L’onglet « Politique de chiffrement – Tunnels »

Une politique IPSec peut regrouper des correspondants utilisant des versions différentes du protocole IKE avec des limitations dans l'utilisation du protocole IKEv1 (cf. section Précisions sur les cas d'utilisation des Notes de Version v3). Cette fonctionnalité n'ayant pas pu être testée dans des environnements complexes et hétérogènes, il est donc fortement conseillé de l'éprouver sur une configuration de tests.

 

La barre des profils

Le menu déroulant propose 10 profils IPSec numérotés de (1) à (10).

 

Pour sélectionner un profil afin d’établir une configuration, cliquez sur la flèche à droite du champ.

Activer cette politique

Active immédiatement la politique IPSec sélectionnée : les paramètres enregistrés dans ce slot écrasent les paramètres en vigueur.

Editer

Cette fonction permet d’effectuer 3 actions sur les profils :

 

  • Renommer : en cliquant sur cette option, une fenêtre composée de deux champs à remplir s’affiche. Celle-ci propose de modifier le nom d’une part et d’ajouter un commentaire d’autre part. Une fois l’opération effectuée, cliquez sur « Mettre à jour ». Il est également possible d’ « annuler » la manipulation.
  • Réinitialiser : Suppression de toutes les modifications apportées au profil. La configuration sera alors perdue.
  • Copier vers : Cette option permet de copier un profil vers un autre, toutes les informations du profil copié seront transmises au profil récepteur. Il portera également le même nom.
Dernière modification

Cette icône permet de connaître la date et l’heure de la dernière modification effectuée. L'heure affichée est celle du boîtier et non celle de votre poste.

Désactiver la politique

Ce bouton permet de désactiver immédiatement la politique IPSec sélectionnée.

Site à site (Gateway - Gateway)

Cet onglet va permettre de créer un tunnel VPN entre deux éléments réseaux supportant la norme IPsec. On appelle également ce type de procédé : Tunnel VPN passerelle à passerelle ou tunnel Gateway to Gateway.

Plusieurs tutoriels vous guident pas à pas pour la configuration d’une connexion sécurisée entre vos sites. Cliquez sur l'un des liens pour y accéder :

 

Le bouton "Ajouter" est détaillé dans la section suivante.

Rechercher

La recherche s’effectuera sur le nom de l’objet et de ses différentes propriétés, sauf si vous avez spécifié dans les préférences de l’application de restreindre cette recherche aux noms d’objet.

Supprimer

Sélectionnez le tunnel VPN IPSec à retirer de la grille et cliquez sur ce bouton.

Monter

Placer la ligne sélectionnée avant celle du dessus.

Descendre

Placer la ligne sélectionnée après celle du dessous.

Couper

Coupe la ligne dans le but de la coller.

Copier

Copie la ligne dans le but de la dupliquer.

Coller

Duplique la ligne après l’avoir copié.

Ajouter

Afin de réaliser la configuration du tunnel, sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. L’assistant de politique VPN IPSec vous aiguille alors dans la configuration.

Tunnel site à site

Vous allez ici définir chacune des extrémités de votre tunnel ainsi que le correspondant.

Choix du correspondant

Ceci est l’objet correspondant à l’adresse IP publique de l’extrémité du tunnel, soit, du correspondant VPN distant.

 

La liste déroulante affiche par défaut « None ». Vous pouvez créer un correspondant via l’option suivante ou en choisir un dans la liste de ceux qui existent déjà.

Créer un correspondant IKEv1

Définissez les paramètres de votre correspondant, plusieurs étapes sont nécessaires :

 

Sélection de la passerelle :

 

Passerelle distante : choisissez l’objet correspondant à l’adresse IP de l’extrémité du tunnel au sein de la liste déroulante.

Vous pouvez également en ajouter à l’aide du bouton .

 

Nom : vous pouvez spécifier un nom pour votre passerelle ou conserver le nom d’origine du correspondant, qui sera précédé de la mention « Site_ » (« Site_<nom de l’objet> »).

