Configurer la vérification des postes clients (ZTNA)

Cette section explique comment configurer une politique de vérification de la conformité des postes clients qui établissent des tunnels VPN SSL avec le firewall SNS.

Informations générales sur l'accès réseau Zero Trust (ZTNA)

Le ZTNA consiste à ne faire confiance aux utilisateurs et aux appareils qu’après leur vérification. Pour cela, le ZTNA peut s'appuyer sur les composantes suivantes :

Une garantie de la conformité du canal de communication grâce au chiffrement TLS des tunnels VPN SSL,
Une vérification des utilisateurs, par exemple avec une authentification multifacteur comme la solution TOTP Stormshield (voir Configurer une authentification multifacteur (TOTP)).
Une politique de vérification de la conformité des postes clients et des utilisateurs. Cette configuration est abordée juste ci-dessous.
Un filtrage fin pour limiter l'accès des utilisateurs aux seules ressources nécessaires (voir Configurer la politique de filtrage et de NAT).

Principe de la vérification des postes clients (ZTNA)

Lorsque la fonctionnalité de vérification des postes clients est activée :

Les clients VPN SSL compatibles avec cette fonctionnalité peuvent établir des tunnels VPN SSL avec le firewall SNS seulement s'ils sont conformes (tous les critères de la politique sont respectés),
Les clients VPN SSL non compatibles avec cette fonctionnalité ne peuvent pas établir de tunnels VPN SSL avec le firewall SNS, sauf s'ils y sont explicitement autorisés en activant le paramètre Clients VPN SSL non compatibles avec ZTNA.

Prérequis

Disposer d'un firewall SNS en version 4.8 LTSB ou 5.
Disposer de clients VPN SSL compatibles avec la vérification des postes clients :
- Le client VPN SSL Stormshield en version 4.0 ou supérieure est compatible. Il doit être configuré en Mode Stormshield pour les versions 5 ou en Mode automatique pour les versions 4.
- Les clients VPN SSL tiers, comme OpenVPN Connect, ne sont pas compatibles.

Configurer la vérification des postes clients

Rendez-vous dans Configuration > VPN > VPN SSL.

L'ordre des champs décrit ci-dessous correspond à celui des versions SNS 5. Des différences existent avec les versions SNS 4.8 LTSB, mais les titres doivent vous permettre d'identifier les champs.

Onglet Vérifications des postes clients (ZTNA)

Champ	Description
Activer la vérification des postes clients (ZTNA)	Ce champ apparaît dans cet onglet sur les versions SNS 4.8 LTSB. Sur les versions SNS 5, l'activation s'effectue dans l'onglet Paramètres généraux. Cochez la case pour activer la vérification de la conformité des postes clients. Si vous n'avez pas encore défini les critères de la vérification des postes clients, définissez-les avant d'activer la vérification.

Champ

Description

Activer la vérification des postes clients (ZTNA)

Ce champ apparaît dans cet onglet sur les versions SNS 4.8 LTSB. Sur les versions SNS 5, l'activation s'effectue dans l'onglet Paramètres généraux.

Cochez la case pour activer la vérification de la conformité des postes clients. Si vous n'avez pas encore défini les critères de la vérification des postes clients, définissez-les avant d'activer la vérification.

Version du client VPN SSL Stormshield / Vérifier la version du client VPN SSL Stormshield

Cochez la case pour activer la zone de paramétrage des versions exigibles.

Champ	Description
Autoriser une plage de versions (v4.0.0 minimum)	Sélectionnez cette option pour autoriser plusieurs versions du client VPN SSL Stormshield à établir des tunnels VPN SSL (cas d'un parc hétérogène de clients VPN SSL Stormshield). En sélectionnant cette option : Vous devez renseigner la Version minimale des clients VPN SSL Stormshield autorisés à établir des tunnels VPN SSL avec le firewall SNS, Vous pouvez renseigner la Version maximale, ou laisser ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale à établir des tunnels VPN SSL avec le firewall SNS.
N’autoriser qu’une seule version	Sélectionnez cette option pour autoriser exclusivement une seule version du client VPN SSL Stormshield. Vous devez alors renseigner la version exacte des clients VPN SSL Stormshield autorisés à établir des tunnels VPN SSL avec le firewall SNS.

