SIG. Routeur IP Serveur ou client VPN Serveur RAS. NOTICE D'UTILISATION Document référence :

Transcription

1 SIG Routeur IP Serveur ou client VPN Serveur RAS NOTICE D'UTILISATION Document référence :

2 Le routeur de type SIG est fabriqué par ETIC TELECOM 13 Chemin du vieux chêne MEYLAN FRANCE En cas de difficulté dans la mise en oeuvre du produit, vous pouvez vous adresser à votre revendeur, ou bien contacter notre service support : TEL : + (33) (0) FAX : + (33) (0) hotline@etictelecom.com web :

3 SOMMAIRE PRESENTATION 1 DECLARATION DE CONFORMITE FICHE TECHNIQUE PRESENTATION Présentation d ensemble Tunnels VPN de type TLS et IPSec Firewall Télémaintenance Autres fonctions INSTALLATION 1 DESCRIPTION DU PRODUIT PRECAUTIONS D INSTALLATION INTERFACES ETHERNET MISE EN SERVICE 1 CONNEXION DU PC EN VUE DE LA CONFIGURATION Introduction Première configuration Modifications ultérieures de la configuration REDEMARRAGE APRES MODIFICATION DE CERTAINS PARAMETRES RETROUVER L ADRESSE IP DU ROUTEUR PROTECTION DE L ACCES AU SERVEUR D ADMINISTRATION CONFIGURATION IP DE L INTERFACE LOCALE (ETHERNET 1) /.. Routeur ref. SIG Notice d utilisation ref Page 3

4 SOMMAIRE (suite) MISE EN SERVICE 8 CONFIGURATION DE L INTERFACE WAN (ETHERNET 4) Mode «Routeur» Mode «Bridge» INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS Mise en œuvre de connexions IPSec Mise en œuvre de connexions TLS Ajouter un certificat CONFIGURATION DE ROUTES STATIQUES CONNEXION DES UTILISATEURS DISTANTS Présentation Paramétrage de la connexion VPN Paramétrage de la liste d utilisateurs Utilisation du logiciel M2Me_Secure PARAMETRAGE DU PARE-FEU Présentation Filtres d utilisateurs Composer un «filtre utilisateurs» PORTAIL WEB CONFIGURATION DU SERVEUR DNS /.. Page 4 Notice d utilisation ref Routeur ref. SIG

5 SOMMAIRE MAINTENANCE 1 SAUVEGARDE ET CHARGEMENT D UN FICHIER DE PARAMETRES MENU DIAGNOSTIC MISE A JOUR DU FIRMWARE Annexe 1 : Annexe 2 : Annexe 3 : Annexe 4 : Arborescence du serveur d administration Créer une connexion distante PPP sous Windows XP Créer une connexion sécurisée PPTP sous Windows XP Modifier une connexion ethernet TCP/IP sous Windows XP Routeur ref. SIG Notice d utilisation ref Page 5

6 PRESENTATION 1 Déclaration de conformité Identification du produit : Référence : Routeur-firewall VPN SIG Au nom de la société ETIC Telecom, Gilles Benas agissant en tant que directeur de la qualité, déclare que le produit ci-dessus est conforme à la directive R&TTE Directive (1999/5/EC). Le produit routeur est en particulier conforme aux normes suivantes : Compatibilité : EN EN EN FCC Part 15 Sécurité : EN UL (IEC950) Substance dangereuses : 2002/95/CE (RoHS) Date : 5 Octobre 2007 Gilles Benas Responsable de la qualité Routeur ref. SIG Notice d utilisation ref Page 6

7 PRESENTATION 2 Fiche technique Caractéristiques générales Dimensions 44 x 425 x 230 mm (h, l, p) EMI EN Sécurité électrique EN UL 1950 ESD : EN : Décharge 6 KV CEM Champ HF : EN : 10V/m < 2 GHz Transitoires : EN Choc : EN : 4KV line / earth Substances dangereuses 2002/95/CE (RoHS) Tension d alimentation Consommation VAC 50/60Hz - 60 W T d utilisation 0 C / + 40 C Humidité 5 à 95 % Connexion Internet ( sur Interface Ethernet 4) Mode bridge : PPPo Ethernet Connexion Internet Mode routeur Ethernet / routage IP BT à détection de débit 10 ou 100 Mb/s et de câble croisé Ethernet Port Ethernet 1 : 1 port Ethernet pour la connexion au réseau local Port Ethernet 4 : 1 port Ethernet pour la connexion à Internet Routeur Connexions distantes - Routes statiques - RIP V2 Translation Translation source (NAT) DNS Gestion de nom de domaine DHCP DHCP serveur IP fixe sur l interface réseau local (Ethernet 1) Routeur ref. SIG Notice d utilisation ref Page 7

8 PRESENTATION Sécurité VPN Firewall Logs Client ou serveur IPSEC ou TLS/SSL 128 VPN simultanés cryptage AES256 ou 3DES Gestion de certificat X509 Stateful packet inspection (50 règles) Filtrage des utilisateurs Event logs (date and time) Serveur d accès distant (RAS) Utilisateurs distants Connexion M2Me Liste de 25 utilisateurs Sécurisée par VPN PPTP / L2TP-IPSec / TLS Open VPN Contrôle de Login et mot de passe Contrôle de certificat X509 Compatible du logiciel client VPN M2Me_Secure et Open VPN Page 8 Notice d utilisation ref Routeur ref. SIG

9 PRESENTATION 3 Présentation 3.1 Présentation d ensemble Le routeur SIG est un serveur VPN et un routeur IP. Il permet l établissement de 128 VPN simultanés clients ou serveurs avec un débit global de 30 Mb/s environ. Il permet de réaliser des systèmes de télécontrôle entre un réseau de supervision et des équipements distants (systèmes mobiles, automatismes, équipements de mesure...). Le routeur SIG constitue également un point d accès sécurisé (serveur RAS) pour la télémaintenance des équipements raccordés au système. Le routeur SIG présente deux interfaces Ethernet 10/100 BT : Le port Ethernet 1 Il est appelé interface réseau local ou, en raccourci, interface LAN dans la suite du texte. Il permet le raccordement des équipements du réseau local. Le port Ethernet 4 Il est appelé Interface WAN dans la suite du texte. Les VPN peuvent être établis uniquement sur cette interface. Routeur ref. SIG Notice d utilisation ref Page 9

