UCOPIA Livre Blanc

Livre blanc UCOPIA
La mobilit la hauteur des exigences

professionnelles
Avril 2012
2 Livre blanc UCOPIA
Table des matires

Livre blanc UCOPIA .................................................................................................................................. 1
1 Introduction ..................................................................................................................................... 5
2 Prsentation gnrale de la solution UCOPIA ................................................................................. 6
2.1 Architecture globale de la solution UCOPIA ............................................................................. 7
3 Les fonctionnalits UCOPIA.............................................................................................................. 8
3.1 La scurit ................................................................................................................................. 8
3.1.1 Certification de scurit CSPN ........................................................................................... 8
3.1.2 Authentification ................................................................................................................. 9
3.1.2.1 Authentification depuis le portail Web captif UCOPIA ............................ 9
3.1.2.2 Authentification par login/mot de passe et protocole 802.1x ................13
3.1.2.3 Authentification par certificats et protocole 802.1x .............................13
3.1.2.4 Authentification par adresse MAC ou adresse IP .................................13
3.1.2.5 Authentification en environnement Windows ......................................13
3.1.3 Contrle daccs par profil utilisateur ............................................................................. 13
3.1.4 Traabilit ........................................................................................................................ 13
3.1.5 Organisation en rseaux virtuels (VLAN) ......................................................................... 14
3.1.6 Filtrage dURLs ................................................................................................................. 14
3.1.7 Dtection dintrusion ....................................................................................................... 15
3.1.8 Scurit Radio .................................................................................................................. 15
3.2 La mobilit .............................................................................................................................. 15
3.2.1 Modle de mobilit ......................................................................................................... 15
3.2.2 Profils adaptables ............................................................................................................ 16
3.2.3 Transparence daccs ou Zro configuration ............................................................ 16
3.2.4 Qualit de Service ............................................................................................................ 17
3.2.5 Application mobile pour smartphones ............................................................................ 18
3.3 Ladministration ...................................................................................................................... 19
3.3.1 Administrateur................................................................................................................. 19
3.3.1.1 Administration des politiques de mobilit ...........................................19
3.3.1.2 Supervision et traabilit .................................................................20
3.3.1.3 Configuration du botier UCOPIA .......................................................24
3.3.1.4 Exploitation du botier UCOPIA .........................................................24
3.3.2 Portail de dlgation ....................................................................................................... 24
3.3.3 Administration centralise .............................................................................................. 26
3.3.4 Administration SNMP ...................................................................................................... 27
3.3.5 Administration via CLI ...................................................................................................... 27
3.3.6 Exportation Syslog ........................................................................................................... 27
4 L architecture UCOPIA................................................................................................................... 27
4.1 Le contrleur UCOPIA ............................................................................................................. 28
4.2 Ladministrateur UCOPIA ........................................................................................................ 30
4.3 Les points daccs Wi-Fi .......................................................................................................... 31
4.4 Prrequis des postes utilisateurs ............................................................................................ 31
5 Intgration UCOPIA dans une infrastructure rseau ..................................................................... 32
5.1 Intgration avec un ou plusieurs annuaires dentreprise ....................................................... 32
5.2 Adressage IP et architectures VLAN........................................................................................ 35
5.3 Intgration RADIUS ................................................................................................................. 37
5.4 Intgration avec une architecture PKI .................................................................................... 38
5.5 Intgration dans les architectures universitaires ................................................................... 38
5.5.1 Architecture EDUROAM................................................................................................... 38
5.5.2 Architecture Shibboleth................................................................................................... 39

5.6 Couplage avec un produit tiers ............................................................................................... 40
5.6.1 Couplage avec un PMS (Property Management System) ................................................ 41
5.6.2 Couplage avec un PPS (Pre Paid System) ......................................................................... 42
6 Architectures rseau ...................................................................................................................... 42
6.1 Architectures mono site.......................................................................................................... 42
6.2 Architectures multi sites ......................................................................................................... 45
6.2.1 Architectures multi botiers UCOPIA ............................................................................... 45
6.2.2 Exemples darchitectures multi sites ............................................................................... 46
6.3 Architecture multi zones......................................................................................................... 48
7 Haute disponibilit ......................................................................................................................... 49
7.1 Redondance ............................................................................................................................ 50
7.2 Rpartition de charge ............................................................................................................. 50
8 Exploitation du botier UCOPIA et gestion de parc ........................................................................ 51
8.1 Exploitation via la plate-forme de gestion de parc ................................................................. 51
8.2 Gestion de parc destination des partenaires UCOPIA ......................................................... 52
9 Gammes UCOPIA............................................................................................................................ 54
10 Performances ................................................................................................................................. 57
11 Appliances matrielles ................................................................................................................... 57
12 Appliances virtuelles ...................................................................................................................... 61
13 Services .......................................................................................................................................... 61
13.1 Maintenance ....................................................................................................................... 61
13.2 Service GOLD ....................................................................................................................... 61
14 Conclusion ...................................................................................................................................... 62
15 Annexe 1 : Documentation ............................................................................................................ 62
15.1 Manuels ............................................................................................................................... 62
15.2 APIs ...................................................................................................................................... 63
15.3 Couplage avec produits tiers ............................................................................................... 64
15.4 Certification de securit ...................................................................................................... 64
16 Annexe 2 : Glossaire ....................................................................................................................... 64
16.1 Rseau ................................................................................................................................. 64
16.2 Wi-Fi .................................................................................................................................... 65
16.3 Authentification .................................................................................................................. 65
16.4 Chiffrement ......................................................................................................................... 66
16.5 Annuaire .............................................................................................................................. 67
Table des figures

Figure 1: La solution UCOPIA pour la scurit et la mobilit en entreprise............................................ 7
Figure 2: Architecture globale de la solution UCOPIA ............................................................................ 7
Figure 3: Page d'accueil du portail UCOPIA ........................................................................................... 11
Figure 4: Affichage des services autoriss depuis le portail UCOPIA .................................................... 11
Figure 5: Edition du portail UCOPIA ...................................................................................................... 12
Figure 6: Architecture VLAN UCOPIA .................................................................................................... 14
Figure 7: Le modle de mobilit UCOPIA .............................................................................................. 16
Figure 8: Application UCOPIA pour Smartphones ................................................................................. 19
Figure 9: Dfinition dun profil utilisateur ............................................................................................. 20
Figure 10: Journal des sessions utilisateurs .......................................................................................... 21
Figure 11: Journal dactivit (services dun utilisateur) ........................................................................ 22
Figure 12: Journal dactivit (URLs visites par un utilisateur) ............................................................. 23
Figure 13: Visualisation de statistiques ................................................................................................. 24
Figure 14: Portail de dlgation Plages horaires ................................................................................ 25
Figure 15: Portail de dlgation Gestion des utilisateurs .................................................................. 26
Figure 16: Architecture UCOPIA ............................................................................................................ 28
Figure 17: Architecture du contrleur UCOPIA ..................................................................................... 29
Figure 18: Architecture des outils d'administration UCOPIA ................................................................ 30
Figure 19: Processus de connexion d'un utilisateur .............................................................................. 32
Figure 20: Configuration d'un annuaire externe d'authentification ..................................................... 33
Figure 21: Authentification avec cascade dannuaires.......................................................................... 34
Figure 22: Configuration du contrleur (annuaires dauthentification)............................................... 35
Figure 23: Configuration IP/VLAN par dfaut du contrleur UCOPIA ................................................... 36
Figure 24: Politiques dadressage en fonction du profil utilisateur ...................................................... 36
Figure 25: Politiques d'adressage et VLANs de sortie ........................................................................... 36
Figure 26: Configuration RADIUS .......................................................................................................... 37
Figure 27: Architecture EDUROAM avec UCOPIA ................................................................................. 39
Figure 28 : Architecture Shibboleth avec UCOPIA................................................................................. 40
Figure 29: Couplage avec un produit tiers ............................................................................................ 41
Figure 30: Couplage avec un PMS ......................................................................................................... 42
Figure 31: Exemple NO 1 darchitecture UCOPIA mono site ................................................................. 43
Figure 32: Exemple NO 2 d'architecture UCOPIA mono site.................................................................. 44
Figure 33: Administration centralise depuis le botier principal ......................................................... 45
Figure 34: Rplication d'annuaire UCOPIA en architecture multi botiers ............................................ 46
Figure 35: Exemple NO1 d'architecture UCOPIA multi sites .................................................................. 47
Figure 36: Exemple NO2 d'architecture UCOPIA multi sites ................................................................. 48
Figure 37: Architecture multi zones ...................................................................................................... 49
Figure 38: Architecture de redondance UCOPIA ................................................................................... 50
Figure 39: Architecture de rpartition de charge UCOPIA .................................................................... 51
Figure 40: Statistiques globales en fonction des gammes ou des numros de version ....................... 52
Figure 41: Nombre de connexions simultanes sur un botier ............................................................. 53
Figure 42: Architecture de la plate-forme de gestion de parc UCOPIA ................................................ 53
Figure 43 : Botier format Serveur 20 .............................................................................................. 57
Figure 44: Botier format "Serveur150" ................................................................................................ 57
Figure 45: Botier format "Serveur500" ................................................................................................ 58
Figure 46: Botier format "Serveur1000" .............................................................................................. 58
Figure 47: Botier format 1000 RDP ...................................................................................................... 58
Figure 48: Architecture du service GOLD .............................................................................................. 61
1 Introduction
Selon IDC, il y a 75 Millions de professionnels nomades en Europe, qui passent 70% de leur temps de
travail hors de leur bureau. Par ailleurs, le nombre demploys ne disposant pas dun bureau atteint
46 Millions et augmente de 4,4% par an (Gartner). Tous ces nomades ont besoin daccder Internet
et au Systme dinformation de lentreprise, dans leur bureau, en salle de runion, lhtel, chez
leurs clients et leurs fournisseurs. Ds lors quun accs nomade est propos, les employs se
connectent 1h45 de plus chaque jour, ce qui contribue une amlioration de la productivit de 22%
(Source NOP World). Autrement dit, la mobilit donne plus de souplesse et plus dutilisation donc
plus defficacit. Selon Forrester, 38% des entreprises fournissent chaque mois 20 visiteurs au
moins un accs rseau et 11% de ces entreprises dpassent les 200 visiteurs connects.
Les entreprises disposent dj dinfrastructures IP sur lesquelles circulent les flux gnrs par les
applications donnes et voix et continuent les tendre avec notamment des technologies sans fil
(Wi-Fi). Le dploiement dun accs nomade consiste donc mutualiser cette infrastructure pour
rpondre tous les utilisateurs (employs, clients, fournisseurs) et tous les usages (du simple accs
Internet jusqu un accs aux applications de lentreprise). La scurit est un enjeu essentiel :
authentification des utilisateurs et des terminaux, contrle des accs en fonction de lidentit de
lutilisateur, de son rle mais aussi du lieu et de lheure de connexion, traabilit des connexions et
des usages pour rpondre aux exigences lgales en vigueur. La simplicit de lusage et la gestion des
utilisateurs (ouverture de compte, gestion des droits daccs, assistance technique, etc.)
conditionnent lefficacit des accs nomades et le retour sur investissement.
UCOPIA dveloppe et commercialise deux gammes de produits : UCOPIA Advance et UCOPIA
Express. UCOPIA Advance est destine aux grands projets (nombreux utilisateurs, plusieurs sites,
intgration fine avec le LAN) des entreprises, des campus et des administrations. UCOPIA Express
vise les projets plus petits (mono site, quelques dizaines de connexions simultanes) mais privilgie la
simplicit de la mise en uvre et de lexploitation. UCOPIA Express est parfaitement adapte aux
besoins des collges, des htels, des cliniques et des PME en gnral. Avec UCOPIA, les employs,
clients ou fournisseurs peuvent se connecter dans les environnements professionnels et peuvent
accder trs simplement aux ressources de lIntranet, de lInternet ou de lExtranet avec la double
garantie de scurit et de qualit de service.
Ce livre blanc dcrit la solution UCOPIA dans son ensemble, toutes gammes de produits confondues.
Il prsente dans un premiers temps les composants de loffre et ses principales fonctionnalits. Une
deuxime partie est consacre larchitecture de la solution, le rle et le fonctionnement de chaque
composant et module sont prsents de faon dtaille. Une troisime partie est consacre la
faon dont la solution UCOPIA sintgre dans les architectures rseau existantes. La suite du
document aborde les diffrentes architectures UCOPIA (mono site, multi sites, etc.) ainsi que les
aspects redondance et performance. Finalement, les diffrentes gammes de loffre UCOPIA sont
prsentes avec pour chacune delle leurs objectifs et leurs fonctionnalits.
2 Prsentation gnrale de la solution UCOPIA

La solution UCOPIA est une solution scurise ddie la gestion de la mobilit dans les rseaux sans
fil Wi-Fi et filaires. Les principaux avantages dUCOPIA sont les suivants.
La Scurit de lentreprise et des utilisateurs: UCOPIA propose une authentification
forte construite sur une architecture 802.1x et un serveur RADIUS. Une fois authentifi,
lutilisateur bnficie dun chiffrement WPA ou WPA2 afin de garantir la confidentialit
de ses communications. Un mode dauthentification bas sur HTTPS et un portail Web
(login et mot de passe) est galement propos afin daccueillir sans contraintes les
visiteurs. UCOPIA permet de dfinir puis de contrler finement les droits daccs en
prenant en compte lidentit de lutilisateur, la nature du service demand, le lieu et
lheure de la demande. De plus, UCOPIA assure une parfaite traabilit du trafic des
utilisateurs afin de garantir la conformit aux lois anti-terroristes.
Le confort et la productivit des utilisateurs : quiconque a utilis son PC hors de son
bureau ou de son entreprise a pu constater la difficult y retrouver ses applications
mme les plus courantes : accs Internet ncessitant la reconfiguration du navigateur
pour prendre en compte un ventuel Proxy, impossibilit denvoyer des messages sous
son compte professionnel et difficult utiliser une imprimante. UCOPIA rsout tous ces
problmes automatiquement : accs zro configuration, sans assistance technique, avec
une qualit de service contrle et prvisible.
Lintgration dans les infrastructures de communication et de scurit : les entreprises
disposent dune infrastructure rseau (DHCP, VLAN, VPN, annuaire, etc.). Le Wi-Fi doit
sintgrer dans cet existant en souplesse. UCOPIA grce son approche modulaire et
ouverte apporte des rponses toutes ses questions et permet aux entreprises de
dployer du Wi-Fi sans remettre en cause son existant.
La simplicit de la mise en uvre et de ladministration: le botier UCOPIA sinstalle et
se configure trs simplement grce ses outils dadministration conviviaux. La cration
des profils et des comptes utilisateurs est la porte dun non spcialiste. UCOPIA
combine ainsi une scurit professionnelle une simplicit de mise en uvre
exceptionnelle.
Figure 1: La solution UCOPIA pour la scurit et la mobilit en entreprise
2.1 Architecture globale de la solution UCOPIA

