Professional Documents
Culture Documents
Avril 2012
2 Livre blanc UCOPIA
1 Introduction
Selon IDC, il y a 75 Millions de professionnels nomades en Europe, qui passent 70% de leur temps de
travail hors de leur bureau. Par ailleurs, le nombre demploys ne disposant pas dun bureau atteint
46 Millions et augmente de 4,4% par an (Gartner). Tous ces nomades ont besoin daccder Internet
et au Systme dinformation de lentreprise, dans leur bureau, en salle de runion, lhtel, chez
leurs clients et leurs fournisseurs. Ds lors quun accs nomade est propos, les employs se
connectent 1h45 de plus chaque jour, ce qui contribue une amlioration de la productivit de 22%
(Source NOP World). Autrement dit, la mobilit donne plus de souplesse et plus dutilisation donc
plus defficacit. Selon Forrester, 38% des entreprises fournissent chaque mois 20 visiteurs au
moins un accs rseau et 11% de ces entreprises dpassent les 200 visiteurs connects.
Les entreprises disposent dj dinfrastructures IP sur lesquelles circulent les flux gnrs par les
applications donnes et voix et continuent les tendre avec notamment des technologies sans fil
(Wi-Fi). Le dploiement dun accs nomade consiste donc mutualiser cette infrastructure pour
rpondre tous les utilisateurs (employs, clients, fournisseurs) et tous les usages (du simple accs
Internet jusqu un accs aux applications de lentreprise). La scurit est un enjeu essentiel :
authentification des utilisateurs et des terminaux, contrle des accs en fonction de lidentit de
lutilisateur, de son rle mais aussi du lieu et de lheure de connexion, traabilit des connexions et
des usages pour rpondre aux exigences lgales en vigueur. La simplicit de lusage et la gestion des
utilisateurs (ouverture de compte, gestion des droits daccs, assistance technique, etc.)
conditionnent lefficacit des accs nomades et le retour sur investissement.
UCOPIA dveloppe et commercialise deux gammes de produits : UCOPIA Advance et UCOPIA
Express. UCOPIA Advance est destine aux grands projets (nombreux utilisateurs, plusieurs sites,
intgration fine avec le LAN) des entreprises, des campus et des administrations. UCOPIA Express
vise les projets plus petits (mono site, quelques dizaines de connexions simultanes) mais privilgie la
simplicit de la mise en uvre et de lexploitation. UCOPIA Express est parfaitement adapte aux
besoins des collges, des htels, des cliniques et des PME en gnral. Avec UCOPIA, les employs,
clients ou fournisseurs peuvent se connecter dans les environnements professionnels et peuvent
accder trs simplement aux ressources de lIntranet, de lInternet ou de lExtranet avec la double
garantie de scurit et de qualit de service.
Ce livre blanc dcrit la solution UCOPIA dans son ensemble, toutes gammes de produits confondues.
Il prsente dans un premiers temps les composants de loffre et ses principales fonctionnalits. Une
deuxime partie est consacre larchitecture de la solution, le rle et le fonctionnement de chaque
composant et module sont prsents de faon dtaille. Une troisime partie est consacre la
faon dont la solution UCOPIA sintgre dans les architectures rseau existantes. La suite du
document aborde les diffrentes architectures UCOPIA (mono site, multi sites, etc.) ainsi que les
aspects redondance et performance. Finalement, les diffrentes gammes de loffre UCOPIA sont
prsentes avec pour chacune delle leurs objectifs et leurs fonctionnalits.
6 Livre blanc UCOPIA
Le produit UCOPIA a obtenu une certification CSPN dlivr par lANSSI (Agence Nationale de la
Scurit des Systmes dInformation). Cela consiste attester que le produit a subi avec succs une
valuation par un centre dvaluation agr par lANSSI dans un temps et une charge contraints
conduisant une certification.
Les travaux dvaluation ont eu pour objectifs :
de vrifier que le produit est conforme ses spcifications de scurit (authentification,
contrle daccs par profil, traabilit, etc.) ;
de coter les mcanismes de faon thorique, de recenser les vulnrabilits connues de
produits de sa catgorie ;
de soumettre le produit des tests de vulnrabilit visant contourner ses fonctions de
scurit.
Voir le site de lANSSI pour consulter les lments de certification.
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-
cspn/certificat_cspn_2010_01.html
9 Livre blanc UCOPIA
3.1.2 Authentification
UCOPIA propose plusieurs modes dauthentification, allant dune authentification de type portail
Web captif base sur HTTPS jusqu une authentification forte base sur le protocole 802.1x/EAP.
Ces diffrents modes dauthentification cohabitent dans un mme rseau, ventuellement sous
diffrents rseaux logiques (VLAN), chacun correspondant diffrentes catgories dutilisateurs. Par
exemple, une entreprise peut proposer ses employs une authentification forte base sur des
certificats en EAP/TLS et peut rserver lauthentification par login et mot de passe depuis un portail
Web ses visiteurs. Dans chaque mode dauthentification, la cl dauthentification a une dure
limite dans le temps.
3.1.2.1 Authentification depuis le portail Web captif UCOPIA
Ce mode dauthentification est comparable dun point de vue ergonomique celui utilis par les
hotspots. Lutilisateur, louverture de son navigateur Web, se voit automatiquement redirig vers
une page Web dauthentification hberge par le contrleur UCOPIA ou ventuellement externe
celui-ci. La page lui propose de sauthentifier en utilisant un couple login/mot de passe (mode
standard), une fois lauthentification russie, les services autoriss saffichent dans la fentre et
lutilisateur peut en faire usage.
Pour une personnalisation plus avance, le code HTML du portail peut tre export, retravaill et
rimport dans le contrleur UCOPIA.
3.1.2.2 Authentification par login/mot de passe et protocole 802.1x
Les protocoles tels que PEAP ou TTLS peuvent tre utiliss pour lauthentification par login/mot de
passe. En effet, un serveur RADIUS est embarqu dans le contrleur UCOPIA permettant de jouer le
rle du serveur dauthentification de larchitecture 802.1x.
3.1.2.3 Authentification par certificats et protocole 802.1x
Lauthentification par certificat repose sur le protocole 802.1x/EAP-TLS qui s'appuie sur une
infrastructure de type PKI. Le serveur RADIUS et le client du rseau sont munis de certificats dlivrs
par une autorit de certification commune. UCOPIA sappuie sur des certificats mis par un tiers de
confiance. Ce mode dauthentification offre un compromis entre scurit et simplicit de
dploiement.
3.1.2.4 Authentification par adresse MAC ou adresse IP
UCOPIA propose galement une authentification base sur ladresse MAC ou ladresse IP. Ce mode
peut savrer utile pour authentifier des quipements IP qui nauraient pas la capacit
sauthentifier avec des protocoles plus labors tel que 802.1x.
