Prérequis

Les prérequis pour réaliser les manipulations de cette note technique sont les suivants.

Disposer d'un client VPN SSL compatible

Chaque poste de travail ou terminal mobile doit disposer d'un client VPN compatible pour établir des tunnels VPN SSL avec le firewall SNS. Les clients VPN compatibles sont :

• SN SSL VPN Client : cette note technique présente son installation, sa configuration, son utilisation jusqu'à l'établissement d'un tunnel VPN SSL, certaines de ses spécificités (compatibilités, modes de connexion, ...) et l'accès à ses journaux,
• OpenVPN Connect : pour plus d'informations, reportez-vous à la section Annexe : installer, configurer et utiliser OpenVPN Connect,
• SN VPN Client Standard : pour plus d'informations, reportez-vous au document SN VPN Client Standard User Guide (anglais uniquement),
• SN VPN Client Exclusive : pour plus d'informations, reportez-vous au Guide de l'administrateur SN VPN Client Exclusive.

Pour plus d'informations sur les versions et les systèmes d'exploitation compatibles des logiciels Stormshield, reportez-vous au Guide de cycle de vie Network Security & Tools.

Disposer d'un firewall SNS adapté

Le nombre maximal de tunnels VPN SSL autorisés par les firewalls SNS est différent selon le modèle utilisé. Choisissez un modèle adapté à vos besoins. Retrouvez cette information sur le site de Stormshield, rubrique Gamme produits (SNS) en sélectionnant votre modèle.

Avoir connecté le firewall SNS à un annuaire

Le firewall SNS doit être connecté à un annuaire pour afficher dans ses modules les listes d'utilisateurs et groupes d'utilisateurs. Ceci permettra de définir les utilisateurs et groupes d'utilisateurs autorisés à établir des tunnels VPN SSL.

Vérifiez cette connexion dans l'interface d'administration du firewall SNS dans Configuration > Utilisateurs > Authentification, onglet Méthodes disponibles. Une ligne LDAP doit apparaître dans la grille. Pour plus d'informations sur la configuration des annuaires, reportez-vous à la section Configuration des annuaires du manuel utilisateur de la version SNS utilisée.

Permettre aux utilisateurs d'accéder au portail captif du firewall SNS

Le portail captif du firewall SNS doit être activé et les utilisateurs qui se connecteront en VPN SSL doivent pouvoir y accéder. Cet accès permet notamment :

• Aux clients VPN SSL Stormshield de récupérer leur configuration VPN SSL,
• Au firewall SNS et aux clients VPN SSL Stormshield d'appliquer la politique de vérification de la conformité des postes clients dans le cas où un accès réseau Zero Trust est utilisé.

Vous pouvez vérifier la configuration du portail captif dans l'interface d'administration du firewall SNS dans Configuration > Utilisateurs > Authentification, onglets Portail captif et Profils du portail captif. Pour plus d'informations sur la configuration du portail captif, reportez-vous à la section Authentification du manuel utilisateur de la version SNS utilisée.

Cas de l'authentification multifacteur

Dans le cas où une authentification multifacteur pour les connexions VPN SSL est utilisée :

Pour une authentification multifacteur utilisant la solution TOTP Stormshield

• Le firewall SNS doit être en version 4.5 ou supérieure,

• La solution TOTP doit être déjà configurée. Pour plus d'informations, reportez-vous à la note technique Configurer et utiliser la solution TOTP Stormshield.

Pour une authentification multifacteur utilisant une solution tierce et un serveur RADIUS

• La solution d’authentification multifacteur choisie doit être déjà configurée,

• Le serveur RADIUS permettant de faire le lien entre le firewall SNS et la solution d’authentification multifacteur choisie doit être déjà configuré.

Cas de la mise en œuvre d'un accès réseau Zero Trust (ZTNA)

Dans le cas où un accès réseau Zero Trust est utilisé :

• Le firewall SNS doit être en version 4.8 ou supérieure,
• Chaque poste de travail doit utiliser le client VPN SSL Stormshield en version 4.0 ou supérieure,

• Le Client VPN SSL Stormshield doit être configuré en mode automatique.