> Tech > TCP/IP pour AS/400 : Quoi de neuf en 99 ?

TCP/IP pour AS/400 : Quoi de neuf en 99 ?

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

La V4R4 améliore nettement TCP/IP pour AS/400 : des VPN de grande classe, un SSL étendu et de meilleures performances Vous avez un secret que vous tenez à  conserver jalousement. Jusqu'à  présent, vous ne pouviez donc pas transmettre ce secret à  un partenaire sur Internet depuis votre AS/400, en tout cas pas sans acheter du matériel de sécurité supplémentaire. Et voici que la V4R4, grâce à  son support des VPN (Virtual Private Networks, ou réseaux privés virtuels) fondé sur les standards, change tout cela. On peut désormais établir des connexions privées sécurisées avec des AS/400 à  distance ou tout autre système compatible avec le standard VPN IP Security (IPsec). Toujours avec cette version, IBM a considérablement amélioré les performances et corrigé quelques problèmes, mineurs mais persistants, qui grevaient certaines fonctions TCP/IP. Bien que l'OS/400 soit sur le point de rattraper son retard en matière de fonctionnalités TCP/IP, il lui manque encore une poignée d'importantes fonctions. Prenez connaissance ci-après des bons et des mauvais points de cette dernière release. Vous saurez ainsi quelles tâches peuvent être confiées en toute sécurité à  l'AS/400, et lesquelles ont encore besoin de l'appui des autres.

La
V4R4 procure à  TCP/IP pour AS/400 les ajouts et modifications dont la liste
suit : 

  • L2TP
    (Layer 2 Tunneling Protocol)
    pour établir des liaisons virtuelles point
    à  point sur Internet

  • IPsec
    (IP Security)
    pour le cryptage de clés publiques des liaisons L2TP

  • Telnet
    SSL (Secure Sockets Layer) pour établir des sessions de terminal
    interactives cryptées

  • améliorations
    des performances TCP/IP grâce à  des modifications de son architecture

  • ISAKMP
    (Internet Security Association Key Management Protocol)
    pour échanger
    en toute sécurité des clés de cryptage sur des connexions douteuses

  • Serveur
    IKE (Internet Key Exchange)
    pour l’administration centralisée des clés
    de cryptage publiques et des certificats numériques

  • ajout
    à  Operations Navigator (OpsNav) d’assistants de configuration TCP/IP pour
    Frame Relay, ATM (Asynchronous Transfer Mode) et PPP (Point-to-Point
    Protocol)

  • amélioration
    du support et de la sécurité de SMTP (Simple Mail Transfer Protocol)

  • amélioration
    de FTP (File Transfer Protocol) client et serveur

  • amélioration
    de Telnet en matière de performances et de reprise après erreur

  • TCP/IP
    via OptiConnect
    pour établir des canaux TCP/IP à  haute bande passante
    entre des systèmes AS/400

           
Parallèlement à  l’explosion du commerce électronique sur Internet, on
voit se généraliser la connectivité inter-entreprises sous la forme de réseaux
privés virtuels. Les connexions client/serveur sûres ne suffisent plus. Pour
se déployer dans de bonnes conditions, le commerce électronique nécessite
trois autres types de protection : serveur/serveur, serveur/réseau et réseau/réseau.
L’AS/400 n’acceptait jusqu’ici que des connexions VPN de type réseau à  réseau,
et uniquement avec le firewall physique basé sur l’INS (Integrated Netfinity
Server) d’IBM (précédemment connu sous le nom d’IPCS, ou Integrated PC Server,
PC Serveur Intégré en français). L’OS/400 a besoin des fonctionnalités VPN
d’IPsec et de ses fonctions connexes. Or, la V4R4, non seulement permet
d’utiliser les VPN sans matériel supplémentaire, mais simplifie aussi leur
administration grâce à  OpsNav. 

           
S’il est vrai que les releases d’OS/400 précédentes supportaient le
cryptage SSL pour des connexions HTTP (Hypertext Transport Protocol) sécurisées
entre un serveur Web AS/400 et des browsers clients, d’autres services clients,
comme Telnet, FTP et Client Access, acceptaient encore des compromis. A tout le
moins, Client Access cryptait l’identification et le mot de passe utilisateur de
signon, servant à  établir la connexion de base, mais cela n’empêchait pas
des intrus d’intercepter le trafic au niveau session pour tous les protocoles
non HTTP, au moment où ils empruntaient Internet. Pour assurer l’intégrité et
la sécurité du système, les administrateurs d’AS/400 évitaient d’utiliser
ces services sur des réseaux vulnérables. La V4R4 ajoute SSL à  Telnet et à 
Client Access et met ainsi le protocole SSL à  la disposition d’autres services,
grâce à  de nouvelles API. IBM a également renforcé la sécurité TCP/IP en
ajoutant le support pour ISAKAMP et IKE server (expliqués plus en détail un
peu plus loin) à  l’OS/400.

           
Il est vrai qu’IBM a, dans les dernières releases, constamment amélioré
les performances de TCP/IP, tout d’abord en réécrivant entièrement la pile de
protocoles, puis en ajoutant des IOP (processeurs d’I/O) de communication
personnalisés, et en confiant au matériel une partie du traitement TCP/IP.
Pour la V4R4, IBM a étudié le flux de données TCP/IP au travers des IOP et
diverses couches de code OS/400, et a restructuré le code en conséquence, pour
diminuer le temps de latence, c’est-à -dire le temps que met un paquet pour
passer au travers du code TCP/IP pour OS/400. Il y a aussi un microcode optimisé
pour un matériel Ethernet spécifique, doublant ainsi les performances de TCP/IP
sur le matériel concerné.

           
La facilité d’utilisation reste un atout commercial de l’AS/400, mais de
récentes améliorations sont venues compliquer la configuration de TCP/IP
jusqu’à  la rendre maîtrisable par les seuls super spécialistes. C’est
pourquoi la V4R4 s’est dotée d’un assistant de configuration EZ (EZ-setup
wizard) pour simplifier la configuration de base, avec une section
d’installation de TCP/IP pour les interfaces les plus courantes (Token-Ring et
Ethernet). En ajoutant des assistants de configuration ATM, frame relay et PPP
à  OpsNav, la V4R4 simplifie l’administration.

           
Des coups de pouce à  SMTP, FTP et Telnet ainsi que la prise en charge de
TCP/IP par OptiConnect, le produit de connectivité fibre optique d’IBM, parachèvent
les améliorations de TCP/IP en V4R4. Manquent encore les fonctions suivantes
(signalées comme AWOL dans l’article "Le TCP/IP de l’AS/400 gagne du
terrain"), NEWSMAGAZINE, novembre 1998) :
 

  • un DNS (Domain Name System) dynamique, établissant la correspondance
    entre les adresses IP attribuées par DHCP (Dynamic Host Configuration Protocol)
    et les noms servis par DNS

  • la possibilité pour l’OS/400 d’obtenir sa propre adresse d’un
    serveur DHCP, pour simplifier le déploiement de l’OS/400 dans de petits groupes
    de travail

  • le routage OSPF (Open Shortest Path First), qui remplace RIP (Routing
    Information Protocol), et permet au routeur de mieux répondre aux évolutions
    technologiques du réseau et d’assurer la sécurité des réseaux reliés à 
    Internet

  • le support de RADIUS (Remote Authentication Dial-In User Service) pour
    authentifier les signon AS/400 et participer à  des réseaux contrôlés par
    RADIUS

La
dernière fonction de la liste, le support de RADIUS, est proposée dans un
produit tiers, Sentinel/400, de Better On-Line Solutions (pour plus
d’informations, voir "Sentinel/400 1.1", NEWS/400, septembre 1998).
Les trois autres fonctions, pour lesquelles il n’existe pas de solution tierce
partie, demeurent nécessaires pour faire de l’AS/400 une plate-forme TCP/IP à 
part entière.

           
Malgré ces lacunes, les améliorations apportées aux sécurités par la
V4R4 procurent pratiquement toutes les fonctionnalités qu’exige le commerce
électronique moderne. Après examen détaillé de chacune de ces nouvelles
fonctions, vous serez prêt à  faire votre entrée dans les VPN.
 

Téléchargez gratuitement cette ressource

Comment cerner la maturité digitale de votre entreprise ?

Comment cerner la maturité digitale de votre entreprise ?

Conçu pour les directions IT et Métiers, ce guide vous permettra d'évaluer précisément vos processus de communication client, d'identifier vos lacunes et points d'inflexion pour établir un plan d’actions capable de soutenir durablement votre évolution. Bénéficiez maintenant d'une feuille de route complète.

Tech - Par iTPro.fr - Publié le 24 juin 2010