3.1.2.5 Authentification en environnement Windows
UCOPIA permet de raliser, en environnement Windows, une authentification machine avant
lauthentification de lutilisateur. Lobjectif de lauthentification machine, au del de sa fonction
premire dauthentification, va permettre de dclencher sur le serveur Windows des scripts (type
Netlogon), qui vont par exemple monter des lecteurs rseaux, excuter des scripts de mise jour
antivirus, dmarrer certains utilitaires spcifiques, etc.
Le contrle daccs des utilisateurs doit sexercer de manire fine, en fonction de lutilisateur et de
ses droits. Pour ce faire le contrleur UCOPIA utilise un mcanisme de filtre bas sur des rgles et
construit partir du profil de lutilisateur. Le filtre est install sur le contrleur ds quun utilisateur
est authentifi. Il sera supprim lors de sa dconnexion.
Le profil de lutilisateur dcrit les droits daccs aux applications, la dure et le mode de connexion,
les plages horaires et les zones autorises de connexion, etc. Un mme utilisateur peut avoir
plusieurs profils dpendant de diffrents critres (lieu et temps).
Le filtre peut proposer de nombreuses autres fonctionnalits que lon peut mettre en uvre dans un
rseau Wi-Fi. La scurit en est un exemple, mais dautres applications tout aussi importantes
peuvent galement tre intgres cet environnement. Dans le cadre de la solution UCOPIA, le
filtrage est utilis notamment pour grer la qualit de service ou pour corriger au vol certains flux
mal configurs.
3.1.4 Traabilit
UCOPIA enregistre et sauvegarde deux types dinformation : les informations de sessions des
utilisateurs (qui sest connect quand) et les informations de trafic (qui a fait quoi). En effet, ds lors
qu'une organisation accueille des visiteurs, elle a l'obligation lgale de conserver le trafic Internet
des visiteurs qui se connectent au rseau (loi du 23 janvier 2006 sur le terrorisme et la traabilit)
(voir Section 3.3.1.2).
14 Livre blanc UCOPIA
UCOPIA offre la possibilit dutiliser des VLAN en entre et en sortie du contrleur UCOPIA. En effet,
trs souvent les entreprises architecturent leur rseau en VLAN et il est important en installant
UCOPIA de pouvoir continuer bnficier des mcanismes disolation rseau mis en place sur le
rseau existant.
Considrons le cas dun dploiement Wi-Fi, chaque SSID configur sur les points daccs Wi-Fi est
associ un VLAN, ces VLANs se retrouvent en entre du botier UCOPIA. Le contrleur UCOPIA alloue
des plages dadresses IP distinctes pour chacun des VLANs. Par dfaut UCOPIA fonctionne en mode
NAT mais peut tre configur en mode routage au niveau de chaque VLAN de sortie en fonction du
profil de lutilisateur (voir Section Adressage IP et architectures VLAN).
Par ailleurs, en fonction de son profil, le flux dun utilisateur pourra tre rinject en sortie du botier
UCOPIA dans un VLAN particulier.
Le schma ci-dessous illustre une architecture VLAN pour deux types de populations, des visiteurs et
des employs dune entreprise. Les visiteurs sauthentifient en mode portail Web et les employs en
802.1x. Chacune des populations est redirige dans son VLAN dappartenance ct rseau
dentreprise.
Le produit UCOPIA na pas la vocation filtrer les URLs, son rle consiste les journaliser des fins
de traabilit. Le filtrage dURLs est assur par des outils tiers avec lesquels UCOPIA peut
communiquer.
La communication entre UCOPIA et un produit de filtrage dURLs peut stablir de deux manires,
soit par une redirection des flux HTTP, soit par un connecteur spcifique.
La premire solution base sur la redirection de flux HTTP est ralise grce au proxy Web embarqu
dans le contrleur UCOPIA. Il est possible dune part de rediriger les flux vers le produit en charge du
filtrage dURLs et dautre part de lui communiquer les informations relatives lutilisateur (login et
mot de passe). Ceci permet au produit de filtrage dappliquer des politiques diffrentes en fonction
des utilisateurs.
La deuxime solution se base sur un connecteur qui permet pour chaque URLs en sortie dUCOPIA de
vrifier si elle est autorise ou non. UCOPIA propose un connecteur avec le produit Olfo.
15 Livre blanc UCOPIA
UCOPIA permet de dtecter et de contrer des attaques consistant usurper lidentit dun
utilisateur. Lusurpation seffectue sur le mme rseau Ethernet en falsifiant des adresses ARP (MAC)
pour des adresses IP donnes. Ce type dattaque est plus sensible en cas dutilisation dun mode
dauthentification par portail moins scuris quun mode 802.1x qui ne dlivre pas dadresse IP avant
authentification de lutilisateur. Dans ce type dattaque, le poste cibl par l'attaque mettra jour sa
table ARP avec une fausse adresse MAC et ne pourra plus communiquer avec le botier UCOPIA.
UCOPIA, une fois lattaque dtecte, se charge en temps rel de remettre dans un tat cohrent les
tables ARP des postes attaqus.
La confidentialit des donnes transmises est assure par les quipementiers qui commercialisent les
cartes IEEE 802.11 et les points daccs. Cette scurit est de type WPA (Wireless Protected Access)
ou WPA2 qui offre les fonctions de chiffrement TKIP ou AES, utilisant des clefs dynamiques. UCOPIA
est bien sr compatible avec ces protocoles. UCOPIA est plus gnralement compatible 802.11i.
3.2 La mobilit
La gestion de la mobilit consiste dfinir quelles sont les politiques de mobilit de lentreprise
dune part et les mettre en uvre dautre part. Par ailleurs, il faut que lutilisateur nomade puisse
accder en tout lieu aux services autoriss de faon simple et transparente et lui garantir la Qualit
de Service ncessaire la bonne excution de ses applications.
UCOPIA a dfini un modle de mobilit prenant en compte plusieurs dimensions, le Qui , Quoi ,
Quand, O et Comment . Le Qui identifie les utilisateurs du rseau, le Quoi les
applications accessibles depuis ce rseau. La plupart des systmes traitant de scurit sur les rseaux
sans fil sarrtent ces deux dimensions. UCOPIA prolonge ce modle, le Quand introduit la
notion de temps, par exemple, les employs dune entreprise peuvent se connecter toute heure
alors que les visiteurs uniquement aux heures daccueil de lentreprise. Le O va conditionner les
droits daccs de lutilisateur, en effet, les droits peuvent tre diffrents en fonction du lieu sur
lequel il se connecte. Cette dimension de lieu va introduire une dernire dimension qui est le
Comment , en effet, le fait dtre sur des sites diffrents peut amener utiliser un mode
dauthentification particulier.
Exemple : un utilisateur se trouvant au sige de son entreprise utilisera une authentification forte de
type 802.1x, accdera sans restrictions au LAN dentreprise, et ce toute heure de la journe. Quand
il se trouvera sur une filiale de lentreprise, il utilisera un mode dauthentification de type portail
Web et ses droits daccs seront limits la fois en terme de services (accs Internet ou VPN
dentreprise) et en terme de plages horaires (de 9h 18h).
