Le SSL simplifie le réseau privé sécurisé

11/10/2004 à 07h00

Les nouveaux réseaux privés virtuels fondés sur le protocole SSL ne requièrent aucune configuration des terminaux mobiles. Une source d'économies pour les entreprises qui expérimentent cette technologie.

Difficile, aujourd'hui, de confier un accès au personnel itinérant d'une entreprise sans mettre en place de réseau privé virtuel (RPV, ou VPN en anglais). Ce réseau permet à chacun de se connecter à distance à sa messagerie ou à ses applicatifs métier de manière sécurisée. Jusqu'à présent, la plupart de ces RPV reposaient sur le protocole de sécurité IPSec (IP Security). Une domination désormais contestée par l'arrivée en force des RPV SSL (Secure Socket Layer), dans le catalogue des fournisseurs. Et qu'il s'agisse de Cisco, de Nortel ou de Juniper Networks, tous les ténors des réseaux ne tarissent plus d'éloges sur une technologie présentée comme moins lourde et moins chère que IPSec. À tel point que, selon Datamonitor, les RPV SSL devraient dépasser 1 milliard de dollars de chiffre d'affaires en 2007, contre seulement 170 millions en 2003. Mais le principal avantage du SSL est d'être, avant tout, un protocole livré en standard avec tout navigateur web, afin de sécuriser les liaisons estampillées HTPPS. Ce qui signifie, d'une part, qu'il est inutile d'installer des logiciels clients sur les portables des salariés itinérants, et d'autre part, que ces mêmes salariés peuvent utiliser n'importe quel PC pour se connecter à l'entreprise, qu'ils se trouvent dans un cybercafé ou dans le bureau d'un client.

Les besoins : des accès distants à améliorer

Pour le groupe de distribution Leroy Merlin, la mise en place d'un RPV SSL s'est imposée peu à peu comme la meilleure réponse technologique à certains types de besoins. ' Jusqu'à maintenant, nous accédions à distance à notre messagerie web par un reverse proxy avec authentification. Nous étions cependant confrontés à différents problèmes ', explique Matthieu Grymonprez, chef de projets réseaux et télécoms à la direction technique du groupe Leroy Merlin. ' Tout d'abord, seule la messagerie était consultable, alors que nous souhaitions également mettre en place un accès à d'autres applications. De plus, notre équipement devenait obsolète. Enfin, nous voulions que les échanges aient lieu en HTTPS et non plus en HTTP, énumère Matthieu Grymonprez. Les équipements de RPV SSL nous ont séduits, car ils permettent d'accéder à plusieurs applications sans qu'il soit nécessaire de procéder à des modifications en interne. Dans notre cas, il s'agit en particulier du serveur de messagerie, de l'annuaire d'entreprise, de l'intranet et de l'outil de planification du temps de travail. Outre la flexibilité du produit, nous avons retenu l'offre RPV SSL de NetScreen, car nous disposons déjà d'un accord avec eux pour nos coupe-feu. Malgré le bon positionnement d'Aventail sur ce créneau, le temps pressait et nous n'avons pas pu mener d'étude poussée ', ajoute le chef de projets.Chez MDTVision, filiale d'IBM spécialisée sur le marché de la CAO, un RPV SSL a remplacé un accès loué trop coûteux : ' Nous gérons les accès distants depuis sept ou huit ans. Au début, notre solution reposait sur un pool de modems et les utilisateurs appelaient un numéro vert. Puis nous avons finalement adopté l'offre Global Intranet de France Télécom/Transpac. Mais ce dispositif s'est révélé coûteux et pas suffisamment performant ', explique Jacques Tartès, responsable réseaux et télécoms chez MDTVision. Dans un premier temps, l'entreprise envisage d'installer un RPV IPSec. Mais l'idée est vite abandonnée, car il était indispensable que les salariés itinérants puissent se connecter sans que les coupe-feu du site où ils se trouvent ne leur bloquent l'accès. Le choix se porte alors sur un RPV SSL qui autorise une connexion à partir de n'importe quel poste de travail situé à l'extérieur de l'entreprise, sans qu'il soit nécessaire d'effectuer des changements de paramétrage des coupe-feu. Les contraintes de temps ont imposé, là encore, un choix rapide : ' Nous avons retenu les fournisseurs leaders du marché et avons testé Neoteris [racheté depuis par NetScreen] et Aventail pendant deux semaines. Au final, c'est le critère financier qui l'a emporté, Aventail étant deux fois moins cher ', poursuit Jacques Tartès.Avec un RPV IPSec installé depuis deux ans, ADP (Aéroports de Paris) avait déjà une bonne connaissance des réseaux privés virtuels. ' Nous utilisions cette technologie, d'une part, pour des utilisateurs privilégiés qui accédaient à une partie de l'infrastructure dont la messagerie , et d'autre part, pour la direction informatique qui intervenait sur les systèmes et les applications. Nous disposions du matériel Contivity de Nortel associé aux cartes SecureID de RSA ', détaille Guy-Pierre Rodriguez, responsable du Pôle Infrastructures chez ADP. La lourdeur de la gestion administrative et technique des terminaux de travail mobiles pousse néanmoins l'entreprise à reconsidérer ses choix technologiques : ' Nous voulions donner accès au système d'information à un nombre plus important d'utilisateurs et nous affranchir du système SecureID, pour des raisons de coûts. Il y avait donc un aspect stratégique et un aspect économique à notre démarche. Nous avons testé deux offres : celles de Nortel et de F5 Networks, cette dernière ayant finalement eu notre préférence pour sa facilité de mise en ?"uvre ', ajoute Guy-Pierre Rodriguez.Pour cet autre responsable informatique chroniqueur masqué régulier pour Décision Informatique, sous le nom de Mister Yellow , la technologie RPV SSL a été déployée dans son entreprise dans le cadre d'une mise à jour du matériel existant : ' Nous avions besoin d'offrir à toutes les filiales du groupe un accès aux applications financières du site central. Nous avons, tout d'abord, étudié IPSec, mais nous ne souhaitions pas installer de logiciels clients lourds. Nous avons également écarté une solution site à site, car seules quelques personnes des filiales doivent accéder aux applications financières. C'est alors que Cisco a proposé d'adapter à SSL le boîtier VPN 3000 que nous possédions déjà. Nous nous sommes donc orientés naturellement vers cette technologie ', raconte Mister Yellow.

