21 novembre 2007

Et si l'infrastructure ENT Et si l'infrastructure ENT servait à gérer le nomadisme ! servait à gérer le nomadisme !

Patrick PETITPatrick PETIT (DSI Grenoble-Universités)(DSI Grenoble-Universités)

Philippe BEUTIN Philippe BEUTIN (DSI Grenoble-Universités)(DSI Grenoble-Universités)

Jean-François SCARIOT Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes)(INRIA Grenoble - Rhône-Alpes)

Université de SavoieUniversité de SavoieGrenoble-UniversitésGrenoble-UniversitésInstitut National Polytechnique de Institut National Polytechnique de GrenobleGrenoble

Université StendhalUniversité StendhalUniversité Pierre Mendès-FranceUniversité Pierre Mendès-FranceUniversité Joseph FourierUniversité Joseph Fourier

21 novembre 2007

PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion

3JRES 2007

Architecture ENT Solutions « sans fils » Secure Remote Access Conclusion Introduction

2 projets, 2 problématiques

NomadismeOffrir l’accès au réseau et à son réseau d’entrepriseDonner un accès sécurisé à tous les servicesFiltrer et tracer les utilisateurs

Espace Numérique de TravailOffrir des applications et du contenu personnaliséUn portail uniqueAuthentification unique

4JRES 2007

Architecture ENT Solutions « sans fils » Secure Remote Access Conclusion Introduction

Nomadisme vs ENT différents mais avec des points communs

Authentifier l’utilisateurRadius LDAP, Unix...

Autorisations Par filtres réseauAffectation dynamique de vlan

SécuritéAuthentificationChiffrement des donnéesFAI traces d’utilisation

5 établissements grenobloisAnnuaire interuniversitaireFédérations (Eduroam…)

Équipes réseaux

Authentifier l’utilisateurLDAP, AD, certificat, SecurId, Radius…Authentification unique (SSO)

Autoriser l’utilisateurDroit d’accès définis dans le serveur ldap (notion de rôle)

SécuritéAuthentification Chiffrement des données selon serviceDisponibilité du service

5 établissements grenobloisAnnuaire interuniversitaireFédérations (Shibboleth, Liberty Alliance)

Équipes système ou développement

NomadismeNomadisme ENTENT

21 novembre 2007

PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion

6JRES 2007

Architecture ENT Secure Remote Access Conclusion Introduction Solutions « sans fils »

Les « portails d’accès » sans client

Sur le poste clientPas d’installation de logicielPas de configuration

Les types de portails d’accèsLes portails en passerelle du réseau local

Filtrage par couple @IP/@MACLes portails de niveau applicatif

Filtrage par @IPFiltrage par cookie de session

Certains offrent un chiffrement sur les donnéesCertains implémentent la réécriture d’urls

7JRES 2007

Architecture ENT Secure Remote Access Conclusion Introduction Solutions « sans fils »

Les portails « clients légers/lourds »

« client léger »Installation d’une partie logiciel sur le poste client

Sans droits administrateursSans redémarrage du postePeut nécessiter une couche logicielle préalable (JRE, Framework .NET)

Sun Portal SRA1, Bluecoat RA2

« client lourd » Installation d’une partie logicielle sur le poste client

Nécessite des droits administrateursRedémarrage éventuel du poste

VPN IPSec3, VPN DTLS3, VPN SSL2

Fonctionne pour : 1 : un service, 2 : certains services, 3 : tous les services

8JRES 2007

Architecture ENT Secure Remote Access Conclusion Introduction Solutions « sans fils »

Eduroam

Authentification et chiffrement sur les bornesChoix du protocole d’authentification EAP-PEAP, EAP-TTLS :

En fonction du stockage du mot de passeLe protocole TTLS n’est pas pré installé sous le gestionnaire « sans fil » des OS Microsoft installer Secure W2

Pour renforcer le mécanisme de trace Obliger le client à s’adresser à un serveur DHCP

21 novembre 2007

PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion

10JRES 2007

Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT

Espace Numérique de Travail

Fournir des services à l’utilisateur selon son profilAuthentification uniqueAutorisationsPersonnalisationHaute disponibilité

Personnaliser selon l’établissementDélégation d’administration

Architecture logicielle en placeGénérateur de portail : Portal Server (OpenPortal)Gestionnaire d’accès, d’identités, de droits : Access Manager (OpenSSO)Annuaire applicatif LDAP : Directory Server (OpenDS)

11JRES 2007

Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT

Terminateur SSL

DS

DMZ ZR

Architecture matérielle ENT

ldap

https

http

http

AM

DSAM

PS

PS

Directory ServerAccess ManagerPortal Server

12JRES 2007

Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT

Le SRA dans Sun Java SystemS

ervi

ces

inte

rméd

iaire

s (m

iddl

ewar

e)S

ervi

ces

appl

icat

ifs Intégration

Outils Collaboratifs

Sécurité et politiques

Fonctionnement

Persistance

Secure Remote Access Portal Server

Système d’exploitation

Sun Cluster

MessagingServer

Instant Messaging

Server

CalendarServer

AccessManager

WebServer

DirectoryServer

ApplicationServer

Solaris, Linux, Windows

21 novembre 2007

PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion

14JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Secure Remote Access

À quoi sert le SRA ?Accéder au web et à ses informations personnelles de façon sécuriséeTracer les requêtes web des utilisateurs