10 PRESENTATION Cette interface peut être reliée à l Internet via un routeur tel qu un routeur ADSL ou SDSL ou d un autre type. 3.2 Tunnels VPN de type TLS et IPSec Authentification et cryptage Grâce à la technique du VPN, chaque routeur établit une connexion avec un autre routeur après l avoir authentifié à l aide d une clé secrète. Toute autre connexion est rejetée. De plus, pour la discrétion, les données sont cryptées. interconnexion transparente des réseaux Etabli entre deux routeurs, le VPN assure l interconnexion transparente des deux réseaux en sorte que toute machine de l un des réseaux peut communiquer avec une machine de l autre réseau. 3.3 Firewall Le routeur SIG dispose d un firewall «SPI» qui inspecte les paquets en permanence. Il permet de rejeter les tentatives de connexions hormis les connexions VPN déclarées, les connexions d utilisateurs distants déclarées (RAS), De plus, le domaine d adresses IP accessibles aux utilisateurs distants peut être limité. 3.4 Télémaintenance Le routeur SIG fait également fonction de serveur d accès distant permettant à un groupe d utilisateurs distants et authentifiés d accéder aux machines connectés au routeur SIG avec des droits maîtrisés, par exemple pour la télémaintenance. 3.5 Autres fonctions SNMP Le routeur SIG est agent SNMP; il répond à la MIB2 standard et transmet un trap SNMP lorsque des événements paramétrables surviennent. Page 10 Notice d utilisation ref Routeur ref. SIG

11 PRESENTATION DNS et DynDNS Le système DNS permet au routeur SIG d établir une connexion avec un autre routeur en utilisant un nom de domaine (DNS) ou un nom de domaine dynamique (DynDNS) plutôt que par son adresse IP. Configuration Html Le routeur SIG se configure au moyen d un navigateur HTML Le fichier de configuration peut être sauvegardé. EticFinder Le logiciel ETICFinder livré avec le routeur ; il permet de détecter simplement tous les produits de marque ETIC connectés à un segment Ethernet pour afficher leur adresse MAC ainsi que l adresse IP qui leur est attribuée sur le réseau. Routeur ref. SIG Notice d utilisation ref Page 11

12

13 INSTALLATION 1 Description du produit Routeur SIG Note Importante : Hormis les interfaces Ethernet 1 et 4 repérées ci-dessus, le produit comporte d autres interfaces (Ethernet, série, video, clavier) ; il est conseillé de ne pas les utiliser. Interface Voyant Fonction Ethernet 1 DATA Echange de données sur l interface Ethernet LINK Interface Ethernet connecté Ethernet 4 DATA Echange de données sur l interface Ethernet LINK Interface Ethernet connecté Equipement sous tension Routeur ref. SIG Notice d utilisation ref Page 13

14 INSTALLATION Connecteurs «Ethernet 1» et «Ethernet 4» RJ45 Ethernet 10 / 100 BT Broche Signal Fonction 1 Tx + Emission polarité + 2 Tx - Emission polarité - 3 Rx + Réception polarité + 4 N.C - 5 N.C - 6 Rx - Réception polarité - 7 N.C. - 8 N.C. - 2 Précautions d installation Ventilation Le produit est conçu pour être fixé dans une baie 19 pouces. Il est équipé d un ventilateur. Pour éviter tout échauffement, en particulier lorsque la température ambiante peut s élever dans l armoire électrique, on veillera à ménager un espace de 3 cm de chaque côté du produit pour faciliter l écoulement de la chaleur. Alimentation La tension minimale d alimentation est 110 VAC. La tension maximale d alimentation est 240 VAC. Fréquence 50 ou 60 Hz. 3 Interfaces Ethernet L interface Ethernet N 1 permet la connexion du routeur à un réseau local. C est en particulier à cette interface qu on connectera le PC en vue de la configuration. L interface Ethernet N 4 permet la connexion du routeur à un Intranet ou à l Internet; les VPN (clients ou serveurs) peuvent seulement être établis sur cette interface. Les interfaces 2 et 3 ne sont pas utilisables. Les interfaces Ethernet sont à reconnaissance automatique du débit 10 ou 100 Mb/s et de croisement de circuits. On peut donc utiliser indifféremment des câbles croisés ou non croisés. Page 14 Notice d utilisation ref Routeur ref. SIG

15 INSTALLATION. Routeur ref. SIG Notice d utilisation ref Page 15

16

17 MISE EN SERVICE 1 Connexion du PC en vue de la configuration 3.1 Introduction Le routeur se configure au moyen d un PC équipé d un navigateur HTML. Aucun logiciel complémentaire n est nécessaire. Navigateur HTML L utilisation de Internet explorer 8 est conseillée. Première configuration : La première configuration s effectue en connectant le PC directement au connecteur Ethernet 1 du routeur (Interface LAN). A la livraison, l adresse IP attribuée à cette interface est Modification de la configuration : Les modifications ultérieures peuvent être effectuées par le réseau local (Interface 1) ou bien à distance à travers Internet ou l intranet en utilisant une connexion distante sur Interface WAN (Interface 4). Protection d accès au serveur d administration : S il est impossible d accéder au serveur d administration, c est probablement que l accès en a été limité pour des raisons de sécurité ou pour d autres raisons. Voir aussi paragraphe «Droits d administration». Perte de l adresse IP Au cas où l adresse IP attribuée au routeur ne serait pas connue, on utilisera l utilitaire ETIC FINDER pour la retrouver. Protection d accès au serveur d administration : Si vous ne parvenez pas à accéder au serveur d administration, c est probablement que l accès en a été limité pour des raisons de sécurité ou pour d autres raisons. Voir paragraphe 5 : perte de l adresse IP du serveur d administration. Voir aussi paragraphe : Droits d administration Caractères Seuls les caractères de l alphabet plus la virgule, le point virgule, le tiret et les chiffres doivent être utilisés. Les caractères accentués ne doivent pas être utilisés. Routeur ref. SIG Notice d utilisation ref Page 17