Mise en ?"uvre : une phase de tests nécessaire

Pour nos témoins, le déploiement des solutions SSL s'est révélé globalement aisé. En effet, il suffit, dans la plupart des cas, d'insérer la passerelle en DMZ (Demilitarized Zone), et de lui attribuer une adresse IP routable. ' Nous avons évalué l'ensemble des fonctions disponibles sur l'équipement de NetScreen et avons tout testé avant la mise en production ', résume Matthieu Grymonprez de Leroy Merlin. ' Lors de notre évaluation, l'arrivée d'une nouvelle version très différente de la précédente nous a néanmoins obligés à recommencer tous nos tests, signale-t-il. L'installation s'est ensuite effectuée sans difficulté : le boîtier a été placé dans la DMZ et nous lui avons attribué une adresse routable ', explique Matthieu Grymonprez.Pour MDTVision, le soutien du constructeur s'est révélé indispensable : ' Lors de la phase de tests, nous avons bénéficié d'une aide efficace de la part d'Aventail. Au final, le projet a représenté environ deux mois par homme et a permis aux utilisateurs de conserver les mêmes habitudes de connexion par SecureID. Nous continuons, par ailleurs, à les authentifier par serveur Radius ', détaille Jacques Tartès.Quant à ADP, l'entreprise souhaitait aller plus loin qu'un simple déploiement, et tenait à éprouver la sécurité globale de l'architecture : ' Après une phase d'évaluation, entre les mois de mars et août, de cette année, nous avons effectué un certain nombre de tests d'intrusion pour valider la solution dans notre réseau. Nous ouvrirons le service le premier juillet ', explique Guy-Pierre Rodriguez.Enfin, pour Mister Yellow, le déploiement a été encore plus simple, puisqu'il consistait uniquement en une mise à jour du système d'exploitation (IOS) du boîtier VPN 3000 de Cisco déjà en place.

