Fonctionnement

Prérequis

Un Firewall Stormshield Network en version 3 ou supérieure.

Pour le terminal client :

  • Poste de travail Windows 7 ou supérieur, équipé du logiciel Stormshield Network SSL VPN Client (version 3 ou supérieure - fichier exécutable compatible 64 bits),
  • Poste de travail équipé d’un client tiers compatible OpenVPN,
  • Smartphone ou tablette (Android ou IOS) équipé du client OpenVPN Connect (disponible sur Google Play Store et Apple Store).

Avantages de Stormshield Network SSL VPN Client

Stormshield Network SSL VPN Client récupère à chaque connexion, de manière automatique et sécurisée, sa configuration. Ces éléments sont intégrés au client de manière totalement transparente pour l’utilisateur.

Pour les clients tiers compatibles OpenVPN ainsi qu’OpenVPN Connect pour Android ou IOS, ces éléments de configuration doivent être récupérés et intégrés manuellement lors d’une première connexion au portail d’authentification (https://adresse_IP_du_firewall/auth). Il en est de même lors d’un changement de configuration du service VPN SSL (modifications des certificats, adresse IP du Firewall, etc.).

Stormshield Network SSL VPN Client peut également exécuter des scripts sur le terminal de l’utilisateur à chaque connexion et/ou déconnexion d’un tunnel VPN SSL.

Enfin, SN SSL VPN Client propose un carnet d’adresses permettant de stocker plusieurs profils de connexions. Ce carnet d’adresses peut être chiffré.

Établissement de tunnel avec Stormshield Network SSL VPN Client

L’utilisateur configure les trois champs de SN SSL VPN Client (adresse IP du Firewall à joindre, nom d’utilisateur, mot de passe), et lance la connexion.

Le client VPN SSL se connecte alors au serveur d’authentification du Firewall. Celui-ci vérifie les informations d’identification et contrôle dans les règles de politique d’authentification (UAC : User Access Control) le droit de l’utilisateur à établir un tunnel VPN SSL.

Stormshield Network SSL VPN Client récupère ensuite de manière transparente sa configuration (archive au format « zip » contenant : profil de connexion, certificat, clé privée, autorité de certification, scripts éventuels à exécuter lors de la connexion et/ou déconnexion) pour négocier l’établissement d’un tunnel.

Cette négociation se déroule ainsi :

  1. Le client et le service VPN SSL du Firewall Stormshield Network s’identifient mutuellement par le biais des certificats (Handshake SSL) et négocient les algorithmes de chiffrement,
  2. Le service VPN SSL vérifie une seconde fois les accès de l’utilisateur (identifiant, mot de passe et droits d’accès aux tunnels VPN SSL),
  3. Le service VPN SSL enregistre l’utilisateur dans la table utilisateurs de l’ASQ,
  4. Le tunnel monte : le client se voit attribuer une adresse IP et reçoit les routes nécessaires pour joindre les ressources internes autorisées via le tunnel.

Dès lors, tous les flux entre le client et les ressources autorisées transitent via le tunnel VPN SSL établi.