Catégories
outillage

Les atouts du VPN SSL – SSL-Explorer

Chaque DSI est aujourd’hui confronté à une problématique de taille. Comment donner accès à son réseau (ou services internes) à des employés se trouvant en forte mobilité ? Jusqu’à aujourd’hui les VPN classiques étaient monnaie courante pour cet accès providentiel. Cependant on est de plus en plus confronté à une sécurisation drastique des réseaux. On doit parfois accéder au réseau de l’entreprise à travers des réseaux isolés et filtrés. Les ports VPN sont très souvent bloqués au niveau du fournisseur d’accès (en forte mobilité) ou chez le client.

Le VPN SSL est donc arrivé avec son lot de solutions. Celui-ci consiste a rediriger du trafic réseau (interne) via le protocole HTTPs, de la même manière que l’on pourrait le faire avec un tunnel SSH. Le tunnel SSL peut donc être créé grâce à une applet Java. Celle-ci redirige correctement les flux sur le poste client vers le réseau interne de l’entreprise à travers le tunnel SSL. Le seul port à ouvrir coté serveur et coté client est le port HTTPS (443), généralement déjà autorisé pour se connecter sur des sites sécurisés (achat en ligne, banque, webmails).

SSL-Explorer est une application commerciale dont la majorité du code est sous licence GPL (sourceforge). Celui-ci permet d’installer gratuitement un VPN SSL dans son entreprise, le plugin LDAP (fort utile) ainsi que l’authentification forte par certificat n’etant disponible que dans la version payante. Cependant pour se faire une idée du produit c’est une bonne première étape. Aujourd’hui, beaucoup d’industriels proposent des solutions complètes, sur étagère, le tout packagé dans une appliance. Certains firewalls proposent aussi l’utilisation de VPN SSL pour les collaborateurs, il faudra faire attention au prix de la licence par utilisateur.

Voici une bonne documentation sur Ubuntu (et tous les debian-like) qui permettra un déploiement aisé de SSL-Explorer. Il faut noter un petit bug lorsque le service démarre au lancement de la machine, l’encodage original (lors de l’installation) de caractères n’est pas pris en compte. Il suffira de rajouter les lignes suivantes dans /opt/sslexplorer-version/sslexplorer/conf/wrapper.conf (le bon encodage, UTF-8 u ISO-8859-1) :

wrapper.java.additional.1=-Dsun.jnu.encoding=ISO-8859-1
wrapper.java.additional.2=-Dfile.encoding=ISO-8859-1

Après installation, vous pourrez goûter aux joies du VPN SSL, faire des redirections vers les sites internes (Intranet), les partages réseaux internes, et vous connecter en SSH sur toutes les machines internes. Il faut noter que le VPN SSL n’est pas pour autant « très sécurisé ». Il faut appliquer une politique stricte d’authentification (authentification forte + login + mot de passe, par exemple). Le VPN SSL utilisant un client « quelconque« , on doit vérifier le contenu de celui-ci, via les scans antiviraux adéquats. En effet, un simple cheval de Troie pourrait nuire au réseau de l’entreprise.
Le VPN IPSec restera cependant toujours plus sûr lorsque l’on voudra mettre en place des liaisons plus strictes et plus contrôlées lors, par exemple, de liaison inter-sites.

3 réponses sur « Les atouts du VPN SSL – SSL-Explorer »

bonjour à tous;
j’ai installé SSL-Explorer et ça fonctionne nickel. Par contre, ce que je ne sais pas (ou j’ai pas eu encore l’occasion de le tester) c’est pour une application client/serveur (serveur en entreprise et client en nomade) est ce possible de faire fonctionner l’appli sachant qu’il n’y a aucun port spécifique pour la partie serveur. Je voudrais savoir si ça peut marcher avec un simple tunnel.
thanks

Oui avec un simple tunnel ça fonctionne parfaitement. Par exemple un tunnel SSL vers le port SSH (22), cela permet grâce à Putty (client) de se connecter sur un port spécifique en localhost, qui sera redirigé vers le serveur adéquat.

Je ne sais pas si c’est suffisamment clair 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *