Client VPN IPSec TheGreenBow

Transcription

1 Client VPN IPSec TheGreenBow Guide Utilisateur Contact: Website:

2 All rights reserved. No parts of this work may be reproduced in any form or by any means - graphic, electronic, or mechanical, including photocopying, recording, taping, or information storage and retrieval systems - without the written permission of the publisher. Products that are referred to in this document may be either trademarks and/or registered trademarks of the respective owners. The publisher and the author make no claim to these trademarks. While every precaution has been taken in the preparation of this document, the publisher and the author assume no responsibility for errors or omissions, or for damages resulting from the use of information contained in this document or from the use of programs and source code that may accompany it. In no event shall the publisher and the author be liable for any loss of profit or any other commercial damage caused or alleged to have been caused directly or indirectly by this document. Printed: janvier 2007 in San Francisco.

3 I Table des Matieres Part I Présentation du Client VPN TheGreenBow 2 1 Pourquoi le Client... VPN IPSec TheGreenBow? 2 2 Solution VPN Multi... Gateway 2 3 Support des Appliances... Linux 2 4 Les fonctionnalités... du Client VPN IPSec TheGreenBow 2 5 OEM et Customisation... du Logiciel 4 Part II Installer le Client VPN TheGreenBow 6 1 Installation du... logiciel 6 2 Evaluation du... logiciel 7 3 Licence Logiciel... Temporaire 7 4 Assistant d'activation... 9 Assistant d'activation... en deux étapes 9 Etape 1 sur 2: Saisir... le numéro de licence 9 Etape 2 sur 2:... Activation en ligne 10 Erreurs d'activation Mise a Jour Logiciel Désinstallation... du logiciel 12 Part III Quelques HowTo 14 1 Comment ouvrir... un tunnel VPN? 14 2 Comment tester... un tunnel VPN? 14 3 Comment importer... une Configuration VPN par simple double clic? 14 Part IV Navigation et Interface Utilisateur 17 1 Interface utilisateur Icône en barre... des tâches 18 3 Raccourcis Panneau de Configuration Menus principaux Barre de status Fenêtre "A propos" Contrôle d'accès... à la Configuration (Interface Réduite) 20 Assistants Préférences Panneau de Connexion Part V Panneau de Connexion 26 1 Eléments du... Panneau de Connexion 26 2 Informations... et Alertes dans le Panneau de Connexion 26 Part VI VPN Configuration 29 I

4 II 1 Assistant de... Configuration 29 Assistant de Configuration... en trois étapes 29 Etape 1 sur 3:... Choix de l'équipement distant 29 Etape 2 sur 3:... Paramètres du tunnel VPN 30 Etape 3 sur 3:... Synthèse 31 2 Configuration... Tunnel VPN 31 Comment créer... un tunnel VPN? 31 Multiplicité des... Phases 1 et 2 (Authentication et Configuration IPSec) 32 Fonctionnalités... avancées 32 3 Authentification... ou Phase 1 32 Qu'est ce que... la Phase 1? 32 Phase 1 Description... des paramètres 33 Phase 1 Description... des paramètres avancés 34 4 IPSec Configuration... ou Phase 2 36 Qu'est ce que... la Phase 2? 36 Phase 2 Description... des paramètres 37 Phase 2 Description... des paramètres Avancés 39 Configuration... des Scripts 39 5 Paramètres Globaux Description des... paramètres Globaux 40 6 Gestion des Tunnels... VPN 42 Comment visualiser... les tunnels VPN ouverts? 42 7 Mode USB Qu'est ce que... le Mode USB? 43 Comment activer... le Mode USB? 43 Comment activer... un Stick USB? 44 Comment ouvrir... automatiquement les tunnels sur insertion du Stick USB? 45 8 Gestion des Certificats Introduction Comment configurer... le Client VPN IPSec avec Certificats PKCS#12? 46 Comment configurer... le Client VPN IPSec avec Certificats PEM? 47 Gestion Carte... à Puce et Token 48 Comment... configurer un tunnel avec le Certificat d'une SmartCard 48 Comment... utiliser un tunnel avec le Certificat d'une SmartCard 51 SmartCard... Troubleshooting 51 9 Gestion des Configurations... VPN 52 Comment Importer... ou Exporter une configuration VPN? 52 Embarquer une... Configuration VPN dans le Setup du Client VPN 53 Configuration... VPN par défaut Documents de... support complémentaires 53 Part VII Déploiement 55 1 Configuration... VPN embarquée 55 2 Options du Setup Introduction des... Options du Setup 55 Option Setup... pour l'interface Utilisateur 55 Option Setup... pour control d'accès à l'interface Utilisateur 55 Option Setup... pour les items du menu en barre de tâches 56 Autres Options... de Setup 56 3 Outils ligne de... commande 57 Stopper le Client... VPN: option "/stop" 57 Importer ou exporter... une Configuration VPN 57

5 III Part VIII Console et Traces 60 1 Description des... fonctions 60 2 Description des... filtres 61 Part IX Traduction du logiciel 63 Part X Contacts 65 Index 66 III

6 Section I Présentation du Client VPN TheGreenBow

7 Présentation du Client VPN TheGreenBow 2 1 Présentation du Client VPN TheGreenBow 1.1 Pourquoi le Client VPN IPSec TheGreenBow? Le Client VPN IPSec TheGreenBow est un logiciel de sécurisation des communications réseaux. Disponible pour toutes versions Windows, il est basé sur la technologie VPN IPSec conforme au standard du marché (Internet Protocol Security). Il permet d'établir des connexions VPN via Internet entre des utilisateurs distants et le système d'information de l'entreprise. IPSec est le moyen le plus sûr aujourd'hui pour se connecter à son entreprise puisqu'il permet une authentification forte de l'utilisateur, un chiffrement fort des tunnels, et la capacité de s'intégrer dans le SI (Système d'information) existant. Le Client VPN IPSec TheGreenBow complète la gamme de produits de sécurité pour Entreprise TheGreenBow. Comme tous les produits de la gamme, il respecte notre philosophie d'extrême simplicité d'installation et d'utilisation. 1.2 Solution VPN Multi Gateway La première priorité de TheGreenBow est le support du plus grand nombre de passerelles/routeurs VPN IPSec disponibles sur le marché pour offrir une vraie solution multi-vendeurs aux entreprises. TheGreenBow a ainsi certifié les routeurs BeWan, CISCO, Linksys, Netscreen, Sonicwall, Symantec, Zyxel et des appliances Linux comme StrongS/WAN et FreeS/WAN. La liste complète des passerelles/routeurs compatibles est disponible sur notre site web. Cette liste augmente régulièrement. Pour faciliter le travail des intégrateurs, plusieurs guides de configuration de passerelles/routeurs sont disponibles sur notre site. 1.3 Support des Appliances Linux TheGreenBow supporte les différentes implémentations VPN IPSec Linux comme StrongS/WAN et FreeS/WAN. Ainsi le Client VPN IPSec TheGreenBow est compatible avec tous les routeurs IPSec basés sur ces implémentations Linux. La liste des appliances Linux est aussi disponible sur notre site web. 1.4 Les fonctionnalités du Client VPN IPSec TheGreenBow Versions Windows supportées Mode de Connexion Tunneling Protocol Win98,Me, NT, Win2000, WinXP (Tous Service Packs) Fonctionne en mode VPN peer-to-gateway ou peerto-peer (configuration point à point sans Gateway ou serveur). Tous les types de connexions comme Dial up, DSL, Cable, GSM/GPRS et WiFi sont supportés. Permet le filtrage d'adresse IP par plage (IP Range). Support IKE complet: Le module IKE est basé sur une souche de l'openbsd 3.1 (ISAKMPD) qui garantit l'interopérabilité avec les solutions de serveurs et de routeurs IPSec leaders du marché. Support IPSec complet: Main mode et Aggressive mode Algorithmes Hash MD5 et SHA Changement de Port IKE

