Rejoignez une emeeting

Transcription

1 Marratech Security : Aspects Overview Sécurité Le travail en groupe on-line implique souvent l utilisation d informations confidentielles qui ne doivent pas sortir du groupe. Ces données concernant des plans d affaires, des séances de réflexion et d information internes, si elles étaient communiquées, pourraient nuire au groupe ou plus simplement être mal interprétées. Les participants de ces réunions on-line ont besoin de savoir que leur outil de communication leur garantit le niveau de sécurité le plus élevé. La sécurité est, en effet, un facteur-clé de réussite pour toute communication on-line. Marratech fournit à son environnement de travail collaboratif on-line la priorité absolue de la sécurité et la considère comme un aspect prépondérant de la communication et de la collaboration directe en réseau afin que ses solutions soient utilisées par tous. Cependant, les solutions sécurisées se doivent ne pas compliquer la vie de leurs utilisateurs finaux ni celle des administrateurs de réseaux. Ces mesures doivent pouvoir empêcher les Fournisseurs d Accès Internet (FAI), les administrateurs de réseaux et tout autre tiers ayant accès au serveur du Portail Marratech Manager d intercepter ces informations. C est pourquoi Marratech a concentré ses efforts de travail sur le traitement du protocole NAT, les pare feux, le cryptage en temps réel et les clés d accès aux réunions. Pour comprendre les différents niveaux de sécurisation associés à chaque étape d une emeeting, nous allons vous expliquer étape par étape comment: rejoindre une emeeting ; vous connecter aux salles de Marratech Manager ; crypter des données en temps réel ; contrôler l accès aux salles de réunion virtuelles ; traiter le protocole NAT et les pare feux ; répondre aux «buffer attacks» ; LDAP et SIP Bonne lecture! Rejoignez une emeeting Votre accès aux salles de réunion virtuelles Marratech est assuré par le serveur Web intégré au Portail Marratech Manager. Le serveur Web intégré utilise le protocole de communication «Secure Socket Layer» (SSL) pour une authentification des utilisateurs, un choix de salle de réunion, une communication du choix de ports UDP et une distribution des clés de cryptage. Cette technologie est aujourd hui la norme en ce qui concerne les connexions sécurisées sur Internet (ex : industrie bancaire). Mais au-delà du cryptage, le protocole SSL utilise un certificat d authentification du serveur pour l utilisateur, ce qui rend presque impossible tout détournement ou toute falsification de ce serveur par un tiers. Avant de participer à une emeeting, l utilisateur doit être identifié (via le SSL) par le Portail Marratech Manager. Une fois authentifié, l information nécessaire à la connexion est envoyée au Marratech de l utilisateur qui peut alors rejoindre la réunion on-line. Un certificat SSL se télécharge facilement sur l interface Web de Marratech Manager. Après téléchargement du certificat SSL, le trafic http est facilement redirigé vers le port https grâce à interface Web de Marratech Manager. Nous recommandons vivement à nos clients d acheter un certificat SSL pour le télécharger sur leur Marratech Manager. Nous utilisons le «Certificate Chain» PKCS#7 qui peut s acheter aux organisations de systèmes de certification, comme Thawte ou Verisign. Vous pouvez également utiliser un certificat autoauthentifié, mais il généra des avertissements de sécurité auprès de vos utilisateurs. Vous avez la possibilité de désactiver l authentification et le SSL (https), mais nous vous le déconseillons car sans ces protections le trafic (cryptage des informations et des réunions) pourrait être détourné par des tiers. 1

2 Les salles publiques, contrairement aux salles privées, ne nécessitent pas d authentification (identifiant et mot de passe), mais toutes les informations de vos réunions (clés de cryptage, choix de ports UDP, etc.) seront cryptées par SSL. Pour MeetNow! qui utilise la technologie Java Web Start pour une participation par browser Internet, vous devez installer un certificat sur le serveur Web Start. Le serveur Web Start par défaut est contrôlé par Marratech qui y intègre un certificat SSL valide et opérationnel. Rejoindre une emeeting: connectez-vous! Une fois l utilisateur authentifié, Marratech Manager vous envoie un fichier de description des media (audio, tableau blanc, vidéo, chat et Web) ainsi que les clés de cryptage pour obtenir la connexion. Pour empêcher le détournement des connexions par un tiers, Marratech utilise un système de cryptage avec question-réponse («challenge-response system»). Ce système de question-réponse est