VPN SSL

Le VPN SSL permet à des utilisateurs distants d’accéder de manière sécurisée aux ressources internes de l’entreprise par des communications chiffrées en SSL. Son utilisation requiert l’installation d’un client VPN SSL installé sur le poste de travail ou sur tout type de terminal mobile (Windows, IOS, Android, etc.).

Les tunnels VPN SSL peuvent être basés sur les protocoles UDP ou TCP. Lorsqu'un tunnel basé sur UDP échoue, la connexion bascule sur le protocole TCP.

Dans le cas de l’utilisation du Client VPN mis à disposition, la connexion nécessite uniquement de renseigner l’adresse IP du firewall et les informations d’authentification (identifiant / mot de passe). Dans le cas de l’utilisation d’un client OpenVPN, le client doit récupérer les informations de configuration sur le portail d’authentification (menu ‘Données personnelles’) puis les intégrer au client.

En plus du paramétrage de ce module, l’Authentification doit définir la méthode et autoriser l’utilisateur dans sa politique. Enfin, une règle de filtrage doit spécifier en source (configuration avancée) l’entrée ‘Via Tunnel VPN SSL’ pour autoriser le trafic.

Pour plus d’informations, reportez-vous à la Note technique Tunnels VPN SSL disponible depuis votre espace sécurisé.

Ce module se compose d’un unique écran de configuration divisé en 4 zones :

  • Activer le service
  • Paramètres réseaux : cette zone comporte des éléments de configuration du serveur VPN SSL, des réseaux ou machines joignables, et du réseau affecté aux clients.
  • Paramètres DNS envoyés au client : cette zone comporte des éléments de configuration DNS envoyés au client.
  • Configuration avancée : une zone pour personnaliser la durée de vie avant renégociation SSL, définir d’éventuels scripts à exécuter lors de la connexion/déconnexion du client et sélectionner les certificats client et serveur pour l’établissement du tunnel SSL.

Ce bouton permet d'activer ou de désactiver le serveur VPN SSL du firewall.

Paramètres réseaux

Adresse IP (ou FQDN) de l'UTM utilisée Indiquez l’adresse IP publique de l’IPS-Firewall (ou un FQDN associé à cette adresse. Exemple : sslserver.compagnie.com) par laquelle les clients pourront joindre le serveur VPN SSL.
Réseaux ou machines accessibles Indiquez quels seront les réseaux et hôtes visibles pour les clients. Tous les paquets issus du client et destinés à ces réseaux passeront par le tunnel SSL.
Cet objet peut être du type « réseau », « machine » ou « groupe » (contenant des réseaux et/ou des machines). Il peut être créé directement dans cette fenêtre en cliquant sur  .
Par défaut, ce champ a pour valeur « Network_internals », offrant une connectivité avec l'ensemble des réseaux protégés par le Firewall.

REMARQUE
Il s’agit uniquement d’une notion de routage réseau. Il est nécessaire de créer des règles de filtrage pour autoriser ou interdire les flux entre le réseau des clients distants et les ressources internes.

Réseau assigné aux clients (UDP) Sélectionnez un objet de type « réseau » (les objets de type « plage d’adresses IP » ou « Groupe » ne sont pas acceptés). Chaque client établissant un tunnel basé sur le protocole UDP se verra attribuer une adresse IP appartenant à ce réseau.
Ce réseau doit être différent de celui attribué aux clients de tunnels basés sur TCP.
L’objet peut être créé directement dans cette fenêtre en cliquant sur l’icône .

IMPORTANT
Afin d’éviter des conflits de routage sur les postes clients lors de la connexion au VPN SSL, choisissez plutôt, pour vos clients, des sous-réseaux peu communément utilisés (exemple : 10.60.77.0/24, 192.168.38.0/24, etc.). En effet, de nombreux réseaux d’accès internet filtrés (wifi public, hôtels…) ou réseaux locaux privés utilisent les premières plages d’adresses réservées à ces usages (exemple : 10.0.0.0/24, 192.168.0.0/24).

Réseau assigné aux clients (TCP) Sélectionnez un objet de type « réseau » (les objets de type « plage d’adresses IP » ou « Groupe » ne sont pas acceptés). Chaque client établissant un tunnel basé sur le protocole TCP se verra attribuer une adresse IP appartenant à ce réseau.
Ce réseau doit être différent de celui attribué aux clients de tunnels basés sur UDP.
L’objet peut être créé directement dans cette fenêtre en cliquant sur l’icône .

IMPORTANT
Afin d’éviter des conflits de routage sur les postes clients lors de la connexion au VPN SSL, choisissez plutôt, pour vos clients, des sous-réseaux peu communément utilisés (exemple : 10.60.77.0/24, 172.168.38.0/24, etc.). En effet, de nombreux réseaux d’accès internet filtrés (wifi public, hôtels…) ou réseaux locaux privés utilisent les premières plages d’adresses réservées à ces usages (exemple : 10.0.0.0/24, 192.168.0.0/24).

