Avant de commencer

Dans les versions antérieures à SNS 4.8, seuls les tunnels mobiles basés sur le protocole IKEv1 autorisaient une authentification multifacteur (MFA) pour les utilisateurs nomades par le biais de XAUTH : en effet, IKEv2 ne supporte pas la méthode XAUTH.

IKEv1 étant un protocole ancien, et l'ANSSI recommandant les solutions basées sur le protocole IKEv2 pour une sécurité accrue, la version SNS 4.8 introduit donc le support de l'authentification multifacteur (MFA) pour les tunnels nomades basé sur IKEv2 par le biais d'EAP (Extensible Authentication Protocol).

Cette authentification multifacteur peut être réalisée de deux manières :

  • EAP-Generic Token Card : le correspondant mobile doit présenter un couple identifiant / mot de passe,
  • Certificat et EAP-Generic Token Card : le correspondant mobile doit présenter un certificat et un couple identifiant / mot de passe.

NOTE
SN IPsec VPN Client Exclusive v7.4 ou supérieure doit être installé sur le poste client pour utiliser la compatibilité avec EAP.

Ce document décrit la configuration VPN nécessaire pour autoriser un utilisateur nomade à accéder au réseau interne de son entreprise via un tunnel mobile IPsec mode Config basé sur IKE v2 et utilisant la méthode Certificat et EAP-Generic Token Card. Le couple identifiant / mot de passe sont issus de l'annuaire LDAP interne du firewall.

Notez que les méthodes EAP-Generic Token Card et Certificat et EAP-Generic Token Card utilisent un couple identifiant / mot de passe qui peut être référencé dans un annuaire LDAP interne, un annuaire LDAP externe ou sur un serveur Radius par exemple.

Prérequis

  • Les comptes utilisateurs utilisés pour le VPN IPsec sont déjà créés dans un annuaire LDAP configuré comme annuaire par défaut sur le firewall (annuaire interne dans ce document).
    La création d'un annuaire LDAP (interne ou externe) est décrite dans la section Configuration des annuaires du Manuel Utilisateur SNS.
  • Une adresse e-mail doit être définie pour chaque utilisateur présent dans l'annuaire.
  • Les postes clients Microsoft Windows doivent disposer du logiciel SN VPN Client Exclusive, disponible dans la section Téléchargements > Stormshield Network Security > VPN Client de votre espace MyStormshield (logiciel soumis à l'acquisition d'une licence et disposant d'une période d'évaluation de 30 jours) ou du client VPN IPsec Enterprise TheGreenBow.

Limitations

Les méthodes d'authentification Certificat et EAP-Generic Token Card ou EAP-Generic Token Card ne sont pas compatibles avec :

  • Les tunnels basés sur IKEv1, qui doivent utiliser XAUTH pour une authentification multifacteur.
  • Le mode Diffusion Restreinte (DR).

 

Date Description
9 juillet 2024 Nouveau document