Configuration du Firewall Stormshield Network

La mise en œuvre de tunnels VPN SSL nécessite de configurer différents modules sur le Firewall:

  • Activation et paramétrage du module VPN SSL,
  • Configuration des droits d’accès au VPN SSL,
  • Choix de la méthode d’authentification. Le cas échéant, paramétrage de l’annuaire LDAP (interne ou externe),
  • Définition des règles de filtrage pour autoriser / interdire les flux entre les clients VPN SSL et les ressources internes,
  • Éventuellement, mise en place de translation d’adresses.

Paramètres du service VPN SSL

Cliquez sur le menu Configuration > VPN > VPN SSL et cochez la case Activer le VPN SSL.

Paramètres réseaux

 

  1. Indiquez l’adresse IP (ou un FQDN. Exemple : sslvpnserver.mycompany.com) par laquelle le Firewall Stormshield Network sera joignable pour établir les tunnels VPN SSL. Ce doit être une adresse IP publique (accessible sur Internet).

NOTE

Si vous renseignez un FQDN, il doit être déclaré dans les serveurs DNS utilisés par le poste client lorsque celui-ci est en dehors du réseau de l’entreprise. Si votre entreprise dispose d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Dans ce cas, paramétrez ce FQDN dans le menu Configuration > Réseau > DNS dynamique.

 

  1. Indiquez le port d’écoute du service VPN SSL. L’objet HTTPS, correspondant au port par défaut (TCP/443), est présélectionné.

 

  1. Sélectionnez (ou créez) ensuite l’objet correspondant au réseau réservé aux clients VPN SSL.

IMPORTANT

Choisissez un réseau entièrement dédié aux clients VPN SSL et n’appartenant pas aux réseaux internes existants ou déclarés par une route statique.

En effet, l’interface utilisée pour le VPN SSL étant protégée, le Firewall détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants.

IMPORTANT

Afin d’éviter des conflits de routage sur les postes clients lors de la connexion au VPN, choisissez plutôt, pour vos clients VPN, des sous-réseaux peu communément utilisés (exemple : 10.60.77.0/24, 172.22.38.0/24, etc.). En effet, de nombreux réseaux d’accès internet filtrés (wifi public, hôtels…) ou réseaux locaux privés utilisent les premières plages d’adresses réservées à ces usages (exemple : 10.0.0.0/24, 192.168.0.0/24).

 

  1. Le nombre maximum de tunnels simultanés est automatiquement calculé et affiché. Par exemple, pour une plage en /24, seules 63 adresses sont disponibles. Cela correspond au minimum des deux valeurs suivantes :
    • Le quart du nombre d’adresses IP, moins une, incluses dans le réseau client choisi. Un tunnel SSL utilise en effet 4 adresses IP,
    • Le nombre maximal de tunnels autorisés selon le modèle de Firewall utilisé.

 

  1. Dans le champ Réseaux ou machines accessibles, sélectionnez l’objet représentant les réseaux et/ou machines qui seront joignables au travers du tunnel SSL. Cet objet peut être un réseau, une machine ou un groupe incluant des réseaux et/ou des machines.

NOTE

Il s’agit ici de définir, sur la machine cliente, les routes nécessaires pour joindre l’ensemble des ressources. Cependant, des règles de filtrage seront nécessaires pour autoriser ou interdire plus finement les flux entre les clients distants provenant d’un tunnel SSL et les ressources internes.

NOTE

Il peut être nécessaire de définir des routes statiques d’accès au réseau attribué aux clients VPN SSL sur les éventuels équipements du réseau de l’entreprise (routeurs, firewalls) situés entre le Firewall et les ressources internes mises à disposition.

Paramètres DNS envoyés au client

Indiquez le suffixe DNS qui sera utilisé par les clients pour réaliser leurs résolutions de noms d’hôtes.

Précisez ensuite les serveurs DNS primaire et secondaire à lui attribuer.

Description : C:\Documentations\Modifications\TNO\VPN SSL Full\Images-EN\VPN-SSL-Param.png

Configuration avancée

Il vous est possible de personnaliser le laps de temps (en secondes) au terme duquel les clés utilisées par les algorithmes de chiffrement seront renégociées (étapes 1 et 2 de l’établissement de tunnel). La valeur par défaut est de 4 heures (14400 secondes).

Description : C:\Documentations\Modifications\TNO\VPN SSL Full\Images-EN\VPN-SSL-Param.png

NOTE

Cette opération est transparente pour le client : le tunnel actif n’est pas interrompu lors de la renégociation.

Scripts à exécuter sur le  client

Vous pouvez sélectionner des scripts que Stormshield Network SSL VPN Client exécutera lors de la connexion et/ou déconnexion au Firewall. Il est possible, par exemple, de connecter/déconnecter automatiquement un lecteur réseau Windows par cette méthode. Un exemple de script est présenté dans la section Pour aller plus loin.

