introduCtion miCrosoFt dirECtaCCEss

Une solution pour la dprimtrisation

>> Par

Olivier Detilleux

Introduction Depuis quelques annes, le modle traditionnel du systme dinformation des entreprises volue. De nouvelles mthodes de travail - en particulier le nomadisme, lavnement de lexternalisation ou lmergence des services positionns dans le nuage - obligent les entreprises ouvrir de plus en plus les frontires de leurs rseaux. Ces ouvertures sont souvent perues comme des failles de scurit pour les ressources de la zone de confiance de lentreprise.

en particulier le nomaDisme, lavnement De lexternalisation ou lmergence Des services positionns Dans le

>> De

nouvelles mthoDes De travail

Pour rpondre ces nouveaux besoins en limitant les risques de vulnrabilits, le modle classique du systme dinformation doit voluer. Nous allons voir dans cet article quelle peut tre une nouvelle vision du rseau de lentreprise, et comment Microsoft DirectAccess sinscrit comme une solution qui rpond ces problmatiques.

nuage -

obligent les entreprises ouvrir De plus en plus les frontires De leurs rseaux

La vision traditionnelle du SI Larchitecture Construit autour des serveurs dinfrastructure et dapplications, le primtre de confiance du systme dinformation englobe non seulement les ressources mais aussi les utilisateurs. Afin de leur donner accs au monde extrieur qui, par dfinition, est non scuris, cette zone est protge par des dispositifs de
26
le
mensuel informatique pour la gestion et l optimisation des enVironnements

it professionnels septembre 2010

velle passerelle Forefront UAG (Unified Access Gateway). Voir figure 1. Les mthodes daccs depuis lextrieur A chaque besoin est associe une solution daccs distant. En voici quelques-unes, fondes sur les technologies Microsoft : voir tableau 1. Toutes ces solutions sont performantes, et permettent un accs scuris tant au niveau rseau quau niveau applicatif pour certaines. Nanmoins, la solution RPC over HTTP mise part, chacune dentre elle Une action manuelle de la part de lutilisateur final (via une interface de connexion) pour tablir la connexion. Les limites du modle Nous avons voqu prcdemment les limites de la DMZ rseau, qui noffre souvent quune protection rseau et non pas applicative. Nous avons vu aussi que Microsoft ajoute la couche manquante grce sa passerelle daccs distant, Forefront UAG. Nanmoins, ce que le modle ne peut assurer, cest le suivi, le support et lintgrit du poste nomade. Quand le poste nest plus dans la zone de confiance, il nest plus possible pour lutilisateur dappliquer les stratgies de groupes ou encore de mettre jour son mot de passe. Il ne bnficie gnralement plus des services fournis par son proxy. Pour ladministrateur systme, il nest plus possible de superviser le poste, de prendre la main distance, ou de le verrouiller en cas de vol. En dautres termes, le poste est hors contrle.

Figure 1 - La vision traditionnelle du rseau dentreprise

filtrage et de blocage, les firewalls et les proxys. Les administrateurs rseaux veillent avec attention aux ouvertures de ports et de flux dans ces quipements. Une zone dchange dite scurise au niveau rseau est mise en place pour permettre aux utilisateurs nomades daccder certaines ressources de lentreprise. Cette DMZ, isole du rseau interne, permet de filtrer les communications transitant entre lextrieur et lintrieur. La scurit En interne, tous les moyens sont mis en place pour limiter les risques et assurer la scurit des ressources : antivirus, mises jour automatiques et des applications, droits sur les fichiers ou les applications, authentification de lutilisateur via lannuaire Active Directory, renouvellement de mot de passe, utilisation dun proxy pour le filtrage dURL ou lanalyse des flux HTTPs. La scurit englobe la couche rseau et la couche applicative. Depuis lextrieur, la scurit est toute autre. Le passage par la DMZ, volontairement peu permissive, ne prend en gnral pas en compte la scurit applicative, ne permettant souvent quune scurit au niveau du rseau. Microsoft propose, dans ses solutions daccs distant, une couche de scurit applicative, en particulier dans la nou-

Vers un nouveau modle Une premire approche Prenons lexemple dun Datacenter, o des donnes dentreprise sont mises disposition dutilisateurs distants. Les donnes, lutilisateur et lentreprise font chacun partie du domaine de confiance. Pour autant,

Tableau 1 Les mthodes de connexion au rseau dentreprise

Besoins
Accs rseau des ressources internes Accs un poste de travail virtuel (VDI) Accs la messagerie via le client lourd Outlook 2003 ou suprieur Accs une application client lourd ou Web

Solutions
VPN SSL via les services RRAS Passerelle Remote Desktop RPC over https Publication via Forefront UAG

Apports
Accs des ressources situes dans la zone de confiance Lutilisateur retrouve son environnement dentreprise Authentification transparente, intgre Scurit applicative possible

27

- Les contraintes associes aux clients pour la connexion distante sont leves. La connexion est permanente et transparente. - En allant plus loin, cest limplantation mme des bureaux qui peut tre revue, les zones dhbergement, etc. Les contraintes La principale difficult du modle consiste sassurer que lutilisateur distant nest pas un imposteur. Dans le modle classique, lutilisateur tant positionn dans les murs de lentreprise, son identit est valide par le fait quil ait le droit daccder au btiment, quil soit install dans un bureau son nom, que ses collgues puissent le reconnatre. Quand lutilisateur nest plus dans les locaux, il devient impossible de faire une telle reconnaissance visuelle et physique sans passer par une reconnaissance biomtrique par exemple. La principale difficult de la dprimtrisation consiste non seulement donner laccs, mais surtout scuriser la connexion en fonction de lidentit de lutilisateur, notamment stocke dans lannuaire Active Directory.

