NCP Secure Enterprise Management

Fiche technique
NCP Secure Enterprise Management, SEM
VPN à gestion centralisée –
Fonctionnement entièrement automatique d'un
VPN à accès à distance via une seule console
 Pour un déploiement et une exploitation en toute
simplicité d'infrastructures bénéficiant d'un accès à
distance sécurisé
 Création centralisée de la configuration client
 Changements de configuration à la demande
 Effort de gestion minimal
 Diminution des appels au support technique
 Besoins limités en formation et documentation
 Intégration dans n'importe quelle infrastructure IT
existante
 Plus de 29 ans d'expérience dans le domaine de
l'accès à distance
 Serveur RADIUS intégré
Présentation
NCP se concentre sur le développement de logiciels
innovants depuis plus de 25 ans. Elle a pour objectif de
proposer un accès à distance sécurisé facile à mettre
en place et à exploiter à des sociétés et des autorités.
Dans ce contexte, la gestion d'entreprise sécurisée
(Secure Enterprise Management, SEM) constitue un
composant essentiel, pour ainsi dire, le cœur de la
technologie d'accès à distance au réseau nouvelle
génération de NCP.
Fonctionnement entièrement automatique
La gestion d'entreprise sécurisée peut être reliée à la
gestion d'utilisateurs existante de la société (par ex.
Microsoft Active Directory) et bénéficie de mises à jour
régulières. Dès l'enrôlement d'un(e) nouveau/nouvelle
employé(e) dans la base de données, la solution SEM
crée une configuration individuelle pour cet utilisateur,
en fonction de modèles définis ; elle la saisit ensuite
dans le serveur RADIUS et, entres autres, attribue une
reconnaissance de fournisseur ainsi qu'un certificat
logiciel. Dans le cas d'un retrait d'ancien(ne)
employé(e) de la base de données, la SEM bloque
immédiatement cet accès VPN. Il n'est donc plus
nécessaire de configurer manuellement les ordinateurs
de tous les personnels nomades. La SEM permet
également un déploiement rapide d'un grand nombre
d'utilisateurs ou de certificats logiciels.
Composants
La gestion d'entreprise sécurisée se compose du
serveur de gestion (Management Server) et de la
console de gestion (Management Console) dotée
d'une interface utilisateur graphique. Le serveur de
gestion sert à la configuration et à la gestion de tous
les composants NCP connectés. Ceci inclut les modules
Secure Enterprise Client pour Windows, Mac OS,
Android, Linux et CE/Windows Mobile, ainsi que le
serveur Secure Enterprise VPN. Le serveur de gestion
est un système reposant sur une base de données. Il
correspond de ce fait virtuellement avec n'importe
quelle base de données via ODBC (p.e. Oracle, MySQL,
MS SQL, MS Access, MaxDB). En option, le serveur de
gestion de sauvegarde assure la haute disponibilité du
serveur de gestion, lequel dispose systématiquement
du référentiel de données actuel par le biais d'un
service de réplication intégré.
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 1 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
Plug-ins du serveur de gestion :
 Configuration client (Client Configuration)
 Surveillance du système (System Monitor)
 Configuration pare-feu client (Client Firewall
Configuration)
 Configuration serveur (Server Configuration)
 Configuration serveur à distance (Remote Server
Configuration)
 Contrôle d'accès réseau, (NAC, Network Access
Control)
Inscription PKI (PKI Enrollment), RADIUS
Tous les paramètres de configuration sont stockés
dans la base de données et sont habituellement inclus
dans le processus de sauvegarde de l'opérateur VPN.
La console de gestion peut être installée sur plusieurs
postes de travail administrateurs, ceci nécessitant une
connexion réseau au serveur de gestion.
Plug-in de configuration client
Ce plug-in permet la configuration et l'administration
des modules Secure Enterprise Client NCP. Tous les
paramètres pertinents sont prédéfinis et stockés dans
des modèles.
Processus de mise à jour automatique
Le processus de mise à jour automatique permet à
l'administrateur de fournir de manière centralisée les
mises à jour de configuration et de certificat à tous les
modules Secure Enterprise Client NCP distants. Lors de
Console de gestion sécurisée NCP : Configuration client
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 2 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
la prochaine connexion du client au réseau
d'entreprise,
le
système
procède
alors
automatiquement à l'installation.
