Bonjour,
Je recherche un système sécurisé d'authentification pour les utilisateurs de ma société lorsqu'il voyage.
En effet, ils souhaitent avoir accès à leur mail depuis n'importe quel pc dans le monde du moment qu'il soit connecté sur internet.
De ce fait nous avons mis en place un webaccess via https (SSL).
Néanmoins, on m'oblige à trouver une sécurité supplémentaire pour finalisé ce projet.
Avez vous des idées!? si oui avez vous des noms d entreprise qui fournissent ces solutions nottament sur lyon?
Je pensais à key token ou one time password mais je ne sais aps vraiment comment cela fonctionne.
merci pour vos réponses.
système d'authentification pour des nomades
Modérateur: modos Ixus
5 messages
• Page 1 sur 1
système d'authentification pour des nomades
par shaineu » 12 Août 2006 08:39
-
shaineu - Second Maître
- Messages: 38
- Inscrit le: 09 Juil 2003 00:00
par jdh » 12 Août 2006 09:34
La question est "n'importe quel PC dans le monde, connecté à à Internet".
En fait on voit ici la différence entre le PC portable de l'employé et un "n'importe quel PC".
Dans le cas du PC portable de l'employé, la solution est un VPN entre ce PC et le réseau de l'entreprise. J'appelerai ce cas le "client VPN lourd". Il suppose qu'on installe un client VPN sur chaque PC nomade. Et il faut que ce soit l'informatique qui installe ce "client lourd". Parmi les solutions, il y a OpenVPN, tous les clients VPN de solutions commerciales de firewall, .... (Je suis au prise actuellement avec un client lourd propriétaire qui ne passe pas les équipements NAT y compris une simple Livebox !)
Dans le cas de "n'importe quel PC", il ne faut pas escompter autre chose que d'accéder à une application web, ne serait ce que parce que qu'on ignore comment elle est reliée à Internet : filtrage, nat, ... Les solutions commerciales appellent cela "VPN SSL" (aussi utilisé par OpenVPN mais un peu injustement). Le client est donc simplement le navigateur et le protocole utilisé est donc "https" (d'où SSL). On attaque un équipement qui d'abord demandera une identification : nom d'utilisateur et mot de passe, puis on accède à une application (web ou "webisé") disponible au sein du réseau de l'entreprise.
C'est le plein boum des boitiers commerciaux, extension des appliances firewall, dédiés à ce type d'accès : CheckPoint, SonicWall, et bien d'autres.
Le problème de cette solution réside dans le couple (nom d'utilisateur, mot de passe). Ce couple est "faible" s'il est statique ! Il devient plus fort avec les méthodes "one time password", "key token", "activ card", ... (RADIUS n'intervient, en définitive, à ma connaissance, que dans le stockage du couple).
Le but est de permettre un calcul de mot de passe à partir d'une clé : l'utilisateur utilise une petite calculatrice, il rentre sa clé, la calculatrive lui affiche un mot de passe calculé à partir de cette clé, mot de passe déchiffré par le boitier et validé pour cette fois ci.
Je ne connais pas de solutions opensource liées à ces solutions. Sur Lyon, je connais une société avec qui j'ai travaillé il y a quelques années avec beaucoup de satisfaction, société qui est très compétente sur les sujets de firewall, sécurité : ICT (site http://www.ict-se.fr).
En fait on voit ici la différence entre le PC portable de l'employé et un "n'importe quel PC".
Dans le cas du PC portable de l'employé, la solution est un VPN entre ce PC et le réseau de l'entreprise. J'appelerai ce cas le "client VPN lourd". Il suppose qu'on installe un client VPN sur chaque PC nomade. Et il faut que ce soit l'informatique qui installe ce "client lourd". Parmi les solutions, il y a OpenVPN, tous les clients VPN de solutions commerciales de firewall, .... (Je suis au prise actuellement avec un client lourd propriétaire qui ne passe pas les équipements NAT y compris une simple Livebox !)