Champ

Description

Autoriser une plage de versions (v4.0.0 minimum)

Sélectionnez cette option pour autoriser plusieurs versions du client VPN SSL Stormshield à établir des tunnels VPN SSL (cas d'un parc hétérogène de clients VPN SSL Stormshield). En sélectionnant cette option :

Vous devez renseigner la Version minimale des clients VPN SSL Stormshield autorisés à établir des tunnels VPN SSL avec le firewall SNS,
Vous pouvez renseigner la Version maximale, ou laisser ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale à établir des tunnels VPN SSL avec le firewall SNS.

N’autoriser qu’une seule version

Sélectionnez cette option pour autoriser exclusivement une seule version du client VPN SSL Stormshield. Vous devez alors renseigner la version exacte des clients VPN SSL Stormshield autorisés à établir des tunnels VPN SSL avec le firewall SNS.

Autoriser l'établissement de tunnels pour les clients additionnels suivants

Champ	Description
Clients VPN SSL Stormshield (Linux ou macOS)	Cochez la case si le parc de clients VPN SSL Stormshield de votre organisation comporte des clients VPN SSL Stormshield sous Linux et/ou macOS. Ainsi, les critères spécifiques Windows ne sont pas pris en compte pour ces postes.
Clients VPN SSL non compatibles avec ZTNA	Cochez la case pour autoriser les clients VPN SSL non compatibles avec la fonctionnalité de vérification des postes clients à établir des tunnels VPN SSL avec le firewall SNS, par exemple pour une utilisation avec des terminaux mobiles.

Message personnalisé pour les postes non conformes

En cas d'échec d'établissement d'un tunnel VPN SSL du fait d'une non-conformité à la politique, le client VPN SSL Stormshield affiche par défaut le message "Pour plus d'informations, veuillez contacter le service d'assistance" en français, anglais et allemand.

Si ce message ne vous convient pas, vous pouvez le personnaliser en le modifiant dans la zone de saisie. Vous pouvez également le supprimer pour ne plus afficher de message. Notez qu'aucun mécanisme de traduction automatique n'est mis en place : vous devez donc prendre en charge la traduction du message.

Vous pouvez revenir au message par défaut en cliquant sur Revenir aux messages proposés par défaut.

Écran de personnalisation du message de non-conformité à politique de vérification des postes clients sur un firewall SNS en version 5

Onglet Vérification des postes clients Windows (ZTNA)

Sur les versions SNS 4.8 LTSB, cet onglet n'existe pas. Les champs décrit ci-dessous se trouvent dans l'onglet Vérifications des postes clients (ZTNA).

IMPORTANT
Si vous sélectionnez ci-dessous plusieurs critères, ils doivent tous être respectés pour que le client VPN SSL soit autorisé à établir des tunnels VPN SSL avec le firewall SNS.