18 MISE EN SERVICE «Copier / coller» : Les paramètres doivent être de préférence saisis au clavier et pas «collés». Cependant, si on procède par «copier / coller», et après avoir collé le paramètre, il faut supprimer le dernier caractère du paramètre collé et le saisir à nouveau. 3.2 Première configuration Etape 1 : Créer ou modifier la connexion TCP/IP du PC (voir annexe 1). Attribuer à cette connexion une adresse IP différente mais cohérente avec l adresse IP usine du routeur qui est On utilisera par exemple l adresse pour le PC. Etape 2 : Connecter le PC au routeur Connecter le PC à l interface Ethernet N 1 du routeur. Etape 3 : Lancer le navigateur Ouvrir le navigateur et désigner l adresse IP du serveur d administration programmée en usine : (ne pas faire précéder l adresse de www). La page d accueil du serveur d administration s affiche. Page 18 Notice d utilisation ref Routeur ref. SIG

19 MISE EN SERVICE Note : A la première configuration, l accès au serveur d administration n est pas protégé ; voir «Protection de l accès au serveur d administration» pour protéger l accès au serveur d administration. 3.3 Modifications ultérieures de la configuration Les modifications peuvent être effectuées depuis le réseau local (interface 1) à l adresse qui a été attribuée au serveur d administration ou bien à distance par le réseau Internet ou l internet sur l interface WAN (Interface 4). Modification par le réseau local (interface 1) Etape 1 : Lancer le navigateur et saisir l adresse IP du serveur d administration du routeur. Etape 2 : Saisir, s il y a lieu, le nom d utilisateur et le mot de passe qui ont été programmés pour protéger l accès au serveur d administration. Si la fenêtre de demande d identification ne s affiche pas : L adresse IP que vous avez saisie est fausse. Si la fenêtre de demande d identification s affiche, mais pas la page web : Le nom d utilisateur ou le mot de passe d accès au serveur d administration sont erronés. Contacter la hotline. Modification à distance par l Interface WAN (Interface 4) Les modifications de configuration à distance doivent être réalisées avec prudence ; à l évidence, si l on modifie un paramètre critique de manière inadaptée, la connexion pourra être perdue. Procéder comme si le PC était raccordé au réseau local par l interface 1. Routeur ref. SIG Notice d utilisation ref Page 19

20 MISE EN SERVICE 4 Redémarrage après modification de certains paramètres Certains paramètres ne sont pris en compte par le routeur qu après redémarrage du produit. Lorsque l on effectue la configuration à distance, ceci a en plus pour effet de couper la liaison VPN. Il est donc conseillé d opérer comme suit : Après modification des paramètres d une page, cliquer le bouton «enregistrer» placé en bas de la page. Lorsque le paramétrage est terminé, pour que les modifications soient prises en compte, cliquer le bouton «redémarrer» de couleur rouge qui apparaît en bas de la barre verte de menu. Le routeur redémarre (la durée du redémarrage est de 15 sec environ). Fermer le navigateur html, puis l ouvrir à nouveau pour contrôler que le paramétrage a correctement été pris en compte. Le bouton «redémarrer» doit avoir disparu. Attention : Le bouton «redémarrer» est situé sous le dernier menu de la barre de couleur verte; il peut ne pas apparaître à l écran si tous les menus sont ouverts ; contrôler en utilisant la barre de navigation. 5 Retrouver l adresse IP du routeur Au cas où l adresse IP de l interface locale (Ethernet 1) du routeur SIG ne serait pas connue, il est possible de la retrouver au moyen de l utilitaire ETIC FINDER (Windows XP ou Seven). Ce logiciel permet de détecter l adresse IP des produits raccordés à un même réseau local et de l afficher. Page 20 Notice d utilisation ref Routeur ref. SIG

21 MISE EN SERVICE 6 Protection de l accès au serveur d administration Pour protéger l accès au serveur d administration, Sélectionner le menu «Sécurité» cliquer sur «Droits d administration». Attention : En cas de perte, Il n est pas possible de restituer le nom d utilisateur et le mot de passe d accès au serveur d administration. Routeur ref. SIG Notice d utilisation ref Page 21

22 MISE EN SERVICE 7 Configuration IP de l interface locale (Ethernet 1) Les adresses IP suivantes doivent être enregistrées : L adresse IP du routeur sur le réseau local, Le groupe d adresses IP qui seront attribuées automatiquement aux PC distants lorsqu il se connectent au routeur par le réseau IP ou l Internet (fonction «serveur RAS» du produit). Note importante : Les plans d adresses IP du réseau local connecté au routeur SIG et du réseau distant doivent être disjoints. Sélectionner le menu «Système» cliquer sur «Protocole IP». Configurer les paramètres «Réseau local Ethernet» : Paramètre «Adresse IP» : Saisir l adresse IP de l interface Ethernet 1 ; c est l adresse du routeur sur le réseau local. Elle permet aussi d accéder au serveur d administration que ce soit à distance ou par le réseau local. Paramètre «Masque de sous-réseau» (netmask) : Le masque de sous-réseau définit la structure des adresses IP de toutes les stations d un segment de réseau local. On notera que dans les réseaux de 254 stations, le masque de sousréseau est Configurer les paramètres «Accès distant» : Lorsqu un PC distant se connecte au routeur, une adresse IP du réseau local lui est attribuée automatiquement. Page 22 Notice d utilisation ref Routeur ref. SIG

23 MISE EN SERVICE Pour le cas où plusieurs PC peuvent se connecter simultanément, on enregistre un groupe d adresses IP. Toute adresse du réseau local Ethernet, et non attribuée par ailleurs à une machine du réseau local, peut être attribuée à l utilisateur distant. Paramètre «Début du pool d adresses IP utilisateurs» : Saisir la première adresse IP du groupe attribuable à un PC distant. Paramètre «Fin du pool d adresses IP utilisateurs» : Saisir la dernière adresse IP du groupe attribuable à un PC distant. Note : Ne pas saisir les adresses des interfaces Ethernet 2 et Ethernet 3. Routeur ref. SIG Notice d utilisation ref Page 23

