SSL-VPN. Série firewall ZyXEL USG à partir de la version de firmware Knowledge Base KB-3512 Août Studerus AG

Documents pareils
VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Accès aux Applications comme OWA, FTP, RDP et File-Sharing via SSL-VPN. ZyWALL Firewall LAN IP: DMZ IP:

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Guide des solutions 2X

Installation d un serveur virtuel : DSL_G624M

(1) Network Camera

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

terra CLOUD SaaS Exchange Manuel Version : 05/

Manuel du client de bureau distant de KDE

WGW PBX. Guide de démarrage rapide

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

UltraVNC, UltraVNC SC réglages et configurations

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Exemple de configuration ZyWALL USG

Exemple de configuration USG

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Sauvegardes par Internet avec Rsync

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

pfsense Manuel d Installation et d Utilisation du Logiciel

Configuration de l adressage IP sur le réseau local LAN

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

2X ThinClientServer Guide d utilisation

Mise en route d'un Routeur/Pare-Feu

Netstorage et Netdrive pour accéder à ses données par Internet

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Mise en place de la G4100 pack avec Livebox

TUTORIEL INSTALLATION D UNE WENBOX ETHERNET DE WENGO SUR UN MODEM ROUTEUR DG834 G DE NETGEAR

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Belgacom Forum TM 3000 Manuel d utilisation

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

Partie II PRATIQUE DES CPL

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

FileMaker Pro 12. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 12

WINDOWS Remote Desktop & Application publishing facile!

TUTORIAL ULTRAVNC (EDITION 2)

Manuel du Desktop Sharing

CS REMOTE CARE - WEBDAV

Configurer ma Livebox Pro pour utiliser un serveur VPN

Utiliser le portail d accès distant Pour les personnels de l université LYON1

>> Lisez-moi d abord... Connecter le ZyXEL Prestige 642R/R-I

Trois types de connexions possibles :

Paramétrage des navigateurs

Accès aux ressources informatiques de l ENSEEIHT à distance

CONFIGURATION DE L'ACCÈS À DISTANCE POUR LE SYSTÈME D'ENREGISTREMENT VIDÉO NUMÉRIQUE QT17D324SC

CONFIGURATION DE BASE

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Direction des Systèmes d'information

A-EAK (1) Network Camera

HTTP Commander. Table des matières. 1-Présentation de HTTP Commander

>> Lisez-moi d abord... Connecter le ZyXEL Prestige 650HW/HW-I

Micro-ordinateurs, informations, idées, trucs et astuces. Utiliser une caméra IP Trendnet IP-TV110. Auteur : François CHAUSSON

VIRTUAL PRIVATE NETWORK OPERATOR. (Routeur Sécurisé Avocat)

Protéger une machine réelle derrière une machine virtuelle avec pfsense

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Guide de configuration. Logiciel de courriel

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Sydonia. Direction des technologies et des services de l information. Guide d'installation de la suite Sydonia Nom de fichier :

Guide d utilisation Business Livebox

Avertissement. Marques déposées et copyright :

A5.2.3, Repérage des compléments de formation ou d'autoformation

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

IPS-Firewalls NETASQ SPNEGO

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Figure 1a. Réseau intranet avec pare feu et NAT.

FileMaker Pro 13. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 13

Travaux pratiques Configuration d un pare-feu sous Windows XP

1. DÉMARRER UNE SESSION SÉCURISÉE SUR LE MACINTOSH SESSIONS DES APPLICATIONS CLIENTES SUR LE MACINTOSH... 5

Terminal Server RemoteAPP pour Windows Server 2008

Contrôle d accès à Internet

CASE-LINUX CRÉATION DMZ

Raccordement desmachines Windows 7 à SCRIBE

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Guide d installation du serveur vidéo

ZEROSHELL NET BALANCING. Julien Dabin Page 1

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Etape 1 : Connexion de l antenne WiFi et mise en route

