Académique Documents
Professionnel Documents
Culture Documents
SMART SD-WAN
Quand le logiciel devient l’interface de tous les accès IP de votre Entreprise, vous
bénéficiez d’une plus grande flexibilité de gestion, d’une liberté totale dans le choix des
opérateurs, d’un accès direct à tous les paramétrages et d’un déploiement en quelques
clics. Vous êtes au coeur de la 3ème génération de réseau : le SD-WAN.
Quasiment toutes les entreprises en France et dans le monde qui ont plus de 1
établissement utilisent une forme de VPN - Virtual Private Network (VPN Ipsec, VPN SSL,
MPLS, ...) pour communiquer entre ses différents sites.
L’avènement des solutions Cloud a renforcé ces dispositifs pour que tous les
collaborateurs d’une entreprise, où qu’ils se trouvent, à n’importe quel moment et depuis
n’importe quel appareil, puissent accéder au Système d’Information de leur entreprise ou
bien à quelques applications.
L’accès doit être rapide, sécurisé et disponible tout le temps. Cela implique d’utiliser
les meilleures technologies réseau dans chaque localisation (meilleur rapport
qualité/prix/débit/technologie), de sécuriser les connexions pour garantir que seuls les
utilisateurs habilités puissent accéder aux données de l’entreprise, de garantir à la fois
la disponibilité de l’accès en lui même (cela implique de travailler avec au moins deux
opérateurs télécoms différents pour chaque établissement et/ou de combiner des
technologies filaires et sans fil) et garantir le débit nécessaire à certaines applications plus
critiques que d’autres (souvent dénommée Qualité de service ou classes de service)
comme certaines applications « métier », la téléphonie IP, ...
Ces enjeux outrepassent les solutions des fournisseurs d’accès à Internet locaux, mais
également des opérateurs télécoms historiques car cela impliquerait qu’ils se partagent
leur réseau et leur savoir-faire comme s’ils ne faisaient plus qu’un.
Dans ce contexte, une solution SD-WAN opérée vient se positionner au dessus des
infrastructures des opérateurs télécoms afin de les piloter. Dans ce sens, la solution
logicielle transcende l’infrastructure physique pour devenir une solution universelle au
profit de toutes les entreprises.
5. Bénéfices Clients
8. Délais de livraison
S300 - CONCENTRATEUR IP
7 ports Gigalan
1. Le Firewall
La deuxième configuration du firewall interdit tout transfert de connexion entre les VPN
établis sur Le Boitier Connecté. SAYSE a mis en place les mesures nécessaires afin de
rendre le Boitier Connecté en mode discrète "vue" d’Internet. Cela permet de limiter les
réponses aux logiciels de "scan de ports" par exemple.
BOITIERS CONNECTES
2.2 NAT/PAT
Afin de permettre au réseau local utilisant le Boitier Connecté chiffrant SAYSE de mettre à
disposition d’Internet son serveur Web hébergé, ou son serveur de mail, Le Boitier
Connecté, sur demande du client, peut autoriser des connexions. Ces connexions
peuvent être limitées à une ou plusieurs adresses IP sources et à destination d’une adresse
IP du réseau local.
2.3 DMZ
Le Boitier Connecté peut également rendre disponible sur Internet un ou plusieurs
équipements d'un réseau local via une DMZ.
Les configurations du firewall sont opérées depuis le centre de supervision et/ou sur
demande identifiée auprès du support SAYSE.
La solution de QoS SAYSE améliore les performances, garantit la qualité d’accès aux
ressources et assure la disponibilité des applications et des services "temps réel".
VOIP
Business
applica,on
Cette technique consiste à prioriser l’accès aux applications et à garantir les conditions
optimales de travail.
Il s’agit de gérer un type de trafic donné dans les conditions choisies (disponibilité, débit,
délai de transmission, etc...).
2.11 Templates
Le système permet de gérer les règles de flux sous forme de Templates définis
spécifiquement pour chaque client.
Il est possible de laisser transiter tous les flux ou non dans chaque tunnel.
La solution SD-WAN permet d’appliquer des règles de sécurité dans les tunnels de
chiffrement.
L’application de la Qos donne la possibilité de pouvoir prioriser les flux VPN par rapport à
tout autre flux.
