC 100~240V @ 50~60Hz
Sortie: 12V DC
Refroidissement Processeur: radiateur (passif)
Humidité (HR), fonctionnement ambiant et non-fonctionnement
5 ~ 95%, sans condensation
Mémoire Capacité / Type: 4GB DDR3 SDRAM X 1
OS Linux Kernel
Stockage Compact Flash: Type I/II CF 2GB
(HDD optional)
I/O Interface USB 2.0: 2 x USB 2.0
VGA: (2048 x 1536 / 75Hz)
LAN: 4 à 6 x RJ45 GbE
Prise d'alimentation: Jack avec verrouillage
Extension Mini-PCIe: 1
Fonctionnalités sans fil: 3G / 4G
Divers Watchdog: Oui

Page 11 sur 43
3. Boitier Connecté – S100
Boitier Connecté – S100

4 ports Gigalan
Format du boitier Bureau: Système sans ventilateur embarqué (FanLess)
Dimension physique Dimensions (LxHxP): 200 x 42 x 145 mm; Poids: 1.2KG

Alimentation Type / Watts: alimentation 60W externe
Entrée : AC 100~240V @ 50~60Hz
Sortie: 12V DC
Refroidissement Processeur: radiateur (passif)
Humidité (HR), fonctionnement ambiant et non-fonctionnement
5 ~ 95%, sans condensation
Mémoire Mémoire vive: 4Go DDR3 SODIMM x 1
OS Linux Kernel
Stockage Compact Flash: Type I/II CF 2GB
(HDD optional)
I/O Interface USB 2.0: 2 x USB 2.0
VGA: (2048 x 1536 / 75Hz)
LAN: 4 to 6 x RJ45 GbE
Prise d'alimentation: Jack avec verrouillage
Extension Mini-PCIe: 1
Fonctionnalités sans fil: 3G / 4G
Divers Watchdog: Oui

Page 12 sur 43
4. Caractéristiques de l’Appliance
SAYSE S100 – S200 – S300

Protocole de lien de données Ethernet, Fast Ethernet, Gigabit Ethernet
Protocoles réseaux STS, PPTP, L2TP, IPSec, PPPoE, GRE
Protocole de gestion SNMP 2c, HTTPS, Web-services
Capacité Nombre de tunnels (STS, PPTP, L2TP, IPSec, PPPoE, GRE) : illimité
Nombre de clients VPN: illimité
Résilience et Management multi-liaisons
Cloud Computing Séparation des flux VPN / Web
Gestion en mode dégradé
Spécifications Firewall
DMZ, routage, serveur DHCP, support du NAT et du PAT, Dynamic
DNS serveur
Support client/serveur VPN STS et IPsec
Support du VLAN de niveau 3 et 802.1Q
Load Balancing, Fail-over
Auto-negotiation, Auto-uplink (MDI/MDI-X auto),
Support de Syslog
Support de LDAP
Qualité de service « full duplex » (Qos)
Protection contre les attaques de Déni de Service (DoS)
Antivirus et Anti-Spam d’email
Filtrage WEB
Filtrage de contenu / protocol (Layer7)
Prevention anti-synflood, fingerprinting, spoofing, etc….
Mode d’installation Bridge 802.1D (transparent),
Gateway (mono interface)
Ethernet (en coupure)
VPN.TunnelingSystem AES 256 encryptions (FIPS 140 exigences de sécurité pour les
(STS-SAYSE Tuneling System) modules cryptographiques)
Clé Privé: 4096 bits
Authentification par échange de clé public (Diffie-Hellmann)
Vérification de l’intégrité SHA-256
Interface intégrée Gestion sécurisée de la clé / Paramètres réseau / information
initiale de la session d'installation du système
Services Etat / Statuts
VPN-client .VpnClient STS auto-installable
Windows XP®, Windows Vista®, Seven®, 8®, Mac® OS 10.6.x à
10.9.X et Linux. / Nombre de clients soft: illimité

Page 13 sur 43
III. FONCTIONNALITES AVANCEES
1. Le Firewall
1.1 Le Firewall IP (layer3)

Le Boitier Connecté comprend un firewall qui, installé en passerelle, protège l’ensemble
du réseau local des attaques en provenance d’Internet. Le framework utilisé est Netfilter
qui a reçu un Certificat de Sécurité de Premier Niveau (CSPN) par l'Agence nationale de
la sécurité des systèmes d'information (ANSSI).
1.2 Fonctionnalité de sécurité avancée

La configuration du firewall a été mise en place selon un mode séquentiel. Initialement,
une liste de connexions bien définie est autorisée, toutes les autres connexions sont
explicitement interdites. Cette configuration concerne les connexions en provenance
d’Internet.
La deuxième configuration du firewall interdit tout transfert de connexion entre les VPN
établis sur Le Boitier Connecté. SAYSE a mis en place les mesures nécessaires afin de
rendre le Boitier Connecté en mode discrète "vue" d’Internet. Cela permet de limiter les
réponses aux logiciels de "scan de ports" par exemple.
Le firewall intègre plusieurs éléments permettant de se prémunir des attaques. Le système

contient une configuration capable de faire face aux attaques de type synflood,
fingerprinting, spoofing et bien d’autres …
Il a également été mis en place la suppression des paquets IP ayant une malformation
qu’elle soit volontaire (dans le cas d’une attaque) ou non (dans le cas d’un programme
ne fonctionnant pas correctement).

