|
Le premier rôle d’un serveur placé en entrée d’un réseau local est de filtrer l’accès. Ce rôle est assumé par un logiciel pare-feu ou firewall. C’est ce logiciel qui se charge de fermer l’accès à l’ensemble des ports IP, puis d’ouvrir la communication de façon sélective sur certains ports ou sur certains services (http, ftp, icq, aim, etc). C’est grâce au pare-feu, par exemple, qu’une entreprise peut bloquer l’accès de ses salariés aux services de chat. Toutefois, si le firewall est la brique logicielle de base de la sécurité, il n’est pas autosuffisant et son action doit être complétée ou modulée par d’autres outils. Or c’est la superposition de ces outils qui rend l’architecture de sécurité si délicate à gérer.
L’offre Serv’Obox simplifie la gestion de cette architecture en apportant l’ensemble des outils nécessaires, déjà intégrés de façon cohérente. Elle est construite autour d’un firewall évolué, doté de la fonction stateful packet inspection. Cette fonction garantit qu’une transaction réseau intervenant sur un port ou un service autorisé, ne puisse donner lieu à une intrusion. C’est donc sur un firewall particulièrement robuste que l’ensemble de l’architecture de sécurité de Serv’Obox est construite.
Comment faire pour pénétrer un réseau, lorsque l’on se trouve face à un firewall convenablement configuré ? Si la porte est fermée, un pirate avisé passera par la fenêtre. Autrement dit, il fera usage des failles de sécurité existant dans les logiciels utilisés par l’entreprise. Un administrateur réseau prudent mettra donc régulièrement ses logiciels à jour pour éliminer, autant que possible, les failles menaçant l’intégrité de son réseau. Mais la tâche est délicate. Car les logiciels utilisés aujourd’hui font fréquemment usage d’autres logiciels connexes en arrière-plan. Le gestionnaire de base de données mySQL est un bon exemple d’outil auquel de nombreux logiciels ont recours en tâche de fond. Faut-il faire la chasse aux failles de sécurité dans tous ces outils ?
Serv’Obox propose une alternative, grâce à un système de détection d’intrusions mettant à profit une base de données de toutes les signatures d’attaques recensées. Le réseau local placé derrière une Serv’Obox est donc protégé de ces attaques. Cette base maintenue à jour au centre technique d’O2i contient à l’heure actuelle plus de 2600 signatures d’attaques. Une ressource d’une grande utilité, car si un logiciel comme mySQL contient 3 failles recensées, la base de données Oracle en contient pas moins de 298 ! Mentionnons enfin que le système de détection d’intrusions de Serv’Obox garde trace de toutes les tentatives d’attaques dans un journal, ce qui permet un suivi précis des incidents.
Filtrer le contenu Internet
Laissez à vos salariés un accès totalement libre à Internet, depuis l’intérieur de l’entreprise, et il est bien possible que la justice vienne un jour vous demander des comptes. Une mésaventure bien réelle pour plusieurs entreprises françaises qui ont été jugées responsables des agissements de leurs salariés sur leur lieu de travail (on se souvient de l’affaire impliquant Lucent France il y a deux ans). Anecdotiques ou non, ces condamnations montrent que face à une législation imprécise et à une jurisprudence souvent contradictoire, il est prudent d’anticiper les difficultés. Attention toutefois, car une surveillance trop appuyée expose les mêmes entreprises à des condamnations pour non-respect de la sphère privée…
La réponse : filtrer le contenu. L’offre Serv’Obox assure plusieurs degrés de filtrage des données entrantes (pages Web consultées et fichiers téléchargés). Le premier s’appuie sur une liste d’URL de sites Web jugés inopportuns, répartis en différentes catégories (violence, racisme, pornographie, etc). Ce filtrage s’appuie sur une base de 30 millions d’URL identifiées, installée au centre technique d’O2i et maintenue à jour grâce à un abonnement à une base mondiale. Les clients équipés de Serv’Obox bénéficient automatiquement l’accès à cette base. En complément, l’offre Serv’Obox comporte un applicatif en mesure d’analyser le contenu des paquets IP entrants et d’assurer un filtrage des pages Web consultées, à l’aide d’un algorithme spécifique. Mentionnons également que le trafic P2P peut être contrôlé directement par l’administrateur réseau de l’entreprise, qui choisira lui-même quels services il souhaite autoriser ou interdire (BitTorrent, KaZaA, eDonkey, SoulSeek, etc). Une liste des services existants est tenue à jour au centre technique d’O2i.
Contrôler la bande passante
Le développement des infrastructures haut débit en France a ouvert de nouvelles opportunités de connexion Internet aux entreprises comme aux particuliers. Mais il a également accentué le déséquilibre entre les débits accessibles dans les grandes villes et dans les zones moins bien desservies du territoire. Une entreprise souhaitant s’assurer que l’ensemble de ses clients peut accéder à ses serveurs avec un débit suffisant (on songera notamment aux imprimeurs, dont les clients remettent leurs documents par voie électronique), quelle que soit leur localisation géographique, doit donc prendre un certain nombre de précautions. Comment faire en sorte qu’un correspondant disposant d’un accès à très haut débit ne monopolise pas l’essentiel de la bande passante disponible au détriment des autres clients ?
Serv’Obox apporte une solution basée sur un contrôle du partage de la bande passante. L’administrateur réseau est en mesure de spécifier quel débit doit être affecté à quel service. Ainsi, les téléchargements de fichiers réalisés par les clients vers le serveur FTP de l’entreprise sont plafonnés à un débit donné et ne peuvent plus monopoliser la bande passante au détriment des autres flux de données. Un principe similaire, s’appuyant cette fois-ci sur les adresses IP, garantit qu’un correspondant ne monopolisera pas à lui seul la bande passante disponible pour un service donné.
Assurer la gestion multi-liens
Quelle est la meilleure stratégie réseau ? L’entreprise doit-t-elle acheminer ses données numériques par un tuyau de grand diamètre ou par plusieurs tuyaux de diamètre plus réduit ? Les arguments abondent en faveur de la seconde approche. Pour une question de sécurité, mais également pour une question de coût. En adoptant plusieurs canaux en parallèle, on répartit les risques. Par ailleurs, associer plusieurs liaisons ADSL ou SDSL est nettement plus économique que de payer une coûteuse liaison louée. Mais encore faut-il pouvoir gérer ces différents canaux de façon transparente.
C’est l’objectif de la fonction de gestion multi-lien disponible en option sur Serv’Obox. Grâce à elle, il est possible de partager le trafic réseau entrant et sortant entre quatre liens fonctionnant en parallèle. Chaque service géré par le serveur est affecté à un lien donné. Ainsi, il est possible de diriger les applications métier de l’entreprise vers des liaisons fiables de type SDSL (par exemple, la gestion d’un flux d’images sur serveur WebNative, ou le téléchargement FTP, dans le cas d’un imprimeur). Les flux non-critiques, comme le trafic mail ou Web, sont alors dirigés vers des liaisons ADSL, plus économiques. Par ailleurs, un principe de redondance, ou fail over, permet en cas de panne sur un lien, de basculer automatiquement son trafic vers un lien valide.
Créer une zone d’accès libre (DMZ)
Un réseau informatique n’est pas une île déserte. Il doit être accessible aux partenaires et clients de l’entreprise, souhaitant faire parvenir des fichiers à des correspondants en interne ou simplement consulter le site Web de l’entreprise s’il est hébergé localement. Mais encore faut-il être en mesure d’ouvrir un accès à des tiers, sans compromettre la sécurité générale du réseau.
Serv’Obox propose de créer une DMZ (à traduire littéralement par zone démilitarisée), qui est une zone logique du réseau placée en dehors de l’influence des outils de protection du réseau principal. On y place typiquement les applications métier de l’entreprise : serveur d’images, serveur FTP, serveur Web ou serveur de caourrier électronique, par exemple.
Cette partie du réseau est isolée du réseau principal. Ce dernier est donc invisible depuis la DMZ. Par contre, la DMZ est accessible en local par les collaborateurs de l’entreprise. Les fichiers transmis par un client ou partenaire sont donc à la portée des opérateurs en interne. La DMZ associe donc deux avantages clés :
- le niveau de sécurité qu’apporterait un réseau physiquement séparé.
