Fiche technique. NCP Secure Enterprise VPN Server. Technologie d'accès à distance au réseau nouvelle génération

Transcription

1 Logiciel de passerelle hybride IPsec / SSL VPN plateforme universelle pour un accès à distance complet au réseau d'entreprise Fonctionnalités de routage IP et de pare-feu intégrées Intégration de iphone, ipad, ios, Android, Téléphone/portable Windows et Blackberry Reprise IPsec / HTTPS (Technologie Path Finder VPN de NCP) Gestion de la bande passante Network Access Control* (contrôle d'accès réseau) FIPS Inside Multiclient Sécurité des postes terminaux (SSL VPN) Virtualisation simple, parfaite pour VPN et Cloud Cryptographie à courbe elliptique (ECC, Elliptic Curve Cryptography) Prise en charge multiprocesseur Universalité Le serveur Secure Enterprise VPN offre une solution VPN complète reposant sur la technologie d'accès à distance au réseau nouvelle génération de NCP. La passerelle VPN intègre un télétravailleur nomade et sédentaire dans un réseau de données de société croisée. Le logiciel peut être installé sur un PC standard fonctionnant sous Windows ou Linux, et peut être utilisé comme outil de commutation et de surveillance centralisé derrière un pare-feu dans la zone DMZ (Demilitarized zone, zone démilitarisée), directement sur le réseau public (Wide Area Network), ou comme VM (Virtual Machine, machine virtuelle). Dans les environnements IPsec, le serveur Secure Enterprise VPN de NCP est compatible avec les passerelles VPN des fournisseurs tiers reconnus. Il constitue une plateforme d'accès à distance universelle offrant une connectivité à tous les clients NCP et, qui plus est, pour tous les clients VPN tiers reposant sur la norme IPsec. Cette solution s'appuie en outre sur des normes internationales et peut être intégrée facilement dans une infrastructure IT déjà existante. Grâce à la modularité de l'architecture logicielle du serveur Secure Enterprise VPN, les sociétés bénéficient d'une grande liberté de planification et d'un haut niveau de sécurité pour leurs investissements. Le nombre d'utilisateurs distants et de tunnels VPN peut en outre être adapté au gré des besoins. Gestion multiclient La "prise en charge multisociété" ou multiclient permet une utilisation parallèle d'une passerelle VPN par plusieurs sociétés (partage des ressources). Les administrateurs des sociétés connectées ont ainsi la possibilité d'utiliser un système de gestion d'accès pratique pour la gestion de leurs clients VPN NCP respectifs*. Le serveur Secure Enterprise NCP contient désormais une carte de réseau virtuel, ce qui s'avère décisif pour les environnements Cloud et SaaS (Software as a service, logiciel à la demande). Il peut ainsi entièrement isoler la communication de données de l'opérateur de passerelle et des systèmes d'exploitation environnants. Il assure ainsi une meilleure protection en déchiffrant les données, en les Page 1 / 9