Guide de connexion ROUTEUR THOMSON SPEEDTOUCH 510 Internet Oléane Open

Internet Subscriber Server II. Just plug in... and go to the Internet


DIR-635 : Serveur virtuel

Accès distant Freebox v6 Configuration

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Réseaux CPL par la pratique

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

Installation d un manuel numérique 2.0

Les clés d un réseau privé virtuel (VPN) fonctionnel

Table des matières. PPPoE (DSL) PPTP Big Pond Paramètres réseau... 24

GUIDE D UTILISATION ADSL ASSISTANCE

Création d une connexion VPN dans Windows XP pour accéder au réseau local de l UQO. Document préparé par le Service des technologies de l information

domovea Portier tebis

Mise en place d un firewall d entreprise avec PfSense

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

USER GUIDE. Interface Web

Transcription:

SSL-VPN Série firewall ZyXEL USG à partir de la version de firmware 4.10 Knowledge Base KB-3512 Août 2014 Studerus AG

SSL-VPN Tunnel VPN SSL via navigateur Avec un large support des appareils mobiles tels que pads et smart phones, le VPN SSL s établit en tant qu alternative simple au VPN IPSec. Le VPN SSL a besoin comme client de simplement un navigateur web supportant le SSL et propose ainsi un accès chiffré à : Des applications web diverses ou aussi à Outlook Web Access Un bureau distant via Terminal Server (RDP) ou VNC Des fichiers de partage (File Share) WAN Zone LAN Zone Client Home Computer Notebook Internet Coffee Full-Tunnel VPN SSL avec client logiciel L installation d un client logiciel dédié permet l accès complet et transparent à un réseau grâce au mode Full Tunnel SSL. SSL-VPN 2 KB-3512 / SRU

PREPARATION Créer l utilisateur SSL Pour utiliser une connexion SSL, nous avons besoin sur le firewall USG d un utilisateur avec les droits correspondants. Après le login via le firewall USG, une page de portail avec les services correspondants installés se montre à l utilisateur SSL. Configuration > Object > User/Group > Add Créer un objet adresse pour le serveur L ordinateur de destination avec les services de serveur reçoit à son avantage une adresse IP fixe. Une solution élégante pour cela est l entrée d un DHCP statique. Dans notre exemple, les services de serveur fonctionnent sur un ordinateur avec l IP 192.168.10.10. Configuration > Network > Interface > Ethernet > lan1 > DHCP Setting > Static DHCP Table SSL-VPN 3 KB-3512 / SRU

Pour le serveur, nous créons l objet adresse : Configuration > Object Address > Add Indication : il n est pas possible d établir plusieurs enregistrements d utilisateurs différents à partir du même ordinateur. Si la configuration se fait en tant qu administrateur (admin) et le test de la fonction SSL se fait avec un autre enregistrement (web-user, full-tunnel-user) à partir du même ordinateur, l enregistrement Admin est perdu. SSL-VPN 4 KB-3512 / SRU

APPLICATION WEB VPN SSL / REVERSE PROXY La variante SSL Web Application convient à toutes les applications qui se dirigent par le biais d un navigateur web. Un exemple connu est Outlook Web Access (OWA). Un contrôle via le navigateur web propose en tout cas de nombreuses autres applications. Dans notre exemple, nous utilisons le serveur web et FTP simple WebWeaver (www.brswebweaver.com), qui autorise l administration après l installation via le port 34010. Après le paramétrage d une application web SSL, nous nous enregistrons en tant qu utilisateur SSL sur le firewall USG à l aide d une connexion chiffrée via le navigateur. L USG transfère ensuite nos accès à l application paramétrée. WAN Zone LAN Zone Home Computer Notebook Internet Coffee SSL-VPN 5 KB-3512 / SRU

