Comparatif Teamviewer / Logmein
Download
Report
Transcript Comparatif Teamviewer / Logmein
Les logiciels de télémaintenance et de communication.
I.
TeamViewer
2
II.
LogMeIN
5
III. VNC (Virtual Network Computing)
9
IV. RDP (Remote Desktop Protocol ou bureau à distance)
10
V.
12
LYNC
VI. IBM Samtime
13
I.
TeamViewer
Page 2 sur 13
Attention ci vous exécutez un serveur web sur votre machine vous aurez des conflits car le
logiciel fonctionne sur les ports 80 et 443.
Ce logiciel crypte les données avec l’algorithme AES 256. Ce moyen de cryptage est le même
que celui utilisé par les banques, c’est donc la meilleure solution existante aujourd’hui.
TeamViewer intègre une protection contre le « brute force ». Cette protection fonctionne de la
manière suivante, un compteur de temps et d’essais est incrémenté à chaque tentative qui sera
échouée et de manières exponentielles. Par exemple pour la 5ème tentative il faudra 1 minute de
délais, pour la 11ème tentative il faudra 10 minutes, pour la 17ème tentative il faudra 100
minutes soit 1h40. Ce qui empêche des milliers de tentatives à la minute.
A chaque lancement du logiciel un numéro d’ID et un mot de passe sont générés ainsi que la
clé de cryptage (l’ID est fixe, il est généré par la configuration matériel).
Pour que quelqu’un ce connecte à notre système il faudra transmettre notre ID et notre mot de
passe. C’est sur ce point que je serais peut méfiant car il faut être vigilant sur la manière dont
sera communiquer le mot de passe.
Maintenant je vais mettre un schéma ci-dessous pour vous montrez comment l’échange de clé de
cryptage est effectué pour que deux postes puissent communiqués ensemble.
Ce qui faut retenir de ce schéma c’est que deux postes ne se transmettent jamais leur clé
publique directement ! Il passe par le serveur maître TeamViewer.
C’est là où je suis un peu méfiant, car si TeamViewer dispose des clés publiques de tous les
utilisateurs on peut craindre un certain espionnage de leur part mais sur le site il affirme ne pas
pouvoir accéder aux échanges de données entre deux postes.
Voici ci-dessous comment est réalisé un échange de donnée à partir du lancement de
TeamViewer.
Page 3 sur 13
Page 4 sur 13
II. LogMeIN
Voici les différentes propositions de LogMeIN dans le tableau ci-dessous.
Attention ces versions de LogMeIn vous limitent à 10 postes recensés dans votre interface de
gestion.
LogMeIN reprend le même problème que teamviewer à savoir l’exécution de LogMeIn et d’un
serveur Web sur une même machine car il utilise également les ports 80 et 443.
Dans le cas où vous disposez de plus de 10 ordinateurs vous devrez acheter la version Central
(avec les tarifs en vigueur) pour pouvoir administrer tout votre parc. Cette version devra être
accouplée avec les versions FREE ou PRO.
Voici le tarif de LogMeIn central ainsi que ses fonctionnalités.
Page 5 sur 13
Pour que l’interface de gestion puisse voir les ordinateurs distants, il faut que ceux-ci est
LogMeIn d’installer sur leur PC. Pour ce faire il faut télécharger le paquet de LogMeIn via
l’interface de gestion, ce paquet contiendra toutes les informations de votre compte ainsi tout les
ordinateurs qui auront le paquet d’installer plus le logiciel activé remontrons sur l’interface de
gestion, à condition qu’il soit connecté à internet. Sinon la remonter se fera quand le logiciel
sera activer et connecté à internet.
Page 6 sur 13
Comment fonctionnent les connexions entre deux postes avec LogMeIn ? C’est ce que je vais
vous montrez en dessous.
C’est grâce à ce type de connexion que l’on peut « passer » les par feu car des que l’hôte à
LogMeIn d’activer celui-ci établie une connexion avec la passerelle de LogMeIn. Quand le
client veut ce connecté a l’hôte il passe par la passerelle LogMeIn c’est alors la passerelle qui
fait le rôle d’intermédiaire entre les deux PC.
Maintenant la passerelle n’a pas seulement pour rôle de « passer » les par feu c’est aussi elle qui
gère les problèmes de sécurité.
La passerelle doit prouver son identité à l'hôte avant que les codes d'accès lui soient confiés.
Lors de la connexion à la passerelle, l'hôte vérifie le certificat SSL de la passerelle pour
garantir qu'il se connecte bien à un serveur de passerelle LogMeIn.
Lorsqu'elle accepte une connexion entrante, la passerelle vérifie l'identité de l'hôte à l'aide
d'une longue chaîne de notification unique. Cette chaîne est un secret partagé entre les deux
entités, générée par la passerelle à l'installation de l'hôte. Cet identifiant unique n'est
communiqué que par le biais d'un canal SSL sécurisé, et seulement lorsque l'hôte a vérifié
l'identité de la passerelle.
