technical note - nanabozo's web sitenanabozo2.free.fr/docs/infos/netasq/vpn_nomade.pdf ·...

1

Copyright NETASQ 2008

TECHNICAL NOTE

Configuration d’un tunnel VPN entre un firewall NETASQ et le client VPN.Authentification par clé pré-partagée

Version 7.0

TECHNICAL NOTE

2

TECHNICAL NOTE : SOMMAIRE


SSOOMMMMAAIIRREE

SOMMAIRE 2

INTRODUCTION 3

CHAPITRE 1 : CREATION D'UN COMPTE UTILISATEUR DANS LA BASE LDAP NETASQ 5

CHAPITRE 2 : CREATION D'UN TUNNEL IPSEC NETASQ 4

CHAPITRE 3 : CONFIGURATION DU CLIENT MOBILE IPSEC « NETASQ VPN CLIENT » 8

3.1. PARAMETRES 8 3.2. CREATION DE LA PHASE 1 9 3.3. CREATION DE LA PHASE 2 12 3.4. VERIFICATION DE L'AUTHENTIFICATION AUPRES DE NETASQ 16 3.5. CREATION D'UN POLITIQUE DE FILTRAGE 17

CONCLUSION 19

ANNEXE A : REMARQUES SUR L’INSTALLATION ET LA MAINTENANCE 20

ANNEXE B : VPN : QUELQUES CONCEPTS 21

ANNEXE C : SELECTION D’UNE POLITIQUE VPN 23

ANNEXE D : EXPORT D’UNE CONFIGURATION VPN 25

GLOSSAIRE 26

3

TECHNICAL NOTE INTRODUCTION


IINNTTRROODDUUCCTTIIOONN

Afin de pouvoir communiquer de manière sécurisée et garder confidentielles les informations transmises entre filiales, entre employés géographiquement éloignés ou encore entre clients et fournisseurs, les entreprises étendent leur réseau en créant un réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network). Il s’agit d’un réseau privé créé artificiellement qui utilise Internet comme support de transmission. Un protocole d'encapsulation (en anglais tunneling), chiffre les données afin de permettre leur transmission sécurisée. L'objectif de ce document est d’expliquer à un utilisateur nomade comment se connecter à son réseau d'entreprise via un accès VPN IPSec fourni par un firewall NETASQ en s’authentifiant grâce à une clé pré-partagée. Nous utiliserons dans les exemples suivants un firewall NETASQ en version 7.0.2 ainsi qu'un client mobile NETASQ VPN CLIENT en version 4.10.001. Pour de plus amples informations concernant le fonctionnement d'un VPN, veuillez vous référer à l'annexe A : VPN : quelques concepts.

NOTE L’utilisation des clés pré-partagées présentée dans ce document est un bon compromis entre la sécurité de la connexion et la facilité d’implémentation. L’utilisation des certificats permet d’augmenter encore le niveau de sécurité d’un tunnel VPN.

5

TECHNICAL NOTE CHAPITRE 1


CCHHAAPPIITTRREE 11 :: CCRREEAATTIIOONN DD''UUNN CCOOMMPPTTEE UUTTIILLIISSAATTEEUURR DDAANNSS LLAA BBAASSEE LLDDAAPP NNEETTAASSQQ

Les utilisateurs nomades se connectant au firewall depuis des adresses IP dynamiques (HotSpot Wifi, UMTS/Edge, RTC...); il est impossible de distinguer un utilisateur nomade d'un autre en se basant sur l’adresse IP Source (celle-ci étant dynamique). Pour contourner le problème, l’adresse mail de l’utilisateur va servir d’identifiant pour le VPN nomade.

Dans notre exemple, nous utiliserons la base LDAP interne du firewall. Si vous utilisez une base LDAP externe ou une base Active Directory, il faut alors modifier son schéma.