8 Présentation du Client VPN TheGreenBow 3 NAT Traversal NAT Traversal Draft 1 (enhanced), Draft 2 et 3 (implémentation complète) Incluant le support NAT_OA Incluant NAT keepalive Incluant NAT-T mode agressif NAT-T en mode Forcé, Désactivé ou Automatique Chiffrement Chiffrement 3DES, DES et AES 128/192/256 bits. Authentification Utilisateur Support de X-AUTH Pre-shared key et support des Certificats X509. Compatible avec les Routeurs IPSec les plus courants. Support de Group 1, 2, 5 et 14 (i.e. 768, 1024, 1536 et 2048) Formats de Certificats PEM, PKCS12 Supporte un Certificat par tunnel Support de l'authentification Hybrid Mode Support de Carte à Puce (SmartCard) Dead Peer Detection (DPD) DPD est une extension (i.e. RFC3706) de IKE (Internet Key Exchange) qui permet la détection d'extrémités IKE non actives. Ce mécanisme est utilisé dans la fonction de Redundant Gateway (i.e. Gateway Secours) Redundant Gateway La fonctionnalité de Redundant Gateway (i.e. Gateway Secours) améliore la disponibilité de l'accès au réseau d'entreprise. La fonction de Redundant Gateway permet au Client VPN TheGreenBow d'ouvrir un tunnel VPN IPSec avec une gateway de secours dans le cas où la gateway principale est inaccessible ou non opérationnelle. Mode-Config Le "Mode-Config" est une extension de IKE (Internet Key Exchange) qui permet de récupérer certains paramètres réseau comme les adresses IP du serveur DNS, du serveur WINS et l'adresse IP virtuelle du Client VPN depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Avec Config-Mode, l'utilisateur est capable de trouver un serveur sur le réseau distant en utilisant son nom sur le réseau au lieu de son adresse IP (e.g. //myserver/marketing/budget). Stick USB Les configurations VPN et les éléments de sécurité (e.g. Certificats, preshared key, ) peuvent être sauvegardés sur un Stick USB de façon à supprimer les informations d'authentification de la machine. L'ouverture et la fermeture d'un tunnel peuvent être conditionnées à l'insertion et extraction du stick USB. Token et Cartes à Puces Le Client VPN IPSec TheGreenBow peut lire les Certificats depuis les Cartes à Puces. En particulier, les cartes à puces ou autres badges utilisés en entreprise peuvent être exploités par le logiciel. Console de Log Tous les messages des différentes phases sont loggés pour faciliter les tests et les phases de déploiement. Différents filtres (10) permettent de simplifier l'analyse des messages. Interface utilisateur réduite L'installation silencieuse et l'interface graphique invisible permet au Responsable Informatique de déployer une solution VPN avec la garantie que les configurations VPN ne seront pas modifiées par l'utilisateur. Ainsi, le Panneau de Connexion peut être masqué, et l'accès au Panneau de Configuration peut être interdit ou protégé par mot de passe.

9 Présentation du Client VPN TheGreenBow 4 Scripts Gestion des Configuration VPN Live update Licence Logiciel Des scripts et applications peuvent être lancés automatiquement avant ou après ouverture d'un tunnel, avant ou après fermeture d'un tunnel. La configuration VPN du Client VPN peut être effectuée via le Panneau de Configuration ou via un jeu de commandes en ligne. Les éléments de sécurité VPN sont chiffrés et la totalité de la configuration VPN peut être protégée par mot de passe. L'installation du logiciel peut être effectuée en mode silencieux. Le Client VPN inclut une Configuration VPN dite 'Configuration par Défaut' pour test avec les serveurs TheGreenBow. Le Client VPN est doté d'un mécanisme de mise à jour incrémentale qui permet de n'effectuer les mises à jour que pour les modules d'authentification ou de chiffrement nécessaires. Licence Logiciel temporaire, définitive ou basée sur le numéro de version. 1.5 OEM et Customisation du Logiciel L'offre TheGreenBow VPN s'adresse aux constructeurs et intégrateurs de solutions VPN globales qui proposent les technologies VPN IPSec sur leurs solutions matérielles et dans leurs architectures. Nos produits sont ainsi customisables sur demande.

10 Section II Installer le Client VPN TheGreenBow

11 Installer le Client VPN TheGreenBow 6 2 Installer le Client VPN TheGreenBow 2.1 Installation du logiciel L'installation du Client VPN TheGreenBow est une installation Windows classique, qui ne nécessite la saisie d'aucune information. L'installation se termine par un redémarrage de l'ordinateur. A l'issue du redémarrage, après l'ouverture de la session Windows, une fenêtre s'ouvre avec les options suivantes: "Quitter" ferme la fenêtre et le logiciel. "Evaluer" permet de continuer à évaluer le logiciel. La période d'évaluation est affichée dans la zone orange. "Activer" permet d'activer le logiciel en ligne. Cette étape nécessite un Numéro de Licence. En cliquant sur le bouton "Activer", un Assistant d'activation en deux étapes apparait. "Acheter" permet d'acheter une licence sur la boutique en ligne TheGreenBow. Attention : sur station Windows NT, 2000 et XP, l'installation du Client VPN TheGreenBow nécessite d'être en mode Administrateur. Si ce n'est pas le cas, l'installation s'arrête après le choix de la langue par un message d'avertissement. Raccourcis : A l'issue de l'installation, le Client VPN TheGreenBow est accessible : depuis le bureau Windows, en double-cliquant sur l'icône TheGreenBow Client VPN depuis l'icône Client VPN situé en barre des tâches depuis le menu Démarrer > Programmes > TheGreenBow > VPN > TheGreenBow Client VPN Note: L'installation peut être customisée via un certain nombre de paramètres passés en ligne de commande. Pour plus de détails, veuillez vous référer au document "VPN Deployment Guide" aussi disponible sur notre site web.

12 Installer le Client VPN TheGreenBow Evaluation du logiciel Il est possible d'utiliser le Client VPN TheGreenBow en version d'évaluation - limitée à 30 jours d'utilisation - en cliquant sur le bouton "Evaluer". Tant que le Client VPN est utilisé en mode "Evaluation", la fenêtre d'activation s'affiche systématiquement à chaque nouveau démarrage du Client VPN. Une fois la période d'évaluation expirée, le bouton "Evaluer" n'est plus disponible et le software n'est plus accessible. Seul le bouton "Activer" est disponible. 2.3 Licence Logiciel Temporaire Une Licence Logiciel Temporaire peut être fournie par exemple pour des périodes de test importantes. La période de validité est de 1 à 35 semaines. Pour recevoir une Licence Logiciel Temporaire vous pouvez contacter l'équipe de ventes: sales@thegreenbow.fr La période de validité d'une Licence Logiciel Temporaire et la durée d'usage restante sont affichées dans la première fenêtre du Client VPN IPSec ou via le menu 'A propos':

13 Installer le Client VPN TheGreenBow 8 A la fin de la période de validité le Client VPN IPSec ne fonctionne plus, le bouton 'Evaluer' est désactivé. L'utilisateur peut 'Acheter' ou 'Activer' une Licence Logiciel. Pendant la période de validité d'une Licence Logiciel Temporaire, la fenêtre d'activation est accessible depuis le Panneau de Configuration. Cela permet à l'utilisateur d'activer un Numéro de Licence différent, typiquement comme une Licence Définitive, après les tests.

14 Installer le Client VPN TheGreenBow Assistant d'activation Assistant d'activation en deux étapes L'Assistant d'activation se déroule en deux étapes. Il permet d'activer le logiciel en ligne en quelques secondes. L'activation nécessite un numéro de licence. L'Assistant d'activation peut être lancé : Depuis le Panneau de Configuration en cliquant sur le menu "?" puis sur "Assistant Activation...". Depuis la fenêtre d'évaluation (lancement du logiciel) en cliquant sur 'Activer' Etape 1 sur 2: Saisir le numéro de licence L'activation nécessite un Numéro de Licence. Saisir votre Numéro de Licence, votre adresse et cliquer sur 'Suivant': Attention: Si votre Numéro de Licence est un numéro de 20 chiffres, vous devez changer de format de saisie en cliquant sur "Cliquer ici pour entrer une licence de 20 caractères" en dessous du champ Numéro de Licence. Note: L'adresse est utilisée pour renvoyer à l'utilisateur une confirmation d'activation une fois l'activation terminée. Note: L'adresse peut ne pas être nécessaire. Le Responsable Informatique peut forcer la valeur de ce champ dans le 'setup', elle sera alors affichée à l'étape 1 de l'assistant d'activation Logiciel. Ceci est particulièrement adapté pour centraliser sur une seule adresse toutes les Confirmations d'activation Logiciel.

15 Installer le Client VPN TheGreenBow Etape 2 sur 2: Activation en ligne L'Assistant d'activation se connecte automatiquement au serveur d'activation en ligne pour activer le logiciel Client VPN IPSec. Vous pouvez revenir en arrière à tout moment en utilisant le bouton 'Précédent' pour changer le Numéro de Licence par exemple. L'Assistant d'activation se termine par une Activation avec succès Erreurs d'activation Dans le cas ou une erreur intervient pendant l'activation, un code d'erreur est affiché immédiatement. Les explications et recommandations associées permettant de résoudre le problème sont alors disponibles en ligne en cliquant sur le lien "Plus d'information sur cette erreur" ou l'icône d'aide i.e. "?".

16 Installer le Client VPN TheGreenBow 11 La plupart des erreurs peuvent être résolues en vérifiant les quelques points suivants: 1. Vérifier que le Numéro de Licence est correct (erreur 031). 2. La communication avec le serveur en ligne d'activation Logiciel peut être filtrée par un proxy (erreur 053 ou erreur 054). Vous pouvez configurer le proxy de votre entreprise dans l'étape 1 de l'assistant d'activation. 3. La communication avec le serveur en ligne d'activation Logiciel peut être filtrée par un Firewall (erreur 053 ou erreur 054). Vérifier si un Firewall personnel ou Firewall d'entreprise ne bloque les messages. 4. Le serveur en ligne d'activation Logiciel peut être temporairement indisponible. Réessayer l'activation quelques minutes plus tard. 5. Votre Numéro de Licence est déjà activé (erreur 033). Vous pouvez contacter notre équipe de vente: sales@thegreenbow.fr Toutes les erreurs d'activation logiciel sont détaillées sur notre site web: Note: Si l'activation Logiciel en ligne ne fonctionne pas malgré les recommandations précédentes, il est toujours possible d'activer le Client VPN IPSec manuellement sur notre site web: Ceci permet aux utilisateurs d'activer complètement et immédiatement le Logiciel. 2.5 Mise a Jour Logiciel Attention: Le Client VPN IPSec nécessite une Activation après chaque mise à jour du logiciel. En fonction du status de votre contrat de Maintenance, une Activation Logiciel peut être rejetée. Lire les recommandations suivantes avec attention et vérifier en ligne le status de votre contrat de maintenance en cliquant sur le menu "?" puis "Mise à jour" dans le 'Panneau de Configuration'. Le succès d'une mise à jour logiciel dépend de votre contrat de maintenance: 1. Pendant la période de maintenance (qui commence lors de la première activation logiciel), toutes mises à jour logiciel est possible.