Combinaison du nomadisme et de l’ENT

Qu’est ce que le SRAUne passerelle d’accès composé

D’un module de réécriture htmlDe terminateur de tunnel entre le client et le réseau

Au choix de chiffrer ou pas les données

15JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Internet

Réseauinterne

Fonctionnement standard de SRA

Services Ouverts

Gateway SRA

Utilisateurs Services Restreints

Portal server

Serveur applicatif

Tunnel sécuriséDonnées non tunnelisées

16JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Internet

Réseauinterne

Fonctionnement étudié de SRA

Services OuvertsUtilisateurs Services Restreints

RéseauNomade

Tunnel sécuriséDonnées non tunnelisées

Gateway SRA

Serveur applicatif

Serveur web

Portal server

17JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Évaluation de la brique SRA

SRA, élément de la suite JESLa console d’Access Manager permet de définir des profils d’utilisation de la ou les SRALa console du Portal Server permet de configurer les services associés à chaque profil

Les éléments d’une passerelle SRARewriter : réécriture d’url (ex : https://gateway.grenet.fr/http://portail.grenet.fr)Netlet : port forwarding (applet pour accès tcp : ssh, imap… < VPN)Proxylet : applet proxy web

Ouvre un tunnel chiffré entre le poste client et la gatewayPré-requis sur les postes :

Java Virtual MachineNavigateurs : IE, Firefox (Problème de configuration pour les autres navigateurs)

18JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Zone Retranchée

Proxylet – Fonctionnement

DMZ Nomadisme

AccessManager

PortalServer

SRAcore

HTTPS

Localhost127.0.0.1Port 58081

Tunnel https

HTTP

Rewriter

Directory S

erver

LDAP

HTTP(S) (XML)

HTTP(S)

Web S

erver

Gatew

ay

Internet

AppletProxylet

Utilisation de la proxylet2. Authentification sur le portail3. Téléchargement d’une applet java4. Configuration du navigateur client (port 127.0.0.1)5. Ouverture d’un tunnel chiffré avec la Gateway6. Le client peut naviguer (pas de modification du flux)

12

3

5

1 1

4

HTTPS

21 novembre 2007

PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion

20JRES 2007

Architecture ENT Solutions « sans fils » Secure Remote Access Introduction Conclusion

Avantages & inconvénients

Tous systèmesPas besoin des droits administrateur sur le posteDroits définis dans l’ENTSSO, fédérations d’identitésOpen Source : OpenPortalSolution qui offre toutes les fonctionnalités attendues :

Sécurité, traces d’utilisation, tous flux http(s)Haute disponibilité

L’usage du navigateur reste inchangé contrairement à un WEB VPN classiqueRéécriture sélectiveIndépendant de l’architecture réseau

Pré requis JRENavigateur Internet Explorer, Firefox, Mozilla ou Netscape

Impose l’utilisation de Portal Server (OpenPortal)Quantité d’archivage des logs plus importante qu’un VPN IPSec ≈ à un proxy web cache

21JRES 2007

Architecture ENT Solutions « sans fils » Secure Remote Access Introduction Conclusion

Retour d’expérience

Expériences effectuéesSur la version 2005Q4Sur JES 5

ÉvolutionsArchitecture visée : haute disponibilité, intégrée à l’ENT en production en version JES5

De quoi a-t-on besoin pour faire fonctionner SRA ?2 serveurs sous Solaris (conseillé) :

Portal Server, gestionnaire d’accès [Access Manager], annuaire Ldap [Directory Server], serveur web J2EE [Web Server] Portal Server Secure Remote Access

22JRES 2007

Architecture ENT Solutions « sans fils » Secure Remote Access Introduction Conclusion

Synthèse de l’architecture

Concentrateur VPN

WWW nomadisme+

SRA+

Client VPN

WWW nomadisme+

SRA+

Client VPN

Eduroam

WPA+WPA2

ouvert

DHCP

SRA

RadiusUniversité

Université 1

RouteurInteruniversitaire

Eduroam

Concentrateur VPN

WPA+WPA2ouvert

RadiusUniversité

Université 2

wwwnomadisme

DHCP

RENATER

INTERNET

RADIUSARREDU

21 novembre 2007

Merci de votre attentionMerci de votre attention

Questions ?

24JRES 2007

Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT

Nomadisme

Reverse Proxy

Authentification

Annuaire applicatif ENTPortails

DS

DS

MMR

DMZ ZR

Architecture matérielle ENT

ldap

https

http

http

Portal Server SRA

25JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Secure Remote Access

À quoi sert le SRA ?Accès sécurisé à l’Intranet

Simplifier l’accès web aux nomadesSécuriser les accèsTracer les utilisateursInversement de son utilisation « normale »Uniquement pour des accès web

Composée de :Gateway

Accès sécurisé au serveur d’authentification

ProxyletOuvre un tunnel chiffré entre le poste client et la gatewayPré-requis sur les postes :

Java Virtual MachineNavigateurs : IE, Firefox (Problème de configuration pour les autres navigateurs)

26JRES 2007

Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access

Architecture

Web Server

Portal Server

Access Manager

Directory Server

SRA (core)

Architecture matérielle SRA

Portal Server SRA

Tunnel HTTPS

Routeur Cisco 6500