n°2
Septembre
2008
Le nomadisme : un véritable enjeu pour le CENBG

Au CENBG, le nomadisme a été considéré comme un enjeu du laboratoire dans sa Politique de Sécurité des Systèmes d’Information (PSSI). Cela signifie, que sans cette possibilité, la capacité du laboratoire à réaliser ses objectifs scientifiques peut être altérée. Il ne s’agit plus de la simple consultation des mails mais de travailler depuis l’extérieur, comme on le fait depuis l’intérieur.

Si cette évolution est prise en compte dans une PSSI c’est parce que la mise à disposition de cette capacité se heurte évidemment à des aspects de sécurité importants. Il faut donc que le système d’information évolue, tant dans ses aspects techniques que dans sa composante humaine (sensibilisation), pour fournir un cadre de sécurité proportionné qui permettra de favoriser le développement du nomadisme.

Dispositif pour les accès distants

Depuis deux ans, nous mettons en œuvre un serveur VPN basé sur OpenVPN. L’objectif était de permettre aux utilisateurs de se connecter dans leur environnement de travail habituel (c’est-à-dire dans le sous-réseau de leur groupe de travail), de disposer d’une authentification forte et de la possibilité de filtrer finement les autorisations (jusqu’à l’individu). Ces seules dispositions ne sont pas suffisantes. En effet, le développement du nomadisme (voire du télétravail à domicile) nous laisse entrevoir une sorte de retournement de nos réseaux où les utilisateurs seront plus à l’extérieur qu’à l’intérieur. Le risque d’intrusion est (et sera) accru. Pour cela, la mise en place de dispositifs de filtrage ou d’authentification doit s’accompagner de dispositifs de détection et de limitation des intrusions. Pour cela, nous avons actuellement deux réponses. D’une part, la segmentation du réseau à raison d’un sous-réseau par groupe ou service permet de limiter les risques de propagation d’une intrusion ; d’autre part, dans les mois prochains, une détection d’intrusion (SNORT) devrait être opérationnelle. Elle aura pour objectif de mieux connaître les flux qui circulent sur le réseau et d’identifier ceux qui sont indésirables.

Techniquement, le serveur VPN est une machine Linux qui agit comme un garde-barrière dédié aux accès distants. Toute sa configuration est générée par le logiciel Labwall, développé localement depuis 2001 (pour notre garde-barrière/routeur), tant pour sa configuration réseau (VLANs et routage), sa configuration de filtrage (Netfilter) que pour la configuration OpenVPN (un daemon par VLAN). L’utilisateur dispose d’un client OpenVPN qui se connecte au moyen d’un HTTP-Connect sur le serveur VPN. Celui-ci authentifie le certificat de l’utilisateur et interroge le serveur Freeradius pour obtenir une adresse IP (fixe) et déterminer si l’utilisateur est bien autorisé sur le VLAN qu’il demande (figure 1). D’un point de vue fonctionnel, tout se passe comme s’il y avait, sur chaque sous-réseau, un garde-barrière virtuel derrière lequel se trouvent connectés les postes distants. Ce garde-barrière assurant le filtrage entre ces postes et les postes connectés en interne sur le VLAN et, plus généralement, avec tout le reste du réseau (figure 2).

Support à distance

L’éloignement fréquent et de longue durée des utilisateurs pose le problème de leur "solitude" face à un problème et la difficulté pour les administrateurs de les "secourir". Pour résoudre en partie ce problème, nous testons le logiciel UltraVNC. Il permet de prendre le contrôle à distance du poste de l’utilisateur suivant le protocole VNC. Cette prise de contrôle se fait à l’initiative de l’utilisateur à travers une connexion VPN. De ce fait, il n’y a pas de serveur VNC qui tourne en permanence côté utilisateur, évitant ainsi les problèmes de sécurité liés (pas de mot de passe, pas de filtrage nécessaire dans le pare-feu de l’utilisateur). De son côté, l’administrateur reçoit "l’appel" et n’a pas de problème lié à la localisation de l’adresse IP du poste.

Accueil des visiteurs

Les visiteurs ont la possibilité de se connecter sur un sous-réseau dédié. La connexion et l’authentification se font par l’intermédiaire d’un portail captif (Chillispot aujourd’hui qui deviendra prochainement Coova). Les visiteurs de longue durée (> 24 heures) sont enregistrés et ont un mot de passe individuel. Les visiteurs de passage (moins de 24 heures) peuvent se connecter moyennant la connaissance d’un mot de passe générique. En fait, il y a un auto-enregistrement dans le serveur Freeradius qui bloquera automatiquement la connexion 24 heures après ce délai (qui est paramétrable).

Contenu des postes nomades

Il est souvent difficile pour nous (ASR) de mesurer la sensibilité réelle des données présentent sur les portables. Mais, par exemple, de plus en plus d’équipes travaillent en partenariats avec l’industrie privée avec des contrats contenant des clauses de confidentialité. Il serait étonnant que des données liées ne résident pas à un moment ou l’autre sur des portables. On parle de crypter totalement les postes de travail. On peut aussi penser à crypter les clés USB. En effet, compte tenu de leur capacité de plus en plus importante, ces clés deviennent très pratiques et il est clair qu’elles peuvent contenir des données sensibles ou même personnelles. On peut même se demander si le risque ne sera pas plus là que sur le disque dur du portable. Les réponses à cette situation ne pourront qu’être progressives et proportionnées aux besoins pour éviter un rejet brutal qui serait contre-productif. Une première idée consisterait à fournir aux utilisateurs une clé USB contenant une partie chiffrée (biométriquement, par exemple), son certificat et/ou un dispositif d’authentification par mot de passe jetable. On peut même penser à équiper cette clé d’applications portables telles que Thunderbird ou Firefox, permettant ainsi leur utilisation sur n’importe quel PC, sans installation, et avec les options personnelles de l’utilisateur (compte de mail, filtres, marques pages, etc...).

Les technologies nomades évoluent très vite et elles intéressent forcément nos utilisateurs pour qui le nomadisme est intrinsèquement lié à leur métier. Tout cela nous oblige à gérer de nouveaux problèmes que l’ont pourrait qualifier, pour être positif, de nouveaux défis.

Serge Borderes (CENBG)