Et si l'infrastructure ENT servait à gérer le nomadisme! Patrick PETIT (DSI Grenoble-Universités) Philippe BEUTIN (DSI Grenoble-Universités) Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes) Université Joseph Fourier Université Pierre Mendès-France Université Stendhal Institut National Polytechnique de Grenoble Grenoble-Universités Université de Savoie 21 novembre 2007
Plan Solutions «sans fil» 21 novembre 2007
2 projets, 2 problématiques Nomadisme Offrir l accès au réseau et à son réseau d entreprise Donner un accès sécurisé à tous les services Filtrer et tracer les utilisateurs Espace Numérique de Travail Offrir des applications et du contenu personnalisé Un portail unique Authentification unique 3
Nomadisme vs ENT différents mais avec des points communs Nomadisme Authentifier l utilisateur Radius LDAP, Unix... Autorisations Par filtres réseau Affectation dynamique de vlan Sécurité Authentification Chiffrement des données FAI traces d utilisation 5 établissements grenoblois Annuaire interuniversitaire Fédérations (Eduroam ) Équipes réseaux ENT Authentifier l utilisateur LDAP, AD, certificat, SecurId, Radius Authentification unique (SSO) Autoriser l utilisateur Droit d accès définis dans le serveur ldap (notion de rôle) Sécurité Authentification Chiffrement des données selon service Disponibilité du service 5 établissements grenoblois Annuaire interuniversitaire Fédérations (Shibboleth, Liberty Alliance) Équipes système ou développement 4
Plan Solutions «sans fil» 21 novembre 2007
Les «portails d accès» sans client Sur le poste client Pas d installation de logiciel Pas de configuration Les types de portails d accès Les portails en passerelle du réseau local Filtrage par couple @IP/@MAC Les portails de niveau applicatif Filtrage par @IP Filtrage par cookie de session Certains offrent un chiffrement sur les données Certains implémentent la réécriture d urls 6
Les portails «clients légers/lourds» «client léger» Installation d une partie logiciel sur le poste client Sans droits administrateurs Sans redémarrage du poste Peut nécessiter une couche logicielle préalable (JRE, Framework.NET) Sun Portal SRA1, Bluecoat RA2 «client lourd» Installation d une partie logicielle sur le poste client Nécessite des droits administrateurs Redémarrage éventuel du poste VPN IPSec3, VPN DTLS3, VPN SSL2 Fonctionne pour : 1 : un service, 2 : certains services, 3 : tous les services 7
Eduroam Authentification et chiffrement sur les bornes Choix du protocole d authentification EAP-PEAP, EAP-TTLS : En fonction du stockage du mot de passe Le protocole TTLS n est pas pré installé sous le gestionnaire «sans fil» des OS Microsoft installer Secure W2 Pour renforcer le mécanisme de trace Obliger le client à s adresser à un serveur DHCP 8
Plan Solutions «sans fil» 21 novembre 2007
Espace Numérique de Travail Fournir des services à l utilisateur selon son profil Authentification unique Autorisations Personnalisation Haute disponibilité Personnaliser selon l établissement Délégation d administration Architecture logicielle en place Générateur de portail : Portal Server (OpenPortal) Gestionnaire d accès, d identités, de droits : Access Manager (OpenSSO) Annuaire applicatif LDAP : Directory Server (OpenDS) 10
Architecture matérielle ENT ZR DMZ PS http ldap AM DS AM DS PS Terminateur SSL https http Portal Server Access Manager Directory Server 11
Le SRA dans Sun Java System Services intermédiaires (middleware) Services applicatifs Intégration Outils Collaboratifs Fonctionnement Persistance Secure Remote Access Portal Server Messaging Server Instant Messaging Server Calendar Server Access Manager Sécurité et politiques Système d exploitation Sun Cluster Application Server Web Server Directory Server Solaris, Linux, Windows 12
Plan Solutions «sans fil» 21 novembre 2007
À quoi sert le SRA? Accéder au web et à ses informations personnelles de façon sécurisée Tracer les requêtes web des utilisateurs Combinaison du nomadisme et de l ENT Qu est ce que le SRA Une passerelle d accès composé D un module de réécriture html De terminateur de tunnel entre le client et le réseau Au choix de chiffrer ou pas les données 14
