Clients RPV : une installation complexe

Pour accéder à distance au système d’information de leur entreprise, les personnels itinérants empruntent des tunnels cryptés, via Internet, qui constituent les réseaux privés virtuels (RPV). Le standard IPSec (IP Security), élaboré par la communauté Internet, a contribué à relancer l’intérêt pour ces RPV mobiles. La société Zodiac, qui dispose déjà d’un réseau international à relais de trame, teste depuis trois mois une solution mettant en ?”uvre des coupe-feu de Check Point Software et des clients SecuRemote installés sur près d’une trentaine de PC mobiles. “Notre réseau couvre très bien les États-Unis et l’Europe, mais l’Afrique partiellement et l’Asie pas du tout. Dans ces pays, nous privilégions le RPV IP pour nos commerciaux”, explique Antonio Fernandez, responsable des réseaux.

Le poids de l’existant

L’architecte réseau qui installe un RPV pour utilisateurs mobiles dispose de plusieurs possibilités. Le routeur, utilisé depuis longtemps pour la connexion à distance, est peut-être la pièce maîtresse du RPV, tout comme le coupe-feu que les constructeurs ont enrichi de fonctions de tunnelling. Les entreprises comptant de nombreux itinérants utilisent aussi des équipements spécialisés, tels les concentrateurs, qui gèrent jusqu’à 40 000 sessions simultanées. Face à ces offres, quels sont les bons critères de sélection ? Force est de constater qu’une infrastructure de RPV est généralement conditionnée par l’existant. Ainsi, DoubleClick, société spécialisée dans la publicité sur Internet, est restée dans une logique de routeurs, comme l’explique Gad Stanislas, directeur des opérations internationales : “Nous avions commencé à relier nos sites à travers le monde par RPV avec des routeurs Cisco, nous avons donc continué avec le client RPV Cisco pour les utilisateurs mobiles. C’est l’option la moins onéreuse, d’autant que nous ne payons pas de licences supplémentaires pour les logiciels clients.”Chez Freudenberg SAS, fabricant de pièces à base de caoutchouc élastomère pour automobile, la solution retenue repose sur un boîtier Nokia IP Series et sur le logiciel Check Point VPN-1. “Le coupe-feu protégeant notre accès à Internet est la porte qui sert aussi à établir le tunnel IP avec les utilisateurs nomades. C’était la solution la plus logique, sans compter que le matériel qui sert de coupe-feu a aussi une fonction de routage”, commente Jean-François Quinet, directeur des systèmes d’information. Intérêt de cette architecture ? Le déchiffrage étant fait au niveau du coupe-feu, celui-ci peut contrôler la totalité du trafic passant par Internet, y compris celui généré par les utilisateurs itinérants. Mais il arrive aussi que l’accès au système d’information par les mobiles nécessite de modifier radicalement l’infrastructure existante. Ainsi, chez WFinance, il y avait incompatibilité entre les différentes pièces du puzzle. “Au départ, nous avions créé des RPV pour nos agences avec des routeurs. Mais le Cisco 2610, qui était initialement au siège, n’acceptait pas de clients RPV mobiles. Nous l’avons donc remplacé par la Firebox II que nous préconisait Easynet, mais elle n’était plus compatible avec les routeurs des agences, que nous avons donc dû changer à leur tour !”, rapporte Hervé Girod, responsable du réseau.