fréquemment utilisé par l industrie bancaire et les réseaux privés virtuels (VPN). Marratech Manager établit la connexion avec Marratech après avoir reçu la réponse appropriée. Les étapes 1 et 2 utilisent le protocole https. Les informations nécessaires à la connexion (ports, media, cryptage, question-réponse) sont envoyées via SSL et utilisent le certificat installé pour le cryptage et l intégrité de la communication. Une question-réponse (étapes 3 à 6) s exécute deux fois pour tous les media via UDP (audio, 2 x tableau blanc, vidéo, chat et Web) et une seule fois pour les connexions RTP et le contrôle de qualité (RTCP). Le tableau blanc a besoin de quatre connexions (2 x RTP, 2 x RTCP) puisqu il exige une connexion «best efforts» et une connexion de «fiabilité». Marratech répond à la «question» avec l information reçue via SSL dans la deuxième étape. Les données envoyées à Marratech Manager provenant d une source non autorisée ou sans authentification (cad. l expéditeur ayant échoué à la question-réponse) sont automatiquement rejetées. Le même système «question-réponse» est utilisé pour les connexions entre nœuds. Une fois la réunion commencée : le cryptage de bout en bout Une fois la connexion établie, Marratech est responsable des cryptages et décryptages de toute information envoyée et reçue sur le réseau. Avant d être envoyés sur le réseau, tous les media (audio, tableau blanc interactif et ses annotations, chat, diapositives et vidéo) sont protégés par cryptage de toute interception, soit sur le réseau, soit sur le serveur. Marratech incorpore un moteur de cryptage. Tout media envoyé, reçu et enregistré par Marratech est crypté. 2

3 Les algorithmes de cryptage sont de 256-bit «AES» ou 128-bit «Blowfish». Une fois sur le réseau, les media ne sont décryptés que lorsqu ils sont reçus par le Marratech des autres participants de l emeeting. Le logiciel serveur Marratech Manager ne crypte ni décrypte JAMAIS les informations d une réunion (audio, vidéo et données). Le cryptage de bout en bout signifie que les administrateurs de serveur ne peuvent ni intercepter, ni décrypter les réunions en cours. Seul le destinataire final (Marratech installé et authentifié par Marratech Manager) peut crypter et décrypter la réunion en cours. Ceci allège les fonctions du serveur et empêche tout Fournisseur d Accès Internet (FAI), Fournisseur d applications Hébergées (FAH), administrateur du réseau ou autre personne ayant accès au serveur d intercepter et de déchiffrer la réunion. Les solutions de cryptage n affectent pas la performance globale du logiciel, l utilisation de la bande passante, la performance de vos serveurs, ni enfin ne provoquent de retard de communication. Marratech active le cryptage par défaut. Marratech Manager est souvent déployé par des Fournisseurs d Applications Hébergées (FAH). Pour empêcher une écoute de vos réunions par les FAH, vos clés de cryptage peuvent être hébergées sur un serveur SSL séparé. En utilisant SSL pour l authentification des mots de passe et avec un hébergement des clés de cryptage extérieur, Marratech assure la confidentialité de toute information partagée au sein d une emeeting. Toute information envoyée ou reçue par Marratech est cryptée indépendamment de la configuration du réseau (Multicast, Unicast, Hybride Multicast/Unicast, Noeuds, NAT, VPN, Pare Feu, etc.). Le cryptage s exécute seulement aux points de destination fi naux (ex : poste de travail) ce qui garantit l intégrité de vos échanges d informations et empêche l interférence des administrateurs de réseaux ou des fournisseurs d applications hébergées (FAH). Les clés de cryptage sont contenues dans le fichier descriptif des sessions envoyé via SSL lors de la première connexion à une salle Marratech. Pour héberger la clé de cryptage à l extérieur, vous devrez fournir l URL de cette clé quand vous créerez la salle de réunion virtuelle (cf. Pour rejoindre une emeeting avec une clé externe, l utilisateur devra être authentifié par le serveur externe. Réunion en cours : accès aux salles de réunion Il y a deux façons de limiter l accès à une salle de réunion. La première est la création d une salle privée avec authentification par mot de passe utilisant SSL. L authentification peut utiliser les comptes des utilisateurs et groupes créés dans la base de données interne à Marratech Manager ou par accès à un annuaire LDAP externe. L accès à l annuaire externe permettra l utilisation d Active Directory de Microsoft et pourra intégrer le certificat SSL si l annuaire l accepte. L accès aux salles peut être contrôlé par l appartenance à un groupe d utilisateurs et cette appartenance gérée par Marratech Manager ou par LDAP. L accès aux salles peut être réservé aux groupes ou à des utilisateurs spécifiques. 3