 

Un choix de correspondant None permet de générer des politiques sans chiffrement. L’objectif est de créer une exclusion aux règles suivantes de la politique de chiffrement. Le trafic de cette règle sera régit par la politique de routage.

 

Cliquez sur Suivant.

 

Identification du correspondant :

 

2 choix sont possibles, l’identification par Certificat ou par Clé pré partagée (PSK – Pre-Shared Key). Cochez l’option voulue.

  1. Si vous optez pour le Certificat, vous devrez le sélectionner parmi ceux que vous avez créé préalablement au sein du module Certificats et PKI.

Le certificat à renseigner ici est celui présenté par le firewall et non celui présenté par le site distant. Il est également possible d’ajouter une autorité de certification.

  1. Si vous optez pour la Clé pré partagée (PSK), il vous faudra définir le secret que partageront les deux correspondants du tunnel VPN IPSec, sous forme d’un mot de passe à confirmer dans un second champ.

Vous pouvez Saisir la clé en caractères ASCII (chaque caractère d'un texte en ASCII est stocké dans un octet dont le 8e bit est 0.) en cochant la case correspondante.

Décochez la case pour afficher la clé en caractères hexadécimaux (dont le principe repose sur 16 signes : les lettres de A à F et les chiffres de 0 à 9).

 

  NOTE

Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.

 

Cliquez sur Suivant.

 

Terminer la création du correspondant :

 

L’écran vous présente une fenêtre récapitulative de la configuration effectuée, les Paramètres du site distant et la Clé pré partagée.

Vous pouvez également ajouter un correspondant de secours en cliquant sur le lien joint. Vous devrez renseigner la passerelle distante.

 

Cliquez sur Terminer.

Créer un correspondant IKEv2

Les étapes sont identiques à celles suivies pour la création d’un correspondant IKEv1.

Réseau local

Machine, groupe de machines, réseau ou groupe de réseaux qui vont être accessibles via le tunnel VPN IPSec.

Réseau distant

Machine, groupe de machines, réseau ou groupe de réseaux  accessibles via le tunnel IPsec avec le correspondant.

Configuration en étoile

Ce procédé consiste à diriger plusieurs tunnels VPN vers un même point. Il permet, par exemple, de relier des agences à un site central.

 

Réseau local

Choisissez votre machine, groupe de machines, réseau ou groupe de réseaux qui sera accessible via le tunnel VPN IPSec, au sein de la liste déroulante d’objets.

Sites distants

Définissez les paramètres de vos sites distants : choisissez votre correspondant parmi la liste de ceux déjà créés ou cliquez sur l’icône, pour en créer un nouveau, et sélectionnez les réseaux distants parmi les objets de la liste déroulante.

Vous pouvez en Ajouter ou en Supprimer en cliquant sur les boutons prévus à cet effet.

Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels)

En cochant cette case, les interfaces IPSec deviennent des interfaces internes et donc protégées.

 

Tous les réseaux pouvant se présenter au travers des tunnels IPSec doivent alors être légitimés et les routes statiques permettant de les joindre doivent être précisées. Dans le cas contraire, le traffic IPSec sera rejeté par le firewall.

IMPORTANT

Lorsque cette case est cochée, l'option s'applique à l'ensemble des tunnels IPSec définis sur le firewall.
Si cette option a été activée par erreur dans l'assistant d'installation de tunnels VPN IPsec, elle peut être désactivée en décochant la case Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels - les réseaux distants devront être explicitement légitimés) présente dans le panneau Configuration avancée du module Protection applicative > Profils d'inspection.

Créer les politiques sans chiffrement (none) pour les réseaux internes

Cette case permet de générer automatiquement des politiques sans chiffrement (none) dédiées aux réseaux internes (Network_internals vers Network_internals). Si la politique existe déjà, un message avertit que ces politiques ont déjà été créées.

Cliquez sur Terminer.

 

Séparateur – regroupement de règles 

Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée. Cela peut permettre à l’administrateur de hiérarchiser ses tunnels comme il le souhaite.