Les gains : un rendement accru

Les premiers utilisateurs, pionniers en matière de RPV SSL sont à l'exception notoire de Mister Yellow (lire encadré) très élogieux à propos de cette technologie. C'est le cas par exemple de Matthieu Grymonprez, de Leroy Merlin. : ' Nos utilisateurs ont désormais accès à des applications de partage de documents, à la messagerie et à un trombinoscope à partir de n'importe quel navigateur. En fait, SSL nous permet d'ouvrir l'accès à certains composants du système sans contraintes directes sur le système lui-même. De fait, plus le projet avançait et plus nous réalisions qu'il allait bien au-delà de la simple gestion des travailleurs itinérants : la partie commerciale est directement concernée grâce aux liens sécurisés que nous pouvons établir avec nos fournisseurs. Pour nous, le RPV SSL est une grande avancée, porteuse de futurs développements. La technologie est tellement convaincante qu'il est consternant qu'on n'en parle que maintenant. 'Un point de vue partagé par Jacques Tartès, qui constate que la technologie a eu une incidence directe sur le rendement des salariés de MDTVision. : ' Nous avons noté un gain important de productivité, dans la mesure, par exemple, où il faut moins de temps pour télécharger une pièce jointe et que les temps de réponse sont raccourcis. Il se chiffre à quelques jours par mois. Le gain est également financier, puisque le service Global Intranet de France Télécom était payant. Par ailleurs, nous avons fourni une solution de connexion à des utilisateurs qui en étaient, jusqu'à présent, dépourvus et qui accèdent désormais à des applications internes de gestion de temps ainsi qu'à des outils de messagerie. Nous disposons de trois modes de connexion : un niveau de base accessible depuis un simple navigateur sans téléchargement, un mode client-serveur avec un client à télécharger et un mode tunnel avec un client lourd sur le poste. Cette gestion nous offre une grande souplesse. Au final, nous avons fait diminuer le trafic issu du service de France Télécom d'environ 10 à 15 %. ' ADP n'en est qu'à ses débuts et souhaite tout d'abord s'imprégner de la technologie avant de la déployer à grande échelle : ' Nous accédons pour l'heure à des applications de messagerie et de gestion des investissements. Par la suite, nous souhaitons appliquer SSL à l'ensemble de notre système d'information ', précise Guy-Pierre Rodriguez.

Les écueils : une technologie parfois inadaptée

En théorie, il est possible de créer un lien RPV SSL à partir de n'importe quel type de poste de travail. Néanmoins, dans la réalité, le constat est plus mitigé. ' Nous avons connu des difficultés avec certains navigateurs trop anciens, souvent installés sur les postes personnels des salariés. Par ailleurs, si nous sommes satisfaits du matériel de NetScreen, certains points liés à l'ergonomie auraient pu être améliorés ', explique Matthieu Grymonprez. Une appréciation que partage Mister Yellow (lire encadré p. 42). L'accès à toutes les applications de l'entreprise n'a, semble-t-il, pas non plus été évident dans tous les cas : ' Certaines applications internes de suivi de projet n'étaient pas accessibles en SSL ', précise Jacques Tartès de MDTVision. Tandis que pour Jean-Pierre Rodriguez d'ADP, l'accès à certains fichiers posait problème : ' Nous ne pouvions pas ouvrir de fichiers PDF depuis un poste distant. 'Plus embêtant, MDTVision a également rencontré quelques problèmes de stabilité lors du déploiement de la solution : ' Nous avons été contraints de redémarrer les boîtiers. Il s'agissait d'un dysfonctionnement lié à la réécriture dynamique de pages que nous avons corrigé grâce à l'exécution d'un script ', explique Jacques Tartès.

En résumé

Les RPV SSL permettent à un salarié itinérant de se connecter depuis n'importe quel endroit (domicile, cybercafé, bureau d'un partenaire de l'entreprise, etc.), même derrière un coupe-feu dont il ne maîtrise pas les accès. Le protocole SSL utilise, en effet, le port 443 qui est, par défaut, ouvert sur tous les coupe-feu pour permettre une connexion HTTPS.

SSL ne fonctionne qu'en mode connecté avec TCP. Il n'est donc pas conçu pour prendre en charge les flux qui transitent en mode non connecté UDP (comme DNS, SNMP, TFTP, etc.). En 1997, l'IETF a ratifié le protocole Socks, qui adapte UDP à SSL en ajoutant une enveloppe pour superposer le mode connecté au mode non connecté. Mais Socks n'est pas la panacée, car il alourdit le travail du poste client.

L'absence de logiciel client sur le poste distant a pour conséquence de réduire le contrôle que pourrait effectuer un administrateur sur son parc de terminaux. Le protocole IPSec demeure plus efficace sur ce point. En effet, il agit à un niveau moins élevé (niveau 3 du modèle OSI Open Systems Interconnection , alors que le protocole SSL se situe aux niveaux 4 et supérieurs).

