Computers">
UCOPIA Livre Blanc
UCOPIA Livre Blanc
UCOPIA Livre Blanc
Juin 2015
mbre
2 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
3 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
4 Livre blanc UCOPIA
10 PERFORMANCES .................................................................................................................................... 82
11 APPLIANCES MATERIELLES .............................................................................................................. 83
12 APPLIANCES VIRTUELLES .................................................................................................................. 88
13 MAINTENANCE ....................................................................................................................................... 89
14 CONCLUSION ........................................................................................................................................... 90
15 ANNEXE 1 : DOCUMENTATION .......................................................................................................... 92
15.1 MANUELS ............................................................................................................................................. 92
15.2 APIS ..................................................................................................................................................... 92
15.3 COUPLAGE AVEC PRODUITS TIERS ........................................................................................................ 93
15.4 CERTIFICATION DE SECURITE ............................................................................................................... 93
16 ANNEXE 2 : GLOSSAIRE ....................................................................................................................... 94
16.1 RESEAU ................................................................................................................................................ 94
16.2 WI-FI.................................................................................................................................................... 94
16.3 AUTHENTIFICATION ............................................................................................................................. 95
16.4 CHIFFREMENT ...................................................................................................................................... 96
16.5 ANNUAIRE ............................................................................................................................................ 97
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
5 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
6 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
7 Livre blanc UCOPIA
1 Introduction
Selon IDC, il y a 75 Millions de professionnels nomades en Europe, qui passent 70% de leur temps de
travail hors de leur bureau. Par ailleurs, le nombre demploys ne disposant pas dun bureau atteint 46
Millions et augmente de 4,4% par an (Gartner). Tous ces nomades ont besoin daccder Internet et
au Systme dinformation de lentreprise, dans leur bureau, en salle de runion, lhtel, chez leurs
clients et leurs fournisseurs. Ds lors quun accs nomade est propos, les employs se connectent
1h45 de plus chaque jour, ce qui contribue une amlioration de la productivit de 22% (Source NOP
World). Autrement dit, la mobilit donne plus de souplesse et plus dutilisation donc plus defficacit.
Selon Forrester, 38% des entreprises fournissent chaque mois 20 visiteurs au moins un accs rseau
et 11% de ces entreprises dpassent les 200 visiteurs connects.
Les entreprises disposent dj dinfrastructures IP sur lesquelles circulent les flux gnrs par les
applications donnes et voix et continuent les tendre avec notamment la technologie sans fil Wi-Fi.
Le dploiement dun accs nomade consiste donc mutualiser cette infrastructure pour rpondre
tous les utilisateurs (visiteurs, clients, fournisseurs, employs,) et tous les usages (du simple accs
Internet jusqu un accs aux applications de lentreprise).
Par ailleurs, lessor des terminaux mobiles bouleverse les usages. Dici 2016, le nombre de
Smartphones devrait atteindre 480 millions, et 65% dentre eux seront utiliss dans le cadre du BYOD
(Bring Your Own Device) (Source Analyse firm IDC).
Dans ce contexte, la scurit est un enjeu essentiel : authentification des utilisateurs et des terminaux,
contrle des accs en fonction de lidentit de lutilisateur, de son rle mais aussi de son terminal, du
lieu et de lheure de connexion, traabilit des connexions et des usages pour rpondre aux exigences
lgales en vigueur. La simplicit de lusage et la gestion des utilisateurs (ouverture de compte, gestion
des droits daccs, assistance technique, etc.) conditionnent lefficacit des accs nomades et le retour
sur investissement.
Au-del de la scurit, les organisations veulent transformer leur investissement Wi-Fi en une
opportunit de revenus (services la carte, revenus publicitaires, etc.). Selon Gartner, le march du
Wi-Fi va crotre de 3.7B$ en 2011 9.7B$ en 2017 soit une croissance annuelle de 57% pour les
oprateurs et de 17% pour les entreprises.
La solution UCOPIA permet aux employs, clients, fournisseurs ou visiteurs de se connecter dans les
environnements professionnels et daccder trs simplement aux ressources de lIntranet, de lInternet
ou de lExtranet avec la double garantie de scurit et de qualit de service. UCOPIA apporte
galement une rponse aux organisations qui souhaitent un retour sur investissement de leur
infrastructure Wi-Fi grce ses services dAnalytique et de campagne marketing.
UCOPIA dveloppe et commercialise deux gammes de produits : UCOPIA Advance et UCOPIA
Express. UCOPIA Advance est destine aux grands projets (nombreux utilisateurs, plusieurs sites,
intgration fine avec le LAN) des entreprises, des campus, des administrations, des centres de congrs
ou des stades. UCOPIA Express vise les projets plus petits (mono site, quelques dizaines ou centaines
de connexions simultanes) mais privilgie la simplicit de la mise en uvre et de lexploitation.
UCOPIA Express est parfaitement adapte aux besoins des collges, des htels, des cliniques et des
PME en gnral.
Ce livre blanc dcrit la solution UCOPIA dans son ensemble, toutes gammes de produits confondues.
Il prsente dans un premiers temps les composants de loffre et ses principales fonctionnalits. Une
deuxime partie est consacre larchitecture de la solution, le rle et le fonctionnement de chaque
composant et module sont prsents de faon dtaille. Une troisime partie est consacre la faon
dont la solution UCOPIA sintgre dans les architectures rseau existantes. Une quatrime partie dcrit
les diffrentes architectures UCOPIA (mono site, multi sites, etc.). La cinquime partie aborde les
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
8 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
9 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
10 Livre blanc UCOPIA
Dautres architectures sont possibles, notamment des architectures dans le Cloud, voir Section 6.4.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
11 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
12 Livre blanc UCOPIA
3 Fonctionnalits UCOPIA
3.1 Scurit
La scurit est un lment essentiel pour un utilisateur nomade, UCOPIA offre les moyens de mettre
en uvre les mcanismes de scurit indispensable dans un contexte de mobilit, il permet notamment
dinstaller un climat de confiance mutuelle entre le nomade et son environnement daccueil.
La solution UCOPIA permet un utilisateur de se connecter en toute scurit grce ses mcanismes
dauthentification. Lutilisateur, une fois authentifi, ne peut accder quaux applications autorises
par son ou ses profils. Les profils peuvent dpendre du lieu ou de lheure de connexion, voire de
lquipement de lutilisateur. UCOPIA utilise les architectures VLAN pour renforcer le cloisonnement
des diffrentes populations dutilisateurs.
Le produit UCOPIA a obtenu une certification CSPN dlivr par lANSSI (Agence Nationale de la
Scurit des Systmes dInformation). Cela consiste attester que le produit a subi avec succs une
valuation par un centre dvaluation agr par lANSSI dans un temps et une charge contraints
conduisant une certification.
Les travaux dvaluation ont eu pour objectifs :
de vrifier que le produit est conforme ses spcifications de scurit (authentification,
contrle daccs par profil, traabilit, etc.) ;
de coter les mcanismes de faon thorique, de recenser les vulnrabilits connues de
produits de sa catgorie ;
de soumettre le produit des tests de vulnrabilit visant contourner ses fonctions de
scurit.
3.1.2 Authentification
UCOPIA propose plusieurs modes dauthentification, allant dune authentification de type portail Web
captif base sur HTTPS jusqu une authentification forte base sur le protocole 802.1x/EAP. Ces
diffrents modes dauthentification cohabitent dans un mme rseau, ventuellement sous diffrents
rseaux logiques (VLAN), chacun correspondant diffrentes catgories dutilisateurs. Par exemple,
une entreprise peut proposer ses employs une authentification forte base sur des certificats en
EAP/TLS et peut rserver lauthentification par login et mot de passe depuis un portail Web ses
visiteurs. Dans chaque mode dauthentification, la cl dauthentification a une dure limite dans le
temps.
3.1.2.1 Authentification depuis le portail Web captif
Ce mode dauthentification est comparable dun point de vue ergonomique celui utilis par les
hotspots. Lutilisateur, louverture de son navigateur Web, se voit automatiquement redirig vers une
page Web dauthentification hberge par le contrleur UCOPIA ou ventuellement externe celui-ci.
La page lui propose de sauthentifier en utilisant un couple login/mot de passe (mode standard), une
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
13 Livre blanc UCOPIA
fois lauthentification russie, les services autoriss saffichent dans la fentre et lutilisateur peut en
faire usage.
La copie dcran suivante montre la page daccueil du portail UCOPIA permettant une
authentification par login et mot de passe (mode standard) ainsi que de lauto-enregistrement par email
et par formulaire libre.
Une fois lutilisateur authentifi, les services autoriss par son profil saffichent dans la fentre.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
14 Livre blanc UCOPIA
Rauthentification automatique
Par dfaut, UCOPIA propose un mcanisme permettant de renforcer la scurit pour le mode
dauthentification par portail en mettant en oeuvre une authentification qui est rejoue priodiquement
et de faon transparente pour lutilisateur. Dans ce cas, il faudra que lutilisateur conserve la fentre du
portail ouverte pour que sa connexion reste active. Il est nanmoins possible de dsactiver cette option
par configuration, lutilisateur sera alors dconnect quand il teindra son poste ou dsactivera sa
connexion rseau. Lactivation ou la dsactivation de ce mcanisme seffectue au niveau du profil
utilisateur. Le temps de dconnexion sur inactivit est configurable.
Utilisation dun mme couple didentifiants pour plusieurs connexions simultanes
Par dfaut, le mme login/mot de passe ne peut tre utilis pour deux connexions simultanes, et ce
pour des raisons de traabilit et de scurit. Cette option peut toutefois tre dsactive pour autoriser
plusieurs postes utilisateurs (PC, Smartphone) se connecter avec le mme couple didentifiants. Il est
possible de contrler le nombre de connexions simultanes pour un profil utilisateur donn.
Redirection vers un portail dentreprise
Il est possible de rediriger lutilisateur vers un portail externe UCOPIA. Ce fonctionnement peut tre
intressant pour, par exemple, alimenter une base de donnes Marketing. Concernant lauthentification
de lutilisateur, deux modes sont proposs, (1) revenir sur le portail UCOPIA, (2) rester sur le portail
dentreprise qui devra alors tre enrichi avec le dialogue dauthentification UCOPIA. Pour ce dernier
cas, UCOPIA fourni une API permettant de raliser le dialogue dauthentification.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
15 Livre blanc UCOPIA
Les informations propres lutilisateur seront enregistres dans les journaux utilisateurs des fins de
traabilit et/ou de marketing.
Lorganisation dployant UCOPIA pourra dvelopper sa propre application rseau social afin de faire
apparatre une page ses couleurs lors de la saisie par lutilisateur de ses identifiants.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
16 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
17 Livre blanc UCOPIA
Le contrle daccs des utilisateurs doit sexercer de manire fine, en fonction de lutilisateur et de ses
droits. Pour ce faire le contrleur UCOPIA utilise un mcanisme de filtre bas sur des rgles et
construit partir du profil de lutilisateur. Le filtre est install sur le contrleur ds quun utilisateur est
authentifi. Il sera supprim lors de sa dconnexion.
Le profil de lutilisateur dcrit les droits daccs aux applications, la dure et le mode de connexion,
les plages horaires et les zones autorises de connexion, etc. Un mme utilisateur peut avoir plusieurs
profils dpendant de diffrents critres (lieu, temps, quipement).
Le filtre peut proposer de nombreuses autres fonctionnalits que lon peut mettre en uvre dans un
rseau Wi-Fi. La scurit en est un exemple, mais dautres applications tout aussi importantes peuvent
galement tre intgres cet environnement. Dans le cadre de la solution UCOPIA, le filtrage est
utilis notamment pour grer la qualit de service.
3.1.4 Traabilit
UCOPIA enregistre et sauvegarde deux types dinformation : les informations de sessions des
utilisateurs (qui sest connect quand) et les informations de trafic (qui a fait quoi). En effet, ds lors
qu'une organisation accueille des visiteurs, elle a l'obligation lgale de conserver le trafic
Internet des visiteurs qui se connectent au rseau (loi du 23 janvier 2006 sur le terrorisme et la
traabilit) (voir Section 3.5.3).
UCOPIA offre la possibilit dutiliser des VLAN en entre et en sortie du contrleur UCOPIA. En
effet, trs souvent les entreprises architecturent leur rseau en VLAN et il est important en installant
UCOPIA de pouvoir continuer bnficier des mcanismes disolation rseau mis en place sur le
rseau existant.
Considrons le cas dun dploiement Wi-Fi, chaque SSID configur sur les points daccs Wi-Fi est
associ un VLAN, ces VLANs se retrouvent en entre du contrleur UCOPIA. Le contrleur UCOPIA
alloue des plages dadresses IP distinctes pour chacun des VLANs. Par dfaut UCOPIA fonctionne en
mode NAT mais peut tre configur en mode routage au niveau de chaque VLAN de sortie en
fonction du profil de lutilisateur (voir Section Adressage IP et architectures VLAN).
Par ailleurs, en fonction de son profil, le flux dun utilisateur pourra tre rinject en sortie du
contrleur UCOPIA dans un VLAN particulier.
Le schma ci-dessous illustre une architecture VLAN pour deux types de populations, des visiteurs et
des employs dune entreprise. Les visiteurs sauthentifient en mode portail Web et les employs en
802.1x. Chacune des populations est redirige dans son VLAN dappartenance ct rseau
dentreprise.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
18 Livre blanc UCOPIA
UCOPIA propose nativement une fonction de filtrage dURLs qui peut sactiver par profil utilisateur.
Diffrentes catgories dURLs (Adulte, Agressif, etc.) peuvent tre filtres permettant par exemple de
diffrencier un profil Enfant dun profil Adulte .
Les catgories disponibles sont les suivantes.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
19 Livre blanc UCOPIA
Rseaux
Rseaux sociaux.
sociaux
Il est galement possible dutiliser un produit de filtrage tiers grce une redirection des flux HTTP
ou travers le protocole ICAP.
La solution base sur la redirection de flux HTTP est ralise grce au proxy Web embarqu dans le
contrleur UCOPIA. Il permet de rediriger les flux vers le produit en charge du filtrage dURLs. Les
identifiants de lutilisateur peuvent tre passs au produit tiers afin quil puisse appliquer diffrentes
politiques en fonction de lutilisateur.
1
www.ruckuswireless.com
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
20 Livre blanc UCOPIA
UCOPIA permet de dtecter et de contrer des attaques consistant usurper lidentit dun utilisateur.
Lusurpation seffectue sur le mme rseau Ethernet en falsifiant des adresses ARP (MAC) pour des
adresses IP donnes. Ce type dattaque est plus sensible en cas dutilisation dun mode
dauthentification par portail moins scuris quun mode 802.1x qui ne dlivre pas dadresse IP avant
authentification de lutilisateur. Dans ce type dattaque, le poste cibl par l'attaque mettra jour sa
table ARP avec une fausse adresse MAC et ne pourra plus communiquer avec le contrleur UCOPIA.
UCOPIA, une fois lattaque dtecte, se charge en temps rel de remettre dans un tat cohrent les
tables ARP des postes attaqus.
Des politiques de mot de passe peuvent tre dfinies pour chaque profil utilisateur. Il est ainsi possible
de dfinir la longueur du mot de passe ainsi que les caractres qui entrent dans sa composition.
Lassociation dune politique de mot de passe au profil permet de rpondre diffrents usages, par
exemple lapplication dune politique fortement scurise pour des employs dentreprise accdant
des ressources du rseau, et une politique simplifie pour des visiteurs sauto-enregistrant par SMS.
Un utilisateur entrant plusieurs fois conscutives un mot de passe erron peut tre mis en quarantaine.
Le nombre de tentatives ainsi que le temps de quarantaine sont configurables.
La confidentialit des donnes transmises est assure par les quipementiers qui commercialisent les
cartes IEEE 802.11 et les points daccs. Cette scurit est de type WPA (Wireless Protected Access)
ou WPA2 qui offre les fonctions de chiffrement TKIP ou AES, utilisant des clefs dynamiques.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
21 Livre blanc UCOPIA
UCOPIA est bien sr compatible avec ces protocoles. UCOPIA est plus gnralement compatible
802.11i.
A des fins de scurit et de traabilit, toutes les oprations dadministration sont notes au format
Syslog. Cela concerne les oprations effectues depuis loutil dadministration, le portail de dlgation
et la CLI Web.
3.2 Mobilit
La gestion de la mobilit consiste dfinir quelles sont les politiques de mobilit de lentreprise dune
part et les mettre en uvre dautre part. Par ailleurs, il faut que lutilisateur nomade puisse accder
en tout lieu aux services autoriss de faon simple et transparente et lui garantir la Qualit de Service
ncessaire la bonne excution de ses applications.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
22 Livre blanc UCOPIA
La mise en uvre du modle de mobilit UCOPIA sappuie sur la notion de profil utilisateur
adaptable. En effet, UCOPIA, dans sa gamme Advance, permet dadapter automatiquement le profil
du nomade en fonction de diffrents critres : le lieu de connexion (site, zone), lheure de connexion,
voire lquipement avec lequel le nomade se connecte.
Grce aux profils adaptables, il est ais de spcifier les configurations suivantes :
1. Les tudiants qui si connectent dans la zone Amphithatre pendant la priode dexamens
voient leurs droits daccs modifis (pas dInternet, accs uniquement aux serveurs
pdagogiques).
2. Les tudiants qui se connectent dans la zone Bibliothque se connectent avec un crdit
temps de 2 heures par jour, ils nont pas de limite de temps sur la zone Rsidence
Universitaires .
3. Les employs dune entreprise se connectent en authentification forte (802.1x) sur le sige
social et peuvent accder au LAN sans restrictions, ils sauthentifient en mode portail sur une
filiale et voient leurs droits daccs restreints (Internet, VPN dentreprise).
4. Les clients dun htel qui se connectent dans les chambres ont une connexion illimite, ils ont
un crdit temps dans les zones restaurant et accueil.
Le profil adaptable peut sappliquer au type de matriel de lutilisateur et ainsi permettre de mettre en
uvre des politiques de scurit et de mobilit propres un type de matriel. Cette fonctionnalit peut
tre utilise dans les entreprises pour grer le BYOD et ainsi appliquer un traitement particulier aux
quipements personnels des employs.
Par exemple, les tlphones mobiles et les tablettes ne pourront se connecter quaux jours et heures
ouvrs avec des droits daccs restreints.
Lors de la dfinition du profil, la condition BYOD pourra sexprimer de la faon suivante :
Si la condition est satisfaite, le profil sadaptera pour mettre en uvre les droits daccs et les horaires
de connexion appropris.
Il est noter que les conditions permettant de slectionner les quipements peuvent faire intervenir le
constructeur et le systme dexploitation (nom et version).
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
23 Livre blanc UCOPIA
les drivers ncessaires. Le filtre est capable de dtecter ces problmes et de proposer des solutions. En
voici quelques exemples.
Adressage IP : la configuration rseau du terminal de lutilisateur importe peu. En effet,
quil soit configur en adressage IP fixe ou en adressage DHCP, le contrleur UCOPIA se
charge dtablir la connexion de faon transparente pour lutilisateur.
Accs Internet: beaucoup dentreprises mettent en place des proxy Internet pour des
raisons de scurit et les navigateurs des employs de ces entreprises sont configurs en
consquence afin dutiliser le proxy. Si un tel utilisateur tente daccder Internet dans
un environnement sans proxy Web ou avec un autre proxy, cela ne fonctionne pas : il
doit modifier la configuration de son navigateur. UCOPIA assure le bon fonctionnement
du navigateur de lutilisateur indpendamment de sa configuration et il redirige si besoin
est vers le proxy dentreprise.
Email: envoyer un email depuis un environnement qui nest pas son environnement
habituel gnralement choue car les rseaux des entreprises sont construits pour se
protger de ce type de message qui pourrait par exemple servir de couverture des
mcanismes de spam . UCOPIA dtecte les messages sortants de type SMTP et
redirige automatiquement les paquets vers le serveur SMTP local de lentreprise si bien
sr lutilisateur est autoris envoyer un message. Lutilisateur ne modifie pas sa
configuration de client de messagerie et le mail peut partir en toute transparence.
Impression : imprimer un document dans un environnement qui nest pas le sien relve
trs souvent du dfi. Il faut connatre le type dimprimante, savoir quel est son driver, o
il se trouve, comment linstaller. UCOPIA apporte la rponse ce type de problme, le
contrleur embarque un serveur dimpression dont le rle est de mettre disposition de
faon transparente le driver de limprimante.
UCOPIA est galement compatible avec la solution AirPrint2 pour imprimer de faon
transparente en environnement Wi-FI et Apple.
Lensemble de ces mcanismes de transparence daccs mis en uvre par UCOPIA garantit
lutilisateur final productivit et confort dutilisation. Il rduit de faon spectaculaire la charge de
travail de lassistance technique car il nest plus ncessaire de la solliciter lors dune connexion dans
un environnement daccueil.
UCOPIA peut diffrencier les flux traversant les contrleurs UCOPIA et ainsi grer des priorits de
flux en fonction des choix de ladministrateur.
Deux niveaux de gestion de la Qualit de Service sont proposs :
Au niveau des services
Au niveau des utilisateurs
3.2.5.1 QoS par service
Pour chaque service, il est possible de dfinir :
La priorit de traitement des services
Les services dfinis dans le contrleur UCOPIA peuvent avoir deux niveaux de priorit :
temps rel ou normal. Les flux de type de temps rel sont traits en priorit.
2
AirPrint est une technologie propose par Apple qui permet dimprimer des documents de haute
qualit, et ce laide de larchitecture dimpression sans pilotes dApple.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
24 Livre blanc UCOPIA
Afin de contrler lusage qui est fait du rseau, un quota de volume de donnes transfres peut tre
dfini au niveau du profil de lutilisateur. Ce quota peut tre fix pour le dbit ascendant, descendant
ou la somme des deux. En cas de dpassement du seuil, des rgles peuvent sappliquer pour soit
bloquer lutilisateur, soit limiter sa bande passante.
Les diffrents modes de portails peuvent cohabiter, en effet, chaque zone (voir Section 6.3) en entre
du contrleur UCOPIA, il est possible dassocier un portail fonctionnant dans un mode particulier. Par
exemple, dans un htel, les clients du restaurant sauto-enregistrent sur le portail (mode SMS) et ont
une dure de connexion limite 30 minutes, les clients de lhtel disposent dun compte utilisateur
cr lors de leur inscription et peuvent se connecter sans limite de temps.
Le portail UCOPIA reconnait le type de terminal utilis (PC, smartphone ou tablette) et peut ainsi
proposer un portail dont le format est appropri au terminal.
Le portail est personnalisable grce un mode Edition permettant de changer le fond dcran, le
logo, dajouter des images, du texte, des URLs accessibles sans authentification, etc. Chaque format
de portail (PC, smartphone et tablette) peut ainsi tre personnalis.
La copie dcran ci-dessous montre le portail en mode Edition .
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
25 Livre blanc UCOPIA
Le portail UCOPIA peut afficher du contenu dynamique partir dun serveur de contenu.
Il est ainsi possible de proposer un contenu publicitaire sur le portail en provenance dune rgie, le
contenu pouvant changer chaque rafraichissement de portail.
La copie dcran ci-dessous montre un exemple de portail personnalis affichant un encart publicitaire.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
26 Livre blanc UCOPIA
Une application mobile UCOPIA pour Smartphones est disponible. Lobjectif de lapplication est
double, dune part simplifier le parcours utilisateur et donc la connexion un rseau UCOPIA, dautre
part permettre un administrateur dlgu de crer trs simplement un compte utilisateur.
Lapplication propose un mode dauto-enregistrement. Ce mode vite davoir crer son compte
depuis le portail captif. Son fonctionnement consiste proposer la premire connexion le
renseignement dun formulaire didentification, les autres connexions seront alors transparentes. Le
formulaire peut ventuellement tre supprim pour une complte transparence dutilisation.
Lapplication mmorise les identifiants de lutilisateur, ils sont rejous automatiquement en prsence
dune demande dauthentification et en fonction du contrleur UCOPIA sur lequel lapplication se
connecte
Les comptes utilisateur peuvent tre cres directement partir des contacts du rpertoire du
Smartphone, les tickets de connexion peuvent tre envoys lutilisateur depuis le Smartphone par
SMS ou par email.
Lapplication pourra tre personnalise aux couleurs du client (htel, entreprises, ). Changement du
logo, texte, etc.).
Lapplication UCOPIA est gratuite et disponible en franais et en anglais.
iPhone Androd
iPass3 est une solution permettant des utilisateurs nomades de se connecter leur environnement
professionnel de faon scurise depuis une infrastructure Wi-Fi. iPass sutilise depuis un PC, un
smartphone ou une tablette.
UCOPIA est compatible iPass, il permet ainsi de prendre en charge tout utilisateur iPass de faon
transparente. Cest un avantage pour toute organisation (htel, centre de congrs, etc.) qui veut attirer
et fidliser une population dutilisateurs professionnels (voir Section 5.7.4 pour larchitecture).
3
www.ipass.com
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
27 Livre blanc UCOPIA
Diffrents modes dauto-enregistrement sont proposs, ces modes sont disponibles depuis le portail
captif et peuvent ventuellement cohabiter. Il est par exemple possible de prsenter un portail qui
combine le mode standard (login/mot de passe) avec un ou plusieurs modes dauto-enregistrement
(SMS, email , ).
Lavantage du provisionnement de compte par auto-enregistrement est de ne demander aucune
intervention de ladministration puisque le compte de lutilisateur est automatiquement cr par
laction dauto-enregistrement. Pour renforcer la scurit, il est possible dajouter un mot de passe
pralable pour accder au portail, ce mot de passe sera le mme pour tous les utilisateurs du portail.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
28 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
29 Livre blanc UCOPIA
messagerie. La traabilit est garantie grce lemail de lutilisateur. Ce mode prsente lavantage
dtre gratuit en comparaison du mode SMS qui a le cot denvoi du SMS.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
30 Livre blanc UCOPIA
3.3.2 Parrainage
Afin de renforcer la scurit pour les modes dauto-enregistrement, il est possible de faire valider la
demande denregistrement par un tiers, un parrain.
Ainsi lors de lauto-enregistrement sur le portail, lutilisateur renseigne lemail de son parrain auquel
sera envoye la demande denregistrement. Le parrain reoit un email avec deux liens lui permettant
daccepter ou de refuser la demande.
Lutilisateur est notifi de la dcision sur le portail.
Ce mode par parrainage peut tre utilis pour les modes dauto-enregistrement par email, SMS et
formulaire.
Ladministrateur peut dlguer une ou plusieurs personnes le droit de crer des comptes utilisateurs.
Pour ce faire, un portail de dlgation est mis disposition de ces personnes habilites. Ce portail est
plus particulirement utilis pour accueillir des visiteurs dans une entreprise ou des clients dans un
htel. Le portail de dlgation ne ncessite aucune comptence technique, il sagit dun outil Web trs
simple dutilisation.
Les administrateurs dlgus peuvent tre dfinis localement dans lannuaire UCOPIA o appartenir
un annuaire dentreprise externe (Active Directory par exemple).
Le portail de dlgation est disponible en plusieurs langues.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
31 Livre blanc UCOPIA
de son utilisateur. Par exemple, pour un usage simplifi, loutil pourra tre rduit sa plus simple
expression en gnrant un ticket de connexion partir des seules informations de nom et prnom de
lutilisateur. Pour un usage plus avanc, ladministrateur dlgu sera mme de crer un compte en
allouant un profil, une plage horaire, il pourra ventuellement modifier le compte aprs cration,
rditer un ticket de connexion, re-gnrer un mot de passe, dtruire le compte, etc.
Voici titre dexemple, une utilisation du portail de dlgation.
1. Choix dun profil parmi un ensemble de profils prdfinis
2. Renseignement des informations nominatives de lutilisateur
3. Choix de plages horaires et/ou de crdit temps
4. Gnration dun ticket de connexion rsumant les informations permettant lutilisateur de se
connecter (login, mot de passe, restrictions horaires, etc.)
5. Le ticket peut tre imprim, envoy par email ou par SMS suivant les possibilits de
lUCOPIA en place.
Les copies dcran ci-dessous montrent respectivement la slection dune plage horaire de connexion
et/ou dun crdit temps depuis le portail de dlgation ainsi que la gestion des comptes utilisateur.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
32 Livre blanc UCOPIA
Lutilisateur peut acheter un temps de connexion ou crdit temps en ralisant un paiement en ligne.
Lutilisateur est invit choisir un forfait sur le portail UCOPIA puis est redirig vers le site Paypal
ou Ogone suivant la configuration du portail UCOPIA. Il peut payer soit en utilisant son compte
Paypal soit en utilisant sa carte de paiement (PayPal ou Ogone). Une fois la transaction effectue avec
succs, lutilisateur peut se connecter sur le portail UCOPIA en utilisant le login et mot de passe
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
33 Livre blanc UCOPIA
dlivrs par UCOPIA sur le portail. Optionnellement les identifiants peuvent tre dlivrs par SMS. La
traabilit est assure car UCOPIA rcupre les informations nominatives de lutilisateur depuis le site
PayPal ou Ogone. Pour mettre en uvre ce type de portail lorganisation utilisant UCOPIA doit
possder un compte PayPal ou Ogone afin de se voir rtribue des achats des utilisateurs.
UCOPIA fonctionne en association des outils de facturation de type PMS (Property Management
System). Comme le paiement en ligne, le couplage UCOPIA/PMS utilise une notion de forfait. Le
forfait est dfini par ladministrateur UCOPIA. Cela peut tre un forfait 1h, 3h, ou forfait emails ,
ou forfait Tous les jours ouvrs de 16h 18h , etc. Les forfaits sont proposs au choix de
lutilisateur sur le portail UCOPIA aprs authentification.
UCOPIA peut fonctionner avec un serveur de cartes prpayes de type PPS (Pre Paid System). A
chaque carte est associ un temps de connexion. Lutilisateur sauthentifie sur le portail captif avec
lidentifiant de sa carte et un captcha code. Le temps octroy par la carte et le temps consomm
saffichent sur le portail aprs authentification.
Pour rpondre aux besoins des environnements de type centres dexposition, UCOPIA propose une
gestion dvnement. Un vnement se matrialise par un forfait nomm et une date de validit, par
exemple Le salon de lauto du 4 au 12 avril .
Un exposant peut acheter sur le portail captif (via Ogone) une extension de son forfait pour plusieurs
connexions simultanes, pour par exemple offrir un accs Internet ses visiteurs ou collaborateurs.