La solution UCOPIA se prsente sous la forme dune Appliance matrielle (ou virtuelle) et vient se
greffer sur une infrastructure Wi-Fi ou filaire. Cette infrastructure est connecte au rseau local
dentreprise travers le botier UCOPIA qui joue le rle de passerelle et de contrleur comme dcrit
dans le schma ci-dessous.
Figure 2: Architecture globale de la solution UCOPIA

Deux composants principaux constituent le botier UCOPIA :

Le contrleur implmente lauthentification base soit sur un portail captif HTPPS, soit
sur une architecture 802.1x et un serveur RADIUS, le contrle daccs par filtrage des flux
utilisateurs, la dtection et la correction automatique des flux mal configurs, la qualit
de service et la traabilit du trafic des utilisateurs.
Ladministrateur permet dadministrer lensemble de la solution UCOPIA, configuration
du contrleur, dfinition des politiques de scurit et de mobilit de lentreprise,
supervision. De plus loutil dadministration permet de dlguer des utilisateurs
habilits un droit dadministration limite (par exemple provisionnement de comptes
pour accueillir des visiteurs dans une entreprise ou les clients dun htel).
Lensemble des outils dadministration UCOPIA est disponible en franais et en anglais. Le portail
captif destin aux utilisateurs est propos en plusieurs langues. Le choix de langue est dynamique.
3 Les fonctionnalits UCOPIA

3.1 La scurit
La scurit est un lment essentiel pour un utilisateur nomade, UCOPIA offre les moyens de mettre
en uvre les mcanismes de scurit indispensable dans un contexte de mobilit, il permet
notamment dinstaller un climat de confiance mutuelle entre le nomade et son environnement
daccueil.
La solution UCOPIA permet un utilisateur de se connecter en toute scurit grce ses mcanismes
dauthentification. Lutilisateur, une fois authentifi, ne peut accder quaux applications autorises
par son ou ses profils. Les profils peuvent dpendre du lieu ou de lheure de connexion. UCOPIA
utilise les architectures VLAN pour renforcer le cloisonnement des diffrentes populations
dutilisateurs.
3.1.1 Certification de scurit CSPN
Le produit UCOPIA a obtenu une certification CSPN dlivr par lANSSI (Agence Nationale de la
Scurit des Systmes dInformation). Cela consiste attester que le produit a subi avec succs une
valuation par un centre dvaluation agr par lANSSI dans un temps et une charge contraints
conduisant une certification.
Les travaux dvaluation ont eu pour objectifs :
de vrifier que le produit est conforme ses spcifications de scurit (authentification,
contrle daccs par profil, traabilit, etc.) ;
de coter les mcanismes de faon thorique, de recenser les vulnrabilits connues de
produits de sa catgorie ;
de soumettre le produit des tests de vulnrabilit visant contourner ses fonctions de
scurit.
Voir le site de lANSSI pour consulter les lments de certification.
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-
cspn/certificat_cspn_2010_01.html
3.1.2 Authentification
UCOPIA propose plusieurs modes dauthentification, allant dune authentification de type portail
Web captif base sur HTTPS jusqu une authentification forte base sur le protocole 802.1x/EAP.
Ces diffrents modes dauthentification cohabitent dans un mme rseau, ventuellement sous
diffrents rseaux logiques (VLAN), chacun correspondant diffrentes catgories dutilisateurs. Par
exemple, une entreprise peut proposer ses employs une authentification forte base sur des
certificats en EAP/TLS et peut rserver lauthentification par login et mot de passe depuis un portail
Web ses visiteurs. Dans chaque mode dauthentification, la cl dauthentification a une dure
limite dans le temps.
3.1.2.1 Authentification depuis le portail Web captif UCOPIA
Ce mode dauthentification est comparable dun point de vue ergonomique celui utilis par les
hotspots. Lutilisateur, louverture de son navigateur Web, se voit automatiquement redirig vers
une page Web dauthentification hberge par le contrleur UCOPIA ou ventuellement externe
celui-ci. La page lui propose de sauthentifier en utilisant un couple login/mot de passe (mode
standard), une fois lauthentification russie, les services autoriss saffichent dans la fentre et
lutilisateur peut en faire usage.
Modes de fonctionnement du portail

Diffrents modes de fonctionnement du portail sont proposs :
Le mode standard (celui dcrit plus haut) : ce mode suppose que lutilisateur dispose
dun couple login/mot de passe et donc quun compte soit pralablement cr pour cet
utilisateur par, soit ladministrateur UCOPIA, soit un administrateur dlgu.
Le mode avec enregistrement libre : lutilisateur senregistre sur le portail en indiquant
son nom, prnom et ventuellement son email et son numro de tlphone. Il reoit ses
identifiants directement sur le portail. Lavantage de ce mode est de privilgier la
simplicit dusage. Linconvnient est quil autorise toute personne se connecter.
Toutefois, il est possible dajouter un mot de passe pralable pour accder au portail, ce
mot de passe sera le mme pour tous les utilisateurs du portail.
Le mode avec enregistrement par SMS : lutilisateur sauto-enregistre sur le portail en
indiquant son nom, prnom et numro de tlphone mobile. Il reoit son mot de passe
par SMS sur son tlphone, son login sera son numro de tlphone. Pour mettre en
uvre ce type de portail, il faudra que lorganisation utilisant la solution UCOPIA
sabonne une des plates-formes de SMS proposes par UCOPIA. La traabilit est
garantie grce au numro de tlphone mobile. Ce mode prsente lavantage de ne
demander aucune intervention de ladministration puisque le compte de lutilisateur est
automatiquement cr par auto-enregistrement. Linconvnient de cette solution est
quelle autorise toute personne se connecter ds lors quelle est en mesure de fournir
un numro de tlphone valide. Toutefois, il est possible dajouter un mot de passe
pralable pour accder au portail, ce mot de passe sera le mme pour tous les
utilisateurs du portail.
Le mode avec enregistrement par email : lutilisateur sauto-enregistre sur le portail en
indiquant son nom, prnom et adresse email. Il reoit ses identifiants par email. Pour
mettre en uvre ce type de portail, ladministration devra ouvrir tout ou partie du
rseau pendant un laps de temps donn afin que lutilisateur puisse consulter sa
messagerie. La traabilit est garantie grce lemail de lutilisateur. A linstar du mode
avec inscription par SMS, ce mode prsente lavantage de ne demander aucune
intervention de ladministration puisque le compte de lutilisateur est automatiquement
cr par auto-enregistrement. Il prsente de plus lavantage dtre gratuit, le mode SMS

ayant le cot denvoi du SMS. Linconvnient de cette solution est quelle autorise toute
personne se connecter ds lors quelle est en mesure de fournir un email valide.
Toutefois, il est possible dajouter un mot de passe pralable pour accder au portail, ce
mot de passe sera le mme pour tous les utilisateurs du portail.
Le mode avec authentification Shibboleth : lutilisateur peut sauthentifier avec ses
identifiants Shibboleth. Pour cela, il est redirig sur une page lui permettant tout dabord
de slectionner son tablissement dappartenance puis dentrer ses identifiants de
connexion. Nous rappelons que Shibboleth est un mcanisme de propagation d'identit
dploy plus particulirement en environnement universitaire (voir Section 5.5.2).
Le mode avec paiement en ligne : lutilisateur peut acheter un temps de connexion ou
crdit temps en ralisant un paiement en ligne. Lutilisateur est invit choisir un forfait
sur le portail UCOPIA puis est redirig vers le site Paypal sur lequel il peut payer soit en
utilisant son compte Paypal soit en utilisant sa carte de crdit. Une fois la transaction
effectue avec succs, lutilisateur peut se connecter sur le portail UCOPIA en utilisant le
login et mot de passe dlivrs par UCOPIA sur le portail. Optionnellement les identifiants
peuvent tre dlivrs par SMS. La traabilit est assure car UCOPIA rcupre les
informations nominatives de lutilisateur depuis le site PayPal. Pour mettre en uvre ce
type de portail lorganisation utilisant UCOPIA doit possder un compte PayPal afin de se
voir rtribue des achats des utilisateurs.
Le mode avec utilisation dun PMS (Property Management System) : ce portail
fonctionne en association avec un produit de facturation. Le couplage UCOPIA/PMS
utilise une notion de forfait. Le forfait est dfini par ladministrateur UCOPIA. Cela peut
tre un forfait 1h, 3h, ou forfait emails , ou forfait Tous les jours ouvrs de 16h
18h , etc. Les forfaits sont proposs au choix de lutilisateur sur le portail UCOPIA aprs
authentification.
Le mode avec utilisation de cartes prpayes PPS (Pre Paid System) : Ce portail
fonctionne en association avec un produit de cartes prpayes. A chaque carte est
associ un temps de connexion. Lutilisateur sauthentifie sur le portail avec lidentifiant
de sa carte et un captcha code. Le temps octroy par la carte et le temps consomm
saffichent sur le portail aprs authentification.
Le mode automatique : dans ce mode, lutilisateur est redirig vers une page Web
dfinie au pralable. Ds lors que la redirection est effectue, lutilisateur est authentifi
avec un compte gnrique. Cette solution nassure pas la traabilit de lutilisateur.
Le mode avec redirection vers un portail dentreprise : il est possible de rediriger
lutilisateur vers un portail externe UCOPIA. Ce fonctionnement peut tre intressant
pour, par exemple, alimenter une base de donnes Marketing. Concernant
lauthentification de lutilisateur, deux modes sont proposs, (1) revenir sur le portail
UCOPIA, (2) rester sur le portail dentreprise qui devra alors tre enrichi avec le dialogue
dauthentification UCOPIA. Pour ce dernier cas, UCOPIA fourni une API permettant de
raliser le dialogue dauthentification.
Certains de ces modes peuvent cohabiter, il est par exemple possible de prsenter un portail qui
combine le mode standard (login/mot de passe) avec un ou plusieurs modes dauto-enregistrement
(SMS, email ; ).
La copie dcran suivante montre la page daccueil du portail UCOPIA permettant une
authentification par login et mot de passe (mode standard) ainsi quune authentification par email
ou SMS.
Figure 3: Page d'accueil du portail UCOPIA

Une fois lutilisateur authentifi, les services autoriss par son profil saffichent dans la fentre.
Figure 4: Affichage des services autoriss depuis le portail UCOPIA

Compatibilit avec les diffrents types de terminaux

Le portail UCOPIA reconnait le type de terminal utilis (PC, Smartphone ou tablette) et peut ainsi
proposer un portail dont le format est appropri au terminal.
Rauthentification automatique
Par dfaut, UCOPIA propose un mcanisme permettant de renforcer la scurit pour le mode
dauthentification par portail en mettant en oeuvre une authentification qui est rejoue
priodiquement et de faon transparente pour lutilisateur. Dans ce cas, il faudra que lutilisateur
conserve la fentre du portail ouverte pour que sa connexion reste active. Il est nanmoins possible
de dsactiver cette option de scurit par configuration, lutilisateur sera alors dconnect quand il
teindra son poste ou dsactivera sa connexion rseau.
Utilisation dun mme couple didentifiants pour plusieurs connexions simultanes
Par dfaut, le mme login/mot de passe ne peut tre utilis pour deux connexions simultanes, et ce
pour des raisons de traabilit et de scurit. Cette option peut toutefois tre dsactive pour
autoriser plusieurs postes utilisateurs (PC, Smartphone) se connecter avec le mme couple
didentifiants. Il est possible de contrler le nombre de connexions simultanes pour un profil
utilisateur donn.
Multi portails
Les diffrents modes de portails peuvent cohabiter, en effet, chaque zone (voir Section 6.3) en
entre du botier UCOPIA, il est possible dassocier un portail fonctionnant dans un mode particulier.
Par exemple, dans un htel, les clients du restaurant sauto-enregistrent sur le portail (mode SMS) et
ont une dure de connexion limite 30 minutes, les clients de lhtel disposent dun compte
utilisateur cr lors de leur inscription et peuvent se connecter sans limite de temps.
Personnalisation du portail
Il est noter que ce portail est personnalisable grce un mode Edition permettant de changer le
fond dcran, le logo, dajouter des images, du texte, des URLs accessibles sans authentification, etc.
La copie dcran ci-dessous montre le portail en mode Edition .
Figure 5: Edition du portail UCOPIA

