SIG. Routeur IP Serveur ou client VPN Serveur RAS. NOTICE D'UTILISATION Document référence : 9016909-02

SIG Routeur IP Serveur ou client VPN Serveur RAS NOTICE D'UTILISATION Document référence : 9016909-02

Le routeur de type SIG est fabriqué par ETIC TELECOM 13 Chemin du vieux chêne 38240 MEYLAN FRANCE En cas de difficulté dans la mise en oeuvre du produit, vous pouvez vous adresser à votre revendeur, ou bien contacter notre service support : TEL : + (33) (0)4-76-04-20-05 FAX : + (33) (0)4-76-04-20-01 E-mail : hotline@etictelecom.com web : www.etictelecom.com

SOMMAIRE PRESENTATION 1 DECLARATION DE CONFORMITE... 6 2 FICHE TECHNIQUE... 7 3 PRESENTATION... 9 3.1 Présentation d ensemble... 9 3.2 Tunnels VPN de type TLS et IPSec... 10 3.3 Firewall... 10 3.4 Télémaintenance... 10 3.5 Autres fonctions... 10 INSTALLATION 1 DESCRIPTION DU PRODUIT... 13 2 PRECAUTIONS D INSTALLATION... 14 3 INTERFACES ETHERNET... 14 MISE EN SERVICE 1 CONNEXION DU PC EN VUE DE LA CONFIGURATION... 17 3.1 Introduction... 17 3.2 Première configuration... 18 3.3 Modifications ultérieures de la configuration... 19 4 REDEMARRAGE APRES MODIFICATION DE CERTAINS PARAMETRES... 20 5 RETROUVER L ADRESSE IP DU ROUTEUR... 20 6 PROTECTION DE L ACCES AU SERVEUR D ADMINISTRATION... 21 7 CONFIGURATION DES @ IP DE L INTERFACE LOCALE (ETHERNET 1)... 22../.. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 3

SOMMAIRE (suite) MISE EN SERVICE 8 CONFIGURATION DE L INTERFACE WAN (ETHERNET 4)... 24 8.1 Mode «Routeur»... 24 8.2 Mode «Bridge»... 25 9 INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS... 26 9.1 Mise en œuvre de connexions IPSec... 27 9.2 Mise en œuvre de connexions TLS... 34 9.3 Ajouter un certificat... 37 10 CONFIGURATION DE ROUTES STATIQUES... 39 11 CONNEXION DES UTILISATEURS DISTANTS... 41 11.1 Présentation... 41 11.2 Paramétrage de la connexion VPN... 42 11.3 Paramétrage de la liste d utilisateurs... 44 11.4 Utilisation du logiciel M2Me_Secure... 47 12 PARAMETRAGE DU PARE-FEU... 48 1.1 Présentation... 48 1.2 Filtres d utilisateurs... 49 12.1 Composer un «filtre utilisateurs»... 50 13 PORTAIL WEB... 54 14 CONFIGURATION DU SERVEUR DNS... 55../.. Page 4 Notice d utilisation ref 9016909-02 Routeur ref. SIG

SOMMAIRE MAINTENANCE 1 SAUVEGARDE ET CHARGEMENT D UN FICHIER DE PARAMETRES... 57 2 MENU DIAGNOSTIC... 57 3 MISE A JOUR DU FIRMWARE... 59 Annexe 1 : Annexe 2 : Annexe 3 : Annexe 4 : Arborescence du serveur d administration Créer une connexion distante PPP sous Windows XP Créer une connexion sécurisée PPTP sous Windows XP Modifier une connexion ethernet TCP/IP sous Windows XP Routeur ref. SIG Notice d utilisation ref. 9015409-02 Page 5

PRESENTATION 1 Déclaration de conformité Identification du produit : Référence : Routeur-firewall VPN SIG Au nom de la société ETIC Telecom, Gilles Benas agissant en tant que directeur de la qualité, déclare que le produit ci-dessus est conforme à la directive R&TTE Directive (1999/5/EC). Le produit routeur est en particulier conforme aux normes suivantes : Compatibilité : EN 55022 EN 50024 EN 300386-2 FCC Part 15 Sécurité : EN 60950 UL (IEC950) Substance dangereuses : 2002/95/CE (RoHS) Date : 5 Octobre 2007 Gilles Benas Responsable de la qualité Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 6

PRESENTATION 2 Fiche technique Caractéristiques générales Dimensions 44 x 425 x 230 mm (h, l, p) EMI EN50082-2 Sécurité électrique EN 60950- UL 1950 ESD : EN61000-4-2 : Décharge 6 KV CEM Champ HF : EN61000-4-3 : 10V/m < 2 GHz Transitoires : EN61000-4-4 Choc : EN61000-4-5 : 4KV line / earth Substances dangereuses 2002/95/CE (RoHS) Tension d alimentation Consommation 110-230 VAC 50/60Hz - 60 W T d utilisation 0 C / + 40 C Humidité 5 à 95 % Connexion Internet ( sur Interface Ethernet 4) Mode bridge : PPPo Ethernet Connexion Internet Mode routeur Ethernet / routage IP 10-100 BT à détection de débit 10 ou 100 Mb/s et de câble croisé Ethernet Port Ethernet 1 : 1 port Ethernet pour la connexion au réseau local Port Ethernet 4 : 1 port Ethernet pour la connexion à Internet Routeur Connexions distantes - Routes statiques - RIP V2 Translation d @IP Translation d @IP source (NAT) DNS Gestion de nom de domaine DHCP DHCP serveur ou @ IP fixe sur l interface réseau local (Ethernet 1) Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 7

PRESENTATION Sécurité VPN Firewall Logs Client ou serveur IPSEC ou TLS/SSL 128 VPN simultanés cryptage AES256 ou 3DES Gestion de certificat X509 Stateful packet inspection (50 règles) Filtrage des utilisateurs Event logs (date and time) Serveur d accès distant (RAS) Utilisateurs distants Connexion M2Me Liste de 25 utilisateurs Sécurisée par VPN PPTP / L2TP-IPSec / TLS Open VPN Contrôle de Login et mot de passe Contrôle de certificat X509 Compatible du logiciel client VPN M2Me_Secure et Open VPN Page 8 Notice d utilisation ref 9016909-02 Routeur ref. SIG

PRESENTATION 3 Présentation 3.1 Présentation d ensemble Le routeur SIG est un serveur VPN et un routeur IP. Il permet l établissement de 128 VPN simultanés clients ou serveurs avec un débit global de 30 Mb/s environ. Il permet de réaliser des systèmes de télécontrôle entre un réseau de supervision et des équipements distants (systèmes mobiles, automatismes, équipements de mesure...). Le routeur SIG constitue également un point d accès sécurisé (serveur RAS) pour la télémaintenance des équipements raccordés au système. Le routeur SIG présente deux interfaces Ethernet 10/100 BT : Le port Ethernet 1 Il est appelé interface réseau local ou, en raccourci, interface LAN dans la suite du texte. Il permet le raccordement des équipements du réseau local. Le port Ethernet 4 Il est appelé Interface WAN dans la suite du texte. Les VPN peuvent être établis uniquement sur cette interface. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 9

