En cours de test : Serveur de dongles myUTN-80 de SEH

Administration réseau centralisée des dongles

Le serveur de dongles myUTN-80 de SEH peut gérer jusqu’à huit dongles USB. Les utilisateurs ont par conséquent la possibilité d’utiliser des solutions logicielles sécurisées à l’aide d’un dongle anti-copie, sans être obligés de brancher les dongles correspondants sur les PC locaux. IAIT a observé ce que le produit réalise en pratique.

Le serveur de dongles myUTN-80 de SEH permet toujours à un seul utilisateur d’utiliser un dongle mis à disposition sur le réseau. Le dispositif fonctionne avec une liaison point à point et le serveur de dongles ne crée par conséquent aucun conflit avec les dispositions des licences des éditeurs de logiciels concernés.

Pour installer le système, il suffit de raccorder le serveur de dongles myUTN-80 sur le réseau local et sur le courant secteur, de raccorder les dongles choisis sur l’appareil (le boîtier peut être verrouillé pour des raisons de sécurité) et de démarrer la solution. Le logiciel SEH UTN Manager est ensuite utilisé côté client. Celui-ci permet aux utilisateurs de raccorder sur leur PC les dongles mis en réseau et de les utiliser comme s’ils étaient présents au local. Les collaborateurs compétents doivent donc installer l’UTN Manager sur tous les systèmes clients sur lesquels les dongles doivent être utilisés.

Domaines d’utilisation

Un serveur de dongles sur le réseau présente différents avantages : grâce à son boîtier, il permet d’une part de ranger les dongles de manière centrale et sécurisée, par exemple dans l’armoire des serveurs d’un centre de calcul. Par ailleurs, les dongles sont mis en réseau 24 heures sur 24, ce qui permet aux différents utilisateurs ne travaillant pas simultanément et ce, sur différents fuseaux horaires, d‘utiliser successivement la même installation logicielle sans grande complication, en profitant du fait que les dongles sont disponibles pour plusieurs utilisateurs sur différents PC, sans qu’il soit nécessaire de les retirer et de les réinsérer. Indépendamment de cela, le serveur de dongles myUTN-80 est également conseillé dans le cas où les systèmes clients sont dépourvus de ports USB libres ou sont difficiles à paramétrer, par exemple dans l’informatique des serveurs ou dans les environnements virtuels. De la même manière, l’utilisation du serveur de dongles est efficace au sein des entreprises dont les responsables ont une gestion centralisée de leurs dongles à protection anti-copie tout en les mettant à disposition de l’ensemble de leurs utilisateurs, par exemple dans leurs agences.

Il est possible de sécuriser le système en chiffrant les communications entre les PC et les dongles. Par ailleurs, il est possible d’affecter des dongles à des utilisateurs ou à des services donnés.

Matériel

Le serveur de dongles myUTN-80 est doté d’un port Fast Ethernet et de huit ports USB 2.0. Il utilise par ailleurs un processeur Risc ISA à 167 MHz, de 32 Mo de mémoire vive et de quatre Mo de mémoire flash.

Sécurité

Le serveur de dongles myUTN-80 utilise, pour la sécurité des dongles, une fonction d’authentification 802.1X (EAP-MD5, EAP-TLS, EAP-TTLS, EAP-FAST, PEAP et LEAP) ainsi que des fonctions de contrôle d’accès par port et de chiffrement des données SSL 3.0 et TLS 1.0. Le système comporte par ailleurs des fonctions complètes de gestion des certificats, de protection par mot de passe, de prise en charge de SNMPv3 et de notification des événements.

Le test

Le serveur de dongles SEH et l’UTN Manager sont compatibles avec Windows Server 2003 et Windows XP ou supérieur, dans les variantes 32 et 64 bits. Notre test a été réalisé avec les systèmes clients sous Windows 7 Service Pack 1, en version 32 bits et sous Windows Server 2008 R2, également avec Service Pack 1. La procédure était la suivante : nous avons tout d’abord mis en réseau notre serveur myUTN-80 comme indiqué précédemment et avons inséré nos dongles dans le système. Nous avons ensuite installé sur les clients tests les solutions logicielles protégées par dongle E-Licenser Control 6.3, Digi Time Control 5.0 et Colorgate Productionserver 6 et nous avons exécuté ensuite l’UTN Manager. Nous avons examiné ensuite l’utilisation des dongles en réseau par les différents utilisateurs, le fonctionnement du contrôle d’accès pour les ports, la configuration des transferts de données chiffrées ainsi que la communication du serveur de dongles avec les systèmes clients virtuels.

