SSL-VPN Série firewall ZyXEL USG à partir de la version de firmware 4.10 Knowledge Base KB-3512 Août 2014 Studerus AG
SSL-VPN Tunnel VPN SSL via navigateur Avec un large support des appareils mobiles tels que pads et smart phones, le VPN SSL s établit en tant qu alternative simple au VPN IPSec. Le VPN SSL a besoin comme client de simplement un navigateur web supportant le SSL et propose ainsi un accès chiffré à : Des applications web diverses ou aussi à Outlook Web Access Un bureau distant via Terminal Server (RDP) ou VNC Des fichiers de partage (File Share) WAN Zone LAN Zone Client Home Computer Notebook Internet Coffee Full-Tunnel VPN SSL avec client logiciel L installation d un client logiciel dédié permet l accès complet et transparent à un réseau grâce au mode Full Tunnel SSL. SSL-VPN 2 KB-3512 / SRU
PREPARATION Créer l utilisateur SSL Pour utiliser une connexion SSL, nous avons besoin sur le firewall USG d un utilisateur avec les droits correspondants. Après le login via le firewall USG, une page de portail avec les services correspondants installés se montre à l utilisateur SSL. Configuration > Object > User/Group > Add Créer un objet adresse pour le serveur L ordinateur de destination avec les services de serveur reçoit à son avantage une adresse IP fixe. Une solution élégante pour cela est l entrée d un DHCP statique. Dans notre exemple, les services de serveur fonctionnent sur un ordinateur avec l IP 192.168.10.10. Configuration > Network > Interface > Ethernet > lan1 > DHCP Setting > Static DHCP Table SSL-VPN 3 KB-3512 / SRU
Pour le serveur, nous créons l objet adresse : Configuration > Object Address > Add Indication : il n est pas possible d établir plusieurs enregistrements d utilisateurs différents à partir du même ordinateur. Si la configuration se fait en tant qu administrateur (admin) et le test de la fonction SSL se fait avec un autre enregistrement (web-user, full-tunnel-user) à partir du même ordinateur, l enregistrement Admin est perdu. SSL-VPN 4 KB-3512 / SRU
APPLICATION WEB VPN SSL / REVERSE PROXY La variante SSL Web Application convient à toutes les applications qui se dirigent par le biais d un navigateur web. Un exemple connu est Outlook Web Access (OWA). Un contrôle via le navigateur web propose en tout cas de nombreuses autres applications. Dans notre exemple, nous utilisons le serveur web et FTP simple WebWeaver (www.brswebweaver.com), qui autorise l administration après l installation via le port 34010. Après le paramétrage d une application web SSL, nous nous enregistrons en tant qu utilisateur SSL sur le firewall USG à l aide d une connexion chiffrée via le navigateur. L USG transfère ensuite nos accès à l application paramétrée. WAN Zone LAN Zone Home Computer Notebook Internet Coffee SSL-VPN 5 KB-3512 / SRU
Dans WebWeaver, l administration distante (Remote Administration) dans Options > Server Configuration > Server > Remote Admin doit être activée et un utilisateur doit être sélectionné. L interface d administration web est alors accessible dans le navigateur sous http://server-ip:34010. Le paramétrage de l objet d application web s effectue dans le gestionnaire d objets de l USG. Le type d objet est Web Application, nous utilisons Web Server comme type de serveur. L adresse à saisir dans URL correspond exactement à celle utilisée dans le navigateur web sur le réseau local : http://192.168.10.10:34010. Configuration > Object > SSL Application > Add Avec l objet d application SSL que l on vient de créer, une nouvelle Access Policy est créée. Le nom et la description sont de libre choix. Avec le choix SSL_VPN, l option Zone veille à ce que les règles de firewall de la zone SSL_VPN soient valables pour cette police. On ajoute les utilisateurs (ou groupes) nécessaires dans User/Group et le nouvel objet application SSL dans SSL Application. Dans notre exemple, il s agit de l utilisateur web-user et de l objet WebWeaver_WebAdmin. SSL-VPN 6 KB-3512 / SRU