17 Installer le Client VPN TheGreenBow Une fois la période de maintenance expirée (ou si vous n'avez pas de contrat de maintenance), seules les mises jour avec des versions mineures sont possibles. Une version mineure est identifiée par le dernier digit du numéro de version. Exemple: Ma maintenance a expiré et la version installée actuellement est la Je peux faire une mise à jour et activer cette mise jour avec les versions 3.13 à 3.19 seulement. Les mises à jour avec les versions 3.20, 3.30 ou 4.0 ne pourront pas être activées. Pour étendre votre contrat de maintenance, vous pouvez contacter notre équipe de ventes: sales@thegreenbow.fr Note: Votre Configuration VPN est sauvée pendant la mise à jour logiciel et automatiquement prise en compte par la nouvelle version. 2.6 Désinstallation du logiciel Le logiciel Client VPN TheGreenBow se désinstalle de différentes façons : Depuis le panneau de contrôle Windows en sélectionnant "Ajout/Suppression de programmes" Depuis le menu Démarrer > Programmes > TheGreenBow > VPN > Désinstaller Client VPN

18 Section III Quelques HowTo

19 Quelques HowTo 14 3 Quelques HowTo 3.1 Comment ouvrir un tunnel VPN? Comment ouvrir un tunnel VPN (une fois configuré): Panneau de Connexion > Open Icon en barre de tache > cliquer sur 'Ouvrir xxx' 'Automatique sur détection de trafic' 'Automatique sur insertion du Stick USB' 'Automatique quand MS Windows démarre' (avant ou après le login) Double clic sur une Configuration VPN (e.g. icône sur le Bureau Windows, pièce jointe à un ) 3.2 Comment tester un tunnel VPN? Pour résoudre les problèmes rencontrés au cours de la mise au point des configurations VPN vous pouvez utiliser les outils et documents suivants sur notre site web: Document TroubleShooting (pdf). Aide en ligne (html). Support en ligne incluant l'activation logiciel en ligne. Utiliser la Configuration VPN par Défaut pour valider votre réseau. Voir aussi les FAQs Client VPN IPSec. 3.3 Comment importer une Configuration VPN par simple double clic? Aussi appelé 'Mode Dial up': Un tunnel peut être ouvert par un simple double clic sur une Configuration VPN (i.e. extension fichier '.tgb'). Ceci permet de créer plusieurs Configurations VPN sur le Bureau Windows et d'ouvrir chaque tunnel en cliquant sur l'un des icônes raccourcis. Pour créer un icône raccourci : Etape1: Configurer une Configuration VPN dans le Panneau de Configuration. Etape2: Dans la 'Phase 2 Paramètres Avancés', configurer le tunnel avec 'Ouvrir automatiquement ce tunnel au démarrage du Client VPN'. Etape3: Exporter la Configuration VPN sur votre Bureau Windows. Note: Il est possible de protéger la Configuration VPN avec un mot de passe au moment de l'export. Le mot de passe est demandé à l'utilisateur lors du double clic sur l'icône.

20 Quelques HowTo 15

21 Section IV Navigation et Interface Utilisateur

22 Navigation et Interface Utilisateur 17 4 Navigation et Interface Utilisateur 4.1 Interface utilisateur Le Client VPN IPSec TheGreenBow est totalement autonome et ne nécessite pas d'intégration particulière avec d'autres logiciels. Il peut aussi établir ou fermer des tunnels VPN sans intervention de l'utilisateur en fonction du trafic vers certaines destinations. Il nécessite simplement d'être configuré. L'interface du logiciel permet de créer, modifier, sauver, exporter ou importer les configurations VPN avec les éléments de sécurité (e.g. Preshared key, Certificats,...). La configuration du Client VPN IPSec est définie dans un fichier de configuration. Les différents éléments de l'interface utilisateur sont les suivants: Panneau de Configuration Panneau de Connexion Menus principaux Icône en barre des tâches Barre de status Assistants Préferences

23 Navigation et Interface Utilisateur Icône en barre des tâches Le Client VPN TheGreenBow est identifié, en utilisation courante, par un icône situé en barre des tâches. L'interface graphique du Client VPN peut être ouverte par simple clic sur cet icône. Cet icône indique l'état des tunnels. Le code des couleurs de l'icône Client VPN est le suivant: Icône bleu: aucun tunnel VPN n'est ouvert Icône vert: au moins un tunnel VPN est ouvert Un clic gauche sur l'icône Client VPN ouvre l'interface du logiciel. Un clic droit sur l'icône VPN affiche le menu suivant : Liste des tunnels configurés avec leur status. Ces tunnels peuvent aussi être ouverts ou fermés depuis ce menu. 'Sauver & Appliquer' permet de sauver les modifications de configuration pour pouvoir relancer l'ouverture des tunnels VPN avec les nouveaux paramètres de configuration. 'Console' lance la fenêtre de traces VPN. 'Panneau des Connexions' ouvre le Panneau de Connexions. 'Quitter' ferme les connexions (tunnels) en cours, arrête le moteur VPN et ferme l'interface du logiciel. Pour redémarrer le Client VPN TheGreenBow, il suffit de cliquer sur l'icône TheGreenBow VPN sur le bureau Windows, ou de cliquer sur le menu "Démarrer > Programmes > TheGreenBow > VPN > TheGreenBow VPN". Le 'tooltip' de l'icône VPN indique à tout moment l'état du Client VPN TheGreenBow : 'Tunnel [NomDuTunnel]' si un ou plusieurs tunnels sont actifs. 'Attente VPN prêt...' pendant le temps de lancement du moteur VPN IKE. 'TheGreenBow Client VPN' lorsque le Client VPN est lancé, sans tunnel ouvert. 4.3 Raccourcis Cette fonctionnalité améliore la facilité d'usage du logiciel. Raccourcis Ctrl + P Ctrl + C Ctrl + A Actions Bascule entre le Panneau de Configuration et le Panneau de Connexion. Note: Si le Panneau de Configuration est protégé par un mot de passe, ce mot de passe est demandé à l'utilisateur lorsqu'il bascule du Panneau de Connexion vers le Panneau de Configuration. Ouvre la Console de debug. 'Sauver & Appliquer' une Configuration VPN.

24 Navigation et Interface Utilisateur Panneau de Configuration Le Panneau de Configuration est composé des éléments suivants: Trois boutons 'Console', 'Paramètres' et 'Tunnels' Une arborescence en colonne de gauche, qui décrit toutes les configurations IKE et IPSec du Client VPN Une fenêtre de configuration contextuelle dépendant du niveau de l'arborescence choisi. Un fichier de Configuration VPN (i.e. extension '.tgb') peut être glissé/déposé sur le Panneau de Configuration. Ceci permet d'importer rapidement une Configuration VPN. Si le tunnel est configuré pour être 'ouvert quand le Client VPN démarre' (voir section 'Phase 2 Paramètres Avancés'), il s'ouvrira dès que l'utilisateur clique sur 'Sauver & Appliquer' Menus principaux Les menus principaux sont les suivants: Le menu 'Fichier' contient les fonctions Import ou Export de configuration. En particulier, il est possible d'importer or exporter des configurations VPN depuis ou vers n'importe quels emplacements comme un serveur, un disque local ou un Stick USB. Le mode Stick USB et les Préférences peuvent être activés depuis ce menu. Le menu 'Configuration VPN' reprend toutes les actions du menu contextuel de l'arborescence. Il donne aussi accès à tout moment à l'assistant de Configuration. Le menu ''Affichage' permet de configurer les éléments auxquels l'utilisateur final a accès. Le menu 'Outils' reprend les fonctions des boutons 'Console' et 'Connexions'.

25 Navigation et Interface Utilisateur 20 Le menu '?' donne accès à l'aide en ligne, à l'assistant d'activation et à la fenêtre 'A propos' Barre de status La barre de status (bas de la fenêtre de l'application) peut indiquer plusieurs types d'information : La zone gauche indique la localisation du fichier de configuration VPN et le cas échéant l'état actif ou inactif du mode stick USB. La zone centrale donne des informations sur l'état général du logiciel Client VPN IPSec (e.g. "VPN prêt", "VPN Tunnel ouvert", "Sauvegarde configuration en cours", ). La zone droite indique l'état des tunnels : signifie qu'au moins un tunnel est ouvert signifie qu'aucun tunnel n'est ouvert Fenêtre "A propos" La fenêtre 'A propos' précise les versions de l'interface et du moteur IKE du Client VPN ainsi que le nombre de jours d'évaluation restant. Elle offre aussi un lien direct sur notre site web Contrôle d'accès à la Configuration (Interface Réduite) Cette fonctionnalité est spécifiquement conçue pour les Responsables Informatiques. Il est possible de bloquer l'accès à l'interface de configuration du Client VPN et de le rendre invisible à l'utilisateur final par utilisation d'un mot de passe.

26 Navigation et Interface Utilisateur 21 Lorsque cette option est configurée, l'interface graphique ne peut pas être ouverte (ni par doubleclic sur l'icône du bureau, ni par sélection du menu Démarrer), et le menu déroulant dans la barre des tâches se réduit à l'accès à la console, à l'ouverture/fermeture des tunnels configurés et au menu 'quitter' : Une fois mise en place, l'utilisateur final se verra demander son mot de passe: quand il clique (ou double-clique) sur l'icône en barre des tâches quand il bascule du Panneau de Connexion vers le Panneau de Configuration Ce mot de passe peut être configuré dans les Options du Setup. La fenêtre de Contrôle d'accès, disponible dans le Menu 'Affichage > Configuration...' dans le Panneau de Configuration, permet aussi de configurer les items du menu associé à l'icône en barre des tâches. Le Responsable Informatique peut restreindre partiellement ou complètement l'accès au Panneau de Configuration jusqu'à le rendre invisible à l'utilisateur final. L'accès au Panneau de Connexion n'est pas restreint.

27 Navigation et Interface Utilisateur 22 Pour configurer la restriction d'accès, renseigner les champs 'mot de passe' et 'Confirmer' puis cliquer 'OK'. Note: L'item 'Quitter' pour le menu en barre des tâches ne peut être supprimé depuis le logiciel. Toutefois il peut être supprimé en utilisant les Options du Setup Assistants Le logiciel propose deux Assitants: Assistant de Configuration VPN accessible via le Menu "VPN configuration > Assistant de Configuration" Assistant d'activation accessible soit depuis la fenêtre d'évaluation affichée au lancement du logiciel, soit via le Menu "? > Assistant d'activation" Préférences La fenêtre des Préférences permet : De définir le mode de démarrage du logiciel. D'activer/désactiver la détection de déconnexion de l'interface réseau. Les Préférences sont disponibles via le Menu 'Fichier' puis 'Préférences'.

28 Navigation et Interface Utilisateur 23 Mode de démarrage du logiciel Le Client VPN IPSec TheGreenBow peut démarrer suivant différents modes : 'Démarrer le Client VPN IPSec avant le logon Windows': Ce mode peut être utilisé pour sécuriser un login distant. 'Démarrer le Client VPN IPSec aprés le logon Windows'. 'Ne pas démarrer le Client VPN IPSec quand Windows démarre': le Client VPN est démarré manuellement par l'utilisateur. Divers Désactiver la détection de déconnexion de l'interface réseau permet au Client VPN de ne pas fermer les tunnels ouverts sur déconnexions momentanées mais fréquentes. Ce type de comportement est observé sur des connexions de type GPRS/3G ou WiFi. 4.5 Panneau de Connexion Le Panneau de Connexion est spécifiquement conçu pour les utilisateurs finaux. Il permet d'ouvrir et de fermer un tunnel, et de visualiser la progression de l'ouverture d'un tunnel. Le cas échéant, il permet d'identifier de façon particulièrement claire les erreurs de connexion. Le logiciel permet de passer du Panneau de Connexion au Panneau de Configuration simplement via le raccourci 'Ctrl+P'. Cette fonctionnalité peut être bridée en protégeant l'accès au Panneau de Configuration par un mot de passe.

29 Navigation et Interface Utilisateur 24

30 Section V Panneau de Connexion

31 Panneau de Connexion 26 5 Panneau de Connexion 5.1 Eléments du Panneau de Connexion Le Panneau de Connexion est spécifiquement conçu pour les utilisateurs finaux. Il permet d'ouvrir et de fermer un tunnel, et de visualiser la progression de l'ouverture d'un tunnel. Le cas échéant, il permet d'identifier de façon particulièrement claire les erreurs de connexion. Le logiciel permet de passer du Panneau de Connexion au Panneau de Configuration simplement via le raccourci 'Ctrl+P'. Cette fonctionnalité peut être bridée en protégeant l'accès au Panneau de Configuration par un mot de passe. Pour ouvrir un tunnel, il suffit de cliquer sur le bouton 'Ouvrir' associé à ce tunnel. Ce bouton bascule automatiquement à 'Fermer' dès que le tunnel est ouvert. Un clic sur le nom du tunnel ouvre automatiquement le Panneau de Configuration, permettant de changer la configuration de ce tunnel. Ce dispositif est désactivé quand le Panneau de Connexion est protégé par un mot de passe. Il est également possible d'appliquer automatiquement une nouvelle Configuration VPN en glissant une configuration VPN sur le Panneau de Connexion. Si un tunnel est configuré pour être automatiquement ouvert quand le <%%PRODUCT2> démarre (voir section 'Phase 2 Paramètres Avancés'), il sera immédiatement ouvert dès que la nouvelle Configuration VPN sera appliquée (i. e. 'Sauver & Appliquer') 5.2 Informations et Alertes dans le Panneau de Connexion Lorsqu'un problème se produit pendant l'ouverture du tunnel, il est identifié par un segment orange sur la barre de progression, et par un lien 'warning' dans la colonne de status du tunnel concerné :

32 Panneau de Connexion 27 En cliquant sur le lien 'warning', une fenêtre d'explication du problème est affichée. Cette fenêtre aide l'utilisateur ou le responsable informatique à identifier le problème. Elle contient de plus un lien vers nos pages web d'aide en ligne qui détaillent les symptômes d'erreurs et donnent des informations sur les possibilités de résolution du problème rencontré.

33 Section VI VPN Configuration

34 VPN Configuration 29 6 VPN Configuration 6.1 Assistant de Configuration Assistant de Configuration en trois étapes Le Client VPN IPSec TheGreenBow intègre un "Assistant de Configuration" qui permet de créer une configuration complète en trois étapes. Cet Assistant est optimisé pour la connexion d'un poste nomade sur l'internet ayant besoin de se connecter à un réseau local d'entreprise en passant par un routeur VPN. Voici ci-dessous le schéma représentant les différents éléments de notre exemple de connexion VPN : Le poste nomade dispose d'une adresse IP publique Il souhaite accéder au réseau local situé derrière le routeur qui a pour adresse DNS publique routeur.mydomain.com. Dans le réseau local de l'entreprise, le nomade aura pour adresse IP privée Il pourra accéder aux ressources du réseau local, notamment un serveur ayant l'adresse IP privée Note : Les configurations plus complexes du Client VPN ou spécifiques à certains routeurs compatibles sont disponibles sur notre site web. Pour accéder à l'assistant de Configuration, sélectionner le menu 'Configuration > Assistant' Etape 1 sur 3: Choix de l'équipement distant La première étape permet de choisir le type d'équipement utilisé à l'extrêmité du tunnel : Un routeur pour une connexion à l'entreprise Un autre ordinateur pour une connexion peer-2-peer.

35 VPN Configuration Etape 2 sur 3: Paramètres du tunnel VPN La deuxième étape permet de déterminer les caractéristiques du tunnel VPN: L'adresse IP publique ou DNS (coté réseau Internet) du routeur VPN (e.g. routeur. mydomain.com) La preshared key qui sera utilisée pour authentifier l'utilisateur (doit être identique dans le routeur) L'adresse IP du réseau LAN de l'entreprise (e.g. préciser )

36 VPN Configuration Etape 3 sur 3: Synthèse La troisième étape résume tous les paramètres de configuration VPN choisis. Les autres paramètres peuvent être configurés directement depuis le Panneau de Configuration (e.g. Certificats, adresse IP virtuelle, ). A la fermeture de cette troisième étape, la configuration VPN complète apparaît dans l'arborescence du Panneau de Configuration. 6.2 Configuration Tunnel VPN Comment créer un tunnel VPN? Pour créer un tunnel VPN directement depuis le Panneau de Configuration (sans utiliser l'assistant de Configuration), suivre les étapes suivantes: 1. Clic droit sur 'Configuration' dans l'arborescence et sélectionner 'Nouvelle Phase 1' 2. Configurer la Phase d'authentification (Phase 1) 3. Clic droit sur la 'Phase 1' dans l'arborescence et sélectionner 'Ajouter Phase 2' 4. Configurer la Phase IPSec (Phase 2) 5. Cliquer sur le bouton 'Sauver & Appliquer' pour que la nouvelle configuration soit prise en compte. 6. Ouvrir le tunnel directement en cliquant sur le bouton 'Ouvrir le tunnel' (fenêtre 'Phase2') Pour la description des paramêtres voir aussi Phase 1 ou Phase 2.