Pour créer un utilisateur dans la base LDAP, accédez au menu Objets dans NETASQ UNIFIED MANAGER, Cliquez sur Nouveau\Utilisateur. Remplissez les champs de l’assistant de création d’utilisateur. La fenêtre suivante s’affiche :

5

Les champs Identifiant et E-mail de la fiche utilisateur doivent être impérativement saisis (c'est l’e- mail qui servira d'identifiant pour le VPN nomade). Accédez ensuite à l'onglet Accès. Spécifiez ici la clé pré-partagée de cet utilisateur.

6



Cliquez sur le bouton Envoyer pour créer ou mettre à jour l’utilisateur. Si plusieurs utilisateurs doivent accéder au VPN, il suffit de créer plusieurs objets "utilisateur" en prenant soin d'inscrire un login et un e-mail différents pour chacun. Pour des raisons de sécurité, il est fortement conseillé que la clé pré-partagée IPSec soit différente pour chaque utilisateur.

4



CCHHAAPPIITTRREE 22 :: CCRREEAATTIIOONN DD''UUNN TTUUNNNNEELL IIPPSSEECC NNEETTAASSQQ

La configuration des tunnels VPN IPSec est accessible par le menu VPN\Tunnels IPSec de l’arborescence. La configuration d’un tunnel VPN IPSec s’effectue en trois étapes :

La sélection d’une politique VPN. (Cf. Annexe B : sélection d'une politique VPN).

La réalisation des premières étapes de configuration grâce à un assistant.

Les réglages avancés de la configuration VPN dans le menu de configuration des tunnels VPN IPSec.

Lors de la création d’une politique, les premières étapes de configuration d'un tunnel VPN IPSEC s'effectuent grâce à un assistant de configuration en cinq étapes :

Etape 1 : Bienvenue dans l'assistant de création de tunnels VPN

Cette étape permet de définir le nom qui sera associé à la politique VPN et le modèle de protection qui sera appliqué. Vous pouvez indiquer le nom de votre choix. Par contre, sélectionnez le modèle "Good Encryption" qui consiste en un préréglage des algorithmes et des puissances de chiffrement.

4



Etape 2 : Choix du type de tunnel

Cet écran permet de définir le type de tunnel souhaité. Trois choix sont proposés. Deux catégories sont basées sur une négociation dynamique des paramètres des tunnels VPN (clé de chiffrement) grâce au protocole IKE. Ils différent par le mode d’authentification : Dynamique (Clés pré-partagées) Dynamique (Infrastructure à clés publiques). Sélectionnez l'option Dynamique (Clés pré-partagées).

Etape 3 : Choix des extrémités du tunnel

L’étape 3 vous demande de définir les extrémités de tunnel VPN. On nomme extrémités de tunnel, les deux équipements entre lesquels le tunnel est créé et donc les communications chiffrées. L'interface locale est l’interface de l’équipement par laquelle les flux chiffrés partent ou arrivent.

5



C'est généralement l'interface de sortie "Firewall_Out" ou"Firewall_<nom de la dialup>" si l’on utilise une dialup pour se connecter à Internet. Le correspondant indique l'adresse IP de l'autre extrémité du tunnel (appelée également « extrémité distante»). Dans le cadre d'un tunnel nomade, nous devons choisir "Any". En effet, un tunnel nomade permet à des utilisateurs mobiles de se connecter depuis des lieux différents. L’adresse IP de l’extrémité distante varie donc en fonction du lieu. Il faut donc autoriser toutes les adresses IP.

Etape 4 : Choix des extrémités de trafic

L'étape 4 vous demande d'indiquer les extrémités du trafic, c'est-à-dire les machines entre lesquelles vont transiter les données. On nomme par extrémités de trafic, les deux correspondants réels qui vont communiquer au travers du tunnel VPN IPSec. La "machine locale" correspond au réseau ou à la machine que l'on souhaite rendre joignable par les utilisateurs nomades. Il s'agit d'un premier niveau de sécurité. Si vous indiquez une machine, vous ne pourrez accéder qu'à celle-ci, et ce, quelque soit vos règles de filtrage. Bien souvent, lorsque plusieurs machines d'un même réseau doivent être accessibles, on choisit le réseau (exemple : "Network Bridge"), sachant que c'est au niveau des règles de filtrage que l'on précisera quelles machines et quels services seront joignables. Dans notre exemple, la machine distante est à nouveau "Any" car les utilisateurs nomades se connectent avec des adresses IP dynamiques.