Configuration initiale

Lors du lancement, le système myUTN-80 recherche tout d’abord un serveur BOOTP ou DHCP susceptible de lui attribuer une configuration réseau valide. Si aucun de ces serveurs n’est disponible, il s’attribue automatiquement une adresse IP dans la plage 169.254.1.0 à 169.254.254.255. Le système peut alors être localisé au sein du réseau à l’aide de l’UTN Manager, et utiliser cet utilitaire pour attribuer l’adresse IP.

La présence, au sein de notre réseau, d’un serveur DHCP nous a permis de nous connecter dès le lancement du serveur de dongles à l’utilitaire de configuration, en utilisant son interface Web pour procéder à la configuration initiale. Lorsqu’un administrateur appelle l’utilitaire de configuration, il arrive tout d’abord sur une page d’accueil à partir de laquelle il peut consulter différentes informations sur le système myUTN-80. Cela concerne le nom du système, le numéro de série, la version installée du micrologiciel, la date, la configuration réseau, une liste des dongles raccordés avec leur statut et d’autres informations. Indépendamment de cela, il est possible de sélectionner la langue de l’utilitaire de configuration à partir de la page d’accueil. Le produit permet de choisir l’allemand, l’anglais, le chinois, le coréen, l’espagnol, le français, l’italien, le japonais et le portugais.

Si le collaborateur compétent accède à la configuration réseau, il a la possibilité non seulement de définir les paramètres IPv4 et IPv6 de l’adresse IP mais aussi de configurer jusqu’à huit réseaux virtuels (VLAN), de manière à sécuriser si besoin l’accès aux dongles. Au cours du test, nous avons tout d’abord adapté l’adresse IPv4 à notre environnement. Nous avons alors apprécié le fait que l’utilitaire de configuration est suffisamment intelligent pour reconnaître de changement d’adresse IP, puis, après le redémarrage de l’appareil, de lier automatiquement le navigateur avec la solution en utilisant la nouvelle adresse. Toutes ces opérations sont réalisées sans que l’administrateur ait à intervenir. Ce fonctionnement est exemplaire et n’est malheureusement pas implémenté par suffisamment d’applications sur le marché. Nous avons ensuite défini la configuration IPv6 car nous voulions également tester la connectivité IP6 (nous n’avons eu aucune surprise) et nous avons spécifié les serveurs DNS à utiliser. Les collaborateurs ont par ailleurs l’option d’attribuer à partir de la rubrique Réseau un nom Bonjour, de configurer le service SNMP (l’appareil prend en charge les versions SNMP v3 et SNMP v1) et de définir la configuration de la messagerie. Nous avons indiqué ensuite un serveur SMTP afin de permettre à la solution d’envoyer des emails d’alerte. Après cela, nous avons encore configuré sur notre serveur de messagerie une adresse de messagerie spéciale et nous avons configuré le myUTN-80 de manière à faire toutes les deux minutes une requête POP3 pour récupérer les nouveaux messages. La raison en est que le serveur de dongles peut également être configuré par le biais d’emails. Nous reviendrons ultérieurement sur cette fonctionnalité très utile.

Les collaborateurs compétents définissent à partir de la configuration de l’appareil le nom du serveur de dongles et choisissent si besoin un interlocuteur affiché ensuite par le système sur la page d’état. Par ailleurs, il est possible de configurer à la rubrique Date et heure le serveur NTP et les fuseaux horaires et de définir les destinataires des alertes par email. L’appareil est en mesure d’envoyer des notifications par email lors des redémarrages et des opérations de connexion, déconnexion, activation ou désactivation d’un périphérique USB. Il peut également envoyer des traps. La configuration du port UTN définit à l’inverse les ports TCP utilisés pour les communications normales et chiffrées (il s’agit par défaut des ports 9200 et 9443) et la configuration du port USB prend en charge l’activation et la désactivation des différents ports ou présente une liste des dongles raccordés.

Les paramètres de sécurité permettent aux informaticiens de chiffrer l’accès à l’interface Web, d’activer l’accès VLAN et de définir un mot de passe pour l’utilitaire de configuration. Il est également possible de restreindre les accès TCP aux ports USB. Il est possible ainsi de n’autoriser l’utilisation des utilitaires de configuration et des ports UTN qu’à des adresses IP ou MAC définies. Par ailleurs, l’accès aux ports USB permet de n’activer l’accès à des ports ou des périphériques USB donnés que pour des VLAN précis et de protéger des ports individuels à l’aide d’un mot de passe entré par l’utilisateur avant qu’il ne puisse accéder au dongle présent. La zone de dialogue de la configuration de l’accès au port USB comporte également une liste des ports et des dongles présents. Celle-ci renseigne sur la configuration de sécurité, de manière à donner à chaque collaborateur une présentation synthétique récapitulant la configuration du serveur de dongles.