4 La deuxième façon de limiter l accès à une salle de réunion est de verrouiller la salle de réunion virtuelle après que tous les participants y soient entrés. Cette fonction simple vous permet d empêcher la présence d un participant indésirable, malgré son authentification. Néanmoins, si un participant authentifié non désiré devait se joindre à votre réunion, vous pouvez l en éjecter simplement par une commande similaire au verrouillage. L accès au droit de verrouillage de la salle et/ou d éjection d un participant peut être réservé à l animateur de la réunion. Le réseau: Network Address Translation (NAT) L utilisation répandue du protocole NAT (Network Address Translation traduction d adresses IP) a rendu difficile le déploiement des services interactifs on-line et en temps réel. Ce type de pare-feux gêne la communication en temps réel ; les ordinateurs sont dissimulés sur réseau Internet, leur adresse originale IP sur réseau local n étant pas accessible depuis l extérieur. L utilisation du protocole NAT est largement répandue pour compenser au manque de disponibilité des adresses IP publiques sur Internet. Pour résoudre ce problème, Marratech a développé une solution unique et sûre éliminant, dans la plupart des cas, le besoin de configuration de pare-feux par les administrateurs de réseau. Très souvent, un client situé «derrière» un parefeu NAT peut envoyer un paquet à une adresse IP extérieure et recevoir une réponse de cette adresse IP par le même port. C est une règle commune pour les pare-feux NAT configurés avec «dynamic state» (état dynamique) souvent appelé «allow return» (permettant le retour), «established mode» ou «keep state». Dans ce cas, la configuration de pare-feux de Marratech n est pas nécessaire. Marratech Manager directement sur Internet Marratech Manager est disponible directement sur Internet (ou DMZ) et accessible aux clients «derrière» un pare-feu NAT. Marratech Manager est disponible directement sur Internet (ou DMZ) et est accessible aux clients «derrière» plusieurs NATs et/ou directement sur Internet. Marratech Manager est automatiquement compatible avec ces deux scenarii. Aucune configuration n est nécessaire nulle part. Le Portail Marratech Manager «derrière» NAT Deux étapes sont nécessaires à l installation de Marratech Manager «derrière» NAT: 1. Une «static rule» («règle statique») doit être crée pour le routeur NAT afin que les Marratech s extérieurs sachent où se connecter. On trouve cette règle sous le nom de Port Forwarding ou Port Mapping. Elle permet le renvoi du trafic vers l adresse IP privée de Marratech Manager. 2. L adresse publique du NAT doit être ajoutée à la section Network de l interface Web de Marratech Manager. Marratech Manager situé «derrière» un pare-feu avec NAT peut être contacté par des clients sur Internet (ou sur le même réseau que le Marratech Manager). Marratech Manager situé «derrière» un pare-feu avec NAT peut être contacté par des clients «derrière» plusieurs pare-feux NAT et/ou sur Internet (ou sur le même réseau que le Marratech Manager). A noter: il n y a aucune différence entre les deux scenarii évoqués ci-dessus parce que les clients «derrière» NAT sont automatiquement acceptés. Seul Marratech Manager «derrière» NAT doit être configuré. 4

5 Configuration de réseau avec nœuds : concentrateurs des flux Une configuration de réseau avec nœuds facilite la communication entre deux ou plusieurs sites dont la disponibilité en bande passante est limitée. Une emeeting peut passer par plusieurs serveurs Marratech Manager configurés comme des nœuds esclaves. Ce déploiement est disponible pour tous nos clients sans aucun frais supplémentaires. Dans cette confi guration, tous les participants du bureau B (à droite) se connectent directement à Marratech Manager via Intranet ou Internet. Si plusieurs utilisateurs du bureau B participent à la même réunion virtuelle, ils peuvent occasionner une surcharge de connexion entre les bureaux A et B qui est inutile car il y a une duplication des fl ux de données. On pourra éviter la duplication en installant un nœud esclave au bureau B, les utilisateurs situés sur le réseau local au bureau B se connectant avec le nœud. Il n y aura qu un seul fl ux entre le nœud esclave et Marratech Manager. Un déploiement avec nœud esclave permet que les données audio, vidéo, Web, chat et le tableau blanc soient envoyées en une seule fois, réduisant ainsi le besoin en bande passante. Réseau: les Pare-Feux VPN (Réseaux Virtuels Privés) Pour des déploiements hors de