37 VPN Configuration Multiplicité des Phases 1 et 2 (Authentication et Configuration IPSec) Plusieurs Phases d'authentification (Phase 1) peuvent être configurées. Ceci permet de créer depuis un même poste plusieurs tunnels vers plusieurs routeurs VPN différents. De même, plusieurs Configurations IPSec (Phase 2) peuvent être créées pour une même Phase d'authentification (Phase 1) Fonctionnalités avancées Les fonctionnalités avancées et autres paramètres peuvent être définis pour les Phase1 et Phase2. Ceux définis dans la Phase1 s'appliquent à toutes les Phases 2 de la configuration VPN courante : Activer/Désactiver Config Mode Activer/Désactiver NAT-T Mode Agressif Activer/Désactiver Gateway Secours Sélectionner le mode NAT-T (Forcé, Désactivé ou Automatique) Saisir Login/mot de passe pour X-Auth avec option "Se souvenir du login/mot de passe" Ceux définis dans la Phase2 s'appliquent seulement aux Phases 2 : Mode d'ouverture automatique de tunnel Choisir un script/application à lancer sur ouverture d'un tunnel Configuration manuelle des adresses serveur DNS/WINS 6.3 Authentification ou Phase Qu'est ce que la Phase 1? La page 'Authentification' permet de configurer les différents éléments d'une Phase d'authentification (alias Phase 1 ou Phase de négociation IKE). Le but de la phase 1 est de négocier les règles de sécurité IKE, d'authentifier les correspondants, et de démarrer un tunnel sécurisé entre ces correspondants. Dans la Phase 1, chaque extrémité doit identifier et s'authentifier auprès des autres.

38 VPN Configuration Phase 1 Description des paramètres Nom Interface Identifiant de la Phase d'authentification utilisé uniquement par le logiciel. Ce paramètre n'est, par exemple, pas transmis dans la négociation IKE. Il est possible de modifier le nom d'une Phase à tout moment. Une modification de nom sera reflété dans l'arborescence. Deux phases ne peuvent pas avoir le même nom. Adresse IP de l'interface réseau sur laquelle la connexion VPN s'établit (dans notre exemple : ). Lorsque cette adresse IP n'est pas prédéfinie (c'est le cas par exemple lorsqu'elle est allouée dynamiquement par un FAI), sélectionner l'option " Automatique ". Adresse Router Distant Adresse IP ou adresse DNS du routeur VPN distant (dans notre exemple : routeur.mydomain.com). Ce champ doit être obligatoirement renseigné. Clé partagée Certificats Mot de passe ou clé partagée par le routeur ou le destinataire. Certificat X509 utilisé par le Client VPN (voir Configuration Client VPN avec Certificats)

39 VPN Configuration 34 IKE Chiffrement IKE authentification IKE Groupe de clé Algorithme de chiffrement négocié au cours de la Phase d'authentification (3DES, AES,...) Algorithme d'authentification négocié au cours de la Phase d'authentification (MD5, SHA,...) Longueur de clé Diffie-Hellman. Une fois configurés, cliquer sur 'Sauver & Appliquer' pour que les paramètres soient pris en compte Phase 1 Description des paramètres avancés Config-Mode Si sélectionné, le Client VPN active le Config-Mode. Le Config-Mode permet de recupérer certains éléments de configuration VPN depuis la gateway/routeur. Si le Config-Mode est selectionné et disponible sur la gateway, les paramètres suivants sont négociés entre le Client VPN IPSec et la gateway distante durant la Phase 1 IKE: Adresse IP Virtuelle du Client VPN Adresse du serveur DNS (optionnel) Adresse du serveur WINS (optionnel) Dans le cas où la gateway ne supporte pas le Config-Mode, il est possible de configurer ces adresses IP de serveurs DNS/WINS pour chaque tunnel dans le Client VPN (voir 'P2 avancé').

40 VPN Configuration 35 Aggressive Mode Redund. GW Le Client VPN utilisera le mode agressif pour se connecter au routeur VPN distant. La fonctionnalité de Redundant Gateway (ou gateway de secours) permet au Client VPN TheGreenBow d'ouvrir un tunnel IPSec avec une gateway de secours dans le cas où la gateway primaire est indisponible ou inaccessible. Pour activer la fonction de Gateway de Secours, saisir une adresse IP ou l'url de cette gateway (e.g. router.dyndns.com). Le Client VPN TheGreenBow va essayer de contacter la gateway primaire pour établir un tunnel. Si le tunnel ne peut être établi après plusieurs tentatives (5 par défaut, configurable dans la fenêtre "Paramètres" puis le champ "Retransmissions"), la gateway de secours est utilisée comme nouvelle destination. Le délai entre chaque essais est de 10 sec environ. Dans le cas où la gateway primaire est accessible mais que l'ouverture du tunnel est impossible (e.g. problème de configuration VPN), le Client VPN n'essaye pas d'ouvrir les tunnels avec la gateway de secours. La configuration VPN nécessite des modifications. Dans le cas où le tunnel a été ouvert avec la gateway primaire et que celle-ci supporte le "Dead Peer Detection", le Client VPN essaye immédiatement d'ouvrir le tunnel avec la gateway de secours s'il détecte que la gateway primaire ne répond plus. Le même comportement s'applique pour la gateway de secours. Le Client VPN essayera d'ouvrir le tunnel avec la gateway de secours et primaire jusqu'à ce que l'utilisateur quitte le logiciel ou clique sur "Sauver & Appliquer". Mode NAT-T Le mode NAT-T peut être Forcé, Désactivé ou Automatique. NAT-T "Désactivé" interdit au Client VPN IPSec et à la gateway VPN de passer en mode NAT-Traversal. NAT-T "Automatique" laisse la gateway VPN et le Client VPN IPSec négocier le mode NAT-Traversal. Dans le mode NAT-T "Forcé" le Client VPN IPSec TheGreenBow force NAT-T par l'encapsulation systématique des packets IPSec dans des trames UDP pour résoudre les problèmes de NAT- Traversal dans certains routeurs intermédiaires. Local ID Le 'Local ID' est l'identifiant de la Phase d'authentification (Phase 1) que le Client VPN envoie au routeur VPN distant. Suivant le Type sélectionné, cet identifiant peut être : une adresse IP (type = Adresse IP), e.g un nom de domaine (type = FQDN), e.g. gw.mydomain.net une adresse (type = USER FQDN), e.g. support@thegreenbow.fr une chaîne de caractères (type = KEY ID), e.g Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du Client VPN qui est utilisée par défaut.

41 VPN Configuration 36 Remote ID X-Auth Hybrid Authentication Mode Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir du routeur VPN distant. Suivant le type sélectionné, cet identifiant peut être : une adresse IP (type = Adresse IP), par exemple : un nom de domaine (type = FQDN), par exemple : routeur. mondomaine.com une adresse (type = USER FQDN), par exemple : admin@mydomain.com une chaîne de caractères (type = KEY ID), par exemple : Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN qui est utilisée par défaut. Saisir le Login et mot de passe choisis pour la négociation X-AUTH IPSec. Si "X-Auth popup" est sélectionné, une fenêtre de saisie du login/ mot de passe X-Auth apparaîtra à chaque tentative d'ouverture de tunnel. L'utilisateur à 20 secondes pour saisir les paramètres avant que l'authentification X-Auth n'expire. Si l'authentification X-Auth n'est pas effectuée, le tunnel ne peut pas être ouvert. Le Mode Hybrid est un mode d'authentification simplifié utilisé dans la Phase 1 IKE. L'authentification X-Auth classique s'effectue par identification/ authentification mutuelles entre le Client et la Gateway VPN, basées sur les techniques standard d'échanges de clés publiques. Le Mode Hybrid permet une authentification "asymétrique" qui autorise le Client à utiliser une technique d'authentification plus simple, comme un 'challenge response', aboutissant à une authentification "unidirectionnelle". Hybrid Mode est implémenté dans le Client VPN IPSec TheGreenBow conformément à la RFC 'draft-ietf-ipsec-isakmphybrid-auth-05.txt'. 6.4 IPSec Configuration ou Phase Qu'est ce que la Phase 2? La page de 'Configuration IPSec' permet de configurer les différents paramètres de la Phase IPSec (alias Phase 2). Le but de la phase 2 est de négocier les paramètres de sécurité qui seront appliqués à tout trafic passant par les tunnels VPN négociés pendant la Phase 1.

42 VPN Configuration Phase 2 Description des paramètres Nom Adresse du Client VPN Type d'adresse Identifiant de la Configuration IPSec utilisé uniquement par le logiciel. Ce paramètre n'est pas transmis dans la négociation IPSec. Il est possible de modifier le nom d'une Phase à tout moment. Une modification de nom sera reflétée dans l'arborescence. Deux phases ne peuvent avoir le même nom. Adresse IP source affectée aux trames IPSec avant le tunneling. Cette adresse est utilisée pour définir l'adresse IP "virtuelle" du poste sur le réseau distant, c'est-à-dire, l'adresse avec laquelle le poste sera "vu" sur le réseau distant par les autres machines. Dans notre exemple, cette adresse vaut L'extrémité du tunnel peut être un réseau ou un poste distant. Choisir 'Adresse réseau' pour un réseau. Dans ce cas, les deux paramètres 'Adresse Réseau Distant' et 'Masque Réseau' sont disponibles. Choisir 'Plage d'adresses' pour un réseau avec possibilité de restreindre la plage d'adresses IP sur lesquelles le trafic déclenche l'ouverture du tunnel automatiquement. Choisir 'Adresse Poste' pour un poste distant. Dans ce cas, seul le paramètre 'Poste distant' est disponible.

