Créée en 2000, Cipheroptics est une société américaine issue des laboratoires Lucent, spécialisée dans le domaine de l’encryption sur les réseaux haut-débits. Le point faible dans la sécurité d’une entreprise ne se trouve pratiquement plus à l’intérieur des murs mais lors des échanges de données vers l’extérieur. La mise en place du chiffrement à travers des tunnels VPN en IPsec peut être une solution.
Pour bien comprendre l’intérêt du produit, une explication sur le fonctionnement des VPN IPsec et leur limitation est nécessaire. Il s’agit d’un mode de protection des données qui reste très efficace. Néanmoins, pour résumer, il est assez complexe à configurer et à gérer tout en étant peu transparent pour opérer avec d’autres réseaux. Il manque de flexibilité, de performance et n’a pas de routage du trafic intelligent. Avec les réseaux basés sur IP, on utilise donc IPsec pour protéger les données ainsi qu'un gestionnaire d'échange de clés sur réseau non sécurisés (IKE).
Un tunnel sécurisé
L'IPsec a été conçu pour crypter et authentifier des paquets IP. L’IKE de son côté se charge de la gestion des clés en initiant une connexion où chaque point authentifie l’autre et la paire va négocier des clés symétriques pour la connexion. On obtient ainsi un tunnel sécurisé à travers le réseau IP. Si l’on doit communiquer entre plusieurs sites, il va falloir répéter x fois cette procédure. Cela implique de définir pour chaque connexion les algorithmes de protection, l’authentification, l’échange de clé, les adresses des passerelles ainsi que d’autres paramètres. De plus, il faut générer un certain nombre de politiques de sécurité à installer, le plus souvent manuellement, sur chaque système.
La nature même de cette connexion point à point ne permet donc pas le passage d’un trafic multicast, ou à latence faible, ou encore de gérer des flux multivoies. Il s’avère aussi très difficile de la surveiller et de détecter des erreurs. Ce besoin naturel de sécurité, par l’utilisation de tunnels IPsec, rend donc son infrastructure réseau statique, alors qu’elle se doit d’être dynamique. On augmente inutilement la complexité dans la gestion et la mise en place de son réseau. Seul le niveau 3 des réseaux – la couche IP – est prise en compte aux dépens des niveaux 2 et 4. La gestion des tables de routage devient un vrai cauchemar pour les différents administrateurs et rend l’ensemble peu extensible et évolutif. Les protocoles plus récents qui se basent sur du multicast ou du broadcast ne peuvent donc pas profiter du chiffrement.
Le cahier des charges
Partant de ces différents constats Cipheroptics s’est établi le mini cahier des charges suivant, sans réinventer la roue :
• étendre la protection IPsec au multicast et aux noeuds multiples à travers une gestion centralisée des clés distribuées et des politiques ;
• dupliquer l’information d’adressage IP en dehors de la partie chiffrée afi n de préserver les informations de routage ;
• simplifier la gestion des réseaux sécurisés en centralisant la gestion, la distribution, et la défi nition des politiques ;
• fournir une surveillance et une distribution évolutives des politiques, statuts, audits et gestion des clés sécurisées ;
• utiliser les politiques standard basées sur IPsec et les clés AES 256 bits pour apporter la possibilité de crypter sur un niveau 2 – couche Ethernet – ainsi que les niveaux 3 et 4.
Cipheroptics a pris l'option de ne crypter que ce qui doit l'être afin de laisser visibles les
en-têtes nécessaires au bon fonctionnement des réseaux et services actuels.
Cela se résume à dissocier les besoins de sécurité de ceux de l’infrastructure réseau et à décomposer l’architecture de chiffrement. Dans les faits, Cipheroptics a pris l’option de ne crypter que ce qui doit l’être afin de laisser visibles les entêtes nécessaires au bon fonctionnement des réseaux et services actuels.
Un mode de fonctionnement sur trois niveaux :
• Cipheroptics est parti des éléments standard de l’IPsec (politiques, génération de clés et cryptage) et les a dissociés en trois éléments séparés et indépendants ;
le MAP (pour Management And Policy serveur), qui vous permet de définir les politiques de sécurité de groupe. Il inclut également un outil pour configurer et mettre à jour les appliances ;
• le KAP ( Key Authority Point), qui génère et pousse les clés de chiffrement basées sur les politiques de groupe reçues du MAP ;
• les CEP (Cipherengine Enforcement Points), qui sont des appliances de chiffrement rapide, à faible latence, pouvant prendre en compte du cryptage de données sur les couches de
niveaux 2, 3 et 4.
La configuration
Une fois les boîtiers à disposition, leur installation est très simple : un port à brancher pour l’administration – se fait de manière sécurisée en TLS –, un autre pour le mode console en RS 232, un port pour les données entrantes, un autre pour celles qui sortent.
Comme toute appliance, la première action consiste à configurer les adresses IP et autres renseignements réseau et de changer le mot de passe par défaut. La documentation est bien faite pour vous aider dans vos premières démarches.