votre Intranet, la solution la plus sécurisée est d utiliser l accès VPN (Réseau Virtuel Privé) déjà disponible sur votre réseau. Marratech est entièrement compatible avec VPN IPSec et permettra une connexion entre VPN et Marratech Manager derrière un pare-feu. Le VPN doit être activé avant le démarrage de Marratech. Nous vous rappelons que l utilisation d un VPN peut augmenter légèrement les besoins en bande passante et CPU pour le fonctionnement de Marratech. L accès pour Marratech derrière un parefeu à un serveur extérieur Si une solution VPN n est pas disponible ou si vous souhaitez communiquer avec des personnes n ayant pas accès à votre VPN, vous pouvez placer votre Marratech Manager sur Internet ou dans un DMZ. Marratech fait le maximum pour que ses solutions soient compatibles avec les systèmes de pare- feux. Ceci implique les caractéristiques suivantes: 1. Les connexions sont toujours initiées par Marratech. En aucun cas Marratech Manager n initie de connexion avec les Marratech s. 2. Une fois la connexion établie, les données sont toujours renvoyées au port qui les a émis. La plupart des pare-feux qui utilisent le protocole NAT sont déjà configurés avec la règle dynamic state (état dynamique ), également appelée «allow-return» (permettant le retour), «established mode» ou «keep state», définie comme règle par défaut. Cela signifie que le trafic est autorisé seulement si un client derrière le pare-feu l a commencé et désiré. Suivant ces deux éléments, il n est pas nécessaire «d ouvrir» les ports UDP pour les Marratech s situés «derrière» un pare-feu. Cependant, plusieurs organisations ont décidé de fermer totalement les ports de leur pare-feu pour le trafic entrant et sortant. Pour ces organisations, Marratech recommande des mesures de sécurité supplémentaires au mode dynamic state. Le pare-feu peut être configuré avec la règle dynamic state pour les seules communications avec un Marratech Manager identifié par son adresse IP et dont l identité est assurée par SSL. Vous pouvez aussi configurer votre pare-feu pour n autoriser la communication qu avec certains Marratech s derrière pare-feu et certains Marratech Managers. 5

6 Une telle configuration bloquera toute communication entrante et sortante, exception faite du trafic initié par un Marratech derrière pare-feu ayant l autorisation de commencer la communication avec un Marratech Manager autorisé et identifié par SSL. Le trafic sera renvoyé du Marratech Manager au Marratech par le même port UDP. Cette configuration est aussi possible pour un déploiement de Marratech Manager dans un DMZ. Analyse des Risques Ces conseils doivent être accompagnés d une analyse des risques. Les informations suivantes sont destinées à l administrateur du réseau pour permettre les connexions avec un Marratech Manager autorisé par des clients derrière pare-feu et sous sa responsabilité. Il est important de lire cette partie contenant les conseils sur la règle dynamic state. Si une réunion virtuelle Marratech est en cours et qu un tiers arrive à détourner le Marratech Manager autorisé, pourvu que le tiers soit capable d identifier les clients Marratech derrière votre pare-feu, il est possible qu il puisse envoyer des informations à ces Marratech s. Mais cette communication sera rejetée pour trois raisons : 1. Les données ne seront pas cryptées par les clés de cryptage utilisées pour la réunion. Les clés étant cryptées sur le Marratech Manager concerné ou sur un autre serveur, l accès en sera très difficile. 2. Les données seront rejetées par Marratech puisqu elles ne sont pas des données de emeeting. A moins qu un client derrière pare-feu ait entamé une réunion avec un Marratech Manager identifié et autorisé, aucun trafic ne pourra accéder au réseau. La situation sera comme si tous les ports de pare-feu étaient fermés. Si une réunion est en cours et qu un tiers essaie de passer par les ports UDP configurés pour la réunion, il sera rejeté ne provenant pas d un serveur autorisé et identifié par SSL. Le trafic sera également bloqué car la communication n a pas été initiée par le client. Seul un Marratech derrière pare-feu pourra initier une communication vers un Marratech Manager autorisé et identifié. 3. Les attaques buffer seront rejetées grâce au système de protection de Marratech, Marratech Manager et Marratech (voir ci-dessous) Ainsi, même s il est peu probable qu un Marratech Manager soit détourné pendant une réunion virtuelle, Marratech possède des gardes fous qui protégeront votre réseau. Même si aucune réunion Marratech n est en cours, et qu un tiers réussit à détourner un serveur Marratech Manager autorisé, aucun trafic ne pourra accéder au réseau car chaque communication doit être initiée par un Marratech derrière pare-feu. 6