Dans le cas de "n'importe quel PC", il ne faut pas escompter autre chose que d'accéder à une application web, ne serait ce que parce que qu'on ignore comment elle est reliée à Internet : filtrage, nat, ... Les solutions commerciales appellent cela "VPN SSL" (aussi utilisé par OpenVPN mais un peu injustement). Le client est donc simplement le navigateur et le protocole utilisé est donc "https" (d'où SSL). On attaque un équipement qui d'abord demandera une identification : nom d'utilisateur et mot de passe, puis on accède à une application (web ou "webisé") disponible au sein du réseau de l'entreprise.
C'est le plein boum des boitiers commerciaux, extension des appliances firewall, dédiés à ce type d'accès : CheckPoint, SonicWall, et bien d'autres.
Le problème de cette solution réside dans le couple (nom d'utilisateur, mot de passe). Ce couple est "faible" s'il est statique ! Il devient plus fort avec les méthodes "one time password", "key token", "activ card", ... (RADIUS n'intervient, en définitive, à ma connaissance, que dans le stockage du couple).
Le but est de permettre un calcul de mot de passe à partir d'une clé : l'utilisateur utilise une petite calculatrice, il rentre sa clé, la calculatrive lui affiche un mot de passe calculé à partir de cette clé, mot de passe déchiffré par le boitier et validé pour cette fois ci.
Je ne connais pas de solutions opensource liées à ces solutions. Sur Lyon, je connais une société avec qui j'ai travaillé il y a quelques années avec beaucoup de satisfaction, société qui est très compétente sur les sujets de firewall, sécurité : ICT (site http://www.ict-se.fr).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par shaineu » 12 Août 2006 09:50
Je parlais effectivement bien de n'importe quel pc dans le monde et non pas du pc portable de l'utilisateur (qui eux passent comme tu l'a dit via vpn).
Le but étant d'acceder simplement à un webmail voilà tout.
Dans le cas du one time password ou une key token j'ai essayer de lire des article, mais il me parait évident que cela fonctionne que avec un pc portable sur lequel se trouve le logiciel adéquate.
IL n'y aurait donc aucun moyen?
Le but étant d'acceder simplement à un webmail voilà tout.
Dans le cas du one time password ou une key token j'ai essayer de lire des article, mais il me parait évident que cela fonctionne que avec un pc portable sur lequel se trouve le logiciel adéquate.
IL n'y aurait donc aucun moyen?
-
shaineu - Second Maître
- Messages: 38
- Inscrit le: 09 Juil 2003 00:00
par jdh » 12 Août 2006 10:04
Un bon article pour démarrer sur le sujet : http://en.wikipedia.org/wiki/One-time_password (en anglais).
Il semble que le protocole S/KEY (RFC 1760) soit aussi un bon début. Tu peux voir des images de "calculatrices" en allant sur le lien "security token". Je trouve l'idée de clés USB très attractives car n'importe quel PC signifie aussi un port USB.
Nota : il n'y a pas besoin de logiciel : par exemple, avec un calculatrice, tu rentres ton mot de passe, elle te calcule une clé que tu substitues à ton mot de passe pour la saisie du couple (user, mdp), et ça roule ...
AMHA un boitier hardware "VPN-SSL" et une solution de type clé USB ou calculatrice semble un départ.
A suivre ... racontes nous l'avancée de ton projet.
Il semble que le protocole S/KEY (RFC 1760) soit aussi un bon début. Tu peux voir des images de "calculatrices" en allant sur le lien "security token". Je trouve l'idée de clés USB très attractives car n'importe quel PC signifie aussi un port USB.
Nota : il n'y a pas besoin de logiciel : par exemple, avec un calculatrice, tu rentres ton mot de passe, elle te calcule une clé que tu substitues à ton mot de passe pour la saisie du couple (user, mdp), et ça roule ...
AMHA un boitier hardware "VPN-SSL" et une solution de type clé USB ou calculatrice semble un départ.
A suivre ... racontes nous l'avancée de ton projet.
Dernière édition par jdh le 12 Août 2006 10:08, édité 1 fois au total.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
5 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invité(s)