43 VPN Configuration 38 Adresse Réseau Distant / Adresse Poste Distant Adresse IP distante, ou adresse IP du routeur, qui déclenche l'ouverture du tunnel. Masque réseau Certificat ESP Chiffrement ESP Authentification ESP mode PFS Groupe Ouvrir le tunnel Scripts Masque de réseau (subnet mask) Certificat X509 utilisé par le Client VPN (voir Mise en œuvre des Certificats) Algorithme de chiffrement négocié au cours de la Phase IPSec (3DES, AES,...) Algorithme d'authentification négocié au cours de la Phase IPSec (MD5, SHA,...) Mode d'encapsulation IPSec : Tunnel ou Transport Longueur de clé Diffie-Hellman. Ce bouton permet d'ouvrir manuellement le tunnel. Ce bouton se transforme en 'Fermer le tunnel' dès que le tunnel est ouvert. Des scripts ou applications (e.g. script security admin, Outlook, CRM apps,..) peuvent être configurés, voir 'Configuration des Scripts'. Note: La fonctionnalité "Plage d'adresses" combinée avec la fonctionnalité "Ouverture du tunnel sur trafic" permet d'ouvrir automatiquement un tunnel sur détection de trafic vers l'une des adresses dans la plage d'adresses specifiée. Une fois la configuration terminée, cliquer sur "Sauver et Appliquer" pour que cette configuration soit prise en compte par le Client VPN. Note: De nombreux exemples et guides de configuration, suivant les passerelles/routeurs utilisés, sont disponibles sur notre site web.

44 VPN Configuration Phase 2 Description des paramètres Avancés Mode d'ouverture automatique Config Mode manuel Le Client VPN peut ouvrir un tunnel (Phase2) automatiquement sur événements particuliers: Ouvrir automatiquement le tunnel au démarrage du Client VPN. Comme le Client VPN peut être configuré pour démarrer pendant le boot de la machine (avant le login Windows, voir " Préférences"), cette configuration peut être utilisée pour ouvrir un tunnel vers un serveur sur lequel se connecte le poste avant l'ouverture de Windows, par exemple pour des opérations de maintenance. Ouvrir automatiquement le tunnel sur insertion d'un Stick USB et à condition que ce dernier contienne les éléments de sécurité nécessaires (PreShared Key, Certificats,..). La détection du Stick USB est automatique. Voir Mode USB. Ouvrir automatiquement le tunnel quand le Client VPN détecte du trafic à destination du réseau privé distant spécifié pour ce tunnel. Les adresses IP des serveurs DNS et WINS du réseau LAN distant peuvent être saisies manuellement dans cette fenêtre. Cette option permet de faciliter la résolution d'adresse des serveurs d'entreprise. Les adresses sont prises en compte dès que le tunnel est ouvert et aussi longtemps qu'il le reste Configuration des Scripts Des scripts ou applications peuvent être configurés dans la fenêtre de 'Configuration de Scripts'. Cette fenêtre est accessible par le bouton 'Scripts' dans la Phase 2.

45 VPN Configuration 40 Des scripts ou applications peuvent être activés pour chaque étape d'un processus d'ouverture et de fermeture d'un tunnel VPN: avant l'ouverture d'un tunnel après l'ouverture d'un tunnel avant la fermeture d'un tunnel après la fermeture d'un tunnel Cette fonctionnalité permet d'exécuter des scripts (batch, scripts, applications, ) à chaque étape, par exemple, pour se connecter directement sur le serveur intranet de l'entreprise, pour vérifier l'installation d'une mise à jour, pour vérifier la disponibilité d'une base de données avant le lancement d'une application de backup, pour vérifier qu'un logiciel est démarré,... Elle permet également de modifier la configuration réseau avant ou après l'ouverture du tunnel, et de la restaurer à la fermeture. 6.5 Paramètres Globaux Description des paramètres Globaux La fenêtre 'Paramètres' permet de configurer différents paramètres partagés par toutes les phases 1 et 2 définies dans la configuration.

46 VPN Configuration 41 Lifetime (sec.) IKE durée par défaut Temps maximum autorisé pour l'authentification IKE. IKE durée minimale IKE durée maximale IPSec durée par défaut Temps maximum autorisé pour l'authentification IKE: valeur minimale négociée. Temps maximum autorisé pour l'authentification IKE : valeur maximale négociée. Temps maximum autorisé pour la négociation IPSec. IPSec durée minimale Temps maximum autorisé pour la négociation IPSec : valeur minimale négociée. IPSec durée maximale Temps maximum autorisé pour la négociation IPSec : valeur maximale négociée.

47 VPN Configuration 42 Dead Peer Detection (DPD) Le Dead Peer Detection (DPD) est une extension IKE (RFC3706) utilisée pour la détection d'inactivité d'une extrêmité du tunnel. Le Client VPN IPSec TheGreenBow utilise le DPD pour : Fermer les tunnels ouverts lorsque la gateway distante est détectée comme inactive Redémarrer les négociations IKE avec la gateway de secours si cette fonction est activée dans les paramètres avancés de Phase 1. Période de vérification Interval entre messages DPD. (sec.) Nombre d'essais Nombre de messages DPD envoyés. Durée entre essais (sec.) Intervalle entre les messages DPD quand aucune réponse n'est reçue de la gateway distante. Autres Retransmission Temps de retransmission des échanges en cas de non-réponse. Echange temps max. Bloquer flux non chiffrés IKE Port Temps maximum d'attente d'un échange avant l'abandon de la négociation Lorsque cette option est cochée, seul le trafic chiffré à partir du poste client sera autorisé. L'utilisateur peut changer le numéro de port pour la négociation IKE. Les échanges s'effectuent toujours sur UDP mais le cas échéant sur un autre port que le port 500. Ceci permet d'autoriser le passage du trafic VPN au travers de Firewalls n'autorisant pas le port 500. Note : La gateway du réseau distant doit supporter ce dispositif. Une fois que les paramètres sont modifiés, cliquer sur 'Sauver et Appliquer' pour sauver et prendre en compte la nouvelle Configuration VPN. 6.6 Gestion des Tunnels VPN Comment visualiser les tunnels VPN ouverts? La fenêtre 'Tunnels' permet de gérer les tunnels en cours : visualisation et fermeture. Pour fermer un tunnel, le sélectionner dans la liste des tunnels en cours et cliquer sur le bouton "Fermer le tunnel". Le bouton "Panneau des Connexions" donne un accès immédiat à ce Panneau.

48 VPN Configuration Mode USB Qu'est ce que le Mode USB? Le Client VPN TheGreenBow offre la possibilité de protéger les configurations VPN et les éléments de sécurité VPN (e.g. clé partagée, Certificats, ) sur une clé USB. Si le "Mode USB" est sélectionné, les configurations VPN et les éléments de sécurité VPN contenus dans le fichier de configuration sont stockés sur la clé USB la première fois qu'elle est insérée. Une fois la clé USB configurée, il suffit de l'insérer/extraire pour ouvrir/fermer automatiquement les tunnels configurés Comment activer le Mode USB? Pour activer le Mode USB, il suffit de modifier la localisation du fichier de configuration Sélectionner menu Fichier > Mode de Configuration VPN Sélectionner le mode "Clé USB"

49 VPN Configuration 44 Note: Si la clé USB est déjà insérée, le disque associé (e.g. "F:") sera reconnu automatiquement s'il contient la configuration VPN. Il n'est pas nécessaire d'insérer la clé USB pendant cette étape. Si la clé USB n'est pas insérée, une fenêtre popup avertit l'utilisateur. Une fois le mode "USB" activé, la zone "Clé USB" (barre de status) indique : Un icône bleu quand la clé USB est insérée: Un icône grisé quand aucune clé USB n'est pas insérée : Comment activer un Stick USB? Une clé USB est activée lorsqu'elle contient une Configuration VPN. En insérant une nouvelle clé USB, le Client VPN IPSec propose d'activer automatiquement la nouvelle clé USB avec les options suivantes: Copier la configurations VPN sur la clé USB: Le Client VPN copie les informations VPN sur la clé USB et laisse une copie sur l'ordinateur. Cette fonction est utilisée par les Responsables Informatiques pour activer rapidement de multiples clés USB pour de multiples utilisateurs. Déplacer la configuration VPN sur la clé USB: Le Client VPN copie les informations VPN sur la clé USB et supprime toute trace de configuration VPN sur la machine.

50 VPN Configuration Comment ouvrir automatiquement les tunnels sur insertion du Stick USB? Chaque tunnel peut être configuré individuellement: Sélectionner 'IPSec Configuration' (Phase 2) de l'un des tunnels par un clic dans la fenêtre d'arborescence Sélectionner 'P2 Avancé...' Sélectionner le mode "Ouvrir automatiquement ce tunnel lorsqu'une clé USB est insérée" 6.8 Gestion des Certificats Introduction Le Client VPN TheGreenBow utilise des Certificats X509 à partir de fichiers au format PEM, PKCS#12 ou à partir de SmartCard. Note : Le client Client VPN IPSec TheGreenBow ne permet pas de créer des Certificats. Les Certificats doivent être créés (et stockés sur carte à puce) par un logiciel tiers. Des documents complémentaires de support sont disponibles sur notre site web : 'How to generate Certificates' ou 'How to convert Certificate formats'. Pour utiliser un Certificat avec le Client VPN IPSec, vous devez disposer des éléments suivants: le Certificat racine le Certificat utilisateur la clé privée du Certificat utilisateur Les Certificats X509 sont utilisés pendant la Phase 1. Note: Les Certificats peuvent être embarqués dans le fichier de configuration VPN à importer. Lorsqu'il est importé, ils sont automatiquement copiés sur le support de configuration (local, USB). Inversement, ils sont automatiquement intégrés au fichier exporté.

51 VPN Configuration Comment configurer le Client VPN IPSec avec Certificats PKCS#12? Les Certificats PKCS#12 sont supportés par de nombreuses gateways. Le Client VPN IPSec TheGreenBow peut importer les Certificats PKCS#12 dans la configuration VPN, directement depuis le Panneau de Configuration. Un Certificat PKCS#12 peut être défini par tunnel. Par conséquent, il est possible de se connecter à plusieurs gateways qui n'utilisent pas la même PKI. Les étapes pour configurer le Client VPN IPSec avec les Certificats PKCS#12 sont les suivantes : Etape 1: Sélectionner le bouton 'Certificat' de la fenêtre 'Phase 1', puis cliquer sur le bouton 'Import des Certificats'. Etape 2: Sélectionner 'Certificat d'un fichier PKCS12' dans la liste et cliquer sur 'Importer..'. Etape 3: Sélectionner le Certificat PKCS#12 que vous voulez importer. Si le Certificat PKCS#12 est protégé, entrer le mot de passe dans la fenêtre affichée automatiquement. Une fois que le Certificat est correctement importé, son sujet est automatiquement renseigné dans les champs Certificats dans le haut de la fenêtre 'Import des Certificats'. De plus, Les icônes clé identifient la présence d'un Certificat déjà configuré (Certificat racine, Certificat d'utilisateur, clef privée) comme montré ci-dessous.

52 VPN Configuration 47 Etape 4: Pour sauver le Certificat PKCS12' dans la configuration VPN cliquer sur 'Sauver et Appliquer'. Note : Une fois que le Certificat est importé, son sujet est automatiquement utilisé comme paramètre Local ID dans la Phase1 associée, comme indiqué dans la fenêtre P1 Paramètres Avancés : Comment configurer le Client VPN IPSec avec Certificats PEM? Le Client VPN IPSec TheGreenBow peut importer les Certificats PEM dans la configuration VPN, directement depuis le Panneau de Configuration. Un Certificat PEM peut être défini par tunnel. Par conséquent, il est possible de se connecter à plusieurs gateways qui n'utilisent pas la même PKI. Les étapes pour configurer le Client VPN IPSec avec les Certificats PEM sont les suivantes : Etape 1: Sélectionner le bouton 'Certificat' de la fenêtre 'Phase 1', puis cliquer sur le bouton 'Import des Certificats'. Etape 2: Sélectionner 'Certificat d'un fichier PEM' dans la liste et cliquer sur 'Importer..'. Etape 3: Importer le Certificat de racine, le User Certificat et la clef privée en cliquant sur le bouton associé. Lorsque que le Certificat est correctement importé, le sujet est automatiquement renseigné dans les champs Certificats dans le haut de la fenêtre 'Import des Certificats..'.

53 VPN Configuration 48 Etape 4: Pour sauver le Certificat PEM' dans la configuration VPN cliquer sur 'Sauver et Appliquer'. Note : Une fois que le Certificat est importé, son sujet est automatiquement utilisé comme paramètre Local ID dans la Phase1 associée, comme indiqué dans la fenêtre P1 Paramètres Avancés : Note : Le fichier PEM contenant la clé privée ne doit pas être chiffré ou protégé par un mot de passe Gestion Carte à Puce et Token Comment configurer un tunnel avec le Certificat d'une SmartCard Le Client VPN IPSec TheGreenBow peut lire des Certificats sur Carte à Puce (SmartCard). Ces Cartes à Puce peuvent être employées pour embarquer les Certificats X509 avec protection par PIN Code.

54 VPN Configuration 49 Les étapes pour configurer un tunnel avec un Certificat sur Carte à Puce sont les suivantes : Etape 1: Sélectionner le bouton 'Certificat' de la fenêtre 'Phase 1', puis cliquer sur le bouton 'Import des Certificats'. Etape 2: Sélectionner 'Certificat sur Carte à Puce' dans la liste et cliquer sur 'Importer..'. La partie basse de la fenêtre montre une liste de Lecteur de Carte à Puce (i.e. Card Reader). Etape 3: Choisir le lecteur de Carte à Puce que vous voulez utiliser. Le processus d'identification du lecteur de Carte à Puce commence et un 'PIN' code peut être exigé. Le cas échéant, entrer votre 'PIN' code de Carte à Puce et cliquer 'OK'.

55 VPN Configuration 50 Les informations concernant le lecteur et la Carte à Puce sont automatiquement affichées dans la zone située en dessous de la liste des lecteurs, les sujets des certificats lus sont automatiquement renseignés dans les champs Certificats en haut de la fenêtre 'Import des Certificats..' : Etape 4: Pour sauver les informations concernant le Lecteur de Carte à Puce dans la configuration VPN cliquer sur 'Sauver et Appliquer'.

56 VPN Configuration Comment utiliser un tunnel avec le Certificat d'une SmartCard Quand un tunnel est configuré pour utiliser les certificats d'une Carte à Puce, le 'PIN' code de la Carte à Puce est demandé à l'utilisateur chaque fois que le tunnel doit être ouvert (excepté sur les re-négociations VPN automatiques). Ainsi, pour ouvrir un tunnel avec des certificats d'une Carte à Puce, il est obligatoire d'avoir : 1. Le lecteur de Carte à Puce correctement installé et configuré dans le Client VPN IPSec 2. Une Carte a Puce lisible insérée dans le lecteur de Carte à Puce 3. Le 'PIN' code de la Carte à Puce. Chaque problème d'utilisation de la Carte à Puce est identifié dans la console du Client VPN IPSec. Voir le chapitre 'SmartCard Troubleshooting' ci-dessous SmartCard Troubleshooting L'utilisation de Carte à Puce nécessite la configuration du lecteur de Carte à Puce. Les problèmes de configuration éventuels sont les suivants : Problème de Configuration Carte à Puce Message affiché dans la fenêtre "Import des Certificats" Aucun lecteur de Carte à Puce n'a été Aucune carte à puce trouvée. trouvé. L'absence de lecteur de Carte à Puce vient No ATR probablement de l'absence du middleware ATR inconnu : cette carte à puce n'est pas associé. La procédure pour ajouter le supportée. middleware du lecteur à la configuration est indiquée de la façon suivante : Le middleware PKCS#11 pour cette carte à puce n'est pas trouvé. Vous pouvez spécifier un middleware PKCS#11 via la commande en ligne : Vpnconf.exe /addmiddleware:path_to_the_dll La Carte à Puce ne peut être lue ATR = 3B:7B:18:00:00:00:31:C0:64:77:E3:03:00:82:90 :00 Utilise IDOne Lite PKCS#11 middleware trouvé. Erreur 0x Le PIN Code est erroné ATR = 3B:7B:18:00:00:00:31:C0:64:77:E3:03:00:82:90 :00 Utilise IDOne Lite PKCS#11 middleware trouvé. PIN code erroné. Aucun certificat n'a été trouvé sur la Carte àatr = Puce 3B:7B:18:00:00:00:31:C0:64:77:E3:03:00:82:90 :00 Utilise IDOne Lite PKCS#11 middleware trouvé. Aucune configuration ni certificat n'ont été trouvés sur la carte à puce. Les utilisateurs peuvent rencontrer des problèmes en utilisant un tunnel qui nécessite un Certificat sur une Carte à Puce. Dans ce cas, les messages d'erreur sont affichés dans la Console. Problème d'utilisation Carte à Puce Aucun lecteur de Carte à Puce n'a été trouvé. Le PIN Code est erroné Message affiché dans la Console. Missing SmartCard Reader Wrong PIN code

57 VPN Configuration 52 Aucun certificat n'a été trouvé sur la Carte àempty or unreadable SmartCard Puce ou la Carte à Puce est illisible 6.9 Gestion des Configurations VPN Comment Importer ou Exporter une configuration VPN? Le Client VPN permet d'importer ou d'exporter une configuration VPN. Cette fonctionnalité permet de pré-configurer un fichier de configuration, par exemple avant de le diffuser dans le cadre d'un déploiement du logiciel, ou dans le cadre d'une mise à jour des configurations d'un parc installé. Pour importer un fichier de configuration, sélectionner le menu "Fichier > Importer". Pour exporter un fichier de configuration, sélectionner le menu "Fichier > Exporter". Les fichiers de Configuration importés / exportés portent par défaut l'extension ".tgb". Une Configuration VPN incluant les Certificats peut être protégée par mot de passe lors d'une importation ou une exportation. Quand l'utilisateur veut exporter une configuration, une fenêtre s'ouvre automatiquement pour demander si la Configuration VPN exportée doit être protégée par mot de passe ou pas. Lorsqu'une configuration VPN protégée par un mot de passe est importée, le mot de passe est demandé automatiquement à l'utilisateur. (l'importation d'une Configuration VPN non protégée se fait directement). Note: Import/Export en 'Mode USB' Lorsque le Client VPN est configuré en mode USB et qu'une clé USB VPN est insérée, l'importation d'une configuration est faite directement sur la clé USB. Les fonctions d'import/export ne sont pas valides lorsque le Client VPN est en mode USB, sans clé USB insérée (icône USB en bas à gauche grisé). Note: Le Client VPN TheGreenBow peut aussi importer un fichier de configuration spécifique via une ligne de commande

58 VPN Configuration Embarquer une Configuration VPN dans le Setup du Client VPN Une configuration VPN (préparée à l'avance) peut être incluse dans le Setup du Client VPN IPSec. L'inclusion de la configuration VPN dans le Setup permet au Responsable Informatique de déployer un Client VPN pré-configuré dans un package simple Configuration VPN par défaut L'installation du Client VPN IPSec inclut une configuration VPN dite par défaut. Cette configuration VPN par défaut permet d'ouvrir un tunnel vers le serveur TheGreenBow de démonstration dès que le logiciel Client VPN IPSec est installé. Cette fonctionnalité est particulièrement utile pour vérifier si un tunnel peut être ouvert à partir d'un ordinateur vers un réseau distant Documents de support complémentaires Plusieurs Guides de Configuration, correspondant à tous les Routeurs VPN que nous supportons, sont disponibles sur notre site web.

