I. Choix des mécanismes de Sécurité
1. Les mécanismes de chiffrement
Les mécanismes de chiffrement se décomposent en deux grandes familles :
- Le chiffrement applicatif : dans ce cas le chiffrement est assuré par l’application. Le principal intérêt est que deux parties disposant de la même application peuvent bénéficier de la confidentialité de leurs échanges quel que soit le moyen et les équipements qui les relient ;
- Le chiffrement IP ou VPN : dans ce cas le chiffrement est assuré par les moyens ou équipements de connexion. Le principal intérêt est que les VPN permettent d’assurer la confidentialité quelle que soit l’application utilisée. Cependant, étant donné le manque encore présent de normes définitives sur les VPN, l’inconvénient est que les deux parties doivent posséder des équipements matériels ou logiciels compatibles.
Pour résumer, si une application spécifique dispose d’un mécanisme de chiffrement propre, il est actuellement préférable de l’utiliser. Le mécanisme de VPN doit être envisagé uniquement dans le cas ou il est le seul possible. Dans ce cas, le mécanisme VPN de Check Point, solide et ayant fait ses preuves, pourra être utilisé vers une passerelle VPN-1/Firewall-1 de l’architecture. Ce mécanisme pourra être utilisé de deux façons distinctes :
- Mode client à passerelle : si le client accède Internet depuis un poste client directement, il lui suffira d’installer sur son poste client le logiciel SecuRemote (gratuit) de Check Point ;
- Mode passerelle à passerelle : si le client est une société ayant sa propre plate-forme d’accès à Internet, il devra installé une passerelle VPN-1/Firewall-1 sur son site.
De plus, dans le cas de la présence de deux pare-feux de types différents, il est judicieux de gérer les VPN sur le pare-feu amont (le plus proche de l’extérieur) car dans le cas contraire, ce pare-feu serait amené à laisser passer tous les flux chiffrés sans possibilité de contrôle.
2. Les mécanismes d’authentification
De la même façon que les mécanismes de chiffrement, les mécanismes d’authentification peuvent être soit offert par l’application, soit par un mécanisme spécifique, nécessaire pour les accès nomades et peut être la maintenance tierce.
Pour les accès pouvant être de natures différentes (accès VPN par Internet ou accès RTC), il est nécessaire d’utiliser un mécanisme standard de dialogue entre l’équipement voulant effectuer l’authentification et le serveur d’authentification. Le seul choix réellement universel à l’heure actuelle est le protocole Radius.
Il faut également être en mesure de proposer des authentifieurs matériels (ou Token), au minimum pour les postes nomades. La tendance actuelle est de proposer des Token ergonomiques et très faciles d’utilisation pour les postes portables, qui nécessitent la présence de ports USB. L’autre choix reste les Token de type calculettes, moins simples mais utilisables avec tout poste client.
Ces considérations devront être prises en compte pour le choix d’un produit d’authentification.
3. Les mécanismes de messagerie
Le choix qui s’impose dans les structures de messagerie d’une architecture de sécurité est d’utiliser un relais de messagerie (effectuant du contrôle de contenu) puis de transmettre les messages à un serveur interne en utilisant toujours le protocole SMTP qui est un protocole utilisant un port TCP fixe (25) contrairement à Exchange. Il n’est pas raisonnable de faire transiter du protocole Exchange au travers d’un pare-feu.
4. Les mécanismes de contrôle de contenu
Les mécanismes de contrôle de contenu, spécifiquement les fonctions antivirales et de filtrage d’URLs peuvent être mises en œuvre suivant deux méthodes distinctes :
- Couplés avec un équipement de type pare-feu : les mécanismes de contrôle de contenu restent transparents pour les autres systèmes en étant utilisés automatiquement par les pare-feux. C’est le cas de l’utilisation des protocoles CVP et UFP de Check Point. L’avantage est d’offrir une structure simple à configurer. Les inconvénients incluent des problèmes de performances ainsi que l’impossibilité d’assurer la haute disponibilité.
- Utilisés de façon autonome : dans ce cas, les systèmes assurant le contrôle de contenu sont utilisés en tant que relais applicatif, pour HTTP ou SMTP par exemple. L’inconvénient est la non transparence pour le reste de l’architecture mais les avantages sont les performances et la possibilité d’être utilisés avec des pare-feu en haute disponibilité.
5. Les mécanismes d’accès Internet
Les besoins associés à l’accès Internet des utilisateurs peuvent être constitués de quatre grands axes :
- Cache interne ;
- Authentification ;
- Contrôle de contenu ;
- Filtrage d’URLs.
Les choix possibles sont axés sur le positionnement et le découpage des différentes fonctionnalités nécessaires. On peut envisager :
- Le cumul des différentes fonctions sur un même système : en interne une même machine offre les quatre services. Cela est peu envisageable d’un point de vue performance globale ;
- La séparation des fonctions : ceci permet d’améliorer les performances et de bien segmenter les fonctions. Cela peut être effectué de la façon suivante :
- Cache et authentification : sur un système interne. Il est en effet obligatoire d’avoir l’authentification et le cache au plus près des utilisateurs ;
- Contrôle de contenu et filtrage d’URLs : sur un ou deux système(s) en zone relais. Ceci permet de segmenter correctement les flux (en évitant les flux directs de l’intérieur vers l’extérieur). De plus, ce(s) système(s) pourrai(en)t également avoir un mécanisme de cache si le cache interne se révélait insuffisant.
6. Les critères de choix des solutions
Le dernier point important est le choix des produits susceptibles de supporter les différentes fonctions citées.
Afin de choisir des produits aptes à remplir correctement les fonctions souhaitées, il est nécessaire d’appliquer certains critères :
- Fonctionnalité : un produit choisi doit bien sûr posséder les fonctionnalités requises ;
- Stabilité : un produit choisi doit avoir acquis une certaine stabilité et surtout être de source (éditeur, constructeur) stable ;
- Intégration : un produit choisi doit pouvoir s’intégrer avec les autres produits de la plate-forme. Dans ce cas, il s’agit d’appliquer l’expérience de sociétés ayant déjà intégré ce type de produits ;
- Administration : un produit choisi doit pouvoir être administré de façon simple et si possible à distance (sans poser de problèmes de sécurité) ;
- Existant : il est important de tenir compte de l’existant en terme de produits déjà achetés/déployés ainsi que des compétences internes.
Il n’est pas question de faire ici une liste de produits possibles mais de présenter une liste de produits répondant aux besoins et critères cités.
-----------------------------------------------------------------------------------------------
Besoin d’un compte Essai VPN
RépondreSupprimerObtenez en suivant ces etapes :
https://www.purevpn.fr/blog/essai-vpn/