VPN en entreprise avec Junos Pulse for Samsung

Par gabs - Le 22/02/13 - Affichages : 5844

Le cas d’usage décrit dans cet article ne concernera pas la plupart d’entre vous, mais je tenais à vous le faire partager pour montrer qu’il y a aujourd’hui de vraies solutions d’entreprise développées autour d’Android.

Objet de cet article : Montrer les possibilités d’établissement d’une connexion VPN de niveau 3 entre un terminal Android et un réseau d’entreprise.
Aujourd’hui, il est commun pour les entreprises d’offrir à leurs collaborateurs la possibilité de se connecter de manière sécurisée à leur réseau depuis l’extérieur. Pour cela on utilise généralement des solutions dites de VPN SSL. Il existe de nombreuses solutions permettant d’exposer de manière sécurisée des ressources internes aux utilisateurs nomades mais elles sont généralement plutôt orientées “PC”. Mais cela est maintenant aussi possible depuis Android.

La solution décrite : Junos Pulse for Samsung + Secure Access de Juniper Networks
Même s’il n’est pas connu du grand public, Juniper Networks est un acteur majeur dans le monde du réseau. Au départ essentiellement centré sur les équipements de switching hautes performances destinés aux opérateurs télécoms, Juniper Networks propose depuis quelques années des solutions destinées aux entreprises.
Pour réaliser le mode de connexion décrit il faut donc un équipement central qui va recevoir les connexions (ici un boitier Juniper Secure Access) , et un client : Junos Pulse.
Attention, il ne faut pas s'y tromper, il s'agit là d'une solution d'entreprise complète qui a un certain coût et qui ne s'adresse pas à tout le monde. Même s'il existe de petits boîtiers abordables, dès lors qu'on veut une infrastructure sécurisée supportant un nombre conséquent d'utilisateurs simultanés, on arrive très vite à des coût bien au delà des 10000 euros.

Le VPN niveau 3 :
Quand on parle de VPN SSL, on parle avant tout de la connexion à des sites web internes depuis Internet. Le boitier VPN se charge alors d’authentifier les utilisateurs, de leurs donner un certain niveau d’accès et de crypter le tout dans un flux SSL. Mais depuis longtemps, on peut faire beaucoup plus : via une application cliente, il est aussi possible de transporter toute sorte de flux à travers le lien VPN ainsi établi. Les connexions sont interceptées par le client vpn qui les en-capsule pour les envoyer au boîtier central et enfin au réseau interne.
Toutefois, cela n’est pas toujours suffisant, car dans ce mode, depuis le réseau interne, c’est le boitier qui est vu comme étant le client, et il n’est pas possible d’établir des connexions vers le terminal (impossible par exemple d’aller se connecter à un serveur ftp qui serait installé sur le terminal)
La solution ultime consiste donc à établir un tunnel VPN entre le terminal et le boitier. Dans ce mode, le terminal dispose ainsi une sorte de carte réseau virtuelle avec adresse IP propre à sa connexion VPN. N’importe quelle application peut donc ensuite utiliser le tunnel de la même manière qu’elle le ferait avec une connexion wifi au réseau de l’entreprise.

Pulse for Samsung :
Afin d’établir le niveau de VPN précédemment décrit il faut donc interagir au plus près avec le système d’exploitation, soit en ayant les droits root, soit en disposant d’API permettant cela. C’est là que la version “Samsung” de Junos Pulse intervient en exploitant les API constructeur.
C’est quelque chose de très important, parce qu’Android ne permet pas de faire cela nativement. Et une nouvelle fois, et bien que d’autres constructeurs aient fait de même, Samsung est le constructeur le plus avancé en ce domaine. Souvenait vous il y a plusieurs autres produits avec des déclinaisons dédiées à nos appareils : Teamviewer QS, Airwatch, Cisco Samsung Anyconnect...


La démo en images :
Je ne vais pas vous décrire de manière détaillée la configuration mise en oeuvre. Sachez juste que je m’authentifie grâce à une double authentification avec certificat + login - mot de passe. Voici donc les écrans de Pulse lors de l’établissement d’une connexion :

Image Image Image Image Image

Vous voyez en rouge l’état de la connexion et l’adresse IP que j’ai obtenu.

Et tout ça pour quel usage ?
Une fois cette connexion obtenue, et pour peu que j’en ai les droits, je peux faire les mêmes choses avec mon téléphone à distance (ici en 3G) que si j'étais connecté en wifi au bureau. Il existe évidemment des solutions autres via des passerelles dédiées pour faire cela, mais l’avantage ici et que la solution est universelle est transparente pour les applications.

Voici 2 exemples d’usage : le premier montre une connexion à un serveur windows 2008 en utilisant les terminal services et le second l’utilisation d’une application Windows à distance sur mon téléphone grâce à Citrix XenAPP. Pas mal non ? Evidemment on peut imaginer plein d'autres choses comme l'accès à un partage réseau SMB sur un serveur central grâce à un explorateur adéquat comme X-Plore file manager par exemple, ... Quasiment tout est possible, la seule limite est le débit.

Accès en terminal services via Pocket Cloud de Wise
Image

Excel, lancé grace à Citrix XenAPP 6
Image

Conclusion :
Ce type de solution montre qu'Android est maintenant prêt pour une vrai intégration dans l'entreprise. Mais on voit aussi qu'il y a encore certains manques que les constructeurs s'efforcent de combler...
L'application Junos Pulse permet d’autres choses, la vérification de conformité du terminal, la détection de malwares, la réinitialisassions à distance, … mais ce n’est pas l’objet de cet article.

Merci à ceux qui ont eu le courage de me lire jusqu’ici ;-)

Liens utiles :
Juniper Secure Access applicances
Junos Pulse for Samsung


8 réponse(s) -