A partir de la gestion des certificats, les utilisateurs peuvent installer des certificats auto-signés, créer des demandes de certificats et sélectionner des certificats pkcs12, S/MIME et racine. Ces certificats sont utilisables par la suite pour l’authentification et le chiffrement des emails. La configuration de l’authentification est réalisée à partir d’une boîte de dialogue spécifique. Le serveur de dongles prend en charge la fonction MD5, TLS, TTLS, PEAP, LEAP et FAST. La configuration du chiffrement permet enfin d’activer et de désactiver le chiffrement des communications avec les différents périphériques USB. Le chiffrement utilisé est soit RC4 soit AES256.

La dernière rubrique de configuration de l’interface Web porte sur la maintenance du système myUTN-80. Les collaborateurs concernés peuvent y sauvegarder la configuration du périphérique dans un fichier, restaurer les paramètres de sécurité, faire une sauvegarde du micrologiciel et redémarrer le serveur de dongles. Pour résumer, nous pouvons dire que l’interface est claire et qu’aucun informaticien ne sera confronté à des difficultés insurmontables.

UTN Manager

Intéressons-nous à présent au composant client UTN Manager. L’installation de ce logiciel est réalisée, comme c’est l’usage sous Windows, à l’aide d’un Assistant, et devrait en principe fonctionner partout sans problème. Le seul point important consiste à décider si le logiciel doit être installé pour un utilisateur individuel ou doit fonctionner comme un service. Dans le premier cas, l’utilisateur concerné doit tout d’abord lancer le programme pour utiliser un dongle ; dans le deuxième cas, la fonctionnalité est un service accessible directement à tous les utilisateurs après le démarrage de leur ordinateur ; la deuxième option est donc recommandée en mode multiutilisateurs.

Après le démarrage de l’UTN Manager, nous avons ajouté notre serveur de dongles (qui a été immédiatement trouvé au sein du réseau par le logiciel) à la liste de sélection. Après cela, nous avons pu connecter à l’ordinateur local les dongles branchés sur le système myUTN-80 puis les déconnecter à nouveau. Si l’on travaille avec différents clients sur lesquels l’UTN Manager est exécuté, le programme permet de voir qui utilise tel dongle à tel moment et quels sont les dongles qui sont disponibles. Les propriétés des dongles présents dans la liste sont notamment le nom, la classe USB, etc.

Le logiciel, qui prend en charge les mêmes langues que l’interface Web, comporte de nombreuses fonctionnalités supplémentaires. Il peut être lancé automatiquement et peut rechercher à tout instant des serveurs de dongles dans des plages réseau définies. Il est également possible d’effectuer une recherche multicast.

Les utilisateurs conservent l’option d’exporter et de modifier la liste de sélection des serveurs de dongles et des dongles présents. Il est possible par ailleurs, comme indiqué auparavant, d’attribuer de nouvelles adresses IP aux périphériques myUTN-80 du réseau et d’appeler directement l’interface Web du serveur de dongles concerné depuis l’UTN Manager.

Autre fonctionnalité importante pour la sécurité : l’indication des clés du port USB. Il s’agit des mots de passe évoqués précédemment, destinés à restreindre l’accès à des ports USB donnés du serveur de dongles. Lors du test, nous avons sécurisé différents ports sur notre myUTN-80 en définissant des clés de port aléatoires. Après cela, il ne nous a été possible d’accéder, comme prévu, depuis les clients qu’après avoir entré au préalable les mots de passe correspondants dans l’UTN Manager. Par ailleurs, en cours d’utilisation, les dongles qui sont branchés sur des ports pour lesquels les bonnes clés n’ont pas été saisies dans l’UTN Manager ne sont pas visibles sur les clients. Ceci montre que cette fonctionnalité est parfaitement appliquée.

Les autres fonctions de l’UTN Manager sont rapidement expliquées. Ainsi, le programme est par exemple en mesure de connecter automatiquement, après le lancement du logiciel, des dongles définis sur le système client correspondant puis de lancer automatiquement un logiciel prédéfini après l’activation d’un dongle. Il indique par ailleurs lorsqu’un périphérique redevient disponible.

Test avec les logiciels protégés par dongle

Pour tester le myUTN-80 dans la pratique, nous installerons sur nos clients, au cours de l’étape suivante, différentes applications protégées par dongle. Nous avons exécuté ensuite le logiciel eLicenser, chargé de vérifier si les dongles eLicenser sont connectés sur le système local. A la fin de la procédure de configuration de ce programme, nous avons activé notre dongle eLicenser dans l’UTN Manager et nous avons lancé le logiciel. Le dongle apparaît ensuite comme prévu sur l’écran récapitulatif du programme. Lorsque nous avions désactivé le dongle, il avait disparu. Il n’y a donc eu aucune surprise dans l’utilisation de ce logiciel.

