FLASH INFORMATIQUE FI



SWITCHmobile

Loin des yeux, près du coeur




Daniel GRANDJEAN


La multiplication rapide des points d’accès sans fil à Internet ou HotSpot, offre au nomade de nombreuses possibilités de se connecter depuis les emplacements les plus inattendus. Si l’originalité du lien de raccordement va souvent de pair avec le prix et la qualité de la connexion, le routard, étudiant ou membre du personnel de l’EPFL, peut profiter de ce foisonnement pour travailler sur le terrain avec les mêmes privilèges que s’il était sur le site : http://network.epfl.ch/vpn.

Plus près de nous, depuis les terrasses ensoleillées et les pelouses verdoyantes de notre campus, le même utilisateur de Notebook ou de PDA équipé d’une interface radio 802.11b ou WiFi utilise TSF [http://network.epfl.ch/tsf] pour travailler dans les mêmes conditions de confort et de sécurité que soncollègue globe-trotter. En l’absence d’une liaison radio, il y a toujours les prises Ethernet publiques ALISE-E http://network.epfl.ch/alise.

Entre ces extrêmes, nombre d’autres campus offrent déjà ou vont offrir à leur personnel et étudiants un réseau d’amarrage (docking network). C’est-à-dire une infrastructure comparable à TSF et ALISE-E, qui permet de raccorder un PDA ou un ordinateur portable dans une prise réseau publique ou par l’intermédiaire d’une couverture radio. Habituellement, ces réseaux d’amarrage couvrent les parties communes telles que les salles de conférences et cours, les bibliothèques, les cafétérias et les autres lieux de travail des étudiant(e)s.

Pour tirer partie de ces infrastructures émergentes et de l’excellente interconnexion des campus suisses, le groupe de travail SWITCHmobile [http://www.switch.ch/mobile] s’est formé, mi 2002, sous l’impulsion du Dr. Torsten Braun [UniBE]. Sa mission est de mettre en place de nouveaux services dans le but d’offrir une connexion transparente aux utilisateurs nomades du monde académique. Il est composé de représentants de L’EPFL, de l’ETHZ, des universités de Bâle, Berne, Genève, Lausanne, Neuchâtel et Zurich, de la Zürcher Hochschule Winterthur, de l’Hochschule für Technik und Architectur Bern, du Paul Scherrer Institut eet de SWITCH.

Le groupe de travail a émis un ensemble de recommandations. Elles sont suivies, ou vont prochainement l’être, par les organisations participantes et, souhaitons-le, par nombre de nouvelles venues. Nous allons décrire et commenter ces recommandations telles qu’elles s’appliquent avec les technologies exploitables aujourd’hui. Pour informer nos utilisateurs sur ce que SWITCHmobile fait pour eux, nous nous sommes efforcés de conserver les informations pertinentes à l’EPFL. Les exemples généraux sont ainsi adaptés pour correspondre aux services disponibles et connus dans l’école.

Buts

Le but du projet SWITCHmobile est de permettre l’accès à ces réseaux d’amarrage non seulement aux utilisateurs propres du campus, mais aussi aux visiteurs en provenance d’autres sites. Le service doit remplir les objectifs suivants :


• Offrir à l’utilisateur
 • l’accès à l’Internet ;
 • l’accès aux services usuels propres à son campus d’origine ;
 • l’accès à des services du campus hôte.
• Tous ces accès doivent
 • ne pas nécessiter d’action spéciale de la part du visiteur ;
 • ne pas générer de travail administratif pour le campus visité ;
 • être limités aux utilisateurs des organisations participantes à SWITCHmobile ;
 • permettre, le cas échéant, d’imputer les abus à l’utilisateur responsable ;
 • être protégés contre les tentatives d’usurpation et d’écoute ;
 • être gratuits pour tous les utilisateurs des organisations participantes à SWITCHmobile.

Ce qui signifie que l’utilisateur nomade n’a rien de particulier à faire pour travailler sur les sites visités. Il doit juste faire comme s’il était sur son campus d’origine. Le corollaire à ce point est la non-ingérence avec les règles établies sur le campus d’origine. Le service se veut donc neutre. Un utilisateur de l’ETHZ et un utilisateur de l’UNIL se comporteront comme respectivement à l’ETHZ et à l’UNIL lors d’une visite à l’EPFL. Le support d’un utilisateur reste à la charge de son organisation d’origine. Toute la magie se passe en coulisse.