Néanmoins, il ne faut pas se précipiter dans la mise en oeuvre de vos nouveaux boîtiers. Il est important de se poser les bonnes questions au préalable, ou va-t-on placer les boîtiers dans son réseau existant ? Avant ou après son routeur/firewall ? Quelles parties de mon réseau je veux crypter ? Bref, vous avez intérêt à passer par un intégrateur qui pourra vous conseiller au mieux pour cette première fois. En fonction de la topologie et de vos besoins et aussi pour vous exposer la logique de confi guration des politiques de sécurité. Cette aide nous semble indispensable. Si vous décidez d’y aller tout seul, deux petites choses à savoir, l’insertion d’un boîtier Cipheroptics impliquera une interruption de votre trafic réseau de quelques secondes, le temps de l’insérer et de le démarrer. Par défaut le boîtier est réglé en mode bypass.
Il est de toute façon préférable de préconfigurer les boîtiers sur votre site principal et d’y implémenter au moins une politique afin que les boîtiers puissent se synchroniser entre eux une première fois. Vous aurez donc la possibilité de générer au préalable toute votre configuration et ensuite de faire expédier sur vos différents sites les boîtiers correspondants. Vous y gagnerez en temps de configuration.
Installer le MAP
Lorsque cette configuration de base des appliances est effectuée, il vous faudra installer le MAP qui consiste en une application Windows appelée CipherView. Une fois connecté à l’application, il faut commencer par la configuration des différents boîtiers CEP composant votre infrastructure de chiffrement. Il suffi t donc de donner les informations réseau permettant de se connecter aux boîtiers et pour chacun d’eux de configurer les fonctions. C’est à ce moment qu’il vous faudra choisir entre chiffrer sur du niveau 2 ou sur les 3 et 4. Ce n’est pas un choix définitif, on peut revenir dessus si l’on décide de travailler sur Internet et non plus sur un réseau de niveau 2 comme MPLS. Étape suivante, mettre en place la partie KAP, la gestion des clés et la transmission des politiques vers les boîtiers. Deux possibilités, soit installer le KAP sur une machine différente du MAP ou bien sur la même. Si vous le désirez, vous pouvez configurer un KAP de secours qui se synchronisera sur le premier.
Politiques de sécurité
Définition des politiques de sécurité.
On peut enfin passer à la partie configuration des politiques. Dans la partie MAP vous allez définir les différents sous-réseaux existants sur vos différents sites et les associer aux boîtiers correspondants, on crée alors ce qu’on appelle des Network Sets. Une fois cette étape franchie, il ne reste plus qu’à définir des politiques parmi celles qui s’offrent à vous dans la liste déroulante.
Vous pouvez, par exemple, créer une politique de cryptage sur un réseau maillé sur la couche de niveau 2 et décider d’encrypter tout le trafic, ou alors uniquement le trafic qui utilise des VLAN ID spécifiques. Vous donnez un nom à cette politique, vous lui attribuez un niveau de priorité pour gérer l’ordre de passage des règles. Si la première règle ne s’applique pas, il passera à la suivante jusqu’à celle qui s’appliquera. Il faut bien faire attention à cet ordre de priorité pour ne pas avoir de trou de sécurité. Vous définissez le temps de vie et de renouvellement des clés, puis le type de règle à appliquer – bloquer, laisser passer, crypter… On peut donc ici décider de bloquer tout autre trafic que celui qui est encrypté, ou alors ne crypter que les paquets qui viennent d’un sous-réseau et laisser passer le trafic provenant d’autres sous-réseaux. Il suffit maintenant de définir à quels boîtiers CEP cette politique doit s’appliquer. On sauvegarde, on déploie et c’est fini.
Pour une politique de niveau 3, quelques champs supplémentaires sont à renseigner, comme l’algorithme de chiffrement (AES par défaut) et celui d’authentification (par exemple SHA1), ainsi que d’autres points plus spécifiques.
Le MAP consiste en une application Windows appelée CipherView.
Voilà ; rien de bien compliqué. Le pari est gagné. Fini les galères liées à la configuration et surtout à la gestion de VPN IPsec. À partir d’une console centralisée, vous gérez en quelques clics le chiffrement sur l’ensemble de vos sites. Tout en ayant une solution transparente et efficace. L’administrateur sécurité peut tout surveiller et être averti en cas de problème sur un boîtier, d’une erreur, d’un déploiement de politiques incomplet. Un outil permet d’éditer des rapports. Vous pouvez enfin crypter de la vidéo multicast et de la VoIP sans problème de latence ou de jitter. Vous n’avez plus à subir les limitations d’une solution VPN IPsec.
Cipheroptics apporte ici une solution compétitive, surtout en vue des coûts cachés liés à la gestion des VPN IPsec, avec en plus une facilité déconcertante de mise en oeuvre et d’administration.
Pour en savoir plus
Nous vous encourageons à visiter le site de Cipheroptics pour plus
d’informations et de détails, notamment en lisant leur CipherEngine
Whitepaper.
Lien utile :
www.cipheroptics.com