Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Transcription

1 VPN à gestion centralisée Fonctionnement entièrement automatique d'un VPN à accès à distance via une seule console Pour un déploiement et une exploitation en toute simplicité d'infrastructures bénéficiant d'un accès à distance sécurisé Création centralisée de la configuration client Changements de configuration à la demande Effort de gestion minimal Diminution des appels au support technique Besoins limités en formation et documentation Intégration dans n'importe quelle infrastructure IT existante Plus de 29 ans d'expérience dans le domaine de l'accès à distance Serveur RADIUS intégré Présentation NCP se concentre sur le développement de logiciels innovants depuis plus de 25 ans. Elle a pour objectif de proposer un accès à distance sécurisé facile à mettre en place et à exploiter à des sociétés et des autorités. Dans ce contexte, la gestion d'entreprise sécurisée (Secure Enterprise Management, SEM) constitue un composant essentiel, pour ainsi dire, le cœur de la technologie d'accès à distance au réseau nouvelle génération de NCP. Fonctionnement entièrement automatique La gestion d'entreprise sécurisée peut être reliée à la gestion d'utilisateurs existante de la société (par ex. Microsoft Active Directory) et bénéficie de mises à jour régulières. Dès l'enrôlement d'un(e) nouveau/nouvelle employé(e) dans la base de données, la solution SEM crée une configuration individuelle pour cet utilisateur, en fonction de modèles définis ; elle la saisit ensuite dans le serveur RADIUS et, entres autres, attribue une reconnaissance de fournisseur ainsi qu'un certificat logiciel. Dans le cas d'un retrait d'ancien(ne) employé(e) de la base de données, la SEM bloque immédiatement cet accès VPN. Il n'est donc plus nécessaire de configurer manuellement les ordinateurs de tous les personnels nomades. La SEM permet également un déploiement rapide d'un grand nombre d'utilisateurs ou de certificats logiciels. Composants La gestion d'entreprise sécurisée se compose du serveur de gestion (Management Server) et de la console de gestion (Management Console) dotée d'une interface utilisateur graphique. Le serveur de gestion sert à la configuration et à la gestion de tous les composants NCP connectés. Ceci inclut les modules Secure Enterprise Client pour Windows, Mac OS, Android, Linux et CE/Windows Mobile, ainsi que le serveur Secure Enterprise VPN. Le serveur de gestion est un système reposant sur une base de données. Il correspond de ce fait virtuellement avec n'importe quelle base de données via ODBC (p.e. Oracle, MySQL, MS SQL, MS Access, MaxDB). En option, le serveur de gestion de sauvegarde assure la haute disponibilité du serveur de gestion, lequel dispose systématiquement du référentiel de données actuel par le biais d'un service de réplication intégré. Page 1 / 8

2 Plug-ins du serveur de gestion : Configuration client (Client Configuration) Surveillance du système (System Monitor) Configuration pare-feu client (Client Firewall Configuration) Configuration serveur (Server Configuration) Configuration serveur à distance (Remote Server Configuration) Contrôle d'accès réseau, (NAC, Network Access Control) Inscription PKI (PKI Enrollment), RADIUS Tous les paramètres de configuration sont stockés dans la base de données et sont habituellement inclus dans le processus de sauvegarde de l'opérateur VPN. La console de gestion peut être installée sur plusieurs postes de travail administrateurs, ceci nécessitant une connexion réseau au serveur de gestion. Plug-in de configuration client Ce plug-in permet la configuration et l'administration des modules Secure Enterprise Client NCP. Tous les paramètres pertinents sont prédéfinis et stockés dans des modèles. Processus de mise à jour automatique Le processus de mise à jour automatique permet à l'administrateur de fournir de manière centralisée les mises à jour de configuration et de certificat à tous les modules Secure Enterprise Client NCP distants. Lors de Console de gestion sécurisée NCP : Configuration client Page 2 / 8