Le défi de la simplicité

L’obstacle principal pour l’installation d’un RPV pour les itinérants, n’est donc plus le niveau de sécurité assuré, mais la complexité de l’architecture à installer. À plus forte raison quand l’objectif est de leur donner les mêmes facilités d’accès que s’ils étaient à leur bureau. C’est le défi relevé par Stéphane David, responsable télécoms et réseaux du groupe de réassurance Scor : “Nous voulions une seule méthode d’authentification et une seule politique de sécurité pour les utilisateurs mobiles et fixes. Or comme il n’y avait pas de solution toute faite, nous avons dû monter les briques nous-mêmes.” L’infrastructure a nécessité un gros travail de conception et d’intégration mené avec l’aide de la SSII Atos. Équipés d’un logiciel Secure Client de Check Point Software et d’une clé électronique d’authentification lue sur le port USB de leur PC, les 250 mobiles se déplacent sur tout le globe. Ils établissent des tunnels chiffrés avec un boîtier Nokia IP 530 équipé du logiciel Check Point VPN-1. Côté sécurité, la pierre angulaire du dispositif est le serveur d’authentification Radius, compatible avec les équipements du réseau et la base de données SAM (Security Accounts Manager) qui gère le domaine de Scor.Outre la sécurité, l’infrastructure de RPV pour utilisateurs mobiles doit assurer la continuité du fonctionnement. Les équipements d’accès sont doublés et des mécanismes de basculement automatique installés. Mais lors du basculement entre deux équipements les produits n’assurent pas tous le rétablissement des sessions en cours.Autre opération complexe : l’installation et le paramétrage des logiciels clients sur les PC nomades. Le mieux est d’adopter une approche “industrielle”, en standardisant les postes de travail aux plans matériel et logiciel, comme l’ont fait WFinance et Scor. De même, gérer les comptes des utilisateurs requiert une organisation solide. C’est pourquoi Hervé Girod a confié toutes les questions de sécurité à Easynet, son FAI. “N’étant pas administrateur de sécurité, nous avons tout délégué à un opérateur unique”, explique-t-il. Lors de la création d’un nouveau compte utilisateur, les informations sur le profil d’accès sont communiquées à Easynet qui génère, avec la Firebox II, la clé personnelle qui sera installée par le service informatique de WFinance sur le PC mobile.

Les RPV nécessitent d’installer, sur le PC nomade, un logiciel client et de le paramétrer. Cette opération ne va pas sans un coût lié au déplacement d’un spécialiste ou à l’immobilisation de l’appareil si son détenteur doit le retourner vers le service informatique.

Pour des raisons de sécurité, il est déconseillé de faire une installation à distance en prenant la main sur le PC avec un logiciel de type PC Anywhere.

En cas de perte de la clé, quelle qu’en soit la raison, il faut prévoir une procédure sécurisée pour sa réinstallation, soit par retour de l’appareil au service informatique, soit à distance.

IPSec définit des mécanismes de chiffrement selon un protocole asymétrique.

Le mode d’encapsulation d’IPSec assure la confidentialité et l’authenticité des informations par des tunnels qui masquent la topologie du réseau de l’entreprise.

Les clients IPSec s’installent sur des PC classiques et ne sont pas gourmands en ressources.

Le Single Sign-On permet de se déclarer à toutes les applications.

Les architectures sont d’autant plus lourdes à étudier que les fournisseurs d’équipements ne s’engagent pas sur les débits des matériels, ce qui nécessite de monter une plate-forme d’essai et de procéder à des tests de charge.

Le nombre de sessions simultanées que l’équipement est capable de maintenir n’est pas le seul critère à prendre en compte pour effectuer un choix, car c’est à l’établissement du RPV que le processus est le plus gourmand.

Dans les pays où les liaisons internationales ne sont pas de bonne qualité, il existe toujours la possibilité de passer par un fournisseur d’accès local à travers une simple ligne téléphonique.

Que ce soit à travers une ligne spécialisée ou une fibre optique, le débit de la liaison entre l’entreprise et Internet est adaptable en fonction du nombre d’utilisateurs nomades et d’accès simultanés.

L’administration des RPV nomades est légère et ne nécessite pas un poste à plein temps. Elle peut être confiée aux équipes réseaux pour la surveillance et la maintenance ou à l’équipe qui gère le domaine NT.

Les logiciels des équipementiers aident le travail d’administration.

Les serveurs Tacacs ou Radius allègent l’authentification.

L’administration peut être déléguée au FAI.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Henri Pradenc