VPN SSL

Le VPN SSL permet à des utilisateurs distants d’accéder de manière sécurisée à des ressources, internes à une entreprise ou non, en passant par le firewall SNS. Pour qu'un tunnel VPN puisse s'établir avec le firewall SNS, un client VPN SSL doit être installé sur le poste de travail ou le terminal mobile de l'utilisateur.

Le client VPN SSL de Stormshield (SN SSL VPN Client) dispose d'un mode de connexion lui permettant de récupérer automatiquement et de manière sécurisée sa configuration VPN, à l'inverse d'OpenVPN Connect pour qui la configuration VPN doit être intégrée manuellement.

La mise en œuvre de tunnels VPN SSL nécessite de configurer en plus du module VPN SSL les modules suivants : Authentification, Droits d'accès et Filtrage et NAT. Pour plus d'informations, reportez-vous à la note technique Configurer et utiliser le VPN SSL des firewalls SNS.

Le module VPN SSL se compose de plusieurs zones.


 Active ou désactive le service VPN SSL du firewall SNS.

Zone Paramètres réseaux

Adresse IP (ou FQDN) de l'UTM utilisée

Indiquez l’adresse que les utilisateurs devront utiliser pour joindre le firewall SNS afin d'établir les tunnels VPN SSL.

  • Si vous renseignez une adresse IP, elle doit être publique, donc accessible sur Internet,

  • Si vous renseignez un FQDN (exemple : ssl.company.tld), il doit être déclaré dans les serveurs DNS utilisés par le terminal client lorsque celui-ci est en dehors du réseau de l’entreprise. Si vous disposez d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Dans ce cas, paramétrez ce FQDN dans le module DNS dynamique.
Réseaux ou machines accessibles

Sélectionnez l’objet représentant les réseaux ou machines qui seront joignables au travers du tunnel VPN. Cet objet permet de définir automatiquement sur le terminal client les routes nécessaires pour joindre les ressources accessibles via le VPN.

Des règles de filtrage (dans le module Filtrage et NAT) seront nécessaires pour autoriser ou interdire plus finement les flux entre les clients distants et les ressources internes.

Réseau assigné aux clients (UDP)

 

Réseau assigné aux clients (TCP)

Sélectionnez l’objet correspondant au réseau qui sera assigné aux clients VPN. La taille minimale du masque réseau est de /28. Vous pouvez assigner un réseau aux clients VPN en UDP et un autre pour ceux en TCP, mais ils doivent être différents. Le client VPN choisira toujours en premier le réseau UDP pour de meilleures performances.

Concernant le choix du réseau ou des sous-réseaux :

  • Choisissez un réseau dédié aux clients VPN SSL et n’appartenant pas aux réseaux internes existants ou déclarés par une route statique sur le firewall. L’interface utilisée pour le VPN SSL étant protégée, le firewall détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants,

  • Choisissez des sous-réseaux peu communément utilisés (comme 10.60.77.0/24) afin d’éviter des conflits de routage sur les terminaux clients lors de la connexion au VPN. De nombreux réseaux d’accès à Internet filtrés (Wi-Fi public, hôtels) ou réseaux locaux privés utilisent déjà les premières plages d’adresses réservées.
Maximum de tunnels simultanés autorisés

Le nombre maximal de tunnels simultanés autorisés s'affiche automatiquement. Il correspond à la valeur minimale entre le nombre maximal de tunnels autorisés sur le firewall SNS et le nombre de sous-réseaux disponibles pour les clients VPN. Pour ce dernier, cela représente le quart du nombre d’adresses IP, moins 2. Un tunnel VPN SSL consomme 4 IP, mais le serveur réserve 2 sous-réseaux pour son propre usage.

Zone Paramètres DNS envoyés au client

Nom de domaine Indiquez le nom de domaine attribué aux clients VPN SSL pour leur permettre d'effectuer leurs résolutions de noms d’hôtes.
Serveur DNS primaire Sélectionnez l’objet représentant le serveur DNS à attribuer.
Serveur DNS secondaire Sélectionnez l’objet représentant le serveur DNS à attribuer.

