UCL/SRI - Le réseau virtuel privé de l'UCL

Infrastructures des réseaux du système d'information

Le réseau virtuel privé de l'UCL

La présente note décrit le service de réseau virtuel privé pour l'UCL.

Sommaire

Introduction
Déontologie
Principe général du service
Les protocoles reconnus
Le logiciel client VPN
Les mots de passe
Tarification
Que faire ? A qui s'adresser ?

Introduction

Le service de réseau virtuel privé de l'UCL (VPN - Virtual Private Network) permet la transmission de données sécurisée entre l'Internet et le réseau UCL.

À partir d'une connexion Internet via n'importe quel fournisseur d'accès (FAI), connexion établie par modem, ADSL, câble ou autre, et de n'importe où de l'Internet, il est possible moyennant le logiciel adéquat dans l'ordinateur de l'utilisateur, d'établir un tunnel ou un pont direct vers le réseau UCL. Le logiciel client local s'adresse à un serveur de VPN à l'UCL où une authentification est requise. Ensuite, l'ordinateur de l'utilisateur se retrouve connecté au réseau UCL, comme s'il était raccordé dans un local de l'Université.

Déontologie

Comme en général pour l'accès aux ressources et services informatiques à l'UCL, l'usage du VPN UCL est réservé aux activités d'enseignement, de recherche et d'administration de l'UCL. Les utilisateurs respectent le code de bonne conduite arrêté par l'Université.

Principe général du service

L'équipement mis en place se compose principalement d'un serveur de VPN Cisco VPN 3000 Series Concentrator. Il est connecté au réseau UCL via deux interfaces. Une interface connue de l'Internet sert aux transmissions sécurisées de ce côté. L'autre interface n'est connue que du réseau UCL et est destinée à y transmettre les données en clair.

À partir de toute connexion Internet, une connexion peut être établie avec le serveur du VPN UCL pour négocier une liaison sécurisée.

Lorsque la liaison est établie, il y a lieu de procéder comme dans le cas d'un raccordement direct au réseau UCL. La manière dépend donc des pilotes logiciels et des applications utilisées.

Les protocoles reconnus

L'équipement est prévu pour reconnaître les protocoles de tunnel suivants :

IPSec (IP Security Protocol)
PPTP (Point-to-Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)

L'usage de ces protocoles permet d'avoir accès au réseau UCL de manière analogue à celle que fournit le raccordement direct au réseau UCL. Cela signifie donc que l'ordinateur concerné dispose d'une adresse IP du réseau [130.104.0.0/16]. De plus, un nom du domaine <ucl.ac.be> lui est attribué.

Le nom de domaine du serveur VPN UCL est <vpn.sri.ucl.ac.be> et son adresse IP est [130.104.254.254]. Il est accessible de l'Internet.
Pour des essais à partir du réseau UCL et/ou du domaine <ucl.ac.be>, la connexion au serveur VPN UCL doit se faire via son interface interne à l'UCL et dont le nom de domaine, connu uniquement à l'intérieur de l'UCL, est <CsHalles3.sri.ucl.ac.be> et l'adresse IP [192.168.251.230].

Il faut également indiquer l'identité de l'utilisateur et le mot de passe, soit à l'avance, soit au moment même de l'établissement de la connexion, suivant les possibilités.

D'autre part, le cas échéant, il faut indiquer que l'adresse IP doit être établie dynamiquement, et il est souhaitable de faire de même pour les adresses des serveurs de noms, si le logiciel le permet. S'il ne le permet pas, il convient d'indiquer les adresses IP [130.104.1.1] et [130.104.1.2] comme adresses des serveurs de noms.

Le logiciel client VPN

L'équipement est compatible avec le logiciel client suivant :

Client VPN Cisco (IPSec) :
- Windows® 95 (OSR 2 ou ultérieur), Windows 98 et Windows ME
- Windows NT® 4.0, Windows 2000 et Windows XP
- Linux Intel noyaux v2.2/v2.4, Solaris ULTRASparc 32-bit, Mac OS X
Client VPN Apple :
- Mac OS X (PPTP dans Connexion à Internet, sans chiffrement)
Clients VPN Microsoft :
- Windows 95, Windows 98 et Windows ME (PPTP, sans chiffrement)
- Windows NT 4.0 (PPTP, sans chiffrement)
- Windows® 2000 et Windows XP (PPTP, sans chiffrement)
Client movian VPN Certicom (ECC, handheld)

Le logiciel client IPSec Cisco suivant est mis à disposition des utilisateurs du VPN UCL :

VPN Client Darwin 4.7 Rel GUI k9
VPN Client Linux 4.6 Rel k9
VPN Client Solaris 4.6 Rel k9
VPN Client Windows IS 4.6 A k9
VPN Client Windows MSI 4.6 A k9

Ce logiciel ne peut être utilisé que par les membres de l'UCL pour se connecter au VPN UCL via l'équipement Cisco acquis à cet effet. Il est soumis entre autres aux restrictions citées par Cisco.
Ce logiciel est disponible après authentification par les identifiant et mot de passe globaux UCL.
La documentation (en anglais) est disponible sur le site de Cisco.