Page 14 sur 43
2. Le Boitier Connecté
2.1 Architecture des Boitiers Connectés
BOITIERS CONNECTES
2.2 NAT/PAT
Afin de permettre au réseau local utilisant le Boitier Connecté chiffrant SAYSE de mettre à
disposition d’Internet son serveur Web hébergé, ou son serveur de mail, Le Boitier
Connecté, sur demande du client, peut autoriser des connexions. Ces connexions
peuvent être limitées à une ou plusieurs adresses IP sources et à destination d’une adresse
IP du réseau local.
2.3 DMZ
Le Boitier Connecté peut également rendre disponible sur Internet un ou plusieurs
équipements d'un réseau local via une DMZ.
Les configurations du firewall sont opérées depuis le centre de supervision et/ou sur
demande identifiée auprès du support SAYSE.
2.4 La gestion multi-liens Internet

Les Boitiers Connectés ont la possibilité de gérer plusieurs lignes d’accès à Internet pour
offrir une haute disponibilité et une redondance des connexions Internet quasi
transparente pour l’utilisateur.

Page 15 sur 43
Deux modes d’utilisation sont disponibles, le mode « flux répartis » et le mode en « liaison
de secours ».
- Utilisation en mode : « flux répartis »

Le mode en « flux répartis » permet de dissocier les différents flux et de les gérer selon leur
criticité. Par exemple, on peut dissocier les flux « métier » des flux web. Dans ce cas, le
Boitier Connecté envoie tous les flux « métier » vers la liaison principale et les flux non
considérés comme des flux « métier » (consultations web, par exemple) sont envoyés vers
la liaison secondaire.
- Utilisation en mode : « liaison de secours »

En mode « liaison de secours », tous les flux transitent par défaut par la liaison principale.
La liaison de secours n’est utilisée qu’en cas de panne de la liaison principale. Le retour
vers la liaison principale se fait automatiquement dès son rétablissement.
Les changements de liaisons sont transparents pour les utilisateurs. Lors d’un basculement,
le support SAYSE est alerté par mail.
La liaison 4G est particulièrement indiquée dans ce cas par sa caractéristique « sans fil »,
comme liaison de secours.
2.5 Le Vlan 802.1q

Suivant le modèle Boitier Connecté, il est possible de déclarer plusieurs réseaux physiques
différents. Le Boitier Connecté permet de configurer des sous-réseaux différents (de type
LAN virtuel) comportant un nombre illimité de VLAN sur un même lien physique (mode
trunk) afin de pouvoir communiquer avec d'autres équipements réseaux compatibles.
Le mécanisme d’encapsulation implanté est le standard IEEE 802.1q
2.6 La qualité de service (QOS - Quality Of Service)

Afin de garantir des conditions optimales pour les services « temps réel » (par exemple, la
téléphonie IP ou la visioconférence) et prioriser l'accès aux applications professionnelles,
la Qos est appliquée et permet de définir l’utilisation des capacités totales de chaque
liaison.
Grâce à la gestion simplifiée des priorités dans l'utilisation de la bande passante (par
adresse d'origine, de destination, de sous réseau, application etc.), les clients de SAYSE
peuvent privilégier l’accès à chacune de leurs applications.
La solution de QoS SAYSE améliore les performances, garantit la qualité d’accès aux
ressources et assure la disponibilité des applications et des services "temps réel".

Page 16 sur 43
Web
surﬁng
VOIP
Business
applica,on
Cette technique consiste à prioriser l’accès aux applications et à garantir les conditions
optimales de travail.
Il s’agit de gérer un type de trafic donné dans les conditions choisies (disponibilité, débit,
délai de transmission, etc...).
2.7 La priorisation des flux

Le Boitier Connecté peut identifier des flux par leurs sources et/ou destinations et/ou ports
réseaux afin de prioriser certains types de flux par rapport à d'autres (exemple : les flux
métiers sont prioritaires à la consultation de pages web).
2.8 La répartition des charges ou « load balancing » de liaisons

Le Boitier Connecté permet l’équilibrage de charge des flux vers Internet sur les différentes
liaisons filaires ou non filaires configurées. Cela permet de garantir une montée en charge
importante et ne pas perdre en qualité de service rendue aux utilisateurs.
2.9 Routage statique

Le Boitier Connecté permet d’effectuer du routage statique (exemple : routage depuis
une IP source vers une passerelle spécifique et vers l’interface désirée).
2.10 Politique de routage (ou routage avancé)

Il est possible d’effectuer des politiques de routage permettant de rediriger tout type de
flux vers une interface et/ou une passerelle.