Zone Configuration avancée

Adresse IP de l'UTM pour le VPN SSL (UDP)

Par défaut, le service VPN SSL écoute sur toutes les adresses IP du firewall SNS. Vous pouvez sélectionner l’objet représentant l'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) notamment dans les cas suivants :

  • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) n'est pas l'adresse IP principale de l'interface externe,

  • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) est portée par une interface externe qui n'est pas en lien avec la passerelle par défaut du firewall.

Port (UDP)

 

Port (TCP)

Vous pouvez modifier les ports d’écoute du service VPN SSL en UDP et TCP. Certains ports sont réservés à un usage interne du firewall SNS et ne peuvent pas être sélectionnés. Si vous modifiez les ports par défaut, le VPN SSL pourrait ne plus être accessible depuis un réseau avec filtrage d’accès à Internet (hôtels, Wi-Fi public).

Le port 443 est le seul port inférieur à 1024 qui peut être utilisé.
Délai avant renégociation des clés (en secondes) Vous pouvez modifier le délai au terme duquel les clés utilisées par les algorithmes de chiffrement sont renégociées. La valeur par défaut est de 4 heures (14400 secondes). Cette opération est transparente pour l'utilisateur : le tunnel actif n’est pas interrompu lors de la renégociation.
Utiliser les serveurs DNS fournis par le firewall En cochant cette case, le client VPN SSL inscrit dans la configuration réseau du poste de travail (Windows uniquement) les serveurs DNS récupérés via le VPN SSL. Ceux déjà définis sur le poste de travail pourront être interrogés.
Interdire l'utilisation de serveurs DNS tiers En cochant cette case, les serveurs DNS déjà définis dans la configuration du poste de travail (Windows uniquement) sont exclus par le client VPN SSL. Seuls ceux envoyés par le firewall SNS pourront être interrogés.

Scripts à exécuter sur le client

Stormshield Network SSL VPN Client peut exécuter sur des postes de travail Windows des scripts .bat à la connexion et à la déconnexion du firewall SNS. Vous pouvez utiliser dans ces scripts les variables d’environnement Windows (%USERDOMAIN%, %SystemRoot%, ...), ainsi que deux variables liées au tunnel VPN SSL :

  • %NS_USERNAME% représente le nom d’utilisateur servant à l’authentification,

  • %NS_ADDRESS% représente l’adresse IP attribuée au client VPN SSL.

Script à exécuter lors de la connexion

Sélectionnez un script que le client VPN exécutera à l'ouverture du tunnel VPN. Exemple de script permettant de connecter le lecteur réseau Z: à un partage :

NET USE Z: \\myserver\myshare
Script à exécuter lors de la déconnexion

Sélectionnez un script que le client VPN exécutera à la fermeture du tunnel VPN. Exemple de script permettant de déconnecter le lecteur réseau Z: d'un partage :

NET USE Z: /delete

Certificats utilisés

Sélectionnez les certificats que le service VPN SSL du firewall SNS et le client VPN SSL doivent présenter pour établir un tunnel. Par défaut, l'autorité de certification dédiée au VPN SSL ainsi qu’un certificat serveur et un certificat client créés à l’initialisation du firewall sont proposés.

Si vous choisissez d'utiliser votre propre autorité de certification, vous devez créer une identité client et une identité serveur. S’il ne s’agit pas d’une autorité racine, les deux certificats correspondants doivent être issus de la même sous-autorité.

Certificat serveur

Sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM. Pour plus d'informations sur le TPM, reportez-vous à la section Trusted Platform Module.
Certificat client Sélectionnez le certificat souhaité. Vous ne pouvez pas choisir un certificat dont la clé privée est protégée par le TPM car la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN distribuée aux clients VPN.

Configuration

Exporter le fichier de configuration Cliquez sur ce bouton pour exporter la configuration VPN SSL au format .ovpn.