24 MISE EN SERVICE 8 Configuration de l interface WAN (Ethernet 4) Le connecteur Ethernet RJ45 noté «Ethernet 4» permet de raccorder le routeur SIG à un réseau d entreprise ou bien à un routeur ADSL, par exemple, vers l internet. Sélectionner le menu «Internet». Paramètre «Type de la connexion à l Internet» : Sélectionner la valeur «routed» si la connexion avec le fournisseur Internet est gérée par un autre routeur (routeur ADSL ). Sélectionner la valeur «bridged» si la connexion PPP avec le fournisseur Internet est gérée par le routeur SIG. Dans ce cas, le modem ou routeur Internet (ADSL etc ) doit également être placé dans le mode adapté pour déléguer au routeur SIG le contrôle de la liaison Internet. 8.1 Mode «Routeur» Paramètres «Adresse IP», masque de sous-réseau» et «Passerelle par défaut» : Entrer l adresse IP attribuée au routeur sur le réseau d entreprise, le masque du réseau et l adresse IP du routeur par défaut sur le réseau d entreprise». Page 24 Notice d utilisation ref Routeur ref. SIG

25 MISE EN SERVICE Paramètres «utiliser la passerelle par défaut comme serveur DNS» : Cocher cette case si la passerelle par défaut fait aussi office de serveur DNS. Paramètres «Adresse DNS primaire», «Adresse DNS secondaire» : Autrement saisir les adresses des serveurs DNS. Paramètre «Filtre pare-feu sur le trafic sortant» : Sélectionner dans la liste le filtre à appliquer au trafic IP. 8.2 Mode «Bridge» Paramètres «identifiant du compte internet» et «mot de passe» : Saisir l identifiant et le mot de passe associés au compte internet. Paramètres «Effectuer du NAT pour l interface LAN» : Cocher cette case si les trames IP provenant du réseau local doivent être présentées sur l internet avec l adresse source de l interface 4 du routeur SIG. Paramètres «Obtenir les adresses des serveurs DNS automatiquement», «Adresse DNS primaire», «Adresse DNS secondaire» : Cocher cette case si les adresses des serveurs DNS sont attribuées automatiquement par le serveur DHCP. Autrement saisir les adresses des serveurs DNS. Paramètre «Filtre pare-feu sur le trafic sortant» : Sélectionner dans la liste le filtre à appliquer au trafic IP. Routeur ref. SIG Notice d utilisation ref Page 25

26 MISE EN SERVICE 9 Interconnexion de routeurs au moyen de VPNs Type de VPN 2 types de VPN peuvent être établis entre eux routeurs SIG : IPSec ou TLS/SSL. Une fois un type de VPN sélectionné (IPSEC ou TLS/SSL, il s applique à l ensemble des connexions avec les sites distants. IPSec On choisira IPSec pour assurer la compatibilité lorsque le routeur SIG doit communiquer avec un routeur d une autre marque. TLS/ SSL Ce protocole offre plus de souplesse qu IPSec ; on le choisira lorsqu il n est pas nécessaire d assurer la compatibilité avec d autres routeurs. Nœuds distants (ou connexions distantes) Chaque connexion distante définit un réseau IP avec lequel le routeur SIG peut échanger des trames IP. 128 connexions distantes peuvent être créées. Pour assurer une communication sûre et transparente, une connexion doit être de préférence réalisée au moyen d un VPN. Une connexion peut être entrante ou sortante. Si c est le routeur du site distant qui a l initiative de la connexion, alors elle est appelée «connexion entrante» et le routeur distant est appelé «routeur client VPN». Si c est le routeur SIG que l on est en train de configurer qui a l initiative de la connexion, elle est appelée «connexion sortante» ; le routeur distant est appelé «routeur serveur VPN». Paramétrage Pour paramétrer les connexions distantes, il faut procéder en deux étapes : Etape 1 : Configurer type de VPN qui sera utilisé (IPSec ou TLS/SSL). Etape 2 : Paramétrer les connexions distantes avec chacun des sites. Page 26 Notice d utilisation ref Routeur ref. SIG

27 MISE EN SERVICE Pour effectuer ces opérations, sélectionner le menu routage puis «Connexions distantes». 9.1 Mise en œuvre de connexions IPSec Paramétrage du protocole IPSec Sélectionner le menu «Routage» puis «Connexions distantes». Sélectionner le choix IPSec puis cliquer sur «Propriétés» pour régler les paramètres. Routeur ref. SIG Notice d utilisation ref Page 27

28 MISE EN SERVICE Paramètre «Protocole» : Choisir de préférence ESP qui réalise le cryptage. Paramètre «Authentification par» : Elle peut être assurée soit par une clé pré partagée, soit par un certificat numérique. La clé pré partagée est un code qu utilise le routeur pour s authentifier. La routeur SIG peut utiliser la clé pour toutes les connexions (y-compris pour les connexions avec des utilisateurs distants) ou bien utiliser des clés différentes. Le certificat est un fichier complexe qui est utilisé par les routeurs pour s authentifier. Paramètre «Valeur Clé» : Une clé doit être saisie uniquement si l authentification par clé a été choisie. Si l on utilise des clés différentes, le routeur doit posséder une adresse IP fixe ou bien un nom de domaine DYNDNS. Saisir la valeur de la clé qui identifie le routeur. Paramètres «Authentification» et «Cryptage» : Sauf difficulté particulière, on sélectionnera le choix «Auto». Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas Page 28 Notice d utilisation ref Routeur ref. SIG

29 MISE EN SERVICE proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. Paramètre «DPD Keepalives» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet une trame de maintien du VPN. Ce paramètre fixe la période d envoi de la trame de maintien du VPN. Paramètre «Mort de la connexion» : Ce paramètre fixe le délai maximum d attente d un message Keep alive. Une fois ce délai échu, et en l absence de réception du message Keep alive, le routeur coupe le VPN. ATTENTION : Une fois les paramètres IPSec configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer une connexion distante. Routeur ref. SIG Notice d utilisation ref Page 29