3 la prochaine connexion du client au réseau d'entreprise, le système procède alors automatiquement à l'installation. En cas de dysfonctionnement à la transmission, la configuration existant auparavant demeure alors inchangée. Le logiciel n'est à jour qu'après transmission entièrement exempte d'erreurs de tous les fichiers prédéfinis. Un tunnel VPN chiffré sécurise la transmission de données. Dès que le poste terminal se trouve à l'intérieur du réseau d'entreprise, le client peut être mis à jour sans connexion VPN. En cas d'utilisation d'un module Secure Enterprise Client NCP, l'administrateur peut lier la mise à jour logicielle client au support de communication. La console de gestion NCP permet une saisie interactive ou un transfert de toutes les données pertinentes. En variante, cette opération peut s'effectuer via un processus sous script. Pour le déploiement, l'administrateur peut par exemple transférer automatiquement les données utilisateurs, clés de licence, mots de passe fournisseur, etc. au serveur de gestion pour chaque système distant (unité gérée). Comme passerelle VPN, vous pouvez recourir au serveur Secure Enterprise VPN NCP ou à la passerelle VPN de tout fabricant tiers (prière de se référer à la liste des compatibilités sous Plug-in de gestion de licence Les licences de tous les composants connectés sont stockées de manière centralisée dans le serveur Secure Enterprise Management NCP. Le système les transfère ensuite dans un pool de licences et les gère Console de gestion sécurisée NCP : Surveillance Console de gestion sécurisée NCP : Surveillance Page 3 / 8

4 automatiquement en fonction des directives spécifiées. Le transfert de licences pourra être utilisé pour : transférer dans une configuration traitant individuellement chaque client distant ou passerelle, retour de la licence dans le pool de licences lors d'un départ d'un(e) employé(e) d'une société, ou déclenchement d'une invite lorsqu'il n'y a plus de licences disponibles. Plug-in de surveillance du système Ce plug-in fournit des informations rapides sous la forme de graphiques à barres ou linéaires concernant tous les événements importants au sein d'une installation VPN. L'administrateur peut utiliser la surveillance du système en fonction des besoins pour appeler des informations d'état actuelles en temps réel, ou pour accéder à des référentiels de données de l'environnement d'accès à distance sauvegardés au préalable. Plug-in de configuration pare-feu client Le logiciel Secure Client NCP (client sécurisé) dispose d'un pare-feu personnel à gestion centralisée intégré. Le plug-in de configuration pour pare-feu client permet d'adapter de manière granulaire les règles de pare-feu pour chaque poste de télétravail. Plug-in de configuration pour serveur - Serveur distant Le plug-in de configuration de serveur distant permet la configuration, la gestion et l'attribution de licences pour des passerelles distantes en tant qu'unités gérées, comme par exemple des filiales. Il sert également à la configuration et la gestion de serveurs sécurisés (serveur Secure Enterprise VPN et serveur haute disponibilité sécurisé) du réseau central. L'administrateur utilise la console de gestion pour gérer les droits d'accès à chaque serveur et créer la configuration serveur. La console permet à l'administrateur d'utiliser des modèles pour un groupe de serveurs (batterie de serveurs) pour des groupes d'utilisateurs clients. Plug-in d'inscription PKI Le plug-in d'inscription PKI (Public Key Infrastructure, infrastructure de clés publiques) sert d'autorité d'inscription (RA, Registration Authority) ; il gère la création ainsi que l'administration de certificats électroniques (X.509 v3) conjointement à différentes autorités de certification (AC, Certification Authorities). Un certificat ainsi généré peut en option être stocké sous la forme de certificat logiciel (PKCS#12) ou par voie matérielle, comme par exemple via une carte à puce ou un jeton USB (PKCS#11). L'AC test NCP livrée avec le produit peut être utilisée pour simuler une PKI durant la phase test et n'est donc pas destinée à une utilisation effective. La conversion en une AC externe s'effectue sans problème. Plug-in pour le contrôle d'accès réseau (NAC) (Sécurité des postes terminaux) Par le biais de la sécurité des postes terminaux, désignée également comme le plug-in de contrôle d'accès réseau (NAC), le système vérifie tous les paramètres pertinents en matière de sécurité pour l'appareil avant son accès au réseau d'entreprise. Parmi ces paramètres, on peut citer : l'état de l'antivirus, les informations liées au service, le contenus des certificats ou la version de logiciel. Suite à ces contrôles, chaque poste terminal se trouve obligatoirement soumis au respect des stratégies de sécurité, sans que l'utilisateur ne puisse ni les éviter, ni les manipuler. Tout non-respect d'un appareil à l'égard de ces stratégies provoque le placement dans une zone de quarantaine désignée (si configuration existante). Page 4 / 8