Un client IPSec pour Mac OS Classic est disponible auprès de la Cellule EIBR.

Les mots de passe

Le mot de passe personnel
Les accès au VPN sont protégés par un mot de passe associé à chaque identifiant. L'identifiant est le même pour l'accès au VPN et pour l'accès PPP par les réseaux publics. Il est valable pour les deux services.
Chaque utilisateur est responsable de l'usage qui est fait du droit qui lui a été attribué. Le fait de permettre à autrui de connaître le mot de passe ne dégage pas l'utilisateur de ses responsabilités. Celui-ci a d'ailleurs le loisir de changer de mot de passe à sa meilleure convenance.
Pour changer le mot de passe d'un utilisateur du VPN UCL, il suffit d'envoyer un message à
```
                       <MotDePasse@sri.ucl.ac.be>
```
Le corps des messages doit contenir uniquement une ligne de trois mots, séparés par une espace :
```
    identifiant     ancien mot de passe     nouveau mot de passe
```
L'entrée en vigueur du nouveau mot de passe est normalement immédiate. Un message de confirmation est envoyé en retour. Si la demande n'a pas pu être prise en compte, un message est aussi envoyé en retour.
Sur le serveur d'authentification, les mots de passe de moins de 4 caractères sont toujours refusés, de même que ceux qui ne contiennent que des chiffres. Les mots de passe de 5 ou 6 caractères sont acceptés s'ils mélangent un peu des lettres minuscules et majuscules et/ou des chiffres.
On trouvera dans la note d'information relative aux mots de passe, des considérations utiles pour le choix d'un "bon mot de passe".
Le mot de passe de groupe IPSec
Pour le protocole IPSec, l'authentification du serveur VPN se fait par groupe. Les paramètres, nom du groupe et mot de passe, sont indiqués dans le document accessible après authentification par les identifiant et mot de passe explicités ci-dessus.

Tarification

L'utilisation du VPN UCL est soumis à une participation aux frais forfaitaire.

La participation aux frais est appliquée à chaque identifiant (nom d'utilisateur) valable pour le serveur VPN et le serveur d'accès PPP. Elle constitue une participation aux différents frais nécessaires pour ces services (abonnements, contrat de maintenance, entretien, etc.).

Un identifiant distinct est requis pour chaque possibilité d'accès simultané. Chacune de ces possibilités nécessite en effet l'octroi d'un nom de domaine et d'une adresse IP propres. On ne peut utiliser un de ces identifiants particuliers qu'à partir d'un seul ordinateur à un moment donné.

Le montant forfaitaire est fixé à 50 € payable une seule fois lors de la souscription de l'abonnement. L'abonnement reste valable tant que son souscripteur reste membre de l'UCL et qu'il utilise le service de réseau virtuel privé de l'UCL. Tout abonnement lié à un identifiant non utilisé durant une période de 6 mois consécutifs sera automatiquement clôturé.

Que faire ? A qui s'adresser ?

Les demandes d'accès externe direct au réseau UCL, valable pour le VPN UCL et via les réseaux publics, se font au moyen d'un formulaire prévu à cet effet. Ce formulaire est disponible sous la forme d'un document PDF à imprimer localement. Ce formulaire est à transmettre au secrétariat du SRI.

L'aide aux utilisateurs est assurée suivant les procédures habituelles. Plus particulièrement, on pourra trouver par ailleurs une information technique reprenant des renseignements utiles à la configuration de l'équipement de l'utilisateur.

Par ailleurs, un lieu d'aide réciproque et d'échanges est constitué par les Nouvelles de l'UCL. En particulier, le groupe <ucl.comp.reseaux> traite plus spécifiquement des sujets relatifs aux réseaux dont le VPN UCL.

[UCL] [LS] [SGSI] [SRI] [Pointeurs utiles]

Dernière mise à jour : 17 août 2005 - Responsable : Jean-Pierre Kuypers