30 MISE EN SERVICE Configurer une connexion IPSEC sortante Adresse IP LAN (Interface 1) Connexion sortante VPN Réseau IP Adresse IP LAN distant Routeur Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» et choisir «Connexion sortante». Paramètre Adresse WAN distant : Saisir l adresse Ip de l interface WAN du routeur distant. Paramètres «Adresse LAN distante» et «masque du Lan distant» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Page 30 Notice d utilisation ref Routeur ref. SIG

31 MISE EN SERVICE Cas de l authentification par clé partagée Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucune configuration complémentaire ne doit être effectuée. Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur de la PSK : Saisir la clé (=PSK=pre-shared key). Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l»interface 4». Cas de l authentification par certificat Paramètre Mon SubjectAlt Name : Il s agit du champ «Adresse du propriétaire» du certificat du routeur dont le paramétrage est en cours. Ce paramètre est utilisé par le routeur pour s authentifier. Pour obtenir la valeur de cette adresse , sélectionner le menu «Sécurité» puis «Certificat X509». La liste des certificats enregistrés s affiche ; cliquer «Afficher». Le résumé du certificat s affiche ; copier le champ «Adresse » de l alinéa «Propriétaire». Paramètre SubjectAlt Name distant : Saisir la valeur du champ « » de l alinéa Propriétaire» du certificat du routeur distant. Pour obtenir cette adresse, accéder au routeur distant et procéder comme pour le paramètre précédent. Routeur ref. SIG Notice d utilisation ref Page 31

32 MISE EN SERVICE Configurer une connexion IPSec entrante Adresse IP LAN (Interface 1) Routeur Connexion entrante Adresse IP WAN (Interface 4) VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» puis choisir «Connexion entrante». Paramètres «Adresse du réseau LAN distant» et «Masque du réseau LAN distant» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Cas de l authentification par clé pré partagée : Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucun paramétrage complémentaire ne doit être effectué. Page 32 Notice d utilisation ref Routeur ref. SIG

33 MISE EN SERVICE Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur PSK : Saisir la clé partagée (=PSK). Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l interface WAN. Paramètre Adresse IP WAN distante : Saisir l adresse IP de l interface WAN du routeur distant. Cas de l authentification par certificat : Paramètre Mon SubjectAlt Name : Il s agit du champ « » du certificat du routeur dont le paramétrage est en cours. Ce paramètre est utilisé par le routeur pour s authentifier. Pour obtenir la valeur de cette adresse , sélectionner le menu «Securité» puis «Certificat X509». La liste des certificats enregistrés s affiche ; cliquer «Afficher». Le résumé du certificat s affiche ; copier le champ «Adresse » de l alinéa «Propriétaire». Paramètre SubjectAlt Name distant : Il s agit du champ « » du certificat du routeur distant Ce paramètre est utilisé par le routeur distant pour s authentifier. Pour obtenir cette adresse, accéder au routeur distant et procéder comme pour le paramètre précédent. Routeur ref. SIG Notice d utilisation ref Page 33

34 MISE EN SERVICE 9.2 Mise en œuvre de connexions TLS Paramétrage du protocole TLS / SSL Si l on choisit un tunnel TLS / SSL, l authentification réciproque des routeurs est assurée au moyen des certificats numériques complétés par des codes de sécurité (Login et mot de passe). Le routeur SIG est livré avec un certificat chargé en usine. Ce certificat est délivré par ETIC TELECOM agissant en autorité de certification. Si nécessaire, un ou des certificats numériques supplémentaires peuvent être ajoutés (voir menu «Sécurité» puis «Certificats». Pour paramétrer le type de VPN «TLS», sélectionner le menu «Routage» puis «Connexions distantes». Choisir le type de VPN «TLS», puis cliquer sur le bouton «Propriétés». Paramètres «Numéro de port» et «protocole» : On choisira de préférence le protocole UDP plutôt que TCP pour une meilleure efficacité. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Paramètres «Adresse réseau VPN» et masque réseau VPN : Une adresse IP doit être attribuée à chaque extrémité du tunnel. Il s agit d une adresse IP appartenant à un réseau privé et nécessaire pour le fonctionnement du tunnel, mais non visible pour les applications. Cette adresse IP ne doit pas être confondue avec l adresse IP du routeur sur le réseau WAN. Cette valeur est utilisée seulement lors de la configuration d'un nœud entrant. Page 34 Notice d utilisation ref Routeur ref. SIG

35 Adresse IP LAN (Interface 1) Adresse IP du réseau VPN ( par défaut) MISE EN SERVICE Adresse IP LAN distant Adresses IP de l' interface WAN (Ethernet 4) VPN IP network Adresses IP de l' interface WAN Paramètre «délai de détection» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet à l autre une trame de maintien du VPN. A l issue du «délai de détection», et en l absence de réception de cette trame, le VPN est coupé. Paramètre «Délai de retransmission» : A compléter Paramètres «Algorithmes de cryptage et de hachage» : Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. ATTENTION : Une fois les paramètres TLS configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer un nœud distant. Routeur ref. SIG Notice d utilisation ref Page 35

36 MISE EN SERVICE Configurer une connexion TLS sortante Adresse IP LAN (Interface 1) Routeur Connexion sortante Adresse IP WAN (Interface 4) VPN Réseau IP Adresse IP WAN distant Adresse IP LAN distant Routeur distant Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter une connexion» Choisir «Connexion sortante». Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe qui seront utilisés pour s'authentifier auprès du noeud distant en complément du certificat. Paramètre Adresse WAN distante : L adresse WAN distante est soit l adresse IP fixe Internet du routeur distant, soit son nom de domaine sur DynDns.org. Page 36 Notice d utilisation ref Routeur ref. SIG