Page 17 sur 43
Si plusieurs liaisons d’accès à Internet sont connectées aux Boitiers Connectés (exemple :
une Fibre Optique, une VDSL et une 4G) il est possible d’ordonnancer la priorité par défaut
de tous les flux. Exemple concret : priorité 1 donnée à la Fibre Optique, priorité 2 donnée à
la liaison VDSL et priorité 3 donnée à la liaison sans fil 4G.
Ensuite, il est possible de définir le routage d’un flux en priorité vers une liaison
différemment que l’ordonnancement de base (exemple : priorité 1 donnée à la liaison
VDSL pour les téléphones IP, priorité 2 donnée à la Fibre Optique pour la téléphonie IP en
cas de coupure de la liaison VDSL, priorité 3 vers la liaison sans fil 4G).
De la même façon, des flux spécifiques peuvent être redirigés exclusivement vers un VPN.
Cet ordonnancement croisé permet une disponibilité maximum de chaque flux ainsi
qu’une performance inégalée. Parallèlement, l’application de classes de services sur
chaque liaison, par la priorisation de bande passante renforce encore la qualité de
service.
2.11 Templates
Le système permet de gérer les règles de flux sous forme de Templates définis
spécifiquement pour chaque client.
Ainsi, il est possible de définir des objets :

Page 18 sur 43
3. Le réseau Privé Sécurisé SAYSE : SD-WAN
3.1 Vpn avec IPsec
Le Boitier Connecté permet de construire plusieurs types de liaison VPN :

STS (Sayse Tunneling System), PPTP, L2TP, IPSec, GRE
L’établissement des tunnels VPN peut s’établir avec des certificats X509 générés par
l’autorité du choix de chaque client.
Les Boitiers Connectés embarquent systématiquement un client de synchronisation NTP

configurable depuis le centre de supervision. Celui-ci est capable de ce synchroniser
avec un serveur local ou distant aussi bien accessible publiquement que via une
connexion VPN et peut télécharger une CRL.
Les Boitiers Connectés peuvent gérer au moins deux certificats X509 provenant
d’autorités de certification différentes et peuvent récupérer automatiquement ces
certificats auprès des autorités de certification (enrollment) en utilisant un protocole tel
que SCEP.
Il est possible de laisser transiter tous les flux ou non dans chaque tunnel.
La solution SD-WAN permet d’appliquer des règles de sécurité dans les tunnels de
chiffrement.
L’application de la Qos donne la possibilité de pouvoir prioriser les flux VPN par rapport à
tout autre flux.
La technologie IPsec embarquée dans les Boitiers Connectés s’appuie sur des algorithmes
de sécurité pour protéger les paquets IP, IPsec les chiffre et/ou les authentifie. Les services
de sécurité offerts sont : l’intégrité en mode non connecté, l’authentification de l’origine
des données, la protection contre le rejeu et la confidentialité (confidentialité des
données et protection partielle contre l’analyse du trafic). Ces services sont fournis au
niveau de la couche IP, offrant donc une protection pour IP et tous les protocoles de
niveau supérieur. Par conséquent, une application Internet peut tirer profit d'IPsec sans
pour autant avoir à modifier sa configuration. Une utilisation à bon escient d'IPsec en fait
un outil efficace de sécurisation du trafic réseau.
L’administration de ces VPN ce fait depuis la console centralisée de supervision

(L’Application Web).

Page 19 sur 43
3.2 Protocoles de sécurité
Les mécanismes de protection de datagramme IP : L'en-tête d'authentification (AH,
Authentication Header) signe les paquets IP et garantit leur intégrité, bien que le contenu
du datagramme ne soit pas chiffré, le destinataire est sûr que le contenu du paquet n'a
subi aucune modification et que l'expéditeur a envoyé les paquets. Le protocole ESP
chiffre les données IP et obscurcit, par conséquent, le contenu des paquets lors de leur
transmission. ESP garantit également l'intégrité des données par le biais d'une option
d'algorithme de hachage.
ESP et AH sont déterminés par un mécanisme de négociation tel que Internet Key
Exchange (IKEv1 ou IKEv2).
L’encapsulation de ces protocoles est basée sur AES-128, AES-192, AES-256, DES ou Triple
DES.
Les Algorithmes de « Hachage » utilisables sont : MD5, SHA1, SHA256, SHA384 et SHA512
Le système est capable de gérer deux modes d’encapsulation que sont le mode
"Transport" et le mode "Tunnel".
Les Groupes de clé Diffie-Hellman (DH) sont : aucun, Groupe1, Groupe2 et Groupe5
L’authentification peut se faire via Pre-shared key ou via Certificat.
De façon standard, le système propose l’utilisation de AES256, SHA512 et DH Groupe5

(modp4096).
On retrouve tous ces paramètres sur la console de supervision :

Page 20 sur 43
3.3 Vpn avec la technologie STS - SAYSE TUNELING SYSTEM
Le Boitier Connecté utilise aussi une technologie VPN propriétaire baptisé STS (SAYSE
Tunneling System).
Le développement de ce logiciel a été mené en suivant les recommandations de

sécurité RGS (Référentiel Général de Sécurité de l’Agence Nationale de la Sécurité des
Systèmes d’Information-ANSSI) qui est directement rattaché au SGDN (Secrétariat Général
de la Défense Nationale).
L’avantage principal, en terme fonctionnel, de ce VPN, est qu’il chiffre tous les types de
flux et pas seulement les flux web. Cela le rend parfaitement adapté à tous les services
proposés à ce jour et aux futures applications.
Le VPN STS permet l’exécution d'actions spécifiques lors de la connexion et de la

déconnexion d’un tunnel. Ce système est utilisé pour modifier le firewall et le routage à la
volée en fonction de l’état des différents tunnels.
Lorsqu'une communication chiffrée est établie entre deux sites reliés par un réseau non sûr
(internet), il est possible qu'un intrus intercepte des messages, et puisse les renvoyer. Cette