- la souplesse et la bande passante d’un réseau local.
|
|
Intercepter les virus et le spam
Identifier et signaler les virus susceptibles de se glisser dans les pièces jointes associées à du courrier électronique est une des fonctions clé d’un serveur en entrée d’un réseau local. Toutefois, gérer cette opération sur le serveur lui-même n’est pas sans inconvénients. En premier lieu, la fréquence à laquelle de nouveaux virus voient le jour impose un programme de mise à jour du logiciel anti-virus particulièrement rigoureux. Par ailleurs, le contrôle du courrier électronique entrant est une tâche gourmande en ressources processeur (décompression des pièces jointes avant traitement, contrôle en temps réel, etc).
C’est pourquoi O2i a choisi d’assurer cette opération directement au niveau du centre technique, suivant un modèle ASP. Ainsi, le courrier destiné à l’entreprise passe en premier lieu par le centre technique, avant d’être réacheminé après traitement vers la Serv’Obox de l’entreprise. Un trafic important peut ainsi être traité sans ralentir les performances de la Serv’Obox. Par ailleurs, le logiciel anti-virus étant tenu à jour en temps réel, le délai entre l’identification d’un nouveau virus et la disponibilité pour l’entreprise de l’anti-virus correspondant est réduit au minimum. Le même principe s’applique au filtrage anti-spam, qui fonctionne lui-aussi en ASP.
Accepter les connexions distantes
La mode est au télétravail et aux salariés nomades. Un progrès pour l’entreprise et ses collaborateurs, mais bien souvent une cause de tracas supplémentaires pour les administrateurs réseau, chargés d’ouvrir un accès distant à ces salariés mobiles sans compromettre la sécurité du réseau.
La solution passe par la mise en place d’un VPN. Une solution d‘autant plus souple que des clients VPN, permettant d’établir une connexion distante, sont disponibles en standard dans les environnements Windows, Mac OS X et Unix. Il n’est donc pas nécessaire de prévoir des outils de connexion spécifiques.
L’offre Serv’Obox comporte un accès VPN en standard. Par ailleurs, le paramétrage des comptes et la gestion des connexions ont fait l’objet d’un effort particulier de la part des équipes d’O2i chargées de la mise au point de l’interface. Si le paramétrage d’un accès VPN est, le plus souvent, une opération complexe, nécessitant une certaine maîtrise technique, l’ouverture d’un compte à l’aide de l’interface Serv’Obox se limite à l’indication d’un nom et d’un mot de passe.
Héberger le site Web de l’entreprise
Serveur Web, serveur de nom de domaine, serveur FTP, serveur de courrier électronique : autant de services rendus traditionnellement par les hébergeurs. Si le coût de ces services n’est généralement pas démesuré, est-il utile de payer à l’extérieur une prestation qu’un serveur performant est en mesure d’assurer en local ?
L’offre logicielle incluse sur Serv’Obox comprend notamment un serveur Web, un serveur de courrier électronique et, en option, un serveur FTP. Le site Web de l’entreprise peut donc être hébergé en local au sein de la DMZ créée sur le réseau. Le site est alors librement consultable sur Internet.
Mais l’avantage d’un hébergement assuré en interne ne s’arrête pas là. Si le serveur Web est installé sur la section principale du réseau (hors DMZ), il peut gérer un Intranet sécurisé, destiné aux seuls collaborateurs de l’entreprise et protégé de toute consultation depuis l’extérieur.
L’hébergement du nom de domaine est réalisé au niveau du centre technique d’O2i. Le relais entre le centre technique et le serveur Web sur Serv’Obox est assuré à l’aide d’adresses IP dynamiques. L’entreprise n’est donc pas tenue de souscrire à une adresse IP fixe, nettement plus coûteuse.
Héberger le serveur de courrier électronique de l’entreprise
Au-delà des économies réalisées en assurant soi-même une opération confiée jusque-là à un prestataire extérieur, l’hébergement d’un serveur de courrier électronique apporte plusieurs avantages clés. En premier lieu, il n’existe aucune limite quand au nombre de comptes de courrier électronique que l’on est en mesure de créer et d’administrer. Par ailleurs, les messages envoyés en interne, d’un collaborateur à l’autre, voyagent sur le réseau local. Ils atteignent leur destinataire plus rapidement et l’envoi de fichiers volumineux en pièces jointes ne pose pas les mêmes problèmes que sur Internet. Enfin, les messages voyageant en local ne peuvent être interceptés de l’extérieur.