6



Etape 5

L'étape 5, pour terminer, vous informe que, si vous configurez un tunnel, avec, pour correspondant, un firewall dans une version inférieure à la V5.0, alors les durées de vie des phases 1 et 2 doivent être strictement identiques.

Une fois que vous cliquez sur Terminer, la page récapitulative de la configuration du tunnel s'affiche. Il ne reste plus qu'à modifier quelques paramètres :

7



Dans le champ Négociation Phase 1 sélectionnez l'option "Mode agressif". Dans le champ Type d'identité, sélectionnez l'option "utilisateur@fqdn (e-mail)" qui correspond au nom

de la machine sur un domaine. Dans le champ Identité, entrez un nom de domaine non ambigu du type firewall.netasq.com ou un

identifiant du type [email protected] qui va recevoir les flux VPN. Cliquez sur « Envoyer » puis activez la politique VPN.

La configuration VPN au niveau de NETASQ UNIFIED MANAGER est réalisée.

NOTE Si vous sélectionnez utilisateur@fqdn (e-mail) comme « type d’identité », il n’est pas nécessaire de renseigner une adresse mail valide comme « identité ». De même, si vous sélectionnez le type d’identité Nom de domaine non ambigu, il n’est pas nécessaire de le renseigner dans un DNS.

mailto:[email protected]�

8



CCHHAAPPIITTRREE 33 :: CCOONNFFIIGGUURRAATTIIOONN DDUU CCLLIIEENNTT MMOOBBIILLEE IIPPSSEECC «« NNEETTAASSQQ VVPPNN CCLLIIEENNTT »»

Sur l'interface de NETASQ VPN Client, il faut créer les deux phases de négociation, à savoir, la phase 1 correspondant à la négociation IKE et la phase 2 correspondant à la négociation IPSec.

33..11.. PPaarraammèèttrreess

Une fois l'application NETASQ VPN CLIENT lancée, sélectionnez Paramètres dans le menu de gauche. Modifiez les valeurs par défaut des durées de vie (exprimées en secondes) de la session d'authentification et de chiffrement. Indiquez la valeur 21600 dans le champ Authentification (IKE) et la valeur 3600 dans le champ Chiffrement (IPSec). Vous pouvez cocher l'option "Bloquer les flux non chiffrés" pour n'autoriser que les flux chiffrés via l'interface du tunnel IPSec.

9



33..22.. CCrrééaattiioonn ddee llaa pphhaassee 11

Durant cette phase, chaque extrémité de tunnel doit s'identifier et s'authentifier auprès de l'autre. Pour créer la phase 1, suivez la procédure suivante :

Etape 1

Effectuez un clic droit sur le menu Configuration puis sélectionnez Nouvelle Phase 1. L'écran suivant s'affiche :

Etape 2 Dans le champ Nom, saisissez le nom de votre choix. Dans le champ Interface, sélectionnez l'option « Automatique ». Dans le champ Adresse routeur distant indiquez l’adresse de la passerelle IPSec qui correspond à l'adresse publique du firewall (par exemple l’adresse de l’interface externe Firewall_out). C’est à cette adresse que seront envoyés les paquets chiffrés qui seront déchiffrés ensuite pour être transmis aux destinataires. Dans le champ Clé partagée, indiquez la clé partagée qui correspond à l’utilisateur nomade. Dans notre exemple, les paramètres IKE sont les suivants : dans le champ Chiffrement, sélectionnez "AES 128", dans le champ Authentification "SHA" et dans le champ Groupe de clé "DH1024".