2 réacheminant automatiquement dans un tunnel VPN différent, puis en les chiffrant à nouveau. Dans les réseaux VPN d'accès à distance à grande échelle comportant plusieurs passerelles VPN, les services High Availability (HA, haute disponibilité) offrent une haute disponibilité et une charge de travail constante pour toutes les passerelles VPN installées. Il est possible de mettre en œuvre directement une gestion utilisateur flexible via la passerelle VPN ou les systèmes principaux, tels que RADIUS LDAP ou MS Active Directory. Les fonctionnalités de routage IP et de pare-feu intégrées gèrent ainsi la connectivité et la sécurité liées à la mise en réseau par exemple d'une filiale. Les administrateurs configurent et gèrent le serveur Secure Enterprise VPN via la gestion d'entreprise sécurisée NCP (Secure Enterprise Management, SEM) grâce à un plug-in ou une interface Web. La fonctionnalité de gestion fait office de commande et de surveillance centralisée pour tous les composants VPN. L'automatisation intégrée optimise les performances, assure la transparence, la sécurité, et la rentabilité de la solution VPN. Technologie Path Finder VPN de NCP Le VPN Path Finder (recherche de chemin) de NCP constitue une technologie unique en son genre, permettant aux utilisateurs de bénéficier d'un accès à distance sécurisé, même derrière les pare-feux, dont les paramètres de port refusent généralement la communication IPsec (par exemple comme dans les hôtels). Sécurité/Authentification renforcée Le serveur Secure Enterprise VPN est compatible avec toutes les normes relatives au transfert de données hautement sécurisé dans tous les environnements d'accès à distance. Le serveur NCP prend en charge des fonctionnalités d'authentification renforcée telles que les jetons à mot de passe à usage unique (OTP), les messages texte (SMS) ou les certificats matériels ou logiciels ainsi que les certificats reposant sur la cryptographie à courbe elliptique. Sur la base de listes de révocation, le serveur vérifie la validité des certificats par rapport à l'autorité de certification (AC) hors ligne, ou en ligne pour chaque composition d'appel. L'authentification avancée NCP intègre une authentification à 2 facteurs avec mot de passe à usage unique (OTP) dans la gestion d'entreprise sécurisée via SMS. Chaque mot de passe est créé par un générateur de nombres aléatoires à l'intérieur du connecteur d'authentification renforcée NCP. Sécurité des postes terminaux et bac à sable (Network Access Control, contrôle d'accès réseau = NAC**) L'état de sécurité des appareils terminaux nomades et sédentaires est vérifié avant que chaque appareil n'ait accès au réseau d'entreprise. Tous les paramètres sont définis de manière centralisée, les droits d'accès des personnes travaillant à distance dépendant de la conformité à ces paramètres. Pour l'accès VPN IPsec, les options sont les suivantes : "disconnect" (déconnecter) ou "continue in the quarantine zone" (continuer dans la zone de quarantaine). Pour un accès VPN SSL, une autorisation pour certaines applications est accordée sur la base de niveaux de sécurité prédéfinis. Durant la session VPN SSL, toutes les données sont stockées dans le bureau privé virtuel de NCP (bac à sable), lequel est un espace de travail séparé du système d'exploitation. Au terme de la session VPN SSL, le bac à sable efface automatiquement toutes les données de ce conteneur. Cela signifie que les stratégies de sécurité sont obligatoires pour chaque appareil terminal et que l'utilisateur ne peut ni les éviter, ni les manipuler. Page 2 / 9

3 IPsec et SSL Grâce au serveur Secure Enterprise VPN NCP, les sociétés sont en mesure de configurer des connexions de données vers leur réseau d'entreprise sur la base d'un VPN IPsec et/ou SSL. Les personnes travaillant à distance sur la suite Secure Client de NCP disposent d'un accès transparent à toutes les applications et fonctionnalités de réseau, comme si elles étaient au bureau. Cette approche comprend également le service VoIP (voix sur IP). Il est possible d'attribuer la même adresse IP à un client sécurisé à chaque paramétrage de connexion. Cette adresse IP constitue une adresse IP privée comprise dans la plage d'adresses de la société. Ceci permet une identification de chaque personne travaillant à distance par son adresse IP et simplifie l'administration à distance ainsi que la prise en charge de l'utilisateur. Grâce à une attribution dynamique d'une adresse IP depuis un pool, le système réserve l'adresse pour un utilisateur donné dans les limites d'une période définie (durée de bail) En cas de recours à des adresses IP variables, le serveur Secure Enterprise VPN prend également en charge le DNS dynamique (DynDNS) pour l'accessibilité de la passerelle VPN. La solution VPN SSL de NCP propose les options suivantes concernant l'accès au réseau d'entreprise : (TCP/IP). Connexion aux applications clientes locales (prenant en charge HTTP) via un réacheminement de port. Le système télécharge automatiquement le client léger vers le poste terminal et est nécessaire pour les options de sécurité supplémentaires telles que le cache de protection, la sécurité des postes terminaux et le bureau privé virtuel de NCP. PortableLAN Le client lourd propose un accès au réseau transparent et doit être installé sur chaque poste terminal. Pour des informations détaillées, veuillez consulter la fiche technique séparée du serveur VPN SSL NCP. *) uniquement en association avec la gestion d'entreprise sécurisée NCP **) Le contrôle d'accès réseau est un composant fixe des passerelles VPN SSL de NCP. Un VPN IPsec demande toutefois d'utiliser la gestion d'entreprise sécurisée NCP. Proxy Web Ce module fournit à des utilisateurs autorisés un accès sécurisé à des applications Web internes. Réacheminement de port Le client léger fournit un accès aux applications client/serveur Page 3 / 9

