Secure Connection Agent
Présentation
Depuis la version 7.5 de SN VPN Client Exclusive, le Client VPN est en mesure de communiquer avec un module complémentaire fourni séparément appelé Secure Connection Agent (SCA). Il fait partie de l'offre de produits élargie et sert de lien entre les Clients VPN et le Connection Management Center (CMC).
Le SCA assure les deux fonctions suivantes :
- Surveillance de la conformité des postes : le SCA vérifie si le poste doit être autorisé à accéder au réseau de l’entreprise. Le Client VPN adaptera son comportement en fonction du niveau de conformité détecté.
- Transfert des traces d’audit du Client VPN au CMC.
Surveillance de la conformité des postes
Introduction
La fonction de conformité du poste vérifie la disponibilité et l’état du pare-feu Windows et du logiciel antivirus renseigné au niveau du Centre de sécurité Windows.
À ce jour, trois niveaux de conformité sont définis et le Client VPN agira de façon différente pour chacun de ces niveaux, comme décrit dans la table de vérité ci-dessous.
Protection contre les virus et les menaces | Pare-feu et protection du réseau | Résultat | ||
0 | + | 0 | = |
Aucun tunnel ne peut être ouvert |
1 | + | 0 | = |
Passage par une zone de remédiation |
0 | + | 1 | = | |
1 | + | 1 | = |
Accès au réseau sensible |
Une connexion VPN de remédiation doit être considérée comme un tunnel VPN à accès restreint. Elle pourrait, par exemple, permettre à un administrateur système de prendre le contrôle du PC à partir du réseau de l’entreprise.
NOTE
Après l’ouverture d’une session Windows, le Secure Connection Agent utilisera le dernier niveau de conformité connu jusqu’au démarrage du service du Centre de sécurité Windows.
Configuration du Client VPN
Lorsque le Secure Connection Agent (SCA) détecte une quasi-conformité, une connexion de remédiation sera ouverte si elle a été configurée.
Pour configurer une connexion de remédiation, procédez comme suit :
- Accédez au Panneau de Configuration de SN VPN Client Exclusive.
- Dans le menu Outils, sélectionnez Configuration des connexions pour ouvrir la fenêtre de Configuration des connexions.
- Sur l’onglet Général, cochez la case Remédiation pour la connexion que vous souhaitez utiliser en tant que connexion de remédiation.
NOTE
Cette information est stockée dans le fichier de configuration.
IMPORTANT
La case Remédiation ne doit être cochée que pour une seule connexion. Si la case Remédiation est cochée pour plusieurs connexions, il est impossible de savoir quelle connexion sera utilisée.
Sélection du tunnel à ouvrir en fonction du niveau de conformité
Dans le Panneau TrustedConnect
Le niveau de conformité est utilisé par le Panneau TrustedConnect lors de la sélection du tunnel.
Lorsque le contrôle de conformité échoue, le message suivant s’affiche :
Lorsque le poste doit passer par une zone de remédiation et qu’un tunnel de remédiation a été configuré, le message suivant s’affiche :
Le Panneau TrustedConnect prend en compte les changements de conformité à la volée. Le comportement du Panneau TrustedConnect peut être configuré à l’aide de la propriété MSI DIALERBEHAVIOR
(cf. « Guide de déploiement ») afin de provoquer un basculement automatique vers :
- une erreur de conformité ou un tunnel de remédiation lorsque le niveau de conformité devient non conforme ;
- un tunnel normal lorsque le niveau de conformité devient conforme ;
- le tunnel de remédiation lorsque le niveau de conformité exige un passage en zone de remédiation.
Dans le Panneau des Connexions
Le contrôle de conformité peut être réalisé dans le Panneau des Connexions de manière similaire au fonctionnement dans le Panneau TrustedConnect (cf. section Dans le Panneau TrustedConnect).
La principale différence avec le Panneau TrustedConnect réside dans le fait qu’il n’y a pas de mécanisme d’automatisation dans le Panneau des Connexions. C'est uniquement au moment de l'ouverture du tunnel que la vérification est faite pour savoir si en fonction de la conformité le tunnel doit s'ouvrir ou non.
Lorsque le tunnel ne doit pas s'ouvrir, une erreur s’affiche à l’écran et un message est consigné dans la Console :
Si un tunnel de remédiation est configuré, l’utilisateur pourra l’ouvrir en vue de mettre en conformité le poste.
Lorsque le SCA n’est pas installé et que, par conséquent, le contrôle de conformité n’est pas activé, quelle que soit la connexion, le tunnel lié à la connexion peut être ouvert.
IMPORTANT
Le niveau de conformité est uniquement disponible au niveau connexion et non au niveau tunnel. Par conséquent, le contrôle de conformité est uniquement géré en mode Panneau des Connexions.
Un utilisateur ayant accès au Panneau de Configuration du Client VPN peut monter n’importe quel tunnel indépendamment du niveau de conformité.
En mode GINA
L’information permettant de basculer vers un tunnel de remédiation n’étant pas disponible avant l’ouverture de la session Windows, l’ouverture d’un tunnel de remédiation n’est pas possible en mode GINA. En revanche, l’ouverture de tout tunnel sera bloquée si le poste ne respecte aucun critère de conformité.
Transfert des traces d’audit du Client VPN au CMC
Introduction
Le transfert des traces d’audit a pour objectif de collecter les traces d’audit générées par le Client VPN (stockées dans le sous-dossier LogFiles\System) et de les transmettre au Connection Management Center (CMC).
Configuration du Client VPN
Pour que des traces d’audit puissent être transférées, il faut déjà que le Client VPN en génère !
Pour activer les traces d’audit, procédez de la manière suivante :
- Accédez au Panneau de Configuration de SN VPN Client Exclusive.
- Dans le menu Outils, sélectionnez Options....
- Sélectionnez l’onglet Gestion des logs.
- Cochez la case Fichier local.
- Cliquez sur OK.
Reportez-vous au chapitre Logs administrateur, Console et traces pour une description complète des différents types de logs disponibles.