10



La configuration du NETASQ VPN Client peut différer de celle indiquée dans ce document selon vos besoins. Il faut cependant retenir que les données de configuration du VPN Client doivent être strictement identiques à celles indiquées sur le firewall. Ci-dessous, un aperçu des paramètres que vous devriez obtenir :

Etape 3 Cliquez sur le bouton P1 avancé...L'écran suivant s'affiche :

Il est important de respecter ces paramètres pour être en accord avec votre configuration VPN du firewall.

NOTE Les choix du chiffrement et du groupe de clés peuvent varier selon les critères suivants :

Le critère législatif ; certains algorithmes sont ou ne sont pas autorisés ; Le critère sécurité : plus un algorithme est important, plus la taille de clé est grande, ce

qui améliore le niveau de sécurité ; Le critère performances : En choisissant une taille de clé plus importante, la vitesse de

chiffrement diminue. Le critère correspondance : par exemple, si le correspondant ne supporte que le DES, il

faut choisir du DES.

11



Cochez l'option "Agressive mode". Dans le champ NAT-T, sélectionnez "Automatique". Dans la zone du bas "Local et Remote ID", spécifiez respectivement l'identifiant que le client VPN envoie au firewall pour s'authentifier (dans notre cas, il s'agit de l’adresse mail de la fiche utilisateur sur le firewall). Le Remote ID est l'identifiant que le client s'attend à recevoir du firewall distant. Laissez le champ vide afin d'accepter plusieurs types de remote ID.

12



33..33.. CCrrééaattiioonn ddee llaa pphhaassee 22

Il faut maintenant configurer les éléments de la phase 2 dans laquelle on retrouve l'adresse du réseau à laquelle l’utilisateur nomade peut accéder ainsi que les éléments du protocole ESP.

Effectuez un clic droit sur le nom de votre configuration (« tunnel » dans notre exemple) puis sélectionnez Ajouter Phase 2. Dans le champ Adresse du Client VPN, 2 configurations sont possibles :

En laissant l’adresse à 0.0.0.0, vous pourrez indiquer le nom de l’utilisateur VPN comme source dans la politique de filtrage sur le firewall. Ainsi, le client peut se présenter avec n’importe quelle adresse. La gestion de la politique de filtrage se fait en identifiant l’utilisateur plutôt que par l’utilisation de l’adresse IP.

En indiquant une adresse (privée autre que le réseau d’entreprise), le filtrage peut être effectué sur le nom de l’utilisateur mais aussi sur son adresse IP. Au niveau du réseau distant, renseignez l'adresse de votre réseau local qui sera connecté au tunnel. Il est conseillé de choisir une adresse réseau et d'effectuer les règles de filtrage par la suite. Au niveau de la zone ESP, indiquez toujours « AES 128 » pour le chiffrement, « SHA » pour l'authentification et le mode « Tunnel ».

Ces valeurs doivent être strictement identiques à celles indiquées sur le firewall. Pour vérifier ces valeurs, accédez dans NETASQ UNIFIED MANAGER au menu VPN\Tunnels IPSec, sélectionnez votre politique, puis la phase 2 :

13



Sur l’écran ci-dessus, vérifiez que les valeurs sont identiques au moyen des onglets Général, Authentification, Chiffrement et Extrémités du trafic. En cliquant sur le bouton P2 avancé, l’écran ci-dessous s’affiche :

Pour définir un serveur DNS interne à l’entreprise, indiquez ici son adresse une fois le tunnel monté. Ceci permet à l’utilisateur nomade d’utiliser le serveur DNS interne à son entreprise. Ainsi, il peut résoudre les noms de machines internes à son entreprise.

14



Sauvegardez la configuration avant d'ouvrir le tunnel IPSec.

Pour avoir une visualisation des tunnels créés et en ouvrir un, cliquez sur le menu Tunnels puis sur le bouton Panneau des Connexions.