Nous avons exécuté ensuite le programme Digi-Time-Control. Il s’agit d’un logiciel d’évaluation des données horaires. L’installation de la solution s’est déroulée sans difficulté. Toutefois, il n’a été possible d’exécuter cette dernière sur nos clients qu’après avoir activé le dongle TDI correspondant avec l’UTN Manager. Le logiciel Colorgate 6, développé pour l’impression grand format et protégé par un dongle Safenet (qui requiert toutefois un pilote spécifique, que nous avons dû installer dans un deuxième temps) s’est comporté de manière comparable. Ainsi donc, toutes les applications ont fonctionné comme prévu et les opérations avec le myUTN-80 se déroulent, du point de vue de l’application, comme si le dongle était branché directement sur le système concerné. Nous avons constaté par ailleurs que cela n’avait, comme prévu, aucune incidence pour l’UTN Manager qu’il soit exécuté dans une machine virtuelle ou dans un système réel.

InterCon-NetTool

Concernant l’InterCon-NetTool, il s’agit d’un logiciel de configuration, proposé de manière spécifique par SEH pour l’administration de ses solutions. Ce programme permet également de gérer le myUTN-80. Il est possible par exemple de réaliser différentes opérations telles que redémarrer le serveur de dongles, rétablir les paramètres d’usine, modifier les paramètres réseau. Le système myUTN-80 s’intègre de manière transparente dans les environnements dans lesquels d’autres composants SEH sont présents.

Administration par emails

Comme indiqué précédemment, les administrateurs ont également la possibilité d’administrer le serveur de dongles par le biais d’emails, après avoir configuré pour cela les paramètres de messagerie. Cette idée nous a séduits au cours du test puisqu‘elle permet d‘utiliser n‘importe quel ordinateur capable de se connecter sur Internet et que cela dispense d’avoir un accès réseau direct à l’interface du navigateur. Pour administrer le système par le bais d’emails, il suffit d’envoyer un email au serveur myUTN-80 en spécifiant un mot de passe dans la ligne Objet, ce qui entraîne l’exécution de l’action correspondante. Ce dispositif permet d’exécuter différentes actions telles que définir des paramètres ou visualiser des informations d’état. Les changements de configuration sont sauvegardés à l’aide des TAN, qui sont envoyées par email par le serveur de dongles, par exemple lors de l’envoi d’une page d’état. Le TAN doit alors figurer avec l’instruction à la première ligne du corps du message, faute de quoi le changement de configuration est ignoré. Par ailleurs, il est possible si besoin de chiffrer la communication par email à l’aide de certificats.

Un email appelant une page d’état du myUTN-80 peut se présenter comme suit :

TO : myutn@iait.eu

Subject : cmd: get stat

En raison de la complexité de la configuration des paramètres de messagerie, une description approfondie des commandes présentes risquerait de sortir du cadre de ce test. Nous renvoyons donc à la documentation complète et bien conçue.

Chiffrement des données transmises

Afin d’assurer un chiffrement des données transmises entre le client et le dongle, les responsables doivent simplement activer la fonction de chiffrement du serveur de dongles dans l’interface Web. Le chiffrement est alors immédiatement opérationnel et l’UTN Manager indique côté client au niveau des paramètres de connexion que les informations transmises sont chiffrées.

Conclusion

Le test du système myUTN-80 a laissé une impression extrêmement positive. Les outils d’administration clairs donnent accès à l’ensemble des fonctions importantes et sont configurables rapidement et aisément. L’ensemble du système reste transparent pour le logiciel sauvegardé par dongle et les programmes se comportent exactement comme si le dongle était présent en local. Quant à la sécurité, elle n’est pas négligée. Nous soulignons dans ce cadre les fonctions d’authentification complètes, les clés sur les ports, la prise en charge des réseaux virtuels (VLAN) et la simplicité de la mise en œuvre du chiffrement des données. D’autres fonctions intelligentes plus avancées que les fonctionnalités habituellement proposées sur le marché, comme la possibilité d’administrer le système par email et la prise en charge IPv6, permettent à la solution SEH de se démarquer nettement de la concurrence.

A propos de l'auteur :

Dr. Goetz Guettich

IAIT Institut zur Analyse von IT-Komponenten

Allemagne

http://www.guettich.de

Source : En cours de test : Serveur de dongles myUTN-80 de SEH - Articles Gratuits