Configurer une topologie par politique en maillage
Exemple de cas d'usage :
Une société possède son siège et deux autres sites en Angleterre, ainsi qu'un site à l'étranger. Chaque site possède son département Recherche et Développement et les quatre sous-réseaux R&D ont besoin de partager des informations. Chaque site est protégé par un firewall géré par le serveur SMC.
Le type d'authentification choisi est l'authentification par certificat X509.
L'autorité de certification qui délivre les certificats peut se trouver sur un des firewalls SNS, celui du siège par exemple, ou bien il peut s'agir d'une autorité externe.
Pour configurer les tunnels VPN entre les quatre sites, suivez les étapes suivantes.
Pour importer ou déclarer un certificat au format PKCS#12 ou PEM depuis l'interface web du serveur SMC, reportez-vous à la section Importer un certificat depuis l'interface web du serveur.
Les certificats peuvent également être importés depuis l'interface de ligne de commande. Reportez-vous à la section Importer un certificat depuis l'interface de ligne de commande.
Vous devez déclarer sur le serveur SMC les autorités de certification auxquelles les firewalls gérés par SMC font confiance.
Pour que la topologie soit déployée, le serveur SMC doit connaître toute la chaîne de confiance des autorités de certification. Pour plus d'informations et pour savoir comment ajouter une autorité de certification, reportez-vous à la section Gérer les certificats et les autorités de certification.
Vous devez indiquer au serveur SMC les adresses du ou des points de distribution de la liste de révocation des certificats (CRL) que les firewalls devront utiliser pour chaque autorité déclarée. Ceux-ci peuvent être externes ou bien, vous pouvez définir SMC en tant que point de distribution.
Indiquer les points de distribution externes
- Dans les propriétés d'une autorité de certification, cliquez sur l'onglet Liste des points de distribution de CRL.
- Ajoutez les adresses du ou des points de distribution externes de la liste de révocation des certificats.
Définir SMC en tant que point de distribution
Le serveur SMC peut faire office de point de distribution de CRL pour des firewalls SNS :
- Dans les propriétés d'une autorité de certification, cliquez sur l'onglet SMC en tant que point de distribution de CRL.
- Choisissez le fichier de CRL (format .pem ou .der) à ajouter sur le serveur.
Le fichier est alors mis à disposition par le serveur SMC pour les firewalls SNS sur l'URI
smc://[adresse SMC]:[port SMC]/api/certificates/authorities/[uuid CA].crl.
La CRL portant une date d'expiration, elle doit être régulièrement importée sur le serveur SMC.
Le serveur SMC pouvant être contacté sur plusieurs adresses par les firewalls (définies dans le package de rattachement), vous devez indiquer autant d'URI dans cette liste.
Vous pouvez également importer une CRL sur SMC en ligne de commande, avec la commandesmc-import-crl
. - Dans l'onglet Liste des points de distribution de CRL, ajoutez cette adresse URI à la liste. L'UUID de la CA est indiqué dans l'adresse URL de SMC ainsi que dans l'exemple fourni dans l'onglet.
- Rendez-vous dans le menu de gauche Objets.
- Créez autant d'objets que d'extrémités de trafic ou de machines qui seront compris dans votre topologie VPN, soit quatre objets dans notre exemple.
Les objets associés peuvent être de type Réseau, Machine ou Groupe.
IMPORTANT
L'utilisation de groupes contenant des objets variables dans les topologies VPN n'est pas possible. La configuration des tunnels VPN serait invalide.
Vous disposez maintenant de tous les éléments nécessaires à la configuration de votre topologie VPN.
- Dans le menu Configuration > Topologies VPN, cliquez sur Ajouter une topologie VPN en haut de l'écran et choisissez Maillage.
- Dans la fenêtre qui s'ouvre, choisissez VPN par politique et cliquez sur Créer la topologie.
- Entrez un nom. La description est facultative.
- Choisissez l'authentification par certificat X.509 et sélectionnez les autorités de certification ayant délivré les certificats des firewalls impliqués dans la topologie VPN. Si la CRL d'une autorité a expiré, un avertissement s'affiche dans la liste du menu Topologies VPN.
- Sélectionnez le profil de chiffrement. Le serveur SMC propose des profils pré-configurés. Créez vos profils personnalisés en vous rendant dans le menu Configuration > Profils de chiffrement. Consultez le Manuel Utilisateur SNS pour plus d'informations sur les options des profils de chiffrement.
- Choisissez les correspondants de votre topologie. Vous pouvez sélectionner des firewalls connectés ou déconnectés. Vous pouvez également sélectionner des firewalls jamais connectés à condition d'avoir défini une adresse IP de contact par défaut personnalisée ou dynamique dans l'onglet Système > VPN IPsec des paramètres du firewall.
Vous devez posséder le droit d'accès en écriture sur les firewalls que vous souhaitez sélectionner en tant que correspondants. Pour plus d'informations, reportez-vous à la section Restreindre les droits d'accès des administrateurs de dossiers. - Choisissez les extrémités de trafic associées à chacun de vos correspondants. Pour plus d'informations sur les paramètres Adresse de contact et Adresse locale, reportez-vous aux sections Définir l'adresse de contact des firewalls pour les topologies VPN et Choisir l'interface de sortie des firewalls pour les topologies VPN.
- Cliquez sur Appliquer.
- Déployez la configuration sur les firewalls impliqués dans la topologie. La configuration VPN appartient à la politique globale du firewall.