Et si l'infrastructure ENT servait à gérer le …2007.jres.org/planning/slides/52.pdfDroit...
Transcript of Et si l'infrastructure ENT servait à gérer le …2007.jres.org/planning/slides/52.pdfDroit...
21 novembre 2007
Et si l'infrastructure ENT Et si l'infrastructure ENT servait à gérer le nomadisme ! servait à gérer le nomadisme !
Patrick PETITPatrick PETIT (DSI Grenoble-Universités)(DSI Grenoble-Universités)
Philippe BEUTIN Philippe BEUTIN (DSI Grenoble-Universités)(DSI Grenoble-Universités)
Jean-François SCARIOT Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes)(INRIA Grenoble - Rhône-Alpes)
Université de SavoieUniversité de SavoieGrenoble-UniversitésGrenoble-UniversitésInstitut National Polytechnique de Institut National Polytechnique de GrenobleGrenoble
Université StendhalUniversité StendhalUniversité Pierre Mendès-FranceUniversité Pierre Mendès-FranceUniversité Joseph FourierUniversité Joseph Fourier
21 novembre 2007
PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion
3JRES 2007
Architecture ENT Solutions « sans fils » Secure Remote Access Conclusion Introduction
2 projets, 2 problématiques
NomadismeOffrir l’accès au réseau et à son réseau d’entrepriseDonner un accès sécurisé à tous les servicesFiltrer et tracer les utilisateurs
Espace Numérique de TravailOffrir des applications et du contenu personnaliséUn portail uniqueAuthentification unique
4JRES 2007
Architecture ENT Solutions « sans fils » Secure Remote Access Conclusion Introduction
Nomadisme vs ENT différents mais avec des points communs
Authentifier l’utilisateurRadius LDAP, Unix...
Autorisations Par filtres réseauAffectation dynamique de vlan
SécuritéAuthentificationChiffrement des donnéesFAI traces d’utilisation
5 établissements grenobloisAnnuaire interuniversitaireFédérations (Eduroam…)
Équipes réseaux
Authentifier l’utilisateurLDAP, AD, certificat, SecurId, Radius…Authentification unique (SSO)
Autoriser l’utilisateurDroit d’accès définis dans le serveur ldap (notion de rôle)
SécuritéAuthentification Chiffrement des données selon serviceDisponibilité du service
5 établissements grenobloisAnnuaire interuniversitaireFédérations (Shibboleth, Liberty Alliance)
Équipes système ou développement
NomadismeNomadisme ENTENT
21 novembre 2007
PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion
6JRES 2007
Architecture ENT Secure Remote Access Conclusion Introduction Solutions « sans fils »
Les « portails d’accès » sans client
Sur le poste clientPas d’installation de logicielPas de configuration
Les types de portails d’accèsLes portails en passerelle du réseau local
Filtrage par couple @IP/@MACLes portails de niveau applicatif
Filtrage par @IPFiltrage par cookie de session
Certains offrent un chiffrement sur les donnéesCertains implémentent la réécriture d’urls
7JRES 2007
Architecture ENT Secure Remote Access Conclusion Introduction Solutions « sans fils »
Les portails « clients légers/lourds »
« client léger »Installation d’une partie logiciel sur le poste client
Sans droits administrateursSans redémarrage du postePeut nécessiter une couche logicielle préalable (JRE, Framework .NET)
Sun Portal SRA1, Bluecoat RA2
« client lourd » Installation d’une partie logicielle sur le poste client
Nécessite des droits administrateursRedémarrage éventuel du poste
VPN IPSec3, VPN DTLS3, VPN SSL2
Fonctionne pour : 1 : un service, 2 : certains services, 3 : tous les services
8JRES 2007
Architecture ENT Secure Remote Access Conclusion Introduction Solutions « sans fils »
Eduroam
Authentification et chiffrement sur les bornesChoix du protocole d’authentification EAP-PEAP, EAP-TTLS :
En fonction du stockage du mot de passeLe protocole TTLS n’est pas pré installé sous le gestionnaire « sans fil » des OS Microsoft installer Secure W2
Pour renforcer le mécanisme de trace Obliger le client à s’adresser à un serveur DHCP
21 novembre 2007
PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion
10JRES 2007
Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT
Espace Numérique de Travail
Fournir des services à l’utilisateur selon son profilAuthentification uniqueAutorisationsPersonnalisationHaute disponibilité
Personnaliser selon l’établissementDélégation d’administration
Architecture logicielle en placeGénérateur de portail : Portal Server (OpenPortal)Gestionnaire d’accès, d’identités, de droits : Access Manager (OpenSSO)Annuaire applicatif LDAP : Directory Server (OpenDS)
11JRES 2007
Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT
Terminateur SSL
DS
DMZ ZR
Architecture matérielle ENT
ldap
https
http
http
AM
DSAM
PS
PS
Directory ServerAccess ManagerPortal Server
12JRES 2007
Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT
Le SRA dans Sun Java SystemS
ervi
ces
inte
rméd
iaire
s (m
iddl
ewar
e)S
ervi
ces
appl
icat
ifs Intégration
Outils Collaboratifs
Sécurité et politiques
Fonctionnement
Persistance
Secure Remote Access Portal Server
Système d’exploitation
Sun Cluster
MessagingServer
Instant Messaging
Server
CalendarServer
AccessManager
WebServer