Configure > VPN > SSL VPN > Add SSL-VPN 7 KB-3512 / SRU
Pour tester, nous nous enregistrons avec l utilisateur web-user. Il est important d utiliser le bouton prévu SSL VPN pour l enregistrement VPN SSL. Le portail VPN SSL liste toutes les applications web autorisées. Un clic sur le choix WebWeaver_WebAdmin démarre le transfert vers la page respective enregistrement ou administration de WebWeaver. La communication du navigateur vers le firewall est chiffrée, ce qui est confirmé par le symbole correspondant dans la ligne d adresse. SSL-VPN 8 KB-3512 / SRU
BUREAU DISTANT AVEC VNC L accès distant sur un autre bureau présente une autre possibilité de l application web. Le bureau distant est représenté directement dans le navigateur après que la connexion SSL est établie. Cet exemple montre le service VNC (Virtual Network Computing) disponible pour des différentes versions de systèmes d exploitation (Windows, Linux, Mac OS). WAN Zone LAN Zone Client Home Computer Notebook Une version gratuite de VNC est téléchargeable sur www.uvnc.com en tant que UltraVNC. Après l installation et le démarrage du service de serveur (UltraVNC Server), VNC attend les requêtes de connexion sur le port pré-paramétré 5900. Sous Windows 7, il faut compléter le firewall Windows avec une exception (Panneau de configuration > Windows-Firewall > Accepter un programme ou une caractéristique dans Pare-feu Windows > Ajouter un programme > Parcourir > winvnc.exe > Ajouter). Pour l accès distant, nous avons besoin d un objet d application SSL supplémentaire de type application Web et du Server Type VNC et de l adresse IP de l ordinateur de destination avec le service VNC. Nous utilisons comme adresse IP l objet adresse MyServer créé en préparation. SSL-VPN 9 KB-3512 / SRU
Nous ajoutons l objet dans la SSL Access Policy existante sous SSL Application Objects : Configure > VPN > SSL VPN > Add Le démarrage de la connexion au bureau distant se fait via le portail VPN SSL et le choix de bureau distant de type RDP. Après le type de connexion, le service VNC demande le mot de passe, puis le bureau distant est représenté dans le navigateur. Diverses options telles que la résolution et la couleur permettent d ajuster la qualité de représentation à la vitesse de connexion. SSL-VPN 10 KB-3512 / SRU
Le bureau distant d un ordinateur dans Internet Explorer : SSL-VPN 11 KB-3512 / SRU
BUREAU DISTANT AVEC RDP (TERMINALSERVER) Depuis Windows XP, tous les systèmes d exploitation Windows supportent une solution intégrée de bureau distant avec le Remote Desktop Protocol (RDP). WAN Zone LAN Zone Home Computer Notebook Internet Coffee Au lieu d une connexion non sécurisée au bureau distant via un transfert de port, l exemple suivant montre la procédure pour l utilisation via une connexion HTTPS chiffrée. SSL-VPN 12 KB-3512 / SRU
Préparation de Windows Dans Windows 8, le menu Control Panel > System > Remote settings propose dans l onglet Remote l option Remote Desktop : Allow remote connections to this computer pour activer la connexion vers le bureau distant. Dans Windows 7 : autoriser les utilisateurs à se connecter seulement depuis des ordinateurs sur lesquels le bureau à distance est exécuté avec l authentification au niveau du réseau. SSL-VPN 13 KB-3512 / SRU
Pour que Windows 8 puisse accepter les connexions entrantes pour le support à distance, il faut une entrée dans le firewall Windows : Control Panel > Windows Firewall > Allow an app or feature through Windows Firewall. Pour Bureau distant, activer les deux options privé et public. Dans Windows 7 l option est marquée avec Remote Assistance. SSL-VPN 14 KB-3512 / SRU