Figure 2

dans le modle rseau traditionnel du systme dinformation, lutilisateur doit tre dans le mme primtre physique que la ressource laquelle il accde, sans utiliser de passerelle ou de publication. On peut donc imaginer un nouveau modle, o lutilisateur serait systmatiquement distant, et ses ressources dans une zone de confiance autonome. Il faut donc considrer que par dfaut, lutilisateur est dans une zone non scurise. Le primtre de la zone de confiance ne doit plus tre confin derrire les firewalls de bordure de lentreprise, mais tendue au poste de travail et au lien rseau. Voir figure 2. Les apports du nouveau modle Si on considre que lutilisateur est dans la confiance de lentreprise quel que soit son emplacement, en particulier sur Internet, les apports de ce modle sont consquents : - Le poste reste en permanence connect au systme dinformation de lentreprise, donc manageable - Lutilisateur a accs lensemble de ses donnes - Les moyens mis en uvre pour scuriser lutilisateur, son poste et ses donnes sont appliqus - Lutilisateur dispose des services de tldistribution et de support

Elments de la dprimtrisation Comme vu prcdemment, la dprimtrisation a deux enjeux majeurs :

- Etendre la connectivit rseau de bout en bout depuis nimporte o - Valider lidentit de lutilisateur et du poste de travail utilis dans lannuaire dentreprise Connectivit de bout en bout Les limites dIPv4 Si nous faisons un tat des lieux de lutilisation dIPv4, il apparat que ce type dadressage nest pas adapt notre besoin. En effet, les adresses IPv4 sont spares en deux

Tableau 2 Adressage IPv4

Adressage priv (RFC1918) Adressage public

Dfinissent un primtre clos, non accessible direcAccessibles en direct, sans processus de translation tement du monde extrieur Plages dadresses non uniques, car utilises dans chaque rseau dentreprise Adresses uniques travers le monde, mais leur nombre arrive expiration

28

le

mensuel informatique pour la gestion et l optimisation des enVironnements

it professionnels septembre 2010

Tableau 3 Conditions dutilisation de DirectAccess / VPN SSL

Poste du domaine
Windows 7 Enterprise / Ultimate DirectAccess

Poste hors domaine

VPN SSL VPN SSL

Autres OS (Windows XP, Windows 7 VPN SSL Home, Pro, Linux, MacOS etc)

groupes : voir tableau 2. Il nest donc pas possible, en conservant un adressage priv dans lentreprise, daccder directement une ressource depuis lextrieur. La philosophie IPv6 Ladressage IPv6 a t conu pour permettre de fournir chaque lment rseau, du serveur au routeur en passant par lordinateur domestique, une adresse unique et publique. La notion dadressage priv nest pas la philosophie dIPv6. Il existe bien un adressage local, mais par dfiniNote 1 Microsoft and Ipv6 : http://technet.microsoft.com/en-us/network/bb530961.aspx

tion, il est rserv pour les rseaux non connects Internet. Vous trouverez des documentations sur les unique local addresses et sur IPv6 dune manire gnrale sur le site de Microsoft1. Il semble donc quIPv6 soit notre solution pour une connectivit de bout en bout, sans intermdiaire. Identit de lutilisateur Par utilisateur, on entend le poste de travail et la personne qui lutilise. Il convient de vrifier cette double identit, afin de fournir laccs aux ressources qui leurs

29

Tableau 4
DNS64
Permet de transformer la rsolution IPv4 dun serveur DNS en une rponse IPv6. Cette fonctionnalit permet donc de rsoudre des noms de serveurs ne supportant pas IPv6.

NAT64
Permet la communication entre le rseau mixte IPv6 et un rseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6

Tableau 5
Emplacement
Public (dispose dune adresse IPv4 publique) Domicile (derrire un NAT - box ADSL par exemple) Domicile ou Client (derrire un proxy ou NAT filtrant hors https)

Mthode de translation
6to4 Teredo IP-HTTPS

sont ddies et dappliquer correctement les stratgies de scurit qui leurs sont associes. Aujourdhui, un grand nombre de solution de gestion des identits numriques sont notre disposition, en particulier lutilisation dun certificat associ une authentification via un annuaire Active Directory. A cette identit est associ un chiffrement, qui permet de scuriser la communication via un rseau non matris, Internet.