16 Livre blanc UCOPIA
La mise en uvre du modle de mobilit UCOPIA sappuie sur la notion de profil utilisateur
adaptable. En effet, UCOPIA, dans sa gamme Advance, permet dadapter automatiquement le profil
du nomade en fonction de diffrents critres : le lieu de connexion (site, zone), lheure de connexion,
voire le botier UCOPIA sur lequel le nomade se connecte.
Grce aux profils adaptables, il est ais de spcifier les configurations suivantes :
1. Les tudiants qui si connectent dans la zone Amphithatre pendant la priode dexamens
voient leurs droits daccs modifis (pas dInternet, accs uniquement aux serveurs
pdagogiques).
2. Les tudiants qui se connectent dans la zone Bibliothque se connectent avec un crdit
temps de 2 heures par jour, ils nont pas de limite de temps sur la zone Rsidence
Universitaires .
3. Les employs dune entreprise se connectent en authentification forte (802.1x) sur le sige
social et peuvent accder au LAN sans restrictions, ils sauthentifient en mode portail sur une
filiale et voient leurs droits daccs restreints (Internet, VPN dentreprise).
4. Les clients dun htel qui se connectent dans les chambres ont une connexion illimite, ils
ont un crdit temps dans les zones restaurant et accueil.
Accs Internet: beaucoup dentreprises mettent en place des proxy Internet pour des
raisons de scurit et les navigateurs des employs de ces entreprises sont configurs en
consquence afin dutiliser le proxy. Si un tel utilisateur tente daccder Internet dans
un environnement sans proxy Web ou avec un autre proxy, cela ne fonctionne pas : il
doit modifier la configuration de son navigateur. UCOPIA assure le bon fonctionnement
du navigateur de lutilisateur indpendamment de sa configuration et il redirige si besoin
est vers le proxy dentreprise.
Email: envoyer un email depuis un environnement qui nest pas son environnement
habituel gnralement choue car les rseaux des entreprises sont construits pour se
protger de ce type de message qui pourrait par exemple servir de couverture des
mcanismes de spam . UCOPIA dtecte les messages sortants de type SMTP et
redirige automatiquement les paquets vers le serveur SMTP local de lentreprise si bien
sr lutilisateur est autoris envoyer un message. Lutilisateur ne modifie pas sa
configuration de client de messagerie et le mail peut partir en toute transparence.
Impression : imprimer un document dans un environnement qui nest pas le sien relve
trs souvent du dfi. Il faut connatre le type dimprimante, savoir quel est son driver, o
il se trouve, comment linstaller. UCOPIA apporte la rponse ce type de problme, le
contrleur embarque un serveur dimpression dont le rle est de mettre disposition de
faon transparente le driver de limprimante.
Confrence Web: des services ncessitant des tlchargements de composants (applets
par exemple) tels que des services de confrence Web peuvent tre mis disposition des
utilisateurs de faon transparente. En effet, si ces services ncessitent lutilisation
dapplets, le contrleur jouant le rle de proxy peut hberger les applets et les proposer
automatiquement. Au del de la transparence, ce mcanisme vite que les applets soient
bloques par les firewalls de lentreprise. Par ailleurs, il contribue la scurit et
lamlioration des performances.
UCOPIA peut diffrencier les flux traversant les botiers UCOPIA et ainsi grer des priorits de flux en
fonction des choix de ladministrateur.
Trois niveaux de gestion de la Qualit de Service sont proposs :
Au niveau des services
Au niveau des profils utilisateurs
Au niveau des utilisateurs
QoS par service
Pour chaque service, il est possible de dfinir :
La priorit de traitement des services
Les services dfinis dans le contrleur UCOPIA peuvent avoir deux niveaux de priorit :
temps rel ou normal. Les flux de type de temps rel sont traits en priorit.
Le dbit garanti des services
Par dfaut, les services se partagent la bande passante disponible. UCOPIA permet de
configurer chaque service afin de garantir un dbit pour chacun deux.
Le dbit garanti est exprim en kilo bit par secondes (Kbps).
La limitation de bande passante
18 Livre blanc UCOPIA
Lensemble de ces mcanismes de transparence daccs et de Qualit de Service mis en uvre par
UCOPIA garantit lutilisateur final productivit et confort dutilisation. Il rduit de faon
spectaculaire la charge de travail de lassistance technique car il nest plus ncessaire de la solliciter
lors dune connexion dans un environnement daccueil.
A complter
Une application UCOPIA pour Smartphones est disponible. Lobjectif de lapplication est double,
dune part simplifier la connexion un rseau UCOPIA, dautre part permettre un administrateur
dlgu de crer trs simplement un compte utilisateur.
Lapplication mmorise les identifiants de lutilisateur, ils sont rejous automatiquement en
prsence dune demande dauthentification et en fonction du contrleur UCOPIA sur lequel
lapplication se connecte.
Les comptes utilisateur peuvent tre cres directement partir des contacts du rpertoire du
Smartphone, les tickets de connexion peuvent tre envoys lutilisateur depuis le Smartphone par
SMS ou par email.
Lapplication UCOPIA est gratuite et disponible en franais et en anglais.
3.3 Ladministration
UCOPIA dispose de deux outils dadministration :
Un outil dadministration complet ddi ladministrateur rseau permettant de grer
les politiques de mobilit de lentreprise, lensemble de la configuration UCOPIA ainsi
que les aspects supervision et journalisation. Laccs cet outil peut tre rduit pour
interdire la consultation des journaux de connexions.
Un portail de dlgation permettant de dlguer des personnes habilites mais non
spcialistes rseau des droits dadministration limits. Par exemple, lors de laccueil dun
visiteur, cet outil permettra de provisionner un compte au visiteur, de lui attribuer un
profil (partenaire, client, fournisseur, ) octroyant des droits daccs et de lui dlivrer un
mot de passe dune dure limite lui permettant de se connecter sur le rseau.
Les outils dadministration UCOPIA sont accessibles travers une interface Web scurise en HTTPS.
3.3.1 Administrateur
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
22 Livre blanc UCOPIA
La recherche dun utilisateur partir dune information est particulirement simple. Par exemple, la
copie dcran ci-dessous montre le rsultat de la demande qui a visit lURL www.google.com dans
un intervalle de temps dfini. UCOPIA retrouve le ou les utilisateurs rpondant ces critres,
lensemble des pages visites est prsent.
23 Livre blanc UCOPIA
Les journaux peuvent tre compresss afin doptimiser la place sur le disque dur du botier UCOPIA.
Les journaux peuvent galement tre exports, manuellement ou automatiquement (via FTPS), vers
une machine tierce (voir le service GOLD).
Les journaux peuvent tre galement utiliss des fins de statistiques pour notamment mieux
apprhender lusage qui est fait du botier UCOPIA. Pour cela, UCOPIA propose diffrentes vues
statistiques prconfigures.