Pour revenir à l’écran de visualisation des tunnels, cliquez sur le nom du tunnel (représenté sous forme de lien).

15



Un écran de panneau des connexions vide (comme montré ci-dessous) signifie qu’aucune configuration n’a encore été faite, Pour configurer un tunnel, il suffit d’appuyer sur les touches Ctrl + Enter ou encore d’effectuer un clic droit sur la barre de titre et de sélectionner Panneau de configuration.

Vous pouvez également « monter » le tunnel en cliquant sur Ouvrir le tunnel et visualiser ensuite l’état de la connexion. Les traces peuvent être obtenues depuis le menu Console. Elles indiquent la négociation des phases 1 et 2.

16



33..44.. VVéérriiffiiccaattiioonn ddee ll''aauutthheennttiiffiiccaattiioonn aauupprrèèss ddee NNEETTAASSQQ

Une fois le tunnel établi, il est possible de vérifier que l'utilisateur est automatiquement authentifié (grâce à son e-mail).

Il suffit, pour cela, d'accéder à NETASQ REAL-TIME MONITOR puis au menu Users. Cette distinction d'un utilisateur nomade par rapport à un autre permet de créer des règles de filtrage très strictes.

En cliquant dans le menu Tunnels VPN, vous obtenez une visualisation du tunnel configuré avec des informations statistiques. La source représente l’IP de l’initiateur du tunnel et la Destination l’adresse IP de destination.

17



33..55.. CCrrééaattiioonn dd''uunn ppoolliittiiqquuee ddee ffiillttrraaggee

Pour les connexions "nomades", le firewall ne crée pas de règles implicites contrairement à un tunnel VPN entre deux passerelles identifiées. Aussi, il faut penser à autoriser les flux nécessaires au bon fonctionnement du tunnel. Les utilisateurs nomades pouvant se connecter depuis n’importe quelle adresse IP publique, il faut donc autoriser sur les ports 500 et 4500, ainsi que le protocole ESP. Ces autorisations doivent s’appliquer à n’importe quelle adresse IP source (« Any ») et à l’interface publique du firewall en adresse de destination (« Firewall_out » par exemple). Lors de la configuration des extrémités du trafic VPN sur le firewall, nous avons indiqué en destination le réseau local (Network_Bridge : ). Toutefois, sans règles de filtrage adéquates, aucun trafic ne sera autorisé à sortir du tunnel. Ci-dessous, la politique de filtrage configurée qui permet à l'utilisateur nomade "nomade" de se connecter sur le réseau interne, via le tunnel IPSec.

18



Indiquer comme interface source "IPSec" permet de spécifier que les flux doivent provenir du tunnel. Notez également la syntaxe spécifique de la source "nomade@any" : ceci indique que n'importe quelle IP source est acceptée, à condition que l'utilisateur "nomade" soit authentifié sur ce poste.

19

TECHNICAL NOTE CONCLUSION


CCOONNCCLLUUSSIIOONN

La configuration du tunnel au niveau de NETASQ UNIFIED MANAGER est réalisée ainsi que sur le VPN Client. L’utilisateur peut donc accéder à son réseau d’entreprise en travaillant à distance.