En cas de dysfonctionnement à la transmission, la
configuration existant auparavant demeure alors
inchangée. Le logiciel n'est à jour qu'après
transmission entièrement exempte d'erreurs de tous
les fichiers prédéfinis. Un tunnel VPN chiffré sécurise la
transmission de données. Dès que le poste terminal se
trouve à l'intérieur du réseau d'entreprise, le client
peut être mis à jour sans connexion VPN. En cas
d'utilisation d'un module Secure Enterprise Client NCP,
l'administrateur peut lier la mise à jour logicielle client
au support de communication.
La console de gestion NCP permet une saisie
interactive ou un transfert de toutes les données
pertinentes. En variante, cette opération peut
s'effectuer via un processus sous script. Pour le
déploiement, l'administrateur peut par exemple
transférer automatiquement les données utilisateurs,
clés de licence, mots de passe fournisseur, etc. au
serveur de gestion pour chaque système distant (unité
gérée). Comme passerelle VPN, vous pouvez recourir
au serveur Secure Enterprise VPN NCP ou à la
passerelle VPN de tout fabricant tiers (prière de se
référer à la liste des compatibilités sous www.ncpe.com).
Plug-in de gestion de licence
Les licences de tous les composants connectés sont
stockées de manière centralisée dans le serveur Secure
Enterprise Management NCP. Le système les transfère
ensuite dans un pool de licences et les gère
Console de gestion sécurisée NCP : Surveillance
Console de gestion sécurisée NCP : Surveillance
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 3 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
automatiquement en fonction des directives
spécifiées. Le transfert de licences pourra être utilisé
pour : transférer dans une configuration traitant
individuellement chaque client distant ou passerelle,
retour de la licence dans le pool de licences lors d'un
départ d'un(e) employé(e) d'une société, ou
déclenchement d'une invite lorsqu'il n'y a plus de
licences disponibles.
Plug-in de surveillance du système
Ce plug-in fournit des informations rapides sous la
forme de graphiques à barres ou linéaires concernant
tous les événements importants au sein d'une
installation VPN. L'administrateur peut utiliser la
surveillance du système en fonction des besoins pour
appeler des informations d'état actuelles en temps
réel, ou pour accéder à des référentiels de données de
l'environnement d'accès à distance sauvegardés au
préalable.
Plug-in de configuration pare-feu client
Le logiciel Secure Client NCP (client sécurisé) dispose
d'un pare-feu personnel à gestion centralisée intégré.
Le plug-in de configuration pour pare-feu client permet
d'adapter de manière granulaire les règles de pare-feu
pour chaque poste de télétravail.
Plug-in de configuration pour serveur - Serveur
distant
Le plug-in de configuration de serveur distant permet
la configuration, la gestion et l'attribution de licences
pour des passerelles distantes en tant qu'unités
gérées, comme par exemple des filiales. Il sert
également à la configuration et la gestion de serveurs
sécurisés (serveur Secure Enterprise VPN et serveur
haute disponibilité sécurisé) du réseau central.
L'administrateur utilise la console de gestion pour
gérer les droits d'accès à chaque serveur et créer la
configuration serveur. La console permet à
l'administrateur d'utiliser des modèles pour un groupe
de serveurs (batterie de serveurs) pour des groupes
d'utilisateurs clients.
Plug-in d'inscription PKI
Le plug-in d'inscription PKI (Public Key Infrastructure,
infrastructure de clés publiques) sert d'autorité
d'inscription (RA, Registration Authority) ; il gère la
création ainsi que l'administration de certificats
électroniques (X.509 v3) conjointement à différentes
autorités de certification (AC, Certification Authorities).
Un certificat ainsi généré peut en option être stocké
sous la forme de certificat logiciel (PKCS#12) ou par
voie matérielle, comme par exemple via une carte à
puce ou un jeton USB (PKCS#11). L'AC test NCP livrée
avec le produit peut être utilisée pour simuler une PKI
durant la phase test et n'est donc pas destinée à une
utilisation effective. La conversion en une AC externe
s'effectue sans problème.
Plug-in pour le contrôle d'accès réseau (NAC)
(Sécurité des postes terminaux)
Par le biais de la sécurité des postes terminaux,
désignée également comme le plug-in de contrôle
d'accès réseau (NAC), le système vérifie tous les
paramètres pertinents en matière de sécurité pour
l'appareil avant son accès au réseau d'entreprise.
Parmi ces paramètres, on peut citer : l'état de
l'antivirus, les informations liées au service, le
contenus des certificats ou la version de logiciel. Suite
à ces contrôles, chaque poste terminal se trouve
obligatoirement soumis au respect des stratégies de
sécurité, sans que l'utilisateur ne puisse ni les éviter, ni
les manipuler. Tout non-respect d'un appareil à l'égard
de ces stratégies provoque le placement dans une
zone de quarantaine désignée (si configuration
existante).