Page 21 sur 43
opération peut être faite par un pirate ne connaissant ni le contenu du message ni
aucune des méthodes cryptographiques mises en œuvre dans le protocole de
communication. Ce phénomène est appelé le rejeu. Le vpn STS utilise un système qui lui
permet de ne pas être affecté par cette faille, le concept est expliqué dans le
paragraphe suivant.
Pour protéger les informations transitant dans le VPN, le client et le serveur renégocient
une authentification après une durée de fonctionnement ou après une certaine quantité
de flux échangés.
Le VPN SAYSE STS interdit les multi-connexions, c'est-à-dire que si deux tunnels veulent
s’authentifier pour un même compte, les nouvelles connexions sont rejetées tant que la
session précédente ne s’est pas terminée.
Le VPN SAYSE STS se ferme après quelques secondes de coupure réseau. Ceci afin
d’éviter qu’un pirate ne puisse couper la connexion réseau et continuer de recevoir des
données du client ou du serveur et pouvoir tenter de déchiffrer les flux à posteriori.
L'authentification
L’établissement de la connexion entre le client (le Boitier Connecté) et le serveur se fait
par l’échange de clefs signées.
Lors de la première requête d’authentification, Le client (le Boitier Connecté) et le serveur

génèrent un nombre aléatoire, le chiffre en utilisant les méthodes PSS et OAEP,
s’échangent ces aléas chiffrés et signés, puis en déduisent la clef (méthode de
challenging question).
Ceci permet de prouver que l'interlocuteur est en possession d'une clef, tout en ne la lui
demandant pas explicitement (protocole d'authentification à apport nul de
connaissance). Cette méthode offre donc une sécurité supplémentaire qui n’est
généralement pas utilisée par les logiciels VPN du marché.
En résumé l’authentification se fait par un échange de clefs signées en suivant la

méthode Diffie-Hellman (voir :
http://fr.wikipedia.org/wiki/%C3%89change_de_cl%C3%A9s_Diffie-Hellman).
3.4 Le chiffrement
La méthode cryptographique utilisée est une méthode asymétrique aussi appelée
« cryptographie à clef publique ». Lors de la production d’un Boitier Connecté, une clef
privée de 2048 bits est générée, une clef publique en est déduite, celle-ci est transmise au
centre de supervision (L’Application Web) qui la stocke dans un coffre-fort.
Une fois l’authentification réussie, la connexion s’établit. Elle est chiffrée en AES-CBC-256
avec un contrôle d’intégrité en SHA-256. L’anti « rejeu » et le contrôle d’intégrité des
données permettent de se protéger de l’attaque de type « man-in-the-middle » qui est
très fréquemment utilisée.

Page 22 sur 43
Lors de la séquence d’authentification, le premier paquet transmis est déjà chiffré. Ce
système est très peu répandu car difficile à mettre en œuvre.
Généralement, les VPN du marché font passer le « login » en clair et chiffrent ensuite le
mot de passe, ceci est notamment le cas avec le protocole IPSec.
Les méthodes d’authentification et de chiffrement font que la clef de chiffrement est

différente à chaque session, il est donc impossible de recréer une session avec des
données recueillies lors d’une session précédente, par exemple.
3.5 les VPN dédiés aux accès distants (télétravail)

La solution SD-WAN de SAYSE intègre la possibilité de monter des VPN depuis des
connexions nomades ou « télétravail ». Un logiciel client utilise le VPN STS en AES-256. Ce
logiciel, très simple à installer, supportent les OS Windows XP, Vista, Seven, Windows 8, Mac
OS 10.5 et les suivants.
Après l’installation du programme sur le poste du télétravailleur, celui-ci peut se connecter

à un ou plusieurs Boitiers Connectés. Cette technologie lui permet d'avoir accès à
distance aux ressources réseaux : serveurs, fax, imprimantes, ...
Il s'agit d'une véritable extension du périmètre du réseau respectant un niveau de

sécurité connu et maîtrisé.
4. Caractéristiques du filtrage d’URL
4.1 Le filtrage Web

La solution de Filtrage Web est un service qui permet de réguler et de maîtriser l’utilisation
d’internet depuis chaque Boitier Connecté. Il peut être également combiné à un antivirus
de flux web qui permet de protéger les utilisateurs lors de leurs navigations sur Internet.
Ce service peut être activé ou non, pour tout ou partie des Boitiers Connectés à la
convenance de l’administrateur du Client.
Grâce au filtrage d’URL, le client définit la politique d’accès à Internet qui correspond à
ses besoins, en toute simplicité.
Avec cette solution, tous les sites improductifs et illicites peuvent être bloqués.

Page 23 sur 43
Le choix de fonctionnement appartient
entièrement au client. Il est possible de
sélectionner la plage horaire et les
catégories de sites à bloquer.
Le système est basé sur une liste

d’adresses de sites internet mise à jour
en permanence.
Grâce à cette fonctionnalité de filtrage d’URL, le client peut bloquer les sites
généralement jugés indésirables, par exemple :
-adulte,
-sites racistes, antisémites ou incitant à la haine,
-logiciels "crackés",
-jeux en ligne,
-etc,...
Aucune configuration des postes (réseau ou navigateur web) n’est requise. En effet, le
Boitier Connecté étant en passerelle par défaut des postes de travail, le flux est
automatiquement filtré (mode transparent).
Lorsqu’un utilisateur tente

d’accéder à un de ces sites,
celui-ci est informé que le site
n’est pas autorisé en
consultation par
l’administrateur:
Les politiques de filtrage pourront être définies par réseaux IP, en mode transparent ou
par groupe d'annuaire LDAP.

