Sécurité de la passerelle ENC. CA Technologies 12.9

Sécurité de la passerelle ENC

Sécurité de la passerelle ENC

La passerelle ENC permet des communications sécurisées à travers des pare-feux grâce aux mécanismes de sécurité suivants :

■

Authentification

■

Tous les noeuds de la passerelle ENC (clients, gestionnaires, serveurs et routeurs) doivent s'authentifier mutuellement, à l'aide de la sécurité de la couche de transport (TLS) qui n'est autre qu'une version mise à jour de SSL. Cette méthode d'authentification requiert l'installation de certificats à l'aide de Microsoft PKI ou autre élément similaire.

Autorisation

Toutes les passerelles ENC sont configurées à l'aide d'un ensemble de règles qui définissent qui est autorisé à faire quoi, à quel moment et à qui. Cela se présente sous la forme suivante :

■

Appartenance au domaine de noeuds (analogues aux groupes NT mais fonctionnant sur d'autres réseaux)

■

Liste blanche des adresses IP Cette liste regroupe les adresses IP autorisées à

établir des connexions à la passerelle ENC.

■

Autorisez ou refusez des règles pour chaque opération de la passerelle ENC, telles que la connexion, l'enregistrement, etc., en fonction de l'appartenance au domaine, du moment de la journée, etc.

■

Périodes

Lors de sa première installation, la passerelle ENC est verrouillée. Elle ne possède aucune règle d'autorisation et refuse ainsi toutes les connexions. Ce procédé est approprié du fait que ces serveurs sont généralement tournés vers Internet. Cela peut engendrer des problèmes car Client Automation est utilisé pour maintenir les règles d'autorisation, et un gestionnaire de domaine peut être déconnecté de l'ordinateur qui exécute la passerelle ENC par un pare-feu. Les étapes qui s'y rapportent sont décrites dans la section Scénarios de déploiement.

Authentification

Les deux extrémités d'une connexion sécurisée valident (authentifient) le certificat de leurs homologues (authentification mutuelle), y compris l'autorité émettrice du certificat.

Pour cela, les deux parties doivent avoir confiance en l'autorité tierce émettrice du certificat. L'ENC utilise le fournisseur Microsoft SCHANNEL TLS complété par la bibliothèque WinTrust afin de garantir la confiance du certificat. La confiance des certificats de la racine et (éventuellement) des certificats intermédiaires est fournie par le système d'exploitation à l'aide du magasin de certificats et des API.

Chapitre 12: Connectivité du réseau étendu (ENC) 471