L'un des avantages des RPV SSL est d'autoriser une connexion sécurisée entre un poste de travail situé hors de l'entreprise et la passerelle SSL, sans installation de logiciels clients comme avec un RPV IPSec. Un travailleur itinérant accède ainsi aux applications de son entreprise à partir de tout type de terminal équipé d'un navigateur web. Dans certains cas, un code ou un ActiveX est utilisé pour assurer l'interfaçage avec une application non ' webisée '. Ce microprogramme est en général détruit lors de la fermeture de la session.

Déploiement : Matthieu Grymonprez (Leroy Merlin) : ' Un RPV SSL ne demande pas de formation poussée '

Leroy Merlin souhaitait former rapidement ses utilisateurs à l'usage d'un RPV SSL. Une tâche facilitée par la technologie elle-même. ' Nous avons simplement fait un e-mail général avec des copies d'écran et des liens vers notre portail de connexion. Nous voulions éviter de former 800 personnes en interne. Or, le fait que la connexion se fasse depuis un navigateur, sans installation de modules clients, le permettait ', explique Matthieu Grymonprez. La compatibilité avec les annuaires LDAP a également simplifié l'adoption de la solution SSL. ' Le lien vers l'annuaire LDAP nous paraissait indispensable. Nous avions besoin que la gestion des profils soit effectuée depuis un service dédié et non par le service informatique lui-même. De cette manière, nous ne gérons pas les créations et les destructions de comptes, ce qui est primordial pour un outil de gestion des postes distants. ' L'adoption de SSL ne s'est pas faite au détriment des autres technologies déjà mises en place dans l'entreprise : ' En plus du SSL, nous nous appuyons sur une infrastructure RPV hétérogène, avec des liens RTC, des tunnels IPSec, des lignes spécialisées et du MPLS. Cela nous permet de bénéficier de la technologie la plus adaptée en fonction des besoins ', conclut Matthieu Grymonprez.

Leroy Merlin

Sécurité : Mister Yellow : ' La technologie IPSec a encore de beaux jours devant elle '

Mister Yellow, chroniqueur régulier pour Décision Informatique, est plus critique que les autres responsables informatiques interrogés quant à la pertinence de SSL. Une raison qui le pousse à garder l'anonymat. ' Si les utilisateurs accèdent bien aux applications depuis leur navigateur, nous sommes quelque peu déçus par cette technologie : elle reste peu ergonomique et n'est pas conçue pour eux ', précise-t-il. Principale remise en cause : le fait qu'un utilisateur doive disposer de la bonne JVM (Java Virtual Machine) pour exécuter une applet java sur son poste. Or, pour Mister Yellow, ' la modification de la JVM de la machine engendre de nombreux effets de bord '. Autre problème : l'entreprise souhaitait publier un intranet commun à toutes ses filiales et avait besoin pour cela d'utiliser le protocole WebDAV (Web-based Distributed Authoring and Versioning) série d'extensions pour le protocole HTTP qui permet aux utilisateurs d'éditer et d'administrer des fichiers sur des serveurs distants. Malheureusement, ce protocole n'est pas géré par un RPV SSL. Et de conclure : ' IPSec a encore de beaux jours devant lui et paraît plus sécurisé que SSL, puisqu'il dispose d'une phase d'authentification pour le prétunnel. SSL est ici détourné de sa fonction première, à savoir accéder à des sites marchands ou bancaires. À l'avenir, nous ne mettrons pas l'accent sur cette technologie. '

Avis d'intégrateur : Emmanuel Hardy (Netlogon) : ' SSL permet d'ouvrir son réseau à ses partenaires '

Quelles précautions faut-il prendre avant de déployer une passerelle SSL ?

Comme toute solution d'entreprise, celle-ci nécessite un travail d'architecture en amont afin de bien définir les besoins de son réseau et d'éviter que le RPV SSL ne se comporte comme une verrue. Cette étude est d'autant plus importante que SSL est souvent amené à coexister avec IPSec. Il est donc primordial de bien préciser le périmètre d'intervention de chaque technologie. La maintenance des matériels est aisée, puisque la plupart des solutions se pilotent depuis une interface web.

Quels sont les principaux avantages à l'utilisation de SSL ?

La sécurisation d'une flotte de postes distants est l'application la plus connue et elle trouve tout son sens par rapport à IPSec. Mais ce n'est pas la seule. Une petite entreprise qui souhaite ouvrir son réseau à des fournisseurs ou à des clients y trouvera également un grand intérêt, puisque cela lui évitera d'ouvrir une liaison spécialisée. Il y a donc un gain en matière d'administration du parc, mais aussi en termes de relations commerciales avec la majorité de ses partenaires.

Netlogon

Thibault Michel

Votre opinion