Qu'est-ce que le tunnel inverse ?

2025-05-12Dernière mise à jour

La redirection de port inversée est une méthode permettant de sécuriser la communication entre des clients et des serveurs situés derrière un pare-feu. Cette technique renforce la sécurité et simplifie la gestion du pare-feu. Lors de l'utilisation du tunnel inversé, le serveur initie une connexion avec le client. Cette connexion par tunnel est sécurisée par un fichier clé préalablement partagé qui contient un certificat d'identité. Une fois établi, le tunnel inversé permet une communication bidirectionnelle sans ouvrir les ports de pare-feu entrants.

Contexte

Dans Security Center SaaS, le tunnel inverse est généralement utilisé pour connecter un ou plusieurs systèmes à distance de Security Center à l’hôte FederationMC dans le cloud. L’utilisation d’une redirection de port inversée simplifie la gestion du pare-feu et la configuration de Security Center Federation. Par défaut, le tunnel utilise un protocole TCP 5500 sortant pour connecter le site à distance à l’hôte Federation.

REMARQUE :
Si nécessaire, vous pouvez connecter Security Center SaaS à un hôte de Federation externe, tel qu’un système sur site, ou à Security Center SaaS Edition (Classic). Cette configuration n’utilise pas de tunnel inverse. Pour en savoir plus ou pour procéder à cette configuration, contactez le Centre d’assistance technique de GenetecMC (GTAC).

Le diagramme suivant représente le flux de communication d’une instance Federation standard (en bleu) et d’une Federation avec redirection de port inversée (en violet).

Dans une fédération normale, l’hôte Federation est le client qui initie la connexion au site fédéré, qui agit en tant que serveur. Ce flux est inversé dans une fédération à l'aide d'une redirection de port inversée.

Diagramme d’architecture d’un hôte Federation™ et d’un site fédéré illustrant la manière dont ils se connectent par le biais d’une redirection de port inversée.
Pour utiliser la redirection de port inversée, vous devez créer un rôle Serveur de tunnel inverse sur l’hôte Federation et un rôle Tunnel inverse sur le site distant. La redirection de port inversée fonctionne comme suit :
  1. Le rôle Serveur de tunnel inverse génère un fichier de clés comprenant un certificat d'identité, les données de connectivité réseau et un jeton à usage unique.
  2. Le rôle Tunnel inverse accepte le fichier de clés pour ouvrir le tunnel inverse.
  3. Le rôle Security Center FederationMC se connecte au site fédéré via le tunnel inverse.

Limitations et exigences

La tunnellisation inverse prend uniquement en charge le protocole TCP
Le segment réseau utilisé pour la tunnellisation entre le site distant et l'hôte Federation doit prendre en charge le protocole Unicast TCP. Une fois que la vidéo atteint le cloud, le meilleur protocole de transport disponible peut être utilisé.
Les flux vidéo doivent passer par un redirecteur avant et après le tunnel.
Le mécanisme de tunnellisation n’est implémenté qu’au niveau des redirecteurs vidéo, et il est transparent pour l’application client.