FLASH INFORMATIQUE FI



Un nouveau serveur VPN




Jacques VIRCHAUX


Il était temps de procéder à un changement. En effet nos braves concentrateurs, installés depuis plus de sept ans et ne bénéficiant plus de garantie d’entretien, devaient absolument être remplacés. Cela fait plus d’un an que nous avons démarré une expérience laborieuse avec un matériel prometteur mais qui nous a causé beaucoup de travail vu son immaturité et sa complexité. Ce n’est que vers la fin de l’année dernière que nous avons pu faire des tests avec les fonctionnalités principales désirées.

Alors quoi de neuf ?

Un nouveau cluster composé d’ASA5520 de Cisco avec des interfaces Gigabit pour garantir un maximum d’environ 1’000 sessions dans le futur. Ces équipements ne se trouvent pas au même emplacement géographique pour augmenter la sécurité. Ils sont configurés comme les anciens en mode load-balancing. La solution failover a été écartée de par le prix prohibitif des licences SSL non utilisées à payer également sur l’équipement en standby. L’authentification est toujours faite par le serveur RADIUS.


Un nouveau client léger AnyConnect remplace l’ancien client VPN très lourd à installer. Il utilise le protocole sécurisé SSL du Web ce qui lui garantit un fonctionnement quasiment partout. L’installation sur des ordinateurs Windows, MacOSX et Linux se fait par le biais d’une page Web sécurisée et nécessite le Sun Java (téléchargeable gratuitement) pour des navigateurs autres qu’Internet Explorer. A la fin de l’installation vous êtes connecté de suite. Comme pour l’ancien client, après une durée de 18 heures, le client est déconnecté.
Les mises à jour, décidées sur le serveur, sont faites automatiquement (en moins de deux minutes) lors de la connexion. C’est l’assurance d’avoir toujours un client à jour sans devoir aller le télécharger soi-même.
Pour ceux qui ne souhaitent pas installer un client mais préfèrent le natif à disposition, il est possible d’utiliser le L2TP/IPSec (avec une clé partagée). Sur certains équipements de type PDA (iPhone ou Windows Mobile), c’est le seul moyen d’utiliser le VPN. Par contre, comme pour l’ancien serveur, ce mode ne garantit pas de véritable load-balacing si l’un des serveurs tombe en panne. Il peut aussi se trouver bloqué selon les règles de firewall du lieu où l’on se trouve car il utilise les ports TCP 1701 et UDP 500.
Le PPTP, n’offrant qu’un faible niveau de sécurité, n’est plus supporté sur ce nouveau serveur. Les clients natifs proposant quasiment toujours les deux protocoles, il faudra utiliser le L2TP/IPSec.
Actuellement, il n’y a pas de solution pour la plate-forme Symbian (Nokia et Sony Ericsson). Les utilisateurs du client Certicom ne pourront pas encore migrer. Nous espérons qu’une solution soit trouvée cette année.
Les utilisateurs Linux qui utilisaient VPNC pourront utiliser AnyConnect ou éventuellement Openconnect (GPLv2), supporté par la communauté uniquement.
A terme, la mise en quarantaine d’un seul utilisateur devrait être possible pour éviter une contamination. Un message clair apparaîtra dans la fenêtre du client AnyConnect pour le signaler.

Pourquoi ce choix ?

Dans le domaine des VPN, la technologie SSL est incontournable et tous les fabricants de matériel la proposent. Le problème est que tous vendent des licences pour les sessions SSL simultanées ! La solution d’un client léger et peu intrusif permet de garantir un service de load-balancing. Le support d’un protocole pour clients natifs et/ou pour des plates-formes non supportées par le client léger est aussi un avantage.
Les essais faits avec la plate-forme Web seulement (sans client) ne nous ont pas convaincus et c’est pourquoi nous n’offrons pas ce type d’interface.

Différences entre AnyConnect et l’ancien client VPN

Pour des raisons de sécurité :

  • pas de connexion automatique au démarrage
  • pas de mot de passe enregistré
  • pas utilisable avec une autre session ouverte.

Et l’ancien serveur ?

Un passage tout en douceur... L’ancien serveur va rester en place dans son état, très probablement jusqu’à la fin de l’année, pour autant qu’aucune panne vraiment grave ne se produise. La documentation y relative (accessible depuis la nouvelle page Web du VPN) restera disponible tant que tous n’auront pas migré.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.