Page 24 sur 43
4.2 L’anti-phishing
Le proxy embarqué dans les Boitiers Connectés protège les utilisateurs contre les
tentatives d’hameçonnage (usurpation d’identité) grâce à un filtrage permanent des
données en provenance du web.
Les ordinateurs et les données du réseau sont protégés contre les logiciels malveillants
présents sur internet. Le système de protection contre les Cyber menaces identifie et
neutralise les virus informatiques contenu dans les pages web par élimination des
tentatives de phishing, des malwares et des botnets.
4.3 Filtrage protocolaire

Les Boitiers Connectés incluent un firewall applicatif permettant d’interdire certains
protocoles quels que soient les ports utilisés. En configuration « usine », le firewall applicatif
bloque une grande partie des protocoles, les « peer to peer », les protocoles utilisés par les
jeux en ligne, une grande majorité de trojan et chevaux de Troie.
A ce jour, ce firewall reconnaît plus de 100 protocoles, répartis en 4 grandes familles :
- les protocoles de téléchargement
- les protocoles de messageries instantanées
- les jeux en ligne
- les logiciels de prise en main à distance
L’activation du blocage de ces protocoles est disponible depuis le centre support SAYSE.
Ce service peut être activé ou non, pour tout ou partie des Boitiers Connectés d’un
Réseau Privé Sécurisé SAYSE.
5. Caractéristiques des Concentrateurs RPS – Réseau Privé Sécurisé
Placés en amont des serveurs d'applications et de données, les Concentrateurs IP SAYSE

sont les éléments clés de l'architecture. Ils peuvent être installés sous forme de machine
physique rackable (modèle S1000) ou sous forme de machine virtuelle de type VmWare
ou HyperV sur des serveurs classiques.
Cette architecture repose sur la "connaissance", par les Concentrateurs IP, des Boitiers
Connectés chiffrants "autorisées" à se connecter. Ce système empêche toute connexion,
chiffrée ou non, non issue d'un Boitier Connecté -chiffrant connue.

Page 25 sur 43
5.1 La Gestion de la redondance entre les Concentrateurs IP
Les Concentrateurs IP sont gérés par l'administrateur au même titre que les routeurs-
chiffrants SAYSE, c'est à dire via l’Application Web. Ils sont installés en frontal des serveurs
partagés sur le réseau. Le nombre de Concentrateurs IP accessibles est illimité. L'accès
aux concentrateurs peut être spécifique à chaque Boitier Connecté
Ils peuvent être installés en mode actif/passif ou actif/actif selon les besoins de
l’administrateur et les spécificités du réseau.
Afin d'obtenir une haute disponibilité des Concentrateurs IP, un système de redondance
(Fail over) géré par DNS est en place. Lors du lancement d’un tunnel par un Boitier
Connecté, une requête DNS est exécutée. Le serveur DNS est géré par l'administrateur, il
permet d’indiquer au routeur-chiffrant le serveur capable de recevoir sa connexion.
Ce système permet de gérer, en cas de besoin :

- le load-balancing des Concentrateurs IP afin de garantir une montée en charge
importante et ainsi ne pas perdre en qualité de service,
- le « round robin » afin de répartir les connexions sur plusieurs Concentrateurs IP.
5.2 Gestion de la redondance entre Centres de Données

L'administrateur a la possibilité de fixer le taux de répartition entre plusieurs Concentrateurs
IP et/ou Centres de Données. De plus, pour permettre une sureté de fonctionnement et
une continuité de service maximum, le système est conçu pour gérer le lancement de
tunnels vers plusieurs Centres de Données.
En cas de défaillance d'un Concentrateurs IP ou d'un Centre de Données, les Boitiers
Connectés basculent leurs connexions VPN vers des concentrateurs ou Centres de
Données de secours, sans aucune intervention.
5.3 Le système de monitoring

L'administrateur dispose d'un système de monitoring intégré à l’Application Web lui
permettant de surveiller l’ensemble de ses Concentrateurs IP.
5.4 Les sauvegardes

Les bases de données des Concentrateurs IP sont alimentées par l’Application Web. Il n'est
donc pas nécessaire de les sauvegarder, seules celles de l’Application Web le sont.
Toutefois, une réplication instantanée peut être activée, les données sont alors
sauvegardées en permanence.
5.5 Système de NAT « 1 pour 1 »

L'administrateur peut mettre en place, en relation avec les administrateurs du/des
Centre(s) de Données, un système de NAT « 1 pour 1 ». Ce système permet la traçabilité
des connexions sur les applicatifs. Cette solution permet d’identifier le réseau de

Page 26 sur 43
provenance lorsqu’une connexion s’établie avec un service hébergé. Pour cela, SAYSE
affecte une adresse IP virtuelle à chaque tunnel en direction du service désiré.
Grâce à ce système, l’administrateur est capable de tracer et d’identifier chaque réseau
qui vient se connecter à une application hébergée.
6. Administration des Boitiers Connectés

L’accès à l’administration des Boitiers Connectés (IHM embarquée) est protégé par
authentification.
Cet accès permet la configuration réseau du Boitier Connecté telle que l’adressage IP et
les DNS.
Toutes les configurations sont automatiquement sauvegarder sur l’Application Web dès
que le Boitier Connecté est connecté au centre de supervision.
6.1 Le serveur HTTPS