Dans WebWeaver, l administration distante (Remote Administration) dans Options > Server Configuration > Server > Remote Admin doit être activée et un utilisateur doit être sélectionné. L interface d administration web est alors accessible dans le navigateur sous http://server-ip:34010. Le paramétrage de l objet d application web s effectue dans le gestionnaire d objets de l USG. Le type d objet est Web Application, nous utilisons Web Server comme type de serveur. L adresse à saisir dans URL correspond exactement à celle utilisée dans le navigateur web sur le réseau local : http://192.168.10.10:34010. Configuration > Object > SSL Application > Add Avec l objet d application SSL que l on vient de créer, une nouvelle Access Policy est créée. Le nom et la description sont de libre choix. Avec le choix SSL_VPN, l option Zone veille à ce que les règles de firewall de la zone SSL_VPN soient valables pour cette police. On ajoute les utilisateurs (ou groupes) nécessaires dans User/Group et le nouvel objet application SSL dans SSL Application. Dans notre exemple, il s agit de l utilisateur web-user et de l objet WebWeaver_WebAdmin. SSL-VPN 6 KB-3512 / SRU

Configure > VPN > SSL VPN > Add SSL-VPN 7 KB-3512 / SRU

Pour tester, nous nous enregistrons avec l utilisateur web-user. Il est important d utiliser le bouton prévu SSL VPN pour l enregistrement VPN SSL. Le portail VPN SSL liste toutes les applications web autorisées. Un clic sur le choix WebWeaver_WebAdmin démarre le transfert vers la page respective enregistrement ou administration de WebWeaver. La communication du navigateur vers le firewall est chiffrée, ce qui est confirmé par le symbole correspondant dans la ligne d adresse. SSL-VPN 8 KB-3512 / SRU

BUREAU DISTANT AVEC VNC L accès distant sur un autre bureau présente une autre possibilité de l application web. Le bureau distant est représenté directement dans le navigateur après que la connexion SSL est établie. Cet exemple montre le service VNC (Virtual Network Computing) disponible pour des différentes versions de systèmes d exploitation (Windows, Linux, Mac OS). WAN Zone LAN Zone Client Home Computer Notebook Une version gratuite de VNC est téléchargeable sur www.uvnc.com en tant que UltraVNC. Après l installation et le démarrage du service de serveur (UltraVNC Server), VNC attend les requêtes de connexion sur le port pré-paramétré 5900. Sous Windows 7, il faut compléter le firewall Windows avec une exception (Panneau de configuration > Windows-Firewall > Accepter un programme ou une caractéristique dans Pare-feu Windows > Ajouter un programme > Parcourir > winvnc.exe > Ajouter). Pour l accès distant, nous avons besoin d un objet d application SSL supplémentaire de type application Web et du Server Type VNC et de l adresse IP de l ordinateur de destination avec le service VNC. Nous utilisons comme adresse IP l objet adresse MyServer créé en préparation. SSL-VPN 9 KB-3512 / SRU

Nous ajoutons l objet dans la SSL Access Policy existante sous SSL Application Objects : Configure > VPN > SSL VPN > Add Le démarrage de la connexion au bureau distant se fait via le portail VPN SSL et le choix de bureau distant de type RDP. Après le type de connexion, le service VNC demande le mot de passe, puis le bureau distant est représenté dans le navigateur. Diverses options telles que la résolution et la couleur permettent d ajuster la qualité de représentation à la vitesse de connexion. SSL-VPN 10 KB-3512 / SRU

Le bureau distant d un ordinateur dans Internet Explorer : SSL-VPN 11 KB-3512 / SRU

BUREAU DISTANT AVEC RDP (TERMINALSERVER) Depuis Windows XP, tous les systèmes d exploitation Windows supportent une solution intégrée de bureau distant avec le Remote Desktop Protocol (RDP). WAN Zone LAN Zone Home Computer Notebook Internet Coffee Au lieu d une connexion non sécurisée au bureau distant via un transfert de port, l exemple suivant montre la procédure pour l utilisation via une connexion HTTPS chiffrée. SSL-VPN 12 KB-3512 / SRU

Préparation de Windows Dans Windows 8, le menu Control Panel > System > Remote settings propose dans l onglet Remote l option Remote Desktop : Allow remote connections to this computer pour activer la connexion vers le bureau distant. Dans Windows 7 : autoriser les utilisateurs à se connecter seulement depuis des ordinateurs sur lesquels le bureau à distance est exécuté avec l authentification au niveau du réseau. SSL-VPN 13 KB-3512 / SRU

