Securité pour lesréseaux WAN sans fil

LI VRE BLANC

Sommaire Dans un réseau mobile, la sécurité est une question d’équilibre entre protéger les données de l’entreprise et garantir que les mesures de sécurité n’entravent en rien la productivité de l’employé. La sécurité du sans fil présente également de multiples défis selon les réseaux d’accès utilisés ; et lorsque les employés se connectent par différents moyens, association de LAN sans fil et de réseaux de données cellulaires par exemple, ces problèmes se compliquent. Mobility XE et VPN mobile assurent une sécurité de bout en bout, quels que soient le type et le nombre des divers réseaux. Plusieurs moyens d’authentification sont pris en charge, qui peuvent être combinés pour assurer une authentification solide avec un minimum d’interruption pour l’employé. Un cryptage répondant aux normes de l’industrie via un tunnel VPN unique garantit la sécurité des données transitant par différents réseaux. De plus, les périphériques mobiles constituant par nature un patrimoine très dispersé, Mobility XE prend en charge des mesures de sécurité supplémentaires aux points d’extrémité des périphériques, notamment un contrôle de l’accès au réseau afin de garantir la mise à jour et l’activation de la sécurité au niveau des périphériques, ainsi que la gestion des politiques régissant leur utilisation. Mis en place correctement et en conjonction avec d’autres mesures de prudence, Mobility XE est la clé de voûte d’un déploiement mobile robuste, sécurisé et facile à gérer.  

Sécurité et productivité : une question d’équilibre Un sondage Forrester mené en 2008 auprès de cadres IT et de décisionnaires en matière de technologies a montré qu’environ la moitié des entreprises en Amérique du Nord considéraient les initiatives de mobilité comme des priorités critiques. Pourquoi ? Les applications mobiles permettent aux entreprises non seulement de réduire leurs coûts, mais aussi d’améliorer la productivité et l’efficacité des employés (Forester, 2009). Cependant, étant donné que les employés et les périphériques sont dispersés et qu’ils se connectent par l’intermédiaire de réseaux étendus souvent contrôlés par des tierces parties, la sécurité revêt une importance extrême. Pour réduire les risques tout en maximisant les avantages, les organisations doivent soigneusement équilibrer les besoins concurrentiels de sécurité et de productivité : 

• Les dirigeants d’entreprises souhaitent que leurs employés mobiles soient les plus productifs possible lorsqu’ils sont en déplacement 

• Les employés mobiles souhaitent disposer d’un accès à distance facile et transparent • Les professionnels IT doivent assurer la sécurité du patrimoine et de l’information de 

l’entreprise  En bout de ligne, la réussite de toute initiative mobile est entre les mains des employés mobiles.  Ils n’entendent pas adopter des technologies ni adhérer à des pratiques de sécurité qui les empêcheraient de faire leur « vrai travail ». Pour que le projet de mobilité réponde à ses objectifs commerciaux, des mesures de sécurité adaptées doivent être mises en œuvre sans incidence majeure sur la productivité des employés ou la convivialité générale du système.  

 

Securité pour les réseaux WAN sans fil  2 

Problèmes et mesures de prévention L’accès des utilisateurs aux réseaux sans fil pose inévitablement de nombreux problèmes de sécurité : 

Authentification et autorisation • Une connexion au réseau d’entreprise doit‐elle être autorisée ? • Qui essaie de se connecter et avec quel périphérique ? • Quelles permissions d’accès doivent être accordées ? 

 Intégrité et sécurité des données • Les données transmises sont‐elles altérées ? • Quelqu’un peut‐il intercepter clandestinement les données ? 

 Protection du réseau, c.-à-d. comment protéger le réseau contre : • Une exploitation non autorisée des réseaux de l’entreprise à des fins privées ? • Des utilisateurs autorisés travaillant sur des périphériques non sécurisés ? • Des périphériques perdus, volés ou égarés ? • Des vers, virus, etc. ? 

 Protection des périphériques • Comment savoir si le périphérique est toujours dans les mains d’un utilisateur autorisé ? • Comment veiller à ce que le périphérique bénéfice à tout moment des derniers 

programmes de correction de sécurité ?   

   

Connexions et menaces

Securité pour les réseaux WAN sans fil  3 

Le VPN mobile de NetMotion Mobility XE est une solution complète pour l’application de mesures de sécurité à destination des employés mobiles. Mettant en œuvre de nombreuses techniques, il permet de faire face aux différentes menaces à la sécurité : 

• L’authentification permet d’assurer que l’utilisateur et le périphérique qui tentent de se connecter sont effectivement ceux qu’ils prétendent être. 

• Le cryptage assure que les données qui sont transmises ne sont pas altérées et que personne ne peut intercepter clandestinement la transmission. 

• Le contrôle d’accès au réseau (NAC) garantit que les périphériques qui se connectent sur des réseaux internes sont correctement configurés, qu’ils intègrent les mesures de sécurité prescrites et que celles‐ci sont activées et à jour. 

• La gestion des politiques protège le réseau et le périphérique en assurant un contrôle de l’accès à chacun. 

  

Mesures de sécurité VPN

Outre les mesures de prévention indiquées ci‐dessus, des fonctionnalités de rapports et de notifications donnent aux administrateurs des informations sur les problèmes touchant à la sécurité et au système, afin de leur permettre de mieux gérer et de surveiller la sécurité des installations. 

 Réseaux et méthodes d’accès Chaque scenario d’accès sans fil présente des vulnérabilités qui lui sont propres.  Les deux méthodes d’accès sans fil les plus communes sont le WAN sans fil (WWAN), fourni par les opérateurs de données cellulaires ou des particuliers, et le LAN sans fil (WLAN), exploité par des entreprises privées ou par des fournisseurs de points d’accès publics. La plupart des réseaux radio privés classiques détenus par l’État ou par les municipalités sont peu à peu remplacés ou optimisés par des réseaux WWAN et WLAN accessibles au public. 

Securité pour les réseaux WAN sans fil  4 

WWAN utilisant une liaison publique (Internet) Les réseaux sans fil à zone étendue gérés par les opérateurs de données cellulaires offrent des solutions rentables pour assurer un contact permanent entre les travailleurs itinérants et l’entreprise. Le trafic des données est acheminé par défaut via le réseau Internet public.  