PRESENTATION Cette interface peut être reliée à l Internet via un routeur tel qu un routeur ADSL ou SDSL ou d un autre type. 3.2 Tunnels VPN de type TLS et IPSec Authentification et cryptage Grâce à la technique du VPN, chaque routeur établit une connexion avec un autre routeur après l avoir authentifié à l aide d une clé secrète. Toute autre connexion est rejetée. De plus, pour la discrétion, les données sont cryptées. interconnexion transparente des réseaux Etabli entre deux routeurs, le VPN assure l interconnexion transparente des deux réseaux en sorte que toute machine de l un des réseaux peut communiquer avec une machine de l autre réseau. 3.3 Firewall Le routeur SIG dispose d un firewall «SPI» qui inspecte les paquets en permanence. Il permet de rejeter les tentatives de connexions hormis les connexions VPN déclarées, les connexions d utilisateurs distants déclarées (RAS), De plus, le domaine d adresses IP accessibles aux utilisateurs distants peut être limité. 3.4 Télémaintenance Le routeur SIG fait également fonction de serveur d accès distant permettant à un groupe d utilisateurs distants et authentifiés d accéder aux machines connectés au routeur SIG avec des droits maîtrisés, par exemple pour la télémaintenance. 3.5 Autres fonctions SNMP Le routeur SIG est agent SNMP; il répond à la MIB2 standard et transmet un trap SNMP lorsque des événements paramétrables surviennent. Page 10 Notice d utilisation ref 9016909-02 Routeur ref. SIG

PRESENTATION DNS et DynDNS Le système DNS permet au routeur SIG d établir une connexion avec un autre routeur en utilisant un nom de domaine (DNS) ou un nom de domaine dynamique (DynDNS) plutôt que par son adresse IP. Configuration Html Le routeur SIG se configure au moyen d un navigateur HTML Le fichier de configuration peut être sauvegardé. EticFinder Le logiciel ETICFinder livré avec le routeur ; il permet de détecter simplement tous les produits de marque ETIC connectés à un segment Ethernet pour afficher leur adresse MAC ainsi que l adresse IP qui leur est attribuée sur le réseau. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 11

INSTALLATION 1 Description du produit Routeur SIG Note Importante : Hormis les interfaces Ethernet 1 et 4 repérées ci-dessus, le produit comporte d autres interfaces (Ethernet, série, video, clavier) ; il est conseillé de ne pas les utiliser. Interface Voyant Fonction Ethernet 1 DATA Echange de données sur l interface Ethernet LINK Interface Ethernet connecté Ethernet 4 DATA Echange de données sur l interface Ethernet LINK Interface Ethernet connecté Equipement sous tension Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 13

INSTALLATION Connecteurs «Ethernet 1» et «Ethernet 4» RJ45 Ethernet 10 / 100 BT Broche Signal Fonction 1 Tx + Emission polarité + 2 Tx - Emission polarité - 3 Rx + Réception polarité + 4 N.C - 5 N.C - 6 Rx - Réception polarité - 7 N.C. - 8 N.C. - 2 Précautions d installation Ventilation Le produit est conçu pour être fixé dans une baie 19 pouces. Il est équipé d un ventilateur. Pour éviter tout échauffement, en particulier lorsque la température ambiante peut s élever dans l armoire électrique, on veillera à ménager un espace de 3 cm de chaque côté du produit pour faciliter l écoulement de la chaleur. Alimentation La tension minimale d alimentation est 110 VAC. La tension maximale d alimentation est 240 VAC. Fréquence 50 ou 60 Hz. 3 Interfaces Ethernet L interface Ethernet N 1 permet la connexion du routeur à un réseau local. C est en particulier à cette interface qu on connectera le PC en vue de la configuration. L interface Ethernet N 4 permet la connexion du routeur à un Intranet ou à l Internet; les VPN (clients ou serveurs) peuvent seulement être établis sur cette interface. Les interfaces 2 et 3 ne sont pas utilisables. Les interfaces Ethernet sont à reconnaissance automatique du débit 10 ou 100 Mb/s et de croisement de circuits. On peut donc utiliser indifféremment des câbles croisés ou non croisés. Page 14 Notice d utilisation ref 9016909-02 Routeur ref. SIG

INSTALLATION. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 15

MISE EN SERVICE 1 Connexion du PC en vue de la configuration 3.1 Introduction Le routeur se configure au moyen d un PC équipé d un navigateur HTML. Aucun logiciel complémentaire n est nécessaire. Navigateur HTML L utilisation de Internet explorer 8 est conseillée. Première configuration : La première configuration s effectue en connectant le PC directement au connecteur Ethernet 1 du routeur (Interface LAN). A la livraison, l adresse IP attribuée à cette interface est 192.168.0.128. Modification de la configuration : Les modifications ultérieures peuvent être effectuées par le réseau local (Interface 1) ou bien à distance à travers Internet ou l intranet en utilisant une connexion distante sur Interface WAN (Interface 4). Protection d accès au serveur d administration : S il est impossible d accéder au serveur d administration, c est probablement que l accès en a été limité pour des raisons de sécurité ou pour d autres raisons. Voir aussi paragraphe «Droits d administration». Perte de l adresse IP Au cas où l adresse IP attribuée au routeur ne serait pas connue, on utilisera l utilitaire ETIC FINDER pour la retrouver. Protection d accès au serveur d administration : Si vous ne parvenez pas à accéder au serveur d administration, c est probablement que l accès en a été limité pour des raisons de sécurité ou pour d autres raisons. Voir paragraphe 5 : perte de l adresse IP du serveur d administration. Voir aussi paragraphe 6.4.1. : Droits d administration Caractères Seuls les caractères de l alphabet plus la virgule, le point virgule, le tiret et les chiffres doivent être utilisés. Les caractères accentués ne doivent pas être utilisés. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 17

MISE EN SERVICE «Copier / coller» : Les paramètres doivent être de préférence saisis au clavier et pas «collés». Cependant, si on procède par «copier / coller», et après avoir collé le paramètre, il faut supprimer le dernier caractère du paramètre collé et le saisir à nouveau. 3.2 Première configuration Etape 1 : Créer ou modifier la connexion TCP/IP du PC (voir annexe 1). Attribuer à cette connexion une adresse IP différente mais cohérente avec l adresse IP usine du routeur qui est 192.168.0.128. On utilisera par exemple l adresse 192.168.0.127 pour le PC. Etape 2 : Connecter le PC au routeur Connecter le PC à l interface Ethernet N 1 du routeur. Etape 3 : Lancer le navigateur Ouvrir le navigateur et désigner l adresse IP du serveur d administration programmée en usine : 192.168.0.128 (ne pas faire précéder l adresse de www). La page d accueil du serveur d administration s affiche. Page 18 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Note : A la première configuration, l accès au serveur d administration n est pas protégé ; voir «Protection de l accès au serveur d administration» pour protéger l accès au serveur d administration. 3.3 Modifications ultérieures de la configuration Les modifications peuvent être effectuées depuis le réseau local (interface 1) à l adresse qui a été attribuée au serveur d administration ou bien à distance par le réseau Internet ou l internet sur l interface WAN (Interface 4). Modification par le réseau local (interface 1) Etape 1 : Lancer le navigateur et saisir l adresse IP du serveur d administration du routeur. Etape 2 : Saisir, s il y a lieu, le nom d utilisateur et le mot de passe qui ont été programmés pour protéger l accès au serveur d administration. Si la fenêtre de demande d identification ne s affiche pas : L adresse IP que vous avez saisie est fausse. Si la fenêtre de demande d identification s affiche, mais pas la page web : Le nom d utilisateur ou le mot de passe d accès au serveur d administration sont erronés. Contacter la hotline. Modification à distance par l Interface WAN (Interface 4) Les modifications de configuration à distance doivent être réalisées avec prudence ; à l évidence, si l on modifie un paramètre critique de manière inadaptée, la connexion pourra être perdue. Procéder comme si le PC était raccordé au réseau local par l interface 1. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 19