Un prix dgressif peut tre appliqu pour les achats de connexions supplmentaires. Un rcapitulatif
des paiements (sous la forme dun document PDF) peut tre obtenu par lexposant depuis le portail
captif.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
34 Livre blanc UCOPIA
3.5 Administration
Loutil dadministration est ddi ladministrateur rseau, il permet de grer les politiques de
mobilit de lentreprise, lensemble de la configuration UCOPIA ainsi que les aspects supervision et
journalisation.
Ladministration peut dlguer des personnes habilites mais non spcialistes rseau des droits
dadministration limits, notamment la cration de comptes utilisateur. Le dlgu dispose dun
portail dit de dlgation pour crer ou modifier des comptes utilisateur (voir Section 3.3.3).
Loutil dadministration ainsi que le portail de dlgation sont accessibles travers une interface Web
scurise en HTTPS.
Diffrents profils dadministration peuvent tre crs afin doctroyer plus ou moins de prrogatives
aux administrateurs. Par exemple, un administrateur sera habilit effectuer des modifications de
configuration rseau alors quun autre ne pourra que modifier les profils utilisateurs ou les portails
dauthentification.
Loutil dadministration UCOPIA va permettre de dfinir les services qui seront accessibles depuis le
rseau daccueil, les profils utilisateurs (droits daccs, plages horaires, zones, QoS, filtrage dURLs,
etc.) et les utilisateurs. Par dfaut un utilisateur hrite des proprits de son profil mais il est possible
de redfinir pour un utilisateur certaines proprits telles que sa dure de validit ou les plages horaires
de connexion.
Les services sont caractriss par diffrents paramtres tels que les numros de ports, les adresses IP
des serveurs impliqus dans le service, les protocoles rseau, etc. UCOPIA est livr avec un ensemble
de services prdfinis (Web, Mail, Transfert de fichier, VPN, etc.), ces services sont bien sr
personnalisables.
Les catgories dURLs devant tre filtres et donc interdites peuvent tre spcifies au niveau de
chaque profil dutilisateur.
La copie dcran ci-dessous montre la cration dun profil utilisateur avec slection des droits daccs,
des heures de connexion et des URLs autorises.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
35 Livre blanc UCOPIA
UCOPIA gre des journaux de sessions et de trafic, ces journaux sont crs localement sur le
contrleur UCOPIA et sont accessibles depuis loutil dadministration UCOPIA.
Les journaux de sessions
Concernant les journaux de sessions, les informations sauvegardes sont les suivantes :
Le login, nom et prnom de lutilisateur
Les adresses IP et MAC de lutilisateur
Le sous-rseau dentre sur lequel lutilisateur se trouve
Le type dauthentification : 802.1x ou mode portail Web
Les horaires de connexion : heure laquelle lutilisateur sest connect, heure
laquelle il sest dconnect
Le profil de lutilisateur
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
36 Livre blanc UCOPIA
Les champs additionnels ajouts par ladministrateur, par exemple email, nom de
socit, numro de carte didentit.
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
La figure suivante montre le journal des sessions depuis loutil dadministration UCOPIA.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
37 Livre blanc UCOPIA
La recherche dun utilisateur partir dune information est particulirement simple. Par exemple, la
copie dcran ci-dessous montre le rsultat de la demande qui a visit lURL www.google.com dans
un intervalle de temps dfini. UCOPIA retrouve le ou les utilisateurs rpondant ces critres,
lensemble des pages visites est prsent.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
38 Livre blanc UCOPIA
Les journaux sont compresss dynamiquement afin doptimiser la place sur le disque dur du contrleur
UCOPIA. Les journaux peuvent galement tre exports, manuellement ou automatiquement (via
FTPS), vers une machine tierce.
Les journaux peuvent tre galement utiliss des fins de statistiques pour notamment mieux
apprhender lusage qui est fait du contrleur UCOPIA. Pour cela, UCOPIA propose diffrentes vues
statistiques prconfigures.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
39 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
40 Livre blanc UCOPIA
correctement dimensionn pour rpondre aux besoins des utilisateurs. Il permet galement de savoir
quels sont les utilisateurs qui se connectent rgulirement sur le rseau, quels sont les services qui sont
sollicits, les ressources dployes pour ces demandes, etc.
3.5.4 Reporting
Un rapport de statistiques des sessions utilisateurs au format PDF peut tre gnr automatiquement et
priodiquement (par jour, par semaine, etc.). Le rapport est envoy par email un ou plusieurs
destinataires ou dpos sur un serveur FTP.
Les rapports peuvent tre gnrs par zone.
Le rapport inclut des statistiques telles que :
Nombre de sessions simultanes
Nombre total de sessions
Dure moyenne des sessions
Rpartition du nombre de sessions par mode d'authentification, par profil utilisateur
Rpartition du nombre de sessions par sous-rseau d'entre, par zone
Rpartition du nombre de sessions par constructeurs dquipement, par systme
dexploitation
Liste des utilisateurs les plus consommateurs en bande passante
etc.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
41 Livre blanc UCOPIA
Dans le cas darchitecture multi sites, plusieurs contrleurs UCOPIA peuvent tre dploys (voir
Section Architecture ). Dans ce cas, un contrleur sera configur comme tant Principal , il sera
alors en charge de ladministration centralise de tous les autres contrleurs.
Le contrleur UCOPIA intgre un agent SNMP, lui permettant ainsi dtre supervis depuis un outil
de supervision du march compatible SNMP.
UCOPIA propose une MIB standard MIB-2 afin de permettre le dialogue entre loutil de supervision
et lagent UCOPIA. De plus, des traps SNMP peuvent tre dclenches afin de surveiller les diffrents
services actifs du contrleur (DHCP, RADIUS, SQL, etc.).
Une CLI (Command Line Interface) est disponible. Lobjectif est de permettre certaines oprations
dadministration avance.
La CLI est accessible depuis loutil dadministration graphique. Depuis la CLI, Il est par exemple
possible de visualiser les diffrents journaux internes dun contrleur UCOPIA (DHCP, RADIUS,
etc.), de lancer des commandes rseau (nslookup, tcpdump, etc.), de redmarrer ou de visualiser le
statut des services (DHCP, RADIUS, proxy, LDAP, etc.).
Le fichier Syslog UCOPIA qui centralise les journaux dvnements peut tre export dun contrleur
UCOPIA afin dtre pris en charge par un serveur Syslog. Les vnements envoys peuvent tre filtrs
par catgorie (DHCP, RADIUS, ).
Dans le cas dune architecture multi sites centralise, il est intressant de pouvoir ddier des oprations
dadministration chaque site. Pour cela, sur le contrleur central, une zone dentre peut tre associe
un site. Il sera alors possible dadministrer au niveau de la zone, par exemple en allouant une licence
par zone, un portail, un compte Ogone, etc. Les rapports de statistiques peuvent galement tre
gnrs par zone.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
42 Livre blanc UCOPIA
Ladministrateur peut donner la possibilit lutilisateur de grer son propre compte utilisateur depuis
le portail captif. Lutilisateur pourra ainsi modifier ses informations personnelles (nom, prnom, email,
) et grer sa liste dquipements. En effet, dans le cas o les quipements de lutilisateur sont
enregistrs par le contrleur UCOPIA, ceux-ci seront visibles depuis la page dadministration de
compte. Lutilisateur aura alors la possibilit dintervenir, par exemple pour supprimer un quipement
qui nexiste plus.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
43 Livre blanc UCOPIA
4 Architecture UCOPIA
Nous dcrivons dans cette section les diffrents modules constituant larchitecture UCOPIA ainsi que
les protocoles utiliss lors des interactions entre ces modules.
En rgle gnrale, lensemble du trafic en provenance des utilisateurs est redirig vers le contrleur
UCOPIA qui est en coupure logique (ou physique) entre un rseau daccueil (Wi-Fi et/ou filaire) et le
LAN de lorganisation.
Les protocoles dauthentification entre les postes des utilisateurs et le contrleur UCOPIA sont soit
802.1x/EAP ou HTTPS. Le serveur RADIUS et les outils dadministration UCOPIA dialoguent avec
le ou les annuaires LDAP travers le protocole scuris LDAPS. La traabilit est assure par une
base de donnes des journaux au format SQL. Ladministration seffectue en mode Web HTTPS.
Le contrleur UCOPIA est bas sur une architecture Linux.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
44 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
45 Livre blanc UCOPIA
partir de catgories prdfinies. La base des URLs est embarque dans le contrleur
UCOPIA.
Accs transparent : le module Zro Configuration/Rseau est bas sur le mcanisme
de filtrage des flux et permet de rectifier dynamiquement les erreurs de configuration
par rapport lenvironnement daccueil. Les techniques utiliss sont soit de la
redirection de flux vers les serveurs appropris (ex : mail ou proxy Web) soit de la mise
disposition automatique et transparente de composants ncessaires lexcution du
service (ex : pilote dimprimante). Pour raliser la mise disposition de pilotes
dimprimantes, un serveur dimpression est intgr au module zro configuration . Par
ailleurs, ce module dlivre des @IP en mode DHCP mais permet galement de prendre
en charge des postes utilisateur configurs en @IP fixe.
Zones : le module Zones implmente des zones logiques qui peuvent reprsenter
des lieux ou des sites et qui simplmentent en VLANs ou en sous-rseaux en fonction de
la couche rseau mise en oeuvre (niveau 2 ou 3).
Rdirection VLAN : Le module Politiques de sortie permet de router en sortie du
contrleur UCOPIA le flux dun utilisateur dans un VLAN en fonction de son profil (au lieu
de ladresse de destination du flux). Ce module prsente donc des fonctionnalits de
routage volu et utilise notamment le standard 802.1q pour la gestion des VLAN. Le flux
de lutilisateur peut galement sortir du contrleur en mode NAT ou en mode routage,
en fonction de la politique.
Adressage rseau: Le contrleur embarque un serveur DHCP, fonctionne en mode NAT
ou routage et assure un relais DNS.