 WAN sans fil avec liaison publique 

Dans ce modèle, le trajet du travailleur itinérant à l’entreprise s’effectue par l’intermédiaire du réseau opérateur puis via Internet.  La sécurité des données via la liaison sans fil dépend de la technologie d’accès et de l’opérateur sans fil, tandis que la sécurité des données sur la portion Internet du réseau est entièrement la responsabilité de l’entreprise qui l’utilise, et non pas celle de l’opérateur. Quelle que soit la technologie employée pour sécuriser la liaison sans fil, toutes les données transitent par un réseau Internet public sans être protégées vers et à partir d’un centre de données d’entreprise.  

WWAN utilisant une liaison privée dédiée Certains opérateurs WWAN proposent des options d’acheminement spécialisé avec une connexion de données privée – par l’intermédiaire d’un relais de trames spécialisé (ou parfois ATM) – entre le réseau de l’opérateur et le réseau privé de l’entreprise. 

 

Réseau dédié 

 Les WWAN avec connexion dédiée apportent un degré supplémentaire de sécurité, mais la solidité de cette couche de sécurité supplémentaire dépend de la technologie du réseau et de l’opérateur de 

Securité pour les réseaux WAN sans fil  5 

télécommunications. Dans les réseaux GSM et dérivés, les cartes SIM (mécanisme d’identification de l’abonné) servent à fournir la clé de cryptage pour la portion sans fil du réseau, mais la liaison terrestre reste non cryptée. Plusieurs chercheurs ont exposé les lacunes des algorithmes cryptographiques sécurisant les communications dans les réseaux GSM modernes.  

WLAN Sur le marché du WLAN, les normes IEEE 802.11a/b/g ont permis aux fournisseurs de matériel de créer des systèmes intercompatibles débouchant sur l’adoption rapide de la technologie WLAN dans les entreprises, tant à l’intérieur qu’à l’extérieur du réseau sécurisé. Ce succès s’accompagne d’un risque accru pour la sécurité d’entreprise. Les options de sécurisation des anciens points d’accès sans fil se sont, à maintes reprises, avérées insuffisantes. 

• Le Wired Equivalent Privacy (WEP) est aisément compromis et ses conséquences sont abondamment rapportées. 

• Le Wi‐Fi Protected Access (WPA) améliore certaines des faiblesses du WEP, mais il reste sensible aux attaques en force de son dictionnaire (attaques visant à récupérer les clés prépartagées pour authentifier un périphérique vers un point d’accès) ainsi qu’aux attaques par déni de service MIC (Message Integrity Check). 

 Les normes plus récentes sont bien plus robustes : 

• Wi‐Fi Protected Access 2 (WPA2) a remplacé WPA. Exploitant un nouvel algorithme AES appelé CCMP, il utilise des clés de 128 bits. WPA2 est la dénomination Wi‐Fi Alliance des essais de certification 802.11i. À la date de publication du présent document, il est généralement accepté comme algorithme raisonnablement sécurisé, bien qu’il ait été démontré qu’il soit lui aussi susceptible à des attaques en force. 

• 802.1x prend en charge un grand nombre des problèmes liés à l’autorisation d’accès au réseau. À noter qu’il met souvent en jeu des serveurs RADIUS dans le dialogue entre le système authentificateur et le serveur d’authentification. 

 Ces améliorations apportées à la sécurité WLAN sont nécessaires et souhaitées. Toutefois, il est à prévoir qu’un grand nombre d’anciens points d’accès ne puissent prendre en charge ces nouvelles normes. Les organisations seront peut‐être contraintes de remplacer leur infrastructure ou de configurer leurs points d’accès et leurs clients en fonction du plus petit commun dénominateur parmi les protocoles de sécurité.  

Points d’accès WLAN Des problèmes supplémentaires se posent lorsque les travailleurs itinérants utilisent des points d’accès Wi‐Fi publics. De nombreuses études ont révélé qu’en l’absence de robustesse au niveau de l’authentification et du cryptage, les données de l’entreprise étaient vulnérables dès lors que les travailleurs se connectent à des points d’accès publics dans des cafés ou autres lieux publics. De plus, les ordinateurs portables et les téléphones mobiles mal configurés sont encore plus vulnérables à ce type de connexion, puisqu’ils se retrouvent en fait connectés en réseau LAN local avec tous les autres périphériques branchés sur le même point d’accès public. Il est possible de « renifler » le contenu de courrier électronique, de fichiers et de flux de données, ou la présence d’autres périphériques pour pouvoir se connecter directement. 

 

Securité pour les réseaux WAN sans fil  6 

Réseaux multiples De nombreuses organisations sont contraintes de dépendre d’une combinaison de plusieurs technologies de réseau pour assurer la couverture nécessaire à leurs employés itinérants. Un employé itinérant peut avoir accès aux ressources de l’entreprise en dehors des horaires de bureau par l’intermédiaire d’un réseau Wi‐Fi à domicile connecté par DSL ou modem câble ; il peut aller au bureau et utiliser un LAN Ethernet ; il peut se rendre chez un client et se connecter par WLAN pour visiteurs ; il peut se connecter en déplacement avec un WWAN d’opérateur ou encore se connecter par l’intermédiaire d’un point d’accès public dans un café. Plusieurs WWAN de différents opérateurs cellulaires sont souvent nécessaires pour couvrir toute la zone de service. 

 

Réseaux multiples 

L’association de plusieurs technologies de mise en réseau peut constituer un bon moyen d’expansion de la zone de couverture d’un réseau mobile, mais les problèmes de sécurité associés à chaque composant doivent être abordés individuellement. Chaque segment du réseau peut ou non avoir mis en place les mesures de sécurité nécessaires pour pallier ses lacunes particulières. Il est parfois impossible pour une organisation de gérer physiquement et de sécuriser tous les réseaux externes employés pour un accès à distance.  Il est donc particulièrement important qu’un programme de sécurité soit mis en place afin de sécuriser les communications par voie aérienne et par Internet, quelle que soit l’infrastructure de réseau utilisée.  