20


TECHNICAL NOTE ANNEXE A

AANNNNEEXXEE AA :: RREEMMAARRQQUUEESS SSUURR LL’’IINNSSTTAALLLLAATTIIOONN EETT LLAA MMAAIINNTTEENNAANNCCEE

Installation Le fichier d’installation du client peut être téléchargé à l’adresse suivante : http://vpn.netasq.com. Pour vous connecter à ce portail, il suffira de saisir votre numéro de série. Activation Le numéro de série vous permettra d’activer la licence définitive lors de l’installation du produit. Vous pourrez installer le produit autant de fois que le nombre d’utilisateurs souscrit vous le permet. Si le poste sur lequel doit être installé le produit n’a pas d’accès à Internet, une installation manuelle peut être réalisée en utilisant la procédure décrite sur la page suivante : http://www.thegreenbow.com/activation/osa_manual.html Vérification du contrat de maintenance Vous pourrez vérifier la date de validité du contrat de maintenance dans le menu ?\Mise à jour du panneau de configuration du produit. Mise à jour Les nouvelles mises à jour du produit sont disponibles dans le menu ?\Mise à jour du panneau de configuration. Une mise à jour nécessite la désinstallation de la version actuelle avant installation de la nouvelle version. Renouvellement de maintenance Sur toute commande liée à un renouvellement de maintenance, il est nécessaire d' indiquer votre numéro de série. Réinstallation du produit Si vous désirez désinstaller le produit pour une réinstallation sur un autre poste, adressez votre demande à l’adresse suivante : [email protected] en n’oubliant pas d’indiquer votre numéro de série.

http://vpn.netasq.com/�

http://www.thegreenbow.com/activation/osa_manual.html�

mailto:[email protected]�

21


TECHNICAL NOTE ANNEXE B

AANNNNEEXXEE BB :: VVPPNN :: QQUUEELLQQUUEESS CCOONNCCEEPPTTSS VPN :

Les firewalls NETASQ possèdent trois technologies pour assurer ses fonctionnalités VPN. Celle abordée dans cette note technique est la technologie IPSec.

Les clés pré-partagées :

Configurer des clés pré-partagées permet de définir le secret préalablement échangé entre deux correspondants du tunnel VPN IPSec. Il existe deux manières de configurer les clés-pré-partagées. En choisissant d’indiquer la clé pré-partagée directement dans la fiche utilisateur, l’utilisateur a ainsi sa propre clé pré-partagée pour s’authentifier auprès du firewall lors d’un accès distant via VPN.

IPSec

Protocole standard, l’IPSEC permet la création de tunnels VPN entre le firewall et un autre firewall ou entre le firewall et des nomades sur lesquels seraient installés des clients VPN.

IPSec utilise deux protocoles pour assurer la sécurité du trafic : "Authentication Header (AH)" et "Encapsulating Security Payload (ESP)".

Définition : VPN Les Réseaux Privés Virtuels ou RPV (VPN : Virtual Private Network) permettent la transmission sûre de données sensibles au travers d’un média non sûr tel que peut l’être l’Internet. Cette transmission sûre est assurée par des mécanismes de chiffrement et d’authentification de l’ensemble de la communication entre ce que l’on appelle les correspondants VPN.

Définition : IPSec Le terme IPSec (IP Security) désigne un ensemble de mécanismes de sécurité destiné à garantir une sécurité de haute qualité, basée sur la cryptographie, sans problème d’interopérabilité, pour le trafic au niveau d’IP (IPv4, IPv6). Les services proposés par IPSec offre le contrôle d'accès, l'intégrité en mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la confidentialité (chiffrement), et une certaine confidentialité sur le flux de trafic. Ces services sont offerts par IP ou par d'autres protocoles de couches supérieures. Ainsi IPSec est indépendant des technologies de la couche Liaison de données ((ATM, Frame Relay, Ethernet,...).

22


TECHNICAL NOTE ANNEXE B

Chacun des protocoles ci-dessus supporte deux modes d’utilisation : le "mode transport" et le "mode tunnel". En mode transport, le protocole propose une protection préliminaire pour les protocoles supérieurs à IP, et en mode tunnel, le protocole est utilisé dans les paquets IP envoyés en tunneling (sécurisation de la couche transport et de la couche IP). Dans le cadre d’ESP (AH aussi d’ailleurs mais seul ESP nous intéresse dans le cadre d’un firewall NETASQ), chaque datagramme échangé entre deux correspondants VPN donnés est rattaché à une connexion simplex ou unidirectionnelle (en fonction du point de vue elle est donc soit entrante soit sortante) mettant en œuvre des services de sécurité, appelée Association de Sécurité IP Sec (SA : Security Association). Une SA IP Sec spécifie les algorithmes de chiffrement et d’authentification à appliquer sur les datagrammes qu’elle couvre, ainsi que les clés secrètes associées. Le déploiement et l'utilisation massive d'IPSec exige un protocole de gestion des SA standard sur Internet, extensible et automatisé. Par défaut, le protocole de gestion automatisée des clés choisi pour IPSec est IKE. IKE est organisé autour de 2 phases de négociation.