37 MISE EN SERVICE Configurer une connexion TLS entrante Adresse IP LAN (Interface 1) Routeur Connexion entrante Adresse IP WAN (Interface 4) VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter une connexion». Choisir «Connexion entrante». Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe qui seront utilisés pour s'authentifier auprès du noeud distant Paramètre «Adresse LAN distante» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Paramètre «Nom commun» : Entrer la valeur du champ "Commun name" du certificat que le routeur distant devra utiliser pour s'identifier. 9.3 Ajouter un certificat Chaque produit est livré avec un certificat délivré par ETIC. On peut vouloir cependant utiliser un autre certificat délivré par une autre autorité de certification. Ce certificat peut être introduit soit en format PKCS#12 avec mot de passe ou en en format PEM. Un seul certificat peut être actif à la fois. Attention : Pour pouvoir établir une connexion VPN, les certificats des deux routeurs doivent avoir été délivrés par la même autorité de certification. Routeur ref. SIG Notice d utilisation ref Page 37

38 MISE EN SERVICE Pour ajouter un certificat, sélectionner le menu «Sécurité», puis «Connexion VPN», puis «Gestion de certificat», puis «cliquer «Ajouter un certificat». Page 38 Notice d utilisation ref Routeur ref. SIG

39 MISE EN SERVICE 10 Configuration de routes statiques La fonction «Route statique» permet à un routeur de transmettre des trames IP destinées à des machines même si elles n appartiennent pas au réseau connecté à l autre extrémité de l une des connexions enregistrées (nœuds distants). Une route statique est un tableau qui associe un réseau de destination (@ IP & netmask) à l adresse IP du routeur vers lequel il faut transmettre les trames pour parvenir au réseau de destination. Ce routeur peut être un routeur raccordé au réseau local ou bien un routeur connecté à un réseau distant enregistré (Seulement TLS). Exemple : Network /24 Router 4 Network / Router VPN Router 2 Network / Network /24 IP network VPN Router Route statique à programmer dans le routeur 1: Active Nom de la Destination Masque de Passerelle route réseau Oui Network Routeur ref. SIG Notice d utilisation ref Page 39

40 MISE EN SERVICE Route statique à programmer dans le routeur 3: Active Nom de la Destination Masque de Passerelle route réseau Oui Network Oui Network Pour programmer une route statique, sélectionner le menu «Routage» puis «Route statique» puis cliquer «Ajouter une route. Nom de la route : Entrer un mnémonique pour désigner la route. Adresse IP de destination & netmask : Entrer l adresse IP du réseau de destination et le netmask de ce réseau. Passerelle : Saisir l adresse IP de la passerelle (routeur) par défaut du réseau local. Page 40 Notice d utilisation ref Routeur ref. SIG

41 MISE EN SERVICE 11 Connexion des utilisateurs distants 11.1 Présentation Le routeur SIG permet aux utilisateurs de PC distants de se connecter à travers un réseau IP étendu ou bien l Internet aux machines raccordées directement, ou par un VPN, au routeur SIG. La connexion des utilisateur s effectue avec un niveau de sécurité élevé. La sécurité repose sur l application des principes suivants : Authentification du PC et de l utilisateur L utilisation d un VPN permet authentifier le PC distant au moyen d un certificat (fonction optionnelle) et son utilisateur par un login et un mot de passe. Toute connexion indésirable est rejetée. Limitation du domaine accessible (pare-feu) En fonction de son identité (login et mot de passe), le domaine d adresses IP auxquelles chaque utilisateur peut accéder est limité (voir paramétrage du pare-feu). De plus, le PC distant ne peut se connecter qu aux machines déclarées dans le fire-wall du serveur RAS et pas aux autres machines du réseau. Discrétion Les données étant cryptées par le logiciel M2Me_Secure et décryptées par le routeur SIG, il est impossible d espionner les données échangées ni depuis une machine de l Internet. Pour mettre en service les connexions distantes des utilisateurs, il faut successivement configurer la communication par VPN, enregistrer les utilisateurs autorisés dans la «liste d utilisateurs», limiter le domaine d adresse IP accessibles à chaque utilisateur au moyen du pare-feu. Routeur ref. SIG Notice d utilisation ref Page 41

42 MISE EN SERVICE 11.2 Paramétrage de la connexion VPN 3 types de VPN sont proposés : TLS/SSL., PPTP et L2TP/IPSec. Une fois l un de ces types de VPN sélectionné, il s applique à tous les utilisateurs. Nous conseillons de mettre en oeuvre une connexion TLS et d utiliser le logiciel M2Me_Secure, le client VPN proposé par ETIC Telecom Paramétrage d un VPN de type TLS Etape 1 : Configuration du routeur Sélectionner le menu «Système» puis «Liste d utilisateurs» puis «Paramètres VPN» Sélectionner le choix TLS pour assurer la compatibilité avec le logiciel M2Me_Secure. Cliquer le bouton «Propriétés». Paramètres «Numéro de port» et «protocoles» : Choisir le protocole de transport du VPN (UDP ou TCP) ; UDP est préférable à TCP. Le N de port peut être quelconque mais la valeur doit être choisie parmi celles qui sont autorisés sur le réseau du client. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Page 42 Notice d utilisation ref Routeur ref. SIG

43 Paramètres «Authentification des utilisateurs» : MISE EN SERVICE Si l on choisit la valeur «Login / mot de passe», l authentification est réalisée à l aide de ces deux codes uniquement. Si l on choisit la valeur «Login / mot de passe et certificat numérique», la sécurité est renforcée. Le PC distant est authentifié au moyen du certificat enregistré dans le PC et l utilisateur est identifié au moyen du login et du mot de passe. Note : dans ce cas, le nom du certificat du PC de l utilisateur devra être enregistré dans le routeur SIG, dans la fiche de l utilisateur. Paramètres «Algorithme de cryptage» et «Algorithme de hachage» : Laisser les valeurs par défaut. Etape 2 : Configuration du logiciel M2Me_Secure du PC Cliquer l icône «Menu» puis «Nouveau site». La fenêtre de paramétrage du site apparaît. Sélectionner l onglet «Général», saisir le nom du site. Sélectionner l onglet «Connexion» ; cocher la case «Ce site est accessible par Internet». Dans le champ «Nom d hote ou adresse IP», saisir l adresse IP permettant d atteindre le routeur. Sélectionner l onglet «Avancé» ; Choisir le protocole (UDP ou TCP), le N du port et les algorithmes de cryptage et hachage. Ces paramètres doivent avoir la même valeur que ceux sélectionné dans le routeur. Routeur ref. SIG Notice d utilisation ref Page 43