Securité pour les réseaux WAN sans fil  7 

Sécurisation de l’accès mobile : Mobility XE Le VPN mobile de Mobility XE assure la sécurité d’un point d’extrémité à l’autre, quelle que soit l’association de réseaux utilisés. Il s’agit d’un réseau privé virtuel, sécurisé et fondé sur des normes, conçu spécifiquement pour une mise en réseau sans fil dans des environnements extrêmement mobiles. Conçu pour fonctionner avec des types de réseaux disparates, Mobility XE offre une solution transparente aux utilisateurs qui passent d’un réseau à domicile à des points d’accès publics et à des environnements de fournisseurs diversifiés, qu’il s’agisse de WWAN ou de WLAN. Bien qu’optimisé pour des réseaux sans fil, il prend également en charge tout type de réseau ayant recours au protocole de réseau IP, notamment Ethernet, DSL et accès commuté.  

Mobility XE est un VPN de couche 4. L’implantation de la couche de transport (couche 4) permet à Mobility XE de gérer et de protéger le flux des données entre l’application (couche 7) et les réseaux (couche 3) en agissant comme mandataire des demandes d’applications des périphériques mobiles sur le serveur Mobility XE. Cette architecture mandataire fonctionne en conjonction avec d’autres technologies pour prévenir le plantage d’applications venant souvent perturber les VPN conventionnels dans des environnements mobiles. Cette conception de couche 4 permet également à Mobility XE d’offrir un VPN sécurisé de bout en bout pour toute application fonctionnant sur le périphérique mobile. 

Couche OSI  Protocole Internet TCP/IP Technologie VPN

Couche d’application 7 

SSL 

Couche de présentation 6 

Telnet, FTP, SMTP, etc.

Couche de session 5 

Mobility XE

Couche de transport 4 

Transmission Control Protocol (TCP) Unacknowledged Datagram Protocol (UDP) 

Couche de réseau 3 

Protocole Internet IPSec 

Couche de liaison de données 2 

Cartes d’interface réseau : Ethernet, anneau à jeton, FDDI, ATM, etc. 

Gestionnaires NIC : Network Independent Interface Specification (NDIS), Open Datalink Interface (ODI) 

Couche physique 1 

Modes de transmission : sans fil, fibre optique, coaxial, paire torsadée, etc. 

Comparaison de technologies VPN

Du point de vue de la sécurité réseau, l’emplacement de Mobility XE au‐dessus de la couche de réseau lui permet d’assurer la sécurité au fur et à mesure qu’il se déplace de façon transparente d’un réseau à un autre. Lorsqu’un périphérique transite entre divers types de réseaux, le travailleur itinérant, de même que les applications et le tunnel VPN sont automatiquement protégés contre les modifications. 

Le client Mobility XE est un composant logiciel transparent pour l’utilisateur final et ne nécessitant pas de configuration utilisateur. Le client ajoute une couche de sécurité au périphérique mobile et offre des capacités pare‐feu au réseau local, bien qu’il ne remplace pas entièrement la nécessité d’un pare‐feu local. Quand le client Mobility XE est actif, il n’écoute que l’interface active et le seul acheminement des données jusqu’au périphérique se fait via le tunnel Mobility XE établi entre le serveur et le client Mobility XE. Une fois Mobility XE connecté, le périphérique est capable de résister aux attaques d’agresseurs opérant entre les deux, aux tentatives de scannage de ports et autres attaques sur le réseau local. 

Securité pour les réseaux WAN sans fil  8 

Authentification Avant que Mobility XE ne commence à transmettre des données entre le réseau et le client Mobility, il vérifie que l’utilisateur final (et, au besoin, le périphérique) s’est correctement authentifié et dispose des permissions requises. 

Tandis que d’autres VPN exigent souvent plusieurs étapes distinctes d’authentification fastidieuses pour l’utilisateur, Mobility XE est conçu pour maximiser la productivité dans l’environnement unique d’une installation mobile. (D’autres VPN peuvent exiger une première interaction pour permettre la connectivité au réseau et une deuxième pour authentifier l’utilisateur et établir le VPN.)  

Avec Mobility XE, l’utilisateur n’a pas besoin de fournir d’authentifiants supplémentaires, autres que ceux requis pour accéder au domaine Windows ou autre serveur d’authentification. Les politiques relatives au domaine et spécifiques à l’utilisateur (limite du temps de connexion, accès restreint à certaines applications, conditions d’accès, etc.) sont appliquées à l’accès de l’utilisateur au réseau et aux ressources du domaine. 

Méthodes d’authentification Chaque installation mobile étant différente, Mobility prend en charge plusieurs méthodes d’authentification pouvant être mises en place conjointement. L’administrateur peut configurer le niveau de défense en profondeur et de gérabilité en fonction des besoins de l’organisation. 

De plus, une authentification au niveau du périphérique permet aux administrateurs de gérer à distance un périphérique éloigné même quand les utilisateurs sont connectés. Cela permet une gestion en direct des périphériques, comme si le périphérique était physiquement rattaché au réseau. Ces options sont transparentes et pratiques pour l’utilisateur, augmentent la productivité et améliorent la sécurité.  

Protocoles d’authentification NetMotion Mobility XE prend en charge les protocoles suivants d’authentification de l’utilisateur : 

• NTLM (utilisateurs et groupes Windows, dont Active Directory) Lorsqu’un serveur Mobility est configuré pour utiliser le protocole NTLM (version 2), les justificatifs d’identité des utilisateurs sont soit authentifiés dans le domaine Windows dont le serveur Mobility est membre, soit dans le réseau local Windows, défini directement sur le serveur Mobility. Mobility autorisera l’accès aux utilisateurs se connectant à partir d’autres domaines s’il existe une confiance préétablie entre le domaine de l’utilisateur et le domaine du serveur Mobility. 

• RADIUS (Remote Authentication Dial‐In User Service) En utilisant RADIUS, les justificatifs d’identité des utilisateurs sont envoyés aux serveurs RADIUS spécifiés à des fins d’authentification. Mobility XE prend en charge RADIUS – LEAP, RADIUS – PEAP (MSCHAP ou GTC), et RADIUS – EAP‐TLS (cartes à puce ou certificats personnels). 

Securité pour les réseaux WAN sans fil  9 

• RSA SecurID Mobility XE prend en charge l’authentification naturelle SecurID. Les serveurs Mobility communiquent directement avec le gestionnaire d’authentification RSA à l’aide du logiciel Authentication Agent installé sur la machine du serveur Mobility.   

