Configurer le service VPN SSL

Indiquez l’adresse que les utilisateurs devront utiliser pour joindre le firewall SNS afin d'établir des tunnels VPN SSL.

• Pour une adresse IP : elle doit être publique, donc accessible sur Internet,

• Pour un FQDN (exemple : ssl.company.tld) : il doit être déclaré dans les serveurs DNS utilisés par le poste de travail lorsque celui-ci est en dehors du réseau de l’entreprise.
  Si vous disposez d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Dans ce cas, paramétrez ce FQDN dans le module Configuration > Réseau > DNS dynamique.

Sélectionnez l’objet représentant les réseaux ou machines qui seront joignables au travers du tunnel VPN. Cet objet permet de définir automatiquement sur le poste de travail les routes nécessaires pour joindre les ressources accessibles via le VPN.

Des règles de filtrage seront nécessaires pour autoriser ou interdire plus finement les flux entre les postes de travail distants et les ressources internes. Il peut également être nécessaire de définir des routes statiques d’accès au réseau attribué aux clients VPN sur les équipements de l’entreprise situés entre le firewall SNS et les ressources internes mises à disposition.

Sélectionnez l’objet correspondant au réseau qui sera assigné aux clients VPN en UDP et en TCP. Vous pouvez assigner un réseau différent, mais le client VPN choisira toujours en premier le réseau UDP pour de meilleures performances.

Concernant le choix du réseau ou des sous-réseaux :

• La taille minimale du masque réseau est de /28,
• Le réseau dédié aux clients VPN ne doit pas appartenir aux réseaux internes existants ou déclarés par une route statique sur le firewall. L’interface utilisée pour le VPN SSL étant protégée, le firewall détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants,
• Afin d’éviter des conflits de routage, choisissez des sous-réseaux peu communément utilisés (comme 10.60.77.0/24) car de nombreux réseaux d’accès à Internet filtrés (Wi-Fi public, hôtels) ou réseaux locaux privés utilisent déjà les premières plages d’adresses réservées.

Dans l'un des cas suivants, vous devez sélectionner l’objet représentant l'adresse IP à utiliser pour établir les tunnels VPN SSL en UDP :

• L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) n'est pas l'adresse IP principale de l'interface externe,

• L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) est portée par une interface externe qui n'est pas en lien avec la passerelle par défaut du firewall.

Vous pouvez modifier les ports d’écoute du service VPN SSL. À noter que :

• Certains ports sont réservés à un usage interne du firewall SNS et ne peuvent pas être sélectionnés,
• Le port 443 est le seul port inférieur à 1024 qui peut être utilisé,
• Si vous modifiez les ports par défaut, le VPN SSL pourrait ne plus être accessible depuis un réseau avec filtrage d’accès à Internet (hôtels, Wi-Fi public).

Vous pouvez modifier le délai (par défaut 14400 secondes, soit 4 heures) au terme duquel les clés utilisées par les algorithmes de chiffrement sont renégociées. Pendant cette opération :

• Le tunnel VPN SSL ne répondra pas pendant quelques secondes,
• Si une authentification multifacteur est utilisée, l'utilisateur devra renseigner un nouveau code OTP ou approuver la nouvelle connexion sur son application tierce (Mode Push) afin de rester connecté. Il peut être intéressant d'augmenter le délai pour l'aligner sur la durée moyenne d'une journée travaillée, par exemple à 28800 secondes (8 heures).

Vous pouvez indiquer aux clients VPN d'inscrire dans la configuration réseau du poste de travail (Windows uniquement) les serveurs DNS récupérés via le VPN SSL. Ceux déjà définis sur le poste de travail pourront être interrogés.

Sélectionnez le script à exécuter à l'ouverture du tunnel VPN. Exemple de script permettant de connecter le lecteur réseau Z: à un partage :

NET USE Z: \\myserver\myshare

Sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM. Pour plus d'informations, reportez-vous à la note technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.

Cochez la case pour activer la fonctionnalité de vérification de la conformité des postes clients et des utilisateurs. Lorsqu'elle est activée :

• Un client VPN SSL compatible peut établir un tunnel VPN SSL avec le firewall uniquement si tous les critères définis dans la politique sont respectés,

• Un client VPN SSL non compatible ne peut pas établir de tunnel VPN SSL avec le firewall, sauf si le mode permissif est activé (voir ci-dessous).

Le poste de travail doit disposer d'un logiciel antiviral actif avec les dernières mises à jour de base de données antivirale. Cette information se base sur l'état de l'antivirus reconnu par le centre de Sécurité Windows. Les antivirus tiers sont donc pris en charge tant que le centre de Sécurité Windows reconnait leur état.

Le Pare-feu Windows doit être en cours d'exécution sur le poste de travail et les profils Réseau avec domaine, Réseau privé et Réseau public doivent être activés. Si un profil est inactif, le critère sera considéré comme non conforme.

Dans les infrastructures ayant déployé la solution SES Evolution, l'agent SES doit être installée sur le poste de travail. 

À noter que la configuration et l'état de l'agent SES ne sont pas pris en compte.

Un utilisateur disposant de droits d'administration sur le poste de travail ne peut pas établir de tunnels VPN SSL avec le firewall.

Le poste de travail sous Windows 10 ou Windows 11 doit disposer des versions de Windows spécifiées (numéros de builds) pour établir un tunnel VPN SSL avec le firewall. En cochant cette case, vous activez la zone de paramétrage des versions exigibles.

Onglets Windows 10 et Windows 11

• Autoriser une plage de versions : si vous choisissez cette option :
  • Vous devez préciser la Version minimale que doit posséder le poste de travail (par défaut 10000 pour Windows 10 et 20000 pour Windows 11),
  • Vous pouvez préciser la Version maximale que doit posséder le poste de travail. Laissez ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale précisée.
• N’autoriser qu’une seule version : si vous choisissez cette option, vous devez préciser la version exacte de Windows que le poste de travail doit posséder.

Si vous cochez la case La machine doit être rattachée à un domaine d’entreprise, vous devez ajouter dans la grille Liste des domaines Active Directory les domaines d'appartenance des postes de travail autorisés à établir un tunnel VPN SSL avec le firewall.

À noter que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall.

Si vous cochez la case L'utilisateur doit être rattaché à un domaine d’entreprise, vous devez ajouter dans la grille Liste des domaines Active Directory les domaines d'appartenance des utilisateurs autorisés à établir un tunnel VPN SSL avec le firewall.

Avec ce critère, le nom complet de l'utilisateur composé du domaine est vérifié. Ainsi, même si le poste de travail est rattaché à un domaine, un utilisateur local du poste de travail ne pourra pas établir de tunnel VPN SSL avec le firewall. À noter que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall.