Déployer
un VPN: état de l'art
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0207/020710_vpn_1.shtml
Mercredi 10 juillet 2002
Qu'est-ce
qu'un réseau privé virtuel ? Traduit de l'anglais
Virtual Private Network (VPN), ce terme désigne une solution
destinée à établir
un tunnel de communication chiffré entre un ou plusieurs sites
distants. Tirant parti de systèmes de chiffrement comme MPLS
ou IPSec, une telle connexion qui s'adosse à un réseau
de communication existant (tel qu'Internet) a généralement
pour but de sécuriser les flux de données transmis entre
diverses implantations d'une même entreprise, ou encore entre
un système d'entreprise et des salariés travaillant
à distance.
Impliquant plusieurs équipes souvent éloignées
les unes des autres, le déploiement d'un réseau privé
virtuel demande d'appliquer une méthodologie particulière.
Prendre garde aux ressources nécessaires à la maintenance
d'un VPN
La
maintenance d'un réseau privé virtuel nécessite
de nommer un administrateur qui sera notamment chargé de déployer
et d'administrer la solution choisie. A ses côtés, il
est bon de désigner également deux autres personnes :
l'une pour coordonner les accès, l'autre pour gérer
le support technique aux utilisateurs finaux.
Vérifier la compatibilité de la solution avec l'existant
informatique de l'entreprise
Avant de déployer une solution de VPN, il
est important de contrôler si le réseau TCP/IP de l'entreprise est
correctement configuré en vue de supporter le nouveau système de filtrage.
Autre élément à observer : l'existence d'un port pour permettre au
serveur de proxy utilisé d'accueillir le trafic en provenance du VPN.
Administrer avec beaucoup de soin les informations d'accès...
Un
VPN donne accès au réseau interne d'une entreprise depuis
l'extérieur. Dans certains cas, l'administration des accès
et le contrôle des actions effectuées par les utilisateurs
deviennent des tâches particulièrement critiques. Le
tableau ci-dessous tente de faire le point sur les bonnes pratiques
à suivre dans ce domaine.
La
gestion des informations d'accès
|
1
|
Modifier
régulièrement les mots de passe de connexion,
tous les deux mois par exemple. |
2
|
Inciter
les utilisateurs à définir des mots de passe complexes,
associant par exemple des lettres, des chiffres et des symboles. |
3
|
Gérer
le processus d'administration des mots de passe depuis une application
centralisée. |
Prendre soin des connexions ouvertes par des salariés depuis
leur domicile
Un accès créé pour
être ouvert depuis le domicile d'un salarié doit faire
l'objet d'une attention toute particulière. La machine en question
peut en effet souffrir de certains défauts de sécurité...
Ce manque trouve une première réponse dans l'élaboration
d'une charte passant en revue l'ensemble des outils (antivirus, pare
feu, etc.) qu'un utilisateur s'engage à installer avant de
se connecter. Une démarche qui passe aussi, généralement,
par la mise en place de sessions de formation et la fourniture, par
exemple, de CD-ROMs contenant toutes les applications nécessaires.
Un cas particulier : les réseaux privés virtuels
basés sur le protocole SSL
Certaines
solutions de VPN reposent sur le protocole de chiffrement SSL (Secure
Socket Layer). Principal avantage
de cette méthode : à la différence des systèmes
utilisés par les produits traditionnels, elle ne nécessite
pas d'installer de logiciel sur le poste utilisateur. Le client accède
par le biais d'un navigateur à des applications délivrées
par un serveur Web. Un élément qui, au total, contribue
à faciliter le travail des administrateurs.
Reste qu'à la différence d'autres outils, ce type de
solution reste cantonné aux applications Web.
Assistance technique :
deux règles à connaître
L'authentification de certains postes nécessitent
une procédure particulière
Le paramétrage des accès
depuis des postes (Windows NT/2000) placés à
l'extérieur du domaine réseau relatif au VPN
répond à une règle particulière.
Au nom d'utilisateur lié à la connexion en question,
il est nécessaire d'adjoindre le nom de domaine du
réseau en question (sous la forme : nom de
domaine/nom d'utilisateur).
La résolution d'adresse IP peut se révéler
parfois difficile
On
constate que certains systèmes d'exploitation (Windows 95,
Windows 98 et Windows NT notamment) peinent à traduire
sous forme d'adresses IP les noms de domaines (DNS) saisis
pour accéder par le biais d'un VPN à des ressources serveur.
Ce défaut proviendrait d'un manque de fiabilité de ces systèmes
lorsqu'il s'agit de parcourir des serveurs de DNS. Pour régler
cette difficulté, il suffirait de taper l'intégralité
d'un nom de domaine (http://nomdedomaine/sousnomdedomaine)
sans se contenter de sa terminaison logique.
|
[Antoine Crochet Damais, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|