Nucleonet contrôle l'utilisateur au sein même du réseau local

Inscrite sur le registre du commerce aux États-Unis, la société Nucleonet n'en est pas moins très française par son management et son inspiration. Bernard Slede, un ancien d'Intel, en est le p-dg depuis un an. Didier Pagnoux, directeur administratif et financier, en est le cofondateur avec Alexandre Chauvin-Hameau, directeur technique. L'idée originale de Nucleonet, avec ses boîtiers de sécurité Ultima, est d'offrir un contrôle d'accès réseau renforcé pour le LAN via des fonctions d'authentification, de chiffrement et de filtrage de trafic. La cible ? Les PME, et les filiales ou segments des grands comptes.L'objectif d'Ultima est d'identifier l'utilisateur sur le LAN en passant par une authentification PPPoE. Ainsi, l'utilisateur se connecte à un contrôleur PPPoE qui démarre une session PPP dans un tunnel. Une fois authentifié dans le tunnel, l'utilisateur se voit attribuer une adresse IP ?" de la compression est éventuellement opérée, et du chiffrement appliqué. Côté IP, le chiffrement se fait via IPSec. Au niveau Ethernet, il se fait en MPPE, par l'algorithme RC-4 (avec une longueur de clé de 128 bits). L'authentification au niveau 2 s'appuie sur MS-Chap v.2, qui pose cependant des problèmes de sécurité pour les réseaux PPTP, comme l'a décrit Bruce Schneier, l'inventeur de l'algorithme de chiffrement Blowfish. Mais, pour Arié Bahbout, intégrateur en produits réseaux chez Precision Digital Networks, ' cette question sécuritaire est moins problématique pour nos clients, puisqu'on est sur le LAN '. La connexion VPN intersites, très simplifiée, ne s'appuie pas sur le standard IKE/ Isakamp, mais sur des éléments propriétaires.

Une cartographie du réseau toujours à jour

L'administration s'opère en mode CLI ou avec la console NucleoView sous Windows MFC. Un protocole de signalisation, baptisé VSNP (Virtual secure network protocol), permet très facilement une vue d'ensemble du réseau. La console d'administration se connecte d'ailleurs à travers ce protocole dans un tunnel TLS par une authentification bidirectionnelle avec un certificat X.509 v.3. ' VSNP est un peu l'équivalent de SS7 pour les réseaux voix, de même que notre communication événementielle est plus proche de CMIP que de SNMP ', note Alexandre Chauvin-Hameau.Grâce à ce protocole, la cartographie du réseau est toujours à jour. Les boîtiers Ultima s'appuient sur un noyau FreeBSD. Le firmware est hébergé sur une carte Compact Flash de 64 Mo. Le total de l'image fait 15 Mo, et il y a toujours deux images dont une de secours. À chaque redémarrage, on repart sur une image neuve. Les systèmes d'exploitation et de fichiers sont exécutés en mémoire. Chaque port est physiquement indépendant des autres. Il est possible de sauvegarder plusieurs fichiers de configuration en XML chiffré avec Blowfish. Plusieurs développements sont en cours : la notion de délégation des rôles, la gestion de l'IEEE 802.1Q et le reroutage de trafic pour un traitement sécuritaire complémentaire. Le support Icap dans ses modes Reqmod et Respmod est à l'étude.