Le Boitier Connecté héberge en son sein un site web permettant la mise en place et la
consultation de sa propre configuration. Pour cela, et pour des raisons de confidentialité
le serveur web utilise la « surcouche » SSL (Secure socket Layer) pour sécuriser ses accès.
Afin d’éviter tout conflit, l’interface de configuration du Boitier Connecté n’autorise
qu’une seule session à la fois.
6.2 Les certificats

Afin de se connecter à L’Application Web avec le protocole HTTPS, à chaque démarrage,
le Boitier Connecté génère un certificat servant au chiffrement des données.
6.3 La clef d'activation

Pour éviter les connexions frauduleuses et la modification des configurations d’un Boitier
Connecté à l’insu de l’installateur, SAYSE protège l’interface de configuration par un
compte installateur. Ce compte n’est disponible qu’après la saisie d’une clef d’activation
qui ne peut être fournie que par le support SAYSE, cette clef est générée par SAYSE, elle
ne peut être utilisée que sur le Boitier Connecté pour laquelle elle a été générée. La clef a
une date de validité qui la rend inutilisable une fois que la date est passée.
Une fois la clef saisie et validée, le compte installateur est disponible pour une durée
limitée, après quoi le compte installateur est automatiquement désactivé, seul le support
SAYSE est en mesure de fournir une nouvelle clef d’activation.

Page 27 sur 43
6.4 Le compte consultant
Le compte « consultant » permet d’accéder à la configuration embarquée, les
services activés et les télétravailleurs en cours de connexion. Il ne permet en aucun cas la
modification des informations contenues dans le Boitier Connecté
6.5 Le compte installateur

Le compte « installateur » comprend toutes les informations du compte
« consultant », ainsi que la possibilité de configurer et administrer la configuration réseau
du Boitier Connecté

Page 28 sur 43
7. Administration centralisée
Console de supervision, d’administration et de monitoring "temps réel" de l’ensemble des

composantes du réseau, L’Application Web est le centre de pilotage du déploiement et
l'interface de monitoring du réseau.

Page 29 sur 43
Les composantes du Réseau Privé Sécurisé SAYSE sont :
- les Concentrateurs IP
- les Boitiers Connectés (SBX), -
- l’Application Web
- les clients soft destinés aux différents types de terminaux distants,
- les "Apps" IOS et Android pour les Smartphones et les tablettes nomades.
Ils peuvent être sous forme d'appliance physique ou de machine virtuel (VM) s’appuyant
sur les systèmes VmWare ou HyperV sur serveur physique classique.
Proposant une interface graphique et une ergonomie intuitive, L’Application Web est un
outil puissant, précis et efficace répondant aux exigences d'un administrateur désireux de
maitriser toutes les composantes de son réseau, et permettant une gestion centralisée des
règles de sécurité et de routage de plusieurs milliers de sites.
L’Application Web donne accès au paramétrage des Boitiers Connectés,

l’activation/désactivation des services, l’état en temps réel des Boitiers Connectés et des
services, la création et l’administration de réglages spécifiques, etc...
Les données propres à chacun d’eux sont accessibles et modifiables :
- les données "administratives" issues de l'annuaire,

- les données relatives à la "vie technique" des Boitiers Connectés
- les données "temps réel" relatives au fonctionnement physique des Boitiers
Connectés
Le système conserve en base de données le paramétrage de chaque Boitier Connecté et

centralise toutes les alertes et toutes le actions effectuées : ouvertures des ports, mise en
place de nouveaux tunnels VPN, connexions inter-sites, connexions aux SAYSE VpnServer.
Les paramétrages réseaux, règles de FireWall, et plus généralement toutes les actions
possibles depuis l’Application Web peuvent être appliqués à l'ensemble du Parc, à un
Groupe ou à un Boitier Connecté
Par mesure de sécurité, les accès à l’Application Web en https, sont effectués via le
réseau privé et le Boitier Connecté appartenant au Parc concerné.
7.1 Supervision en temps réel de l'ensemble du parc.

L’outil de supervision permet une vue exhaustive du Parc. Les détails du paramétrage de
chaque Boitier Connecté présente sur chaque site sont disponibles en un clic.

Page 30 sur 43
Toutes les Boitiers Connectés, et donc tous les sites du réseau sont symbolisés sur une carte
interactive. La symbolisation reflète les informations concernant le statut de chaque
Boitier Connecté. Ces informations sont également disponibles à partir de la liste des
Boitiers Connectés.
L’Application Web fourni synthétiquement les informations suivantes :
- données administratives,
- Informations sur les Boitiers Connectés: nom ou n° de série, statut (connectée ou non
au Concentrateur IP), date de connexion du site au réseau, etc…
- Liste des services en fonctionnement et ceux qui sont arrêtés.
- la version du firmware,
- modèle de chaque Boitier Connecté
Aperçu géographique
Après identification, un aperçu géographique permet une vue d’ensemble du réseau.
Chaque Boitier Connecté est symbolisée par un pointeur.

Page 31 sur 43
Visualisation en temps réel de l’état de chaque Boitier Connecté
Ce menu permet de visualiser les informations essentielles de chaque Boitier Connecté

telles que le nom du client le numéro de série, son état ainsi que son modèle, sa date
d’installation et l’accès à différents menus du De L’Application Web.
Visualisation de l’état de chaque VPN vers les services « métier ».

