Les atouts du VPN SSL - SSL-Explorer
Chaque DSI est aujourd’hui confronté à une problématique de taille. Comment donner accès à son réseau (ou services internes) à des employés se trouvant en forte mobilité ? Jusqu’à aujourd’hui les VPN classiques étaient monnaie courante pour cet accès providentiel. Cependant on est de plus en plus confronté à une sécurisation drastique des réseaux. On doit parfois accéder au réseau de l’entreprise à travers des réseaux isolés et filtrés. Les ports VPN sont très souvent bloqués au niveau du fournisseur d’accès (en forte mobilité) ou chez le client.
Le VPN SSL est donc arrivé avec son lot de solutions. Celui-ci consiste a rediriger du trafic réseau (interne) via le protocole HTTPs, de la même manière que l’on pourrait le faire avec un tunnel SSH. Le tunnel SSL peut donc être créé grâce à une applet Java. Celle-ci redirige correctement les flux sur le poste client vers le réseau interne de l’entreprise à travers le tunnel SSL. Le seul port à ouvrir coté serveur et coté client est le port HTTPS (443), généralement déjà autorisé pour se connecter sur des sites sécurisés (achat en ligne, banque, webmails).
SSL-Explorer est une application commerciale dont la majorité du code est sous licence GPL (sourceforge). Celui-ci permet d’installer gratuitement un VPN SSL dans son entreprise, le plugin LDAP (fort utile) ainsi que l’authentification forte par certificat n’etant disponible que dans la version payante. Cependant pour se faire une idée du produit c’est une bonne première étape. Aujourd’hui, beaucoup d’industriels proposent des solutions complètes, sur étagère, le tout packagé dans une appliance. Certains firewalls proposent aussi l’utilisation de VPN SSL pour les collaborateurs, il faudra faire attention au prix de la licence par utilisateur.
Voici une bonne documentation sur Ubuntu (et tous les debian-like) qui permettra un déploiement aisé de SSL-Explorer. Il faut noter un petit bug lorsque le service démarre au lancement de la machine, l’encodage original (lors de l’installation) de caractères n’est pas pris en compte. Il suffira de rajouter les lignes suivantes dans /opt/sslexplorer-version/sslexplorer/conf/wrapper.conf (le bon encodage, UTF-8 u ISO-8859-1) :
wrapper.java.additional.1=-Dsun.jnu.encoding=ISO-8859-1
wrapper.java.additional.2=-Dfile.encoding=ISO-8859-1
Après installation, vous pourrez goûter aux joies du VPN SSL, faire des redirections vers les sites internes (Intranet), les partages réseaux internes, et vous connecter en SSH sur toutes les machines internes. Il faut noter que le VPN SSL n’est pas pour autant « très sécurisé ». Il faut appliquer une politique stricte d’authentification (authentification forte + login + mot de passe, par exemple). Le VPN SSL utilisant un client « quelconque« , on doit vérifier le contenu de celui-ci, via les scans antiviraux adéquats. En effet, un simple cheval de Troie pourrait nuire au réseau de l’entreprise.
Le VPN IPSec restera cependant toujours plus sûr lorsque l’on voudra mettre en place des liaisons plus strictes et plus contrôlées lors, par exemple, de liaison inter-sites.