Traabilit : Les journaux sont aliments par trois sources et stocks dans une base de
donnes SQL : le module Gestion des sessions enregistre les sessions des utilisateurs
(login, nom, prnom, @IP, @Mac, etc.), le module Gestion du trafic enregistre le
trafic des utilisateurs (enttes de paquets IP), le module Gestion des URLs enregistre
les URLs accdes par les utilisateurs.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
46 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
47 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
48 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
49 Livre blanc UCOPIA
La copie dcran suivante prsente une configuration avec trois annuaires (Employs, Partenaires,
local (ucopia)), lordre de la cascade dannuaires est spcifique un mode dauthentification. En effet,
il est possible de faire une distinction entre le mode dauthentification portail et le mode 802.1x/EAP,
par exemple pour le mode portail les trois annuaires interviennent dans un ordre particulier, pour le
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
50 Livre blanc UCOPIA
mode 802.1x, seulement deux annuaires entrent en jeu (Employs et Partenaires) dans un ordre de
cascade diffrent du mode portail.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
51 Livre blanc UCOPIA
Le mode dadressage peut tre personnalis en fonction du profil de lutilisateur. Par exemple, un
utilisateur ayant le profil Visiteur peut tre nat alors quun Employ sera rout. Ces politiques
dadressage se dfinissent sur les VLANs de sortie du contrleur UCOPIA. Le schma ci-dessous
illustre la mise en uvre de deux politiques de sortie sur le VLAN natif de sortie.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
52 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
53 Livre blanc UCOPIA
La capacit du serveur RADIUS UCOPIA tre configur en mode proxy rpond au besoin des
architectures dauthentification EDUROAM rencontres dans le monde universitaire.
EDUROAM est un projet Europen d'architecture d'authentification rpartie, utilisant le protocole
RADIUS, entre les tablissements d'enseignement suprieurs et de recherche franais. Cette
authentification vise offrir des accs rseau sans fil aux membres de la communaut concerne en
dplacement sur les sites des partenaires avec leur nom et mot de passe habituels.
Les serveurs RADIUS des participants sont connects un proxy national, lui-mme connect au
proxy international du projet EDUROAM. Les requtes d'authentifications sont achemines vers le
serveur d'authentification de l'tablissement d'appartenance de l'utilisateur par le biais du nom de
domaine associ son identifiant (de la forme user@etab.fr).
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
54 Livre blanc UCOPIA
associe la simplicit dutilisation du mode portail Web avec le mode RADIUS et proxy
RADIUS.
Shibboleth est un mcanisme de propagation d'identits, dvelopp par le consortium Internet2, qui
regroupe un grand nombre duniversits et de centres de recherches. L'objectif de la propagation
d'identits est double : dlguer l'authentification l'tablissement d'origine de l'utilisateur et obtenir
certains attributs de l'utilisateur (pour grer le contrle d'accs ou personnaliser les contenus).
Dans larchitecture Shibboleth, UCOPIA joue le rle de Service Provider. UCOPIA permet ainsi
travers son portail de rediriger lutilisateur vers le service de dcouverte de la fdration (Discovery
Service) partir duquel il peut slectionner son tablissement dorigine. Lutilisateur sera ensuite
redirig vers son fournisseur didentit pour authentification (Identity Provider).
UCOPIA fonctionne par dfaut avec le Discovery Service de RENATER mais peut-tre configur
pour utiliser un autre service.
Le schma ci-dessous montre les interactions entre les diffrents composants de larchitecture
Shibboleth.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
55 Livre blanc UCOPIA
UCOPIA propose une API gnrique permettant dinterfacer le contrleur UCOPIA avec un produit
tiers. Ce couplage peut savrer intressant afin dutiliser UCOPIA en conjonction dun produit de
provisionnement de comptes utilisateurs et/ou de facturation de services. Prenons le cas dune clinique
qui utilise un produit permettant lors de lenregistrement dun patient de lui dlivrer des services tels
que TV, tlphone, accs Internet, et ensuite de les facturer. Dans ce contexte, UCOPIA serait en
charge du contrle de laccs Internet. Une fois le compte du patient cr dans loutil tiers, ce mme
compte sera cr automatiquement dans UCOPIA via lAPI afin dautoriser laccs Internet pour le
patient. Le patient quittant la clinique, UCOPIA sera interrog via son API pour connatre le temps
cumul de connexion Internet du patient et ainsi procder la facturation depuis loutil tiers.
LAPI se prsente sous la forme de requte http dont la syntaxe est la suivante :
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
56 Livre blanc UCOPIA
Le contrleur UCOPIA propose en plus de son API gnrique dinterfaage, une interface ddie avec
des produits de type PMS. Les PMS sont des produits de gestion clients et se rencontrent plus
particulirement dans les environnements hteliers ou hospitaliers, ils permettent lenregistrement des
clients, la facturation, etc.
Le couplage PMS/UCOPIA repose sur le protocole FIAS et fonctionne avec une notion de forfait. Le
forfait est dfini par ladministrateur UCOPIA, cela peut tre un forfait 1h, 3h, ou forfait emails ,
ou forfait Tous les jours ouvrs de 16h 18h , etc. Les forfaits sont proposs au choix de
lutilisateur sur le portail UCOPIA. UCOPIA informe le PMS des forfaits choisis afin quil puisse
oprer la facturation.
Larchitecture du couplage UCOPIA/PMS est la suivante :
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
57 Livre blanc UCOPIA
Le contrleur UCOPIA propose une interface ddie avec des produits de type PPS fonctionnant avec
des cartes prpayes. Lutilisateur sauthentifie sur le portail UCOPIA en renseignant le numro de
carte et le CAPTCHA code. Le numro de carte permet de faire une demande de crdit temps auprs
du serveur PPS. Le PPS alloue du temps par tranche de N minutes renouvelable. Le compte de
lutilisateur est automatiquement cr dans UCOPIA. Lutilisateur visualise sur le portail le temps de
connexion associ la carte et le temps de connexion consomm.
UCOPIA est compatible iPass et permet ainsi tout utilisateur abonn de se connecter depuis un
contrleur UCOPIA. Pour cela, lutilisateur iPass installe sur son matriel (PC, Smartphone, ) une
application iPass qui permet une connexion transparente. Cette application utilise un VPN pour assurer
la communication avec lentreprise de lutilisateur.
UCOPIA est compatible iPass et permet ainsi tout utilisateur abonn de se connecter depuis un
contrleur UCOPIA.
Larchitecture UCOPIA/iPass est la suivante.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
58 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
59 Livre blanc UCOPIA
6 Architectures rseau
6.1 Architectures mono site
Les architectures mono site se rencontrent plus particulirement dans les environnements hteliers ou
entreprises de type PME.
Dans le cas des htels, les architectures rseau sont gnralement trs dpouilles , laccs Internet
est assur par un modem/routeur ADSL, un pare-feu assure la scurit priphrique. UCOPIA se
positionne en coupure physique (pas dorganisation en VLANs) entre le rseau daccueil des clients
(Wi-Fi et/ou filaire) et le pare-feu comme lindique le schma ci-dessous.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
60 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
61 Livre blanc UCOPIA
Dans une architecture centralise multi sites, le contrleur sera centralis sur lun des sites et assurera
le service pour lensemble des sites distants.
Le flux utilisateur sera centralis afin dutiliser lchappement Internet central. La centralisation du
flux peut soprer de diffrentes faons. Soit en assurant un routage des flux entre le site distant et le
site central, soit en tablissent un tunnel (niveau 2 ou 3) entre le site distant et le site central, soit, dans
le cas dune architecture Wi-Fi de type point daccs lger , en utilisant les tunnels LWAPP ou
CAPWAPP entre les bornes Wi-Fi se trouvant sur le site distant et le contrleur de bornes sur le site
central.
Cas dune architecture centralise avec rseau rout (N3) entre les sites distants et le site central
Si lon souhaite dans une architecture route conserver des fonctionnalits UCOPIA ncessitant
ladresse MAC telles que lauthentification automatique par adresse MAC ou lauthentification
802.1x, il faudra quun lment en amont dUCOPIA puisse relayer les requtes DHCP et bien
entendu que le service DHCP soit rendu par le contrleur UCOPIA.
Il persistera nanmoins pour cette architecture deux restrictions : (1) les postes clients sur le site
distant doivent tre configurs en DHCP, (2) la rpartition de charge ncessite que les lments de
niveau 3 puissent tre configurs pour rpartir le trafic sur les diffrentes contrleurs du cluster (ex :
source routing). Si ces restrictions ne sont pas souhaites, il faut alors tablir un tunnel de niveau 2
entre le site distant et le site central.
Il est noter que le contrleur UCOPIA central peut tre configur pour fonctionner la fois en
communication commute et route.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
62 Livre blanc UCOPIA
Il est possible de ne centraliser que certains services, en loccurrence les services de portail et
dauthentification. Un contrleur UCOPIA sera donc prsent sur chaque site en charge du contrle du
trafic utilisateur et un contrleur en central assurera les services de portail et dauthentification.
Dans cette architecture, les flux utilisateurs sont donc grs localement sur chaque site et
lchappement Internet local chaque site est utilis.
Le contrleur UCOPIA local ralise une redirection de portail vers lUCOPIA central,
lauthentification seffectue en RADIUS. La base des utilisateurs se trouve sur le contrleur central.
Lavantage de cette architecture est de pouvoir partager le portail dauthentification et la base des
utilisateurs entre tous les sites. Cela simplifie notamment ladministration en cas de mise jour du
portail.
Il est noter que cette architecture peut fonctionner avec uniquement une infrastructure Wi-Fi sur le
site distant (cest--dire sans contrleur UCOPIA). Il faut nanmoins que la solution Wi-Fi soit
compatible avec les protocoles de redirection portail et RADIUS.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
63 Livre blanc UCOPIA
Dans une architecture distribue, un contrleur est prsent sur chaque site.
Pour assurer une cohrence de lannuaire UCOPIA travers les diffrents sites, il est possible de
mettre en uvre un mcanisme de synchronisation de cet annuaire. Il faut alors dfinir un contrleur
dit Principal qui aura la charge de cette synchronisation. En consquence, toute opration effectue sur
un des annuaires UCOPIA du pool de contrleur seffectuera en ralit sur le contrleur Principal qui
rplique chaud la modification sur tous les contrleurs Secondaires. En revanche, linterrogation
dun annuaire UCOPIA et donc lauthentification des utilisateurs est toujours ralise en local sur le
contrleur. Ce mcanisme garantie une parfaite homognit en termes dadministration des
utilisateurs et des profils utilisateur.
