VPN (Virtual Private Network)
un accès sécurisé à EPNET

Jacques.Virchaux@epfl.ch, SIC

Le projet

Le serveur CARPE offre actuellement l'accès à distance via le réseau téléphonique, analogique ou numérique. Aujourd'hui les offres d'opérateurs téléphoniques ou autres fournisseurs sont intéressantes pour autant qu'on se connecte chez eux. CARPE reste le moyen d'accès distant rapide et universel pour de courtes sessions si l'on n'est pas tout proche.

Avec l'émergence de nouvelles techniques à prix abordable pour le client, comme le téléréseau ou l'ADSL, CARPE n'est pas utilisable. Le concept actuel est une connexion à Internet de proximité et de bonne qualité question débit. L'EPFL possédant aussi un raccordement à Internet de haut débit, il est souhaitable de profiter de cette oportunité pour offrir un service plus général.

Conjointement à l'accès distant, l'étude de solutions sans fil (wireless) et de salles libre service conduit à trouver une solution pour accéder au réseau EPNET qui ne soit plus basée sur l'adresse IP d'un équipement. Il devient nécessaire que l'utilisateur soit authentifié par un système de validation pour lui permettre l'accès au réseau et à ses ressources.

De plus, aussi bien pour traverser la géographie de l'Internet depuis n'importe quel point du globe qu'avec une solution sans fil sur le campus de l'école, seul un lien sécurisé par un cryptage va permettre de s'assurer d'un minimum de confidentialité.

Dans la figure 1, les ordinateurs obtiennent une adresse IP dynamique, que ce soit par l'intermédiaire du fournisseur d'accès ou par un serveur DHCP (RFC 2132 ) sur le site de l'EPFL. Même dans le cas d'une adresse IP fixe, il y a, après l'authentification, une attribution d'adresse du réseau EPNET au tunnel sécurisé. L'ordinateur distant peut ainsi être considéré comme faisant partie de l'EPFL en ce qui concerne l'accès aux ressources.

L'authentification est assurée par un serveur Radius (Remote Access Dial In User Service). Ce serveur, alimenté par des données de GASPAR ( http://dit-archives.epfl.ch/FI99/fi-8-99/8-99-page1.html ), évitera à l'utilisateur de gérer un couple username/password supplémentaire. Comme pour d'autres applications, c'est le numéro CAMIPRO avec le mot de passe de GASPAR qui permettra l'authentification.

Pour des questions de fiabilité, aussi bien pour les serveurs VPN que pour les serveurs Radius, une redondance sera souvent nécessaire.

Figure 1

Le tunnel IPSec

Comme on le voit dans la figure 2, il faut installer un client VPN sur l'ordinateur. Avec le matériel choisi, ce client n'existe actuellement que pour la plate-forme Windows. Etant donné le souci d'unification du constructeur, des clients devraient être disponibles pour Linux et Mac à la fin de l'année.

L'établissement de ce tunnel sécurisé se fait en plusieurs étapes:

  1. le client, si la connexion distante n'est pas encore établie, se connecte au fournisseur d'accès choisi en mode PPP, ou au point d'accès sans fil;
  2. une fois la liaison établie, une méthode d'encryptage est négociée pour établir le tunnel sécurisé avec le concentrateur VPN;
  3. une fois authentifié, le trafic IP passe dans le tunnel IPSec.

Suivant le type de clé de cryptage utilisé, une diminution des performances au niveau du client peut être constatée. Avec une clé simple, le handicap est minime et ne se fera sentir qu'avec des liaisons très rapides (plus de 5Mbps).

L'avantage de cette solution est d'assurer la confidentialité des communications et de pouvoir être utilisable avec un portable aussi bien lors de déplacement à l'étranger que sur le site. Le fait d'être toujours connecté sur le réseau EPNET permet l'envoi de courrier électronique par le serveur de mail, sans nécessiter une reconfiguration.

Attention : il n'est pas possible d'utiliser CARPE pour établir un tel tunnel !

...et ensuite

Un concentrateur Cisco de la série VPN 3000 est en commande pour pouvoir satisfaire, dans une première étape, les utilisateurs d'accès distants ayant un raccordement fixe (téléréseau, ADSL, ...) et qui ne peuvent pas utiliser CARPE. Des essais ont déjà été faits et seront encore poursuivis avec un petit groupe d'utilisateurs pour mettre au point les paramètres du concentrateur et des clients, de tester les moyens de distribution et des mécanismes pour l'authentification. Si tout va bien, un tel service pourrait déjà être ouvert à un plus grand nombre pour des tests étendus cet été.

Un serveur Radius (Remote Access Dial In User Service) peut facilement être mis en place sur une plate-forme Linux. Il s'agit d'un standard (RFC 2865 - 2869) qui tend maintenant à se développer, principalement par l'initiative du projet FreeRadius (http://www.freeradius.org ).

Le système permet également d'obtenir un accounting des validations et peut aussi être utilisé pour des autorisations spécifiques à certains services si nécessaire.

Figure 2

Le futur

Des solutions de type 802.1x où le port Ethernet authentifie l'utilisateur commencent à se concrétiser. Le service d'authentification se fait aussi avec Radius dans la mise en oeuvre initiale et reste dans la même ligne que la solution choisie actuellement.

La technologie évolue toujours très rapidement et nous devons trouver des solutions consistantes pour s'adapter le plus rapidement possible. Seul l'avenir nous dira si le choix était bon.


retour au sommaire du Flash informatique du mois de juin 1
retour à la page principale des Flash informatique
Vos commentaires
© FI-6-1 du 26 juin 1