La grille

Ligne

Cette colonne indique le numéro de la ligne (1,2,3…) traitée par ordre d’apparition à l’écran.

Etat

Cette colonne affiche l’état On/ Off du tunnel. Lorsque vous en créez un, celui-ci s’active par défaut. Cliquez deux fois dessus pour le désactiver.

Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec :

  • Extrémités du tunnel : objet local / objet distant
  • Extrémités du trafic : objet local / objet de destination
  • Authentification : Mode / Type / Certificat / Clé pré-partagée
  • Profils de chiffrement (phase 1 & 2) : algorithmes, groupe Diffie Helman, durée de vie

Ces informations sont sélectionnables, ce qui permet leur copie.

Réseau local

Choisissez votre machine, groupe de machines, réseau ou groupe de réseaux qui sera accessible via le tunnel VPN IPSec, au sein de la liste déroulante d’objets.

Correspondant

Configuration de correspondant, visible au sein de l’onglet du même nom dans le module VPN IPSec.

Réseau distant

Choisissez parmi la liste déroulant d’objets, votre machine, groupe de machines, réseau ou groupe de réseaux  accessibles via le tunnel IPsec avec le correspondant.

Profil de chiffrement

Cette option permet de choisir le modèle de protection de Phase 2 associé à votre politique VPN, parmi les 3 profils préconfigurés : StrongEncryption, GoodEncryption et Mobile. Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement.

Commentaire

Description associée à la politique VPN.

 

L’option supplémentaire Keepalive permet de maintenir les tunnels montés de façon artificielle. Cette mécanique envoie des paquets initialisant et forçant le maintien du tunnel. Cette option est désactivée par défaut pour éviter une charge inutile, dans le cas de configuration contenant de nombreux tunnels, montés en même temps sans réel besoin.

Cette option n’est valide que pour les tunnels site à site. Elle est disponible en cochant la valeur Keepalive dans le menu Colonnes, apparaissant au survol de l’intitulé des colonnes de la grille.

Keepalive

Pour activer cette option, affectez une valeur différente de 0, correspondant à l’intervalle en seconde, entre chaque envoi de paquet UDP.

Vérification en temps réel de la politique

L’écran d’édition des règles de politique IPSec dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille), qui prévient l’administrateur en cas d’incohérence ou d’erreur sur une des règles créées.

Anonyme – Utilisateurs nomades

Le VPN IPSec comporte deux extrémités : l’extrémité de tunnel, et l’extrémité de trafic. Pour les anonymes ou utilisateurs nomades, l’adresse IP d’extrémité de tunnel n’est pas connue à l’avance.

L’adresse IP d’extrémité de trafic, quant à elle, peut être soit choisie par le correspondant (cas « classique »), ou distribuée par la passerelle (« Mode Config »).

Notez que depuis la version 3.8.0, il est possible de construire une politique IPSec nomade contenant plusieurs correspondants dès lors qu'ils utilisent le même profil de chiffrement IKE. En cas d'authentification par certificats, les certificats des différents correspondants doivent être issus d'une même CA.

Ajouter

Sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. Des assistants de création de politique vous aiguillent dans cette configuration. Si vous souhaitez créer le correspondant nomade par l’assistant, reportez-vous à la section « Création de correspondant nomade » ci-dessous.

Pour les utilisateurs nomades, il est possible de définir des paramètres clients VPN (Mode Config) par l’assistant de création de politique Mode Config.

Nouvelle politique

Cette politique rend accessible via un tunnel IPsec, les réseaux locaux aux utilisateurs autorisés. Dans cette configuration, les utilisateurs distants se connectent avec leur propre adresse IP.

Renseignez le correspondant nomade à utiliser. Puis, ajoutez dans la liste, les ressources locales accessibles.

Nouvelle politique Mode Config

Cette politique avec Mode Config rend accessible via un tunnel IPsec, un unique réseau local aux utilisateurs autorisés. Avec Mode Config, les utilisateurs distants se connectent avec une adresse IP attribuée dans un ensemble défini en tant que "Réseau nomade".