4 VPN IPsec et VPN SSL Généralités Systèmes d'exploitation Gestion Network Access Control (contrôle d'accès réseau) (Sécurité des postes terminaux) DNS dynamique (DynDNS) DDNS Protocoles de réseau Multiclient Administration utilisateur Statistiques et journalisation 32 bits: Linux Kernel 2.6 à partir de (distributions à la demande) 64 bits: Windows Server 2008, Windows Server 2008 R2, Windows 2012 / 2012 R2 Linux Kernel 2.6 à partir de (distributions à la demande) Les administrateurs configurent et gèrent le serveur Secure Enterprise VPN NCP via la gestion d'entreprise sécurisée NCP (Secure Enterprise Management, SEM) grâce à un plug-in de serveur VPN ou une interface Web. Application de stratégies pour les postes terminaux pour les connexions de données entrantes. Vérification de paramètres clients pertinents pour la sécurité prédéfinis. Mesures en cas d'écarts cibles/réels dans le VPN IPsec: Déconnexion ou poursuite dans la zone de quarantaine avec instructions à suivre (boîte de message) ou démarrage d'applications externes (par ex. mise à jour d'antivirus), enregistrement dans des fichiers de journalisation. (Veuillez vous référer à la fiche technique sur la gestion d'entreprise sécurisée NCP pour des informations détaillées) Mesures en cas d'écarts cibles/réels dans le VPN SSL: Gradation individuelle de l'autorisation d'accès pour certaines applications conformément aux niveaux de sécurité définis Configuration de connexion via Internet avec des adresses IP dynamiques. Enregistrement de chaque adresse IP actuelle avec un fournisseur de DNS dynamiques externe. Dans ce cas, le tunnel VPN est établi via l'attribution de nom (condition préalable : le client VPN doit être compatible avec la résolution DNS - ce qui est le cas pour les clients sécurisés NCP) Enregistrement des clients VPN connectés sur le serveur de noms de domaine via DDNS, accessibilité du client VPN sous un nom (permanent) malgré l'adresse IP variable Prise en charge IP, VLAN Capacité de groupe; prise en charge au maximum de 256 groupes de domaine (c'est-à-dire configuration de l'authentification, du réacheminement, des groupes de filtres, des pools IP, de la limitation de bande passante, etc.) Administration utilisateur local (jusqu'à 750 utilisateurs) ; serveur OPT; RADIUS; LDAP, Novell NDS, MS Active Directory Services Statistiques détaillées, fonctionnalité de journalisation, envoi de messages SYSLOG Page 4 / 9

5 FIPS Inside IF-MAP Processus d'authentification client/utilisateur Le IPsec Client intègre des algorithmes cryptographiques conformes à la norme FIPS. Le module cryptographique intégré, contenant les algorithmes correspondants, a été certifié conformément à la norme FIPS (certificat #1051). En cas de recours à l'un des algorithmes suivants pour la configuration et le chiffrement d'une connexion IPsec, la compatibilité FIPS est systématiquement donnée: Diffie Hellman-Group : Groupe 2 or supérieur (DH à partir d'une longueur de 1024 bits) Algorithmes de hachage : SHA1, SHA 256, SHA 384, ou SHA 512 bits Algorithmes de chiffrement : AES avec 128, 192 et 256 bits ou Triple DES Le projet ESUCOM a pour objectif la conception et le développement d'une solution de sécurité en temps réel pour les réseaux d'entreprise, qui fonctionne sur la base d'une consolidation des métadonnées. Il se concentre en particulier sur la menace liée aux terminaux nomades, comme par exemple les smartphones. ESUKOM s'intéresse à l'intégration de solutions de sécurité existantes (commercialisées et à code source libre) reposant sur un format de métadonnées constant conformément aux spécifications IF-MAP du Trusted Computing Group (TCG). Le serveur IF-MAP de l'université de Hanovre (Hannover University of Applied Science and Arts) est actuellement mis à disposition pour une mise à l'essai gratuite. URL : Jeton OTP, certificats (X.509 v.3) : certificats utilisateur et matériel (IPsec), nom d'utilisateur et mot de passe (XAUTH) Certificats (X.509 v.3) Certificats de serveur Listes de révocation Vérification en ligne Il est possible d'utiliser des certificats fournis via les interfaces suivantes : interface PKCS#11 pour jetons de chiffrement (USB et cartes à puce); interface PKCS#12 pour clés privées dans des certificats logiciels Révocation : EPRL (End-entity Public-key Certificate Revocation List, anciennement CRL), CARL (Certification Authority Revocation List, anciennement ARL) Téléchargements automatiques de listes de révocation à partir de l'ac à des intervalles donnés; Vérification en ligne : vérification des certificats via OCSP ou OCSP sur http Page 5 / 9

