Gestion du Panneau TrustedConnect

Le Panneau TrustedConnect est décrit dans le chapitre Panneau TrustedConnect. Il permet d’ouvrir une connexion VPN de manière automatisée en dehors du réseau de confiance et de garder la connexion ouverte en cas de changement d’interface réseau.

Pour être prise en compte, cette connexion VPN doit respecter les conditions suivantes :

  1. La connexion VPN doit être la première connexion VPN définie dans le Panneau des Connexions. Pour configurer cette première connexion, se reporter au chapitre Gestion du Panneau des Connexions ci-dessus.

  2. La connexion VPN doit être configurée en IKEv2.

Les fonctions suivantes du Panneau TrustedConnect sont configurables :

  • Exclusion d’interfaces réseau d’Always-On

  • Détection du réseau de confiance (TND)

  • Gestion de l’extraction des tokens ou des cartes à puce

  • Gestion des scripts liés au tunnel VPN

  • Minimisation de l’IHM

  • Purge des fichiers de logs

Always-On

Principe et fonctionnement

La fonctionnalité Always-On, toujours active avec le Panneau TrustedConnect, assure le maintien de la sécurité de la connexion à chaque changement d’interface réseau.

Les type d’interfaces réseaux pris en charge sont les suivants :

  • Adaptateur virtuel (ex : vmware)

  • Wi-Fi

  • Ethernet

  • Modem USB (type smartphone)

  • Modem Bluetooth (type smartphone)

Les évènements réseau déclenchant la reconnexion automatique du tunnel (et la détection du réseau de confiance, le cas échéant), sauf exclusion explicite (voir section Configuration de Always-On) sont les suivants :

  • Connexion à un réseau (adresses APIPA ignorées)

  • Déconnexion d’un réseau

  • Un adaptateur change d’adresse IP ou passage DHCP à statique et vice versa

  • ipconfig /release

  • ipconfig /renew

  • Passage en mode avion

Configuration de Always-On

La fonctionnalité Always-On est activée dès lors que le Panneau TrustedConnect est utilisé pour ouvrir un tunnel VPN. Elle peut être configurée pour exclure certaines interfaces réseau de la reconnexion automatique du tunnel VPN.

L’onglet Always-On de la fenêtre de Configuration des connexions permet de configurer les paramètres de la fonctionnalité Always-On.

Interfaces réseau à ignorer

Il est possible d’exclure des interfaces réseaux du monitoring de Always-On. L’exclusion d’une interface se fait sur la base de sa propriété description (visible par ipconfig /all).

La valeur de ce paramètre doit contenir une partie ou la totalité du champ description de l’interface réseau à exclure. Si la valeur est partielle, alors toute interface dont le champ description contient la valeur définie, sera exclue du monitoring.

Les valeurs de ce paramètre ne sont pas sensibles à la casse (toutes les chaînes de caractères sont converties en minuscules avant la comparaison).

Il est possible de spécifier plusieurs interfaces réseau à exclure en spécifiant les parties de leurs descriptions respectives, séparées par une virgule.

Exemple : Pour exclure toutes les interfaces dont le champ description comporte les chaînes de caractères Hyper-V et vmnet, entrez HyperV,vmnet.

Délai de prise en compte

Le temps de prise en compte d’une nouvelle interface réseau varie suivant les systèmes. S’il est trop long, il peut interférer avec le mécanisme TND, ce qui peut aboutir au fait que le Client VPN essaye d’établir une connexion VPN alors que le poste est connecté au réseau de confiance.

Pour éviter ce problème, ce paramètre permet de retarder le déclenchement du mécanisme TND (voir section suivante).

Il est exprimé en millisecondes. Si la valeur par défaut doit être modifiée, il est recommandé de spécifier une valeur supérieure ou égale à 3000 ms.

Par défaut, la valeur vaut 0 et le mécanisme TND est lancé immédiatement, ce qui convient dans la majorité des cas observés.

Détection du réseau de confiance (TND)

Principe et fonctionnement

Cette fonctionnalité consiste à détecter que le poste est connecté au réseau de l’entreprise (réseau de confiance) ou non.

Lorsque le Client VPN détecte que le poste n’est pas sur le réseau de l’entreprise, le tunnel prédéfini est ouvert automatiquement. Ce document fait référence à cette fonctionnalité sous le terme TND (Trusted Network Detection).

Le Panneau TrustedConnect utilise les deux méthodes suivantes pour détecter si le poste est sur un réseau de confiance ou non :

  1. Vérification que l’un des suffixes DNS des interfaces réseau présentes sur le poste fait partie de la liste des suffixes DNS de confiance (liste configurée dans le logiciel, cf. ci-dessous).