Pour une personnalisation plus avance, le code HTML du portail peut tre export, retravaill et
rimport dans le contrleur UCOPIA.
3.1.2.2 Authentification par login/mot de passe et protocole 802.1x
Les protocoles tels que PEAP ou TTLS peuvent tre utiliss pour lauthentification par login/mot de
passe. En effet, un serveur RADIUS est embarqu dans le contrleur UCOPIA permettant de jouer le
rle du serveur dauthentification de larchitecture 802.1x.
3.1.2.3 Authentification par certificats et protocole 802.1x
Lauthentification par certificat repose sur le protocole 802.1x/EAP-TLS qui s'appuie sur une
infrastructure de type PKI. Le serveur RADIUS et le client du rseau sont munis de certificats dlivrs
par une autorit de certification commune. UCOPIA sappuie sur des certificats mis par un tiers de
confiance. Ce mode dauthentification offre un compromis entre scurit et simplicit de
dploiement.
3.1.2.4 Authentification par adresse MAC ou adresse IP
UCOPIA propose galement une authentification base sur ladresse MAC ou ladresse IP. Ce mode
peut savrer utile pour authentifier des quipements IP qui nauraient pas la capacit
sauthentifier avec des protocoles plus labors tel que 802.1x.
3.1.2.5 Authentification en environnement Windows
UCOPIA permet de raliser, en environnement Windows, une authentification machine avant
lauthentification de lutilisateur. Lobjectif de lauthentification machine, au del de sa fonction
premire dauthentification, va permettre de dclencher sur le serveur Windows des scripts (type
Netlogon), qui vont par exemple monter des lecteurs rseaux, excuter des scripts de mise jour
antivirus, dmarrer certains utilitaires spcifiques, etc.
3.1.3 Contrle daccs par profil utilisateur
Le contrle daccs des utilisateurs doit sexercer de manire fine, en fonction de lutilisateur et de
ses droits. Pour ce faire le contrleur UCOPIA utilise un mcanisme de filtre bas sur des rgles et
construit partir du profil de lutilisateur. Le filtre est install sur le contrleur ds quun utilisateur
est authentifi. Il sera supprim lors de sa dconnexion.
Le profil de lutilisateur dcrit les droits daccs aux applications, la dure et le mode de connexion,
les plages horaires et les zones autorises de connexion, etc. Un mme utilisateur peut avoir
plusieurs profils dpendant de diffrents critres (lieu et temps).
Le filtre peut proposer de nombreuses autres fonctionnalits que lon peut mettre en uvre dans un
rseau Wi-Fi. La scurit en est un exemple, mais dautres applications tout aussi importantes
peuvent galement tre intgres cet environnement. Dans le cadre de la solution UCOPIA, le
filtrage est utilis notamment pour grer la qualit de service ou pour corriger au vol certains flux
mal configurs.
3.1.4 Traabilit
UCOPIA enregistre et sauvegarde deux types dinformation : les informations de sessions des
utilisateurs (qui sest connect quand) et les informations de trafic (qui a fait quoi). En effet, ds lors
qu'une organisation accueille des visiteurs, elle a l'obligation lgale de conserver le trafic Internet
des visiteurs qui se connectent au rseau (loi du 23 janvier 2006 sur le terrorisme et la traabilit)
(voir Section 3.3.1.2).
3.1.5 Organisation en rseaux virtuels (VLAN)
UCOPIA offre la possibilit dutiliser des VLAN en entre et en sortie du contrleur UCOPIA. En effet,
trs souvent les entreprises architecturent leur rseau en VLAN et il est important en installant
UCOPIA de pouvoir continuer bnficier des mcanismes disolation rseau mis en place sur le
rseau existant.
Considrons le cas dun dploiement Wi-Fi, chaque SSID configur sur les points daccs Wi-Fi est
associ un VLAN, ces VLANs se retrouvent en entre du botier UCOPIA. Le contrleur UCOPIA alloue
des plages dadresses IP distinctes pour chacun des VLANs. Par dfaut UCOPIA fonctionne en mode
NAT mais peut tre configur en mode routage au niveau de chaque VLAN de sortie en fonction du
profil de lutilisateur (voir Section Adressage IP et architectures VLAN).
Par ailleurs, en fonction de son profil, le flux dun utilisateur pourra tre rinject en sortie du botier
UCOPIA dans un VLAN particulier.
Le schma ci-dessous illustre une architecture VLAN pour deux types de populations, des visiteurs et
des employs dune entreprise. Les visiteurs sauthentifient en mode portail Web et les employs en
802.1x. Chacune des populations est redirige dans son VLAN dappartenance ct rseau
dentreprise.
Figure 6: Architecture VLAN UCOPIA
3.1.6 Filtrage dURLs
Le produit UCOPIA na pas la vocation filtrer les URLs, son rle consiste les journaliser des fins
de traabilit. Le filtrage dURLs est assur par des outils tiers avec lesquels UCOPIA peut
communiquer.
La communication entre UCOPIA et un produit de filtrage dURLs peut stablir de deux manires,
soit par une redirection des flux HTTP, soit par un connecteur spcifique.
La premire solution base sur la redirection de flux HTTP est ralise grce au proxy Web embarqu
dans le contrleur UCOPIA. Il est possible dune part de rediriger les flux vers le produit en charge du
filtrage dURLs et dautre part de lui communiquer les informations relatives lutilisateur (login et
mot de passe). Ceci permet au produit de filtrage dappliquer des politiques diffrentes en fonction
des utilisateurs.
La deuxime solution se base sur un connecteur qui permet pour chaque URLs en sortie dUCOPIA de
vrifier si elle est autorise ou non. UCOPIA propose un connecteur avec le produit Olfo.
3.1.7 Dtection dintrusion
UCOPIA permet de dtecter et de contrer des attaques consistant usurper lidentit dun
utilisateur. Lusurpation seffectue sur le mme rseau Ethernet en falsifiant des adresses ARP (MAC)
pour des adresses IP donnes. Ce type dattaque est plus sensible en cas dutilisation dun mode
dauthentification par portail moins scuris quun mode 802.1x qui ne dlivre pas dadresse IP avant
authentification de lutilisateur. Dans ce type dattaque, le poste cibl par l'attaque mettra jour sa
table ARP avec une fausse adresse MAC et ne pourra plus communiquer avec le botier UCOPIA.
UCOPIA, une fois lattaque dtecte, se charge en temps rel de remettre dans un tat cohrent les
tables ARP des postes attaqus.
3.1.8 Scurit Radio
La confidentialit des donnes transmises est assure par les quipementiers qui commercialisent les
cartes IEEE 802.11 et les points daccs. Cette scurit est de type WPA (Wireless Protected Access)
ou WPA2 qui offre les fonctions de chiffrement TKIP ou AES, utilisant des clefs dynamiques. UCOPIA
est bien sr compatible avec ces protocoles. UCOPIA est plus gnralement compatible 802.11i.
3.2 La mobilit
La gestion de la mobilit consiste dfinir quelles sont les politiques de mobilit de lentreprise
dune part et les mettre en uvre dautre part. Par ailleurs, il faut que lutilisateur nomade puisse
accder en tout lieu aux services autoriss de faon simple et transparente et lui garantir la Qualit
de Service ncessaire la bonne excution de ses applications.
3.2.1 Modle de mobilit
UCOPIA a dfini un modle de mobilit prenant en compte plusieurs dimensions, le Qui , Quoi ,
Quand, O et Comment . Le Qui identifie les utilisateurs du rseau, le Quoi les
applications accessibles depuis ce rseau. La plupart des systmes traitant de scurit sur les rseaux
sans fil sarrtent ces deux dimensions. UCOPIA prolonge ce modle, le Quand introduit la
notion de temps, par exemple, les employs dune entreprise peuvent se connecter toute heure
alors que les visiteurs uniquement aux heures daccueil de lentreprise. Le O va conditionner les
droits daccs de lutilisateur, en effet, les droits peuvent tre diffrents en fonction du lieu sur
lequel il se connecte. Cette dimension de lieu va introduire une dernire dimension qui est le
Comment , en effet, le fait dtre sur des sites diffrents peut amener utiliser un mode
dauthentification particulier.
Exemple : un utilisateur se trouvant au sige de son entreprise utilisera une authentification forte de
type 802.1x, accdera sans restrictions au LAN dentreprise, et ce toute heure de la journe. Quand
il se trouvera sur une filiale de lentreprise, il utilisera un mode dauthentification de type portail
Web et ses droits daccs seront limits la fois en terme de services (accs Internet ou VPN
dentreprise) et en terme de plages horaires (de 9h 18h).
Figure 7: Le modle de mobilit UCOPIA
3.2.2 Profils adaptables
La mise en uvre du modle de mobilit UCOPIA sappuie sur la notion de profil utilisateur
adaptable. En effet, UCOPIA, dans sa gamme Advance, permet dadapter automatiquement le profil
du nomade en fonction de diffrents critres : le lieu de connexion (site, zone), lheure de connexion,
voire le botier UCOPIA sur lequel le nomade se connecte.
Grce aux profils adaptables, il est ais de spcifier les configurations suivantes :
1. Les tudiants qui si connectent dans la zone Amphithatre pendant la priode dexamens
voient leurs droits daccs modifis (pas dInternet, accs uniquement aux serveurs
pdagogiques).
2. Les tudiants qui se connectent dans la zone Bibliothque se connectent avec un crdit
temps de 2 heures par jour, ils nont pas de limite de temps sur la zone Rsidence
Universitaires .
3. Les employs dune entreprise se connectent en authentification forte (802.1x) sur le sige
social et peuvent accder au LAN sans restrictions, ils sauthentifient en mode portail sur une
filiale et voient leurs droits daccs restreints (Internet, VPN dentreprise).
4. Les clients dun htel qui se connectent dans les chambres ont une connexion illimite, ils
ont un crdit temps dans les zones restaurant et accueil.
3.2.3 Transparence daccs ou Zro configuration
Lobjectif de la transparence daccs est de permettre des utilisateurs ne connaissant pas

linfrastructure daccueil de pouvoir utiliser leur terminal et leurs applications sans besoin de
configuration ou dinstallation particulire.
La transparence daccs gre par UCOPIA est base sur la technologie de filtrage. Puisque le filtre
est capable de reconnatre le type dapplication et lutilisateur metteur et rcepteur, il peut
dterminer que lapplication est inadapte au contexte prsent. Par exemple, un client visiteur dune
entreprise se connectant sur le rseau sans fil et qui souhaite mettre un message ou bien imprimer
un document, ne peut effectuer ces travaux parce quil ne possde pas le droit ou plus simplement
parce quil na pas les drivers ncessaires. Le filtre est capable de dtecter ces problmes et de
proposer des solutions. En voici quelques exemples.
Adressage IP : la configuration rseau du terminal de lutilisateur importe peu. En effet,
quil soit configur en adressage IP fixe ou en adressage DHCP, le contrleur UCOPIA se
charge dtablir la connexion de faon transparente pour lutilisateur.
Accs Internet: beaucoup dentreprises mettent en place des proxy Internet pour des
raisons de scurit et les navigateurs des employs de ces entreprises sont configurs en
consquence afin dutiliser le proxy. Si un tel utilisateur tente daccder Internet dans
un environnement sans proxy Web ou avec un autre proxy, cela ne fonctionne pas : il
doit modifier la configuration de son navigateur. UCOPIA assure le bon fonctionnement
du navigateur de lutilisateur indpendamment de sa configuration et il redirige si besoin
est vers le proxy dentreprise.
Email: envoyer un email depuis un environnement qui nest pas son environnement
habituel gnralement choue car les rseaux des entreprises sont construits pour se
protger de ce type de message qui pourrait par exemple servir de couverture des
mcanismes de spam . UCOPIA dtecte les messages sortants de type SMTP et
redirige automatiquement les paquets vers le serveur SMTP local de lentreprise si bien
sr lutilisateur est autoris envoyer un message. Lutilisateur ne modifie pas sa
configuration de client de messagerie et le mail peut partir en toute transparence.
Impression : imprimer un document dans un environnement qui nest pas le sien relve
trs souvent du dfi. Il faut connatre le type dimprimante, savoir quel est son driver, o
il se trouve, comment linstaller. UCOPIA apporte la rponse ce type de problme, le
contrleur embarque un serveur dimpression dont le rle est de mettre disposition de
faon transparente le driver de limprimante.
Confrence Web: des services ncessitant des tlchargements de composants (applets
par exemple) tels que des services de confrence Web peuvent tre mis disposition des
utilisateurs de faon transparente. En effet, si ces services ncessitent lutilisation
dapplets, le contrleur jouant le rle de proxy peut hberger les applets et les proposer
automatiquement. Au del de la transparence, ce mcanisme vite que les applets soient
bloques par les firewalls de lentreprise. Par ailleurs, il contribue la scurit et
lamlioration des performances.
3.2.4 Qualit de Service
UCOPIA peut diffrencier les flux traversant les botiers UCOPIA et ainsi grer des priorits de flux en
fonction des choix de ladministrateur.
Trois niveaux de gestion de la Qualit de Service sont proposs :
Au niveau des services
Au niveau des profils utilisateurs
Au niveau des utilisateurs
QoS par service
Pour chaque service, il est possible de dfinir :
La priorit de traitement des services
Les services dfinis dans le contrleur UCOPIA peuvent avoir deux niveaux de priorit :
temps rel ou normal. Les flux de type de temps rel sont traits en priorit.
Le dbit garanti des services
Par dfaut, les services se partagent la bande passante disponible. UCOPIA permet de
configurer chaque service afin de garantir un dbit pour chacun deux.
Le dbit garanti est exprim en kilo bit par secondes (Kbps).
La limitation de bande passante
La limitation de bande passante sapplique un service et est exprime en Kbps. Les

paquets d'un flux dpassant cette limite sont limins.
QoS par profil utilisateur
Une limitation du dbit ascendant et descendant peut tre dfinie par profil utilisateur. Chaque
utilisateur ayant ce profil se verra attribuer ces limitations. Le dbit descendant correspond au flux
allant de la carte Ethernet IN vers OUT, le dbit ascendant correspond linverse.
QoS par utilisateur
Pour un utilisateur donn, la QoS peut tre personnalise surchargeant ainsi la QoS dfinie au niveau
du profil.
Lensemble de ces mcanismes de transparence daccs et de Qualit de Service mis en uvre par
UCOPIA garantit lutilisateur final productivit et confort dutilisation. Il rduit de faon
spectaculaire la charge de travail de lassistance technique car il nest plus ncessaire de la solliciter
lors dune connexion dans un environnement daccueil.
3.2.5 Application mobile pour smartphones
A complter
Une application UCOPIA pour Smartphones est disponible. Lobjectif de lapplication est double,
dune part simplifier la connexion un rseau UCOPIA, dautre part permettre un administrateur
dlgu de crer trs simplement un compte utilisateur.
Lapplication mmorise les identifiants de lutilisateur, ils sont rejous automatiquement en
prsence dune demande dauthentification et en fonction du contrleur UCOPIA sur lequel
lapplication se connecte.
Les comptes utilisateur peuvent tre cres directement partir des contacts du rpertoire du
Smartphone, les tickets de connexion peuvent tre envoys lutilisateur depuis le Smartphone par
SMS ou par email.
Lapplication UCOPIA est gratuite et disponible en franais et en anglais.
iPhone BlackBerry Androd

