Mise en œuvre

Configuration du site principal

Création des objets réseau

La création de cette connexion VPN IPSEC site à site nécessite à minima cinq objets réseau :

  • le réseau local du site principal :Private_Net_Main_Site,
  • l’adresse publique de l’IPS-Firewall principal : Pub_Main_FW,
  • le réseau local du site distant :Private_Net_Remote_Site,
  • l’adresse publique de l’IPS-Firewall distant : Pub_Remote_FW,
  • le serveur intranet à joindre sur le site principal :Intranet_Server.

Ces objets peuvent être définis via le menu : Configuration > Objets > Objets réseau.

Création du tunnel IPSec

Cliquez sur Configuration > VPN > VPN IPSec. Choisissez la politique de chiffrement que vous souhaitez configurer.

Vous avez la possibilité de la renommer en cliquant sur le bouton Editer.

Cliquez sur Ajouter > Tunnel site à site.

Un assistant de création se lance automatiquement :

  • Dans le champ Réseau local, sélectionnez votre objet Private_Net_Main_Site,
  • Dans le champ Réseau distant, sélectionnez l’objet Private_Net_Remote_Site,

  • Choisissez ensuite un correspondant. Si celui-ci n’existe pas encore, comme dans cet exemple, vous pouvez le créer en cliquant sur l’hyperlien Créer un correspondant (cette étape correspond aux paramètres pouvant être définis directement dans l’onglet Correspondant du menu Configuration > VPN > VPN IPSec),
  • L’assistant vous invite alors à sélectionner la passerelle distante. Dans le cas présent, il s’agit de l’adresse publique de l’IPS-Firewall distant (objet Pub_Remote_FW). Par défaut, le nom du correspondant est créé en préfixant cet objet avec « Site_ » ; ce nom est personnalisable :

 

Sélectionnez ensuite la méthode d’authentification : cochez la méthode « Clé prépartagée (PSK)».

Dans les champs Clé prépartagée (ASCII) et Confirmer, saisissez un mot de passe complexe qui sera échangé entre les deux sites afin d’établir le tunnel IPSec, puis validez.

NOTE

Pour définir une clé prépartagée suffisamment sécurisée, il est conseillé de suivre quelques règles de bonne conduite:

  • Respectez une longueur minimale de 8 caractères,
  • Utilisez des majuscules, minuscules, chiffres et caractères spéciaux,
  • Ne basez pas votre clé sur un mot du dictionnaire.

Exemple : 7f4V8!>Xdu.

L’assistant vous propose alors un résumé du correspondant que vous venez de créer. Cliquez sur Terminer pour fermer cette fenêtre. Cliquez à nouveau sur Terminer pour fermer l’assistant.

La définition du Tunnel IPSec est terminée sur le site principal :

NOTE

Le tunnel est automatiquement activé (Etat à « on »).

Cliquez sur Activer cette politique.

Création des règles de filtrage

Le tunnel VPN est destiné à mettre en relation de manière sécurisée les deux sites distants, mais il n’a pas pour vocation de filtrer les flux entre ces deux entités. Des règles de filtrages doivent donc être mises en place afin de :

  • n’autoriser que les flux nécessaires entre des machines sources et destinations identifiées,
  • optimiser les performances (ressources machines, bande passante de l’accès Internet) en évitant que des paquets inutiles ne déclenchent l’établissement d’un tunnel.

Dans le menu Configuration > Politique de Sécurité > Filtrage et NAT, sélectionnez votre politique de filtrage. Dans l’onglet Filtrage, cliquez sur le menu Nouvelle règle > Règle standard.

Pour une sécurité accrue, il est possible de créer une règle plus restrictive sur l’IPS-Firewall hébergeant le serveur intranet en précisant l’origine des paquets. Pour cela, lors de la sélection de la source du trafic, indiquez la valeur « Tunnel VPN IPSec » dans le champ Via (onglet Configuration avancée) :

Dans le cas présenté, un poste client situé sur le réseau local du site distant doit pouvoir se connecter en HTTP au serveur intranet situé sur le réseau local du site principal (règle n°1). Vous pouvez également y ajouter temporairement, par exemple, le protocole ICMP afin de tester plus facilement l’établissement du tunnel (règle n°2).

La règle de filtrage prendra la forme suivante :

NOTE

Les fonctionnalités avancées des IPS-Firewalls (utilisation de proxies, profils d’inspection de sécurité…) peuvent bien évidemment être mises en œuvre dans ces règles de filtrage.

Configuration du site distant

L’objectif de cette section est de reproduire sur le site distant, une configuration symétrique à celle réalisée sur l’IPS-Firewall principal.

Création des objets réseau

Les objets sont identiques à ceux définis sur l’IPS-Firewall principal. Reportez-vous à la section Configuration du site principal, partie Création des objets réseau.

Création du tunnel IPSec

Reportez-vous à la section Configuration du site principal, partie Création du tunnel IPSec. Pour le site distant, les champs à renseigner dans l’assistant prennent les valeurs suivantes :

  • Réseau local : Private_Net_Remote_Site,
  • Réseau distant : Private_Net_Main_Site,
  • Passerelle distante : Pub_Main_FW,
  • Clé prépartagée : le même mot de passe que celui renseigné sur l’IPS-Firewall principal.

Création des règles de filtrage

Dans le menu Configuration > Politique de Sécurité > Filtrage et NAT, sélectionnez votre politique de filtrage. Dans l’onglet Filtrage, cliquez sur le menu Nouvelle règle > Règle standard.

Dans le cas présenté, un poste client situé sur le réseau local du site distant doit pouvoir se connecter en HTTP au serveur intranet situé sur le réseau local du site principal (règle n°1). Vous pouvez également y ajouter temporairement, par exemple, le protocole ICMP afin de tester plus facilement l’établissement du tunnel (règle n°2).

La règle de filtrage prendra la forme suivante :