Page 32 sur 43
Visualisation de l’état des connexions « nomade » » (télétravail / applications
smartphones)

Page 33 sur 43
Mise à disposition d'un outil de diagnostic des différents services sur chaque Boitier
Connecté
Visualisation des bandes passantes de chaque Boitier Connecté

Page 34 sur 43
Statistiques de filtrage Web par Boitier Connecté
Ce menu permet de
visualiser la répartition
des catégories de sites
bloquées sur une
période définie

Page 35 sur 43
Permet de visualiser le
total des URL bloquées
par jour
Permet de visualiser les

URL bloquées par jour
et par catégorie

Page 36 sur 43
Statistiques anti-virus d’emails par Boitier Connecté
Visualiser la répartition
des catégories
bloquées sur une
période définie
Total des virus bloqués

par jour
Visualisation de l'historique des connexions/déconnexions des liens métiers et

télétravailleurs.

Page 37 sur 43
7.2 Analyse du trafic réseau avec Netflow.

Page 38 sur 43
7.3 Informations clients
visualisation complète des données administratives (adresses, contacts, dates

d’abonnement), des données techniques, de l'historique complet des tickets d'appel vers
le support
7.4 Système de macro et micro gestion des Boitiers Connectés

L’Application Web permet de faire une même action sur une ou plusieurs Boitiers
Connectés en quelques minutes. Le taux de réactivité est donc maximal pour la gestion
d’un parc de boitiers. Par exemple, l’ajout ou la suppression d’un accès à un
Concentrateur IP pour l’ensemble des sites clients. Cette fonctionnalité permet de
déployer, en 1 clic, l’accès à un nouveau e-service pour les sites du réseau concerné.
7.5 Répudiation Boitier Connecté

En cas de fonctionnement anormal d’un Boitier Connecté, mais aussi de vol ou de
destruction, l'administrateur a la possibilité de répudier celle-ci et de désactiver toute
utilisation et toutes connexions.
7.6 Gestion de privilèges sur la console administration.

Un compte peut administrer ou visualiser tout ou partie du réseau selon ses droits. La
hiérarchie des comptes est construite en arborescence. Un compte donné "voit" les sites
qu'il administre et ceux des comptes inférieurs de sa branche, mais ne "voit" pas les sites
situés à son niveau et au-dessus (logique de père / fils).

Page 39 sur 43
Les données propres à chacune d’elles sont accessibles et modifiables :
• Gestion des boitiers, d'un ensemble de Boitiers,
• Comptes administrateurs, comptes « consultants » en lecture seule, ...
8. Processus de commande et d’expédition
A réception d’un bon de commande, nous procédons à l’expédition du modèle désiré à l’adresse
demandée.
Le Boitier Connecté est fourni avec tous les câbles nécessaires à son bon fonctionnement :
- Câble électrique avec alimentation
- Câble réseau
- Manuel d’installation et d’utilisation en français (mis à jour le cas échéant)
- 2 exemplaires du bon de livraison
- Clé d’activation du mode « installateur »
L’accès au support pour l’installation, le paramétrage et la maintenance se fait par le biais du

numéro ci-après :
0 820 432 000
9. Contrats de maintenance
SAYSE opère directement la maintenance pour le compte de ses clients. Toutes mises à
jour, correctifs ou patch de sécurité, seront automatiquement proposés pour être diffusé
vers les Boitiers Connectés du parc concerné.
Toutes les documentations techniques seront mises à disposition des intervenants du
projet.
L’accès au support technique de SAYSE et à la base de connaissances techniques est
inclus dans la solution SD-WAN.
La solution SD-WAN de SAYSE est "all inclusive" et ne nécessitent pas de licences
d’utilisation.
10. Maintenance matérielle
10.1 Echange standard d’un Boitier Connecté

En cas de dysfonctionnement d’un Boitier Connecté, et suivant le processus précisé dans
le cahier des charges, le remplacement du matériel est opéré à J+1 ouvré en France
métropolitaine si le SAV est déclenché avant 15h le jour J*.

Page 40 sur 43
L'accès à ce service est possible du lundi au vendredi de 9h00 à 18H00 au centre support
de SAYSE.
Lorsqu'un incident est ouvert, un numéro d'intervention est attribué (numéro de ticket
d’incident) permettant le suivi du dossier.
Le nouveau Boitier Connecté peut être livré préconfigurée avec les paramètres identiques
à l’ancien boitier. En effet, dès que la connexion entre le Boitier Connecté et l’Application
Web est établie, la configuration est automatiquement sauvegardée sur l’Application
Web afin d’effectuer un changement d’un Boitier Connecté dans les meilleurs conditions.