Figure 8: Application UCOPIA pour Smartphones
3.3 Ladministration
UCOPIA dispose de deux outils dadministration :
Un outil dadministration complet ddi ladministrateur rseau permettant de grer
les politiques de mobilit de lentreprise, lensemble de la configuration UCOPIA ainsi
que les aspects supervision et journalisation. Laccs cet outil peut tre rduit pour
interdire la consultation des journaux de connexions.
Un portail de dlgation permettant de dlguer des personnes habilites mais non
spcialistes rseau des droits dadministration limits. Par exemple, lors de laccueil dun
visiteur, cet outil permettra de provisionner un compte au visiteur, de lui attribuer un
profil (partenaire, client, fournisseur, ) octroyant des droits daccs et de lui dlivrer un
mot de passe dune dure limite lui permettant de se connecter sur le rseau.
Les outils dadministration UCOPIA sont accessibles travers une interface Web scurise en HTTPS.
3.3.1 Administrateur
3.3.1.1 Administration des politiques de mobilit

Loutil dadministration UCOPIA va permettre de dfinir les services qui seront accessibles depuis le
rseau daccueil, les profils utilisateurs (droits daccs, plages horaires, zones, etc.) et les utilisateurs.
Par dfaut un utilisateur hrite des proprits de son profil mais il est possible de redfinir pour un
utilisateur certaines proprits telles que sa dure de validit ou les plages horaires de connexion.
Les services sont caractriss par diffrents paramtres tels que les numros de ports, les adresses IP
des serveurs impliqus dans le service, les protocoles rseau, etc. UCOPIA est livr avec un ensemble
de services prdfinis (Web, Mail, Transfert de fichier, VPN, etc.), ces services sont bien sr
personnalisables.
Figure 9: Dfinition dun profil utilisateur
3.3.1.2 Supervision et traabilit

UCOPIA gre des journaux de sessions et de trafic, ces journaux sont crs localement sur le botier
UCOPIA et sont accessibles depuis loutil dadministration UCOPIA.
Les journaux de sessions
Concernant les journaux de sessions, les informations sauvegardes sont les suivantes :
Le login, nom et prnom de lutilisateur
Les adresses IP et MAC de lutilisateur
Le type dauthentification : 802.1x ou mode portail Web
Les horaires de connexion : heure laquelle lutilisateur sest connect, heure

laquelle il sest dconnect
Le profil de lutilisateur
Les champs additionnels ajouts par ladministrateur, par exemple nom de
socit, numro de carte didentit.
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
Figure 10: Journal des sessions utilisateurs

Les journaux dactivit ou de trafic
Concernant les journaux dactivit, les informations sauvegardes sont les suivantes :
Les types de services utiliss, la frquence dutilisation de chacun deux
Les adresses IP sources et destinations
Les numros de ports
Les URLS
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
Figure 11: Journal dactivit (services dun utilisateur)
La recherche dun utilisateur partir dune information est particulirement simple. Par exemple, la
copie dcran ci-dessous montre le rsultat de la demande qui a visit lURL www.google.com dans
un intervalle de temps dfini. UCOPIA retrouve le ou les utilisateurs rpondant ces critres,
lensemble des pages visites est prsent.
Figure 12: Journal dactivit (URLs visites par un utilisateur)
Les journaux peuvent tre compresss afin doptimiser la place sur le disque dur du botier UCOPIA.
Les journaux peuvent galement tre exports, manuellement ou automatiquement (via FTPS), vers
une machine tierce (voir le service GOLD).
Les journaux peuvent tre galement utiliss des fins de statistiques pour notamment mieux
apprhender lusage qui est fait du botier UCOPIA. Pour cela, UCOPIA propose diffrentes vues
statistiques prconfigures.
Figure 13: Visualisation de statistiques

La connaissance de lensemble de ces donnes dexploitation du rseau daccueil permet
ladministrateur UCOPIA doptimiser sa gestion en dterminant par exemple si le rseau est
correctement dimensionn pour rpondre aux besoins des utilisateurs. Il permet galement de
savoir quels sont les utilisateurs qui se connectent rgulirement sur le rseau, quels sont les
services qui sont sollicits, les ressources dployes pour ces demandes, etc.
3.3.1.3 Configuration du botier UCOPIA
A travers loutil dadministration, ladministrateur UCOPIA va pouvoir spcifier le paramtrage global
du botier (paramtres rseau, VLAN, etc.) et effectuer des configurations plus spcifiques telles que
cascade dannuaires ou configuration du RADIUS en mode proxy.
3.3.1.4 Exploitation du botier UCOPIA
Lexploitation du botier consiste grer les sauvegardes de lensemble de la configuration
(configuration rseau, personnalisation, annuaire UCOPIA, journaux), mettre jour le botier UCOPIA
avec les dernires Releases, mettre en place un tunnel pour autoriser la tlmaintenance (tunnel
entre le botier et les serveurs de maintenance UCOPIA), etc. (voir Section 8).
3.3.2 Portail de dlgation
Ladministrateur peut dlguer une ou plusieurs personnes le droit de crer des comptes
utilisateurs. Pour ce faire, un portail de dlgation est mis disposition de ces personnes habilites.
Ce portail est plus particulirement utilis pour accueillir des visiteurs dans une entreprise ou des
clients dans un htel. Le portail de dlgation ne ncessite aucune comptence technique, il sagit
dun outil Web trs simple dutilisation.
Les administrateurs dlgus peuvent tre dfinis localement dans lannuaire UCOPIA o appartenir
un annuaire dentreprise externe (Active Directory par exemple).
Prrogatives des administrateurs dlgus

Ladministrateur UCOPIA peut adapter le portail de dlgation en fonction des usages et des
utilisateurs. Ladministrateur peut en consquence crer diffrents profils ayant plus ou moins de
prrogatives. Le portail de dlgation sadaptera alors automatiquement en fonction des
prrogatives de son utilisateur. Par exemple, pour un usage simplifi, loutil pourra tre rduit sa
plus simple expression en gnrant un ticket de connexion partir des seules informations de nom et
prnom de lutilisateur. Pour un usage plus avanc, ladministrateur dlgu sera mme de crer
un compte en allouant un profil, une plage horaire, il pourra ventuellement modifier le compte
aprs cration, rditer un ticket de connexion, re-gnrer un mot de passe, dtruire le compte, etc.
Voici titre dexemple, une utilisation du portail de dlgation.
1. Renseignement des informations nominatives de lutilisateur
2. Choix dun profil parmi un ensemble de profils prdfinis
3. Choix de plages horaires et/ou de crdit temps
4. Gnration dun ticket de connexion rsumant les informations permettant lutilisateur de
se connecter (login, mot de passe, restrictions horaires, etc.)
5. Le ticket peut tre imprim, envoy par email ou par SMS suivant les possibilits de lUCOPIA
en place.
Les copies dcran ci-dessous montrent respectivement la slection dune plage horaire de connexion
et/ou dun crdit temps depuis le portail de dlgation ainsi que la gestion des comptes utilisateur.
Figure 14: Portail de dlgation Plages horaires

Figure 15: Portail de dlgation Gestion des utilisateurs
Personnalisation du portail de dlgation

Le portail de dlgation est personnalisable grce un mode Edition permettant de changer le
fond dcran, le logo, dajouter des images, du texte, etc.
Multi zones
A linstar du portail dauthentification, le portail de dlgation peut se dcliner par zone. Par
exemple, dans le cadre dune architecture centralise, une chane dhtels pourra proposer pour
chacune de ses enseignes un portail de dlgation aux couleurs de lenseigne.
Gnration de comptes en masse
Le portail de dlgation autorise la gnration de comptes en masse , cette fonctionnalit
savrant trs pratique lors dvnements tels que sminaires ou congrs. La cration en masse peut
seffectuer en important un fichier au format CSV afin dobtenir les informations nominatives des
utilisateurs. Les tickets de connexion peuvent tre imprims ou envoys par mail ou SMS.
3.3.3 Administration centralise
Dans le cas darchitecture multi sites, plusieurs botiers UCOPIA peuvent tre dploys (voir Section
Architectures multi botiers UCOPIA). Dans ce cas, un botier sera configur comme tant
Principal , il sera alors en charge de ladministration centralise de tous les autres botiers.
3.3.4 Administration SNMP
Le contrleur UCOPIA intgre un agent SNMP, lui permettant ainsi dtre supervis depuis un outil de
supervision du march compatible SNMP.
UCOPIA propose une MIB standard MIB-2 afin de permettre le dialogue entre loutil de supervision et
lagent UCOPIA. De plus, des traps SNMP peuvent tre dclenches afin de surveiller les diffrents
services actifs du contrleur (DHCP, RADIUS, SQL, etc.).
3.3.5 Administration via CLI
Une CLI (Command Line Interface) est disponible. Lobjectif est de permettre certaines oprations
dadministration avance.
La CLI est accessible depuis loutil dadministration graphique. Depuis la CLI, Il est par exemple
possible de visualiser les diffrents journaux internes dun contrleur UCOPIA (DHCP, RADIUS, etc.),
de lancer des commandes rseau (nslookup, tcpdump, etc.), de rdmarrer ou de visualiser le statut
des services (DHCP, RADIUS, proxy, LDAP, etc.).
3.3.6 Exportation Syslog
Le fichier Syslog UCOPIA qui centralise les journaux dvnements peut tre export dun contrleur
UCOPIA afin dtre pris en charge par un serveur Syslog. Les vnements envoys peuvent tre filtrs
par catgorie (DHCP, RADIUS, ).
4 L architecture UCOPIA
Nous dcrivons dans cette section les diffrents modules constituant larchitecture UCOPIA ainsi que
les protocoles utiliss lors des interactions entre ces modules.
Lensemble du trafic en provenance des utilisateurs est redirig vers le botier UCOPIA qui est en
coupure logique (ou physique) entre un rseau daccueil (Wi-Fi et/ou filaire) et le LAN de lentreprise.
Les protocoles dauthentification entre les postes des utilisateurs et le botier UCOPIA sont soit
802.1x/EAP ou HTTPS. Le serveur RADIUS et les outils dadministration UCOPIA dialoguent avec le ou
les annuaires LDAP travers le protocole scuris LDAPS. La traabilit est assure par une base de
donnes des journaux au format SQL. Ladministration seffectue en mode Web HTTPS.
Le botier UCOPIA est bas sur une architecture Linux.
Figure 16: Architecture UCOPIA
4.1 Le contrleur UCOPIA

Le contrleur est le cur de larchitecture UCOPIA, il est en charge de mettre en uvre les politiques
de scurit et de mobilit dfinies depuis loutil dadministration. Le contrleur comprend plusieurs
modules en charge de lauthentification, du contrle daccs par profil utilisateur, de la Qualit de
Service et de laccs transparent aux services. Le module Gestionnaire de mobilit orchestre
lensemble des autres modules.
Figure 17: Architecture du contrleur UCOPIA

Le contrleur est bas sur une technologie de filtrage qui permet de filtrer et de classifier les paquets
afin de mettre en uvre respectivement le contrle daccs par profil utilisateur et la qualit de
service. Le filtrage assure galement la dtection des flux correspondant des configurations
errones. Le filtrage se base sur les adresses IP des utilisateurs mais aussi sur les adresses MAC, les
numros de ports, les types de protocoles, etc.
Authentification: le contrleur embarque un serveur RADIUS qui est le serveur
dauthentification de larchitecture 802.1x. Ce serveur implmente diffrents
algorithmes dauthentification (PEAP, TTLS ou TLS). Le portail UCOPIA propose une
authentification par login/mot de passe et protocole HTTPS. Ce mode dauthentification
peut galement tre utilis via RADIUS, cette solution est utile pour les architectures
base dinterconnexions de serveurs RADIUS avec mcanisme de proxy. UCOPIA interroge
lannuaire LDAP UCOPIA et/ou un ou plusieurs annuaires externes pour raliser
lauthentification.
Contrle daccs : une fois lutilisateur authentifi, le module Compilateur de profil
recherche le profil de lutilisateur dans lannuaire LDAP UCOPIA et le compile en rgles
de filtrage quil installe dynamiquement au niveau du contrleur. Ces rgles sont retires
lorsque lutilisateur se dconnecte.
Qualit de Service : le contrleur UCOPIA reconnat le flot et le marque pour que les
paquets du flot soient traits dune certaine faon. La classification des flux et la gestion
de priorit sont implmentes par le module QoS. Les paquets sont dispatchs dans
des files dattentes afin de mettre en uvre la gestion de priorits.
Accs transparent : le module Zro Configuration est bas sur le mcanisme de

filtrage des flux et permet de rectifier dynamiquement les erreurs de configuration par
rapport lenvironnement daccueil. Les techniques utiliss sont soit de la redirection de
flux vers les serveurs appropris (ex : mail ou proxy Web) soit de la mise disposition
automatique et transparente de composants ncessaires lexcution du service. (driver
dimprimante, applet, ). Pour raliser la mise disposition de drivers dimprimantes, un
serveur dimpression est intgr au module zro configuration .
Redirection VLAN : Le module VLAN permet de r-aiguiller le flux dun utilisateur Wi-
Fi dans un VLAN filaire en fonction de son profil. Ce module fonctionne au niveau 802.1q.
Adressage rseau: Le contrleur embarque un serveur DHCP, fonctionne en mode NAT
ou routage et assure un relais DNS.
4.2 Ladministrateur UCOPIA

Loutil dadministration UCOPIA est compos de plusieurs modules assurant la configuration du
contrleur UCOPIA, ladministration des politiques de mobilit et de scurit, la supervision de
lactivit du contrleur et les fonctions de dlgation.
Figure 18: Architecture des outils d'administration UCOPIA