6 VPN IPsec et VPN SSL - gestion de la composition d'appel Supports de communication Gestion de ligne Protocoles point-à-point Gestion d'adresses de pool Appel déclencheur LAN; fonctionnement direct sur le WAN: Prise en charge de 120 canaux B RNIS au max. (donc S2M) DPD avec intervalle de temps configurable ; mode de veille automatique ; regroupement de canaux (dynamique dans RNIS) avec valeur de seuil à configuration libre ; délai d'expiration (contrôlé par le temps et les frais); PPP sur ISDN, PPP sur GSM, PPP sur PSTN, PPP sur Ethernet; LCP, IPCP, MLP, CCP, PAP, CHAP, ECP Réservation d'une adresse IP dans un pool dans les limites d'une période définie (durée de bail) Composition directe de la passerelle VPN distribuée via RNIS, "knocking in the D-channel" (appel canal D) VPN IPsec Mise en réseau privé virtuel Internet Society RFC (demandes de changement) et projets Chiffrement Pare-feu IPsec (Tunnellisation de couche 3), conformité RFC; Traitement automatique de taille MTU, fragmentation et réassemblage; DPD; Traversée NAT-(NAT-T); Modes IPsec ; mode tunnel, mode transport; Recomposition continue; PFS RFC (IPsec), RFC 3947 (négociations NAT-T ), RFC 3948 (encapsulation UDP), architecture de sécurité IP, ESP, ISAKMP/Oakley, IKE, IKEv2 (dont MOBIKE), XAUTH, IKECFG, DPD, traversée NAT (NAT-T), encapsulation UDP, IPCOMP Processus symétriques : AES 128, 192, 256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits; Processus dynamiques pour l'échange de clés : RSA jusqu'à 4096 bits; Diffie-Hellman Groups 1, 2, 5, 14-21, 25, 26; Algorithme de hachage: MD5, SHA1, SHA 256, SHA 384, SHA 512 Inspection de paquets avec état; IP-NAT (Network Address Translation); Filtrage des ports ; Protection de carte réseau sans fil Page 6 / 9

7 VPN Path Finder (recherche de chemin VPN) Itinérance continue (seamless roaming) Processus d'authentification Attribution d'adresses IP Compression de données Système recommandé Exigences relatives à l'ordinateur Clients VPN recommandés / Compatibilité Modules Secure Entry Client NCP Modules Secure Enterprise Client NCP Clients VPN tiers Technologie Path Finder NCP: reprise IPsec/ HTTPS (port 443) si le port 500 ou, le cas échéant, une encapsulation UDP n'est pas possible (Condition préalable : Serveur Secure Enterprise VPN NCP 8.0) Grâce à l'itinérance continue, le système connecte automatiquement le tunnel VPN à un support de communication Internet différent (LAN/ WiFi/ 3G/ 4G) sans changer l'adresse IP, de sorte que la communication de l'application via ce tunnel n'est pas perturbée et que la session d'application n'est pas interrompue IKE (Aggressive and Main Mode), Quick Mode; XAUTH pour une authentification utilisateur étendue; Prise en charge de certificats sous PKI : Certificats logiciels, cartes à puce, jetons USB, certificats avec technologie ECC; clés prépartagées; Mots de passe à usage unique et systèmes stimulation/réponse; RSA SecurID ready DHCP (Dynamic Host Control Protocol) sur IPsec; DNS : Sélection de la passerelle centrale avec adresse IP publique variable en interrogeant l'adresse IP via le serveur DNS ; mode config IKE pour attribution dynamique d'une adresse virtuelle aux clients depuis la plage d'adresses interne (IP privée) IPCOMP (lzs), compressé Unité centrale : Pentium III ou supérieur, ou compatibilité unité centrale RAM : 512 Méga-octets minimum plus 0,256 Méga-octet par tunnel VPN utilisé simultanément, c'est-à-dire 64 Méga-octets pour 250 tunnels VPN utilisables parallèlement Débit de données (dont chiffrement symétrique): Cœur unique: débit de données [MBit/s]» fréquence d'horloge [MHz]/150 MHz*8,5 MBit/s. Double cœur: débit de données [MBit/s]» fréquence d'horloge [MHz]/150 MHz*12,5 MBit/s. Triple cœur: débit de données [MBit/s]» fréquence d'horloge [MHz]/150 MHz*15,5 MBit/s. Quadruple cœur: débit de données [MBit/s]» fréquence d'horloge [MHz]/150 MHz*17,5 MBit/s. Comme le montre la formule d'approximation pour le débit de donnés plus haut, une augmentation supplémentaire du nombre de cœurs d'unité centrale ne se traduit pas par une augmentation proportionnelle du débit de données Windows 32/64, Mac OS, Windows Mobile, Android Windows 32/64, Mac OS, Windows Mobile, Android, Windows CE, Linux ios Page 7 / 9