Le firewall ZyXEL USG a aussi besoin d un objet d application SSL correspondant pour le support du bureau distant Windows, à nouveau du type application web, mais avec Server Typ RDP. Nous utilisons comme adresse IP l objet d adresse MyServer de notre ordinateur de destination. Nous ajoutons le nouvel objet à la SSL Access Policy déjà existante dans Application Objects : SSL-VPN 15 KB-3512 / SRU
Au prochain login, la page de portail SSL présente une nouvelle position de menu avec l appel pour la connexion bureau distant RDP. Le client qui établit la connexion prévient qu une page web veut établir une connexion distante. Une authentification d utilisateur a lieu avant la prise en charge du bureau distant. Si le nom d enregistrement ne s affiche pas dans la fenêtre de login, on peut saisir le nom d enregistrement de l ordinateur distant dans Utiliser un autre compte. Lors du prochain enregistrement, la fenêtre liste le nom d utilisateur utilisé en dernier. SSL-VPN 16 KB-3512 / SRU
Après une courte référence à l enregistrement d utilisateur en cours sur l ordinateur distant, le navigateur affiche le bureau distant avec les éléments de contrôle habituels de Terminal-Server: SSL-VPN 17 KB-3512 / SRU
FILE SHARING Afin de pouvoir disposer à n importe quel moment de certaines données, il est possible d accéder aux données ouvertes d un serveur par le biais du portail SSL. La connexion sécurisée permet le téléchargement montant et descendant de données, de même que des opérations simples de données telles que créer des répertoires, supprimer ou renommer des fichiers. LAN Zone Home Computer Notebook Internet Coffee Naturellement, la condition pour l accès est le bon fonctionnement du partage. Pour cela, le service de partage doit être installé et activé sur l ordinateur. Le partage d un classeur détermine aussi le nom de partage. Dans l exemple, nous partageons un classeur avec quatre fichiers via le nom de partage Share. Le Shared Path doit être saisi exactement de la même manière que s il devait établir lui-même la connexion sur le réseau. SSL-VPN 18 KB-3512 / SRU
Nous ajoutons également le nouvel objet dans la SSL Access Policy existante sous Application Objects : Lorsque la connexion vers le firewall USG a réussi, la page du portail SSL présente sous File Sharing le partage installé. Un clic sur l icône initie l enregistrement au partage. Pour cela, il faut saisir le nom d utilisateur et le mot de passe du partage correspondant, respectivement le nom d utilisateur et le mot de passe de l ordinateur contacté. Le portail liste désormais tous les fichiers partagés. Il est possible, en fonction des droits de partage, de télécharger, modifier les fichiers et de les télécharger de nouveau. SSL-VPN 19 KB-3512 / SRU
SSL-VPN 20 KB-3512 / SRU
FULL NETWORK ACCESS En mode Full Tunnel, une connexion réseau directe est établie du client vers le réseau de destination. Il est ainsi possible d utiliser les ressources du réseau de destination comme si le client se situait directement sur le réseau. L utilisateur s enregistre normalement par la page d accueil du firewall USG. Après une authentification réussie, l installation et l exécution du SecuExtender se fait par le navigateur. L installation doit se faire une fois par client. Chaque établissement de connexion se fait ensuite beaucoup plus rapidement et sans interaction de l utilisateur. LAN Zone Home Computer Notebook Internet Coffee Le SecuExtender crée sur le client une carte réseau virtuelle supplémentaire. Celle-ci reçoit du ZyWALL USG une adresse IP de la tranche IP nouvellement créée à cette fin. Les adresses IP doivent venir d un sous-réseau nouveau, pas encore utilisé! L objet nécessaire pour cela est créé dans Configuration > Object Address > Add. Comme type d adresse, nous sélectionnons Range et prenons la tranche 192.168.111.33...65. La tranche IP déterminée pour le VPN SSL SSL-VPN 21 KB-3512 / SRU
