Utiliser une authentification multifacteur

Cette section présente certaines solutions d'authentification multifacteur que vous pouvez utiliser pour établir des tunnels VPN SSL avec le firewall SNS. Si vous ne souhaitez pas utiliser une authentification multifacteur, poursuivez vers la section suivante.

Informations générales sur l'authentification multifacteur

L'authentification multifacteur permet de renforcer l'authentification des utilisateurs établissant des tunnels VPN SSL grâce à un second facteur d'authentification.

Ce second facteur est généralement un code à usage unique, appelé code OTP ou TOTP, que l'utilisateur doit renseigner en plus de son mot de passe pour établir le tunnel VPN SSL. Stormshield dispose de sa propre solution TOTP.

Il est également possible d'utiliser une solution externe avec un serveur RADIUS ou une application tierce à installer sur un appareil de confiance. Par exemple, la solution Trustbuilder (anciennement inWebo) est compatible et permet aux utilisateurs de générer des codes OTP ou d'approuver l'établissement d'une connexion (notification push) dans leur application.

Ce document aborde certaines de ces solutions. Poursuivez selon le cas qui s'applique.

NOTE
Pour configurer l'utilisation de l'authentification multifacteur sur le client VPN SSL Stormshield, reportez-vous au Guide de configuration et d'utilisation du client VPN SSL Stormshield v5.

Utiliser la solution TOTP Stormshield

Reportez-vous à la note technique Configurer et utiliser la solution TOTP Stormshield qui présente la configuration et la gestion de la solution TOTP sur le firewall SNS, ainsi que la procédure d'enrôlement des utilisateurs à la solution TOTP.

Assurez-vous de suivre les étapes décrites dans cette note technique pour utiliser la solution TOTP Stormshield pour établir des tunnels VPN SSL avec le firewall SNS.

Utiliser une solution tierce avec un serveur RADIUS

Configurer la solution d’authentification multifacteur tierce

Vous devez configurer la solution d’authentification multifacteur tierce choisie et la connecter à votre serveur RADIUS. Si vous avez besoin d’aide pour cette configuration, reportez-vous à la documentation de la solution choisie.

Activer la méthode RADIUS sur le firewall SNS

Vous devez activer et configurer la méthode RADIUS sur le firewall SNS pour le connecter à votre serveur RADIUS. Pour cela, rendez-vous dans Configuration > Utilisateurs > Authentification, onglet Méthodes disponibles.

Pour plus d'informations, reportez-vous à la section Authentification > Onglet Méthodes disponibles > RADIUS du manuel utilisateur v4 ou du manuel utilisateur v5 selon la version SNS utilisée.

Personnaliser le délai d'inactivité autorisé pour la connexion au serveur RADIUS

Par défaut, le délai d'inactivité autorisé pour la connexion à un serveur RADIUS est de 3000 millisecondes (3 secondes).

Dans le cas où la solution d'authentification multifacteur choisie implique d'utiliser une application tierce pour se connecter (mode Push), vous devez personnaliser le délai d'inactivité afin de laisser aux utilisateurs suffisamment de temps pour se connecter. Par exemple, pour définir un délai d'inactivité de 30 secondes, utilisez les commandes CLI / Serverd suivantes :

CONFIG AUTH RADIUS timeout=30000 btimeout=30000
CONFIG AUTH ACTIVATE