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 4 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
Verrouillage des paramètres
Le verrouillage de paramètres des modules Secure
Client NCP assure deux fonctions principales : d'une
part, la diminution en complexité des possibilités de
configuration. Cette fonction cache les dossiers de
paramétrage des fonctionnalités non utilisées, de sorte
que l'utilisateur ne voit que les paramètres pertinents
pour son environnement de travail. D'autre part, il
permet de définir des paramètres préalables qui ne
peuvent pas être modifiés par l'utilisateur. Cette
approche
permet
d'éviter
toute
mauvaise
configuration ou configuration de connexion non
souhaitée.
Plug-in RADIUS
Ce plug-in est utilisé pour gérer le serveur intégré
RADIUS et pour combiner les serveurs RADIUS
existants, c'est-à-dire pour les remplacer de manière
économique.
Additif d'authentification avancée
Grâce à cet additif, des utilisateurs sélectionnés
reçoivent un code d'accès sous la forme de SMS
(message texte) sur leur téléphone cellulaire. Ceux-ci
doivent alors saisir ce code supplémentaire lors de
l'authentification au niveau du client (authentification
à 2 facteurs). Un générateur de nombres aléatoires au
sein de la gestion d'entreprise sécurisée crée ce code
d'accès à chaque configuration de connexion au réseau
d'entreprise. Le système envoie ensuite le SMS
(message texte) à l'utilisateur qui a effectué, au cours
d'une première étape, l'authentification vers la SEM en
saisissant ses données d'accès VPN.
Prise en charge multisociété
Grâce à la prise en charge multisociété, la gestion
d'entreprise sécurisée s'impose comme une évidence
pour la mise en œuvre de fournisseurs de services de
sécurité centralisés (MSSP, Managed Security Service
Providers), dans des environnements infonuagiques ou
des structures d'accès à distance, dans lesquels
plusieurs sociétés utilisent de manière conjointe une
seule plateforme VPN (partage VPN). Cette approche
revient à former des groupes et appliquer une
méthode appropriée pour l'attribution des droits. La
création d'administrateurs est réalisée de telle sorte
que chacun d'entre eux dispose d'un accès exclusif à
son espace, à savoir aux unités pour lesquelles ceux-ci
ont une responsabilité de gestion. L'usurpation
potentielle des données d'autres clients dans leurs
propres espaces protégés est donc exclue.
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 5 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
Exigences liées au système
Systèmes d'exploitation
Serveur de gestion:
64 bits: Windows Server 2008 R2; Windows Server 2012, Windows Server 2012 R2
Linux Kernel 2.6 à partir de la Version 2.6.16 (distributeurs sur demande)
Unités gérées
Module Secure Enterprise Client à partir de V 9.1
Module Secure Android Client à partir de V 2.32
Serveur Secure Enterprise à partir de V 8.0
Plug-ins
Mise à jour automatique, configuration pare-feu client, configuration client, application de
stratégies pour les postes terminaux, gestion de licences, PKI, RADIUS, configuration serveur
distant, configuration serveur, surveillance de scripts et système
Network
Access
Control
(contrôle d'accès réseau)
(Sécurité des postes
terminaux)
Application de stratégies pour les postes terminaux pour les connexions de données
entrantes. Vérification de paramètres clients pertinents pour la sécurité prédéfinis.
Mesures en cas d'écarts cibles/réels dans le VPN IPsec:
 déconnexion ou poursuite dans la zone de quarantaine avec instructions à suivre
(boîte de message) ou démarrage d'applications externes (par ex. mise à jour
d'antivirus), enregistrement dans des fichiers de journalisation.
Mesures en cas d'écarts cibles/réels dans le VPN SSL:
 Gradation individuelle de l'autorisation d'accès pour certaines applications
conformément aux niveaux de sécurité définis
Authentification avancée
SEM 3.00 avec licence 3.0
Additif d'authentification avancée
Plug-in client 9.30 à partir de la version 50 (paramétrage requis de configuration produit: 9.3)
Plug-in RADIUS à partir de la version 2.06 Version 4
Prise en charge multisociété
Capacité de groupe;
Prise en charge au maximum de 256 groupes de domaine (c'est-à-dire configuration des
fonctions suivantes: authentification, réacheminement,
groupes de filtres, pools IP, limitation de bande passante, etc.)