Le schma ci-dessous illustre le mcanisme de rplication dannuaire.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
64 Livre blanc UCOPIA
En multi sites, les architectures prcdentes peuvent tre combines et ainsi avoir des sites distants qui
se rfrent un UCOPIA central alors que dautres auront leur propre contrleur local.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
65 Livre blanc UCOPIA
La zone de sortie est unique, elle correspond dune part un VLAN et dautre part une politique
dadressage en sortie du contrleur UCOPIA (NAT ou routage).
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
66 Livre blanc UCOPIA
Cas No1 :
Le trafic utilisateur est centralis dans le Cloud, lchappement Internet seffectue au niveau
du Cloud. Lensemble des fonctions UCOPIA est assur par un (ou plusieurs) contrleurs
UCOPIA du Cloud.
Cette architecture rpond aux besoins des oprateurs, des WISP ou des grandes chanes de
magasins.
Cas No2 :
Le portail captif, lauthentification et lannuaire des utilisateurs sont centraliss dans le Cloud.
Cette architecture dporte certaines fonctions du contrleur UCOPIA dans le Cloud
permettant ainsi une administration centralise de ces fonctions. Un quipement Wi-Fi assure
la redirection vers le portail UCOPIA centralis et lauthentification (change RADIUS avec
le serveur RADIUS UCOPIA en central). Cette architecture prsente lavantage de ne pas
ncessiter lajout de composants sur le site local en dehors de lquipement Wi-Fi. En
revanche, en termes de traabilit, seuls les journaux de sessions utilisateur sont disponibles
au niveau du Cloud.
Cette architecture rpond aux besoins des WISP, oprateurs pour le bas/milieu de march. Ou
pour de nombreux petits points de ventes dune chane de magasins.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
67 Livre blanc UCOPIA
Cas No3:
Il sagit dune architecture comparable larchitecture 2, mais avec un contrleur UCOPIA
sur site local. De part la prsence dun contrleur UCOPIA sur site, cette architecture permet
de fournir lensemble des fonctions UCOPIA telles que traabilit du trafic utilisateur ou
filtrage dURLs.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
68 Livre blanc UCOPIA
7.1 Redondance
Le modle de redondance UCOPIA est un modle Actif/Passif mettant en uvre deux contrleurs
UCOPIA, un seul tant actif un instant donn. Les contrleurs UCOPIA intervenant dans une
architecture de redondance dialoguent entre eux et peuvent par consquent sapercevoir de la
dfaillance de leur confrre.
Le basculement dun contrleur UCOPIA lautre seffectue grce une adresse IP virtuelle. En effet,
un instant donn, seul un contrleur dispose de l'adresse virtuelle. En cas de panne du contrleur
actif, le contrleur de redondance prend connaissance de la panne grce au protocole VRRP et
rcupre l'adresse IP virtuelle. Il devient ainsi le nouveau contrleur actif tout en assurant une totale
transparence pour les utilisateurs.
Les contrleurs UCOPIA dans une architecture de redondance (ou de rpartition de charge) obissent
larchitecture multi contrleurs UCOPIA, par consquent nous aurons un contrleur Principal
correspondant au contrleur Actif sur lequel ladministration seffectuera et nous aurons un contrleur
Secondaire correspondant au contrleur Passif. Lannuaire UCOPIA du contrleur Actif sera
rpliqu chaud sur lannuaire du contrleur Passif. Ce mcanisme permettra au contrleur Passif
dtre jour quand il sera sollicit pour passer en mode Actif.
Dans une architecture de redondance, les contrleurs UCOPIA doivent se trouver sur rseau de niveau
2.
Le schma ci-dessous illustre larchitecture de redondance.
6
Gamme Advance uniquement
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
69 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
70 Livre blanc UCOPIA
8.1 Exploitation
La plate-forme UWS est en mesure dapporter les services suivants en termes dexploitation du
contrleur UCOPIA
Avant toute opration, une licence doit tre installe sur le contrleur UCOPIA.
La licence UCOPIA dtermine la gamme de contrleur (Express, Advance) ainsi que le nombre
maximum de connexions simultanes (Express 20, Advance 1000, etc.).
La licence une fois attribue un contrleur peut tre rpartie par ladministrateur en fonction des
zones et des profils utilisateur. La rpartition par zone peut savrer utile pour associer une licence
un lieu ou un site dans une architecture multi sites. La rpartition par profil permet de rserver un
nombre de licences pour un type dutilisateurs donn.
Une fois connect au rseau, le contrleur interroge la demande de ladministrateur la
plate-forme centrale. Celle-ci extrait les caractristiques de la machine (numro de srie,
etc.) et vrifie dans son systme dinformation la validit de la demande. Cette tape de
validation effectue, la licence est gnre et installe automatiquement sur le
contrleur UCOPIA.
UCOPIA met rgulirement disposition des mises jour correctives et volutives dont
lobjectif est dapporter correctifs, amliorations et nouvelles fonctionnalits.
Grce la plate-forme UWS, les mises jour sont priodiquement tlcharges sur le
contrleur, elles sont prtes linstallation. Ladministrateur est inform et peut dcider
de leur installation.
La plate-forme propose galement le service dinstallation automatique pour les mises
jour correctives.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
71 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
72 Livre blanc UCOPIA
Le contrleur UCOPIA enregistre et conserve tout un ensemble de donnes dusage du service (le
nombre de connexions simultanes, le nombre et la dure des sessions, etc.) mais aussi des
informations concernant les utilisateurs de la solution (qui sont-ils ? avec quels types dquipement se
connectent-ils ? que font-ils ?). Le portail captif ainsi que les connecteurs aux rseaux sociaux
contribuent enrichir la connaissance des utilisateurs.
Le service Wi-Fi Analytics disponible sur UWS va permettre au propritaire de la solution UCOPIA
dexplorer toutes ses donnes pour bnficier d'une vue d'ensemble. Il est ainsi possible de saisir
n'importe quel mot ou expression, dans n'importe quel ordre, dans la zone de recherche du service
danalytique pour obtenir des rsultats la fois instantans et associatifs, permettant de visualiser de
nouvelles connexions et relations entre les donnes.
Le service Wi-Fi Analytics permet par consquent de parfaitement apprhender lusage qui est fait
du Wi-Fi et dexploiter de nombreux KPI (Key Performance Indicator). Il propose notamment des
vues prdfinis sur les utilisateurs, leur matriel, leur comportement ainsi que sur les aspects
montisation. Le service permet lanalyse de donnes personnelles et dmographiques ncessaires au
marketing digital.
Le service danalytique facilite la prise de dcision et de part sa disponibilit dans le Cloud peut
sutiliser sans impacter la production.
Les associations de donnes sont prsentes graphiquement de faon dynamique et sous forme de
tableau de bord.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
73 Livre blanc UCOPIA
Ce service est ddi aux clients UCOPIA compte-tenu de la confidentialit des donnes manipules
ou aux revendeurs mandats par leur client.
Un htel pourra par exemple insrer une bannire en bas de page avec son logo permettant ses
clients de dcouvrir les services de son tablissement. Lutilisateur reste ainsi connect en permanence
aux services de lhtel et peut y accder immdiatement sans besoin de revenir sur une page
particulire. Cest la garantie pour lhtelier doptimiser la visibilit de ses services et amener ses
clients consommer plus et mieux.
Lajout de publicit est une autre utilisation de linjection, permettant de crer du revenu en
provenance des annonceurs publicitaires pour lorganisation qui dploie le service.
Ds lors quun contrleur UCOPIA est inscrit ce service, le trafic Web (HTTP) des utilisateurs est
alors redirig dans le Cloud afin que linjection puisse se raliser.
Diffrents types dinjection sont possible tels que bannire avec ou sans menu, image, vido, lien, etc.
Lexemple ci-dessous est celui dun htel qui a incrust en bas de page une bannire permettant de
donner des informations sur son htel et de renvoyer lutilisateur sur le site de lhtel.
Lutilisateur recherche un restaurant sur Internet. Lhtel lui propose par lintermdiaire de sa bannire
de dcouvrir le restaurant de lhtel.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
74 Livre blanc UCOPIA
Une popup saffiche sur laquelle lutilisateur peut cliquer afin de rejoindre le site de lhtel.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
75 Livre blanc UCOPIA
8.5 Architecture
Les contrleurs UCOPIA communiquent avec UWS travers le protocole HTTPS (remonte de
statistiques, etc.). Des tunnels SSH sont utiliss pour ladministration distante.
Larchitecture de la plate-forme UWS est la suivante.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
76 Livre blanc UCOPIA
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
77 Livre blanc UCOPIA
9 Gammes UCOPIA
La solution UCOPIA se dcline en deux gammes produit : la gamme UCOPIA Express et la gamme
UCOPIA Advance.
La gamme UCOPIA Express se prsente sous la forme dun contrleur prt lemploi
parfaitement adapte aux besoins des htels, cliniques, tablissements denseignement
secondaires et PME en gnral. UCOPIA Express propose lessentiel des fonctions
UCOPIA en termes de scurit et de mobilit dans une approche privilgiant la simplicit
de la mise en uvre et de ladministration. UCOPIA Express fonctionne de faon
autonome sans intgration forte avec le LAN.
La gamme UCOPIA Advance est un contrleur qui propose lensemble des
fonctionnalits UCOPIA et qui est destine aux moyens et grands projets des entreprises,
des campus et des administrations UCOPIA Advance permet de rpondre aux besoins des
environnements multi sites et propose toutes les fonctions dintgration avec le LAN de
lentreprise. UCOPIA Advance peut tre redonde et fonctionne galement en rpartition
de charge.
Scurit
Authentification
802.1x/PEAP
802.1x/TTLS
802.1x/TLS
Rseaux sociaux
Shibboleth
Authentification priodique et
transparente (mode portail)
Filtrage dURLs
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
78 Livre blanc UCOPIA
Compatibilit 802.11i
Ruckus DPSK
Traabilit
Mobilit
Zro configuration
Compatibilit Airprint
Crdit temps
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
79 Livre blanc UCOPIA
Profils adaptables
BYOD
Compatibilit iPass
Administration
Personnalisation
Multi zones
Statistiques
Graphes prdfinis
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
80 Livre blanc UCOPIA
SNMP MIB II
Syslog
CLI
Paiement
PMS connecteur
PPS connecteur
AAA (accounting)
Intgration
Cascade dannuaires
Compatibilit ICAP
Intgration PKI
Architecture
DNS serveur/relai
NAT
Routage
Haute disponibilit
Redondance
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
81 Livre blanc UCOPIA
Rpartition de charge
Appliance virtuelle
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
82 Livre blanc UCOPIA
10 Performances
Dans chacune des gammes UCOPIA, il existe plusieurs licences proposants diffrentes capacits de
monte en charge en termes de connexions simultanes.