59 Section VII Déploiement

60 Déploiement 55 7 Déploiement 7.1 Configuration VPN embarquée Une configuration VPN (extension '.tgb') embarquée dans le Setup du Client VPN IPSec (voir la description 'Deployment Guide' sur notre site web) est automatiquement importée et appliquée par le Client VPN IPSec pendant l'installation du logiciel. Le processus pour créer une installation avec une configuration de VPN embarquée est le suivant : 1. Créer la configuration VPN qui doit être embarquée dans le Setup. Cette étape doit être exécutée avec un Client VPN précédemment installé, duquel la configuration VPN est exportée et nommée par exemple 'myconfig.tgb'. 2. Créer une installation silencieuse, ou décompresser le setup du Client VPN IPSec. 3. Ajouter la configuration VPN 'myconfig.tgb' dans le répertoire du Setup. 4. Déployer le package aux utilisateurs (la configuration VPN 'myconfig.tgb' sera automatiquement importée et appliquée pendant l'installation) Note importante : Le Setup ne peut pas importer et appliquer une configuration VPN protégée par mot de passe. 7.2 Options du Setup Introduction des Options du Setup Plusieurs options sont disponibles avec le Setup du Client VPN IPSec. 1. Configuration de l'interface Utilisateur : 'full', 'user' ou 'hidden'. 2. Contrôle d'accès à l'interface Utilisateur par mot de passe. 3. Configuration des items du menu en barre des tâches. 4. Configuration de l' d'activation, du numéro de licence, du mode de démarrage du logiciel Option Setup pour l'interface Utilisateur Syntaxe : --vpngui=full user hidden permet de définir l'aspect de l'interface Utilisateur quand le Client VPN IPSec demarre. 'full' : [Défaut] le Panneau de Configuration est affiché. 'user' : Le Panneau de connexion est affiché. 'hidden' : Le Panneau de Configuration VPN et le Panneau de Connexion ne sont pas affichés. Seul le menu en barre des tâches est accessible. Les tunnels peuvent être ouverts depuis ce menu. Remarque : --vpngui=hidden est équivalent à l'option --hide=yes. Cette option peut encore être utilisée (maintenue pour des raisons de compatibilité) Option Setup pour control d'accès à l'interface Utilisateur Syntaxe : --password=mypwd Permet de protéger l'accès à l'interface Utilisateur par un mot de passe. Le mot de passe sera demandé à l'utilisateur : Quand il clique ou double-clique sur l'icône Client VPN en barre des tâches. Quand il veut passer du Panneau de Connexion au Panneau de Configuration.

61 Déploiement 56 Exemple : --vpngui=user --password=admin01 Ces 2 options permettent de restreindre l'usage du Client VPN au Panneau de Connexion. L'accès au Panneau de Configuration est quant à lui protégé par le mot de passe Option Setup pour les items du menu en barre de tâches Syntaxe : --menuitem=[0 15] Permet d'indiquer les items du menu en barre des tâches que le Responsable Informatique veut conserver. La valeur est un champ de bits : 1 = 'Quitter', 2 = 'Panneau de Connexion', 4 = 'Console', 8 = 'Sauver et Appliquer'. Exemple : --menuitem=5 configurera un menu en barre des tâches avec les items : ' Quitter' + 'Console'. Note 1 : Les tunnels configurés sont toujours affichés dans le menu en barre des tâches, et peuvent toujours être ouverts et fermés depuis ce menu. Note 2 : 'menuitem' et 'vpngui=hidden'. Par défaut, 'vpngui=hidden' (ou 'hide=yes') limite le menu en barre des tâches à Quitter + Console. Les items 'Sauver et Appliquer' et le 'Panneau de Connexion' ne sont pas visibles. Cependant, l'utilisation du 'menuitem' est prioritaire sur 'vpngui'. Ce qui signifie que : --vpngui=hidden --menuitem=1 configure un menu en barre des tâches avec le seul item 'Quitter' Autres Options de Setup Les autres lignes de commande pour le Setup sont : Syntaxe : -s Permet d'installer en mode silencieux. Syntaxe : --licence=[licence_number]

62 Déploiement 57 Permet de configurer le Numéro de Licence. Le Numéro de Licence est un ensemble de 24 caractères hexadécimaux. Syntaxe : --start=[logon boot manual] Permet de configurer le mode de démarrage du Client VPN IPSec : après le Logon Windows, pendant le boot, ou manuel. [Logon] est configuré par défaut. Syntaxe : --activmail=[activation_ ] Permet de forcer l' utilisé pour la confirmation d'activation. Pendant le processus d'activation, la boîte de dialogue utilisée pour saisir cet sera grisée. Attention : Toutes les options ci-dessus ne peuvent être utilisées qu'avec l'option '-s' (mode silencieux). Exemple : Setup s --licence= abcdef start=boot --activmail=smith@smith.com 7.3 Outils ligne de commande Plusieurs outils de configuration sont disponibles sur notre site web. Ces outils sont de type ligne de commande, et sont utilisés par les Responsables Informatiques pour adapter le comportement du Client VPN IPSec à leurs besoins. Arrêter le Client VPN Importer ou exporter une Configuration VPN Stopper le Client VPN: option "/stop" Le Client VPN TheGreenBow peut être arrêté à tout moment par la ligne de commande : " [path]\vpnconf.exe /stop " où [path] est le répertoire d'installation du Client VPN. Les tunnels éventuellement ouverts sont automatiquement fermés. Cette fonctionnalité permet de mettre en oeuvre le Client VPN dans un script, qui ouvre le Client VPN au moment de la connexion au réseau, et le ferme au moment de la déconnexion Importer ou exporter une Configuration VPN Le Client VPN TheGreenBow peut importer un fichier de configuration spécifique par la ligne de commande: '[path]\vpnconf.exe /import:[file.tgb]' où [path] est le répertoire d'installation du Client VPN IPSec, et [file.tgb] est le fichier de Configuration VPN. '/import:' peut être utilisé alors que le Client VPN IPSec est lancé ou pas. Quand le Client VPN IPSec est lancé, il importe la nouvelle configuration VPN et l'applique automatiquement (i.e. redémarre le service IKE). Si le Client VPN n'est pas lancé, il l'est alors avec la nouvelle configuration. '/importonce:' permet d'importer un fichier de configuration VPN sans démarrer le Client VPN. Cette commande est particulièrement utile avec des scripts d'installation. Elle permet de démarrer une installation silencieuse et d'importer une configuration VPN automatiquement. '/export:' exporte la configuration VPN courante (incluant les Certificats) dans le fichier spécifié. Cette commande démarre le Client VPN s'il ne l'est pas déjà. Cette commande ne gère pas les chemins relatifs (e.g. '..\..\file.tgb').

63 Déploiement 58 '/exportonce:' exporte la configuration VPN courante (incluant les Certificats) dans le fichier spécifié. Cette commande ne démarre pas le Client VPN. Les 4 arguments 'import', 'importonce', 'export' et 'exportonce' sont exclusifs et ne peuvent être utilisés ensembles.

64 Section VIII Console et Traces

65 Console et Traces 60 8 Console et Traces 8.1 Description des fonctions La 'Console' est l'outil d'analyse des connexions VPN du Client VPN. Elle est accessible soit depuis le menu en barre des tâches, soit depuis le bouton 'Console' du Panneau de Configuration. Cet outil s'adresse plus particulièrement à des experts réseau. Fonctions Start / Stop Effacer Sauver Options Description Démarrage / Arrêt de la trace Effacer le contenu de la fenêtre de trace Sauvegarde des traces courantes dans un fichier Liste de filtres de traces

66 Console et Traces Description des filtres Filtres Nom Description Misc Misc Traces liées à la lecture de la configuration et au dump de certains messages de bas niveau Trpt Transport Traces liées au mode de transport UDP de IKE (peu utiles) Mesg Message Traces liées au décodage IKE Cryp Crypto Traces et dump des éléments cryptographiques IKE échangés Timr Timer Traces liées aux timers SDep Sysdep Traces liées à l'interface IKE vers/de IPSec SA SA Traces liées à la gestion des S. A. par IKE Exch Exchange Traces liées directement au protocole IKE (très utiles) Negt Negotiation Traces liées à la négociation Phase 1 et Phase 2 Plcy Policy Non utilisée dans cette version All All Applique le niveau de trace à tous les sous-systèmes Pour résoudre des problèmes de configuration, le niveau de filtre 0 est très suffisant.