Niveau d’identification 

Authentifiant  Protocoles Remarques

Facteur commun unique 

Authentifiants de domaine Windows – nom d’utilisateur / mot de passe ou carte à puce avec certificat intégré 

NTLM Microsoft avec listes d’utilisateurs Mobility XE ou Active Directory

RADIUS – LEAP, RADIUS – PEAP et RADIUS – EAP-TLS. 

Sécurité simple, facile à mettre en place 

Utilisateur à deux facteurs 

Carte à puce + PIN  Protocole RADIUS – EAP en frontal à Microsoft Active Directory 

Exigé par de nombreux mandats et normes fédérales de sécurité  

Certificat d’utilisateur X.509v3 + mot de passe (ou dispositif biométrique) 

Protocole RADIUS – EAP en frontal à Microsoft Active Directory 

Jeton de sécurité RSA + PIN RSA SecurID

Périphérique  Certificat de dispositif X.509v3 RADIUS – EAP-TLS Permet un accès sans surveillance (pas d’entrée en communication d’utilisateur) pour la gestion à distance du périphérique

Assure l’authentification mutuelle du périphérique et du serveur

Vérifie que le périphérique appartient bien à l’entreprise 

Multi-facteurs  Méthodes à facteur commun unique ou à deux facteurs ci-dessus, associée à l’authentification du périphérique 

Comme ci-dessus Relie le périphérique (ce que vous avez) au mot de passe de l’utilisateur (ce que vous connaissez) pour assurer une authentification véritable à deux facteurs et peu onéreuse 

Méthodes d’authentification Mobility XE

Authentification à facteur commun unique Un utilisateur entre en communication sur le client Mobility à l’aide d’authentifiants de domaine Windows – généralement le nom d’utilisateur et un mot de passe. L’emploi d’authentifiants de domaine Windows permet un seul processus d’entrée sur le périphérique, le domaine et le VPN donnant accès aux ressources du domaine, partage de système de fichiers par exemple. Une fois l’utilisateur authentifié, Mobility XE établit le tunnel VPN pour transmettre, dans des conditions sécurisées, les données d’applications. 

Intégration avec Active Directory. Lorsque le serveur Mobility est configuré pour utiliser le protocole d’authentification NTLMv2 (configuration par défaut), sa sécurité est intégrée aux fonctions de sécurité de Windows, notamment le service Active Directory. Pour qu’un client Mobility se connecte à un serveur Mobility et puisse utiliser les services Mobility XE, la personne utilisant le client doit disposer d’un compte d’utilisateur sur la machine Windows faisant fonctionner le serveur Mobility ou dans le domaine auquel le serveur participe. Les utilisateurs doivent également être membres du groupe local d’utilisateurs NetMotion ou d’un groupe d’utilisateurs d’un domaine spécifié ayant accès au serveur NetMotion. Pendant l’installation, le programme de configuration Mobility XE crée le groupe local d’utilisateurs NetMotion et permet à l’administrateur de configurer un groupe d’utilisateurs de domaine global qui détermine quels utilisateurs sont autorisés à se connecter à un serveur Mobility. 

Securité pour les réseaux WAN sans fil  10 

Authentification à deux facteurs Les organisations dont les données sont de nature sensible ou confidentielle exigent souvent une authentification plus robuste que les classiques nom d’utilisateur + mot de passe. Dans certains cas, comme pour les forces de l’ordre, il existe des exigences réglementaires. Par exemple, le système fédéral d’information sur la justice pénale (CJIS) édicte des exigences strictes d’authentification des utilisateurs pour les municipalités qui se connectent au CJIS par l’intermédiaire de réseaux sans fil, d’Internet ou d’un accès commuté. D’autres réglementations fédérales exigent des mesures similaires d’authentification avancée. 

Mobility XE prend en charge l’authentification robuste des utilisateurs en mettant en œuvre plusieurs types d’authentifiants différents, comprenant notamment les cartes à puce, les certificats d’utilisateur X.509v3 ou RSA SecurID. Ces méthodes d’authentification à deux facteurs exigent d’une part quelque chose dont l’utilisateur dispose (carte à puce, périphérique ou jeton) et d’autre part quelque chose que l’utilisateur connaît (PIN ou mot de passe). L’authentification robuste de l’utilisateur est importante dans la protection de périphériques pouvant aisément être perdus ou volés.  

Mobility XE prend en charge les méthodes suivantes d’authentification robuste à deux facteurs : 

RSA SecurID RSA SecurID a recours à des porte‐clés, des claviers d’identification personnelle, des jetons USB, des cartes à puce et des jetons logiciels. Les divers périphériques pris en charge exigent tous que l’utilisateur saisisse un numéro d’identification personnel pour pouvoir accéder au mot de passe à usage unique.  

L’authentification à deux facteurs de Mobility XE satisfait les critères d’homologation RSA, notamment l’authentification naturelle par l’intermédiaire de l’agent d’authentification RSA et la prise en charge des modes New PIN et Next Tokencode. L’implantation a été homologuée comme étant RSA SecurID Ready. Pour tous renseignements complémentaires sur Mobility XE et l’authentification RSA, veuillez consulter les fiches techniques 2214 Enabling native RSA SecurID Connections for Mobility Clients et 2150 Enabling RSA SecurID Connections for RADIUS.  

  Authentification RSA SecurID

Securité pour les réseaux WAN sans fil  11 

RADIUS/PKI. L’authentification à deux facteurs RADIUS/PKI permet aux organisations de satisfaire aux normes fédérales sans encourir trop de frais. RADIUS‐EAP est alors utilisé comme protocole frontal à l’authentification Active Directory de Microsoft et l’infrastructure de clés publiques (PKI). L’infrastructure PKI de Microsoft étant fournie avec ses systèmes d’exploitation de serveurs et plusieurs options de serveurs RADIUS gratuites ou bon marché étant disponibles, cette démarche constitue une option robuste et très peu onéreuse. Elle est particulièrement utile pour les organismes de sécurité publique qui doivent se conformer aux exigences CJIS mais qui n’auraient pas prévu le budget nécessaire à cette mise à niveau. 

 

Authentification à deux facteurs par certificats X.509v3, cartes à puce, RADIUS et PKI

La démarche RADIUS/PKI prend en charge : 

• Cartes à puce. Mobility XE prend en charge les cartes à puce PKI de fournisseurs qui se conforment aux exigences de Microsoft en matière de mini‐gestionnaires de cartes à puce et de fournisseurs qui incorporent une interface Cryptographic Service Provider (CSP) de Microsoft. Il convient de noter que Mobility XE prend en charge les cartes à puce conformes aux exigences suivantes : Homeland Security Presidential Directive 12 (HSPD‐12) (directive présidentielle sur la sécurité intérieure) ; Federal Information Processing Standards 201 (FIPS 201) ; Personal Identity Verification (PIV) of Federal Employees and Contractors (norme de vérification d’identité personnelle (PIV) des employés et contractants du gouvernement fédéral) ; et publication spéciale 800‐78‐1 du NIST, Cryptographic Algorithms and Key Sizes for Personal Identity Verification (algorithmes cryptographiques et tailles de clés en vue d’une vérification d’identité personnelle).  

• Certificats d’utilisateurs X.509v3. Les certificats sont pris en charge quand ils sont stockés sur le périphérique mobile dans un emplacement protégé, accessible uniquement aux utilisateurs ayant passé avec succès la phase d’authentification et ayant fourni le mot de passe associé au certificat d’utilisateur. Les solutions PKI autres que Microsoft sont prises en charge si elles sont compatibles avec les certificats d’utilisateurs X.509v3, avec un accès Microsoft standard activé CAPI à ces certificats et avec le protocole d’authentification RADIUS EAP‐TLS ou EAP‐TLS dans PEAP.  

• Systèmes biométriques. Mobility XE prend en charge les systèmes biométriques quand ceux‐ci sont employés au lieu d’un PIN ou d’un mot de passe pour déverrouiller l’accès aux certificats X.509v3. Mobility XE prend également en charge l’authentification biométrique de l’utilisateur sur les systèmes biométriques Ubtek et Wave communément installés sur les ordinateurs portables Lenovo, Itronix et Dell. 

 

Securité pour les réseaux WAN sans fil  12 

Authentification des périphériques L’authentification de périphérique permet au périphérique et au serveur d’établir des rapports de confiance indépendamment de l’entrée en communication de l’utilisateur. L’authentification de périphérique a recours au protocole RADIUS EAP‐TLS et aux certificats X.509v3 signés installés sur chaque périphérique pour créer un tunnel VPN crypté et mutuellement authentifié. L’authentification de périphérique permet à Mobility XE d’assurer un accès sécurisé au périphérique mobile lorsqu’il se trouve sans surveillance – c’est‐à‐dire quand le périphérique est allumé mais qu’aucun utilisateur n’est entré en communication sur l’ordinateur, soit en mode pré‐bureau (avant que l’utilisateur ouvre une session), soit après que l’utilisateur a mis fin à la session. (Pour les périphériques mobiles Windows ne comportant pas de mode pré‐bureau, le périphérique est en mode sans surveillance après que l’utilisateur a mis fin à la session et la boîte de dialogue d’entrée en communication invite l’utilisateur suivant à entrer en communication.) 

L’authentification de périphérique est utile en ce que : 

• Elle permet la gestion et la surveillance en direct du périphérique, notamment l’application de mises à jour et de correctifs de sécurité quand l’utilisateur n’utilise pas activement le périphérique 

• Elle met en vigueur des normes de sécurité encore plus strictes en mettant en jeu un troisième facteur qui permet de relier un utilisateur particulier à un périphérique particulier 

• Elle empêche les utilisateurs ayant des privilèges d’accès VPN au niveau utilisateur d’accéder aux ressources de l’entreprise à partir de PC domestiques ou d’autres périphériques non autorisés et non sécurisés 

• Elle cache les authentifiants des utilisateurs en établissant un tunnel sécurisé entre le périphérique et le serveur avant que l’utilisateur n’entre en communication 

 La prise en charge d’un mode sans surveillance permet aux entreprises de mettre en œuvre tous leurs outils de politique d’entreprise, de contrôle et de gestion de données pour gérer leurs périphériques à distance quand ils restent en service, ceux‐ci pouvant de fait être gérés aussi facilement que les périphériques reliés au LAN local. Cette fonctionnalité est particulièrement utile pour la mise à jour de logiciels en dehors des heures de travail, lorsque le périphérique mobile n’est pas utilisé à d’autres fins. L’accès sans surveillance prend en charge les politiques de groupe Active Directory de Microsoft, Microsoft SC‐CM, Sybase Afaria, ainsi que de nombreuses autres solutions de gestion de politiques et de périphériques éloignés. Grâce à l’authentification des périphériques, les services IT peuvent étendre les outils de gestion d’entreprise à la population de périphériques sans fil, ce qui simplifie la gestion des périphériques tout en réduisant les coûts de propriété. 

Authentification multifactorielle L’association de facteurs d’identification au niveau du périphérique et au niveau de l’utilisateur fait que les conditions de sécurité Mobility XE sont plus robustes que celles disponibles dans d’autres VPN. Elle associe l’authentification de l’utilisateur (élément connu) à l’authentification du périphérique (élément dont on dispose), tout comme un numéro d’identification personnel est associé à une carte bancaire, si bien que seuls les utilisateurs autorisés munis de périphériques approuvés et fournis dans des conditions vérifiées peuvent se connecter. 

L’authentification du périphérique peut être associée plus ou moins étroitement à l’authentification de l’utilisateur. Mobility XE peut être configuré pour permettre à un utilisateur 

Securité pour les réseaux WAN sans fil  13 

de s’authentifier sur tout périphérique ayant été positivement identifié ou pour limiter l’accès de l’utilisateur à un ou à plusieurs périphériques spécifiés.  

Les administrateurs peuvent également choisir de mettre automatiquement en quarantaine des périphériques inconnus ou nouveaux et de les approuver de façon spécifique avant d’autoriser l’accès de l’utilisateur au réseau.  

L’authentification des périphériques cache également les authentifiants de l’utilisateur et lance la procédure d’authentification en créant d’abord un tunnel sécurisé entre le périphérique et le serveur, au travers duquel passent ensuite les authentifiants de l’utilisateur.  

Réauthentification de l’utilisateur Dans un environnement mobile, les périphériques peuvent plus aisément être égarés, perdus ou volés que dans un environnement fixe. Mobility XE est capable de mettre en œuvre une réauthentification sélective à intervalles ajustables ou lorsque le périphérique est remis en activité après une période d’interruption. Les administrateurs contrôlent également le délai de grâce au cours duquel l’utilisateur doit répondre. Cette fonctionnalité est disponible pour toutes les méthodes d’authentification prises en charge par Mobility XE. Une réponse positive confirme que l’utilisateur est toujours en possession du périphérique. Si l’utilisateur ne parvient pas à se réauthentifier, Mobility XE déconnecte le VPN et consigne l’échec de la réauthentification dans les registres du système en vue d’une analyse ultérieure.  

Ce qui est encore plus appréciable, c’est que Mobility XE est capable d’appliquer cette réauthentification et de solliciter l’utilisateur sans interrompre aucune session d’application ouverte ou active. Aucun autre VPN n’est à même de réauthentifier les utilisateurs de façon transparente sans interrompre inutilement les sessions d’application. 

Cryptage

Échange de clés Une fois l’authentification vérifiée, le serveur Mobility envoie au client Mobility une spécification de niveau de sécurité de données (activation ou désactivation du cryptage). En imposant le niveau de sécurité des données – il n’est jamais négocié – le serveur prévient d’éventuelles attaques par dégradation.  

Un échange de clés Diffie‐Hellman (ECDH) signé se produit entre le client et le serveur Mobility pour établir les clés de cryptage pour la session. Les tailles de clés pour ECDH sont choisies en fonction de la taille de clé AES recommandée par NIST dans FIPS PUB 186‐2 « Digital Signature Standard » [norme de signature numérique]. 

Dans les authentifications NTMLv2 et LEAP, Mobility protège contre les attaques d’agresseurs opérant entre les deux, en signant les paramètres Diffie‐Hellman dans l’échange de clés. Le récepteur authentifie les paramètres en vérifiant la signature. 

Une réfaction de clé automatique renforce la sécurité du VPN Mobility en changeant périodiquement les clés utilisées pour crypter les données transmises entre le client et le serveur Mobility. Quand la réfaction de clé est activée, le serveur entame un échange de clés avec chaque connexion client à des moments aléatoires et à intervalles configurables. Cet échange produit une nouvelle clé de session unique pour chaque connexion client, sans aucun rapport avec la clé 

Securité pour les réseaux WAN sans fil  14 

précédente ; si une clé est compromise, les communications futures faisant intervenir la nouvelle clé ne seront pas compromises. 

Méthodes de cryptage NetMotion Mobility offre les types et les niveaux de cryptage suivants : 

• AES. AES, Advanced Encryption Standard, est la norme de cryptage avancée en vigueur aux États‐Unis. Cet algorithme s’utilise pour crypter le trafic des données transmises entre le client Mobility et le serveur. Le réglage par défaut de Mobility XE est une force clé de 128 bits, norme minimale pour une conformité avec la politique de sécurité CJIS. Les administrateurs peuvent également choisir des forces clé de 192 bits et de 256 bits. 

 Taille de clé AES Taille de clé ECDH

128 256

192 384

256 521

 Correspondance des tailles de clés AES et ECDH

 Sur le périphérique mobile exploitant le client Mobility, les données sont traitées au niveau des sessions. Toutes les données d’applications destinées aux sessions TCP et UDP sont sécurisées. (En général, les applications orientées connexion utilisent le protocole TCP pour les communications, alors que d’autres – diffusion multimédia en temps réel par exemple – utilisent le protocole UDP).  

Sécurité au niveau du périphérique Dans un réseau mobile, les périphériques sont très dispersés, souvent à des centaines de kilomètres du centre de traitement, et physiquement hors de portée des services IT. Mobility XE offre des fonctionnalités de gestion permettant un contrôle efficace et assurant que des mesures de sécurité sont en place et que les utilisateurs emploient, dans des conditions sécurisées, des périphériques dont l’utilisation a été autorisée. 

Contrôle d’accès au réseau mobile Il est apparu que l’une des plus grandes menaces pesant sur la sécurité d’une organisation résulte de périphériques placés entre les mains d’utilisateurs candides et peu méfiants. Ces périphériques peuvent héberger des enregistreurs de clés et autres maliciels introduits au travers de brèches de sécurité non colmatées. Le contrôle d’accès au réseau (NAC) inspecte les périphériques pour vérifier qu’ils sont correctement configurés et raccordés et que les logiciels de sécurité (antivirus, anti‐spyware, pare‐feu, etc.) sont à jour et fonctionnent. Si des périphériques mobiles ne sont pas correctement configurés, le module NAC de Mobility en avertit les utilisateurs, prévient ou limite l’accès au réseau et facilite les corrections. 

Le module NAC mobile intégré donne aux administrateurs un bon niveau de contrôle et de flexibilité dans la façon dont les politiques de correction sont mises en œuvre. Il surveille toute la composante sécurité d’un périphérique et peut détecter l’absence, la désactivation ou la péremption de composants de sécurité clés : 

Securité pour les réseaux WAN sans fil  15 

• Antivirus  • Anti‐spyware • Pare‐feu  • Version du système d’exploitation • État de mise à jour Windows™  • Clés de registre • Applications spécialisées   

 Le module NAC fonctionne en association avec le module de gestion des politiques de Mobility XE pour émettre des avertissements hautement personnalisés et mettre en application des politiques de correction. Selon la gravité de la situation, l’état d’entrée en communication de l’utilisateur et la vitesse de connexion, les administrateurs peuvent spécifier de simples messages d’alerte ou des instructions de correction, limiter l’accès aux applications, lancer des sites Web, activer le téléchargement de logiciels, mettre le périphérique en quarantaine ou le déconnecter. Par exemple : 

• Si les signatures anti‐virus ont plus de sept jours et que le périphérique tourne en mode sans surveillance, télécharger immédiatement des signatures mises à jour 

• Si les signatures antivirus ont plus de sept jours et qu’un utilisateur est connecté, envoyer un message d’avertissement 

• Si elles ont plus de 14 jours, envoyer un message d’avertissement plus incisif s’il s’agit d’une connexion WWAN et lancer le téléchargement immédiat du fichier de signature sur une connexion Wi‐Fi rapide 

• Si elles ont plus de 21 jours, mettre immédiatement le périphérique en quarantaine  Pour en savoir davantage sur le Mobile NAC, veuillez consulter le livre blanc Mobile Network Access Control (Contrôle de l’accès sur réseau mobile) à www.netmotionwireless.com. 