7 Autres déploiements possibles Si votre politique de pare-feu ne permet pas l accès aux ordinateurs extérieurs, même avec la règle dynamic state et les mesures de sécurité supplémentaires (voir ci-dessus), et que vous avez néanmoins besoin d un accès externe (la solution VPN n étant pas possible), vous pouvez utiliser un nœud maître dans un DMZ et un nœud esclave derrière le pare-feu. Dans ce scénario, votre pare-feu doit être configuré seulement pour le trafic http entre le nœud esclave derrière le pare-feu et le nœud maître dans le DMZ configuré. C est un trafic qui concerne uniquement les deux serveurs sous contrôle de votre société. La tranche de ports UDP utilisée par Marratech peut être définie lors de la configuration de Marratech Manager. Ceci permet aux administrateurs de réseaux d être flexibles et de contrôler l utilisation des ports. La tranche de ports UDP à configurer par défaut est de à Chaque salle de réunion virtuelle utilise 12 ports UDP. Marratech vous recommande d en allouer quelques uns en plus au cas où un port serait déjà utilisé pour une autre fonction. Utilisation LDAP Les droits d accès aux salles peuvent être gérés par LDAP (Lightweight Directory Access Protocol) pour des utilisateurs et des groupes d utilisateurs. Marratech Manager peut lire les identifiants des utilisateurs et les permissions dans un annuaire LDAP. Parce que LDAP (ou Active Directory) est souvent situé sur un serveur extérieur, Marratech Manager aura besoin d un accès à ce service. Si l accès LDAP passe par Internet ou par un réseau ouvert, Marratech vous conseille d utiliser SSL entre Marratech Manager et l annuaire LDAP pour le cryptage de toutes les communications (mots de passe et identifiants, etc.). Utilisation SIP Marratech utilise le protocole SIP (Session Initiation Protocole). L option téléphonie SIP permet une connexion avec une passerelle SIP et par voie de cette passerelle des connexions avec de simples téléphones PSTN (fixes et portables) et d autres téléphones VoIP. Les fournisseurs de téléphonie SIP fournissent souvent des connexions illimitées vers d autres téléphones SIP avec un forfait mensuel comprenant un certain nombre de minutes par appels vers les téléphones PSTN. Nous vous recommandons de placer votre Marratech Manager au plus près de la passerelle SIP car les communications entre Marratech Manager et la passerelle SIP ne sont pas cryptées (très peu de services de téléphonie SIP sont cryptés). Il est très important de choisir un service SIP de confiance puisque les communications entre la passerelle SIP et les téléphones fixes et portables ne sont pas cryptées. Le fournisseur du service de téléphonie SIP définit les ports d accès à votre Marratech Manager. Sur notre forum ( vous trouverez des informations sur la liste des fournisseurs SIP testés par Marratech ainsi que sur les configurations nécessaires à leur fonctionnement. «Buffer Attacks» Les logiciels crées par de grands développeurs sont fréquemment vulnérables aux «buffer attacks» (ex.: Code Red virus). Pour lutter contre ces «buffer attacks», Marratech à mis en place d importantes mesures de sécurité : un choix des protocoles, une sécurisation des processus et l utilisation du langage Java. Java offre un model «sandbox» diminuant la vulnérabilité du système aux attaques. Conclusion Marratech se distingue du marché par la sécurité de son environnement de travail. Celui-ci se maintient à plusieurs niveaux : nos solutions uniques et flexibles apportent une réponse inédite aux problèmes de pare-feux et de NAT sans remettre en question la sécurisation du réseau, le cryptage des données, l authentification des utilisateurs, ni la possibilité de verrouillage des salles de réunion virtuelles, afin que votre travail collaboratif à distance se déroule dans les meilleures conditions de sécurité. L excellente sécurité de réseau offerte par Marratech facilite la collaboration de qualité en temps réel avec une protection inédite comparé aux solutions disponibles sur le marché. Marratech Systèmes France SARL 12 bis rue Soyer Neuilly sur Seine FRANCE Tel: Ventes: ventes@marratech.com Plus d informations: info-france@marratech.com Essayez les Emeetings Marratech. Venez nous visiter sur Security overview FR 11/05 Copyright 2005 Marratech, Inc. All rights reserved 7 Marratech and the Marratech Logo are registered trademarks or trademarks of Marratech AB and (or) its affiliates in the U.S. and certain other countries. Other trademarks mentioned herein are the property of their respective holders