Les coulisses ou les recommandations SWITCHmobile

La topologie du réseau

Pour atteindre la majorité des buts fixés précédemment avec une technologie immédiatement disponible et exploitable aujourd’hui, une solution basée sur les réseaux virtuels IP privés (VPN) est recommandée. Similaire à celle en place à l’EPFL depuis le semestre d’hiver 2001.

Chemins respectifs des trafics nomades et indigènes 

Les points d’accès WiFi et les prises en libre service sont raccordés à un réseau nommé réseau d’amarrage. Le réseau d’amarrage est disjoint de celui connectant les ressources internes de l’organisation. Il doit être considéré comme partie externe de l’Internet ou une zone démilitarisée (DMZ). Une zone démilitarisée est un sas entre le mode de brutes qui nous entoure et la paix intérieure.

Le réseau d’amarrage doit offrir certaines fonctionnalités minimales pour être compatible avec SWITCHmobile. Il doit sans autre permettre au visiteur de recevoir une adresse IP et d’établir un tunnel vers la passerelle VPN de son campus d’origine. Aucun compte, clef ou identification ne doit être géré par les services informatiques locaux.

Plus précisément, le réseau d’amarrage doit :
• fournir une adresse IP par DHCP ;
• ne nécessiter aucune authentification de l’utilisateur tant qu’il travaille dans le cadre de SWITCHmobile ;
• n’imposer aucune restriction sur les protocoles ou les ports utilisés dans le cadre de SWITCHmobile, et si cela n’est pas réalisable, les ports et protocoles suivants doivent être acheminés :
 • protocoles IP 6,17,47,50,51,115 ( TCP, UDP, GRE, SIPP-ESP, SIPP-AH, L2TP) ;
 • port TCP 1723 (pour PPTP) ;
 • ports UDP 500,1701,4500,10000 ( for ISAKMP, L2TP, NAT-T, Cisco NAT).

De plus, si le réseau d’amarrage est de type WiFi, les points suivants sont nécessaires à un accès sans problème :
• la publication (broadcast) du SSID
• que le SSID (Service Set IDentifier) publié soit le nom public ;
• qu’aucune restriction ne soit faite sur l’adresse physique (MAC) ou IP ;
• aucune obligation d’utiliser un cryptage WEP ou n’importe quelle autre méthode d’authentification ou de validation au niveau ISO 2.

Les utilisateurs de l’EPFL ont assisté à la migration du SSID de TSF de tsunami à public lors de l’application de ces recommandations. L’avantage du SSID unifié est d’assurer qu’aucune modification de configuration n’est nécessaire sur l’équipement du nomade. Cette modification pour certains systèmes d’exploitation ou matériel radio n’est pas anodine. Elle peut demander le reflashage d’un firmware ou un mot de passe administrateur inconnu de l’utilisateur.

Dans le cas assez rare de 2 campus SWITCHmobile limitrophes, le nomade ne peut identifier lequel des réseaux d’amarrage il utilise. Ce qui est d’autant plus probable qu’il ne connaît pas les lieux. Par exemple, de la Banane de l’UNIL vers Satellite de l’EPFL, il paraît toujours associé à un réseau nommé public. Mais les fonctionnalités hors SWITCHmobile de ces infrastructures diffèrent. Cet effet de bord n’est donc sensible que pour les utilisateurs n’utilisant pas le VPN compatible SWITCHmobile.

On l’aura compris, le réseau d’amarrage doit reconnaître le trafic SWITCHmobile. Ce trafic a la particularité d’avoir pour destination les adresses des passerelles VPN des sites participants. Une liste de ces adresses est maintenue dans le cadre du projet. Le responsable de chaque membre gère les informations pertinentes pour son site. Ces informations sont centralisées et publiées par une base de données hébergée chez SWITCH.

Il est de la responsabilité des administrateurs réseau de chaque site de mettre en place l’infrastructure qui permet :
• d’acheminer le trafic du réseau d’amarrage vers les destinations de la liste au travers d’Internet ;
• de maintenir synchronisées les règles locales avec le fond de la liste SWITCHmobile ;
• de mettre à jour les informations pertinentes relatives à son site dans la liste SWITCHmobile ;
• de s’assurer de la conformité de la configuration avec les règles locales.

Il est tout à fait possible à un campus d’ouvrir complètement son réseau d’amarrage, l’accès Internet devenant alors libre. C’est un choix qui relève seulement de la politique de cette organisation et qui est conforme à l’esprit de SWITCHmobile. Seul importe que le trafic à destination des adresses de la liste soit acheminé sans entraves.