Administration utilisateur
LDAP, Novell NDS, MS Active Directory Services
Bases de données
Oracle à partir de la Version 9.0
MySQL à partir de 4.x, 5.0 et 5.1
Microsoft SQL Server 2000 - 2008
Statistiques et journalisation
Statistiques détaillées, fonctionnalité de journalisation, envoi de messages SYSLOG
IF-MAP
Le projet ESUCOM a pour objectif la conception et le développement d'une solution de
sécurité en temps réel pour les réseaux d'entreprise, qui fonctionne sur la base d'une
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 6 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
consolidation des métadonnées. Il se concentre en particulier sur la menace liée aux
terminaux nomades, comme par exemple les smartphones. ESUKOM s'intéresse à
l'intégration de solutions de sécurité existantes (commercialisées et à code source libre)
reposant sur un format de métadonnées constant conformément aux spécifications IF-MAP
du Trusted Computing Group (TCG).
Le serveur IF-MAP de l'Université de Hanovre (Hannover University of Applied Science and
Arts) est actuellement mis à disposition pour une mise à l'essai gratuite. URL:
http://trust.f4.hs-hannover.de/
Processus d'authentification
client/utilisateur
Jeton OTP, certificats (X.509 v.3): Certificats utilisateur et matériel (IPsec), nom d'utilisateur
et mot de passe (XAUTH)
Certificats (X.509 v.3)
Certificats de serveur
Il est possible d'utiliser des certificats fournis via les interfaces suivantes :
 Interface PKCS#11 pour jetons de chiffrement (USB et cartes à puce)
 interface PKCS#12 pour les clés privées des certificats logiciels
Listes de révocation
Révocation : EPRL (End-entity Public-key Certificate Revocation List, anciennement CRL),
CARL (Certification Authority Revocation List, anciennement ARL)
Vérification en ligne
Téléchargements automatiques de listes de révocation à partir de l'AC à des intervalles
donnés ;
Vérification en ligne : Vérification des certificats via OCSP ou OCSP sur http
Autorités de certification
Microsoft Certificate Services: comme "AC autonome": à partir de Windows 2000 Server;
Comme "AC intégrée dans le domaine": à partir de Windows 2000 (les modèles de certificat
ne peuvent pas être adaptés) à partir de Windows 2003 Enterprise Server
Antivirus
Windows 8/7, Windows Vista et Windows XP SP2 permettent au système de présneter des
requêtes à tous les antivirus délivrant leur état via WMI (Windows Management
Instrumentation) ou NAC (Network Admission Control) au centre de sécurité
RFC (demandes de
changement) et projets
RFC 2138 Remote Authentication Dial In User Service (RADIUS);
RFC 2139 RADIUS Accounting; RFC 2433 Microsoft CHAP;
RFC 2759 Microsoft CHAP V2;
RFC 2548 Microsoft Vendor-specific RADIUS Attributes;
RFC 3579 RADIUS Support For Extensible Authentication Protocol (EAP);
RFC 2716 PPP EAP TLS Authentication Protocol;
RFC 2246 The TLS Protocol;
RFC 2284 PPP Extensible Authentication Protocol (EAP);
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 7 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Management, SEM
RFC 2716 Certificate Management Protocol;
RFC 2511Certificate Request Message Format;
(projet) Draft-ietf-pkix-cmp-transport-protocols-04.txt Transport Protocols for CMP;
(projet) Draft-ietf-pkix-rfc2511bis-05.txt Certificate Request Message Format (CRMF)
Exigences relatives au
système recommandé
Ordinateur
Mémoire système 512 MB
Unité centrale minimale Pentium III-800 MHz (en fonction du nombre d'unités gérées) ;
Avec plug-in RADIUS : Pentium IV-1,5 GHz ;
Disque dur : min. 50 MB de mémoire disponible plus mémoire pour les fichiers de
journalisation et env. 20 MB par solution logicielle
Nombre d'utilisateurs
parallèles
1-100 clients parallèles :
Unité centrale : Intel Dual Core 1,83 GHz ou processeur x86 comparable, 1024 MB RAM
200+ Clients parallèles :
Unité centrale : Intel Dual Core 1,83 GHz ou cprocesseur x86 comparable, 1024 MB RAM
Clients VPN recommandés /
compatibilités
Modules Secure Enterprise
Client NCP
Windows 32/64, Mac OS X, Windows Mobile, Android, Windows CE, Linux
Clients VPN tiers
iOS
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 8 / 8
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299