> Mobilité > Dossier Mobilité : Introduction à  Microsoft DirectAccess (1/2)

Dossier Mobilité : Introduction à  Microsoft DirectAccess (1/2)

Mobilité - Par Olivier Detilleux - Publié le 20 mai 2011
email

Depuis quelques années, le modèle traditionnel du système d’information des entreprises évolue. De nouvelles méthodes de travail - en particulier le nomadisme, l’avènement de l’externalisation ou l’émergence des services positionnés dans le « nuage » - obligent les entreprises à ouvrir de plus en plus les frontières de leurs réseaux.

Ces ouvertures sont souvent perçues comme des failles de sécurité pour les ressources de la zone de confiance de l’entreprise. Pour répondre à ces nouveaux besoins en limitant les risques de vulnérabilités, le modèle classique du système d’information doit évoluer. Nous allons voir dans cet article quelle peut être une nouvelle vision du réseau de l’entreprise, et comment Microsoft DirectAccess s’inscrit comme une solution qui répond à ces problématiques.

Dossier Mobilité : Introduction à  Microsoft DirectAccess (1/2)


L’architecture

Construit autour des serveurs d’infrastructure et d’applications, le périmètre de confiance du système d’information englobe non seulement les ressources mais aussi les utilisateurs. Afin de leur donner accès au monde extérieur qui, par définition, est non sécurisé, cette zone est protégée par des dispositifs de filtrage et de blocage, les firewalls et les proxys. Les administrateurs réseaux veillent avec attention aux ouvertures de ports et de flux dans ces équipements.

Une zone d’échange dite « sécurisée » au niveau réseau est mise en place pour permettre aux utilisateurs nomades d’accéder à certaines ressources de l’entreprise. Cette DMZ, isolée du réseau interne, permet de filtrer les communications transitant entre l’extérieur et l’intérieur.

La sécurité

En interne, tous les moyens sont mis en place pour limiter les risques et assurer la sécurité des ressources : antivirus, mises à jour automatiques et des applications, droits sur les fichiers ou les applications, authentification de l’utilisateur via l’annuaire Active Directory, renouvellement de mot de passe, utilisation d’un proxy pour le filtrage d’URL ou l’analyse des flux HTTPs. La sécurité englobe la couche réseau et la couche applicative.

Depuis l’extérieur, la sécurité est toute autre. Le passage par la DMZ, volontairement peu permissive, ne prend en général pas en compte la sécurité applicative, ne permettant souvent qu’une sécurité au niveau du réseau. Microsoft propose, dans ses solutions d’accès distant, une couche de sécurité applicative, en particulier dans la nouvelle passerelle Forefront UAG (Unified Access Gateway).

Les méthodes d’accès depuis l’extérieur

A chaque besoin est associée une solution d’accès distant. En voici quelques-unes, fondées sur les technologies Microsoft :

Besoins

Solutions

Apports

Accès réseau à des ressources internes

VPN SSL via les services RRAS

Accès à des ressources situées dans la zone de confiance

Accès à un poste de travail virtuel  (VDI)

Passerelle Remote Desktop

L’utilisateur retrouve son environnement d’entreprise

Accès à la messagerie via le client lourd Outlook 2003 ou supérieur

RPC over https

Authentification transparente, intégrée

Accès à une application client lourd ou Web

Publication via Forefront UAG

Sécurité applicative possible


Toutes ces solutions sont performantes, et permettent un accès sécurisé tant au niveau réseau qu’au niveau applicatif pour certaines. Néanmoins, la solution RPC over HTTP mise à part, chacune d’entre elle Une action manuelle de la part de l’utilisateur final (via une interface de connexion) pour établir la connexion.

Les limites du modèle

Nous avons évoqué précédemment les limites de la DMZ réseau, qui n’offre souvent qu’une protection réseau et non pas applicative. Nous avons vu aussi que Microsoft ajoute la couche manquante grâce à sa passerelle d’accès distant, Forefront UAG. Néanmoins, ce que le modèle ne peut assurer, c’est le suivi, le support et l’intégrité du poste nomade.

Quand le poste n’est plus dans la zone de confiance, il n’est plus possible pour l’utilisateur d’appliquer les stratégies de groupes ou encore de mettre à jour son mot de passe. Il ne bénéficie généralement plus des services fournis par son proxy. Pour l’administrateur système, il n’est plus possible de superviser le poste, de prendre la main à distance, ou de le verrouiller en cas de vol. En d’autres termes, le poste est hors contrôle.

Téléchargez gratuitement cette ressource

11 Attaques de Phishing Etudes & Réponses

11 Attaques de Phishing Etudes & Réponses

Pharming, Smishing, Vishing, autant de dénominations spécifiques pour caractériser des attaques par phishing divers et variées… dans ce nouveau Guide de sécurité des données et des terminaux, les experts Webroot et Carbonite décortiquent 11 attaques types de Phishing. Découvrez comment les reconnaître en détails pour mieux les affronter et vous en prémunir avec des solutions de sécurité avancées.

Mobilité - Par Olivier Detilleux - Publié le 20 mai 2011