Configuration : ce module permet de configurer les proprits rseau du contrleur
UCOPIA ainsi que les mcanismes dauthentification, de zro configuration et de
redondance/rpartition de charge. La personnalisation du portail UCOPIA et des tickets
de connexion est galement prise en charge par ce module. La configuration du
contrleur est traduite au niveau systme en fichiers de configuration Linux.
Administration des politiques de scurit et de nomadisme : ce module permet
dadministrer les services, les profils utilisateurs et les utilisateurs. Il se repose sur un
modle de mobilit implment sous la forme dun schma LDAP afin dassurer la
persistance des informations, ce schma LDAP prend place dans lannuaire LDAP
embarqu dans le contrleur UCOPIA. Le protocole scuris LDAPS est utilis pour
dialoguer avec lannuaire.
Supervision du contrleur : les journaux de sessions et dactivit sont gnrs par le

contrleur UCOPIA dans une base de donnes de type SQL (MySQL). Ce module permet
dinterroger cette base de donnes travers des requtes SQL.
Exploitation : ce module a en charge tout ce qui concerne lexploitation du contrleur
UCOPIA : sauvegarde/restauration des configurations, sauvegarde/restauration des
journaux utilisateurs, mise jour du botier UCOPIA avec les nouvelles Releases UCOPIA,
tlmaintenance, etc. Les sauvegardes sont au format archive (.tar) compresse. Les
Releases doivent tre soit tlcharges manuellement depuis le site Extranet UCOPIA,
soit automatiquement tlcharges depuis la plate-forme de gestion de parc UCOPIA
(voir Section 8). La tlmaintenance est assure par un tunnel SSH qui stablie depuis le
botier UCOPIA vers les serveurs de maintenance UCOPIA.
SNMP : agent SNMP, permettant ainsi au contrleur dtre supervis depuis un outil de
supervision du march compatible SNMP.
CLI : langage de commandes permettant une administration avance du contrleur.
Portail de dlgation : le portail est en charge du provisionnement de compte lors de
laccueil de visiteurs, il est accessible depuis une interface Web en HTTPS. Il sinterface
avec lannuaire LDAP UCOPIA afin de crer les comptes utilisateurs, le protocole utilis
est LDAPS.
4.3 Les points daccs Wi-Fi

Les prrequis des points daccs Wi-Fi dpendent des protocoles utiliss notamment lors de
lauthentification, par exemple une authentification 802.1x ncessitera que les points daccs
supportent ce protocole. Les points daccs sont configurs avec plusieurs SSIDs, chaque SSID est
encapsul dans un VLAN. On associe chaque VLAN une plage dadresses IP et un mode
dauthentification (802.1x ou mot de passe) et ce de manire isoler les diffrentes populations
dutilisateurs Wi-Fi.
Ladresse du serveur RADIUS doit tre spcifie dans les points daccs, ainsi que le secret partag
avec le serveur.
4.4 Prrequis des postes utilisateurs

Chaque mode dauthentification impose plus ou moins de pr-requis sur le poste de lutilisateur.
Portail Web HTTPS: la cl dauthentification est un couple login/mot de passe qui sera
utilis sur le portail UCOPIA. Aucun pr-requis sur le poste de lutilisateur nest demand.
Ce mode est compatible avec tout type de systmes dexploitation et de navigateurs
Internet.
802.1x/PEAP, TTLS : la cl dauthentification est un couple login/mot de passe.
Lutilisation du protocole PEAP ou TTLS ncessite un client 802.1x sur le poste de
lutilisateur (en standard sur Windows depuis Windows 2000 Service Pack 4).
802.1x/EAP-TLS : la cl dauthentification est un certificat. Le protocole
dauthentification EAP/TLS est bas sur une architecture PKI avec certificats Les
certificats sont de type X509 et installs dans le format PKCS#12 (Personal Information
Exchange Syntax Standard) pour le stockage des cls prives. Ils sinstallent soit
directement sur le poste de lutilisateur, soit sur une carte puce dans le format
PKCS#12 (Public-Key Cryptography Standards). Lenvironnement EAP/TLS de Windows
est disponible partir de la version Windows 2000 Service Pack 3. Ce mode
dauthentification ne ncessite pas de logiciel client sur le poste de lutilisateur.
5 Intgration UCOPIA dans une infrastructure rseau

La solution UCOPIA inclut lensemble des modules ncessaires son fonctionnement, ce qui lui
permet dtre propose dans un mode cl en main trs simple de mise en uvre, ce packaging
convenant parfaitement aux petites entreprises ou aux agences dportes dune grande entreprise,
ayant peu de besoin et de moyen dintgration1. A linverse, les grandes entreprises ont des
infrastructures rseau complexes et souhaitent pouvoir rutiliser les solutions dj dployes en
termes de scurit et/ou dorganisation rseau. UCOPIA, grce son architecture, ouverte et
modulaire, peut sintgrer en souplesse dans les architectures rseau existantes et inter-oprer avec
les outils en place (annuaires LDAP, serveur RADIUS, Domaine Windows, PKI, outils tiers, .)2.
5.1 Intgration avec un ou plusieurs annuaires dentreprise

La solution UCOPIA permet de sinterfacer avec tout annuaire dentreprise compatible LDAP V3. Dans
le cas suivant, nous utiliserons deux annuaires, lannuaire dentreprise pour raliser lauthentification
des utilisateurs et lannuaire UCOPIA pour appliquer le profil associ lutilisateur. Le
fonctionnement lors du processus de connexion dun utilisateur est alors schmatis par la figure ci-
dessous.
Figure 19: Processus de connexion d'un utilisateur

Pour mettre en place ce mcanisme, il faut pouvoir dduire le profil dun utilisateur se trouvant dans
lannuaire UCOPIA partir dinformations prsentes dans lannuaire dentreprise.
La copie dcran suivante montre comment configurer la connexion un annuaire externe.
1
Gamme UCOPIA Express
2
Gamme UCOPIA Advance
Figure 20: Configuration d'un annuaire externe d'authentification

Un filtre LDAP de recherche permet didentifier lutilisateur, son profil UCOPIA sera dduit de
lattribut de groupe.
Le processus dauthentification UCOPIA fonctionne galement avec plusieurs annuaires dentreprise
en cascade. La recherche dun utilisateur lors dune demande dauthentification peut se faire dans un
premier annuaire puis si cette recherche choue dans un second annuaire, etc. Lannuaire UCOPIA
peut intervenir la fois dans le processus dauthentification et dans la recherche de profils
utilisateurs. Lordre dans lequel les annuaires sont interrogs est configurable depuis loutil
dadministration UCOPIA.
Figure 21: Authentification avec cascade dannuaires
La copie dcran suivante montre un cran de configuration du contrleur permettant de configurer

les annuaires dauthentification et les mcanismes de cascade. Dans cet exemple, trois annuaires
sont dfinis (Employs, Partenaires, local (ucopia)), lordre de la cascade dannuaires est spcifique
un mode dauthentification. En effet, il est possible de faire une distinction entre le mode
dauthentification portail et le mode 802.1x/EAP, par exemple pour le mode portail les trois
annuaires interviennent dans un ordre particulier, pour le mode 802.1x, seulement deux annuaires
entrent en jeu (Employs et Partenaires) dans un ordre de cascade diffrent du mode portail.
Figure 22: Configuration du contrleur (annuaires dauthentification)
5.2 Adressage IP et architectures VLAN

La solution UCOPIA permet une gestion trs fine du mcanisme dadressage rseau des utilisateurs
en fonction de leur profil et de la configuration du contrleur UCOPIA.
Le botier UCOPIA, se plaant dans larchitecture rseau en coupure entre le rseau Wi-Fi et le LAN
de lentreprise, est muni de deux cartes Ethernet 802.1q, autorisant ainsi une architecture VLAN en
entre et en sortie du botier.
UCOPIA embarque un serveur DHCP et fonctionne par dfaut en mode NAT. Par dfaut trois VLANs
sont configurs en entre du contrleur UCOPIA, un VLAN dadministration, un VLAN pour les
utilisateurs sauthentifiant en mode portail Web et un VLAN pour les utilisateurs sauthentifiant en
802.1x/EAP. Tous les utilisateurs sortent du botier UCOPIA par la mme interface native eth0.
La figure suivante montre le fonctionnement par dfaut du contrleur UCOPIA.
Figure 23: Configuration IP/VLAN par dfaut du contrleur UCOPIA

Le mode dadressage peut tre personnalis en fonction du profil de lutilisateur. Par exemple, un
utilisateur ayant le profil Visiteur peut tre nat alors quun Employ sera rout. Ces politiques
dadressage se dfinissent sur les VLANs de sortie du contrleur UCOPIA. Le schma ci-dessous
illustre la mise en uvre de deux politiques de sortie sur le VLAN natif de sortie.
Figure 24: Politiques dadressage en fonction du profil utilisateur

Plusieurs VLANs de sortie peuvent tre dfinis au niveau du contrleur UCOPIA. En fonction du profil
de lutilisateur il sera alors possible de r-aiguiller le flux de lutilisateur dans un VLAN de sortie
particulier, le schma ci-dessous illustre ce type de configuration.
Figure 25: Politiques d'adressage et VLANs de sortie

Enfin, il est possible dassocier des zones (accueil, bureaux, bibliothque) aux VLANs afin dautoriser
ou interdire la connexion de lutilisateur sur ces zones qui sont dfinies au niveau du profil utilisateur
(voir Section 6.3).
Ce mcanisme va galement permettre de restreindre le nombre de VLANs par lesquels un
utilisateur entre dans le contrleur UCOPIA. Ceci peut tre intressant si lon souhaite par
exemple quun Employ utilise toujours le VLAN dentre associ une authentification forte de type
802.1x et quil ne puisse pas utiliser le VLAN associ une authentification de type portail moins
scurise.
5.3 Intgration RADIUS

Le contrleur UCOPIA embarque un serveur RADIUS utilis pour diffrents modes dauthentification
UCOPIA bass sur 802.1x/EAP.
Le serveur RADIUS UCOPIA peut-tre configur afin de jouer le rle de proxy vers un autre serveur
dauthentification. Il sera donc possible dutiliser le serveur RADIUS dentreprise en place de celui
dUCOPIA pour des besoins dauthentification ou daccounting.
La copie dcran ci-dessous montre la configuration du mode proxy RADIUS depuis loutil
dadministration UCOPIA.
Figure 26: Configuration RADIUS

5.4 Intgration avec une architecture PKI

La solution UCOPIA sintgre avec les architectures PKI existantes bases sur le protocole EAP-TLS
pour raliser lauthentification des utilisateurs.
Le certificat produit par lautorit de certification est un certificat dlivr au nom du contrleur
UCOPIA, celui-ci sera install sur le botier UCOPIA.
Le certificat pour lutilisateur est install au format pkcs12 dans le magasin de certificats personnel
de l'utilisateur sur son poste de travail ou bien embarqu dans une carte puce. Ces certificats
devront contenir un champ "CN" spcifiant l'identifiant de l'utilisateur tel qu'il est dfini dans
l'annuaire d'entreprise, afin quUCOPIA puisse authentifier lutilisateur.
De plus, les certificats gnrs par lautorit de certification doivent contenir l'extension ncessaire
au protocole EAP/TLS.
5.5 Intgration dans les architectures universitaires

5.5.1 Architecture EDUROAM
La capacit du serveur RADIUS UCOPIA tre configur en mode proxy rpond au besoin des
architectures dauthentification EDUROAM rencontres dans le monde universitaire.
EDUROAM est un projet Europen d'architecture d'authentification rpartie, utilisant le protocole
RADIUS, entre les tablissements d'enseignement suprieurs et de recherche franais. Cette
authentification vise offrir des accs rseau sans fil aux membres de la communaut concerne en
dplacement sur les sites des partenaires avec leur nom et mot de passe habituels.
Les serveurs RADIUS des participants sont connects un proxy national, lui-mme connect au
proxy international du projet EDUROAM. Les requtes d'authentifications sont achemines vers le
serveur d'authentification de l'tablissement d'appartenance de l'utilisateur par le biais du nom de
domaine associ son identifiant (de la forme user@etab.fr).
Figure 27: Architecture EDUROAM avec UCOPIA

UCOPIA est compatible avec larchitecture EDUROAM en apportant les fonctions suivantes
1. Proxy RADIUS
2. Analyse du domaine de l'utilisateur par le biais du nom de domaine (ou realm) associ son
identifiant (de la forme user@etab.fr). Ceci permet de raliser laiguillage vers le site
dappartenance de lutilisateur.
3. Authentification 802.1x/RADIUS ou par portail Web couple RADIUS. En effet, le mode
RADIUS est classiquement le serveur dauthentification de larchitecture 802.1x. UCOPIA
associe la simplicit dutilisation du mode portail Web avec le mode RADIUS et proxy
RADIUS.
5.5.2 Architecture Shibboleth
Shibboleth est un mcanisme de propagation d'identits, dvelopp par le consortium Internet2, qui
regroupe un grand nombre duniversits et de centres de recherches. L'objectif de la propagation
d'identits est double : dlguer l'authentification l'tablissement d'origine de l'utilisateur et
obtenir certains attributs de l'utilisateur (pour grer le contrle d'accs ou personnaliser les
contenus).
Dans larchitecture Shibboleth, UCOPIA joue le rle de Service Provider. UCOPIA permet ainsi
travers son portail de rediriger lutilisateur vers le service de dcouverte de la fdration (Discovery
Service) partir duquel il peut slectionner son tablissement dorigine. Lutilisateur sera ensuite
redirig vers son fournisseur didentit pour authentification (Identity Provider).
UCOPIA fonctionne par dfaut avec le Discovery Service de RENATER mais peut-tre configur pour
utiliser un autre service.
Le schma ci-dessous montre les interactions entre les diffrents composants de larchitecture
Shibboleth.
Figure 28 : Architecture Shibboleth avec UCOPIA
5.6 Couplage avec un produit tiers