Pour que Windows 8 puisse accepter les connexions entrantes pour le support à distance, il faut une entrée dans le firewall Windows : Control Panel > Windows Firewall > Allow an app or feature through Windows Firewall. Pour Bureau distant, activer les deux options privé et public. Dans Windows 7 l option est marquée avec Remote Assistance. SSL-VPN 14 KB-3512 / SRU

Le firewall ZyXEL USG a aussi besoin d un objet d application SSL correspondant pour le support du bureau distant Windows, à nouveau du type application web, mais avec Server Typ RDP. Nous utilisons comme adresse IP l objet d adresse MyServer de notre ordinateur de destination. Nous ajoutons le nouvel objet à la SSL Access Policy déjà existante dans Application Objects : SSL-VPN 15 KB-3512 / SRU

Au prochain login, la page de portail SSL présente une nouvelle position de menu avec l appel pour la connexion bureau distant RDP. Le client qui établit la connexion prévient qu une page web veut établir une connexion distante. Une authentification d utilisateur a lieu avant la prise en charge du bureau distant. Si le nom d enregistrement ne s affiche pas dans la fenêtre de login, on peut saisir le nom d enregistrement de l ordinateur distant dans Utiliser un autre compte. Lors du prochain enregistrement, la fenêtre liste le nom d utilisateur utilisé en dernier. SSL-VPN 16 KB-3512 / SRU

Après une courte référence à l enregistrement d utilisateur en cours sur l ordinateur distant, le navigateur affiche le bureau distant avec les éléments de contrôle habituels de Terminal-Server: SSL-VPN 17 KB-3512 / SRU

FILE SHARING Afin de pouvoir disposer à n importe quel moment de certaines données, il est possible d accéder aux données ouvertes d un serveur par le biais du portail SSL. La connexion sécurisée permet le téléchargement montant et descendant de données, de même que des opérations simples de données telles que créer des répertoires, supprimer ou renommer des fichiers. LAN Zone Home Computer Notebook Internet Coffee Naturellement, la condition pour l accès est le bon fonctionnement du partage. Pour cela, le service de partage doit être installé et activé sur l ordinateur. Le partage d un classeur détermine aussi le nom de partage. Dans l exemple, nous partageons un classeur avec quatre fichiers via le nom de partage Share. Le Shared Path doit être saisi exactement de la même manière que s il devait établir lui-même la connexion sur le réseau. SSL-VPN 18 KB-3512 / SRU

Nous ajoutons également le nouvel objet dans la SSL Access Policy existante sous Application Objects : Lorsque la connexion vers le firewall USG a réussi, la page du portail SSL présente sous File Sharing le partage installé. Un clic sur l icône initie l enregistrement au partage. Pour cela, il faut saisir le nom d utilisateur et le mot de passe du partage correspondant, respectivement le nom d utilisateur et le mot de passe de l ordinateur contacté. Le portail liste désormais tous les fichiers partagés. Il est possible, en fonction des droits de partage, de télécharger, modifier les fichiers et de les télécharger de nouveau. SSL-VPN 19 KB-3512 / SRU

SSL-VPN 20 KB-3512 / SRU

FULL NETWORK ACCESS En mode Full Tunnel, une connexion réseau directe est établie du client vers le réseau de destination. Il est ainsi possible d utiliser les ressources du réseau de destination comme si le client se situait directement sur le réseau. L utilisateur s enregistre normalement par la page d accueil du firewall USG. Après une authentification réussie, l installation et l exécution du SecuExtender se fait par le navigateur. L installation doit se faire une fois par client. Chaque établissement de connexion se fait ensuite beaucoup plus rapidement et sans interaction de l utilisateur. LAN Zone Home Computer Notebook Internet Coffee Le SecuExtender crée sur le client une carte réseau virtuelle supplémentaire. Celle-ci reçoit du ZyWALL USG une adresse IP de la tranche IP nouvellement créée à cette fin. Les adresses IP doivent venir d un sous-réseau nouveau, pas encore utilisé! L objet nécessaire pour cela est créé dans Configuration > Object Address > Add. Comme type d adresse, nous sélectionnons Range et prenons la tranche 192.168.111.33...65. La tranche IP déterminée pour le VPN SSL SSL-VPN 21 KB-3512 / SRU