  2. Accès automatique en HTTPS à un serveur Web de confiance, et vérification de la validité de son certificat.

Les deux méthodes sont cumulatives pour détecter que le poste est sur un réseau de confiance : le Client VPN teste en premier lieu la présence d’un suffixe DNS de confiance ; s’il n’en trouve pas, le Client VPN ne poursuit pas le test, et conclut que le poste n’est pas connecté au réseau de confiance ; s’il en trouve un, il poursuit la séquence de test en vérifiant l’accès au serveur de confiance et la validité de son certificat.

Au premier serveur de confiance accessible dont le certificat est valide, le Client VPN conclut que le poste est connecté au réseau de confiance.

Dans tous les autres cas :

  • aucun suffixe DNS trouvé dans la liste des suffixes DNS de confiance,

  • liste des suffixes DNS de confiance vide,

  • liste d’URL de serveurs de confiance vide,

  • aucun serveur de confiance accessible, ou aucun n’ayant de certificat valide,

le Client VPN conclut que le poste n’est pas connecté au réseau de confiance, et tente alors automatiquement d’ouvrir la connexion VPN configurée.

Pour activer la fonctionnalité de détection du réseau de confiance (TND), les paramètres suivants doivent donc être configurés :

  • une liste de suffixes DNS,

  • une liste d’URL de serveurs de confiance.

NOTE
Sur certains postes, lors de l’apparition d’une interface réseau, un délai de quelques secondes est nécessaire avant que l’interface ne soit prête à émettre. Pour pallier ce délai, le paramètre Délai de prise en compte est disponible dans l’onglet Always-On (voir section précédente).

Configuration de TND

L’onglet TND de la fenêtre de Configuration des connexions permet de configurer les paramètres de la fonctionnalité Trusted Network Detection.

Suffixes DNS du réseau de confiance

Ce paramètre définit la liste des suffixes DNS de confiance.

Cette liste peut être vide ou contenir plusieurs suffixes DNS.

Les suffixes de la liste doivent être séparés par une virgule, sans espace.

Balises du réseau de confiance

Ce paramètre définit la liste des URL des serveurs de confiance à utiliser.

La liste des URL peut être vide : le Client VPN en reste alors à la liste des suffixes DNS pour déterminer si le poste est connecté au réseau de confiance ou pas.

Cette liste peut contenir plusieurs URL de serveurs de confiance. Le Client VPN teste alors successivement tous les URL et tous les certificats associés à chaque serveur, jusqu’à en trouver un accessible et valide.

Les URL de la liste doivent être séparés par une virgule, sans espace.

Il n’y a pas besoin de faire précéder un URL du préfixe https://.

Port des balises

Ce paramètre définit le port à utiliser pour joindre les serveurs de confiance.

Il n’est possible de configurer qu’un seul port, qui sera utilisé pour tous les URL.

Si ce paramètre n’est pas configuré, le Client VPN utilise par défaut le port 443.

Identifier visuellement la connexion directe au réseau de confiance

Cette option ajoute un repère visuel au Panneau TrustedConnect pour indiquer que le Client VPN est connecté au réseau de confiance.

Si la case est cochée, l’icône en barre des tâches et la couleur du rond dans le panneau est bleue lorsque la machine est connectée au réseau de confiance et verte lorsqu’un tunnel est ouvert.

Si la case est décochée, l’icône en barre des tâches et le rond dans le panneau reste vert dans les deux cas. Aucune distinction n’est faite entre le réseau de confiance et un tunnel ouvert.

Scripts

Le Panneau TrustedConnect exécute les scripts liés à l’ouverture et à la fermeture d’un tunnel. Pour configurer cette fonctionnalité, se reporter au chapitre Automatisation.

Minimisation du Panneau

Par défaut, le Panneau TrustedConnect est minimisé automatiquement dans la zone de notification (systray) au bout de deux secondes, lorsque le poste a été détecté comme étant connecté au réseau de confiance (soit physiquement, soit au travers du tunnel VPN).

Il est possible de configurer le délai avant que l’IHM du Client VPN ne soit minimisée, ainsi que le type de minimisation. Le Panneau TrustedConnect peut être minimisé en barre des tâches ou dans la zone de notification (systray, par défaut).

NOTE
Délai et type de minimisation ne sont applicables qu’à la minimisation automatique du Panneau TrustedConnect, sur détection de connexion au réseau de confiance.

Ces configurations doivent être effectuées dans les propriétés de l’installeur du Client VPN.

Se reporter au « Guide de déploiement » pour les instructions correspondantes.

Purge des logs

Il est possible de configurer le nombre de jours pendant lequel conserver les fichiers de logs. La valeur par défaut est de 10 jours.

Cette configuration doit être effectuée dans les propriétés de l’installeur du Client VPN.

Se reporter au « Guide de déploiement » pour les instructions correspondantes.

Retrait de carte à puce ou de token

Il est possible de configurer le comportement du Panneau TrustedConnect lorsque la carte à puce ou le token est extrait du lecteur, alors qu’un tunnel VPN est ouvert.

Cette configuration doit être effectuée dans les propriétés de l’installeur du Client VPN.

Se reporter au « Guide de déploiement » pour les instructions correspondantes.