Les phases

La phase 1 du protocole IKE vise à établir un canal de communication chiffré et authentifié entre les deux correspondants VPN. Ce "canal" est appelé SA ISAKMP (différent de la SA IP Sec). Deux modes de négociations sont possibles : le mode principal et le mode agressif. La phase 2 du protocole IKE négocie de manière sécurisée (au moyen du canal de communication SA ISAKMP négocié dans la première phase) les paramètres de la future SA IP Sec.

23

TECHNICAL NOTE ANNEXE C


AANNNNEEXXEE CC :: SSEELLEECCTTIIOONN DD’’UUNNEE PPOOLLIITTIIQQUUEE VVPPNN

Lorsque vous sélectionnez le menu VPN\Tunnels IPSec une boîte de dialogue s’affiche, elle vous permet de manipuler les fichiers de configuration associés aux configurations VPN IPSec.

Elle est découpée en deux zones :

Gauche : Liste des fichiers de configuration. Droite : Actions sur le fichier sélectionné.

Liste des fichiers de configuration

Dans cette partie de la boîte de dialogue se trouve la liste des fichiers de configuration. Il en existe 10, numérotés de 01 à 10. Chaque fichier de configuration possède un nom, une date/heure de mise en activité et la date de dernière modification effectuée sur ce fichier de configuration. L'activation contient l'heure et le/les jours d'activation du fichier. Les jours sont repérés par le numéro du jour dans la semaine (1=lundi). Le fichier de configuration en cours d'activité est indiqué par une petite flèche verte à gauche de son nom. Un fichier de configuration est dit "en activité" lorsque les paramètres qu'il contient sont en service. Il ne peut y avoir plus d'un fichier de configuration en activité car les paramètres du dernier fichier de configuration activé écrasent ceux du fichier de configuration activé précédemment.

Note Le principe de fonctionnement de cet écran est identique au fonctionnement des écrans de NAT et de Filtrage.

24


TECHNICAL NOTE ANNEXE C

Si vous modifiez un fichier de configuration, vous devez le réactiver pour prendre en compte les modifications. Un fichier de configuration modifié mais non réactivé est notifié par l'icône à la place de la flèche verte habituelle. Il est possible qu'il n'y ait aucun fichier de configuration en activité, cela implique qu'aucun tunnel VPN n'est actif. Chaque fichier de configuration ne doit pas obligatoirement contenir des paramètres. Un fichier de configuration pour lequel il n'existe pas de fichier de configuration sur le firewall NETASQ est affiché sous le nom "vide" dans la liste. Un fichier de configuration est dit sélectionné quand vous faites un simple clic de la souris sur son nom. La sélection faite, vous pouvez l'éditer ou l'activer.

25


TECHNICAL NOTE ANNEXE D

AANNNNEEXXEE DD :: EEXXPPOORRTT DD’’UUNNEE CCOONNFFIIGGUURRAATTIIOONN VVPPNN

Vous pouvez exporter votre configuration afin de la sauvegarder ou l’importer par la suite pour la configuration d’un nouveau client.

L’export de la configuration est accessible à partir du menu Fichier\Exporter la configuration VPN après l’avoir préalablement sélectionnée.

Vous pouvez protéger votre exportation par un mot de passe : votre configuration est ainsi stockée et envoyée en toute sécurité. Ce mot de passe sera alors demandé lors de l’importation.