Page 41 sur 43
III. SERVICES SUPPLEMENTAIRES
1. Antivirus de flux web
L’antivirus de flux web permet de protéger les utilisateurs lors de leur navigation sur
Internet.
C’est un anti-virus rapide qui permet de scanner tous types de flux tels que les webmail et
streaming audio / vidéo.
Ce système permet de garder le contrôle du flux http, sans impacter la vitesse de
consultation des pages internet.
Ce service peut être activé ou non, pour tout ou partie des Boitier Connecté du réseau
concerné.
2. Anti-virus et Anti-spam de mails
Le service "Antivirus / Antispam" protège les emails sans intervention, ni installation de

logiciel sur les postes de travail. Le Boitier Connecté intègre un système qui permet la
détection et le tri des emails en temps réel.
Le moteur de filtrage détecte et classe les courriers commerciaux, newsletters, pubs.
Les emails sont classés selon leur catégorie : spam, virus, publicité.
Le service s’active en quelques clics, sans interruption de service de messagerie, et ne
demande aucune modification d’infrastructure.
Les différentes catégories :
Anti-virus :
Le système d’Anti-virus d’email permet de signaler les emails contenant des virus
potentiels.
Il protège ainsi les postes de travail contre l’ensemble des attaques virales.
Anti-spam:
L’anti-spam d’email "tague" les emails considérés comme indésirables, les isole et les
redirige dans un dossier spécifique "***Spam***".
Anti-pub:

Page 42 sur 43
L’anti-pub d’email "tague" les emails considérés comme des publicités, les isole et les
redirige dans un dossier spécifique "***Pub***".
Ce service peut être activé ou non, pour tout ou partie des Boitiers Connectés du réseau.
3. Option modem 3/4G
Le Boitier Connecté peut intégrer un module (modem) 3/4g et permettre une connexion
de secours en cas de coupure de toute liaison filaire (xDSL, FO, BLR, ...).
La solution 4G des Boitiers Connectés permet également de répondre à une urgence de
connexion à internet en moins de 24 heures, partout en France.
SAYSE, en partenariat avec les opérateurs mobiles du marché, fournis et intègre les SIM
nécessaires à la connexion dans les boitiers.
Le type de connexion proposé est de type « M2M » permettant tout type de connexions.
Ce service est proposé en option. Le coût de l’option et de la consommation réelle sont
facturées mensuellement. Les tarifs sont disponibles dans le catalogue de services SAYSE.
4. Application Iphone/Ipad et Androïd

SAYSE a fait développé une application iphone/ipad et Androïd permettant de créer un
VPN vers les Boitiers Connectés afin d’accéder aux différentes ressources du réseau,
depuis un Smartphone ou une tablette.
Une fois téléchargée, celle-ci paramètre le device pour initier une connexion VPN et
permet aux utilisateurs d’accéder à une liste d’adresses définies, internes ou externes,
auxquelles il peuvent se connecter en toute sécurité.

Page 43 sur 43

Document Technique SMART SD WAN by SAYSE

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Document Technique SMART SD WAN by SAYSE

Transféré par

Droits d'auteur :

Formats disponibles

DESCRIPTION TECHNIQUE

Vivez l’expérience logicielle qui optimise tous vos accès IP

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

SAYSE est le premier Opérateur SD-WAN* français

La technologie logicielle, embarquée au sein des Boîtiers Connectés et de la solution

Les Concentrateurs IP peuvent être hébergés n’importe où dans le Cloud (boîtiers

L’Application WEB permet d’assurer l’hypervision de vos établissements équipés de la

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

1. Pourquoi choisir la technologie SD-WAN

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

3. Avantages technologiques du SD-WAN by SAYSE

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

1. Concentrateur IP - Boitier S300

Format du boitier Rack 1U

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

S200 – Boitier Connecté

Format du boitier Système sans ventilateur embarqué (FanLess)

Dimension physique Dimensions (LxHxP): 200 x 42 x 145 mm; Poids: 1.2KG

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Boitier Connecté – S100

Format du boitier Bureau: Système sans ventilateur embarqué (FanLess)

Dimension physique Dimensions (LxHxP): 200 x 42 x 145 mm; Poids: 1.2KG

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

SAYSE S100 – S200 – S300

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

1.1 Le Firewall IP (layer3)

1.2 Fonctionnalité de sécurité avancée

Le firewall intègre plusieurs éléments permettant de se prémunir des attaques. Le système

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

2.1 Architecture des Boitiers Connectés

2.4 La gestion multi-liens Internet

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

- Utilisation en mode : « flux répartis »

- Utilisation en mode : « liaison de secours »

2.5 Le Vlan 802.1q

2.6 La qualité de service (QOS - Quality Of Service)

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

2.7 La priorisation des flux

2.8 La répartition des charges ou « load balancing » de liaisons

2.9 Routage statique

2.10 Politique de routage (ou routage avancé)

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Ainsi, il est possible de définir des objets :

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

3.1 Vpn avec IPsec

Le Boitier Connecté permet de construire plusieurs types de liaison VPN :

Les Boitiers Connectés embarquent systématiquement un client de synchronisation NTP

L’administration de ces VPN ce fait depuis la console centralisée de supervision

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

De façon standard, le système propose l’utilisation de AES256, SHA512 et DH Groupe5

On retrouve tous ces paramètres sur la console de supervision :

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Le développement de ce logiciel a été mené en suivant les recommandations de

Le VPN STS permet l’exécution d'actions spécifiques lors de la connexion et de la

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Lors de la première requête d’authentification, Le client (le Boitier Connecté) et le serveur

En résumé l’authentification se fait par un échange de clefs signées en suivant la

Ce document est la propriété exclusive de SAYSE - Aucune reproduction n’est autorisée

Les méthodes d’authentification et de chiffrement font que la clef de chiffrement est

3.5 les VPN dédiés aux accès distants (télétravail)