24 Livre blanc UCOPIA
Ladministrateur peut dlguer une ou plusieurs personnes le droit de crer des comptes
utilisateurs. Pour ce faire, un portail de dlgation est mis disposition de ces personnes habilites.
Ce portail est plus particulirement utilis pour accueillir des visiteurs dans une entreprise ou des
clients dans un htel. Le portail de dlgation ne ncessite aucune comptence technique, il sagit
dun outil Web trs simple dutilisation.
Les administrateurs dlgus peuvent tre dfinis localement dans lannuaire UCOPIA o appartenir
un annuaire dentreprise externe (Active Directory par exemple).
25 Livre blanc UCOPIA
Dans le cas darchitecture multi sites, plusieurs botiers UCOPIA peuvent tre dploys (voir Section
Architectures multi botiers UCOPIA). Dans ce cas, un botier sera configur comme tant
Principal , il sera alors en charge de ladministration centralise de tous les autres botiers.
27 Livre blanc UCOPIA
Le contrleur UCOPIA intgre un agent SNMP, lui permettant ainsi dtre supervis depuis un outil de
supervision du march compatible SNMP.
UCOPIA propose une MIB standard MIB-2 afin de permettre le dialogue entre loutil de supervision et
lagent UCOPIA. De plus, des traps SNMP peuvent tre dclenches afin de surveiller les diffrents
services actifs du contrleur (DHCP, RADIUS, SQL, etc.).
Une CLI (Command Line Interface) est disponible. Lobjectif est de permettre certaines oprations
dadministration avance.
La CLI est accessible depuis loutil dadministration graphique. Depuis la CLI, Il est par exemple
possible de visualiser les diffrents journaux internes dun contrleur UCOPIA (DHCP, RADIUS, etc.),
de lancer des commandes rseau (nslookup, tcpdump, etc.), de rdmarrer ou de visualiser le statut
des services (DHCP, RADIUS, proxy, LDAP, etc.).
Le fichier Syslog UCOPIA qui centralise les journaux dvnements peut tre export dun contrleur
UCOPIA afin dtre pris en charge par un serveur Syslog. Les vnements envoys peuvent tre filtrs
par catgorie (DHCP, RADIUS, ).
4 L architecture UCOPIA
Nous dcrivons dans cette section les diffrents modules constituant larchitecture UCOPIA ainsi que
les protocoles utiliss lors des interactions entre ces modules.
Lensemble du trafic en provenance des utilisateurs est redirig vers le botier UCOPIA qui est en
coupure logique (ou physique) entre un rseau daccueil (Wi-Fi et/ou filaire) et le LAN de lentreprise.
Les protocoles dauthentification entre les postes des utilisateurs et le botier UCOPIA sont soit
802.1x/EAP ou HTTPS. Le serveur RADIUS et les outils dadministration UCOPIA dialoguent avec le ou
les annuaires LDAP travers le protocole scuris LDAPS. La traabilit est assure par une base de
donnes des journaux au format SQL. Ladministration seffectue en mode Web HTTPS.
Le botier UCOPIA est bas sur une architecture Linux.
28 Livre blanc UCOPIA
1
Gamme UCOPIA Express
2
Gamme UCOPIA Advance
33 Livre blanc UCOPIA
Enfin, il est possible dassocier des zones (accueil, bureaux, bibliothque) aux VLANs afin dautoriser
ou interdire la connexion de lutilisateur sur ces zones qui sont dfinies au niveau du profil utilisateur
(voir Section 6.3).
Ce mcanisme va galement permettre de restreindre le nombre de VLANs par lesquels un
utilisateur entre dans le contrleur UCOPIA. Ceci peut tre intressant si lon souhaite par
exemple quun Employ utilise toujours le VLAN dentre associ une authentification forte de type
802.1x et quil ne puisse pas utiliser le VLAN associ une authentification de type portail moins
scurise.
La capacit du serveur RADIUS UCOPIA tre configur en mode proxy rpond au besoin des
architectures dauthentification EDUROAM rencontres dans le monde universitaire.
EDUROAM est un projet Europen d'architecture d'authentification rpartie, utilisant le protocole
RADIUS, entre les tablissements d'enseignement suprieurs et de recherche franais. Cette
authentification vise offrir des accs rseau sans fil aux membres de la communaut concerne en
dplacement sur les sites des partenaires avec leur nom et mot de passe habituels.
Les serveurs RADIUS des participants sont connects un proxy national, lui-mme connect au
proxy international du projet EDUROAM. Les requtes d'authentifications sont achemines vers le
serveur d'authentification de l'tablissement d'appartenance de l'utilisateur par le biais du nom de
domaine associ son identifiant (de la forme user@etab.fr).
39 Livre blanc UCOPIA
Shibboleth est un mcanisme de propagation d'identits, dvelopp par le consortium Internet2, qui
regroupe un grand nombre duniversits et de centres de recherches. L'objectif de la propagation
d'identits est double : dlguer l'authentification l'tablissement d'origine de l'utilisateur et
obtenir certains attributs de l'utilisateur (pour grer le contrle d'accs ou personnaliser les
contenus).
Dans larchitecture Shibboleth, UCOPIA joue le rle de Service Provider. UCOPIA permet ainsi
travers son portail de rediriger lutilisateur vers le service de dcouverte de la fdration (Discovery
Service) partir duquel il peut slectionner son tablissement dorigine. Lutilisateur sera ensuite
redirig vers son fournisseur didentit pour authentification (Identity Provider).
UCOPIA fonctionne par dfaut avec le Discovery Service de RENATER mais peut-tre configur pour
utiliser un autre service.
40 Livre blanc UCOPIA
Le schma ci-dessous montre les interactions entre les diffrents composants de larchitecture
Shibboleth.
LAPI se prsente sous la forme de requte http dont la syntaxe est la suivante :
http://<@IP du contrleur UCOPIA>/deleg/api_admin_deleg.php
Par exemple pour crer un compte utilisateur dont le login est jdupond et le profil guest :
http://10.0.0.1/deleg/api_admin_deleg.php?deleg_id=deleg&deleg_pwd=deleg&action=adduser&us
er_id=jdupond&user_pwd=dupond&user_grp=guest
Larchitecture de ce type de couplage est la suivante :
Le contrleur UCOPIA propose en plus de son API gnrique dinterfaage, une interface ddie avec
des produits de type PMS. Les PMS sont des produits de gestion clients et se rencontrent plus
particulirement dans les environnements hteliers ou hospitaliers, ils permettent lenregistrement
des clients, la facturation, etc.
Le couplage PMS/UCOPIA repose sur le protocole FIAS et fonctionne avec une notion de forfait. Le
forfait est dfini par ladministrateur UCOPIA, cela peut tre un forfait 1h, 3h, ou forfait emails ,
ou forfait Tous les jours ouvrs de 16h 18h , etc. Les forfaits sont proposs au choix de
lutilisateur sur le portail UCOPIA. UCOPIA informe le PMS des forfaits choisis afin quil puisse oprer
la facturation.
