FLASH INFORMATIQUE FI

Informatique mobile


Libre comme l’air




Jacques VIRCHAUX


Comment concilier la liberté et la mobilité sans pour autant perdre son point d’ancrage pour la communication ?

A l’EPFL où professeurs et étudiants doivent se déplacer, il faut leur offrir les moyens de communiquer avec leur port d’attache, que ce soit pour le courrier électronique seulement ou encore pour travailler avec des documents. A chaque situation il existe une solution pour arriver à se connecter à son serveur favori.

En commençant par la description des fonctionnalités désirées, cela permet d’entrevoir ensuite les différentes solutions disponibles selon le lieu et les moyens. La plupart des descriptions techniques ont déjà été publiées dans le cadre de ce journal et sont citées en référence.

Le courrier électronique

Le cas le plus courant à l’EPFL est d’utiliser un client de messagerie (Outlook Express, Netscape Messenger, Eudora,...) qui généralement charge les messages localement avec le protocole POP. Avec le protocole IMAP, les messages restent sur le serveur et il faut tenir compte des limites accordées pour le stockage.

Il est toujours possible de lire facilement son courrier avec son client de messagerie habituel, sans utiliser de tunnel sécurisé (sauf pour les accès libre-service de l’EPFL). Il faut cependant savoir que les username et password permettant de lire sa boîte-aux-lettres sont transmis en clair sur le réseau ! Seul l’accès par CARPE (accès téléphonique uniquement) reste relativement confidentiel. En utilisant un fournisseur d’accès public (ISP), il faut obligatoirement changer la configuration de son client de messagerie pour pouvoir envoyer des messages via le serveur SMTP de ce fournisseur, exclusivement. Le tableau 1 résume les différentes possibilités avec un client.

Pour les personnes qui voyagent beaucoup, il faut choisir une autre solution. Etant donné qu’une grande majorité d’entre elles possède une boîte-aux-lettres sur le serveur central de messagerie de l’EPFL, ce dernier offre une interface via son navigateur Web préféré pour lire ses mails et en envoyer (http://mailbox.epfl.ch ). L’accès est sécurisé (le username et le password ne sont pas transmis en clair) avec le protocole HTTPS. L’utilisation est très simple et peut se faire à partir de n’importe quel poste de travail connecté à Internet (par exemple depuis un poste dans un Cybercafé ou depuis le domicile via son fournisseur d’accès).

Tableau 1 

En travaillant avec le même portable au bureau qu’en déplacement, ce type d’accès a un petit inconvénient : les messages restent toujours sur le serveur et ne sont pas transférés sur l’ordinateur dans le cadre de son client de messagerie habituel pour les archiver localement. Un autre problème existe : en étant connecté via un accès libre-service de l’EPFL, il n’est pas possible d’atteindre le serveur de messagerie central directement. Dans ce cas, il est obligatoire d’utiliser un tunnel VPN.

Accès à un serveur (documents de travail)

Quel que soit le serveur où se trouvent les documents auxquels on désire accéder, celui-ci doit être en fonctionnement, branché sur le réseau de l’EPFL et autoriser des accès par un système d’authentification (username/password ou login dans un domaine Windows). Le tunnel VPN reste le moyen le plus simple à mettre en oeuvre pour des transactions confidentielles. S’il s’agit de petits documents à corriger, l’envoi par courrier électronique reste une solution très simple.

Dans le monde des nombreux utilisateurs de Windows, il faut savoir que le domaine (ou workgroup) de l’ordinateur distant est déjà significatif si l’on désire voir les ordinateurs de son domaine. De plus, comme le bout du tunnel VPN se trouve dans un sous-réseau (subnet) où il n’y a aucun serveur Windows, les « automatismes » auxquels certains sont habitués ne sont pas disponibles et il faut rechercher le serveur manuellement. Ensuite, tout dépend de la politique d’accès aux documents que le responsable du serveur local a définie. Une solution consiste à s’authentifier dans le domaine Windows pour être reconnu comme à l’EPFL.

Pour le cas d’ordinateurs sans Windows, le transfert de documents peut être effectué avec FTP une fois le client VPN établi. Il faut bien sûr qu’un serveur avec ce service soit disponible. L’accès étant fait avec une validation username/password, il est possible de prendre un document et d’en déposer dans son environnement.

Une dernière possibilité est d’utiliser le proxy FTP tremplin comme cela a déjà été décrit dans un article précédent (c.f. http://tremplin.epfl.ch/proxyftp )

Le tunnel VPN

Pour établir un tunnel VPN sécurisé, il faut installer un client sur son ordinateur. Il travaille en relation avec un concentrateur situé sur le réseau de l’EPFL. Toutes les connexions établies ont une adresse IP de l’EPFL anonyme, attribuée de manière dynamique. Le protocole utilisé est IPSec qui permet des transactions cryptées en toute sécurité et confidentialité. On peut alors pratiquement tout faire ce que l’on fait habituellement sur le réseau de l’école.

En plus d’une appartenance à un groupe, l’authentification est faite par un serveur RADIUS par son numéro SCIPER (numéro d’identification unique sur la carte CAMIPRO) et un mot de passe défini pour GASPAR (sur une borne OSCAR avec sa carte CAMIPRO et le NIP associé). Ce mode d’accès représente une administration quasi nulle, l’utilisateur doit seulement se définir un mot de passe qui sera utilisé à bien d’autres occasions aussi. Les quelques hôtes, invités externes et temporaires à l’EPFL, se voient attribuer un nom et un mot de passe qui sont enregistrés de manière temporaire sur le serveur d’authentification et qui accèdent par un autre concentrateur.

Le client VPN de Cisco est disponible gratuitement pour les plates-formes Windows, Linux, MacOSX et Solaris. Un client payant est disponible pour MacOS et des PDA (Windows CE et Palm OS). Il n’est malheureusement pas compatible avec le client Windows livré par défaut sur ce système d’exploitation, un seul client VPN pouvant résider à la fois.

Ce qui importe pour l’utilisateur, c’est que la configuration des logiciels habituels (surtout pour la messagerie) reste identique à ce qu’il a à l’EPFL. La manière de s’authentifier est similaire à d’autres applications et évite la multiplicité des username/password dont il faut se souvenir.

Fig. 1 - la fenêtre de login IMP 

Les accès libre-service

Depuis un accès libre-service (prise ou câble jaune) ou par TSF (wireless), le choix ne cesse de s’accroître sur le site d’Ecublens, il n’est plus nécessaire de définir une adresse IP fixe correspondant au sous-réseau d’une prise située dans un local. L’adresse est attribuée de manière dynamique et temporaire par un serveur DHCP. L’identification se fait avec un serveur RADIUS par le couple numéro SCIPER et mot de passe GASPAR. L’utilisateur est désormais identifié en tant que personne plutôt qu’ordinateur avec l’établissement du tunnel VPN. Le sous-réseau sur lequel ces prises sont reliées ne permet l’accès qu’au site Web pour le téléchargement du client VPN ou au concentrateur d’accès sécurisé.

TSF (Téléinformatique sans fil)

L’accès TSF avec une carte Wi-Fi (norme 802.11b) permet de se libérer totalement de la contrainte du fil à la patte... excepté parfois pour l’alimentation secteur qui reste souvent nécessaire pour avoir une certaine autonomie de travail. Il s’agit également d’un accès en libre-service, le sous-réseau sur lequel les points d’accès sont reliés est le même que pour les prises. La connexion sans fil proprement dite n’est pas sécurisée et c’est avec le tunnel VPN que la liaison reste confidentielle.

Les points d’accès à l’EPFL couvrent par étapes les endroits susceptibles d’accueillir les nomades (salles de conférence, halls publics, ...). Le coût étant plus élevé, pour des performances moindres, que le réseau câblé actuel, le déploiement est moins rapide.

Accès Internet dans le monde entier

Pour les voyageurs réguliers sur la planète, il existe la possibilité de souscrire un abonnement pour se connecter localement à un fournisseur d’accès du pays avec authentification et tunnel sécurisé chez le fournisseur en Suisse. Cette solution peut se révéler moins onéreuse que la connexion sur le serveur d’accès CARPE... avec un téléphone portable de surcroît.