Illustration avec la figure ci-dessous.
Page 7 sur 13
Deuxièmes étapes de sécurité : la connexion entre le client et la passerelle.
Pour ce faire la passerelle prouve son identité avec le certificat SSL qui lui a était délivré par un
organisme. Si ce client ce connecte à une mauvaise passerelle il aura un avertissement qui va le
prévenir que le certificat n’est pas vérifié (comme pour toute connexion Web sécurisé).
L’organisme qui délivre ce certificat est le groupe globalsign nv-sa.
De plus une fois le serveur identifié le client envoie c’est donnée en cryptant avec la clé
publique de la passerelle, ce qui garantit que seule la passerelle peut décrypter avec sa clé privé.
La passerelle vérifie l’identité du client par son identification par son adresse email et son mot
de passe. Des paramètres de sécurité peuvent être ajoutés comme l’envoie d’un code sur adresse
email, ou l’impression de code sur feuille.
C’est à ce niveau ou la sécurité peut être faible car si l’on ne rajoute pas de paramètre de sécurité
et que le pc d’où l’on ce connecte dispose d’un key loger ou d’un autre moyen de récupérer les
informations saisies, une personne peut ce connecté a notre place est géré les ordinateurs qui son
actifs voir même de les allumé.
Cependant LogMeIn à créé une « solution » pour contourner cette faille. Il est possible de
cliquer sur un lien pour machine publique ce qui nous donne un QR code valable 3 minutes, il
faut donc flasher ce QR code avec votre smartphone et vous connecter avec votre mobile. Une
fois la connexion établie vous pouvez ranger votre smartphone car vous serez connecté sur
l’ordinateur qui a affiché ce QR code.
Voici ci-dessous le schéma de l’authentification entre le client et le serveur.
Page 8 sur 13
III. VNC (Virtual Network Computing)
C’est un système qui permet la visualisation et la prise en main à distance d’ordinateur.
Ce système utilise le protocole RFB. Ce protocole permet le transfère d’image d’un pc à l’autre.
Mais ce protocole utilise beaucoup de bande passante et peut arriver à saturer le réseau dans
certain cas car il fonctionne de la manière suivante. Il découpe un écran en zone et envoie la
zone ou un changement s’y produit si le changement ce produit dans plusieurs zone il va
envoyer toutes les zones ou va y avoir un changement. Dans le cas d’un visionnage d’une vidéo
à distance c’est tout l’écran qui va être modifié, ce qui peut entraîner la saturation du réseau à
cause des trames trop nombreuses.
D’après mes recherches effectuées aujourd’hui il n’y existerait pas le logiciel VNC mais
plusieurs logiciel utilisant cette solution, tout comme linux ou on y retrouve Ubuntu, Debian,
etc.
Mon but va être de comparer deux logiciels utilisant le principe de VNC, je vais comparer
UltraVNC et RealVNC.
Au niveau sécurité il y a un point qui ne faut louper, c’est que VNC ne propose en rien le
cryptage des données ! Les données qui transitent entre deux postes si quelqu’un les intercepte il
verra en claire ce qui se passe.
RealVNC ne propose pas d’intégré de module de cryptage des données contrairement à
UltraVNC, cependant vous pouvez toujours réaliser une connexion VPN entre vos postes ou de
site à site, avec cette méthode vos données seront cryptés dans votre tunnel VPN vous pouvez
donc échanger des données via internet.
UltraVNC propose lui un plugin qui permet de crypter les données avec UltraVNC.
Petit rappel du fonctionnement du résultat d’UltraVNC.
Partie serveur = hôte qui sera joint.
Partie client = Ordinateur qui va prendre le contrôle.
Pour ce faire il faudra installer le plugin de cryptage DSM.
Une fois UltraVNC installé sur la partie serveur il faudra générer une clé de cryptage (128 bits
conseillé), il faudra renommer ce fichier « new_rc4.key » en « rc4.key » et relancer le serveur
UltraVNC.
Maintenant il vous suffit de transférer le fichier contenant la clé de cryptage au client UltraVNC
ainsi que le mot de passe.
Si vous souhaiter un cryptage supplémentaire vous pouvez toujours ajouter un VPN en
supplément.
Pour utiliser les logiciel realVNC et UltraVNC entre deux réseaux différent il faudra que votre
par feu soit correctement configurer notamment avec la présence de NAT.
Page 9 sur 13
IV. RDP (Remote Desktop Protocol ou bureau à distance)
Ce protocole est présent dans la plupart des machines Windows à partir de Windows NT 4.0.
Voici le schéma ci-dessous de l’évolution des fonctionnalités avec les systèmes d’exploitation.
Ce qui faut savoir c’est le bureau à distance peut être utilisé de plusieurs façon :
1. Prise en main à distance pour un dépannage ou accès aux données stocker en local ou
encore d’autres possibilités.