Le tableau ci-dessous prsente les capacits de chaque licence.
Licence Express Express Express Express Express Express Express Express Express Express
5 10 20 50 100 150 250 500 1000 2000
Express
Au-del de 20000 utilisateurs simultans, une solution sur mesure est propose (ex : cluster en
rpartition de charge pour la gamme Advance).
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
83 Livre blanc UCOPIA
11 Appliances matrielles
Les contrleurs UCOPIA sont proposs en cinq types de matriel. Tous les contrleurs comportent a
minima deux ports Ethernet 10/100/1000 et un disque dur pour la sauvegardes des journaux
utilisateurs.
Le contrleur US250 pour la gamme Express supportant jusqu 250 utilisateurs simultanes.
Le contrleur US2000 pour les gammes Express et Advance supportant jusqu 2000 utilisateurs
simultans.
Le contrleur US5000RDP pour les solutions ncessitant plus de dbit et de haute disponibilit. Le
contrleur est au format 2U. Il comporte 6 port Ethernet ddis au flux utilisateur (3 en entre, 3 en
sortie), un port ddi ladministration, deux disques en RAID et une alimentation redondante.
Gamme Advance uniquement jusqu 5000 utilisateurs simultans.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
84 Livre blanc UCOPIA
Le contrleur US20000RDP est le serveur haut de gamme. Il est prsent en format 2U, il
comporte 2 ports Ethernet 10Gb ddis au flux utilisateur, un port dadministration, huit disques en
RAID et une alimentation redondante. Gamme Advance uniquement supportant jusqu 20000
utilisateurs simultans.
Express Express 5 Express 10 Express 20 Express 50 Express 100 Express 150 Express 250
US250
Matriel
US2000
Matriel
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
85 Livre blanc UCOPIA
Advance Adv Adv Adv Adva Adv Adv 5000 Adv 10000 Adv 20000
150 250 500 1000 2000
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
86 Livre blanc UCOPIA
Les modles sont volutifs, soit par simple cl logicielle, soit par changement de matriel, les tableaux
ci-dessous prsentent les possibilits dvolution.
= cl logicielle
= changement de matriel
Licence Exp. 10 Exp. 20 Exp. 50 Exp. 100 Exp. 150 Exp. 250 Exp. 500 Exp 1000 Exp 2000
Exp.5
Exp.10
Exp.20
Exp.50
Exp. 100
Exp. 150
Exp. 250
Exp. 500
Exp
1000
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
87 Livre blanc UCOPIA
Licence Adv. 250 Adv. 500 Adv 1000 Adv 2000 Adv 5000 Adv 10000 Adv 20000
Adv. 150
Adv. 250
Adv. 500
Adv 1000
Adv 2000
Adv 5000
Adv
10000
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
88 Livre blanc UCOPIA
12 Appliances virtuelles
Lappliance UCOPIA est propose en mode virtualis sous VMware, gamme Express et Advance.
Lensemble des fonctionnalits des gammes est support (redondance et quilibrage de charge inclus).
Quatre serveurs virtuels sont disponibles : UV250, UV2000, UV5000 et UV10000.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
89 Livre blanc UCOPIA
13 Maintenance
Les contrleurs UCOPIA sont commercialiss avec a minima une maintenance de 3 ans, extensible 5
ans.
Le contrat de maintenance couvre les points suivants :
Changement anticip du contrleur en cas de dfaillance matrielle (pour les appliances
physiques). Envoi dun matriel quivalent J+1 (en France mtropolitaine).
Mise disposition des mises jour logicielles correctives et volutives.
Accs pour le partenaire au service de support technique UCOPIA (niveau 2 et plus).
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
90 Livre blanc UCOPIA
14 Conclusion
UCOPIA dveloppe et commercialise une solution destination des utilisateurs mobiles, elle leur
permet de se connecter simplement, en toute scurit et avec tout type dquipement (PC, smartphone,
tablettes) aux rseaux Wi-Fi ou filaire.
UCOPIA prsente les avantages et les bnfices suivants.
Une scurit professionnelle et un respect des obligations lgales
UCOPIA met en uvre des fonctions de scurit robustes conformes aux standards de
lindustrie. Des mcanismes dauthentification allant dun portal captif HTTPS une
authentification forte base sur les protocoles 802.1x/EAP et RADIUS. Un contrle
daccs bas sur le profil de lutilisateur, son lieu de connexion, son heure de connexion,
son type dquipement. Un filtrage dURLs par profil utilisateur. Une parfaite traabilit
du trafic utilisateur et la conservation des journaux de connexion pour rpondre aux
exigences lgales.
UCOPIA est certifi par lANSSI pour ses fonctions de scurit.
Un parcours client simple et convivial
UCOPIA propose une grande varit de parcours client permettant de rpondre
diffrents usages. Du simple clic pour se connecter des mthodes ncessitant
authentification et confidentialit. La reconnaissance de lquipement utilisateur permet
si besoin dassurer une connexion transparente.
Le portail captif donne la possibilit aux utilisateurs de sauto-enregistrer avec rception
des identifiants par divers biais (SMS, email, coupon papier, ).
Les mcanismes de zro-configuration UCOPIA facilitent laccs, ils permettent
lutilisateur de se connecter aisment quel que soit son quipement ou sa configuration.
Une application mobile pour smartphone contribue au confort de lutilisateur.
Une gestion des utilisateurs nomades
UCOPIA permet aux employs nomades, aux clients, partenaires, fournisseurs de se
connecter simplement et en toute scurit en tout lieu (bureau mobile, salle de runions
ou de formation, etc.), daccder leur messagerie, lInternet, dchanger ou
dimprimer des documents. Aucun pr requis ou configuration nest impos lutilisateur
et il naura pas faire appel lassistance technique pour imprimer un document ou
envoyer un message. UCOPIA contribue limage de marque des entreprises en
permettant aux visiteurs daccder leur rseau.
Une approche gnratrice de revenus
Le service dAnalytique permet de mieux apprhender les usages et les utilisateurs. Il est
alors possible de proposer des services valeur ajoute ou de la publicit cible sur le
portail captif ou dans les pages visites grce linjection Web. Ceci contribue
promouvoir, fidliser et montiser les accs.
Laccs aux services peut galement tre factur en achetant des forfaits en ligne depuis
le portail (carte de crdit, PayPal, Ogone) o travers les connecteurs avec des outils de
facturation.
Une solution hautement disponible
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
91 Livre blanc UCOPIA
Grce son architecture en cluster, UCOPIA peut garantir une haute disponibilit du
service. Un cluster fonctionne en mode redondance et/ou en mode rpartition de
charge.
Un cot de possession (TCO) optimis
Le dploiement dune solution daccueil de nomades ncessite une intgration avec
linfrastructure de communication et de scurit existante. Sans UCOPIA, cela peut
ncessiter beaucoup de travail et de dlai. UCOPIA sintgre simplement au rseau en
place (VLAN, annuaire, etc.) sans remettre en cause les politiques de scurit dj
prsentes. Par ailleurs grce sa simplicit dadministration et ses mcanismes de zro
configuration, UCOPIA limite le besoin en ressources techniques. Tous ces avantages
contribuent rduire fortement le cot de possession dune telle solution.
Une solution prenne et volutive
Loffre UCOPIA est compose dune large gamme de produits permettant de rpondre
aussi bien aux besoins des petites structures qui souhaitent accueillir quelques
utilisateurs quaux architectures centralises multi sites assurant plusieurs milliers de
connexions simultanes.
La solution UCOPIA sadministre travers des outils de haut niveau puissants et
conviviaux. Des rapports de statistiques (nombre de sessions simultanes, dure des
sessions, types de matriels utiliss, etc.) permettent de mieux apprhender lusage qui
est fait de la solution en place.
Une plate-forme centralise permet une administration et une supervision distantes dun
parc de contrleurs UCOPIA.
La solution UCOPIA est indpendant des quipements rseau et peut fonctionner en
environnement htrogne, elle garantit ainsi la prennit des choix de matriel. UCOPIA
fonctionne en environnement filaire et Wi-Fi, son niveau dabstraction par rapport au
rseau physique lui permet dvoluer avec les standards.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
92 Livre blanc UCOPIA
15 Annexe 1 : Documentation
Un ensemble de documentations est propos avec le produit UCOPIA.
15.1 Manuels
Manuel dinstallation
Ce manuel sadresse aux administrateurs systme et/ou rseaux dsirant installer la
solution UCOPIA. Il dcrit linstallation et la configuration de lensemble des composants
de la solution. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration
Ce manuel sadresse aux administrateurs systme et/ou rseaux ayant en charge
ladministration dUCOPIA.
Sont prsents dans ce manuel l'outil d'administration et lensemble des procdures
dadministration. Il existe un manuel pour Express et un pour Advance.
Manuel dadministration dlgue
Ce manuel dcrit le portail de dlgation, il est commun aux deux gammes de produit
UCOPIA : Express et Advance.
Manuel dutilisation de lditeur de portail UCOPIA
Ce manuel dcrit l'diteur graphique de portail UCOPIA. Ce manuel est commun aux
deux gammes de produit UCOPIA: Express et Advance.
Manuel dutilisation dUCOPIA
Ce manuel sadresse aux utilisateurs dun rseau contrl par UCOPIA. Il dcrit
lutilisation des diffrents modes de portail.
Ce manuel est commun aux deux gammes produit UCOPIA: Express et Advance.
Manuel dutilisation de la base de donnes des journaux utilisateurs
Les journaux de sessions et de trafic sont crs localement sur le contrleur UCOPIA et
sont accessibles depuis loutil dadministration UCOPIA. Les journaux sont stocks dans
une base de donnes SQL.
Afin de faciliter lintgration avec des applications tierces, UCOPIA propose de se
connecter la base SQL des journaux. Ce document dcrit le fonctionnement de cette
base de donnes, les entits de la base et de leurs attributs.