26

TECHNICAL NOTE GLOSSAIRE


GGLLOOSSSSAAIIRREE

AA AES (Advanced Encryption Standard)

Algorithme de chiffrement utilisant des clés de 128 ou 256 bits. Cet algorithme est plus performant et sécurisé que le 3-DES, utilisé comme standard de fait jusqu'à présent.

CC Chiffrement Le processus de translation des données brutes (en clair) vers une version apparemment embrouillée (le cryptogramme) afin de protéger la confidentialité, l'intégrité et l'authenticité des données d'origine. Une clé secrète est souvent nécessaire pour désembrouiller (déchiffrer) le cryptogramme. Clé privée Une ou deux clés nécessaires dans un système de clés publiques ou asymétrique. La clé privée est habituellement gardée secrète par son propriétaire. Clé publique Une ou deux clés nécessaires dans une cryptographie de clé publique ou asymétrique. La clé publique est généralement reconnue publiquement.

EE Edge Acronyme de Enhanced Data GSM Environment. Evolution du standard GPRS, il offre un débit maximum de 384 kbps permettant des transferts étendus comme les premières applications de vidéo conférence sur téléphone mobile.

HH HotSpot Wi-fi

Il s'agit d'un lieu public (hôtel, gare, café...) possédant un accès à un réseau sans fil et donc permettant aux utilisateurs nomades de se connecter à Internet.

27



II IKE (Internet Key Exchange) Une méthode qui établit une SA qui authentifie les algorithmes de chiffrement et d'authentification à appliquer sur les datagrammes qu'elle couvre, ainsi que les clés secrètes associées. IPSec Protocole standardisé permettant l'établissement de tunnels VPN sécurisés, c'est-à-dire de véritables réseaux privés virtuels sur un réseau public comme Internet. Les informations transitant dans ces tunnels virtuels sont chiffrées et authentifiées, et sont donc complètement sécurisées.

LL LDAP (Lightweight Directory Access Protocol). Protocole permettant d'accéder à des bases d'informations sur les utilisateurs d'un réseau (annuaire réseau). Grâce à ce protocole, un utilisateur peut notamment, se connecter, se déconnecter, rechercher des informations, insérer, modifier ou supprimer des entrées.

RR Règle de filtrage implicite Règle de filtrage implicitement générée par le firewall suite à la modification de sa configuration par l'administrateur. Par exemple, en activant le proxy http, un jeu de règles de filtrage implicite est généré pour permettre les connexions entre le client et le proxy ainsi qu'entre le proxy et le serveur. RTC (Réseau Téléphonique Commuté) Réseau téléphonique classique.

TT NETASQ VPN CLIENT Cette application permet aux utilisateurs nomades de se connecter de façon sécurisée au site central de l'entreprise. Tunnel IPSec Protocole standard, l'IPSec permet la création de tunnels VPN entre le firewall et un autre firewall ou entre le firewall et des nomades sur lesquels seraient installés des clients VPN.

UU Utilisateur nomade Personne qui pratique ses activités professionnelles en dehors de l'entreprise, via un ordinateur portable. Pour communiquer avec son entreprise, il utilise un bureau virtuel bénéficiant d'une certaine autonomie.

28



UMTS (Universal Mobile Telecommunications System) Norme européenne pour les systèmes de radiocommunications mobiles de 3ème génération, qui permettront d'offrir une large gamme de services, intégrant la voix, les données et les images.

VV VPN (Virtual Private Network) (VPN : Réseau Privé Virtuel). Interconnexion de réseaux de manière transparente et sécurisée pour les applications et protocoles participants ; généralement utilisé pour relier des réseaux privés au travers d'Internet. VPN IPSec L'IPSec permet la création de tunnels VPN entre le firewall et un autre firewall ou entre le firewall et des nomades sur lesquels seraient installés des clients VPN.

technical note - nanabozo's web sitenanabozo2.free.fr/docs/infos/netasq/vpn_nomade.pdf ·...

Documents