Gestion des politiques La gestion des politiques de Mobility permet à l’administrateur de définir centralement les règles et les ensembles de règles qui mettent les politiques en application par périphérique, par groupe de périphériques, par utilisateur ou par groupe d’utilisateurs de la couche 2 à la couche 7, selon les réseaux à la disposition du périphérique ou de l’utilisateur. Les règles peuvent être définies à l’aide du nom d’interface, de la vitesse, SSID, BSSID (tous au niveau de la couche 2), du port et de l’adresse IP (couche 3), du transport (couche 4), de la session (couche 5) et de l’application (couche 7). Les politiques sont en outre déployées vers chaque périphérique ou utilisateur mobile et appliquées au périphérique d’informatique mobile. Aucune consommation de bande passante n’est associée au refus de l’accès et à la sécurisation des ressources ou réseaux internes. 

S’il le souhaite, un administrateur peut par exemple empêcher le trafic d’applications gourmandes en bande passante sur un WWAN sensible à la bande passante ou si la vitesse de connexion de ce réseau est inférieure à un certain seuil (programmable) – par ex. inférieure à 256 kbps. Des politiques peuvent également allier plusieurs couches pour obtenir un contrôle plus granulaire. Une politique peut par exemple bloquer le fonctionnement d’une application donnée, sauf à une adresse et/ou à un port spécifié. Cette approche granulaire de la gestion des politiques permet à l’administrateur de gérer et de contrôler d’une manière centralisée les coûts relatifs au WWAN, l’utilisation de la bande passante et l’expérience de l’utilisateur, tout en proposant une solution puissante s’alignant sur les politiques de sécurité de l’entreprise. 

 

 

Securité pour les réseaux WAN sans fil  16 

Mobility XE VPN IPSec VPN SSL 

Couche(s)  Couches 2 à 7  Couche 3  Couche 7 

Niveau de création Serveur Concentrateur Appareil serveur 

Niveau de mise en application  Client  Concentrateur  Appareil serveur 

Paradigme  Périphérique / utilisateur par interface, réseau, application  Utilisateur par réseau  Utilisateur par application

Niveau du contrôle d’accès 

Réseaux, applications et ressources  Réseaux  Applications et ressources

 Comparaison de l’application de politiques avec d’autres types de VPN

Des politiques distinctes peuvent être définies et appliqués quand un périphérique fonctionne en mode sans surveillance (lorsqu’un utilisateur n’est pas connecté). Ceci permet aux administrateurs de dicter quand et comment des outils de gestion autorisés peuvent accéder au réseau à des fins de mise à jour d’applications et de composants de système, sans que ces tâches ne nuisent à la productivité de l’employé. 

Pour en savoir davantage sur la gestion des politiques, veuillez consulter le livre blanc Policy Management Module (Module de gestion des politiques) : Granular Management of Wireless Bandwidth, Security and Mobile Productivity (Gestion granulaire de bande passante sans fil, sécurité et productivité mobile) sur www.netmotionwireless.com. 

Visibilité et alerte Lorsque se présente un problème de sécurité, ce ne sont pas seulement les données de l’entreprise qui sont en danger. Un échec d’entrée en communication peut en effet signifier qu’un périphérique a été volé ou qu’un périphérique mis en quarantaine suite à un problème de sécurité risque d’entraver sérieusement l’efficacité du travail de l’employé. Pour mettre à la disposition des administrateurs les informations nécessaires pour leur permettre de résoudre rapidement ces problèmes, le module Analytics de Mobility XE offre des fonctionnalités de notification et d’établissement de rapports. 

Certaines de ces notifications comportent des implications de sécurité immédiates, par exemple en cas d’échecs renouvelés d’entrée en communication (un voleur tentant de deviner les mots de passe) ou lorsqu’un périphérique ne répond pas aux normes de conformité NAC. Les administrateurs reçoivent ces notifications par e‐mail ou par l’intermédiaire de systèmes de gestion de réseau standard (syslog ou consoles SNMP). Une notification immédiate permet à l’administrateur d’examiner la situation et d’y remédier afin que l’employé puisse reprendre son travail. 

La fonctionnalité d’établissement de rapports fournit des informations sur le moment et la façon dont les travailleurs utilisent les réseaux et les applications. Ceci permet aux administrateurs de mieux faire face aux problèmes de sécurité – par exemple, quand remédier à des périphériques – tout en préservant les gains de productivité alimentant le réseau mobile.  

Pour en savoir davantage sur le Module Analytics, veuillez consulter le livre blanc NetMotion  Mobility XE Analytics Module (Module Analytics de NetMotion Mobility XE : Bringing Visibility Into  Mobile Deployments (Assurer la visibilité dans des installations mobiles) sur www.netmotionwireless.com. 

Securité pour les réseaux WAN sans fil  17 

Déploiement sécurisé de Mobility XE Pour que la sécurité Mobility XE soit efficace, elle doit être déployée de manière sécurisée de concert avec d’autres mécanismes et pratiques de sécurité.  

Déploiement du serveur NetMotion Wireless recommande aux entreprises de suivre les recommandations de Microsoft et du gouvernement américain en ce qui concerne le renforcement des serveurs Windows.  

S’il est prévu que les utilisateurs puissent accéder à un serveur Mobility sur des WLAN ou WWAN publics, il est recommandé que les serveurs Mobility soient déployés dans une zone DMZ isolée par pare‐feu ou derrière le pare‐feu d’entreprise. Le port 5008 (ou un autre port choisi par l’administrateur) doit être activé au niveau du pare‐feu de protection pour permettre l’accès au serveur Mobility.  

Des suggestions spécifiques aux emplacements et paramètres de groupes de serveurs figurent sur la fiche technique 2161 Where to Deploy your Mobility Server (Où déployer votre serveur Mobility) disponible sur www.netmotionwireless.com.  