Larchitecture du couplage UCOPIA/PMS est la suivante :
42 Livre blanc UCOPIA
Le contrleur UCOPIA propose une interface ddie avec des produits de type PPS fonctionnant avec
des cartes prpayes. Lutilisateur sauthentifie sur le portail UCOPIA en renseignant le numro de
carte et le CAPTCHA code. Le numro de carte permet de faire une demande de crdit temps auprs
du serveur PPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de
lutilisateur est automatiquement cr dans UCOPIA. Lutilisateur visualise sur le portail le temps de
connexion associ la carte et le temps de connexion consomm.
6 Architectures rseau
6.1 Architectures mono site
Les architectures mono site se rencontrent plus particulirement dans les environnements hteliers
ou entreprises de type PME.
Dans le cas des htels, les architectures rseau sont gnralement trs dpouilles , laccs
Internet est assur par un modem/routeur ADSL, un pare-feu assure la scurit priphrique.
UCOPIA se positionne en coupure physique (pas dorganisation en VLANs) entre le rseau daccueil
des clients (Wi-Fi et/ou filaire) et le pare-feu comme lindique le schma ci-dessous.
43 Livre blanc UCOPIA
O
Figure 31: Exemple N 1 darchitecture UCOPIA mono site
Concernant les PMEs, les architectures sont plus labores, il nest pas rare de rencontrer un
annuaire dans lequel sont rfrencs les employs de lentreprise, une organisation en VLAN et le
besoin daccueillir des visiteurs.
Larchitecture UCOPIA type est dans ce cas la suivante :
44 Livre blanc UCOPIA
O
Figure 32: Exemple N 2 d'architecture UCOPIA mono site
Plusieurs couples SSID/VLAN sont dfinies sur les points daccs Wi-Fi afin disoler les diffrentes
populations dutilisateurs (visiteurs, employs). Ces VLANs sont galement configurs en entre du
botier UCOPIA (carte Ethernet 802.1q). Lors du processus dauthentification dun utilisateur, le
botier UCOPIA peut proposer en fonction de lutilisateur des modes dauthentification distincts et
adapts, portail Web pour les visiteurs, protocole 802.1x pour les employs. Concernant
lauthentification des employs, UCOPIA peut interroger lannuaire dentreprise (LDAP, Active
Directory). Enfin en sortie du botier UCOPIA, le flux dun utilisateur peut tre redirig sur un VLAN
particulier ct LAN (le choix du VLAN sera fait en fonction du profil de lutilisateur).
45 Livre blanc UCOPIA
Une architecture multi botiers UCOPIA peut tre dploye soit pour assurer une monte en charge,
soit dans le cadre dune architecture multi sites (ex : rseau dagences).
Dans une architecture multi botiers, il existe un botier principal et des botiers secondaires .
Le botier principal permettra dadministrer de faon centralise tous les botiers secondaires.
La copie dcran suivante montre un botier principal ayant en charge ladministration de 3 sites
secondaires. Laccs aux botiers secondaire sopre trs simplement en slectionnant longlet du
site administrer. Dans cet exemple, on administre les VLANs dentre sur le site de Poitiers.
Dans une architecture multi botiers, toute modification effectue sur un des annuaires UCOPIA du
pool de botiers seffectue en ralit sur le botier principal qui rplique chaud la modification
sur tous les botiers secondaires. En revanche, linterrogation dun annuaire UCOPIA et donc
lauthentification des utilisateurs est toujours ralise en local sur le botier. Ce mcanisme garantie
une parfaite homognit en termes dadministration.
Le schma ci-dessous illustre le mcanisme de rplication dannuaire dans une architecture multi
botiers UCOPIA.
O
Figure 35: Exemple N 1 d'architecture UCOPIA multi sites
Si lon souhaite garantir une continuit de service en cas de coupure rseau entre le site central et le
site distant, il sera conseill de rpliquer lannuaire dentreprise sur le site distant. Le botier UCOPIA
du site distant sera alors configur pour interroger en premier lieu lannuaire dentreprise central
puis lannuaire local si le premier nest pas accessible (mcanisme de cascade dannuaires).
Exemple 2 : Botier UCOPIA centralis
Le schma suivant montre un exemple darchitecture multi sites o le botier UCOPIA est centralis
sur un des sites.
48 Livre blanc UCOPIA
O
Figure 36: Exemple N 2 d'architecture UCOPIA multi sites
Dans le cas dune architecture multi sites centralise, deux cas de figure peuvent se prsenter, soit le
site distant est reli en niveau 2 au site principal (rseau commut), soit le site distant est reli en
niveau 3 au site principal (rseau rout).
Connexion rseau commut
Dans ce cas, une architecture VLAN sera tablie entre le site distant et le site principal.
UCOPIA utilise alors les informations de niveau 2 (ex : MAC adresse) pour ses
mcanismes dauthentification et de filtrage.
Connexion rseau rout
UCOPIA fonctionne en faisant abstraction des informations niveau 2 avec toutefois
quelques restrictions : (1) seul le mode dauthentification par portail Web est possible,
(2) les postes clients sur le site distant doivent tre configurs en DHCP, (3) la haute
disponibilit fonctionne en redondance et non en rpartition de charge. Si ces
restrictions ne sont pas souhaites, il faut alors tablir un tunnel de niveau 2 entre les
bornes et le botier UCOPIA. Ce type de tunnel est trs souvent propos dans les
architectures point daccs lger , il sagit de tunnel de type LWAPP ou CAPWAPP.
UCOPIA peut tre configur en architecture mixte, commute et route.
entreprise pourra se connecter dans toutes les zones sans restriction de temps, accept dans la zone
Accueil, o il verra son temps de connexion limit.
Dun point de vue rseau, les zones correspondent des VLANs, la correspondance zone/VLANs
seffectue lors de la configuration des VLANs au niveau du contrleur UCOPIA.
Il existe des zones dentre et des zones de sortie, lentre et la sortie sont relatives au botier
UCOPIA et son architecture en coupure. Les zones sont associes un profil utilisateur.
Dans lexemple ci-dessous, un profil Etudiant sera configur pour autoriser la connexion sur les zones
d'entres "Bibliothque" et "Caftria". La zone Administration sera interdite la connexion et
donc ne sera pas configure dans le profil. Sur le site ci-dessous, Bibliothque = vlan 2 + vlan3. Sur au
autre site la zone Bibliothque pourrait tre implmente avec dautres VLANs.
La zone de sortie est unique, elle correspond dune part un VLAN et dautre part une politique
dadressage en sortie du botier UCOPIA (NAT ou routage).