Champ	Description
Antivirus du poste client actif et à jour	En cochant cette case, le poste de travail doit disposer d'un logiciel antiviral actif avec les dernières mises à jour de base de données antivirale. Cette information se base sur l'état de l'antivirus reconnu par le centre de Sécurité Windows, ce qui permet de prendre en charge les antivirus tiers tant que leur état est reconnu. NOTE Le service Windows permettant de vérifier l'état de l'antivirus met quelques minutes à démarrer après l'ouverture d'une session. Les utilisateurs doivent donc attendre quelques minutes après l'ouverture de leur session Windows avant d'établir un tunnel VPN SSL.
Firewall actif sur le poste client	En cochant cette case, le Pare-feu Windows du poste de travail doit être en cours d'exécution et les profils Réseau avec domaine, Réseau privé et Réseau public doivent être activés. Le critère est considéré comme non conforme si un profil est inactif. NOTE Le service Windows permettant de vérifier l'état du Pare-feu Windows met quelques minutes à démarrer après l'ouverture d'une session. Les utilisateurs doivent donc attendre quelques minutes après l'ouverture de leur session Windows avant d'établir un tunnel VPN SSL.
SES installé sur le poste client	En cochant cette case, l'agent SES Evolution doit être installé sur le poste de travail. À noter que la configuration et l'état de l'agent SES ne sont pas pris en compte.
Interdire les utilisateurs possédant les droits d’administration du poste client	En cochant cette case, un utilisateur disposant de droits d'administration sur le poste de travail ne peut pas établir de tunnels VPN SSL avec le firewall SNS.

Vérifier la version de Windows 10 / Windows 11 (numéro de build)

Cochez la case pour activer la zone de paramétrage des versions exigibles de Windows 10 et Windows 11. La configuration s'effectue dans l'onglet correspondant à la version concernée.

Champ	Description
Autoriser une plage de versions (builds)	Sélectionnez cette option pour autoriser plusieurs versions de Windows (cas d'un parc hétérogène de postes de travail Windows). En sélectionnant cette option : Vous devez renseigner la Version minimale que doit posséder le poste de travail pour être autorisé à établir des tunnels VPN SSL avec le firewall SNS. Les versions par défaut sont : 10000 pour Windows 10 et 20000 pour Windows 11. Vous pouvez renseigner la Version maximale, ou laisser ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale à établir des tunnels VPN SSL avec le firewall SNS.
N’autoriser qu’une seule version	Sélectionnez cette option pour autoriser exclusivement une seule version de Windows. Vous devez alors renseigner la version exacte de Windows des postes de travail autorisés à établir des tunnels VPN SSL avec le firewall SNS.

Champ

Description

Autoriser une plage de versions (builds)

Sélectionnez cette option pour autoriser plusieurs versions de Windows (cas d'un parc hétérogène de postes de travail Windows). En sélectionnant cette option :

Vous devez renseigner la Version minimale que doit posséder le poste de travail pour être autorisé à établir des tunnels VPN SSL avec le firewall SNS. Les versions par défaut sont : 10000 pour Windows 10 et 20000 pour Windows 11.
Vous pouvez renseigner la Version maximale, ou laisser ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale à établir des tunnels VPN SSL avec le firewall SNS.

N’autoriser qu’une seule version

Sélectionnez cette option pour autoriser exclusivement une seule version de Windows. Vous devez alors renseigner la version exacte de Windows des postes de travail autorisés à établir des tunnels VPN SSL avec le firewall SNS.

Appartenance à un domaine d'entreprise

Sur les versions SNS 4.8 LTSB, le champ visible change selon si l'onglet Machine rattachée à un domaine ou Utilisateur rattaché à un domaine est sélectionné.

Champ	Description
Vérifier que la machine est rattachée à un domaine d'entreprise (SNS v5)	En cochant cette case, vous devez ajouter dans la grille les domaines d'appartenance des postes de travail autorisés à établir des tunnels VPN SSL avec le firewall SNS. Notez que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall SNS.
La machine doit être rattachée à un domaine d’entreprise (SNS v4.8 LTSB)
Vérifier que l'utilisateur appartient à un domaine d'entreprise (SNS v5)	En cochant cette case, vous devez ajouter dans la grille les domaines d'appartenance des utilisateurs autorisés à établir des tunnels VPN SSL avec le firewall SNS. Avec ce critère, le nom complet de l'utilisateur incluant le domaine est vérifié. Ainsi, même si le poste de travail est rattaché à un domaine, un utilisateur local du poste de travail ne pourra pas établir de tunnels VPN SSL. Notez que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall SNS.
L’utilisateur est rattaché à un domaine d’entreprise (SNS v4.8 LTSB)