5 Verrouillage des paramètres Le verrouillage de paramètres des modules Secure Client NCP assure deux fonctions principales : d'une part, la diminution en complexité des possibilités de configuration. Cette fonction cache les dossiers de paramétrage des fonctionnalités non utilisées, de sorte que l'utilisateur ne voit que les paramètres pertinents pour son environnement de travail. D'autre part, il permet de définir des paramètres préalables qui ne peuvent pas être modifiés par l'utilisateur. Cette approche permet d'éviter toute mauvaise configuration ou configuration de connexion non souhaitée. Plug-in RADIUS Ce plug-in est utilisé pour gérer le serveur intégré RADIUS et pour combiner les serveurs RADIUS existants, c'est-à-dire pour les remplacer de manière économique. Additif d'authentification avancée Grâce à cet additif, des utilisateurs sélectionnés reçoivent un code d'accès sous la forme de SMS (message texte) sur leur téléphone cellulaire. Ceux-ci doivent alors saisir ce code supplémentaire lors de l'authentification au niveau du client (authentification à 2 facteurs). Un générateur de nombres aléatoires au sein de la gestion d'entreprise sécurisée crée ce code d'accès à chaque configuration de connexion au réseau d'entreprise. Le système envoie ensuite le SMS (message texte) à l'utilisateur qui a effectué, au cours d'une première étape, l'authentification vers la SEM en saisissant ses données d'accès VPN. Prise en charge multisociété Grâce à la prise en charge multisociété, la gestion d'entreprise sécurisée s'impose comme une évidence pour la mise en œuvre de fournisseurs de services de sécurité centralisés (MSSP, Managed Security Service Providers), dans des environnements infonuagiques ou des structures d'accès à distance, dans lesquels plusieurs sociétés utilisent de manière conjointe une seule plateforme VPN (partage VPN). Cette approche revient à former des groupes et appliquer une méthode appropriée pour l'attribution des droits. La création d'administrateurs est réalisée de telle sorte que chacun d'entre eux dispose d'un accès exclusif à son espace, à savoir aux unités pour lesquelles ceux-ci ont une responsabilité de gestion. L'usurpation potentielle des données d'autres clients dans leurs propres espaces protégés est donc exclue. Page 5 / 8

6 Exigences liées au système Systèmes d'exploitation Serveur de gestion: 64 bits: Windows Server 2008 R2; Windows Server 2012, Windows Server 2012 R2 Linux Kernel 2.6 à partir de la Version (distributeurs sur demande) Unités gérées Module Secure Enterprise Client à partir de V 9.1 Module Secure Android Client à partir de V 2.32 Serveur Secure Enterprise à partir de V 8.0 Plug-ins Network Access Control (contrôle d'accès réseau) (Sécurité des postes terminaux) Mise à jour automatique, configuration pare-feu client, configuration client, application de stratégies pour les postes terminaux, gestion de licences, PKI, RADIUS, configuration serveur distant, configuration serveur, surveillance de scripts et système Application de stratégies pour les postes terminaux pour les connexions de données entrantes. Vérification de paramètres clients pertinents pour la sécurité prédéfinis. Mesures en cas d'écarts cibles/réels dans le VPN IPsec: déconnexion ou poursuite dans la zone de quarantaine avec instructions à suivre (boîte de message) ou démarrage d'applications externes (par ex. mise à jour d'antivirus), enregistrement dans des fichiers de journalisation. Mesures en cas d'écarts cibles/réels dans le VPN SSL: Gradation individuelle de l'autorisation d'accès pour certaines applications conformément aux niveaux de sécurité définis Authentification avancée SEM 3.00 avec licence 3.0 Additif d'authentification avancée Plug-in client 9.30 à partir de la version 50 (paramétrage requis de configuration produit: 9.3) Plug-in RADIUS à partir de la version 2.06 Version 4 Prise en charge multisociété Administration utilisateur Capacité de groupe; Prise en charge au maximum de 256 groupes de domaine (c'est-à-dire configuration des fonctions suivantes: authentification, réacheminement, groupes de filtres, pools IP, limitation de bande passante, etc.) LDAP, Novell NDS, MS Active Directory Services Bases de données Oracle à partir de la Version 9.0 MySQL à partir de 4.x, 5.0 et 5.1 Microsoft SQL Server Statistiques et journalisation Statistiques détaillées, fonctionnalité de journalisation, envoi de messages SYSLOG IF-MAP Le projet ESUCOM a pour objectif la conception et le développement d'une solution de sécurité en temps réel pour les réseaux d'entreprise, qui fonctionne sur la base d'une Page 6 / 8