La technologie IPsec embarquée dans les Boitiers Connectés s’appuie sur des algorithmes
de sécurité pour protéger les paquets IP, IPsec les chiffre et/ou les authentifie. Les services
de sécurité offerts sont : l’intégrité en mode non connecté, l’authentification de l’origine
des données, la protection contre le rejeu et la confidentialité (confidentialité des
données et protection partielle contre l’analyse du trafic). Ces services sont fournis au
niveau de la couche IP, offrant donc une protection pour IP et tous les protocoles de
niveau supérieur. Par conséquent, une application Internet peut tirer profit d'IPsec sans
pour autant avoir à modifier sa configuration. Une utilisation à bon escient d'IPsec en fait
un outil efficace de sécurisation du trafic réseau.
Le Boitier Connecté utilise aussi une technologie VPN propriétaire baptisé STS (SAYSE
Tunneling System).
L’avantage principal, en terme fonctionnel, de ce VPN, est qu’il chiffre tous les types de
flux et pas seulement les flux web. Cela le rend parfaitement adapté à tous les services
proposés à ce jour et aux futures applications.
Lorsqu'une communication chiffrée est établie entre deux sites reliés par un réseau non sûr
(internet), il est possible qu'un intrus intercepte des messages, et puisse les renvoyer. Cette
Le VPN SAYSE STS interdit les multi-connexions, c'est-à-dire que si deux tunnels veulent
s’authentifier pour un même compte, les nouvelles connexions sont rejetées tant que la
session précédente ne s’est pas terminée.
Le VPN SAYSE STS se ferme après quelques secondes de coupure réseau. Ceci afin
d’éviter qu’un pirate ne puisse couper la connexion réseau et continuer de recevoir des
données du client ou du serveur et pouvoir tenter de déchiffrer les flux à posteriori.
L'authentification
L’établissement de la connexion entre le client (le Boitier Connecté) et le serveur se fait
par l’échange de clefs signées.
3.4 Le chiffrement
La méthode cryptographique utilisée est une méthode asymétrique aussi appelée
« cryptographie à clef publique ». Lors de la production d’un Boitier Connecté, une clef
privée de 2048 bits est générée, une clef publique en est déduite, celle-ci est transmise au
centre de supervision (L’Application Web) qui la stocke dans un coffre-fort.
Une fois l’authentification réussie, la connexion s’établit. Elle est chiffrée en AES-CBC-256
avec un contrôle d’intégrité en SHA-256. L’anti « rejeu » et le contrôle d’intégrité des
données permettent de se protéger de l’attaque de type « man-in-the-middle » qui est
très fréquemment utilisée.
Ce service peut être activé ou non, pour tout ou partie des Boitiers Connectés à la
convenance de l’administrateur du Client.
Grâce au filtrage d’URL, le client définit la politique d’accès à Internet qui correspond à
ses besoins, en toute simplicité.
Avec cette solution, tous les sites improductifs et illicites peuvent être bloqués.
Grâce à cette fonctionnalité de filtrage d’URL, le client peut bloquer les sites
généralement jugés indésirables, par exemple :
-adulte,
-sites racistes, antisémites ou incitant à la haine,
-logiciels "crackés",
-jeux en ligne,
-etc,...
Aucune configuration des postes (réseau ou navigateur web) n’est requise. En effet, le
Boitier Connecté étant en passerelle par défaut des postes de travail, le flux est
automatiquement filtré (mode transparent).
Les politiques de filtrage pourront être définies par réseaux IP, en mode transparent ou
par groupe d'annuaire LDAP.
L’activation du blocage de ces protocoles est disponible depuis le centre support SAYSE.
Ce service peut être activé ou non, pour tout ou partie des Boitiers Connectés d’un
Réseau Privé Sécurisé SAYSE.
Ils peuvent être installés en mode actif/passif ou actif/actif selon les besoins de
l’administrateur et les spécificités du réseau.
Afin d'obtenir une haute disponibilité des Concentrateurs IP, un système de redondance
(Fail over) géré par DNS est en place. Lors du lancement d’un tunnel par un Boitier
Connecté, une requête DNS est exécutée. Le serveur DNS est géré par l'administrateur, il
permet d’indiquer au routeur-chiffrant le serveur capable de recevoir sa connexion.
Ils peuvent être sous forme d'appliance physique ou de machine virtuel (VM) s’appuyant
sur les systèmes VmWare ou HyperV sur serveur physique classique.
