Cas des tunnels d'accès nomade

Un tunnel VPN client-à-site est un tunnel interconnectant un équipement nomade, dont l’adresse IP de connexion est inconnue, avec un réseau local. Dans un tel cas d’usage, l’équipement nomade est à la fois le correspondant distant (qui émet et reçoit du trafic non protégé) et l’extrémité du tunnel VPN IPsec qui assure la protection du trafic émis et reçu. L’adresse IP en charge du trafic non protégé est appelée adresse IP rouge, par opposition avec l’adresse IP noire, représentant l’extrémité du tunnel.

Son fonctionnement est donc différent du fonctionnement d’un tunnel VPN site-à-site, configuré entre deux passerelles VPN dont les adresses IP noires sont a priori connues à l’avance et dont les flux à chiffrer proviennent de sous-réseaux distincts.

La configuration des tunnels nomades est réalisable à partir du menu Configuration > VPN > VPN IPsec > Mobile - Utilisateurs nomades. Il y est possible de laisser le correspondant choisir son adresse IP rouge, ou de lui en fournir une. Dans le premier cas, il est difficile de maîtriser les routes et les règles de filtrage, et de s’assurer qu’il n’y ait pas de conflit d’adresse entre deux correspondants. Dans le second cas, le mode Config permet au pare-feu SNS d’envoyer au client l’adresse IP rouge qu’il doit utiliser, protégeant des risques évoqués.

R44 | SNS | Configurer les tunnels nomades en mode Config
Dans le cas de tunnels nomades, il est recommandé d’utiliser le mode Config afin de maîtriser les adresses IP rouges distantes. Ce mode peut être défini dès la création de la politique d’accès VPN ou a posteriori depuis le menu VPN > VPN IPsec > Mobile - Utilisateurs nomades.

La mise en place de tunnels VPN nomades permet d’interconnecter des utilisateurs mobiles avec des réseaux locaux. Il est donc important de s’assurer que seuls les utilisateurs explicitement autorisés puissent en établir. Par défaut dans un pare-feu SNS, cette autorisation est déterminée uniquement en fonction de la validité de la clé partagée ou du certificat (elle ne peut pas reposer sur l’adresse IP publique du correspondant car cette dernière n’est pas authentifiée et n’est pas connue à l’avance dans le cas d’un VPN nomade).

Dans le cadre de tunnels VPN nomades, une clé partagée doit être définie pour chaque client. Cette méthode présente plusieurs problèmes de sécurité :

  • La compromission ou la suspicion de compromission de cette clé demande une modification sur l’ensemble des clients nomades,

  • L’authentification des clients nomades n’est pas assurée,

  • La passerelle VPN est sujette à des attaques par force brute.

R45 | SNS | Authentifier par certificat les pare-feux SNS et/ou les utilisateurs nomades
L’authentification des pare-feux SNS et/ou des utilisateurs nomades doit être basée sur l’utilisation de certificats afin de se protéger des faiblesses d’une clé partagée et conformément à la recommandation R40.

Lorsqu’une autorité de certification est renseignée comme acceptée dans le menu Configuration > VPN > VPN IPsec > Identification, l’ensemble des certificats émis par cette autorité sont autorisés à monter un tunnel VPN nomade.

R46 | SNS | Utiliser une autorité de certification intermédiaire dédiée
Afin de gérer les autorisations au service de VPN nomades, il est recommandé de n’accepter qu’une autorité de certification intermédiaire, consacrée à l’émission de certificats dédiés à l’utilisation de ce service.

De plus, l’authentification par certificat permet également d’utiliser le mécanisme d’UAC (User Access Control) fourni par le pare-feu SNS lorsqu’un annuaire est également utilisé. Cette fonctionnalité offre la possibilité de gérer finement les autorisations d’accès au service de VPN nomades, ainsi que les règles de filtrage et de NAT.