eduVPN, ACCÈS SÉCURISÉ À INTERNET

Le projet eduVPN vise à fournir une solution VPN Open Source pour les membres de la communauté éducation-recherche.
Il a été initialement porté et développé en 2014 par le réseau national de la recherche SURFnet au Pays-Bas. Aujourd’hui, le projet est porté par GÉANT et c’est à travers sa participation aux projets internationaux que RENATER a rejoint les travaux sur le sujet.

eduVPN permet la mise en place une connexion VPN facilement depuis différents supports (Windows, Linux, iOS, MacOS, Android). Les utilisateurs peuvent ainsi accéder à Internet ou au réseau privé de leur établissement via la Fédération d’Identité sans avoir à craindre les regards indiscrets.

Ces deux scénarios d’utilisation requièrent des déploiements techniquement différents et répondent à deux besoins distincts, le premier étant de permettre l’accès à Internet en toute sécurité, tandis que le deuxième vise plutôt l’accès au réseau interne de son établissement.

eduVPN est décliné sous deux options :

  1. Une instance nationale déployée par RENATER et proposée à ses membres, qui a pour objectif de permettre à une certaine population (étudiants, employés ou chercheurs) de se connecter de manière sécurisée à Internet à partir de tout appareil standard tout en utilisant son compte institutionnel via la Fédération d’identités Éducation-Recherche. En outre, eduVPN est une collaboration entre des NREN de différents pays. Cela signifie que vous pouvez également utiliser des serveurs eduVPN d'autres pays, de la même manière que vous pouvez vous connecter à eduroam dans d'autres pays.
  2. Une instance locale déployée par un établissement directement pour donner accès à leur réseau privé, afin que les services informatiques internes puissent être mis à disposition de manière sécurisée. Ainsi, le service pourra à moindre coût remplacer ou compléter les solutions VPN déjà déployées par les établissements.
L'accès VPN à Internet via l'instance nationale en France et dans les autres pays membres du projets eduVPN n'est actuellement pas ouvert, nous travaillons activement pour mettre en place ce service à grande échelle.

Afin de mieux vous accompagner, n'hésitez pas à manifester votre intérêt via l'enquête eduVPN

  1. La sécurité des accès et la confidentialité de vos données représentent la principale plus-value du service eduVPN, puisqu’elle permet aux utilisateurs d’accéder de manière sécurisée à Internet depuis les réseaux publics qui sont initialement peu sécurisés.
  2. La facilité d’usage est aussi un critère très important et il facilite l’accès et l’adoption du service en recourant à différentes applications intuitives et disponibles sur plusieurs appareils. Une autre fonctionnalité très appréciée par les utilisateurs est la mise en place d’une interface web qui leur permet de visualiser les différents appareils sur lesquels ils ont configuré une connexion VPN. Ils ont ainsi la possibilité de révoquer si besoin un appareil (suite à un vol, ou une perte).
  3. L’authentification simplifiée à l’aide des fédérations d’identité et évite que les utilisateurs n’aient besoin de créer un nouveau compte spécifique au VPN : ils sont redirigés vers leurs fournisseurs d’identité institutionnels et utilisent ainsi directement le compte qui leur a été fourni par leur établissement.

Les établissements qui décideraient de déployer eduVPN au sein de leur système d’information pour donner l’accès à des services internes, bénéficient également de plusieurs avantages, notamment :

  1. Le faible coût de mise en place du service par l’établissement, puisque ce dernier est basé sur des solutions open-source et dispose de scripts d’installations automatisés pour la majorité des briques techniques qui le composent ;
  2. La sécurité : contrairement à plusieurs solutions VPN, eduVPN a déjà été sujet à plusieurs audits de sécurité. En 2016 Radically Open Security (ROS) a effectué un audit de sécurité sur le code source d’eduVPN. Puis en 2017 une vérification du code des clients Windows a été menée par Fox- IT/NCC group. En 2018 deux autres études ont été menées, l’une par l’équipe digital security de l’université Radboud également sur le code source d’eduVPN, et l’autre par projet GÉANT sur le code de l’application Android. Tous ces audits ont remonté seulement quelques correctifs mineurs qui depuis ont été appliqués ;
  3. L’authentification centralisée : elle apporte une vraie valeur ajoutée au niveau de l’administration du service. Grâce à la délégation de l’authentification à un fournisseur d’identité, les administrateurs des VPN ne sont plus en charge de l’approvisionnement des comptes utilisateurs ni de la gestion des mots de passe ;
  4. La délégation des autorisations : les administrateurs du serveur VPN peuvent se fier aux attributs supplémentaires renvoyés par leur fournisseur d’identité pour octroyer ou refuser des droits. Ainsi par exemple un étudiant aurait accès à partir de son statut, uniquement à l’intranet de son établissement et non aux applications de l’administration. Cette autorisation est donc gérée et octroyée directement depuis l’annuaire de l’établissement ;
  5. La pérennité de la solution : le projet est porté par la communauté internationale éducation- recherche ; il est donc plus simple de maintenir une solution communément utilisée par plusieurs établissements ;
  6. La mise à jour du service : contrairement à d’autres implémentations VPN, la solution eduVPN est mise à jour très régulièrement avec des procédures simplifiées et éprouvées par plusieurs établissements ;
  7. L’interface d’administration : elle permet aux administrateurs du service d’avoir accès via une interface web à la liste des utilisateurs connectés, de manière anonyme et également la possibilité de révoquer leur accès (si besoin). L’interface propose également des statistiques d’utilisation en temps réel.

La mise en place d'eduVPN au sein d'un établissement requiert des démarches administratives et techniques :

  • Les démarches administratives sont décrites ici
  • Les démarches techniques sont décrites ici
  • eduvpn/guide_etablissement/accueil_etablissement/index.txt
  • Dernière modification : 2020/03/25 16:57
  • de arnaud.lauriou@renater.fr