UCOPIA propose une API gnrique permettant dinterfacer le botier UCOPIA avec un produit tiers.
Ce couplage peut savrer intressant afin dutiliser UCOPIA en conjonction dun produit de
provisionnement de comptes utilisateurs et/ou de facturation de services. Prenons le cas dune
clinique qui utilise un produit permettant lors de lenregistrement dun patient de lui dlivrer des
services tels que TV, tlphone, accs Internet, et ensuite de les facturer. Dans ce contexte, UCOPIA
serait en charge du contrle de laccs Internet. Une fois le compte du patient cr dans loutil tiers,
ce mme compte sera cr automatiquement dans UCOPIA via lAPI afin dautoriser laccs Internet
pour le patient. Le patient quittant la clinique, UCOPIA sera interrog via son API pour connatre le
temps cumul de connexion Internet du patient et ainsi procder la facturation depuis loutil tiers.
LAPI se prsente sous la forme de requte http dont la syntaxe est la suivante :
http://<@IP du contrleur UCOPIA>/deleg/api_admin_deleg.php
Par exemple pour crer un compte utilisateur dont le login est jdupond et le profil guest :
http://10.0.0.1/deleg/api_admin_deleg.php?deleg_id=deleg&deleg_pwd=deleg&action=adduser&us
er_id=jdupond&user_pwd=dupond&user_grp=guest
Larchitecture de ce type de couplage est la suivante :
Figure 29: Couplage avec un produit tiers
5.6.1 Couplage avec un PMS (Property Management System)
Le contrleur UCOPIA propose en plus de son API gnrique dinterfaage, une interface ddie avec
des produits de type PMS. Les PMS sont des produits de gestion clients et se rencontrent plus
particulirement dans les environnements hteliers ou hospitaliers, ils permettent lenregistrement
des clients, la facturation, etc.
Le couplage PMS/UCOPIA repose sur le protocole FIAS et fonctionne avec une notion de forfait. Le
forfait est dfini par ladministrateur UCOPIA, cela peut tre un forfait 1h, 3h, ou forfait emails ,
ou forfait Tous les jours ouvrs de 16h 18h , etc. Les forfaits sont proposs au choix de
lutilisateur sur le portail UCOPIA. UCOPIA informe le PMS des forfaits choisis afin quil puisse oprer
la facturation.
Larchitecture du couplage UCOPIA/PMS est la suivante :
Figure 30: Couplage avec un PMS
5.6.2 Couplage avec un PPS (Pre Paid System)
Le contrleur UCOPIA propose une interface ddie avec des produits de type PPS fonctionnant avec
des cartes prpayes. Lutilisateur sauthentifie sur le portail UCOPIA en renseignant le numro de
carte et le CAPTCHA code. Le numro de carte permet de faire une demande de crdit temps auprs
du serveur PPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de
lutilisateur est automatiquement cr dans UCOPIA. Lutilisateur visualise sur le portail le temps de
connexion associ la carte et le temps de connexion consomm.
6 Architectures rseau
6.1 Architectures mono site
Les architectures mono site se rencontrent plus particulirement dans les environnements hteliers
ou entreprises de type PME.
Dans le cas des htels, les architectures rseau sont gnralement trs dpouilles , laccs
Internet est assur par un modem/routeur ADSL, un pare-feu assure la scurit priphrique.
UCOPIA se positionne en coupure physique (pas dorganisation en VLANs) entre le rseau daccueil
des clients (Wi-Fi et/ou filaire) et le pare-feu comme lindique le schma ci-dessous.
O
Figure 31: Exemple N 1 darchitecture UCOPIA mono site
Concernant les PMEs, les architectures sont plus labores, il nest pas rare de rencontrer un
annuaire dans lequel sont rfrencs les employs de lentreprise, une organisation en VLAN et le
besoin daccueillir des visiteurs.
Larchitecture UCOPIA type est dans ce cas la suivante :
O
Figure 32: Exemple N 2 d'architecture UCOPIA mono site
Plusieurs couples SSID/VLAN sont dfinies sur les points daccs Wi-Fi afin disoler les diffrentes
populations dutilisateurs (visiteurs, employs). Ces VLANs sont galement configurs en entre du
botier UCOPIA (carte Ethernet 802.1q). Lors du processus dauthentification dun utilisateur, le
botier UCOPIA peut proposer en fonction de lutilisateur des modes dauthentification distincts et
adapts, portail Web pour les visiteurs, protocole 802.1x pour les employs. Concernant
lauthentification des employs, UCOPIA peut interroger lannuaire dentreprise (LDAP, Active
Directory). Enfin en sortie du botier UCOPIA, le flux dun utilisateur peut tre redirig sur un VLAN
particulier ct LAN (le choix du VLAN sera fait en fonction du profil de lutilisateur).
6.2 Architectures multi sites

Les architectures multi sites se rencontrent le plus souvent dans les grandes organisations ou
grandes entreprises (grands comptes, universit, CROUS, CHU, etc.).
Larchitecture UCOPIA en environnement multi sites peut tre ralise avec un ou plusieurs botiers
UCOPIA. Le ou les botiers (s) peuvent tre centralis(s) sur un site ou bien distribus sur diffrents
sites en fonction des contraintes des connexions rseau entre les sites. Le choix de ne pas
positionner de botier sur un site distant peut galement dpendre du trafic associ ce site. Les
petits sites prfreront se rfrer un botier central, en revanche les sites plus importants
prfreront un botier local afin doptimiser les performances.
6.2.1 Architectures multi botiers UCOPIA
Une architecture multi botiers UCOPIA peut tre dploye soit pour assurer une monte en charge,
soit dans le cadre dune architecture multi sites (ex : rseau dagences).
Dans une architecture multi botiers, il existe un botier principal et des botiers secondaires .
Le botier principal permettra dadministrer de faon centralise tous les botiers secondaires.
La copie dcran suivante montre un botier principal ayant en charge ladministration de 3 sites
secondaires. Laccs aux botiers secondaire sopre trs simplement en slectionnant longlet du
site administrer. Dans cet exemple, on administre les VLANs dentre sur le site de Poitiers.
Figure 33: Administration centralise depuis le botier principal

Dans une architecture multi botiers, toute modification effectue sur un des annuaires UCOPIA du
pool de botiers seffectue en ralit sur le botier principal qui rplique chaud la modification
sur tous les botiers secondaires. En revanche, linterrogation dun annuaire UCOPIA et donc
lauthentification des utilisateurs est toujours ralise en local sur le botier. Ce mcanisme garantie
une parfaite homognit en termes dadministration.
Le schma ci-dessous illustre le mcanisme de rplication dannuaire dans une architecture multi
botiers UCOPIA.
Figure 34: Rplication d'annuaire UCOPIA en architecture multi botiers

Le botier principal doit tre absolument de la gamme Advance, en revanche les botiers secondaires
peuvent tre indiffremment de la gamme Express ou Advance.
6.2.2 Exemples darchitectures multi sites
Exemple 1 : Un botier UCOPIA par site, annuaire dentreprise centralis

Dans cet exemple, chaque site a son propre botier UCOPIA. Lannuaire dentreprise est centralis sur
un des sites, ce qui signifie que tous les botiers sadressent cet annuaire lors du processus
dauthentification.
Lannuaire UCOPIA du botier principal dans lequel sont stocks les profils utilisateurs est rpliqu
chaud sur le botier secondaire. Ladministration seffectue de faon centralise depuis le botier
principal du site central. Les flux des utilisateurs du site distant seront traits localement par le
botier UCOPIA secondaire.
O
Figure 35: Exemple N 1 d'architecture UCOPIA multi sites
Si lon souhaite garantir une continuit de service en cas de coupure rseau entre le site central et le
site distant, il sera conseill de rpliquer lannuaire dentreprise sur le site distant. Le botier UCOPIA
du site distant sera alors configur pour interroger en premier lieu lannuaire dentreprise central
puis lannuaire local si le premier nest pas accessible (mcanisme de cascade dannuaires).
Exemple 2 : Botier UCOPIA centralis
Le schma suivant montre un exemple darchitecture multi sites o le botier UCOPIA est centralis
sur un des sites.
O
Figure 36: Exemple N 2 d'architecture UCOPIA multi sites
Dans le cas dune architecture multi sites centralise, deux cas de figure peuvent se prsenter, soit le
site distant est reli en niveau 2 au site principal (rseau commut), soit le site distant est reli en
niveau 3 au site principal (rseau rout).
Connexion rseau commut
Dans ce cas, une architecture VLAN sera tablie entre le site distant et le site principal.
UCOPIA utilise alors les informations de niveau 2 (ex : MAC adresse) pour ses
mcanismes dauthentification et de filtrage.
Connexion rseau rout
UCOPIA fonctionne en faisant abstraction des informations niveau 2 avec toutefois
quelques restrictions : (1) seul le mode dauthentification par portail Web est possible,
(2) les postes clients sur le site distant doivent tre configurs en DHCP, (3) la haute
disponibilit fonctionne en redondance et non en rpartition de charge. Si ces
restrictions ne sont pas souhaites, il faut alors tablir un tunnel de niveau 2 entre les
bornes et le botier UCOPIA. Ce type de tunnel est trs souvent propos dans les
architectures point daccs lger , il sagit de tunnel de type LWAPP ou CAPWAPP.
UCOPIA peut tre configur en architecture mixte, commute et route.
6.3 Architecture multi zones

UCOPIA propose une notion de zone permettant de dcrire un lieu, par exemple dans une entreprise,
une zone daccueil ou de bureaux, dans une universit, la bibliothque ou les amphithtres.
Les zones peuvent tre utilises des fins de scurit et/ou de mobilit. Pour renforcer la scurit, il
est possible de spcifier quune population dutilisateurs est autorise ou interdite se connecter sur
une zone. Par exemple, les visiteurs dune entreprise ne se connectent pas dans la zone Bureaux mais
uniquement dans la zone Accueil. Pour un usage des zones li la mobilit, il est possible de faire
varier les prrogatives de lutilisateur suivant sa zone de connexion. Par exemple, un employ dune
entreprise pourra se connecter dans toutes les zones sans restriction de temps, accept dans la zone
Accueil, o il verra son temps de connexion limit.
Dun point de vue rseau, les zones correspondent des VLANs, la correspondance zone/VLANs
seffectue lors de la configuration des VLANs au niveau du contrleur UCOPIA.
Il existe des zones dentre et des zones de sortie, lentre et la sortie sont relatives au botier
UCOPIA et son architecture en coupure. Les zones sont associes un profil utilisateur.
Dans lexemple ci-dessous, un profil Etudiant sera configur pour autoriser la connexion sur les zones
d'entres "Bibliothque" et "Caftria". La zone Administration sera interdite la connexion et
donc ne sera pas configure dans le profil. Sur le site ci-dessous, Bibliothque = vlan 2 + vlan3. Sur au
autre site la zone Bibliothque pourrait tre implmente avec dautres VLANs.
La zone de sortie est unique, elle correspond dune part un VLAN et dautre part une politique
dadressage en sortie du botier UCOPIA (NAT ou routage).
Figure 37: Architecture multi zones

Dans une architecture multi sites dont ladministration est centralise, la notion de zone est globale
et sapplique tous les botiers UCOPIA pouvant tre rparties sur les sites. En revanche, la faon
dont simplmentent ces zones est propre chaque botier. La correspondance zone/VLANs
seffectue lors de la configuration de chaque botier. Toutes les zones ne sont pas systmatiquement
implmentes sur chaque botier.
7 Haute disponibilit
Une architecture de redondance peut tre mise en place afin de ne pas interrompre le service du
contrleur UCOPIA en cas de dfaillance de la machine sur laquelle le contrleur fonctionne. Pour ce
faire, il faudra dployer deux contrleurs ayant la capacit se suppler lun lautre.
UCOPIA propose galement un mcanisme de rpartition de charge qui peut permettre plusieurs
botiers UCOPIA de se rpartir les connexions des utilisateurs. Redondance et rpartition de charge
sont deux mcanismes indpendants et complmentaires.
7.1 Redondance
Le modle de redondance UCOPIA est un modle Actif/Passif mettant en uvre deux botiers
UCOPIA, un seul tant actif un instant donn. Les botiers UCOPIA intervenant dans une
architecture de redondance dialoguent entre eux et peuvent par consquent sapercevoir de la
dfaillance de leur confrre.
Le basculement dun botier UCOPIA lautre seffectue grce une adresse IP virtuelle. En effet,
un instant donn, seul un botier dispose de l'adresse virtuelle. En cas de panne du botier actif, le
botier de redondance prend connaissance de la panne grce au protocole VRRP et rcupre
l'adresse IP virtuelle. Il devient ainsi le nouveau botier actif tout en assurant une totale transparence
pour les utilisateurs.
Les botiers UCOPIA dans une architecture de redondance (ou de rpartition de charge) obissent
larchitecture multi botiers UCOPIA, par consquent nous aurons un botier Principal
correspondant au botier Actif sur lequel ladministration seffectuera et nous aurons un botier
Secondaire correspondant au botier Passif. Lannuaire UCOPIA du botier Actif sera rpliqu
chaud sur lannuaire du botier Passif. Ce mcanisme permettra au botier Passif dtre jour
quand il sera sollicit pour passer en mode Actif.
Dans une architecture de redondance, les botiers UCOPIA doivent se trouver sur un mme VLAN.
Le schma ci-dessous illustre larchitecture de redondance.
Figure 38: Architecture de redondance UCOPIA
7.2 Rpartition de charge

La rpartition de charge permet de rpartir de faon uniforme les connexions des utilisateurs sur les
diffrents contrleurs. Sur chacun des contrleurs la charge montera jusqu' atteindre la limite fixe
par les licences des contrleurs.
Comme la reprise sur panne, la rpartition de charge est base sur un dialogue VRRP entre les
botiers UCOPIA et sur le principe dIP virtuelle. Seul le serveur DHCP du contrleur Principal est
activ.
Les botiers organiss en rpartition de charge utilisent le mcanisme de rplication chaud de
lannuaire UCOPIA pour maintenir tous les annuaires jour en temps rel.
Le schma ci-dessous illustre un exemple dans lequel trois botiers UCOPIA sont configurs en
rpartition de charge, un botier passif assure la redondance en cas de panne de lun des trois
botiers actifs.
Figure 39: Architecture de rpartition de charge UCOPIA
8 Exploitation du botier UCOPIA et gestion de parc