Intgrale. Cest une solution de connexion, depuis nimporte o et transparente pour lutilisateur, votre systme dinformation. Cette fonctionnalit sappuie sur les deux principes de la dprimtrisation : La connexion de bout en bout et la gestion de lidentit. DirectAccess ne remplace pas les solutions existantes, car ncessite des conditions pour son utilisation : voir tableau 3. La connexion de bout en bout avec DirectAccess IPv6 ntant aujourdhui que trs peu implant nos rseaux dinfrastructure, il parait difficile de sappuyer sur ce protocole pour assurer cette connectivit. Nanmoins, un certain nombre de mcanismes de translation sont notre disposition pour garantir une connexion IPv6, en utilisant les rseaux IPv4. IPv6 dentreprise Il faut dans un premier temps mettre en place IPv6 au sein

Microsoft DirectAccess Le but de cet article tant de vous prsenter la solution DirectAccess dans le contexte de la dprimtrisation, je naborderai pas la partie configuration de la solution, et les lments mettre en uvre pour son architecture et son dploiement.
Gnralits Microsoft DirectAccess est une nouvelle fonctionnalit introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et

Figure 3 - Stratgie de groupe pour le paramtrage des technologies de transition IPv6

30

le

mensuel informatique pour la gestion et l optimisation des enVironnements

it professionnels septembre 2010

Figure 4

Figure 5

31

de votre entreprise. Depuis Windows Server 2008, les cartes rseaux supportent nativement un adressage IPv6. Par dfaut, les adresses sont du type fe80::/10 . Il sagit dune adresse link local , quivalent du 169.254.0.0/16 dIPv4. Nanmoins, elle ne permet pas la communication via les rseaux IPv4. Cette communication est assure via laffectation dune adresse ISATAP, fournie par un routeur ISATAP install dans votre rseau, votre serveur DirectAccess par exemple. Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux composants lors de la mise en uvre de DirectAccess : voir tableau 4. IPv6 personnel Une fois le poste client en dehors du rseau dentreprise, il doit disposer dune adresse IPv6. Plusieurs solutions sont sa disposition pour faire la translation dadresse IPv6 vers IPv4 : voir tableau 5. Je vous laisse consulter plus en dtail ces diffrentes mthodes de translation disponibles dans les systmes dexploitation Windows Server 2008 R2 et Windows 72. DirectAccess configure via stratgie de groupe les postes clients pour le paramtrage de leurs interfaces rseau. Ci-dessous un aperu : voir figure 3. La gestion de lidentit Comme vu prcdemment, il est ncessaire de garantir lidentit du poste client, de lutilisateur et du serveur auquel la connexion est effectue. DirectAccess sappuie sur les certificats numriques ordinateurs et sur lauthentification Active Directory de lutilisateur pour grer cette identit. Lors de la configuration du poste de travail, le compte ordinateur reoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services dinfrastructure de lentreprise. Il est ensuite possible lutilisateur de sauthentifier, pour monter le second tunnel IPSec applicatif. Principe de connexion Il apparat que la connexion aux ressources de lentreprise se fait en deux temps : connexion aux serveurs dinfrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour lauthentification, de politique rseau et ltude de la conformit du poste de travail, les serveurs de mises jour ou

tldistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois lensemble des vrifications dintgrit effectues. Voir figures 4 et 5.

En rsum Les nouvelles technologies de gestion de connectivit de bout en bout et de gestion de lidentit permettent aujourdhui de redessiner le contour des zones de confiance des entreprises. Cette dprimtrisation est un atout fort, dune part pour lutilisateur qui a un accs continu et complet lensemble de ses ressources, et dautre part pour les administrateurs qui peuvent grer les postes nomades en toutes circonstances.
Dans ce contexte, Microsoft nous propose DirectAccess, solution dextension du rseau dentreprise pour les postes Windows 7. DirectAccess nest pas une solution VPN SSL, au sens o le VPN SSL connecte lutilisateur au rseau, quand DirectAccess tend bidirectionnellement le rseau au poste et lutilisateur. Grce cette solution, il est dsormais possible, ds lors que linfrastructure interne de lentreprise le permet, de fournir lutilisateur nomade la mme exprience que lutilisateur interne. De plus, la scurit du poste sen trouve augmente, car la politique de scurit de lentreprise est applique, si bien entendu le poste est bien manag et reste conforme aux standards dfinis par lentreprise (NAP) : navigation via le proxy dentreprise, application des stratgies de groupes, verrouillage distance des lecteurs de donnes via BitLocker en cas de vol du poste. En rsum, Microsoft propose avec DirectAccess une solution innovante qui nous incite revoir la notion de primtre de confiance de nos infrastructures : Poste connect en permanence au SI ce qui permet un meilleur contrle et donc une scurit accrue Connexion transparente pour lutilisateur qui travaille de la mme faon lintrieur qu lextrieur de lentreprise

Olivier DETILLEUX Service Line Manager Core Infrastructure Department olivier.detilleux@vNext.fr

Note 2 : Support for IPv6 in Windows Server 2008 R2 and Windows 7 : http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx

32

le

mensuel informatique pour la gestion et l optimisation des enVironnements

it professionnels septembre 2010