Pour l accès Full Tunnel, le SecuExtender est nécessaire et est automatiquement démarré après le login sur le navigateur. Il est donc sensé d installer un compte accès Full Tunnel pour un utilisateur. Nous créons pour cela l utilisateur full-tunnel-user dans le gestionnaire d objets. Configuration > Object > User/Group > Add Les anciennes versions de firmware v3.x demandaient encore la création d une règle de firewall afin d éviter que les paquets de données ne soient rejetés du tunnel SSL. Pour les versions actuelles de firmware, il y a déjà une règle prédéfinie qui est utilisée automatiquement lorsque la Zone SSL_VPN prédéfinie est reprise lors de la création suivante de la SSL-Access-Policy : Configuration > Security Policy > Policy Control SSL-VPN 22 KB-3512 / SRU

Afin que l installation du SecuExtenders ne démarre pas automatiquement pour chaque utilisateur, nous créons une nouvelle Access Policy. Celle-ci peut, mais ce n est pas obligé, ne contenir aucun autre objet VPN SSL. A côté de l option Join SSL_VPN Zone et de l utilisateur full-tunnel-user nous nous limitons dans cet exemple au domaine Network Extension. Nous déterminons le pool Assign IP Pool par l objet créé auparavant. Dans Network List nous choisissons le sous-réseau dans lequel nous souhaitons proposer l accès au tunnel. Les étapes suivantes montrent l établissement de la connexion avec Windows et Internet Explorer. Selon le système d exploitation et le navigateur Web, le déroulement peut varier légèrement. SSL-VPN 23 KB-3512 / SRU

Après le login avec le nom d utilisateur full-tunnel-user, le navigateur signale qu une installation Add-On est disponible. Suivez les indications pour exécuter l installation. 1 2 L installation nécessite des droits d administration uniques! Après l installation, SecuExtender démarre avec des droits d utilisateurs limités. 3 4 SSL-VPN 24 KB-3512 / SRU

SecuExtender démarre maintenant automatiquement après le SSL-VPN-Login pour l utilisateur Full- Tunnel. Chaque établissement de connexion est confirmé par SecuExtender avec une fenêtre d état. Un symbole dans la zone info indique si le tunnel est établi (vert) ou séparé (orange). Pour la désinstallation de SecuExtenders, le panneau de configuration tient une entrée dans Applications installées. SSL-VPN 25 KB-3512 / SRU

Dans l exécuteur de commandes, la commande ipconfig indique les paramétrages réseau actuels. La carte réseau virtuelle 'SecuExtender' a reçu la première adresse de la tranche de l objet SSL_IP_Pool. Un Ping sur l adresse d un ordinateur dans le réseau de destination, par exemple sur notre serveur sur 192.168.1.100, indique si nous avons configuré correctement notre tunnel et si la connexion a été établie avec succès. Attention : les versions actuelles de Windows avec pare-feu intégré ne répondent pas en standard à un ping! Soit il faut accepter la réponse pour ICMPv4 via les paramétrages avancés, soit il faut désactiver complètement le pare-feu pour le test. SSL-VPN 26 KB-3512 / SRU

Au lieu d accéder à des données partagées par le biais de la page du portail SSL, nous pouvons désormais appeler directement le partage sur notre serveur. Après avoir saisi le chemin \\192.168.1.100\Share dans la ligne d adresse d un classeur, la fenêtre d enregistrement suit pour les données d utilisateur du partage correspondant. Le classeur montre maintenant toutes les données du partage. Chaque application dans le cadre des droits d utilisateurs a un accès direct à ces données. SSL-VPN 27 KB-3512 / SRU

La connexion au bureau distant montrée dans la section BUREAU DISTANT AVEC RDP peut s afficher maintenant directement via le tunnel sur l IP locale IP 192.168.10.10. SSL-VPN 28 KB-3512 / SRU

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back