8.1 Exploitation via la plate-forme de gestion de parc
Les botiers UCOPIA peuvent tre, si ladministrateur le souhaite, rattachs une plate-forme
centrale de gestion du parc UCOPIA.
Cette plate-forme est en mesure dapporter les services suivants en termes dexploitation du botier
UCOPIA.
Installation automatique de la licence UCOPIA (ou mise jour)
Avant toute opration, une licence doit tre installe sur le contrleur UCOPIA. Cette
licence dtermine la nature et le modle du botier UCOPIA (Express 10, Advance 100,
etc.).
Une fois connect au rseau, le botier interroge la demande de ladministrateur la
plate-forme centrale. Celle-ci extrait les caractristiques de la machine (numro de srie,
etc.) et vrifie dans son systme dinformation la validit de la demande. Cette tape de
validation effectue, la licence est gnre et installe automatiquement sur le botier
UCOPIA.
Mise disposition automatique des mises jour
UCOPIA met rgulirement disposition des mises jour correctives et volutives dont
lobjectif est dapporter correctifs, amliorations et nouvelles fonctionnalits.
Grce la plate-forme de gestion de parc, les mises jour sont priodiquement

tlcharges sur le botier, elles sont prtes linstallation. Ladministrateur est inform
et peut dcider de leur installation.
La plate-forme propose galement le service dinstallation automatique pour certaines
mises jour critiques tels que failles de scurit.
Ouverture automatique dun tunnel de maintenance
Le tunnel de maintenance permet au support technique UCOPIA dintervenir en
tlmaintenance sur le botier UCOPIA pour effectuer des analyses et diagnostics. En cas
de ncessit, le tunnel sera activ automatiquement sans intervention de
ladministrateur. Il est not que le tunnel de maintenance est tabli du botier UCOPIA
vers les serveurs de maintenance.
Contrle de la validit de la maintenance
Une alerte prvient ladministrateur quand la validit de la maintenance expire. Par
ailleurs, le tlchargement des mises jour devient impossible une fois la maintenance
expire.
8.2 Gestion de parc destination des partenaires UCOPIA

Au-del des fonctions lies lexploitation dun botier UCOPIA, la plate-forme de gestion de parc
fournit des services additionnels dont les partenaires UCOPIA peuvent bnficier. En effet, la plate-
forme de gestion de parc est ouverte aux partenaires abonns ce service, ils peuvent sy connecter
et ainsi superviser et administrer lensemble des contrleurs UCOPIA de leur propre parc.
Une des premires fonctions de la gestion de parc partenaire est de pouvoir rorganiser un parc en
fonction de diffrents critres : par client final, par type de produit, par rgion, etc. Le parc pourra
donc tre structur en sous ensembles de contrleurs UCOPIA permettant ainsi une gestion optimale
du parc.
Les autres fonctions proposes vont permettre de superviser et dadministrer les botiers UCOPIA
soit de faon globale soit individuellement.
Les copies dcran ci-dessous illustrent quelques fonctions de supervision.
Figure 40: Statistiques globales en fonction des gammes ou des numros de version
Figure 41: Nombre de connexions simultanes sur un botier

Par ailleurs, le partenaire peut avoir accs par un simple clic aux outils dadministration pour vrifier
ou modifier une configuration. Il peut galement contrler le niveau de mise jour des botiers,
tlcharger des mises jour et les appliquer sur les botiers.
Des alertes peuvent tre dclenches sur certains types dvnement (contrat de maintenance
expir, disque arrivant saturation, botier dont la temprature est anormalement leve, etc.). Ces
alertes peuvent tre envoyes par email ladministrateur.
Larchitecture de la plate-forme de gestion de parc est la suivante.
Figure 42: Architecture de la plate-forme de gestion de parc UCOPIA

9 Gammes UCOPIA
La solution UCOPIA se dcline en deux gammes produit : la gamme UCOPIA Express et la gamme
UCOPIA Advance.
La gamme UCOPIA Express se prsente sous la forme dun botier prt lemploi
parfaitement adapte aux besoins des htels, cliniques, tablissements denseignement
secondaires et PME en gnral. UCOPIA Express propose lessentiel des fonctions
UCOPIA en termes de scurit et de nomadisme dans une approche privilgiant la
simplicit de la mise en uvre et de ladministration. UCOPIA Express fonctionne de
faon autonome sans intgration forte avec le LAN.
La gamme UCOPIA Advance est un botier qui propose lensemble des fonctionnalits
UCOPIA et qui est destine aux moyens et grands projets des entreprises, des campus et
des administrations UCOPIA Advance permet de rpondre aux besoins des
environnements multi sites et propose toutes les fonctions dintgration avec le LAN de
lentreprise. UCOPIA Advance peut tre redonde et fonctionne galement en
rpartition de charge.
Le tableau ci-dessous dcrit les fonctionnalits de chacune des gammes UCOPIA.
Fonctionnalits Express Advance
Scurit
Authentification

Portail Web captif

802.1x/PEAP

802.1x/TTLS

802.1x/TLS

@MAC ou @IP

Shibboleth

Authentification priodique et
transparente (mode portail)

Redirection vers portail dentreprise

Paiement via CB/Paypal

Droits daccs en fonction du profil de lutilisateur

VLANs en entre du contrleur

Redirection sur VLAN de sortie en fonction du profil
utilisateur

Compatibilit 802.11i

Dtection dintrusions

URLs accessible avant authentification

Acceptation de charte avant authentification
Nomadisme

Zro configuration

Mode DHCP/IP fixe

Accs transparent mail

Accs transparent Internet

Accs transparent Imprimante

VPN pass through

QoS (par service, par profil, par utilisateur)

Plage horaire de connexion

Crdit temps

Localisation par zone en entre et en sortie

Multi portails (un portail par zone)

Profils adaptables
Administration

Administration des politiques de scurit et de
mobilit (services, profils utilisateurs, etc)

Provisionnement de comptes par auto-
enregistrement de lutilisateur et envoi SMS ou
email

Administration dlgue (accueil des visiteurs)

Personnalisation

Multi zones

Dlivrance de coupon de connexion
(impression, email, SMS)

Cration de comptes en masse depuis un
fichier CSV

Supervision des utilisateurs connects

Statistiques

Traabilit

Journaux des sessions utilisateurs

Journaux du trafic utilisateurs (URL,
applications)

Compression automatique des journaux

Sauvegarde automatique des journaux
via FTP

Editeur de portail et de coupon de connexion
(personnalisation)

SNMP

Syslog

CLI

Administration multi botiers centralise
Intgration

Intgration avec un annuaire LDAP dentreprise
(OpenLDAP, ActiveDirectory

Intgration avec plusieurs annuaires

Cascade dannuaires

Intgration avec RADIUS (proxy) RADIUS local intgr

Intgration avec proxy Web

Intgration VLANs dentre

Intgration VLANs de sortie

Intgration PKI

API Intgration produit tiers

Couplage PMS

Couplage PPS
Architecture

Serveur DHCP

NAT

Routage

NAT ou routage suivant profil utilisateur

Multi sites (multi botiers)

Redondance

Rpartition de charge

Connexion de postes utilisateurs en filaire

Appliance virtuelle
10 Performances
Dans chacune des gammes UCOPIA, il existe plusieurs modles proposant diffrentes capacits de
monte en charge en termes de connexions simultanes.
Le tableau ci-dessous prsente les capacits de chaque modle.
Express Express Express Express Express Express Express Express Express Express Express
5 10 20 50 100 150 200 300 500 1000
1000RDP
Nombre 5 10 20 50 100 150 200 300 500 1000

maximum
dutilisateurs
simultans
Advance Advance Advance Advance Advance Advance

100 200 300 500 1000
1000RDP
Nombre maximum 100 200 300 500 1000

dutilisateurs
simultans
Au-del de 1000 utilisateurs simultans, une solution sur mesure est propose (ex : rpartition de
charge pour la gamme Advance).
11 Appliances matrielles
Les botiers UCOPIA sont proposs en cinq types de matriel. Tous les botiers comportent deux ports
Ethernet 10/100/1000, lexception du 1000 RDP qui en propose 6.
Le botier Serveur20 pour la gamme Express supportant jusqu 20 utilisateurs simultans (de 5
20).
Figure 43 : Botier format Serveur 20

Le botier Serveur150 pour les modles 50 150 de la gamme Express.
Figure 44: Botier format "Serveur150"

Le botier Serveur500 pour les modles 200 500 de la gamme Express et pour les modles 100
500 de la gamme Advance.

Le botier Serveur1000 pour le modle 1000 de la gamme Express et Advance.
Le botier Serveur1000 RDP pour les solutions ncessitant plus de dbit et de haute disponibilit.
Le botier est au format 2U. Il comporte 6 port Ethernet (3 en entre, 3 en sortie), deux disques en
RAID et une alimentation redondante.
Figure 47: Botier format 1000 RDP
Le tableau ci-dessous rsume le matriel pour chaque modle UCOPIA.
Express Express 5 Express 10 Express 20 Express 50 Express 100 Express 150
sv20 sv150
Matriel
Express Express 200 Express 300 Express 500 Express 1000 Express 1000RDP
sv500 sv1000 sv1000RDP

Matriel
Advance Advance 100 Advance 200 Advance 300 Advance 500 Advance 1000 Advance 1000
RDP
sv500 sv1000 sv1000RDP

Matriel
Les dimensions des botiers sont les suivantes :
Format Format Format Format Format

Server20 Serveur 150 Serveur 500 Serveur 1000 Serveur 1000
RDP
Dimension 52x270x160 mm 52x270x160 mm 44x430x470mm 44x430x470mm 88x430x700mm

(HxLxP)
Kit rack 19en option Kit rack 19en option Rack 1U 19 Rack 1U 19 Rack 2U 19
Les modles sont volutifs, soit par simple cl logicielle, soit par changement de matriel, les
tableaux ci-dessous prsentent les possibilits dvolution.
= cl logicielle
= changement de matriel
Modles Exp. 10 Exp. 20 Exp. 50 Exp. 100 Exp. 200 Exp. 300 Exp. 500 Exp
1000/1000RDP
Exp.5
Exp.10
Exp.20
Exp.50
Exp. 100
Exp. 200
Exp. 300
Exp. 500
Modles Adv. 200 Adv. 300 Adv. 500 Adv 1000

(1000 RDP)
Adv. 100
Adv. 200
Adv. 300
Adv. 500
12 Appliances virtuelles
Lappliance UCOPIA est disponible en mode virtualis sous VMware. Seule la gamme Advance est
propose sous cette forme.
13 Services
13.1 Maintenance
Les contrleurs UCOPIA sont commercialiss avec une maintenance de 3 ans.
Le contrat de maintenance couvre les points suivants :
Changement anticip du contrleur en cas de dfaillance matrielle. Envoi dun matriel
quivalent J+1 (en France mtropolitaine).
Mise disposition des mises jour logicielles correctives et volutives.
Accs pour le partenaire au service de support technique UCOPIA (niveau 2 et plus).
13.2 Service GOLD

Les journaux utilisateurs UCOPIA sont dans un premier temps cres sur le disque dur de lappliance
UCOPIA, dans un deuxime temps, ils peuvent tre automatiquement exports vers un serveur FTP
des fins de sauvegarde. UCOPIA propose dans le cadre du service GOLD que les journaux soient
quotidiennement exports sur un serveur hberg dans une salle blanche scurise. Le protocole
utilis est FTPS.
Ce service permet ladministrateur UCOPIA de sabstraire de la mise en place dune solution de
sauvegarde pour les journaux utilisateur, il lui garantie de pouvoir retrouver les journaux tout
instant.
Larchitecture du service GOLD est la suivante :
Figure 48: Architecture du service GOLD

14 Conclusion
La solution UCOPIA runit trois fonctionnalits majeures (1) une scurit robuste de qualit
professionnelle conforme aux standards de lindustrie proposant des mcanismes dauthentification
forte bass sur les protocoles 802.1x/EAP et RADIUS, du contrle daccs fin de niveau 4 et plus, (2)
une gestion de la mobilit base sur des politiques dfinies de faon centralise travers un outil de
haut niveau trs convivial et mise en uvre par un contrleur, (3) le confort dutilisation pour
lutilisateur final grce aux mcanismes de zro configuration et de Qualit de Service.
La rsultante de lensemble de ces fonctionnalits fait dUCOPIA un produit unique sur le march
prsentant les avantages suivants :
Gestion de la mobilit
UCOPIA permet aux employs nomades, aux clients, partenaires, fournisseurs de se
connecter simplement et en toute scurit en tout lieu (bureau mobile, salle de runions
ou de formation, etc.), daccder leur messagerie, lInternet, dchanger ou
dimprimer des documents. Aucun pr requis ou configuration nest impos lutilisateur
et il naura pas faire appel lassistance technique pour imprimer un document ou
envoyer un message. UCOPIA contribue limage de marque des entreprises en rendant
possible laccs leur rseau aux visiteurs.
TCO
Le dploiement dune solution daccueil de nomades ncessite une intgration avec
linfrastructure de communication et de scurit existante. Sans UCOPIA, cela peut
ncessiter beaucoup de travail et de dlai. UCOPIA sintgre simplement au rseau en
place (VLAN, annuaire, etc.) sans remettre en cause les politiques de scurit dj
prsentes. Par ailleurs grce sa simplicit dadministration et ses mcanismes de zro
configuration, UCOPIA limite le besoin en ressources techniques. Tous ces avantages
contribuent rduire fortement le cot de possession dune telle solution (TCO).
Indpendance matrielle et volutivit
UCOPIA est indpendant des quipements rseau et peut fonctionner en environnement
htrogne, il garantit ainsi la prennit des choix de matriel. UCOPIA fonctionne en
environnement filaire et Wi-Fi, son niveau dabstraction par rapport au rseau physique
lui permet dvoluer avec les standards.
15 Annexe 1 : Documentation
Un ensemble de documentations est propos avec le produit UCOPIA.
15.1 Manuels
Manuel dinstallation
Ce manuel sadresse aux administrateurs systme et/ou rseaux dsirant installer la
solution UCOPIA. Il dcrit linstallation et la configuration de lensemble des composants
de la solution. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration
Ce manuel sadresse aux administrateurs systme et/ou rseaux ayant en charge

ladministration dUCOPIA.
Sont prsents dans ce manuel l'outil d'administration et lensemble des procdures
dadministration. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration dlgue
Ce manuel dcrit le portail de dlgation, il est commun aux deux gammes de produit
UCOPIA : Express et Advance.
Manuel dutilisation de lditeur de portail UCOPIA
Ce manuel dcrit l'diteur graphique de portail UCOPIA. Ce manuel est commun aux
deux gammes de produit UCOPIA: Express et Advance.
Manuel dutilisation dUCOPIA
Ce manuel sadresse aux utilisateurs dun rseau contrl par UCOPIA. Il dcrit
lutilisation des diffrents modes de portail.
Ce manuel est commun aux deux gammes produit UCOPIA: Express et Advance.
Manuel dutilisation de la base de donnes des journaux utilisateurs
Les journaux de sessions et de trafic sont cres localement sur le botier UCOPIA et sont
accessibles depuis loutil dadministration UCOPIA. Les journaux sont stocks dans une
base de donnes SQL.
Afin de faciliter lintgration avec des applications tierces, UCOPIA propose de se
connecter la base SQL des journaux. Ce document dcrit le fonctionnement de cette
base de donnes, les entits de la base et de leurs attributs.
Manuel dutilisation de la CLI UCOPIA
Ce document dcrit la CLI (Command Line Interface) UCOPIA. Ce langage donne accs
certaines commandes rseau, systme ou administration avance. La CLI permet
galement de diagnostiquer dventuels dysfonctionnements.
15.2 APIs
API UCOPIA dadministration dlgue
Lobjectif de lAPI dadministration dlgue est de coupler le contrleur UCOPIA avec un
outil tiers tel quun outil de provisionnement de compte et/ou de facturation de services.
LAPI dadministration dlgue permet de crer/dtruire/modifier un compte utilisateur
ainsi que de rcuprer un temps de connexion cumule pour un utilisateur.
API UCOPIA Portail Externe
LAPI Portail Externe est utilise dans le cas d'un fonctionnement avec un portail
d'authentification externe UCOPIA. Dans ce cas l'utilisateur est redirig vers ce portail
pour authentification. Le portail UCOPIA n'est pas utilis.
Cette API permet d'enrichir un portail d'authentification externe UCOPIA avec les
fonctions d'authentification UCOPIA. A travers cette API, tous les modes
d'authentification sont possibles (portail standard avec login et mot de passe, portail
avec inscripton par SMS, portail avec inscription par email, etc..).
15.3 Couplage avec produits tiers