7 consolidation des métadonnées. Il se concentre en particulier sur la menace liée aux terminaux nomades, comme par exemple les smartphones. ESUKOM s'intéresse à l'intégration de solutions de sécurité existantes (commercialisées et à code source libre) reposant sur un format de métadonnées constant conformément aux spécifications IF-MAP du Trusted Computing Group (TCG). Le serveur IF-MAP de l'université de Hanovre (Hannover University of Applied Science and Arts) est actuellement mis à disposition pour une mise à l'essai gratuite. URL: Processus d'authentification client/utilisateur Jeton OTP, certificats (X.509 v.3): Certificats utilisateur et matériel (IPsec), nom d'utilisateur et mot de passe (XAUTH) Certificats (X.509 v.3) Certificats de serveur Il est possible d'utiliser des certificats fournis via les interfaces suivantes : Interface PKCS#11 pour jetons de chiffrement (USB et cartes à puce) interface PKCS#12 pour les clés privées des certificats logiciels Listes de révocation Vérification en ligne Autorités de certification Antivirus RFC (demandes de changement) et projets Révocation : EPRL (End-entity Public-key Certificate Revocation List, anciennement CRL), CARL (Certification Authority Revocation List, anciennement ARL) Téléchargements automatiques de listes de révocation à partir de l'ac à des intervalles donnés ; Vérification en ligne : Vérification des certificats via OCSP ou OCSP sur http Microsoft Certificate Services: comme "AC autonome": à partir de Windows 2000 Server; Comme "AC intégrée dans le domaine": à partir de Windows 2000 (les modèles de certificat ne peuvent pas être adaptés) à partir de Windows 2003 Enterprise Server Windows 8/7, Windows Vista et Windows XP SP2 permettent au système de présneter des requêtes à tous les antivirus délivrant leur état via WMI (Windows Management Instrumentation) ou NAC (Network Admission Control) au centre de sécurité RFC 2138 Remote Authentication Dial In User Service (RADIUS); RFC 2139 RADIUS Accounting; RFC 2433 Microsoft CHAP; RFC 2759 Microsoft CHAP V2; RFC 2548 Microsoft Vendor-specific RADIUS Attributes; RFC 3579 RADIUS Support For Extensible Authentication Protocol (EAP); RFC 2716 PPP EAP TLS Authentication Protocol; RFC 2246 The TLS Protocol; RFC 2284 PPP Extensible Authentication Protocol (EAP); Page 7 / 8

8 RFC 2716 Certificate Management Protocol; RFC 2511Certificate Request Message Format; (projet) Draft-ietf-pkix-cmp-transport-protocols-04.txt Transport Protocols for CMP; (projet) Draft-ietf-pkix-rfc2511bis-05.txt Certificate Request Message Format (CRMF) Exigences relatives au système recommandé Ordinateur Nombre d'utilisateurs parallèles Mémoire système 512 MB Unité centrale minimale Pentium III-800 MHz (en fonction du nombre d'unités gérées) ; Avec plug-in RADIUS : Pentium IV-1,5 GHz ; Disque dur : min. 50 MB de mémoire disponible plus mémoire pour les fichiers de journalisation et env. 20 MB par solution logicielle clients parallèles : Unité centrale : Intel Dual Core 1,83 GHz ou processeur x86 comparable, 1024 MB RAM 200+ Clients parallèles : Unité centrale : Intel Dual Core 1,83 GHz ou cprocesseur x86 comparable, 1024 MB RAM Clients VPN recommandés / compatibilités Modules Secure Enterprise Client NCP Clients VPN tiers Windows 32/64, Mac OS X, Windows Mobile, Android, Windows CE, Linux ios Page 8 / 8