44 MISE EN SERVICE Paramétrage d un VPN de type PPTP Etape 1 : Configurer le routeur Sélectionner le menu «Système» puis «Liste d utilisateurs» puis «Paramètres VPN». Sélectionner le choix PPTP. Etape 2 : Configurer la connexion PPTP dans le PC Voir procédure en annexe Paramétrage de la liste d utilisateurs La liste d utilisateurs du routeur SIG enregistre les utilisateurs autorisés à se connecter et leurs paramètres ( ) et droits associés. Cette liste désigne les utilisateurs distants qui sont autorisés à accéder au réseau local à distance. Lorsqu un utilisateur est connecté, tout se passe comme si son PC était raccordé directement sur le réseau «machines». Une adresse IP de ce réseau est automatiquement attribuée au PC distant. La seule restriction concerne les trafics broadcast et multicast qui sont bloqués, à l exception du trafic Netbios qui, lui, est autorisé. Le pare-feu (ou firewall) permet de limiter le domaine d adresses IP accessible à chaque utilisateur. Page 44 Notice d utilisation ref Routeur ref. SIG

45 MISE EN SERVICE Chaque ligne de la liste comporte 2 champs : Le nom de l utilisateur et le filtre de pare-feu qui lui est affecté. A la livraison, elle comporte l utilisateur «default user» dont les caractéristiques sont les suivantes : Nom d utilisateur : admin Mot de passe : admin Définir des utilisateurs Visualiser ou modifier la fiche d un utilisateur Cliquer sur le bouton «Voir» ou bien sur «Modifier» Ajouter un utilisateur Cliquer sur le bouton «ajouter un utilisateur». Paramètre «Actif» (valeur OUI ou NON) il permet de retirer temporairement un utilisateur de la liste. Paramètre «Nom complet» : C est le libellé qui apparaît dans le premier champ de la liste des utilisateurs autorisés. Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal. Paramètres «Nom d utilisateur» et «mot de passe» : Routeur ref. SIG Notice d utilisation ref Page 45

46 MISE EN SERVICE Ce sont deux codes différents attribués à chaque utilisateur. Lorsqu il se connecte à distance, il doit saisir ces deux codes dans les champs correspondants de la fenêtre de CONNEXION DISTANTE. Le nom d utilisateur n a pas à être tenu secret ; il apparaît donc toujours en clair. Le mot de passe doit être gardé secret par chaque utilisateur ; il n apparaît jamais en clair. Paramètre «Filtre pare-feu» : Un filtre est un ensemble de règles de sécurité limitant l accès aux machines et services raccordées derrière le routeur. Un filtre peut être appliqué pour un ou plusieurs utilisateurs ce qui permet de différencier les droits d accès aux machines en fonction de qui se connecte. Par défaut, rien n est filtré. Paramètre «Nom commun» : Ce paramètre n apparaît que si l on a choisi un VPN TLS/SSL ou L2TP/IPSec avec authentification par Certificat numérique. Saisir le nom commun du certificat qui sera utilisé par le PC distant pour s authentifier. Si l on utilise le logiciel M2Me_Secure, le nom commun du certificat du PC peut être copié de la manière suivante : Cliquer «Menu» puis «Options» ; sélectionner l onglet «Certificat» ; le nom commun est la chaîne de caractères qui suit «CN=». Copier la chaîne de caractères. On trouvera ci-dessous la reproduction du début d un certificat : Certificate: Data: Version: 3 (0x2) Serial Number: 191 (0xbf) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security, CN=ETIC_Telecom_CA/ Address=Security@etictelecom.com Validity Not Before: Nov 22 14:46: GMT Not After : Nov 14 14:46: GMT Subject: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security, CN=b4b4d3c9-b edb3d421d55a/ Address=b4b4d3c9-b edb3d421d55a@etictelecom.com Subject Public Key Info: Page 46 Notice d utilisation ref Routeur ref. SIG

47 11.4 Utilisation du logiciel M2Me_Secure MISE EN SERVICE On décrit ci-dessous la procédure que doit suivre l utilisateur d un PC isolé ou en réseau équipé du logiciel M2Me_Secure fourni par ETIC Telecom pour se connecter à distance à un réseau de machines. Ouvrir le logiciel M2Me_Secure et entrer l identificateur et le mot de passe d utilisateur (admin et admin à la livraison). Sélectionner le site et cliquer le bouton de connexion dont la légende est «Accéder au site par Internet». La fenêtre «Connexion en cours» s affiche ; puis, quelques secondes après, le message «La connexion avec le site est établie». Une figurine s affiche à côté du nom de site pour indiquer que le PC est connecté. Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau lui a automatiquement été attribué. Note : Pour saisir l adresse IP ou bien le nom de domaine ou le nom de domaine DynDNS de destination, cliquer droit sur la ligne du site, puis sélectionner l onglet Connexion, cocher la case «Ce site est accessible par Internet» et saisir l adresse de destination ou le nom de domaine dans le champ «nom d hote ou adresse IP». Routeur ref. SIG Notice d utilisation ref Page 47