Envoi de SMS via le contrleur UCOPIA
UCOPIA propose un mode de provisionnement de compte pour lequel l'utilisateur s'auto
enregistre sur le portail UCOPIA en utilisant son tlphone mobile. Il reoit ses
identifiants de connexion par SMS.
Ce document dcrit les diffrentes plates-formes de SMS avec lesquelles UCOPIA
s'interface.
Couplage UCOPIA avec un PMS
Le contrleur UCOPIA sinterface avec des produits de type PMS (Property Management
System).
Ce document dcrit la faon dont les produits interoprent.
Utilisation de Paypal avec UCOPIA
Ce document dcrit le mode de fonctionnement du portail UCOPIA permettant aux
utilisateurs dacheter forfait en ligne via Paypal. Il dtaille galement comment ouvrir un
compte Paypal et comment configurer UCOPIA en consquence.
15.4 Certification de securit
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-
cspn/certificat_cspn_2010_01.html
16 Annexe 2 : Glossaire
Nous prsentons dans cette annexe la dfinition des mots cls ou des acronymes utiliss dans ce
document.
16.1 Rseau
DNS - Domain Name Service : Service de nom de domaines (correspondance IP<->nom
des machines)
SNMP - Simple (ou Smart) Network Management Protocol : Protocole de la couche
application pour ladministration rseau.
HTTPS - Hyper Text Transfert Protocol over SSL : Protocole de transmission issu de
Netscape li une connexion par socket scurise.
VLAN Virtual Local Area Network: Permet de raliser plusieurs rseaux logiques sur un
mme rseau physique. Les VLANs sont configurs au niveau des Switch et des routeurs.
DHCP Dynamic Host Configuration Protocol: DHCP est un protocole permettant
dallouer une adresse IP a un client voulant se connecter au rseau.
NAT Network Address Translation: NAT est un mcanisme permettant dallouer des
adresses IP prives partir dune seule adresse IP publique.
16.2 Wi-Fi
Wi-Fi Wireless Fidelity: Wi-Fi est le nom commercial pour la technologie IEEE 802.11.
Le Wi-Fi est compos de plusieurs standards.
802.11 b/a/g/n : Il sagit dun ensemble de standards pour dfinir les diffrents dbits
du Wi-Fi : 802.11a propose une bande passante de 54 Mbps sur une frquence de 5 Ghz,
802.11b et g oprent sur la frquence 2,4 Ghz et propose une bande passante
respectivement de 11 et de 54 Mbps. 802.11n propose une bande passante suprieure
100 Mbps.
802.11i : Standard de scurit pour le Wi-Fi ratifi en juin 2004. Il inclut 802.1x pour
lauthentification et AES (Advanced Encryption Standard) pour le chiffrement. 802.11i
require des quipements compatibles la fois ct client et ct point daccs.
802.11e : Standard pour la Qualit de Service. Il nest pas ratifi. 802.11e vise donner
des possibilits en matire de qualit de service au niveau de la couche liaison de
donnes. Ainsi cette norme a pour but de dfinir les besoins des diffrents paquets en
terme de bande passante et de dlai de transmission de telle manire permettre
notamment une meilleure transmission de la voix et de la vido.
802.11f : Standard pour le roaming. Il nest pas ratifi. 802.11f est une recommandation
l'intention des vendeurs de point d'accs pour une meilleure interoprabilit des
produits. Elle propose le protocole Inter-Access point roaming protocol permettant un
utilisateur itinrant de changer de point d'accs de faon transparente lors d'un
dplacement, quelles que soient les marques des points d'accs prsentes dans
l'infrastructure rseau.
16.3 Authentification
802.1x : Standard de contrle daccs au rseau, indpendant du support physique. Le
rseau permet uniquement le passage de trafic dauthentification tant que
lauthentification nest pas accomplie avec succs. Le 802.1x spcifie galement le
protocole EAPOL (EAP over LAN) qui permet lencapsulation des mthodes
dauthentification EAP.
EAP Extensible Authentication Protocol: EAP est un protocole dauthentification
oprant au niveau 2 OSI avant que le client nobtienne une adresse IP, il renforce ainsi la
scurit. Bases sur EAP, il existe de nombreuses mthodes dauthentification, par mot
de passe (PEAP, TTLS), par certificat (TLS), etc. EAP est utilis dans une architecture
802.1x et fonctionne par consquent avec un serveur dauthentification, gnralement
RADIUS.
EAP-MD5: Le client est authentifi par le serveur en utilisant un mcanisme de dfi
rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le
mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil
renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte,
compare les deux et en fonction du rsultat valide ou non lauthentification.
LEAP Lightweight EAP: est un mthode propre Cisco qui repose sur l'utilisation de
secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise
aucun certificat et est bas sur l'change de dfi et rponse.
EAP-TTLS Tunneled Transport Secure Layer : utilise TLS comme un tunnel pour
changer des couples attribut valeur la manire de RADIUS servant lauthentification..
PEAP Protected EAP: est une mthode trs semblable dans ses objectifs et voisine dans
la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS
pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification
supportes par EAP.
EAP-TLS Extensible Authentication Protocol-Transport Layer Security: Cest la plus
sre. Le serveur et le client possdent chacun leur certificat qui va servir les
authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit
de dployer une infrastructure de gestion de cls. Rappelons que TLS, la version
normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement,
authentification mutuelle, contrle dintgrit).
NTLM NT Lan Manager: est un protocole dauthentification Microsoft. Ce protocole
utilise un mcanisme de challenge-rponse pour lauthentification dans lequel les clients
peuvent prouver leur identit sans envoyer de mot de pass au serveur. Le protocole
consiste en 3 messages : Type 1 (ngociation), Type 2 (challenge) and Type 3
(authentification).
PKI Public Key Infrastructure: Une PKI est une architecture base sur des cls publiques
et prives stockes dans des certificats. Cette architecture permet aux entreprises de
dployer des solutions scurises pour changer des emails, des documents, etc.
RADIUS - Remote Access Dial-in User Services: RADIUS est un protocole standard pour
interroger de faon distante un serveur dauthentification.
OTP - One Time Password : Consiste utiliser des mots de passe qui ne peuvent tre
utiliss qu'une seule fois. Mme si le mot de passe est drob, il n'est pas rutilisable.
Dans la pratique, ce dispositif repose sur des techniques de cryptographie cls secrtes
ou symtriques et prend gnralement la forme d'une calculette avec un clavier et un
affichage numrique (ex. ActivCard, SecureID).
SSO Single Sign On : Le SSO permet de fdrer l'authentification. Grce au Single Sign-
On, il est possible de regrouper toutes les demandes d'authentification en une procdure
unique. Le confort des utilisateurs et le niveau de scurit s'en trouvent amliors.
16.4 Chiffrement
WEP Wired Equivalent Protection : WEP est un protocole fond sur lalgorithme RC4
(cl de 64 bits), il permet de raliser le contrle daccs lauthentification, la
confidentialit et lintgrit. Le WEP est connu pour ses faiblesses : cl de petite taille, cl
statique et partage par plusieurs utilisateurs.
TKIP Temporary Key Interchange Protocol: TKIP est un protocole de chiffrement
destin amliorer le WEP. Il gnre des cls dynamiques via des rauthentifications
802.1x priodiques.
AES, DES, 3DES: Il sagit dalgorithmes de chiffrement utilisant des cl de 128 bits. Ils sont
utiliss dans les solutions de VPN et dans les mcanismes de chiffrement des dernires
gnrations de points daccs.
VPN Virtual Private Network: Le principe du VPN est bas sur la technique du
tunnelling. Cela consiste construire un chemin virtuel aprs avoir identifi l'metteur et
le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce
chemin virtuel. Les donnes transmettre peuvent appartenir un protocole diffrent
d'IP. Dans ce cas le protocole de tunnelling encapsule les donnes en rajoutant une
entte, permettant le routage des trames dans le tunnel. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de dsencapsulation.
IPSec: Protocole permettant de scuriser les transmissions travers des rseaux non
scuriss comme lInternet. IPsec agit au niveau de la couche rseau, protgeant et
authentifiant les paquets IP entre les dispositifs participants, comme un routeur.
SSL Secure Socket Layer : SSL est un protocole pour grer la scurit de la transmission
de messages sur Internet. Il se positionne entre les couches HTTP et TCP.
WPA Wireless Protected Access: WPA est un sous-ensemble du standard 802.11i
regroupant 802.1x et TKIP.
WPA2 Renforce la scurit WPA en se basant sur lalgorithme de chiffrement AES.
WPA-PSK - Pre Shared Key : Mode permettant de profiter de la scurit WPA ans
disposer de serveur d'authentification. La configuration du WPA-PSK commence par la
dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en
utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps
prdfini.
16.5 Annuaire
LDAP Light Directory Access Protocol: LDAP est un protocole pour accder diffrents
services dun annuaire (interrogation, mise jour, etc). Les annuaires peuvent tre de
diffrents types.
LDAPS LDAP over SSL: Protocole scuris pour accder un annuaire.
La mobilit la hauteur des exigences professionnelles

www.ucopia.com

UCOPIA Livre Blanc

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

UCOPIA Livre Blanc

Uploaded by

Copyright:

Available Formats

Livre blanc UCOPIA

La mobilit la hauteur des exigences

Table des matires

5.5.2 Architecture Shibboleth................................................................................................... 39

Table des figures

2 Prsentation gnrale de la solution UCOPIA

Figure 1: La solution UCOPIA pour la scurit et la mobilit en entreprise

2.1 Architecture globale de la solution UCOPIA

Figure 2: Architecture globale de la solution UCOPIA

Deux composants principaux constituent le botier UCOPIA :

3 Les fonctionnalits UCOPIA

3.1.1 Certification de scurit CSPN

Modes de fonctionnement du portail

cr par auto-enregistrement. Il prsente de plus lavantage dtre gratuit, le mode SMS

Figure 3: Page d'accueil du portail UCOPIA

Figure 4: Affichage des services autoriss depuis le portail UCOPIA

Compatibilit avec les diffrents types de terminaux

Figure 5: Edition du portail UCOPIA

3.1.3 Contrle daccs par profil utilisateur

3.1.5 Organisation en rseaux virtuels (VLAN)

Figure 6: Architecture VLAN UCOPIA

3.1.6 Filtrage dURLs

3.1.7 Dtection dintrusion

3.1.8 Scurit Radio

3.2.1 Modle de mobilit

Figure 7: Le modle de mobilit UCOPIA

3.2.2 Profils adaptables

3.2.3 Transparence daccs ou Zro configuration

Lobjectif de la transparence daccs est de permettre des utilisateurs ne connaissant pas

3.2.4 Qualit de Service

La limitation de bande passante sapplique un service et est exprime en Kbps. Les

3.2.5 Application mobile pour smartphones

iPhone BlackBerry Androd

Figure 8: Application UCOPIA pour Smartphones

3.3.1.1 Administration des politiques de mobilit

Figure 9: Dfinition dun profil utilisateur

3.3.1.2 Supervision et traabilit

Les horaires de connexion : heure laquelle lutilisateur sest connect, heure

Figure 10: Journal des sessions utilisateurs

Figure 11: Journal dactivit (services dun utilisateur)

Figure 12: Journal dactivit (URLs visites par un utilisateur)

Figure 13: Visualisation de statistiques

3.3.2 Portail de dlgation

Prrogatives des administrateurs dlgus

Figure 14: Portail de dlgation Plages horaires

Figure 15: Portail de dlgation Gestion des utilisateurs

Personnalisation du portail de dlgation

3.3.3 Administration centralise

3.3.4 Administration SNMP

3.3.5 Administration via CLI

3.3.6 Exportation Syslog

Figure 16: Architecture UCOPIA

4.1 Le contrleur UCOPIA

Figure 17: Architecture du contrleur UCOPIA

Accs transparent : le module Zro Configuration est bas sur le mcanisme de

4.2 Ladministrateur UCOPIA

Figure 18: Architecture des outils d'administration UCOPIA

Supervision du contrleur : les journaux de sessions et dactivit sont gnrs par le

4.3 Les points daccs Wi-Fi

4.4 Prrequis des postes utilisateurs

5 Intgration UCOPIA dans une infrastructure rseau

5.1 Intgration avec un ou plusieurs annuaires dentreprise

Figure 19: Processus de connexion d'un utilisateur

Figure 20: Configuration d'un annuaire externe d'authentification