Fonctionnement standard de SRA Utilisateurs Services Ouverts Services Restreints Tunnel sécurisé Données non tunnelisées Internet Gateway SRA Réseau interne Serveur applicatif Portal server 15
Fonctionnement étudié de SRA Utilisateurs Services Ouverts Internet Services Restreints Serveur web Tunnel sécurisé Données non tunnelisées Réseau Nomade Portal server Gateway SRA Réseau interne Serveur applicatif 16
Évaluation de la brique SRA SRA, élément de la suite JES La console d Access Manager permet de définir des profils d utilisation de la ou les SRA La console du Portal Server permet de configurer les services associés à chaque profil Les éléments d une passerelle SRA Rewriter : réécriture d url (ex : https://gateway.grenet.fr/http://portail.grenet.fr) Netlet : port forwarding (applet pour accès tcp : ssh, imap < VPN) Proxylet : applet proxy web Ouvre un tunnel chiffré entre le poste client et la gateway Pré-requis sur les postes : Java Virtual Machine Navigateurs : IE, Firefox (Problème de configuration pour les autres navigateurs) 17
Proxylet Fonctionnement DMZ Nomadisme Zone Retranchée HTTP(S) (XML) SRA core 1 1 HTTPS Applet Proxylet Portal Server 1 LDAP Access Manager Directory Server 3 HTTPS Gateway 2 Web Server Rewriter HTTP 4 Localhost 127.0.0.1 Port 58081 Tunnel https 5 Internet HTTP(S) Utilisation de la proxylet 2. Authentification sur le portail 3. Téléchargement d une applet java 4. Configuration du navigateur client (port 127.0.0.1) 5. Ouverture d un tunnel chiffré avec la Gateway 6. Le client peut naviguer (pas de modification du flux) 18
Plan Solutions «sans fil» 21 novembre 2007
Avantages & inconvénients Tous systèmes Pas besoin des droits administrateur sur le poste Droits définis dans l ENT SSO, fédérations d identités Open Source : OpenPortal Solution qui offre toutes les fonctionnalités attendues : Sécurité, traces d utilisation, tous flux http(s) Haute disponibilité Pré requis JRE Navigateur Internet Explorer, Firefox, Mozilla ou Netscape Impose l utilisation de Portal Server (OpenPortal) Quantité d archivage des logs plus importante qu un VPN IPSec à un proxy web cache L usage du navigateur reste inchangé contrairement à un WEB VPN classique Réécriture sélective Indépendant de l architecture réseau 20
Retour d expérience Expériences effectuées Sur la version 2005Q4 Sur JES 5 Évolutions Architecture visée : haute disponibilité, intégrée à l ENT en production en version JES5 De quoi a-t-on besoin pour faire fonctionner SRA? 2 serveurs sous Solaris (conseillé) : Portal Server, gestionnaire d accès [Access Manager], annuaire Ldap [Directory Server], serveur web J2EE [Web Server] Portal Server 21
Synthèse de l architecture www nomadisme SRA INTERNET RENATER RADIUS ARREDU Routeur Interuniversitaire Université 1 Université 2 DHCP WWW nomadisme + SRA + Client VPN W PA +W PA 2 Concentrateur VPN Eduroam Radius Université rt ve ou t Eduroam Concentrateur VPN r ve ou W PA +W PA 2 Radius Université DHCP WWW nomadisme + SRA + Client VPN 22
Merci de votre attention Questions? 21 novembre 2007
Architecture matérielle ENT ZR DMZ Authentification Portails ldap Annuaire applicatif ENT http DS MMR Reverse Proxy https http DS Nomadisme Portal Server SRA 24
À quoi sert le SRA? Accès sécurisé à l Intranet Simplifier l accès web aux nomades Sécuriser les accès Tracer les utilisateurs Inversement de son utilisation «normale» Uniquement pour des accès web Composée de : Gateway Accès sécurisé au serveur d authentification Proxylet Ouvre un tunnel chiffré entre le poste client et la gateway Pré-requis sur les postes : Java Virtual Machine Navigateurs : IE, Firefox (Problème de configuration pour les autres navigateurs) 25
Architecture Architecture matérielle SRA Web Server Portal Server Access Manager Directory Server Routeur Cisco 6500 Tunnel HTTPS SRA (core) Portal Server SRA 26