Extension du pare‐feu Le serveur Mobility sert de mandataire au niveau transport. Les transactions d’applications sont dirigées vers un logiciel contrôlé, qui protège le matériel de l’utilisateur contre toute attaque mettant en œuvre des paquets malformés, saturations de tampon, erreurs de fragmentation et scannage de ports. Mobility XE étant mandataire de niveau transport, il assure cette protection pour toute une gamme d’applications. 

Déploiement des clients Selon les besoins en matière de sécurité, Mobility XE peut s’utiliser pour renforcer notablement la sécurité sur les périphériques mobiles. Les administrateurs peuvent forcer les clients à utiliser le VPN Mobility (pour éviter un accès au réseau autre que par le tunnel VPN aboutissant au serveur Mobility), à mettre les périphériques perdus ou volés en quarantaine et à empêcher l’accès à de nouveaux périphériques. 

• Verrouillage de clients. Quand le client Mobility est connecté, tout le trafic IP transite par le serveur Mobility. De plus, quand le trafic est acheminé jusqu’au serveur, un administrateur peut faire appel au module de gestion des politiques pour limiter les adresses IP auxquelles un client Mobility peut accéder et les applications pouvant utiliser le réseau. Avec un verrouillage en place, la sécurité est considérablement renforcée. Ceci est particulièrement appréciable lorsque les utilisateurs accèdent au réseau via des points d’accès publics. 

• Quarantaine – Périphériques perdus ou volés. Un client en quarantaine n’a aucun moyen d’accéder aux ressources du réseau. La mise en quarantaine est utile en cas de perte ou de vol de périphériques. Un administrateur peut imposer ce statut au périphérique pour interdire l’accès au réseau, aux données et aux applications d’entreprise. 

Securité pour les réseaux WAN sans fil  18 

• Quarantaine – Interdiction d’accès de nouveaux périphériques. Une utilisation courante de cette fonction est la mise en quarantaine de tous les nouveaux périphériques client jusqu’à ce que l’administrateur ait manuellement donné son approbation. Il est possible d’enregistrer le nouveau périphérique, mais celui‐ci est immédiatement déconnecté et mis en quarantaine pour permettre à l’administrateur de valider tout périphérique nouvellement connecté. Cette fonction permet de conserver les périphériques hors du réseau, même si l’utilisateur présente des identifiants valides. 

Politique en matière de mots de passe NetMotion Wireless recommande de suivre une politique de mots de passe rigoureuse : 

• Changer fréquemment de mots de passe. • Éviter les mots de passe courts et ordinaires. Les mots de passe doivent comporter plus 

de 8 caractères. • Utiliser une combinaison de lettres, de chiffres et d’autres caractères. 

 Autres composants de sécurité et interopérabilité Un VPN Mobile ne constitue qu’une partie d’un système sécurisé. Les entreprises vigilantes en matière de sécurité déploient des solutions complémentaires pour renforcer la sécurité et la protection de leurs périphériques mobiles. NetMotion Mobility XE a été testé avec les solutions suivantes, dont il est le complément : 

• Antivirus. Il est crucial de mettre à jour et d’obtenir les derniers fichiers de définitions de virus. Le module NAC de Mobility XE interagit avec les produits antivirus des principaux fournisseurs pour assurer que la protection soit activée et à jour. 

• Répartition du pare‐feu. Les pare‐feu personnels ou répartis sont devenus monnaie courante. Mobility XE est compatible avec de nombreuses solutions pare‐feu de périphériques mobiles communément utilisées sur plates‐formes Windows et Windows Mobile. Le module NAC peut vérifier que le pare‐feu est activé avant d’autoriser toute connexion.  

• Cryptage local. Des solutions sont disponibles pour crypter les données sauvegardées localement sur les périphériques mobiles et prévenir la fuite de données au niveau des clés USB et autres supports d’informations amovibles. Si un périphérique est compromis, certaines de ces solutions de sécurité comportent une option permettant de détruire les données stockées sur le périphérique lorsque le seuil d’échec des tentatives de connexion a été atteint ou en réponse à une commande d’un administrateur de réseau. 

• Gestion des périphériques. La gestion des patchs et les mises à jour de logiciels sont des fonctions communes aux solutions de gestion des périphériques. Les tâches de gestion des périphériques sont exécutées dans le tunnel sécurisé fourni par Mobility XE. En cas de recours à une authentification de périphériques, les mises à jour peuvent se faire en dehors des heures de travail, lorsque l’employé n’est pas connecté au système, de manière à profiter pleinement des optimisations de liens Mobility XE. 

Securité pour les réseaux WAN sans fil  19 

Securité pour les réseaux WAN sans fil  20 

Conclusion Le VPN mobile de Mobility XE constitue une solution élégante et aisément gérable, capable de prendre en charge la myriade de défis associés à l’application de mesures de sécurité à tous les niveaux d’une installation sans fil. Il protège non seulement les données de l’entreprise, mais également ses investissements, en minimisant l’impact sur les travailleurs et en maximisant les gains de productivité.  

© 2009 NetMotion Wireless, Inc. Tous droits réservés. NetMotion et NetMotion Mobility sont des marques de commerce déposées de NetMotion Wireless, Inc. et Mobility XE, Roamable IPSec, InterNetwork Roaming, Best-Bandwidth Routing et Analytics Module sont des marques commerciales de NetMotion Wireless, Inc. Microsoft, Microsoft Windows, Active Directory, ActiveSync, Internet Explorer, Windows Mobile, Windows Server, Windows XP, SQL Server, Windows XP Tablet PC Edition et Windows Vista sont des marques déposées de Microsoft Corporation. Toutes les autres marques de commerce, les dénominations commerciales ou les noms d’entreprises mentionnés dans la présente brochure sont cités exclusivement à des fins d’identification et sont la propriété de leurs propriétaires respectifs. La technologie NetMotion est protégée par l’un ou plusieurs des brevets américains suivants : 6,198,920; 6,418,324; 6,546,425; 6,826,405; 6,981,047; 7,136,645; 7,293,107; 7,574,208; Cdn. Pat. 2,303,987. Autres brevets américains et étrangers en instance.