DirectoryServer
ApplicationServer
Solaris, Linux, Windows
21 novembre 2007
PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion
14JRES 2007
Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access
Secure Remote Access
À quoi sert le SRA ?Accéder au web et à ses informations personnelles de façon sécuriséeTracer les requêtes web des utilisateurs
Combinaison du nomadisme et de l’ENT
Qu’est ce que le SRAUne passerelle d’accès composé
D’un module de réécriture htmlDe terminateur de tunnel entre le client et le réseau
Au choix de chiffrer ou pas les données
15JRES 2007
Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access
Internet
Réseauinterne
Fonctionnement standard de SRA
Services Ouverts
Gateway SRA
Utilisateurs Services Restreints
Portal server
Serveur applicatif
Tunnel sécuriséDonnées non tunnelisées
16JRES 2007
Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access
Internet
Réseauinterne
Fonctionnement étudié de SRA
Services OuvertsUtilisateurs Services Restreints
RéseauNomade
Tunnel sécuriséDonnées non tunnelisées
Gateway SRA
Serveur applicatif
Serveur web
Portal server
17JRES 2007
Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access
Évaluation de la brique SRA
SRA, élément de la suite JESLa console d’Access Manager permet de définir des profils d’utilisation de la ou les SRALa console du Portal Server permet de configurer les services associés à chaque profil
Les éléments d’une passerelle SRARewriter : réécriture d’url (ex : https://gateway.grenet.fr/http://portail.grenet.fr)Netlet : port forwarding (applet pour accès tcp : ssh, imap… < VPN)Proxylet : applet proxy web
Ouvre un tunnel chiffré entre le poste client et la gatewayPré-requis sur les postes :
Java Virtual MachineNavigateurs : IE, Firefox (Problème de configuration pour les autres navigateurs)
18JRES 2007
Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access
Zone Retranchée
Proxylet – Fonctionnement
DMZ Nomadisme
AccessManager
PortalServer
SRAcore
HTTPS
Localhost127.0.0.1Port 58081
Tunnel https
HTTP
Rewriter
Directory S
erver
LDAP
HTTP(S) (XML)
HTTP(S)
Web S
erver
Gatew
ay
Internet
AppletProxylet
Utilisation de la proxylet2. Authentification sur le portail3. Téléchargement d’une applet java4. Configuration du navigateur client (port 127.0.0.1)5. Ouverture d’un tunnel chiffré avec la Gateway6. Le client peut naviguer (pas de modification du flux)
12
3
5
1 1
4
HTTPS
21 novembre 2007
PlanPlanIntroductionSolutions « sans fil »Architecture ENTSecure Remote AccessConclusion
20JRES 2007
Architecture ENT Solutions « sans fils » Secure Remote Access Introduction Conclusion
Avantages & inconvénients
Tous systèmesPas besoin des droits administrateur sur le posteDroits définis dans l’ENTSSO, fédérations d’identitésOpen Source : OpenPortalSolution qui offre toutes les fonctionnalités attendues :
Sécurité, traces d’utilisation, tous flux http(s)Haute disponibilité
L’usage du navigateur reste inchangé contrairement à un WEB VPN classiqueRéécriture sélectiveIndépendant de l’architecture réseau
Pré requis JRENavigateur Internet Explorer, Firefox, Mozilla ou Netscape
Impose l’utilisation de Portal Server (OpenPortal)Quantité d’archivage des logs plus importante qu’un VPN IPSec ≈ à un proxy web cache
21JRES 2007
Architecture ENT Solutions « sans fils » Secure Remote Access Introduction Conclusion
Retour d’expérience
Expériences effectuéesSur la version 2005Q4Sur JES 5
ÉvolutionsArchitecture visée : haute disponibilité, intégrée à l’ENT en production en version JES5
De quoi a-t-on besoin pour faire fonctionner SRA ?2 serveurs sous Solaris (conseillé) :
Portal Server, gestionnaire d’accès [Access Manager], annuaire Ldap [Directory Server], serveur web J2EE [Web Server] Portal Server Secure Remote Access
22JRES 2007
Architecture ENT Solutions « sans fils » Secure Remote Access Introduction Conclusion
Synthèse de l’architecture
Concentrateur VPN
WWW nomadisme+
SRA+
Client VPN
WWW nomadisme+
SRA+
Client VPN
Eduroam
WPA+WPA2
ouvert
DHCP
SRA
RadiusUniversité
Université 1
RouteurInteruniversitaire
Eduroam
Concentrateur VPN
WPA+WPA2ouvert
RadiusUniversité
Université 2
wwwnomadisme
DHCP
RENATER
INTERNET
RADIUSARREDU
24JRES 2007
Solutions « sans fils » Conclusion Introduction Secure Remote Access Architecture ENT
Nomadisme
Reverse Proxy
Authentification
Annuaire applicatif ENTPortails
DS
DS
MMR
DMZ ZR
Architecture matérielle ENT
ldap
https
http
http
Portal Server SRA
25JRES 2007
Architecture ENT Solutions « sans fils » Conclusion Introduction Secure Remote Access
Secure Remote Access
À quoi sert le SRA ?Accès sécurisé à l’Intranet
Simplifier l’accès web aux nomadesSécuriser les accèsTracer les utilisateursInversement de son utilisation « normale »Uniquement pour des accès web
Composée de :Gateway
Accès sécurisé au serveur d’authentification
ProxyletOuvre un tunnel chiffré entre le poste client et la gatewayPré-requis sur les postes :
Java Virtual MachineNavigateurs : IE, Firefox (Problème de configuration pour les autres navigateurs)