Recommandations de sécurité

Hypothèses

Afin de garantir un niveau de sécurité approprié, les conditions de mise en œuvre et d’utilisation suivantes doivent être respectées.

Profil et responsabilités des administrateurs

L’administrateur système et réseau et l’administrateur sécurité chargés respectivement de l’installation du logiciel et de la définition des politiques de sécurité VPN sont des personnes considérées comme non hostiles. Ils sont formés pour exécuter les opérations dont ils ont la responsabilité et suivent les manuels et les procédures d'administration.

L’administrateur sécurité s’assure régulièrement que la configuration du produit est conforme à celle qu’il a mise en place et effectue les mises à jour requises le cas échéant.

La fonction de journalisation du produit est activée et correctement configurée. Les administrateurs sont responsables de la consultation régulière des journaux.

Profil et responsabilités de l’utilisateur

L’utilisateur du logiciel est une personne non hostile et formée à son utilisation. En particulier, l’utilisateur exécute les opérations dont il a la charge pour le bon fonctionnement du produit et ne divulgue pas les informations utilisées pour son authentification auprès de la passerelle VPN.

Respect des règles de gestion des éléments cryptographiques

Les bi-clés et les certificats utilisés pour ouvrir le tunnel VPN sont gérés (génération, révocation) par une autorité de certification de confiance qui garantit le respect des règles dans la gestion de ces éléments cryptographiques et plus particulièrement les recommandations issues de [RGS_B1] et [RGS_B2].

Poste de l’utilisateur

La machine sur laquelle est installé et exécuté le logiciel SN VPN Client Exclusive doit être saine et correctement administrée. En particulier :

  • Elle dispose d’un anti-virus dont la base de données est régulièrement mise à jour.

  • Elle est protégée par un pare-feu qui permet de maîtriser (cloisonner ou filtrer) les communications entrantes et sortantes du poste qui ne passent pas par le Client VPN.

  • Son système d’exploitation est à jour des différents correctifs.

  • Sa configuration permet d’éviter les attaques menées localement (analyse de la mémoire, patch ou corruption de binaire).

Des recommandations de configuration pour durcir le poste de travail sont disponibles sur le site de l’ANSSI, par exemple (sans que cette liste ne soit exhaustive) :

Administration du Client VPN

Le SN VPN Client Exclusive est conçu pour être installé et configuré avec les droits « administrateur », et ensuite être utilisé avec des droits « utilisateur ».

Il est recommandé de protéger l’accès à la configuration VPN par un mot de passe et de limiter la visibilité du logiciel à l’utilisateur final (comportement par défaut du SN VPN Client Exclusive), comme détaillé à la section Restreindre l’accès au Panneau de Configuration.

Il est recommandé d’activer la vérification du hachage d’intégrité du fichier de configuration VPN en utilisant la propriété MSI SIGNFILE avec la valeur 1 à l’installation du logiciel (voir propriété MSI SIGNFILE dans le « Guide de déploiement »). La valeur par défaut, si la propriété n’est pas indiquée à l’installation, est 0 (désactivé).

Le logiciel doit par conséquent être lancé en mode administrateur pour pouvoir accéder au Panneau de Configuration.

Il est recommandé de conserver le mode Démarrage du Client VPN avec la session Windows (après l’ouverture de session Windows), qui est le mode d’installation par défaut.

Enfin, il est à noter que le SN VPN Client Exclusive présente la même configuration VPN à tous les utilisateurs d’un poste multi-utilisateurs. Il est donc recommandé de mettre en œuvre le logiciel sur un poste dédié (en conservant par exemple un compte administrateur et un compte utilisateur, comme indiqué précédemment).

Configuration VPN

Données sensibles dans la configuration VPN

Il est recommandé de ne mémoriser aucune donnée sensible dans le fichier de configuration VPN.

À ce titre, il est recommandé de ne pas utiliser les facilités suivantes offertes par le logiciel :

  • Ne pas utiliser le mode EAP (mot de passe / login) seul, mais uniquement en combinaison avec un certificat,

  • Dans le cas où EAP est utilisé, ne pas mémoriser le login / mot de passe EAP dans la configuration VPN (fonction décrite à la section Authentification),

  • Ne pas importer de certificat dans la configuration VPN (fonction décrite à la section Importer un certificat dans la configuration VPN), et privilégier l’utilisation de certificats stockés sur support amovible (token) ou dans le magasin de certificats Windows,

  • Ne pas utiliser le mode « Clé partagée » (fonction décrite à la section IKE Auth : IKE SA) et privilégier le mode « Certificat » avec des certificats stockés sur support amovible (token) ou dans le magasin de certificats Windows,

  • Ne pas exporter la configuration VPN en clair, c’est-à-dire non protégée par un mot de passe (fonction décrite à la section Exporter une configuration VPN).

Authentification de l’utilisateur

Les fonctions d’authentification de l’utilisateur proposées par le SN VPN Client Exclusive sont décrites ci-dessous, de la plus faible à la plus forte.

En particulier, il est à noter qu’une authentification par clé partagée (preshared key), si elle est facile à mettre en œuvre, permet néanmoins à tout utilisateur ayant accès au poste, de monter un tunnel, sans vérification d’authentification.

Type d’authentification de l’utilisateur

Force

Clé partagée

faible

EAP

 

EAP popup

 

Certificat mémorisé dans la configuration VPN

 

Certificat dans le magasin de certificats Windows

 

Certificat sur carte à puce ou sur token

forte

Authentification de la passerelle VPN

Il est recommandé de mettre en œuvre la vérification du certificat de la passerelle VPN, tel que décrit à la section Options PKI.

Il est recommandé de ne pas configurer le Client VPN pour valider les certificats non conformes aux contraintes relatives aux extensions Extended Key Usage et Key Usage (ne pas utiliser le paramètre dynamique allow_server_and_client_auth).

Protocole

Il est recommandé de ne configurer que des tunnels IPsec / IKEv2 (et pas SSL / OpenVPN).

Mode « tout dans le tunnel » et « split tunneling »

Il est recommandé de configurer le tunnel VPN en mode « tout le trafic dans le tunnel » avec le mode « bloquer les flux non chiffrés » (split tunneling) activé.

Se reporter aux sections Configuration du Type d’adresse et Autres.

Mode GINA

Il est recommandé d’associer une authentification forte à tout tunnel en mode GINA.

Recommandations de l’ANSSI

Les recommandations décrites ci-dessus peuvent être complétées par le document de configuration IPsec rédigé par l’ANSSI : Recommandations de sécurité relatives à IPsec pour la protection des flux réseau.