Maximum de tunnels simultanés autorisés En fonction de la taille du réseau choisi pour les clients et du modèle de Firewall, le nombre de tunnels pouvant être établis simultanément est indiqué.
Ce nombre correspond au minimum des deux valeurs suivantes :
  • Le quart du nombre d’adresses IP incluses dans le réseau client choisi (exemple : 63 pour un réseau de classe C). En effet, chaque tunnel SSL consomme 4 adresses IP.
  • Le nombre maximal de tunnels autorisés sur le modèle d’IPS-Firewall utilisé.

Paramètres DNS envoyés au client

Nom de domaine Nom de domaine attribué au client pour lui permettre d’effectuer ses résolutions DNS.
Serveur DNS primaire Serveur DNS primaire affecté au client.
Serveur DNS secondaire Serveur DNS secondaire affecté au client.

Configuration avancée

Adresse IP de l'UTM pour le VPN SSL (UDP) Vous pouvez spécifier l’adresse IP publique de l'IPS-Firewall par laquelle les clients pourront joindre le serveur VPN SSL sur UDP.
Ce champ doit être complété notamment dans les cas suivants :
  • Lorsque le client VPN SSL utilise dans le champ "Adresse du firewall" une adresse IP sans lien avec la passerelle par défaut du firewall,
  • Lorsque le client VPN SSL utilise dans le champ "Adresse du firewall" une adresse IP portée sur le firewall en tant qu'alias (adresse IP supplémentaire sur une interface).
Port (UDP) Sélectionnez ou créez l'objet correspondant au port UDP à utiliser pour établir les tunnels.
Port (TCP) Sélectionnez ou créez l'objet correspondant au port TCP à utiliser pour établir les tunnels. Ce port est également utilisé comme mécanisme de secours lorsque les tunnels ne peuvent pas être établis à l'aide du protocole UDP.
Délai avant renégociation des clés (en secondes) Période de temps au bout de laquelle les clés sont renégociées. La valeur par défaut est de 14400 secondes, soit 4 heures.
Utiliser les serveurs DNS fournis par le firewall En cochant cette case, le client VPN SSL inscrit dans la configuration réseau du poste les serveurs DNS récupérés via le VPN SSL. Les serveurs DNS éventuellement déjà définis sur le poste de travail pourront néanmoins être interrogés.
Interdire l'utilisation de serveurs DNS tiers En cochant cette case, les serveurs DNS déjà définis dans la configuration du poste de travail sont exclus par le client VPN SSL. Seuls les serveurs DNS envoyés par le firewall pourront être interrogés.
Ces serveurs DNS doivent être joignables au travers du tunnel VPN SSL.
Script à exécuter lors de la connexion Sélectionnez un script que le client exécutera localement lors de sa connexion au tunnel SSL (exemple : connexion d’un disque à un partage réseau distant).
Script à exécuter lors de la déconnexion Sélectionnez un script que le client exécutera localement lors de sa déconnexion du tunnel SSL (exemple : déconnexion d’un disque à un partage réseau distant).

NOTE
Seules les machines clientes fonctionnant sous Windows et avec le client Stormshield Network  peuvent bénéficier du service des scripts exécutables. Le format des fichiers est obligatoirement du type « .bat ».

NOTE
Toutes les variables d’environnement Windows peuvent être utilisées au sein des scripts de connexion/déconnexion (exemple : %USERDOMAIN%, %SystemRoot%, etc.).
Deux variables d’environnement liées au tunnel VPN SSL sont également utilisables :

  • %NS_USERNAME% : le nom d’utilisateur servant à l’authentification,
  • %NS_ADDRESS% : l’adresse IP attribuée au client.

Certificats utilisés

Certificat serveur Sélectionnez le certificat présenté par le serveur pour l’établissement d’un tunnel SSL.
Par défaut, le certificat serveur proposé est celui créé à l’initialisation de l’IPS-Firewall. Il est issu de la CA dédiée au VPN SSL par défaut.
Certificat client Sélectionnez le certificat présenté par le client pour l’établissement d’un tunnel SSL.
Le certificat client proposé par défaut est celui créé à l’initialisation de l’IPS-Firewall. Il est issu de la CA dédiée au VPN SSL par défaut.
Ce certificat est commun à l’ensemble des clients. Leur authentification est réalisée une fois la connexion SSL établie.

IMPORTANT
Si vous choisissez de créer votre propre CA, vous devez utiliser deux certificats signés par celle-ci. S’il ne s’agit pas d’une autorité racine, les deux certificats doivent être issus de la même sous-autorité.

Configuration

Télécharger le fichier de configuration Cliquez sur ce bouton pour obtenir une archive contenant le fichier de configuration du serveur VPN SSL.