|
|
|
|
Infrastructure & Chantiers |
Déployer
un VPN: état de l'art |
Cet article revient sur les bonnes pratiques de mise en oeuvre un réseau privé virtuel: ressources nécessaires, adaptation à l'existant, pièges courants... (Mercredi 10 juillet
2002) |
|
Qu'est-ce
qu'un réseau privé virtuel ? Traduit
de l'anglais Virtual Private Network (VPN), ce terme désigne
une solution destinée à établir
un tunnel de communication chiffré entre un ou
plusieurs sites distants. Tirant parti de systèmes
de chiffrement comme MPLS ou IPSec, une telle connexion
qui s'adosse à un réseau de communication
existant (tel qu'Internet) a généralement
pour but de sécuriser les flux de données
transmis entre diverses implantations d'une même
entreprise, ou encore entre un système d'entreprise
et des salariés travaillant à distance.
Impliquant plusieurs équipes souvent éloignées
les unes des autres, le déploiement d'un réseau
privé virtuel demande d'appliquer une méthodologie
particulière.
Prendre garde aux ressources nécessaires à
la maintenance d'un VPN
La
maintenance d'un réseau privé virtuel nécessite
de nommer un administrateur qui sera notamment chargé
de déployer et d'administrer la solution choisie.
A ses côtés, il est bon de désigner
également deux autres personnes : l'une pour
coordonner les accès, l'autre pour gérer
le support technique aux utilisateurs finaux.
Vérifier la compatibilité de la solution
avec l'existant informatique de l'entreprise
Avant de déployer une solution
de VPN, il est important de contrôler si le réseau TCP/IP
de l'entreprise est correctement configuré en vue de supporter
le nouveau système de filtrage. Autre élément à observer
: l'existence d'un port pour permettre au serveur de proxy
utilisé d'accueillir le trafic en provenance du VPN.
Administrer avec beaucoup de soin les informations
d'accès...
Un
VPN donne accès au réseau interne d'une
entreprise depuis l'extérieur. Dans certains cas,
l'administration des accès et le contrôle
des actions effectuées par les utilisateurs deviennent
des tâches particulièrement critiques. Le
tableau ci-dessous tente de faire le point sur les bonnes
pratiques à suivre dans ce domaine.
La
gestion des informations d'accès
|
1
|
Modifier
régulièrement les mots de passe de
connexion, tous les deux mois par exemple. |
2
|
Inciter
les utilisateurs à définir des mots
de passe complexes, associant par exemple des lettres,
des chiffres et des symboles. |
3
|
Gérer
le processus d'administration des mots de passe
depuis une application centralisée. |
Prendre soin des connexions ouvertes par des salariés
depuis leur domicile
Un accès créé
pour être ouvert depuis le domicile d'un salarié
doit faire l'objet d'une attention toute particulière.
La machine en question peut en effet souffrir de certains
défauts de sécurité...
Ce manque trouve une première réponse dans
l'élaboration d'une charte passant en revue l'ensemble
des outils (antivirus, pare feu, etc.) qu'un utilisateur
s'engage à installer avant de se connecter. Une
démarche qui passe aussi, généralement,
par la mise en place de sessions de formation et la fourniture,
par exemple, de CD-ROMs contenant toutes les applications
nécessaires.
Un cas particulier : les réseaux privés
virtuels basés sur le protocole SSL
Certaines
solutions de VPN reposent sur le protocole de chiffrement
SSL (Secure Socket Layer). Principal
avantage de cette méthode : à la différence
des systèmes utilisés par les produits traditionnels,
elle ne nécessite pas d'installer de logiciel sur
le poste utilisateur. Le client accède par le biais
d'un navigateur à des applications délivrées
par un serveur Web. Un élément qui, au total,
contribue à faciliter le travail des administrateurs.
Reste qu'à la différence d'autres outils,
ce type de solution reste cantonné aux applications
Web.
Assistance technique :
deux règles à connaître
L'authentification de certains postes nécessitent
une procédure particulière
Le paramétrage
des accès depuis des postes (Windows NT/2000)
placés à l'extérieur du domaine
réseau relatif au VPN répond à
une règle particulière. Au nom d'utilisateur
lié à la connexion en question,
il est nécessaire d'adjoindre le nom de
domaine du réseau en question (sous la
forme : nom de domaine/nom d'utilisateur).
La résolution d'adresse IP peut se révéler
parfois difficile
On
constate que certains systèmes d'exploitation
(Windows 95, Windows 98 et Windows NT notamment)
peinent à traduire sous forme d'adresses
IP les noms de domaines (DNS) saisis pour accéder
par le biais d'un VPN à des ressources serveur.
Ce défaut proviendrait d'un manque de fiabilité
de ces systèmes lorsqu'il s'agit de parcourir
des serveurs de DNS. Pour régler cette difficulté,
il suffirait de taper l'intégralité d'un nom de
domaine (http://nomdedomaine/sousnomdedomaine)
sans se contenter de sa terminaison logique.
|
|
|
|
|
|
|