Suite Client VPN pour Windows universelle et à gestion centralisée Gestion centralisée (Secure Enterprise Management, SEM) Network Access Control /contrôle d'accès réseau (Stratégie postes terminaux) Compatible avec toutes les grandes passerelles VPN (norme IPsec) Microsoft Windows 10, 8, 7 et Vista Pare-feu personnel dynamique compatible ipv6 Technologie VPN Path Finder (Backup IPsec/HTTPS) FIPS Inside Authentification renforcée Prise en charge multicertificat Prise en charge équipements 3G / 4G Itinérance continue pour travailler sans interruption, même en cas de changement de moyen de communication Universalité et télécommunications Le module Secure Enterprise Client (Client entreprise sécurisé) appartient à la technologie d'accès à distance au réseau nouvelle génération de NCP. En tant que solution holistique VPN d'accès à distance, celle-ci est destinée à tous les personnels dont le matériel informatique repose sur Windows, qu'ils soient en bureau ou nomades. Le module Secure Client (client sécurisé) vous permet d'établir des liaisons de données IPsec sécurisées de n'importe où dans le monde vers des passerelles VPN d'entreprise, de NCP ou d'un autre fabricant. L'établissement de connexion sur l'ensemble des réseaux est entièrement indépendant du logiciel de composition Microsoft, quel qu'il soit. Pour le travail sur un ordinateur Windows nomade, le service d'itinérance continue (Seamless Roaming) veille au maintien d'une connexion permanente. A cette fin, il sélectionne automatiquement le support de connexion le plus rapide tout en préservant la session d'application lors d'un passage sur un autre support ou lors d'une courte interruption. La technologie de recherche de chemin optimal de NCP, dite "Path Finder Technology", permet un accès à distance, même lorsque l'ordinateur se trouve derrière un pare-feu ou proxy qui empêcherait normalement l'établissement d'un tunnel IPsec. Path Finder automatise le passage en mode de protocole IPsec modifié utilisant le port HTTPS disponible pour le tunnel VPN. Le module Secure Client repose sur le Credential Service Provider (service d'identification) pour la connexion de domaine, ceci permettant aux utilisateurs nomades de se connecter en toute sécurité au domaine Windows. Sécurité Le module Secure Enterprise Client fournit également des mécanismes de sécurité complémentaires, tels qu'un pare-feu personnel dynamique intégré. L'administrateur peut définir de manière centralisée les règles relatives aux ports, adresses IP, sous-réseaux IP et applications. En fonction des valeurs prédéfinies Page 1 / 7
pour ces règles de sécurité, la fonction Friendly Net Detection (FND) détecte si l'ordinateur de l'utilisateur se trouve dans un réseau ami ou inconnu. La règle de pare-feu correspondante est alors activée, en fonction du réseau détecté et, de manière similaire, pour les connexions à un point d'accès, notamment lors d'une connexion ou déconnexion du réseau Wi-Fi. Contrairement aux pare-feux classiques, le pare-feu NCP entre en action dès le démarrage de l'ordinateur. Parmi les autres fonctionnalités de sécurité, on peut citer les solutions OTP (One-Time Password, mot de passe à usage unique) et les certificats PKI (Public Key Infrastructure, infrastructure de clés publiques), ainsi que la vérification des stratégies des postes terminaux (Endpoint Policy Check) empêchant l'accès au réseau d'entreprise pour les ordinateurs présentant des niveaux de sécurité inappropriés. La prise en charge multicertificat (Multi Certificate Support) permet les connexions VPN entre un ordinateur donné et différentes sociétés, même lorsque chaque société exige un certificat d'utilisateur individuel. Elle définit pour cela un certain nombre de paramètres de certificat, puis les attribue individuellement aux profils de connexion spécifiques. FIPS : Le module cryptographique intégré est validé conformément à la norme FIPS 140-2 (certificat #1051). La fonctionnalité intégrée d'authentification avancée (Advanced Authentication) du système de gestion d'entreprise sécurisée NCP prend en charge l'authentification à deux facteurs via SMS. Grâce aux services du connecteur d'authentification avancée NCP ou d'un fournisseur de services SMS, l'utilisateur peut recevoir un mot de passe à usage unique sur son téléphone portable (adressage via la carte SIM). Dans certains cas extrêmes, l'administrateur peut bloquer tous les paramètres du client sécurisé, empêchant tout changement par l'utilisateur. En variante, il est également possible de débloquer de manière individuelle certains paramètres dans des cas spécifiques, ce qui permet une couverture appropriée de toutes les situations. Convivialité et rentabilité Le module Secure Enterprise Client constitue un outil unique sur le marché en termes de convivialité et de gestion centralisée. La composition d'appel intégrée du client sécurisé établit automatiquement la connexion à Internet, tandis que la détection du type de support sélectionne systématiquement le réseau de communication