Configurer la vérification des postes clients (ZTNA)
Cette section explique comment configurer une politique de vérification de la conformité des postes clients qui établissent des tunnels VPN SSL avec le firewall SNS. Avec cette vérification, un poste de travail ou un utilisateur non conforme aux critères de la politique définie sur le firewall SNS ne peut pas établir de tunnels VPN SSL avec le firewall SNS.
Vous pouvez cliquer sur Appliquer à tout moment pour sauvegarder vos modifications.
Informations générales sur l'accès réseau Zero Trust (ZTNA)
Le ZTNA consiste à ne faire confiance aux utilisateurs et aux appareils qu’après leur vérification. Pour cela, le ZTNA peut s'appuyer sur les composantes suivantes :
- Une garantie de la conformité du canal de communication grâce au chiffrement TLS des tunnels VPN SSL,
- Une vérification des utilisateurs, par exemple avec une authentification multifacteur comme la solution TOTP Stormshield (voir Utiliser une authentification multifacteur).
- Une politique de vérification de la conformité des postes clients et des utilisateurs. Cette configuration est abordée juste ci-dessous.
- Un filtrage fin pour limiter l'accès des utilisateurs aux seules ressources nécessaires (voir Configurer la politique de filtrage et de NAT).
Prérequis
Pour utiliser une politique de vérification de la conformité des postes clients, vous devez vous conformer aux prérequis suivants :
- Disposer d'un firewall SNS en version 4.8 LTSB ou 5.
- Disposer d clients VPN SSL compatibles avec la fonctionnalité de vérification des postes clients :
- Le client VPN SSL Stormshield en version 4.0 ou supérieure est compatible. Il doit être configuré en Mode Stormshield pour les versions 5 ou en Mode automatique pour les versions 4.
- Les clients VPN SSL tiers, comme OpenVPN Connect, ne sont pas compatibles.
Configurer la vérification des postes clients sur les versions SNS 5
Rendez-vous dans Configuration > VPN > VPN SSL. La configuration s'effectue dans les onglets Vérifications des postes clients (ZTNA) et Vérification des postes clients Windows (ZTNA).
Onglet Vérifications des postes clients (ZTNA)
Version du client VPN SSL Stormshield
Cochez la case pour activer la zone de paramétrage des versions exigibles.
| Champ | Description |
|---|---|
| Autoriser une plage de versions (v4.0.0 minimum) |
Sélectionnez cette option pour autoriser plusieurs versions du client VPN SSL Stormshield à établir des tunnels VPN SSL (cas d'un parc hétérogène de clients VPN SSL Stormshield). En sélectionnant cette option :
|
| N’autoriser qu’une seule version |
Sélectionnez cette option pour autoriser exclusivement une seule version du client VPN SSL Stormshield. Vous devez alors renseigner la version exacte des clients VPN SSL Stormshield autorisés à établir des tunnels VPN SSL avec le firewall SNS. |
Autoriser l'établissement de tunnels pour les clients additionnels suivants
| Champ | Description |
|---|---|
| Clients VPN SSL Stormshield (Linux ou macOS) |
Cochez la case si le parc de clients VPN SSL Stormshield de votre organisation comporte des clients VPN SSL Stormshield sous Linux et/ou macOS. Ainsi, les critères spécifiques Windows ne sont pas pris en compte pour ces postes. |
| Clients VPN SSL non compatibles avec ZTNA |
Cochez la case pour autoriser les clients VPN SSL non compatibles avec la fonctionnalité de vérification des postes clients à établir des tunnels VPN SSL avec le firewall SNS, par exemple pour une utilisation avec des terminaux mobiles. |
Message personnalisé pour les postes non compatibles
En cas d'échec d'établissement d'un tunnel VPN SSL du fait d'une non-conformité à la politique, le client VPN SSL Stormshield affiche par défaut le message "Pour plus d'informations, veuillez contacter le service d'assistance" en français, anglais et allemand.