2. Le bureau à distance peut être mis en place à partir d’un Windows Serveur, il pourra
être utilisé par plusieurs utilisateurs à distance en même temps. Chaque utilisateur
pourra lancer les logiciels installés sur le serveur s’il dispose des droits nécessaires.
Cependant il faudra une licence Windows par utilisateur.
Les versions de RDP et leur sécurité.
RDP 4.0 (Windows NT Serveur 4.0 TSE) : Trois types de chiffrement disponible Low,
Medium (par défaut) et Hight. Ainsi qu’un chiffrement RC4 40 bits.
Low : Le premier niveau, dénommé low, n'impose que le chiffrement des
données du client vers le serveur, le canal inverse restant en clair. L'objectif est
ici de protéger les données d'authentification émises par le client et notamment
la saisie de son mot de passe.
Page 10 sur 13
Medium : second niveau, étend la protection aux deux sens de
communications, toujours avec la taille de clé la plus grande supportée par le
client.
High : Le troisième niveau, impose également un chiffrement des deux sens de
communication, mais cette fois-ci en utilisant la taille de clé la plus grande
supportée par le serveur. Les clients qui ne supportent pas les algorithmes
proposés par le serveur ne sont pas autorisés à se connecter.
RDP 5.0 (Windows 2000) : Chiffrement avec RC4 56 bits. Possibilité de chiffrement
sur 128 bits avec Windows 2000 SP2 ou en installant le High Encryption Pack. Dans
tous les cas il faudra attendre le SP2 pour le cryptage des données de presse papier et
d’impression.
RDP 5.1 (Windows XP) : cette version ajoute aux trois niveaux basés sur RC4
introduits précédemment un nouveau niveau, FIPS, utilisant Triple DES pour le
chiffrement et HMAC-SHA1 pour l'intégrité.
Le Triple DES (aussi appelé 3DES) est un algorithme de symétrique par bloc,
enchaînant 3 applications successives de l'algorithme DES sur le même bloc de
données de 64 bits, avec 2 ou 3 clés DES différentes.
RDP 5.2 (Windows Serveur 2003 SP1) : Cette version permet l’utilisation des TLS pour
sécuriser les échanges d’information.
RDP 6.0 (Windows Vista) : Cette version intègre la fonction de sécurité NLA.
Fonctionnellement, NLA permet de fournir directement les identifiants utilisateurs au
serveur, permettant ainsi de réaliser l'authentification au tout début de la session RDP.
Visuellement, la mire d'authentification n'apparaît donc plus lorsque NLA est utilisé.
RDP 7.0 (Windows 7) : Cette version permet le chiffrement RSA de 2048 bits en
supplément du TLS.
Page 11 sur 13
V. LYNC
Lync est un logiciel propriétaire à Microsoft. Ce logiciel permet la communication entre deux
postes ou plutôt plusieurs postes à la fois. Il reprend les fonctions de messagerie instantané,
appel, appel vidéo et visioconférence.
Lync permet aussi le partage de bureau, pour montrer à une ou plusieurs personne en même
temps des manipulations ou montré des exemples aux personnes distantes.
Deux versions de Lync existe 2010 et 2013.
Lync utilise la sécurité Kerberos qui attribue des tickets clé de chiffrage à un hôte identifié.
Voici un schéma explicatif de la communication établie entre un client et un serveur
d’impression.
Page 12 sur 13
VI. IBM Sametime
Les produits IBM Sametime intègrent en temps réel les communications sociales dans votre
environnement d'entreprise, offrant une expérience utilisateur unifiée regroupant la messagerie
instantanée, les réunions en ligne, la voix, la vidéo et les données. D'un clic, vous êtes
instantanément connecté à l'émetteur de l'information, ce qui vous aide à répondre aux exigences
continues de l'activité quotidienne.
IBM Sametime prend en charge des communications sociales et offre les fonctions suivantes :
Messagerie instantanée d'entreprise, indicateurs de présence en ligne,
collaboration en communauté pour une connexion instantanée aux personnes émettant
ces informations dans votre environnement d'entreprise sociale.
Les réunions en ligne se déroulent en audio/vidéo haute définition et permettent le
partage de documents, d'applications et d'écrans.
Support de terminaux mobiles pour une connexion de partout, sur n'importe quel
smartphone ou tablette.
Intégration voix et vidéo pour le déploiement dans votre réseau d'entreprise avec prise
en charge complète des normes de l'industrie.
Une expérience utilisateur simple et une plateforme souple qui vous permettent
d'étendre votre environnement de communications unifiées grâce à l'intégration des
communications sociales dans vos processus et applications.
(Source : ibm.com)
Un des avantages de Sametime c’est qu’il est multi support. On peut s’en servir sous linux,
Windows, téléphone mobile (iPhone, Android, Windows phone, etc).
De plus il s’adapte au carnet d’adresse lotus messagerie, contact Outlook, ainsi que CISCO.
Sametime crypte c’est données avec l’algorithme RSA.
Page 13 sur 13