Proposant une interface graphique et une ergonomie intuitive, L’Application Web est un
outil puissant, précis et efficace répondant aux exigences d'un administrateur désireux de
maitriser toutes les composantes de son réseau, et permettant une gestion centralisée des
règles de sécurité et de routage de plusieurs milliers de sites.
Les paramétrages réseaux, règles de FireWall, et plus généralement toutes les actions
possibles depuis l’Application Web peuvent être appliqués à l'ensemble du Parc, à un
Groupe ou à un Boitier Connecté
Par mesure de sécurité, les accès à l’Application Web en https, sont effectués via le
réseau privé et le Boitier Connecté appartenant au Parc concerné.
- données administratives,
- Informations sur les Boitiers Connectés: nom ou n° de série, statut (connectée ou non
au Concentrateur IP), date de connexion du site au réseau, etc…
- Liste des services en fonctionnement et ceux qui sont arrêtés.
- la version du firmware,
- modèle de chaque Boitier Connecté
Aperçu géographique
Après identification, un aperçu géographique permet une vue d’ensemble du réseau.
Chaque Boitier Connecté est symbolisée par un pointeur.
Ce menu permet de
visualiser la répartition
des catégories de sites
bloquées sur une
période définie
A réception d’un bon de commande, nous procédons à l’expédition du modèle désiré à l’adresse
demandée.
Le Boitier Connecté est fourni avec tous les câbles nécessaires à son bon fonctionnement :
- Câble électrique avec alimentation
- Câble réseau
- Manuel d’installation et d’utilisation en français (mis à jour le cas échéant)
- 2 exemplaires du bon de livraison
- Clé d’activation du mode « installateur »
9. Contrats de maintenance
SAYSE opère directement la maintenance pour le compte de ses clients. Toutes mises à
jour, correctifs ou patch de sécurité, seront automatiquement proposés pour être diffusé
vers les Boitiers Connectés du parc concerné.
Toutes les documentations techniques seront mises à disposition des intervenants du
projet.
L’accès au support technique de SAYSE et à la base de connaissances techniques est
inclus dans la solution SD-WAN.
La solution SD-WAN de SAYSE est "all inclusive" et ne nécessitent pas de licences
d’utilisation.
Le nouveau Boitier Connecté peut être livré préconfigurée avec les paramètres identiques
à l’ancien boitier. En effet, dès que la connexion entre le Boitier Connecté et l’Application
Web est établie, la configuration est automatiquement sauvegardée sur l’Application
Web afin d’effectuer un changement d’un Boitier Connecté dans les meilleurs conditions.
L’antivirus de flux web permet de protéger les utilisateurs lors de leur navigation sur
Internet.
C’est un anti-virus rapide qui permet de scanner tous types de flux tels que les webmail et
streaming audio / vidéo.
Ce système permet de garder le contrôle du flux http, sans impacter la vitesse de
consultation des pages internet.
Ce service peut être activé ou non, pour tout ou partie des Boitier Connecté du réseau
concerné.
Anti-virus :
Le système d’Anti-virus d’email permet de signaler les emails contenant des virus
potentiels.
Il protège ainsi les postes de travail contre l’ensemble des attaques virales.
Anti-spam:
L’anti-spam d’email "tague" les emails considérés comme indésirables, les isole et les
redirige dans un dossier spécifique "***Spam***".
Anti-pub:
Ce service peut être activé ou non, pour tout ou partie des Boitiers Connectés du réseau.
Le Boitier Connecté peut intégrer un module (modem) 3/4g et permettre une connexion
de secours en cas de coupure de toute liaison filaire (xDSL, FO, BLR, ...).
La solution 4G des Boitiers Connectés permet également de répondre à une urgence de
connexion à internet en moins de 24 heures, partout en France.
SAYSE, en partenariat avec les opérateurs mobiles du marché, fournis et intègre les SIM
nécessaires à la connexion dans les boitiers.
Le type de connexion proposé est de type « M2M » permettant tout type de connexions.
Ce service est proposé en option. Le coût de l’option et de la consommation réelle sont
facturées mensuellement. Les tarifs sont disponibles dans le catalogue de services SAYSE.
Une fois téléchargée, celle-ci paramètre le device pour initier une connexion VPN et
permet aux utilisateurs d’accéder à une liste d’adresses définies, internes ou externes,
auxquelles il peuvent se connecter en toute sécurité.