Toutefois, la gestion d’un serveur de mail est plus complexe qu’il n’y paraît. En particulier, le paramétrage de la fonction de relais (le transfert de courrier pour le compte de serveurs tiers) est une fréquence source d’erreurs. Il faut savoir qu’un serveur placé en mail relay sans protection sur Internet est généralement détecté et utilisé frauduleusement en moins de 6 heures. La consommation de ressources processeur et de bande passante n’est pas le seul danger. L’utilisation détournée d’un serveur de mail expose son propriétaire à une inscription sur liste noire, comme serveur de spam…
Le serveur de courrier électronique embarqué sur Serv’Obox est paramétré et géré directement par le centre technique d’O2i, pour prévenir des conséquences d’une éventuelle erreur de paramétrage. Mentionnons aussi qu’une sauvegarde du contenu du serveur est assurée de façon automatique au niveau du centre technique. En cas d’incident impliquant le serveur de mail sur la Serv’Obox de l’entreprise, le courrier est donc rapidement récupéré.
Fluidifier les transferts de fichiers
À l’heure du haut débit, on serait tenté de considérer l’envoi de messages comportant des pièces jointes volumineuses comme un avantage acquis. Mais dans la pratique, les fournisseurs d’accès limitent la capacité des boîtes de mail. Les messages de plus de 5 Mo sont donc généralement filtrés. Ceux qui parviennent malgré tout à passer sont la cause de fréquentes erreurs de réception.
Une solution souvent conseillée : mettre en place un serveur FTP. Mais des contraintes existent. L’expérience montre en effet que l’utilisation d’un client FTP pour se connecter sur le serveur n’est pas une opération maîtrisée par tous. Par ailleurs, le filtrage du trafic FTP par les outils de protection du réseau peut être une cause de soucis.
C’est pourquoi O2i a choisi de doter l’offre Serv’Obox du logiciel Big Mailer (une option à ajouter à la configuration de base). Ce logiciel facilite l’échange de fichier volumineux, grâce aux outils habituels (navigateur Web et logiciel de courrier électronique) auxquels s’ajoute une simple application Java, que l’administrateur réseau distribue librement aux correspondants de son entreprise. Pour ces derniers, l’opération se limite à l’envoi d’un message avec la référence des documents inclus en pièce jointe. Les documents viennent prendre place sur le serveur, fonctionnant sur la Serv’Obox ou au centre technique d’O2i, où ils sont accessibles aux destinataires grâce à un navigateur Web. Toutes les opérations sont consignées dans un registre électronique, ce qui ouvre la voie à une vraie traçabilité des échanges de documents.
La gestion des mises à jour sur un serveur de type Serv’Obox est un travail qu’il ne faut pas sous-évaluer. Rappelons que les logiciels du monde Linux, en particulier les composants open source, connaissent un cycle de mise à jour extrêmement rapide : une à deux fois par mois, en moyenne. Soit plus de deux mises à jour quotidiennes, pour un administrateur de Serv’Obox qui choisirait d’assumer lui-même ce travail.
La tâche est d’autant plus délicate que les mises à jour doivent être validées au préalable : d’abord sur un critère de sécurité (n’existe-t-il pas des nouvelles failles dans la mise à jour proposée ?), puis sur un critère de fonctionnalités (la mise à jour apporte-t-elle des nouveautés qui me concernent ?), enfin sur un critère de compatibilité (la mise à jour est-elle compatible avec les autres logiciels de ma configuration ?).
La mise à jour régulière des éléments logiciels composant l’offre Serv’Obox est assurée par le centre technique d’O2i, le plus souvent par télémaintenance. Cette mise à jour porte sur les éléments suivants :
- le logiciel serveur lui-même (noyau Linux, distribution Red Hat et firewall).
- les applicatifs embarqués
- les listes d’URL proscrites, pour le filtrage du contenu Web
- les listes de signatures d’attaques, pour la détection des intrusions
Rappelons que l’antivirus installé au centre technique et intervenant à distance sur les configurations Serv’Obox est lui aussi tenu à jour en temps réel. Toutes les mises à jour sont préalablement validées. Un tel service, on l’aura compris, est envisageable lorsqu’il est mutualisé, mais ne saurait être assumé en interne par une PME.
|