7 Haute disponibilit
Une architecture de redondance peut tre mise en place afin de ne pas interrompre le service du
contrleur UCOPIA en cas de dfaillance de la machine sur laquelle le contrleur fonctionne. Pour ce
faire, il faudra dployer deux contrleurs ayant la capacit se suppler lun lautre.
50 Livre blanc UCOPIA
UCOPIA propose galement un mcanisme de rpartition de charge qui peut permettre plusieurs
botiers UCOPIA de se rpartir les connexions des utilisateurs. Redondance et rpartition de charge
sont deux mcanismes indpendants et complmentaires.
7.1 Redondance
Le modle de redondance UCOPIA est un modle Actif/Passif mettant en uvre deux botiers
UCOPIA, un seul tant actif un instant donn. Les botiers UCOPIA intervenant dans une
architecture de redondance dialoguent entre eux et peuvent par consquent sapercevoir de la
dfaillance de leur confrre.
Le basculement dun botier UCOPIA lautre seffectue grce une adresse IP virtuelle. En effet,
un instant donn, seul un botier dispose de l'adresse virtuelle. En cas de panne du botier actif, le
botier de redondance prend connaissance de la panne grce au protocole VRRP et rcupre
l'adresse IP virtuelle. Il devient ainsi le nouveau botier actif tout en assurant une totale transparence
pour les utilisateurs.
Les botiers UCOPIA dans une architecture de redondance (ou de rpartition de charge) obissent
larchitecture multi botiers UCOPIA, par consquent nous aurons un botier Principal
correspondant au botier Actif sur lequel ladministration seffectuera et nous aurons un botier
Secondaire correspondant au botier Passif. Lannuaire UCOPIA du botier Actif sera rpliqu
chaud sur lannuaire du botier Passif. Ce mcanisme permettra au botier Passif dtre jour
quand il sera sollicit pour passer en mode Actif.
Dans une architecture de redondance, les botiers UCOPIA doivent se trouver sur un mme VLAN.
Le schma ci-dessous illustre larchitecture de redondance.
Comme la reprise sur panne, la rpartition de charge est base sur un dialogue VRRP entre les
botiers UCOPIA et sur le principe dIP virtuelle. Seul le serveur DHCP du contrleur Principal est
activ.
Les botiers organiss en rpartition de charge utilisent le mcanisme de rplication chaud de
lannuaire UCOPIA pour maintenir tous les annuaires jour en temps rel.
Le schma ci-dessous illustre un exemple dans lequel trois botiers UCOPIA sont configurs en
rpartition de charge, un botier passif assure la redondance en cas de panne de lun des trois
botiers actifs.
Figure 40: Statistiques globales en fonction des gammes ou des numros de version
53 Livre blanc UCOPIA
9 Gammes UCOPIA
La solution UCOPIA se dcline en deux gammes produit : la gamme UCOPIA Express et la gamme
UCOPIA Advance.
La gamme UCOPIA Express se prsente sous la forme dun botier prt lemploi
parfaitement adapte aux besoins des htels, cliniques, tablissements denseignement
secondaires et PME en gnral. UCOPIA Express propose lessentiel des fonctions
UCOPIA en termes de scurit et de nomadisme dans une approche privilgiant la
simplicit de la mise en uvre et de ladministration. UCOPIA Express fonctionne de
faon autonome sans intgration forte avec le LAN.
La gamme UCOPIA Advance est un botier qui propose lensemble des fonctionnalits
UCOPIA et qui est destine aux moyens et grands projets des entreprises, des campus et
des administrations UCOPIA Advance permet de rpondre aux besoins des
environnements multi sites et propose toutes les fonctions dintgration avec le LAN de
lentreprise. UCOPIA Advance peut tre redonde et fonctionne galement en
rpartition de charge.
Le tableau ci-dessous dcrit les fonctionnalits de chacune des gammes UCOPIA.
Scurit
Authentification
Portail Web captif
802.1x/PEAP
802.1x/TTLS
802.1x/TLS
@MAC ou @IP
Shibboleth
Authentification priodique et
transparente (mode portail)
Redirection vers portail dentreprise
Paiement via CB/Paypal
Droits daccs en fonction du profil de lutilisateur
VLANs en entre du contrleur
Redirection sur VLAN de sortie en fonction du profil
utilisateur
Compatibilit 802.11i
Dtection dintrusions
URLs accessible avant authentification
55 Livre blanc UCOPIA
Acceptation de charte avant authentification
Nomadisme
Zro configuration
Mode DHCP/IP fixe
Accs transparent mail
Accs transparent Internet
Accs transparent Imprimante
VPN pass through
QoS (par service, par profil, par utilisateur)
Plage horaire de connexion
Crdit temps
Localisation par zone en entre et en sortie
Multi portails (un portail par zone)
Profils adaptables
Administration
Administration des politiques de scurit et de
mobilit (services, profils utilisateurs, etc)
Provisionnement de comptes par auto-
enregistrement de lutilisateur et envoi SMS ou
email
Administration dlgue (accueil des visiteurs)
Personnalisation
Multi zones
Dlivrance de coupon de connexion
(impression, email, SMS)
Cration de comptes en masse depuis un
fichier CSV
Supervision des utilisateurs connects
Statistiques
Traabilit
Journaux des sessions utilisateurs
Journaux du trafic utilisateurs (URL,
applications)
Compression automatique des journaux
56 Livre blanc UCOPIA
Sauvegarde automatique des journaux
via FTP
Editeur de portail et de coupon de connexion
(personnalisation)
SNMP
Syslog
CLI
Administration multi botiers centralise
Intgration
Intgration avec un annuaire LDAP dentreprise
(OpenLDAP, ActiveDirectory
Intgration avec plusieurs annuaires
Cascade dannuaires
Intgration avec RADIUS (proxy) RADIUS local intgr
Intgration avec proxy Web
Intgration VLANs dentre
Intgration VLANs de sortie
Intgration PKI
API Intgration produit tiers
Couplage PMS
Couplage PPS
Architecture
Serveur DHCP
NAT
Routage
NAT ou routage suivant profil utilisateur
Multi sites (multi botiers)
Redondance
Rpartition de charge
Connexion de postes utilisateurs en filaire
Appliance virtuelle
57 Livre blanc UCOPIA
10 Performances
Dans chacune des gammes UCOPIA, il existe plusieurs modles proposant diffrentes capacits de
monte en charge en termes de connexions simultanes.
Le tableau ci-dessous prsente les capacits de chaque modle.
Express Express Express Express Express Express Express Express Express Express Express
5 10 20 50 100 150 200 300 500 1000
1000RDP
Au-del de 1000 utilisateurs simultans, une solution sur mesure est propose (ex : rpartition de
charge pour la gamme Advance).
11 Appliances matrielles
Les botiers UCOPIA sont proposs en cinq types de matriel. Tous les botiers comportent deux ports
Ethernet 10/100/1000, lexception du 1000 RDP qui en propose 6.
Le botier Serveur20 pour la gamme Express supportant jusqu 20 utilisateurs simultans (de 5
20).