Dans la zone de saisie, vous pouvez modifier ce message ou le supprimer si vous ne souhaitez pas afficher de message additionnel. Notez qu'aucun mécanisme de traduction automatique n'est mis en place : vous devez donc prendre en charge la traduction du message.
Vous pouvez réinitialiser le message additionnel que vous avez rédigé en cliquant sur Revenir aux messages proposés par défaut.
Onglet Vérification des postes clients Windows (ZTNA)
IMPORTANT
Si vous sélectionnez ci-dessous plusieurs critères, ils doivent tous être respectés pour que le client VPN SSL soit autorisé à établir des tunnels VPN SSL avec le firewall SNS.
| Champ | Description |
|---|---|
| Antivirus du poste client actif et à jour |
En cochant cette case, le poste de travail doit disposer d'un logiciel antiviral actif avec les dernières mises à jour de base de données antivirale. Cette information se base sur l'état de l'antivirus reconnu par le centre de Sécurité Windows, ce qui permet de prendre en charge les antivirus tiers tant que leur état est reconnu. NOTE
|
| Firewall actif sur le poste client |
En cochant cette case, le Pare-feu Windows du poste de travail doit être en cours d'exécution et les profils Réseau avec domaine, Réseau privé et Réseau public doivent être activés. Le critère est considéré comme non conforme si un profil est inactif. NOTE
|
| SES installé sur le poste client |
En cochant cette case, l'agent SES Evolution doit être installé sur le poste de travail. À noter que la configuration et l'état de l'agent SES ne sont pas pris en compte. |
| Interdire les utilisateurs possédant les droits d’administration du poste client |
En cochant cette case, un utilisateur disposant de droits d'administration sur le poste de travail ne peut pas établir de tunnels VPN SSL avec le firewall SNS. |
Vérifier la version de Windows 10 / Windows 11 (numéro de build)
Cochez la case pour activer la zone de paramétrage des versions exigibles de Windows 10 et Windows 11. La configuration s'effectue dans l'onglet correspondant à la version concernée.
| Champ | Description |
|---|---|
| Autoriser une plage de versions (builds) |
Sélectionnez cette option pour autoriser plusieurs versions de Windows (cas d'un parc hétérogène de postes de travail Windows). En sélectionnant cette option :
|
| N’autoriser qu’une seule version |
Sélectionnez cette option pour autoriser exclusivement une seule version de Windows. Vous devez alors renseigner la version exacte de Windows des postes de travail autorisés à établir des tunnels VPN SSL avec le firewall SNS. |
Appartenance à un domaine d'entreprise
| Champ | Description |
|---|---|
| Vérifier que la machine est rattachée à un domaine d'entreprise |
En cochant cette case, vous devez ajouter dans la grille les domaines d'appartenance des postes de travail autorisés à établir des tunnels VPN SSL avec le firewall SNS. Notez que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall SNS. |
| Vérifier que l'utilisateur appartient à un domaine d'entreprise |
En cochant cette case, vous devez ajouter dans la grille les domaines d'appartenance des utilisateurs autorisés à établir des tunnels VPN SSL avec le firewall SNS. Avec ce critère, le nom complet de l'utilisateur incluant le domaine est vérifié. Ainsi, même si le poste de travail est rattaché à un domaine, un utilisateur local du poste de travail ne pourra pas établir de tunnels VPN SSL. Notez que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall SNS. |
Configurer la vérification des postes clients sur les versions SNS 4.8 LTSB
Rendez-vous dans Configuration > VPN > VPN SSL. La configuration s'effectue dans l'onglet Vérification des postes clients (ZTNA).
| Champ | Description |
|---|---|
|
Activer la vérification des postes clients (ZTNA) |
Cochez la case pour activer la vérification de la conformité des postes clients. Lorsqu'elle est activée :
|
| Autoriser l’établissement de tunnels pour des clients VPN SSL Stormshield Linux ou Mac | Cochez la case si le parc de clients VPN SSL Stormshield de votre organisation comporte des clients VPN SSL Stormshield sous Linux et/ou macOS. Ainsi, les critères spécifiques Windows ne sont pas pris en compte pour ces postes. |
| Autoriser l’établissement de tunnels pour des clients non compatibles avec ZTNA |
Cochez la case pour autoriser les clients VPN SSL non compatibles avec la fonctionnalité de vérification des postes clients à établir des tunnels VPN SSL avec le firewall SNS, par exemple pour une utilisation avec des terminaux mobiles. |
Paramètres de vérification des postes clients (ZTNA)
IMPORTANT
Si vous sélectionnez ci-dessous plusieurs critères, ils doivent tous être respectés pour que le client VPN SSL soit autorisé à établir des tunnels VPN SSL avec le firewall SNS.
| Champ / Critère | Description |
|---|---|
| Antivirus du poste client actif et à jour |
En cochant cette case, le poste de travail doit disposer d'un logiciel antiviral actif avec les dernières mises à jour de base de données antivirale. Cette information se base sur l'état de l'antivirus reconnu par le centre de Sécurité Windows, ce qui permet de prendre en charge les antivirus tiers tant que leur état est reconnu. NOTE
|
| Firewall actif sur le poste client |
En cochant cette case, le Pare-feu Windows du poste de travail doit être en cours d'exécution et les profils Réseau avec domaine, Réseau privé et Réseau public doivent être activés. Le critère est considéré comme non conforme si un profil est inactif. NOTE
|
| SES installé sur le poste client |
En cochant cette case, l'agent SES Evolution doit être installé sur le poste de travail. À noter que la configuration et l'état de l'agent SES ne sont pas pris en compte. |
| Interdire les utilisateurs possédant les droits d’administration du poste client |
En cochant cette case, un utilisateur disposant de droits d'administration sur le poste de travail ne peut pas établir de tunnels VPN SSL avec le firewall SNS. |
| Vérifier les versions (numéro de build) de Windows 10 / Windows 11 |
Cochez la case pour activer la zone de paramétrage des versions exigibles de Windows 10 et Windows 11. La configuration s'effectue dans l'onglet correspondant à la version concernée.
|
| Onglet Machine rattachée à un domaine |
En cochant la case La machine doit être rattachée à un domaine d’entreprise, vous devez ajouter dans la grille les domaines d'appartenance des postes de travail autorisés à établir des tunnels VPN SSL avec le firewall SNS. Notez que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall SNS. |
| Onglet Utilisateur rattaché à un domaine |
En cochant la case L'utilisateur doit être rattaché à un domaine d’entreprise, vous devez ajouter dans la grille les domaines d'appartenance des utilisateurs autorisés à établir des tunnels VPN SSL avec le firewall SNS. Avec ce critère, le nom complet de l'utilisateur incluant le domaine est vérifié. Ainsi, même si le poste de travail est rattaché à un domaine, un utilisateur local du poste de travail ne pourra pas établir de tunnels VPN SSL. Notez que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall SNS. |
| Version du client VPN SSL Stormshield |
Cochez la case Vérifier la version du client VPN SSL Stormshield pour activer la zone de paramétrage des versions exigibles.
|
Message personnalisé
En cas d'échec d'établissement d'un tunnel VPN SSL du fait d'une non-conformité à la politique, le client VPN SSL Stormshield affiche par défaut le message "Pour plus d'informations, veuillez contacter le service d'assistance" en français, anglais et allemand.
Dans la zone de saisie, vous pouvez modifier ce message ou le supprimer si vous ne souhaitez pas afficher de message additionnel. Notez qu'aucun mécanisme de traduction automatique n'est mis en place : vous devez donc prendre en charge la traduction du message.
Vous pouvez réinitialiser le message additionnel que vous avez rédigé en cliquant sur Revenir aux messages proposés par défaut.