Il faut parfois aussi s’équiper de matériel permettant l’accès au réseau téléphonique de l’hôtel. S’il existe des sets de prises diverses, le central téléphonique n’est parfois pas compatible et peut endommager gravement l’équipement de communication. Un élément s’interposant entre le microtel et le support de téléphone (pour autant que cela soit physiquement possible) reste une alternative plus chère mais quasiment universelle.

Accès entre sites universitaires

Si l’accès au concentrateur VPN est facile depuis l’extérieur, l’EPFL n’autorise pas l’établissement d’un tunnel sécurisé depuis le réseau local avec un réseau externe. Il faut cependant pouvoir offrir aux collaborateurs ou étudiants de l’ETHZ qui séjournent chez nous une possibilité d’atteindre de manière sécurisée leurs serveurs à Zurich, tout comme la réciproque nécessaire concernant les personnes de l’EPFL.

La plupart des sites ont leur propre sous-réseau pour des accès libres, il faut établir des tunnels permanents pour permettre l’utilisation des concentrateurs de part et d’autre. On se rend vite compte qu’il faudrait presque une sorte de réseau supplémentaire en Suisse uniquement pour ces accès entre sites universitaires. Seul un système d’authentification avec une validation transmise d’un site à l’autre sera la solution du futur. Le projet SWITCHmobile évalue les besoins pour trouver cette solution globale, capable de satisfaire les accès mobiles du monde académique suisse.

Glossaire

CAMIPRO

• Carte à microprocesseur pour le contrôle d’accès à l’EPFL,

•  http://expwww.epfl.ch/se/camipro/ 

CARPE

• Centrale d’accès remote pour EPNET,

•  http://stiwww.epfl.ch/externe/carpe.html 

DHCP

• Protocole pour la distribution d’adresses IP dynamiques 

DIODE

• Système de protection du réseau de l’EPFL (firewall simplifié),

•  http://dit.epfl.ch/diode/ 

EPNET

• Réseau informatique de l’EPFL (EPFL Network)é

FTP

• Protocole de transfert de fichier (File Transfer Protocol) 

GASPAR

• Système d’identification et d’authentification pour prestations sécurisées à l’EPFL, http://gaspar.epfl.chà

HTTPS

• Protocole Web (HTTP) sécuriséé

IMAP

• Protocole de lecture de mail (Internet Mail Access Protocol) 

ISP

• Fournisseur d’accès Internet (Internet Service Provider)è

NIP

• Numéro d’identification personnel (pour carte CAMIPRO)é

OSCAR

• Borne interactive d’information avec lecteur CAMIPRO, http://dit-archives.epfl.ch/FI99/fi-2-99/2-99-page18b.html 

PDA

• Agenda électronique (Personal Digital Assistant)é

POP

• Protocole de lecture de mail (Post Office Protocol) 

RADIUS

• Système d’authentification et d’autorisation,

•  http://gnuwww.epfl.ch/software/radius/radius.html 

SCIPER

• Numéro d’identification unique des personnes à l’EPFLà

TSF

• Téléinformatique sans fil (wireless)é

VPN

• Réseau privé virtuel (Virtual Private Network)é

Wi-Fi

• Acronyme pour le sans-fil (Wireless-Fidelity) 

802.11b

• Norme de transmission sans-fil pour une vitesse de 5Mbps 

Références

• ALISE-E : un vent nouveau ( http://dit-archives.epfl.ch/FI02/fi-2-2/2-2-page5.html )

• TSF ( http://dit-archives.epfl.ch/FI99/fi-5-99/5-99-page2.html )

• Wireless, du rêve à la réalité ( http://dit-archives.epfl.ch/FI01/fi-4-1/4-1-page1.html )

• VPN (Virtual Private Network) : un accès sécurisé à EPNET ( http://dit-archives.epfl.ch/FI01/fi-6-1/6-1-page13.html )

• VPN à l’EPFL ( http://dit-archives.epfl.ch/FI01/fi-8-1/8-1-page15.html )

• DHCP : la location d’adresses IP ( http://dit-archives.epfl.ch/FI01/fi-7-1/7-1-page27.html )

• DIODE et le proxy FTP ( http://dit-archives.epfl.ch/FI00/fi-9-00/9-00-page8.html )



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.