Le botier Serveur500 pour les modles 200 500 de la gamme Express et pour les modles 100
500 de la gamme Advance.
Le botier Serveur1000 RDP pour les solutions ncessitant plus de dbit et de haute disponibilit.
Le botier est au format 2U. Il comporte 6 port Ethernet (3 en entre, 3 en sortie), deux disques en
RAID et une alimentation redondante.
sv20 sv150
Matriel
59 Livre blanc UCOPIA
Express Express 200 Express 300 Express 500 Express 1000 Express 1000RDP
Advance Advance 100 Advance 200 Advance 300 Advance 500 Advance 1000 Advance 1000
RDP
Les modles sont volutifs, soit par simple cl logicielle, soit par changement de matriel, les
tableaux ci-dessous prsentent les possibilits dvolution.
= cl logicielle
= changement de matriel
Modles Exp. 10 Exp. 20 Exp. 50 Exp. 100 Exp. 200 Exp. 300 Exp. 500 Exp
1000/1000RDP
Exp.5
Exp.10
Exp.20
Exp.50
Exp. 100
Exp. 200
Exp. 300
Exp. 500
Adv. 100
Adv. 200
Adv. 300
Adv. 500
61 Livre blanc UCOPIA
12 Appliances virtuelles
Lappliance UCOPIA est disponible en mode virtualis sous VMware. Seule la gamme Advance est
propose sous cette forme.
13 Services
13.1 Maintenance
Les contrleurs UCOPIA sont commercialiss avec une maintenance de 3 ans.
Le contrat de maintenance couvre les points suivants :
Changement anticip du contrleur en cas de dfaillance matrielle. Envoi dun matriel
quivalent J+1 (en France mtropolitaine).
Mise disposition des mises jour logicielles correctives et volutives.
Accs pour le partenaire au service de support technique UCOPIA (niveau 2 et plus).
14 Conclusion
La solution UCOPIA runit trois fonctionnalits majeures (1) une scurit robuste de qualit
professionnelle conforme aux standards de lindustrie proposant des mcanismes dauthentification
forte bass sur les protocoles 802.1x/EAP et RADIUS, du contrle daccs fin de niveau 4 et plus, (2)
une gestion de la mobilit base sur des politiques dfinies de faon centralise travers un outil de
haut niveau trs convivial et mise en uvre par un contrleur, (3) le confort dutilisation pour
lutilisateur final grce aux mcanismes de zro configuration et de Qualit de Service.
La rsultante de lensemble de ces fonctionnalits fait dUCOPIA un produit unique sur le march
prsentant les avantages suivants :
Gestion de la mobilit
UCOPIA permet aux employs nomades, aux clients, partenaires, fournisseurs de se
connecter simplement et en toute scurit en tout lieu (bureau mobile, salle de runions
ou de formation, etc.), daccder leur messagerie, lInternet, dchanger ou
dimprimer des documents. Aucun pr requis ou configuration nest impos lutilisateur
et il naura pas faire appel lassistance technique pour imprimer un document ou
envoyer un message. UCOPIA contribue limage de marque des entreprises en rendant
possible laccs leur rseau aux visiteurs.
TCO
Le dploiement dune solution daccueil de nomades ncessite une intgration avec
linfrastructure de communication et de scurit existante. Sans UCOPIA, cela peut
ncessiter beaucoup de travail et de dlai. UCOPIA sintgre simplement au rseau en
place (VLAN, annuaire, etc.) sans remettre en cause les politiques de scurit dj
prsentes. Par ailleurs grce sa simplicit dadministration et ses mcanismes de zro
configuration, UCOPIA limite le besoin en ressources techniques. Tous ces avantages
contribuent rduire fortement le cot de possession dune telle solution (TCO).
Indpendance matrielle et volutivit
UCOPIA est indpendant des quipements rseau et peut fonctionner en environnement
htrogne, il garantit ainsi la prennit des choix de matriel. UCOPIA fonctionne en
environnement filaire et Wi-Fi, son niveau dabstraction par rapport au rseau physique
lui permet dvoluer avec les standards.
15 Annexe 1 : Documentation
Un ensemble de documentations est propos avec le produit UCOPIA.
15.1 Manuels
Manuel dinstallation
Ce manuel sadresse aux administrateurs systme et/ou rseaux dsirant installer la
solution UCOPIA. Il dcrit linstallation et la configuration de lensemble des composants
de la solution. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration
63 Livre blanc UCOPIA
15.2 APIs
API UCOPIA dadministration dlgue
Lobjectif de lAPI dadministration dlgue est de coupler le contrleur UCOPIA avec un
outil tiers tel quun outil de provisionnement de compte et/ou de facturation de services.
LAPI dadministration dlgue permet de crer/dtruire/modifier un compte utilisateur
ainsi que de rcuprer un temps de connexion cumule pour un utilisateur.
API UCOPIA Portail Externe
LAPI Portail Externe est utilise dans le cas d'un fonctionnement avec un portail
d'authentification externe UCOPIA. Dans ce cas l'utilisateur est redirig vers ce portail
pour authentification. Le portail UCOPIA n'est pas utilis.
Cette API permet d'enrichir un portail d'authentification externe UCOPIA avec les
fonctions d'authentification UCOPIA. A travers cette API, tous les modes
d'authentification sont possibles (portail standard avec login et mot de passe, portail
avec inscripton par SMS, portail avec inscription par email, etc..).
64 Livre blanc UCOPIA
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-
cspn/certificat_cspn_2010_01.html
16 Annexe 2 : Glossaire
Nous prsentons dans cette annexe la dfinition des mots cls ou des acronymes utiliss dans ce
document.
16.1 Rseau
DNS - Domain Name Service : Service de nom de domaines (correspondance IP<->nom
des machines)
SNMP - Simple (ou Smart) Network Management Protocol : Protocole de la couche
application pour ladministration rseau.
HTTPS - Hyper Text Transfert Protocol over SSL : Protocole de transmission issu de
Netscape li une connexion par socket scurise.
VLAN Virtual Local Area Network: Permet de raliser plusieurs rseaux logiques sur un
mme rseau physique. Les VLANs sont configurs au niveau des Switch et des routeurs.
DHCP Dynamic Host Configuration Protocol: DHCP est un protocole permettant
dallouer une adresse IP a un client voulant se connecter au rseau.
NAT Network Address Translation: NAT est un mcanisme permettant dallouer des
adresses IP prives partir dune seule adresse IP publique.
65 Livre blanc UCOPIA
16.2 Wi-Fi
Wi-Fi Wireless Fidelity: Wi-Fi est le nom commercial pour la technologie IEEE 802.11.
Le Wi-Fi est compos de plusieurs standards.