Manuel dutilisation de la CLI UCOPIA
Ce document dcrit la CLI (Command Line Interface) UCOPIA. Ce langage donne accs
certaines commandes rseau, systme ou administration avance. La CLI permet
galement de diagnostiquer dventuels dysfonctionnements.
15.2 APIs
API UCOPIA Administration dlgue
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
93 Livre blanc UCOPIA
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_01.html
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
94 Livre blanc UCOPIA
16 Annexe 2 : Glossaire
Nous prsentons dans cette annexe la dfinition des mots cls ou des acronymes utiliss dans ce
document.
16.1 Rseau
DNS - Domain Name Service : Service de nom de domaines (correspondance IP<->nom
des machines)
SNMP - Simple (ou Smart) Network Management Protocol : Protocole de la couche
application pour ladministration rseau.
HTTPS - Hyper Text Transfert Protocol over SSL : Protocole de transmission issu de
Netscape li une connexion par socket scurise.
VLAN Virtual Local Area Network: Permet de raliser plusieurs rseaux logiques sur un
mme rseau physique. Les VLANs sont configurs au niveau des Switch et des routeurs.
DHCP Dynamic Host Configuration Protocol : DHCP est un protocole permettant
dallouer une adresse IP a un client voulant se connecter au rseau.
NAT Network Address Translation : NAT est un mcanisme permettant dallouer des
adresses IP prives partir dune seule adresse IP publique.
ICAP Internet Content Adaptation Protocol : Le protocole ICAP dfinit une interface
normalise entre des quipements rseau jouant le rle de client (serveur mandataire, pare-
feu, passerelles de scurit), et des quipements de services (serveurs ICAP) dont l'objectif
est l'analyse et l'adaptation en temps rel des flux Web (ex : filtrage dURLs).
16.2 Wi-Fi
Wi-Fi Wireless Fidelity: Wi-Fi est le nom commercial pour la technologie IEEE 802.11.
Le Wi-Fi est compos de plusieurs standards.
802.11 b/a/g/n : Il sagit dun ensemble de standards pour dfinir les diffrents dbits
du Wi-Fi : 802.11a propose une bande passante de 54 Mbps sur une frquence de 5 Ghz,
802.11b et g oprent sur la frquence 2,4 Ghz et propose une bande passante
respectivement de 11 et de 54 Mbps. 802.11n propose une bande passante suprieure
100 Mbps.
802.11i : Standard de scurit pour le Wi-Fi ratifi en juin 2004. Il inclut 802.1x pour
lauthentification et AES (Advanced Encryption Standard) pour le chiffrement. 802.11i
require des quipements compatibles la fois ct client et ct point daccs.
802.11e : Standard pour la Qualit de Service. Il nest pas ratifi. 802.11e vise donner
des possibilits en matire de qualit de service au niveau de la couche liaison de
donnes. Ainsi cette norme a pour but de dfinir les besoins des diffrents paquets en
terme de bande passante et de dlai de transmission de telle manire permettre
notamment une meilleure transmission de la voix et de la vido.
802.11f : Standard pour le roaming. Il nest pas ratifi. 802.11f est une recommandation
l'intention des vendeurs de point d'accs pour une meilleure interoprabilit des
produits. Elle propose le protocole Inter-Access point roaming protocol permettant un
utilisateur itinrant de changer de point d'accs de faon transparente lors d'un
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
95 Livre blanc UCOPIA
dplacement, quelles que soient les marques des points d'accs prsentes dans
l'infrastructure rseau.
16.3 Authentification
802.1x : Standard de contrle daccs au rseau, indpendant du support physique. Le
rseau permet uniquement le passage de trafic dauthentification tant que
lauthentification nest pas accomplie avec succs. Le 802.1x spcifie galement le
protocole EAPOL (EAP over LAN) qui permet lencapsulation des mthodes
dauthentification EAP.
EAP Extensible Authentication Protocol: EAP est un protocole dauthentification
oprant au niveau 2 OSI avant que le client nobtienne une adresse IP, il renforce ainsi la
scurit. Bases sur EAP, il existe de nombreuses mthodes dauthentification, par mot
de passe (PEAP, TTLS), par certificat (TLS), etc. EAP est utilis dans une architecture
802.1x et fonctionne par consquent avec un serveur dauthentification, gnralement
RADIUS.
EAP-MD5: Le client est authentifi par le serveur en utilisant un mcanisme de dfi
rponse. Le serveur envoie une valeur alatoire (le dfi), le client concatne ce dfi le
mot de passe et en calcule, en utilisant lalgorithme MD5, une empreinte (" hash ") quil
renvoie au serveur. Le serveur qui connat le mot de passe calcule sa propre empreinte,
compare les deux et en fonction du rsultat valide ou non lauthentification.
LEAP Lightweight EAP: est un mthode propre Cisco qui repose sur l'utilisation de
secrets partags pour authentifier mutuellement le serveur et le client. Elle n'utilise
aucun certificat et est bas sur l'change de dfi et rponse.
EAP-TTLS Tunneled Transport Secure Layer : utilise TLS comme un tunnel pour
changer des couples attribut valeur la manire de RADIUS servant lauthentification..
PEAP Protected EAP: est une mthode trs semblable dans ses objectifs et voisine dans
la ralisation EAP-TTLS. Elle est dveloppe par Microsoft. Elle se sert dun tunnel TLS
pour faire circuler de lEAP. On peut alors utiliser toutes les mthodes dauthentification
supportes par EAP.
EAP-TLS Extensible Authentication Protocol-Transport Layer Security: Cest la plus
sre. Le serveur et le client possdent chacun leur certificat qui va servir les
authentifier mutuellement. Cela reste relativement contraignant du fait de la ncessit
de dployer une infrastructure de gestion de cls. Rappelons que TLS, la version
normalise de SSL (Secure Socket Layer), est un transport scuris (chiffrement,
authentification mutuelle, contrle dintgrit).
NTLM NT Lan Manager: est un protocole dauthentification Microsoft. Ce protocole
utilise un mcanisme de challenge-rponse pour lauthentification dans lequel les clients
peuvent prouver leur identit sans envoyer de mot de pass au serveur. Le protocole
consiste en 3 messages : Type 1 (ngociation), Type 2 (challenge) and Type 3
(authentification).
PKI Public Key Infrastructure: Une PKI est une architecture base sur des cls publiques
et prives stockes dans des certificats. Cette architecture permet aux entreprises de
dployer des solutions scurises pour changer des emails, des documents, etc.
RADIUS - Remote Access Dial-in User Services: RADIUS est un protocole standard pour
interroger de faon distante un serveur dauthentification.
OTP - One Time Password : Consiste utiliser des mots de passe qui ne peuvent tre
utiliss qu'une seule fois. Mme si le mot de passe est drob, il n'est pas rutilisable.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
96 Livre blanc UCOPIA
Dans la pratique, ce dispositif repose sur des techniques de cryptographie cls secrtes
ou symtriques et prend gnralement la forme d'une calculette avec un clavier et un
affichage numrique (ex. ActivCard, SecureID).
SSO Single Sign On : Le SSO permet de fdrer l'authentification. Grce au Single Sign-
On, il est possible de regrouper toutes les demandes d'authentification en une procdure
unique. Le confort des utilisateurs et le niveau de scurit s'en trouvent amliors.
WISPr Wireless Internet Service Provider roaming : WISPr est un protocole qui permet
aux utilisateurs de roamer entre plusieurs fournisseurs daccs Internet. Un serveur
RADIUS est utilis pour lauthentification et la vrification des identifiants.
16.4 Chiffrement
WEP Wired Equivalent Protection : WEP est un protocole fond sur lalgorithme RC4
(cl de 64 bits), il permet de raliser le contrle daccs lauthentification, la
confidentialit et lintgrit. Le WEP est connu pour ses faiblesses : cl de petite taille, cl
statique et partage par plusieurs utilisateurs.
TKIP Temporary Key Interchange Protocol: TKIP est un protocole de chiffrement
destin amliorer le WEP. Il gnre des cls dynamiques via des rauthentifications
802.1x priodiques.
AES, DES, 3DES: Il sagit dalgorithmes de chiffrement utilisant des cl de 128 bits. Ils sont
utiliss dans les solutions de VPN et dans les mcanismes de chiffrement des dernires
gnrations de points daccs.
VPN Virtual Private Network: Le principe du VPN est bas sur la technique du
tunnelling. Cela consiste construire un chemin virtuel aprs avoir identifi l'metteur
et le destinataire. Ensuite la source chiffre les donnes et les achemine en empruntant ce
chemin virtuel. Les donnes transmettre peuvent appartenir un protocole diffrent
d'IP. Dans ce cas le protocole de tunnelling encapsule les donnes en rajoutant une
entte, permettant le routage des trames dans le tunnel. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de dsencapsulation.
IPSec: Protocole permettant de scuriser les transmissions travers des rseaux non
scuriss comme lInternet. IPsec agit au niveau de la couche rseau, protgeant et
authentifiant les paquets IP entre les dispositifs participants, comme un routeur.
SSL Secure Socket Layer : SSL est un protocole pour grer la scurit de la transmission
de messages sur Internet. Il se positionne entre les couches HTTP et TCP.
WPA Wireless Protected Access: WPA est un sous-ensemble du standard 802.11i
regroupant 802.1x et TKIP.
WPA2 Renforce la scurit WPA en se basant sur lalgorithme de chiffrement AES.
WPA-PSK - Pre Shared Key : Mode permettant de profiter de la scurit WPA ans
disposer de serveur d'authentification. La configuration du WPA-PSK commence par la
dtermination d'une cl statique ou dune "passphrase" comme pour le WEP. Mais, en
utilisant TKIP, WPA-PSK change automatiquement les cls un intervalle de temps
prdfini.
DPSK Dynamic Pre Share Key : Solution Ruckus permettant de dlivrer dynamiquement
une cl de chiffrement unique par utilisateur.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
97 Livre blanc UCOPIA
16.5 Annuaire
LDAP Light Directory Access Protocol: LDAP est un protocole pour accder diffrents
services dun annuaire (interrogation, mise jour, etc). Les annuaires peuvent tre de
diffrents types.
LDAPS LDAP over SSL: Protocole scuris pour accder un annuaire.
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM
98 Livre blanc UCOPIA
www.ucopia.com
CONTACTUS@UCOPIA.COM
CONTACTUS@UCOPIA.COM - WWW.UCOPIA.COM - WWW.UCOPIA.COM