Présentation
RÉSUMÉ
Les VPN SSL sont un type très particulier de réseau privé virtuel (VPN), ils permettent d’accéder à distance aux ressources d’un intranet (le réseau privé d’une entité) depuis un autre intranet (interconnexion de sites), ou depuis un équipement isolé (nomadisme). Les différents mécanismes d’accès aux ressources d’un réseau privé (intranet) sont décrits. L’article s‘attarde sur le nomadisme, ce dernier usage est le plus fréquent, mais aussi le plus complexe des VPN SSL, en détaillant l’architecture de la passerelle SSL pour les nomades, son authentification, les applications clientless et non clientless et les fonctions avancées qui apportent une valeur ajoutée aux VPN SSL.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Wilfrid RABOT : Ingénieur R&D - France Télécom Division R&D
INTRODUCTION
Différentes technologies permettent de construire des VPN SSL. En effet, les VPN SSL constituent un type très particulier de réseau privé virtuel (VPN) car, contrairement à IPsecProtocole IPsec, ils utilisent un protocole destiné à transporter des données applicatives (SSL) pour construire un VPN.Après une définition de leurs principes fondamentaux, les VPN SSL sont présentés dans le contexte de l’interconnexion de sites et celui de l’accès pour les nomades. Le nomadisme étant le cas d’usage le plus courant mais aussi le plus complexe, les différents mécanismes d’accès aux ressources d’un réseau privé (intranet) sont décrits en détail. La conclusion synthétise les avantages et inconvénients des VPN SSL et des VPN IPsec.
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
Limites intrinsèques des VPN SSLArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
4. Nomadisme
Le nomadisme est l’utilisation la plus fréquente des VPN SSL. Un nomade se connecte sur une passerelle SSL qui lui permet d’accéder à un ensemble de ressources d’un intranet en s’authentifiant une seule fois. Un tel équipement s’apparente à un serveur mandataire inversé (reverse proxy) qui offre les services suivants :
-
authentification de la passerelle et du nomade ;
-
accélérateur HTTP/HTTPS, c’est-à-dire l’amélioration des performances par des fonctions de cache HTTP et de concentrations des connexions SSL ;
-
traduction des liens HTTP, c’est-à-dire la réécriture des liens des pages HTML consultées pour les rendre accessibles (§ 4.3.1.1) ;
-
filtrage des accès HTTP qui permet de distinguer la liste des ressources autorisées ou interdites.
Avec l’accroissement du nombre d’applications Web, un serveur mandataire inversé couvre la plupart des besoins d’un nomade. Pour le reste des cas, notamment l’accès aux serveurs directement par les applications du terminal nomade, les VPN SSL offrent des moyens supplémentaires.
En termes d’usage, un nomade débute une session VPN SSL en ouvrant son navigateur pour se connecter à la passerelle via une URL sécurisée (HTTPS). Il s’authentifie et obtient des autorisations liées à son profil et accède à un portail comprenant une liste d’applications.
4.1 Architecture
Une passerelle SSL pour les nomades peut être installée selon deux architectures : en coupure (figure 4) ou en DMZ (figure 5). Le choix de l’architecture est guidé par les contraintes de l’infrastructure existante. Toutefois, l’architecture en DMZ reste la meilleure solution car le pare-feu interne protège l’intranet d’une éventuelle faille sur la passerelle
Afin de simplifier, nous faisons abstraction de ces architectures dans la suite et nous utilisons un schéma simplifié (figure 6) qui peut se rapporter à l’une ou à l’autre architecture.
HAUT DE PAGE...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Nomadisme
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - DIERKS (T.), RESCORLA (E.) - The TLS Protocol Version 1.1. - draft-ietf-tls-rfc2246-bis-13 (work in progress), IETF (juin 2005).
-
(2) - DIERKS (T.), ALLEN (C.) - The TLS Protocol. - Version 1.0. RFC 2246, IETF (janv. 1999).
-
(3) - KHARE (R.), LAWRENCE (S.) - Upgrading to TLS Within HTTP/1.1. - RFC 2817, IETF (mai 2000).
-
(4) - * - STunnel : http://www.stunnel.org
-
(5) - RESCORLA (E.), MODADUGU (N.) - Datagram Transport Layer Security. - draft-rescorla-dtls-05 (work in progress), IETF (juin 2004).
-
(6) - LAURENT-MAKNAVICIUS (M.) - Protocole IPsec. - Protocole IPsec, Sécurité des systèmes d’information (2003).
-
...
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