Similairement, la liste peut comprendre toute la gamme d’adresses d’une organisation tant que cela est conforme avec le modèle de sécurité de cette dernière.

Mais comment cela marche pour un indigène ?

Lorsqu’un utilisateur local pourvu d’un client VPN se connecte au réseau d’amarrage de son campus, il établit un tunnel VPN entre son équipement mobile et la passerelle VPN de son organisation (voir figure en page précédente).

Et pour un visiteur ?

Lorsque que notre utilisateur visite un autre campus, le tunnel VPN est établi de bout en bout entre son équipement mobile et la passerelle VPN de son organisation d’origine. Chose faite, le nomade a accès aux ressources de son campus comme s’il était raccordé localement. Tout le trafic de données de cet utilisateur est acheminé par le tunnel. C’est aussi valable pour le trafic échangé avec le campus hôte.

Avantages

La connexion VPN garantit l’authentification de l’utilisateur, et de ce fait permet de lui attribuer le trafic généré.

Le trafic est crypté de bout en bout du tunnel. Le chiffrage garantit la confidentialité des données. Ce point est particulièrement important lorsque qu’un réseau radio est utilisé.

Il n’y a pas de tâche administrative nécessaire sur le campus hôte pour autoriser l’accès d’un utilisateur en provenance d’une organisation participante à SWITCHmobile. En fait, même si l’utilisateur est loin de son alma mater, il est vu par le campus hôte et le reste de l’Internet comme étant connecté à son lieu d’origine.

L’utilisateur peut utiliser cette infrastructure pour accéder aux ressources de son campus d’origine depuis son foyer ou d’ailleurs, du moment qu’une connexion Internet est disponible.

Désavantages

Il faut installer ou configurer un client VPN pour tous les utilisateurs. Les comptes utilisateurs doivent être gérés du côté de la passerelle VPN. Les performances peuvent être dégradées par le VPN.

Choix d’une technologie de VPN

Il n’est pas nécessaire que le même produit VPN soit utilisé par tous les participants SWITCHmobile. Chacun est libre de choisir un produit ou un protocole différent.

Plusieurs types de VPN ou de protocoles peuvent cohabiter harmonieusement. Il n’y a en effet de connexion VPN qu’entre les clients et les passerelles d’une même organisation.

compatibilité avec la translation d’adresse NAT (Network Address Translation)

La solution VPN devrait être utilisable sur un réseau mettant en oeuvre la translation d’adresse ou de port. Plusieurs fournisseurs d’accès à Internet utilisent la translation d’adresse et certains sites SWITCHmobile, comme l’EPFL, utilisent la translation d’adresse avec leur réseau d’amarrage. Si une organisation met en service une solution VPN incompatible avec la NAT, alors ses utilisateurs ne profiteront pas des avantages de SWITCHmobile sur les campus utilisant la NAT.

Pour les autres Visiteurs

Le groupe de travail ne prescrit pas de solution pour offrir une connexion aux visiteurs hors cadre SWITCHmobile. Il reconnaît toutefois la nécessité de ce genre de service. Il a compilé une liste non exhaustive des solutions disponibles, testées ou appliqueés par ses membres.

Pour l’EPFL, un développement maison, les services ARH [http://network.epfl.ch/alise/guest.html] et En clair permettent à la personne recevant un invité hors SWITCHmobile de générer le couple nom d’utilisateur et mot de passe pour son visiteur. L’hôte parraine son invité. Cette authentification obtenue, le visiteur bénéficie d’un accès temporaire au réseau. C’est la solution de choix pour offrir un accès Internet aux participants d’une conférence organisée sur notre campus.

Sites où vous pouvez aujourd’hui profiter de SWITCHmobile [http://www.switch.ch/mobile/locations.html

Ensuite

L’innovation dans les domaines relevant des activités de SWITCHmobile est très rapide. Un critère déterminant lors des travaux était la disponibilité des technologies considérées. Rien n’empêche dans le cadre de ce projet d’introduire d’autres services complétant ou remplaçant l’offre actuelle.

Un autre domaine qui n’est pas couvert par SWITCHmobile est l’accès par le visiteur aux ressources locales du campus visité. Cet aspect est généralement résolu par l’attribution au visiteur d’un compte temporaire, ce qui ne s’inscrit pas dans les buts du projet. Une résolution plus élégante pourra découler du projet AAI (Authenticaton and Authorization Infrastructure) de SWITCH [http://www.switch.ch/aai].



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.