8 SSL-VPN Protocoles Proxy Web Accès aux fichiers à distance sécurisé* Réacheminement de port Bureau privé virtuel NCP Protection du cache pour Internet Explorer 7, 8 et 9 SSLv1, SSLv2, TLSv1 (Tunnellisation couche d'application) Accès aux applications Web internes et lecteurs réseau Microsoft via une interface Web. Conditions préalables pour le poste terminal : navigateur web acceptant SSL avec fonctionnalité Java Script Téléchargement et chargement, création et effacement de répertoires, c'est-à-dire globalement les fonctionnalités de l'explorateur de fichiers sous Windows. Conditions préalables pour les postes terminaux: voir Proxy Web Accès aux applications client/serveur (TCP/IP), Conditions préalables pour les postes terminaux : navigateur web acceptant SSL avec fonctionnalité Java Script, environnement d'exécution Java (>= V5.0) ou ActiveX, Client léger SSL pour Windows 7(32/64 bits), Windows Vista (32/64 bits), Windows XP (32/64 bits) et Linux Le bureau privé virtuel est un espace de travail déconnecté du système d'exploitation de base et uniquement disponible temporairement durant une seule session SSL VPN. Toute application démarrée par l'utilisateur dans cet espace de travail est déconnectée du système d'exploitation, et le bureau privé virtuel stocke les données d'application dans un conteneur à chiffrement AES, comme par exemple les pièces jointes de courriels. Au terme de la session VPN SSL, le bac à sable efface automatiquement toutes les données de ce conteneur Toutes les données transmises sont automatiquement effacées du poste terminal après déconnexion. Conditions préalables pour les postes terminaux : Navigateur web acceptant SSL avec fonctionnalité Java Script, environnement d'exécution Java (>= V5.0), Client léger SSL pour Windows 7(32/64 bits), Windows Vista (32/64 bits), Windows XP (32/64 bits) PortableLAN Accès transparent au réseau d'entreprise. Conditions préalables pour les postes terminaux : Navigateur web acceptant SSL avec fonctionnalité Java Script, environnement d'exécution Java (>= V5.0) ou commande ActiveX, client PortableLAN pour Windows 7(32/64 bits), Windows Vista (32/64 bits), Windows XP (32/64 bits) Single Sign-on (authentification unique) L'authentification unique est utilisée dans tous les cas où la connexion au serveur Web nécessite les mêmes données d'accès que le client VPN SSL. Il est possible de gérer de manière centralisée l'id utilisateur et le mot de passe via Active Directory, RADIUS ou LDAP. En fonction de l'application, vous pouvez faire la distinction entre une authentification unique avec authentification HTTP (Basic (RFC2617), HTTP Digest (RFC2617) et NTLM (Microsoft)) et une méthode d'authentification unique reposant sur un formulaire de publication. Page 8 / 9

9 L'authentification unique a été testée avec des applications Web telles que Outlook Web Access (OWA) 2003, 2007 et 2010, RDP Client et CITRIX Web interface 4.5, 5.1. L'authentification unique avec réacheminement de port n'est prise en charge que par des applications pouvant accepter un paramétrage (tels que ID utilisateur et mot de passe) dans leur ligne de commande Exigences relatives au système recommandé Clients parallèles: Unité centrale : Intel Dual Core 1,83 GHz ou processeur x86 comparable, 1024 MB RAM 200+ Clients parallèles: Unité centrale : Intel Dual Core 1,83 GHz ou processeur x86 comparable, 1024 MB RAM *) Dépend du type de poste terminal. Les terminaux nomades tels que les tablettes PC (utilisant IOS ou Android), Smartphones, ANP et autres dispositifs similaires sont soumis à certaines restrictions. **) Les valeurs données constituent des recommandations et sont fortement influencées par le comportement des utilisateurs et par les applications. En cas de grands volumes simultanés de transferts de données (téléchargements et chargements de données) à calculer, nous recommandons d'augmenter les valeurs de mémoire susmentionnées d'un facteur 1,5. FIPS Inside Page 9 / 9