disponible le plus rapide tout en lançant l'établissement du tunnel VPN. Durant la vie de ce tunnel, l'itinérance continue permet un passage automatisé au support de communication optimal, sans influencer l'état de celui-ci. L'interface utilisateur graphique (GUI) intuitive du client sécurisé maintient l'utilisateur informé de l'état du réseau et de son niveau de sécurité, avant et pendant une connexion VPN. Des journaux détaillés contribuent à offrir une assistance rapide du support technique en cas d'imprévus, tandis qu'un assistant de configuration simplifie la création des profils. Le module Secure Client prend en charge le Wi-Fi/WLAN (Wireless Local Area Network, réseau local sans fil) et le WWAN (Wireless Wide Area Network, réseau étendu sans fil, 2G, 3G, 4G). La configuration de réseau mobile/ sans fil, incluant le nom de point d'accès (APN, Access Point Name), est automatiquement dérivée de la carte SIM utilisée, ainsi que des informations détaillées du fournisseur de services mobiles/sans fil correspondant. Cette approche s'avère particulièrement avantageuse pour le travail à l'étranger, l'utilisateur étant ainsi libre d'acheter et d'utiliser une carte SIM auprès du fournisseur local le plus rentable. La prise en charge de l'interface haut débit mobile (Mobile Broadband Interface) sous Windows 7 et 8 assure les meilleures performances en termes de Page 2 / 7
connexion aux équipements 4 G/LTE, sans pour autant nécessiter l'installation d'une application de gestion fournie par le fabricant de carte. Le gestionnaire de budget (Budget Manager) permet d'atteindre une rentabilité de fonctionnement optimale, grâce à la définition et la supervision des budgets volumes et temps ou des fournisseurs. La GUI du client sécurisé comprend une zone de configuration libre destinée à afficher le logo du client ou des infos support; elle est en outre elle-même conçue pour un fonctionnement sans barrières, prenant en charge le fonctionnement d'un lecteur d'écran. Gestion centralisée La gestion d'entreprise sécurisée NCP propose un point d'administration centralisé pour le déploiement, la mise en service, et l'administration des modules Secure Enterprise Client (condition préalable à une utilisation de ces modules). Page 3 / 7
Système d'exploitation Fonctionnalités relatives à la sécurité Pare-feu personnel Configuration de pare feu Mise en réseau privé virtuel Chiffrement FIPS Inside Microsoft Windows (32 et 64 bits): Windows 10, Windows 8.x, Windows 7, Windows Vista Le module Enterprise Client prend en charge toutes les normes IPsec courantes conformément à RFC Inspection de paquets avec état (Stateful Packet Inspection) ; IP-NAT (Network Address Translation); Friendly Net Detection (règles de pare-feu adaptées automatiquement si le réseau connecté est reconnu sur la base de son adresse de sous-réseau IP, de l'adresse MAC du serveur DHCP ou d'un serveur FND NCP*); Démarrage d'action liée au FND; connexion sécurisée aux points d'accès; règles de filtrage différencié relatives aux : protocoles, ports, applications et adresses, protection de carte réseau sans fil, prise en charge IPv4 et IPv6, administration centralisée* IPsec (Tunnellisation de couche 3), conformité RFC ; les propositions IPsec peuvent être déterminées via la passerelle IPsec (IKEv1/IKEv2, IPsec Phase 2) ; journalisation des événements ; communication uniquement dans le tunnel ; fragmentation en unités MTU et réassemblage, DPD, traversée NAT (NAT-T) ; Mode tunnel IPsec Processus symétriques : AES 128,192,256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits; Processus dynamiques pour l'échange de clés : RSA à 2048 bits; recomposition continue (PFS); Algorithmes de hachage : SHA-1, SHA-256, SHA384, SHA-512, MD5, groupe DH 1, 2, 5, 14-21, 25, 26 Le client IPsec intègre des algorithmes cryptographiques conformes à la norme FIPS. Le module cryptographique intégré incluant ces algorithmes a subi une validation conformément à la norme FIPS 140-2 (certificat #1051). La conformité FIPS sera systématiquement conservée lors de l'utilisation des algorithmes cités ci-après pour l'établissement et le chiffrement de la connexion IPsec : Groupe DH : Groupe 2 or supérieur (DH à partir d'une longueur de 1024 bits) Algorithmes de hachage : SHA1, SHA 256, SHA 384, ou SHA 512 bits Algorithmes de chiffrement : AES avec 128, 192 et 256 bits ou Triple DES Page 4 / 7