Une fois créée, la cellule correspondant à la colonne Mode Config propose un bouton Modifier, vous permettant de renseigner les paramètres du Mode config IPsec, décrits dans la section « La grille ».

Vous pouvez renseigner un serveur DNS particulier et spécifier les domaines d'utilisation de ce serveur. Ces indications sont par exemple, indispensables en cas d’utilisation d’un client mobile Apple® (iPhone, iPad). Cette fonctionnalité est couplée au mode config, et n’est pas utilisée par tous les clients VPN du marché.

Création de correspondant nomade

La procédure à suivre pour créer un correspondant par ces assistants, est décrite ci-dessous. Vous pouvez également le créer directement depuis l'onglet Correspondant.

Cliquez sur le bouton « Ajouter » une « Nouvelle Politique » VPN, puis sur « Créer un correspondant nomade » via l’assistant de politique VPN IPSec nomade.

Donnez un nom à votre configuration nomade, et cliquez sur Suivant.

Choisissez la méthode d’authentification du correspondant.

Certificat

Si vous optez pour cette méthode d’authentification, vous devrez ensuite choisir votre Certificat (serveur) à présenter au correspondant, parmi la liste de ceux que vous avez créé au préalable (Module Certificats et PKI).

 

Vous pourrez également fournir l’« Autorité de confiance » (CA) ayant signé le certificat de votre correspondant afin qu'elle soit automatiquement ajoutée à la liste des autorités de confiance.

Hybride

Si vous optez pour la méthode hybride, vous devrez également fournir un « Certificat » (serveur) à présenter au correspondant et éventuellement, sa CA.

 

L’authentification du serveur est faite par certificat durant la phase 1, et celle du client le sera par XAuth juste après cette phase1.

Certificat et XAuth (iPhone)

Cette option permet aux utilisateurs mobiles (roadwarriors) de se connecter sur la passerelle VPN de votre entreprise via leur téléphone portable, à l’aide d’un certificat durant la phase 1. Le serveur est également authentifié par certificat pendant cette phase1. Une authentification supplémentaire du client est effectuée par XAuth après la phase 1.

 NOTE

C’est le seul mode compatible avec l’iPhone.

Clé pré-partagées

Si vous optez pour cette méthode d’authentification, vous devrez éditer votre clé dans un tableau, en fournissant son ID, et sa valeur à confirmer.

 

Pour cela, cliquez sur Ajouter.

 

L’ID peut-être au format IP (X.Y.Z.W), FQDN (monserveur.domain.com), ou e-mail (prenom.nom@domain.com). Il occupera ensuite la colonne « Identité » du tableau et la PSK occupera une colonne du même nom avec sa valeur affichée en hexadécimal.

  NOTE

Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.

Cliquez sur Suivant.

Vérifiez l’écran de résumé de votre configuration nomade et cliquez sur Terminer.

Renseignez ensuite la ressource locale, ou « réseau local » auquel l’utilisateur nomade aura accès.

 

Vous pouvez également effectuer d’autres actions :

Rechercher

La recherche s’effectuera sur le nom de l’objet et de ses différentes propriétés, sauf si vous avez spécifié dans les préférences de l’application de restreindre cette recherche aux noms d’objet.

Supprimer

Sélectionnez le tunnel VPN IPsec à retirer de la grille et cliquez sur ce bouton.

Monter

Placer la ligne sélectionnée avant celle du dessus.

Descendre

Placer la ligne sélectionnée après celle du dessous.

La grille

Ligne

Cette colonne indique le numéro de la ligne (1,2,3…) traitée par ordre d’apparition à l’écran

État

Cette colonne affiche l’état On/ Off du tunnel. Lorsque vous en créez un, celui-ci s’active par défaut. Cliquez deux fois dessus pour le désactiver.

Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec :

  • Extrémités du tunnel : objet local / objet distant
  • Extrémités du trafic : objet local / objet de destination
  • Authentification : Mode / Type / Certificat / Clé pré-partagée
  • Profils de chiffrement (phase 1 & 2) : algorithmes, groupe Diffie Helman, durée de vie

Ces informations sont sélectionnables, ce qui permet leur copie.

Réseau local

Choisissez votre machine, groupes de machines, plage d’adresses, réseau ou groupe de réseaux qui sera accessible via le tunnel VPN IPSec, au sein de la liste déroulante d’objets.

Correspondant

Configuration de correspondant, visible au sein de l’onglet du même nom dans le module VPN IPSec.

Réseau nomade

Choisissez parmi la liste déroulant d’objets, votre machine, groupes de machines, plage d’adresses, réseau ou groupe de réseaux accessibles via le tunnel IPsec avec le correspondant.

 NOTE

Lorsque vous créez une nouvelle politique VPN IPSec nomade via l’assistant, il vous est demandé de fournir le réseau local, et non le réseau distant, puisque l’adresse IP n’est pas connue. L’objet « Any » sera donc choisi par défaut.

Domaine (Annuaire) Cette option permet de préciser le domaine (annuaire) sur lequel le correspondant nomade doit être authentifié. Un même utilisateur peut ainsi établir simultanément plusieurs tunnels VPN IPSec et accéder à des ressources distinctes en s'authentifiant sur des annuaires différents.  
Groupe

Cette option permet de préciser le groupe de l'utilisateur au sein du domaine d'authentification.

Un même utilisateur peut alors établir simultanément plusieurs tunnels VPN IPSec en s'authentifiant sur un ou plusieurs domaines, et accéder à des ressources distinctes en se voyant attribuer les droits propres au groupe précisé.

Cette option nécessite de préciser le Domaine (Annuaire).

 
Profil de chiffrement

Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils préconfigurés : StrongEncryption, GoodEncryption et Mobile. Il est également de créer et de modifier d’autres profils au sein de l’onglet Profils de chiffrement.

Mode config

Cette colonne rend possible l’activation du « Mode config », désactivé par défaut. Celui-ci permet de distribuer l’adresse IP d’extrémité de trafic au correspondant.

 NOTES

  1. Si vous choisissez d’activer ce mode, vous devrez sélectionner un objet autre qu’« Any » en tant que réseau distant.
  2. Avec le mode config, une seule politique peut être appliquée par profil.

Le bouton Modifier permet de renseigner les paramètres du Mode config IPsec, qui sont les suivants :

Serveur DNS

Ce champ détermine la machine (serveur DNS) qui sera utilisée par les clients mobiles, pour réaliser les résolutions DNS. Vous pouvez la sélectionner ou la créer dans la base d'objets. Par défaut, ce champ est vide.

Liste des domaines utilisés en Mode config

Le client utilisera le serveur DNS sélectionné précédemment, uniquement pour les domaines spécifiés dans cette grille. Pour les autres domaines, le client continuera à utiliser son/ses serveur(s) DNS système. Il s'agira donc généralement de noms de domaines internes.

 

Exemple : Dans le cas du choix du domaine  "compagnie.com", un iPhone par exemple, en joignant "www.compagnie.com" ou "intranet.compagnie.com" utilisera le serveur DNS spécifié plus haut. Cependant, s’il tente de joindre de joindre "www.google.fr", il continuera à utiliser ses anciens serveurs DNS.

 

Commentaire

Description associée à la politique VPN.

Keepalive

Pour activer cette option, affectez une valeur différente de 0, correspondant à l’intervalle en seconde, entre chaque envoi de paquet UDP.

 

 

 REMARQUE

Vous ne pourrez utiliser et créer qu’une seule configuration nomade (« roadwarrior ») par profil IPsec. Les correspondants sont applicables à tous les profils. Par conséquent, un seul type d'authentification peut être utilisé à la fois pour la configuration nomade.

Vérification en temps réel de la politique

L’écran d’édition des règles de politique IPSec dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille), qui prévient l’administrateur en cas d’incohérence ou d’erreur sur une des règles créées.