802.11 b/a/g/n : Il sagit dun ensemble de standards pour dfinir les diffrents dbits
du Wi-Fi : 802.11a propose une bande passante de 54 Mbps sur une frquence de 5 Ghz,
802.11b et g oprent sur la frquence 2,4 Ghz et propose une bande passante
respectivement de 11 et de 54 Mbps. 802.11n propose une bande passante suprieure
100 Mbps.
802.11i : Standard de scurit pour le Wi-Fi ratifi en juin 2004. Il inclut 802.1x pour
lauthentification et AES (Advanced Encryption Standard) pour le chiffrement. 802.11i
require des quipements compatibles la fois ct client et ct point daccs.
802.11e : Standard pour la Qualit de Service. Il nest pas ratifi. 802.11e vise donner
des possibilits en matire de qualit de service au niveau de la couche liaison de
donnes. Ainsi cette norme a pour but de dfinir les besoins des diffrents paquets en
terme de bande passante et de dlai de transmission de telle manire permettre
notamment une meilleure transmission de la voix et de la vido.
802.11f : Standard pour le roaming. Il nest pas ratifi. 802.11f est une recommandation
l'intention des vendeurs de point d'accs pour une meilleure interoprabilit des
produits. Elle propose le protocole Inter-Access point roaming protocol permettant un
utilisateur itinrant de changer de point d'accs de faon transparente lors d'un
dplacement, quelles que soient les marques des points d'accs prsentes dans
l'infrastructure rseau.
16.3 Authentification
802.1x : Standard de contrle daccs au rseau, indpendant du support physique. Le
rseau permet uniquement le passage de trafic dauthentification tant que
lauthentification nest pas accomplie avec succs. Le 802.1x spcifie galement le
protocole EAPOL (EAP over LAN) qui permet lencapsulation des mthodes
dauthentification EAP.
EAP Extensible Authentication Protocol: EAP est un protocole dauthentification
oprant au niveau 2 OSI avant que le client nobtienne une adresse IP, il renforce ainsi la
scurit. Bases sur EAP, il existe de nombreuses mthodes dauthentification, par mot
de passe (PEAP, TTLS), par certificat (TLS), etc. EAP est utilis dans une architecture
802.1x et fonctionne par consquent avec un serveur dauthentification, gnralement
RADIUS.
EAP-MD5: Le client est authentifi par le serveur en utilisant un mcanisme de dfi
rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le
mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil
renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte,
compare les deux et en fonction du rsultat valide ou non lauthentification.
LEAP Lightweight EAP: est un mthode propre Cisco qui repose sur l'utilisation de
secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise
aucun certificat et est bas sur l'change de dfi et rponse.
EAP-TTLS Tunneled Transport Secure Layer : utilise TLS comme un tunnel pour
changer des couples attribut valeur la manire de RADIUS servant lauthentification..
66 Livre blanc UCOPIA
PEAP Protected EAP: est une mthode trs semblable dans ses objectifs et voisine dans
la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS
pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification
supportes par EAP.
EAP-TLS Extensible Authentication Protocol-Transport Layer Security: Cest la plus
sre. Le serveur et le client possdent chacun leur certificat qui va servir les
authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit
de dployer une infrastructure de gestion de cls. Rappelons que TLS, la version
normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement,
authentification mutuelle, contrle dintgrit).
NTLM NT Lan Manager: est un protocole dauthentification Microsoft. Ce protocole
utilise un mcanisme de challenge-rponse pour lauthentification dans lequel les clients
peuvent prouver leur identit sans envoyer de mot de pass au serveur. Le protocole
consiste en 3 messages : Type 1 (ngociation), Type 2 (challenge) and Type 3
(authentification).
PKI Public Key Infrastructure: Une PKI est une architecture base sur des cls publiques
et prives stockes dans des certificats. Cette architecture permet aux entreprises de
dployer des solutions scurises pour changer des emails, des documents, etc.
RADIUS - Remote Access Dial-in User Services: RADIUS est un protocole standard pour
interroger de faon distante un serveur dauthentification.
OTP - One Time Password : Consiste utiliser des mots de passe qui ne peuvent tre
utiliss qu'une seule fois. Mme si le mot de passe est drob, il n'est pas rutilisable.
Dans la pratique, ce dispositif repose sur des techniques de cryptographie cls secrtes
ou symtriques et prend gnralement la forme d'une calculette avec un clavier et un
affichage numrique (ex. ActivCard, SecureID).
SSO Single Sign On : Le SSO permet de fdrer l'authentification. Grce au Single Sign-
On, il est possible de regrouper toutes les demandes d'authentification en une procdure
unique. Le confort des utilisateurs et le niveau de scurit s'en trouvent amliors.
16.4 Chiffrement
WEP Wired Equivalent Protection : WEP est un protocole fond sur lalgorithme RC4
(cl de 64 bits), il permet de raliser le contrle daccs lauthentification, la
confidentialit et lintgrit. Le WEP est connu pour ses faiblesses : cl de petite taille, cl
statique et partage par plusieurs utilisateurs.
TKIP Temporary Key Interchange Protocol: TKIP est un protocole de chiffrement
destin amliorer le WEP. Il gnre des cls dynamiques via des rauthentifications
802.1x priodiques.
AES, DES, 3DES: Il sagit dalgorithmes de chiffrement utilisant des cl de 128 bits. Ils sont
utiliss dans les solutions de VPN et dans les mcanismes de chiffrement des dernires
gnrations de points daccs.
VPN Virtual Private Network: Le principe du VPN est bas sur la technique du
tunnelling. Cela consiste construire un chemin virtuel aprs avoir identifi l'metteur et
le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce
chemin virtuel. Les donnes transmettre peuvent appartenir un protocole diffrent
d'IP. Dans ce cas le protocole de tunnelling encapsule les donnes en rajoutant une
entte, permettant le routage des trames dans le tunnel. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de dsencapsulation.
67 Livre blanc UCOPIA
IPSec: Protocole permettant de scuriser les transmissions travers des rseaux non
scuriss comme lInternet. IPsec agit au niveau de la couche rseau, protgeant et
authentifiant les paquets IP entre les dispositifs participants, comme un routeur.
SSL Secure Socket Layer : SSL est un protocole pour grer la scurit de la transmission
de messages sur Internet. Il se positionne entre les couches HTTP et TCP.
WPA Wireless Protected Access: WPA est un sous-ensemble du standard 802.11i
regroupant 802.1x et TKIP.
WPA2 Renforce la scurit WPA en se basant sur lalgorithme de chiffrement AES.
WPA-PSK - Pre Shared Key : Mode permettant de profiter de la scurit WPA ans
disposer de serveur d'authentification. La configuration du WPA-PSK commence par la
dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en
utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps
prdfini.
16.5 Annuaire
LDAP Light Directory Access Protocol: LDAP est un protocole pour accder diffrents
services dun annuaire (interrogation, mise jour, etc). Les annuaires peuvent tre de
diffrents types.
LDAPS LDAP over SSL: Protocole scuris pour accder un annuaire.
68 Livre blanc UCOPIA