Pour l accès Full Tunnel, le SecuExtender est nécessaire et est automatiquement démarré après le login sur le navigateur. Il est donc sensé d installer un compte accès Full Tunnel pour un utilisateur. Nous créons pour cela l utilisateur full-tunnel-user dans le gestionnaire d objets. Configuration > Object > User/Group > Add Les anciennes versions de firmware v3.x demandaient encore la création d une règle de firewall afin d éviter que les paquets de données ne soient rejetés du tunnel SSL. Pour les versions actuelles de firmware, il y a déjà une règle prédéfinie qui est utilisée automatiquement lorsque la Zone SSL_VPN prédéfinie est reprise lors de la création suivante de la SSL-Access-Policy : Configuration > Security Policy > Policy Control SSL-VPN 22 KB-3512 / SRU
Afin que l installation du SecuExtenders ne démarre pas automatiquement pour chaque utilisateur, nous créons une nouvelle Access Policy. Celle-ci peut, mais ce n est pas obligé, ne contenir aucun autre objet VPN SSL. A côté de l option Join SSL_VPN Zone et de l utilisateur full-tunnel-user nous nous limitons dans cet exemple au domaine Network Extension. Nous déterminons le pool Assign IP Pool par l objet créé auparavant. Dans Network List nous choisissons le sous-réseau dans lequel nous souhaitons proposer l accès au tunnel. Les étapes suivantes montrent l établissement de la connexion avec Windows et Internet Explorer. Selon le système d exploitation et le navigateur Web, le déroulement peut varier légèrement. SSL-VPN 23 KB-3512 / SRU
Après le login avec le nom d utilisateur full-tunnel-user, le navigateur signale qu une installation Add-On est disponible. Suivez les indications pour exécuter l installation. 1 2 L installation nécessite des droits d administration uniques! Après l installation, SecuExtender démarre avec des droits d utilisateurs limités. 3 4 SSL-VPN 24 KB-3512 / SRU
SecuExtender démarre maintenant automatiquement après le SSL-VPN-Login pour l utilisateur Full- Tunnel. Chaque établissement de connexion est confirmé par SecuExtender avec une fenêtre d état. Un symbole dans la zone info indique si le tunnel est établi (vert) ou séparé (orange). Pour la désinstallation de SecuExtenders, le panneau de configuration tient une entrée dans Applications installées. SSL-VPN 25 KB-3512 / SRU
Dans l exécuteur de commandes, la commande ipconfig indique les paramétrages réseau actuels. La carte réseau virtuelle 'SecuExtender' a reçu la première adresse de la tranche de l objet SSL_IP_Pool. Un Ping sur l adresse d un ordinateur dans le réseau de destination, par exemple sur notre serveur sur 192.168.1.100, indique si nous avons configuré correctement notre tunnel et si la connexion a été établie avec succès. Attention : les versions actuelles de Windows avec pare-feu intégré ne répondent pas en standard à un ping! Soit il faut accepter la réponse pour ICMPv4 via les paramétrages avancés, soit il faut désactiver complètement le pare-feu pour le test. SSL-VPN 26 KB-3512 / SRU
Au lieu d accéder à des données partagées par le biais de la page du portail SSL, nous pouvons désormais appeler directement le partage sur notre serveur. Après avoir saisi le chemin \\192.168.1.100\Share dans la ligne d adresse d un classeur, la fenêtre d enregistrement suit pour les données d utilisateur du partage correspondant. Le classeur montre maintenant toutes les données du partage. Chaque application dans le cadre des droits d utilisateurs a un accès direct à ces données. SSL-VPN 27 KB-3512 / SRU
La connexion au bureau distant montrée dans la section BUREAU DISTANT AVEC RDP peut s afficher maintenant directement via le tunnel sur l IP locale IP 192.168.10.10. SSL-VPN 28 KB-3512 / SRU