Processus d'authentification IKEv1 (Aggressive Mode et Main Mode, Quick Mode); XAUTH pour une authentification utilisateur étendue; Mode IKE config. pour une affectation dynamique d'une adresse virtuelle à partir du pool d'adresses interne (IP privé); PFS; PAP, CHAP, MS CHAP V.2; IEEE 802.1x: protocole EAP-MD5 (Extensible Authentication Protocol) : authentification étendue relative aux commutateurs et points d'accès (Couche 2); Protocole EAP-TLS (Extensible Authentication Protocol - Transport Layer Security): authentification étendue relative aux commutateurs et points d'accès sur la base de certificats (Couche 2); prise en charge de certificats sous PKI: certificats logiciels, cartes à puce et jetons USB: secrets prépartagés, mots de passe à usage unique et systèmes stimulation/réponse; RSA SecurID ready Authentification renforcée Normes relatives à Inscription PKI* Network Access Control (contrôle d'accès réseau) Fonctionnalités liées à la mise en réseau Protocole de réseau Composition de numéros Itinérance continue** Norme X.509 v.3; Entrust Ready Interface PKCS#11 pour jetons de chiffrement (USB et cartes à puce); systèmes d'exploitation de carte à puce: TCOS 1.2, 2.0 et 3.0; interfaces de lecteur de carte à puce: PC/SC, CT-API; interface PKCS#12 pour les clés privées des certificats logiciels; CSP pour l'utilisation de certificats utilisateur dans le magasin de certificats Windows Stratégie PIN; spécification administrative pour l'entrée PIN dans n'importe quel niveau de complexité; Révocation: EPRL (End-entity Public-key Certificate Revocation List, anciennement CRL), CARL (Certification Authority Revocation List, anciennement ARL), OCSP. Protocole CMP* (Certificate Management Protocol) Application de stratégies de postes terminaux** Émulation réseau local (LAN): Adaptateur Ethernet avec interface NDIS, prise en charge complète WLAN (Wireless Local Area Network) et WWAN (Wireless Wide Area Network, Windows 7 Mobile Broadband) IP Connecteur Internet NCP, composeur RAS Microsoft (pour composition d'appel ISP via script de composition de numéro) En cas d'apparition d'une erreur de support de communication, une permutation automatique de tunnel VPN sur un autre support de communication Internet (LAN/WWAN/3G/4G) sans modification de l'adresse IP permet de s'assurer que les applications communiquant via le tunnel ne sont pas dérangées et que la session d'application n'est pas interrompue. (Condition préalable : Serveur Secure Enterprise VPN) VPN Path Finder*** Technologie Path Finder NCP : backup IPsec/ HTTPS (port 443) si le port 500 ou, le cas Page 5 / 7
(recherche de chemin VPN) Attribution d'adresses IP Supports de communication Gestion de ligne APN provenant de la carte SIM Compression de données Fonctionnalités supplémentaires Protocoles point-à-point Internet Society RFC (demandes de changement) et projets Client Monitor (surveillance client) Interface graphique utilisateur intuitive échéant, une encapsulation UDP n'est pas possible (condition préalable: technologie Path Finder VPN NCP sur passerelle VPN) DHCP (Dynamic Host Control Protocol), DNS: composition vers la passerelle centrale avec adresses IP publiques variables par le biais d'une requête d'adresse IP via serveur DNS Internet, LAN, Wi-Fi, GSM (dont HSCSD), GPRS, 3G, LTE, HSDPA, PSTN, RNIS DPD avec intervalle de temps configurable ; mode de veille automatique ; itinérance Wi-Fi (transfert intercellulaire) ; regroupement de canaux (dynamique dans RNIS) avec valeur de seuil à configuration libre ; délai d'expiration (contrôlé par le temps et les frais) ; gestionnaire de budget ; modes de connexion : automatique, manuel, variable (reconnexion en fonction du mode de déconnexion invoqué précédemment) L'APN (Access Point Name, nom de point d'accès) définit un point d'accès d'une connexion de données mobiles chez un fournisseur. Si l'utilisateur change de fournisseur, le système utilise automatiquement les données APN de la carte SIM pour configurer le client sécurisé. IPCOMP (lzs), compressé Encapsulation UDP, prise en charge WISPr, itinérance IPsec, itinérance Wi-Fi, séparation des flux PPP sur ISDN, PPP sur GSM, PPP sur Ethernet; LCP, IPCP, MLP, CCP, PAP, CHAP, ECP RFC 2401 2409 (IPsec), RFC 3947 (négociations NAT-T), RFC 3948 (encapsulation UDP), architecture de sécurité IP, ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, traversée NAT (NAT-T), encapsulation UDP, IPCOMP Multilingue (anglais, espagnol, français, allemand) Utilisation intuitive Configuration, gestion et surveillance des connexions, statistiques de connexion, fichiers de journalisation, test de disponibilité Internet, outil de suivi pour le diagnostic d'erreurs Icône feu de signalisation pour l'affichage de l'état de connexion Prise en charge intégrée de cartes Mobile Connect (intégrées) La surveillance client (Client Monitor) peut être personnalisée avec le nom de la société et des informations de support Gestion de la configuration et gestion des profils protégées par mot de passe, verrouillage des paramètres de configuration *) Si vous souhaitez télécharger le Serveur FND de NCP comme additif, veuillez cliquer ici : Page 6 / 7
https://www.ncp-e.com/en/resources/download-vpn-client.html **) Condition préalable : Gestion d'entreprise sécurisée NCP (Secure Enterprise Management, SEM) ***) Condition préalable Serveur Secure Enterprise VPN NCP (Secure Enterprise VPN Server) Des informations détaillées concernant le module Secure Enterprise Client NCP sont disponibles sur Internet à l'adresse suivante : http://www.ncp-e.com/en/products/centrally-managed-vpn-solution/managed-vpn-client-suite.html FIPS 140-2 Inside Page 7 / 7