48 MISE EN SERVICE 12 Paramétrage du pare-feu 1.1 Présentation Le firewall (ou pare-feu) a pour but de filtrer les échanges de trames IP entre l interface WAN et l interface LAN pour protéger les équipements connectés au réseau LAN. Il comporte deux parties : Le filtre principal Il permet de rejeter les tentatives de connexion non authentifiées sur l Internet hormis les connexions VPN, les trames IP adressées à l interface LAN du routeur SIG et dont le N de port est autorisé par une régle de «redirection de port (DNAT)». Les connexions d utilisateurs distants authentifiés (PPTP, TLS, L2TP/IPSec, PPP). Les filtres d «Utilisateur distant» Ils permettent d autoriser ou d interdire l accès à chaque équipement connecté à l interface LAN en fonction de l identité de l utilisateur distant (Login et mot de passe et éventuellement certificat) lorsqu il se connecte au moyen de la connexion PPTP ou TLS. Par exemple, on peut attribuer à l utilisateur de login «admin» et de mot de passe «admin» un filtre bloquant toutes les trames issues de son PC sauf celle qui sont adressées à un équipement particulier de l interface LAN. Page 48 Notice d utilisation ref Routeur ref. SIG

49 MISE EN SERVICE 1.2 Filtres d utilisateurs Présentation Les filtres d utilisateur s appliquent aux trames IP circulant dans une connexion distante d utilisateur (TLS ou PPTP ou L2TP/IPSec). On peut composer 25 filtres d utilisateur au maximum. Un filtre d utilisateur est un ensemble d adresses IP de destination autorisées sur le réseau LAN. Exemple : Le filtre ci-dessous autorise l accès à l équipement PLC1 sur les portstcp/80 et TCP/502. Nom du filtre : Accès à l automate en html Politique du filtre : Tout ce qui n est pas autorisé est interdit Action Machine Service Autoriser PLC TCP / 80 Autoriser PLC TCP / Modbus 502 Chaque filtre doit être attribué à au moins un utilisateur pour être rendu actif. Note importante : A la livraison du produit, un utilisateur par défaut est enregistré; son login est «admin» et son mot de passe «admin». Le filtre appelé «none» lui est affecté. Ce filtre autorise l accès à tous les équipements du réseau LAN. Routeur ref. SIG Notice d utilisation ref Page 49

50 MISE EN SERVICE 12.1 Composer un «filtre utilisateurs» Pour composer un filtre on peut d abord interdire toutes les adresses IP et services du réseau local, puis autoriser l accès à certaines machines et certains services explicitement désignés par les règles successives du tableau; c est la manière la plus prudente de rédiger une filtre. Pour cela, il faut cliquer «On désigne ce que l'on autorise et tout le reste est interdit». Pour composer un filtre, on peut aussi autoriser toutes les adresses IP et services du réseau local, puis interdire spécifiquement l accès à certaines machines et certains services explicitement désignés par les règles successives du tableau; pour cela il faut cliquer «On désigne ce que l'on interdit et tout le reste est autorisé». On ne procèdera ainsi que dans les cas simples, car on notera que si une nouvelle machine est connectée sur le réseau local, elle devient immédiatement et automatiquement accessible. Pour définir la liste des filtres, on procède par étapes : Etape 1 : Compléter éventuellement la liste des services accessibles (N de port) Etape 2 : Créer les machines (adresses IP) rendues accessibles à distance Etape 3 : Composer les filtres l un après l autre (menu Liste des filtres) Etape 4 : Affecter les filtres aux utilisateurs Etape 1 : Compléter la liste des services si nécessaire Note importante : de nombreux services sont créés en usine, tel que html, ftp etc, si bien que dans la plupart des cas, cette étape peut être passée. Sélectionner le menu «Système» puis «Liste des services» ; la liste des services déjà enregistrés s affiche. Ajouter un nouveau service en cliquant le bouton «Ajouter un service» en bas de l écran. Page 50 Notice d utilisation ref Routeur ref. SIG

51 MISE EN SERVICE Enregistrer un libellé (le nom que vous souhaitez donner au service), sélectionner un protocole dans la liste proposée (udp, tcp, icmp) et désigner le N de port attribué à ce service. Valider. Le service qui vient d être créé apparaît maintenant dans la liste des services. Etape 2 : Définir la liste des machines du réseau local Sélectionner le menu «Système» puis «Liste des machines» ; la liste des machines déjà enregistrés s affiche. Ajouter une nouvelle machine en cliquant le bouton «Ajouter une machine» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner à la machine) et saisir son adresse IP. Valider. La machine qui vient d être définie apparaît maintenant dans la liste des machines. Routeur ref. SIG Notice d utilisation ref Page 51

52 MISE EN SERVICE Etape 3 : Composer un filtre Utilisateur Sélectionner le menu «sécurité» puis «pare-feu «puis «Filtres Utilisateurs» ; la liste des filtres déjà enregistrés s affiche. Créer un nouveau filtre en cliquant le bouton «Nouveau filtre». Saisir un libellé (le nom que vous souhaitez donner au filtre) ; exemple de libellé : Accès au serveur web de l automate N 1 Cliquer sur le bouton radio «On désigne ce que l'on autorise et tout le reste est interdit» si vous souhaitez que chaque règle désigne ensuite une machine explicitement autorisée ; c est la solution prudente. Cliquer sur le bouton radio «On désigne ce que l'on interdit et tout le reste est autorisé» si vous souhaitez que chaque règle désigne ensuite une machine interdite. Cliquer sur le bouton «ajouter une règle» ; une ligne s ajoute dans le tableau du filtre. Sélectionner une machine (autorisée ou interdite selon le cas) puis un service. Page 52 Notice d utilisation ref Routeur ref. SIG

53 MISE EN SERVICE Ajouter autant de règles que nécessaire en cliquant sur «ajouter une règle». Lorsque le filtre est complet, valider en cliquant le bouton OK puis sauvegarder. La liste actualisée des filtres s affiche. Etape 4 : Affecter les filtres aux utilisateurs Une fois la liste de filtres composée, il faut les rendre actifs en les affectant aux utilisateurs. Sélectionner le menu «Système» puis «Utilisateurs». Sélectionner l utilisateur de la liste auquel vous souhaitez affecter un filtre, en cliquant le bouton «Modifier» ; la fiche de l utilisateur apparaît. Lui affecter un filtre en sélectionnant l un des filtres proposés et valider par «OK». Sauvegarder la liste d utilisateurs modifiée en cliquant «sauvegarder la liste». Routeur ref. SIG Notice d utilisation ref Page 53