Description : C:\Documentations\Modifications\TNO\VPN SSL Full\Images-EN\VPN-SSL-Param.png

 

L’exécution de ces scripts n’est possible que sur des machines clientes fonctionnant sous Windows; le format de ces scripts est obligatoirement du type Microsoft Batch (extension « .bat »).

Toutes les variables d’environnement Windows peuvent être utilisées au sein des scripts de connexion/déconnexion (exemple : %USERDOMAIN%, %SystemRoot%, etc.).

 

Deux variables d’environnement liées au tunnel VPN SSL sont également utilisables :

  • %NS_USERNAME% : le nom d’utilisateur servant à l’authentification,
  • %NS_ADDRESS% : l’adresse IP attribuée au client.

Certificats utilisés

Sélectionnez les certificats que doivent présenter le service VPN SSL du Firewall et le client pour établir un tunnel. Par défaut, une autorité de certification (CA) dédiée au VPN SSL ainsi qu’un certificat serveur et un certificat client créés à l’initialisation du Firewall sont proposés.

Description : C:\Documentations\Modifications\TNO\VPN SSL Full\Images-EN\VPN-SSL-Param.png

 

Si vous choisissez de créer votre propre CA, vous devez utiliser deux certificats, et leur clé privée respective, signés par celle-ci. S’il ne s’agit pas d’une autorité racine, les deux certificats doivent être issus de la même sous-autorité.

Droits d’accès

Dans le menu Configuration > Utilisateurs > Droits d'accès, l’onglet Accès par défaut permet d’autoriser ou d’interdire l’utilisation du VPN SSL à l’ensemble des utilisateurs sans aucune distinction.

Pour autoriser des utilisateurs spécifiques, sélectionnez l’onglet Accès Détailléet cliquez sur Ajouter afin de créer une règle d’accès personnalisée.

Activez la règle (colonne Etat), sélectionnez les utilisateurs ou le groupe d’utilisateurs autorisés (colonne Utilisateur – groupe d’utilisateurs) et choisissez l’action Autoriser dans la colonne VPN SSL.

Description : C:\Users\frederic.monjean\MyCloud\Modifications\TNO\VPN SSL Full\Images-EN\VPN-droits-acces.png

Méthode d’authentification

Dans le module Configuration > Utilisateurs > Authentification, la méthode d’authentification proposée par défaut est « LDAP » (onglet Méthodes Disponibles).

Si votre Firewall est déjà connecté à un annuaire Microsoft Active Directory, vous pouvez directement passer à la mise en œuvre des règles de filtrage et NAT.

Pour connecter votre Firewall à un annuaire externe, Microsoft Active Directory (AD) dans notre exemple, cliquez sur le menu Configuration > Utilisateurs > Configuration des annuaires.

 

  • Sélectionnez Connexion à un annuaire Microsoft Active Directory,
  • Dans le champ Nom, indiquez un nom permettant d'identifier l'annuaire,
  • Dans le champ Serveur, choisissez ou créez  l’objet correspondant à votre serveur AD,
  • Dans le champ Port, choisissez le port utilisé pour se connecter à l’annuaire AD (valeur par défaut : ldap),
  • Pour le champ Domaine racine (Base DN), renseignez le nom du domaine AD (Exemple : dc=mydomain, dc=com pour le domaine mydomain.com),
  • Dans le champ Identifiant (user DN), sélectionnez un compte utilisateur du domaine AD (Exemple : cn=myuser, cn=users pour l’utilisateur myuser),
  • NOTE

    Pour des raisons de sécurité, il est fortement déconseillé de choisir l’utilisateur « Administrateur ». Sélectionnez un compte que vous aurez créé spécifiquement pour le Firewall.

  • Dans le champ Mot de passe, saisissez le mot de passe de ce compte puis validez en cliquant sur le bouton Terminer.

NOTE

Pour vérifier que le paramétrage est correct, vous pouvez cliquer sur le bouton Tester l’accès à l’annuaire.

 

La liste des utilisateurs et groupes est désormais disponible dans le module Utilisateurs (Configuration > Utilisateurs > Utilisateurs).

Règles de filtrage et NAT

Il est nécessaire de définir des règles de filtrage autorisant ou interdisant l’accès des clients VPN SSL aux ressources internes joignables par le tunnel.

Description : C:\Users\frederic.monjean\MyCloud\Modifications\TNO\VPN SSL Full\Images-EN\filterNEW.png

 

NOTE

Les tunnels VPN SSL sont compatibles avec les fonctions avancées de filtrage du Firewall Stormshield Network. Les règles de filtrage peuvent donc faire appel aux profils d’inspection, proxies applicatifs, contrôle antiviral, etc.

 

De même, si les clients doivent utiliser le VPN SSL pour accéder à internet, il sera nécessaire de mettre en place une règle de translation d’adresses (NAT) du type :

Description : C:\Users\frederic.monjean\MyCloud\Modifications\TNO\VPN SSL Full\Images-EN\NATNEW.png