MISE EN SERVICE 4 Redémarrage après modification de certains paramètres Certains paramètres ne sont pris en compte par le routeur qu après redémarrage du produit. Lorsque l on effectue la configuration à distance, ceci a en plus pour effet de couper la liaison VPN. Il est donc conseillé d opérer comme suit : Après modification des paramètres d une page, cliquer le bouton «enregistrer» placé en bas de la page. Lorsque le paramétrage est terminé, pour que les modifications soient prises en compte, cliquer le bouton «redémarrer» de couleur rouge qui apparaît en bas de la barre verte de menu. Le routeur redémarre (la durée du redémarrage est de 15 sec environ). Fermer le navigateur html, puis l ouvrir à nouveau pour contrôler que le paramétrage a correctement été pris en compte. Le bouton «redémarrer» doit avoir disparu. Attention : Le bouton «redémarrer» est situé sous le dernier menu de la barre de couleur verte; il peut ne pas apparaître à l écran si tous les menus sont ouverts ; contrôler en utilisant la barre de navigation. 5 Retrouver l adresse IP du routeur Au cas où l adresse IP de l interface locale (Ethernet 1) du routeur SIG ne serait pas connue, il est possible de la retrouver au moyen de l utilitaire ETIC FINDER (Windows XP ou Seven). Ce logiciel permet de détecter l adresse IP des produits raccordés à un même réseau local et de l afficher. Page 20 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE 6 Protection de l accès au serveur d administration Pour protéger l accès au serveur d administration, Sélectionner le menu «Sécurité» cliquer sur «Droits d administration». Attention : En cas de perte, Il n est pas possible de restituer le nom d utilisateur et le mot de passe d accès au serveur d administration. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 21

MISE EN SERVICE 7 Configuration des @ IP de l interface locale (Ethernet 1) Les adresses IP suivantes doivent être enregistrées : L adresse IP du routeur sur le réseau local, Le groupe d adresses IP qui seront attribuées automatiquement aux PC distants lorsqu il se connectent au routeur par le réseau IP ou l Internet (fonction «serveur RAS» du produit). Note importante : Les plans d adresses IP du réseau local connecté au routeur SIG et du réseau distant doivent être disjoints. Sélectionner le menu «Système» cliquer sur «Protocole IP». Configurer les paramètres «Réseau local Ethernet» : Paramètre «Adresse IP» : Saisir l adresse IP de l interface Ethernet 1 ; c est l adresse du routeur sur le réseau local. Elle permet aussi d accéder au serveur d administration que ce soit à distance ou par le réseau local. Paramètre «Masque de sous-réseau» (netmask) : Le masque de sous-réseau définit la structure des adresses IP de toutes les stations d un segment de réseau local. On notera que dans les réseaux de 254 stations, le masque de sousréseau est 255.255.255.0. Configurer les paramètres «Accès distant» : Lorsqu un PC distant se connecte au routeur, une adresse IP du réseau local lui est attribuée automatiquement. Page 22 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Pour le cas où plusieurs PC peuvent se connecter simultanément, on enregistre un groupe d adresses IP. Toute adresse du réseau local Ethernet, et non attribuée par ailleurs à une machine du réseau local, peut être attribuée à l utilisateur distant. Paramètre «Début du pool d adresses IP utilisateurs» : Saisir la première adresse IP du groupe attribuable à un PC distant. Paramètre «Fin du pool d adresses IP utilisateurs» : Saisir la dernière adresse IP du groupe attribuable à un PC distant. Note : Ne pas saisir les adresses des interfaces Ethernet 2 et Ethernet 3. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 23

MISE EN SERVICE 8 Configuration de l interface WAN (Ethernet 4) Le connecteur Ethernet RJ45 noté «Ethernet 4» permet de raccorder le routeur SIG à un réseau d entreprise ou bien à un routeur ADSL, par exemple, vers l internet. Sélectionner le menu «Internet». Paramètre «Type de la connexion à l Internet» : Sélectionner la valeur «routed» si la connexion avec le fournisseur Internet est gérée par un autre routeur (routeur ADSL ). Sélectionner la valeur «bridged» si la connexion PPP avec le fournisseur Internet est gérée par le routeur SIG. Dans ce cas, le modem ou routeur Internet (ADSL etc ) doit également être placé dans le mode adapté pour déléguer au routeur SIG le contrôle de la liaison Internet. 8.1 Mode «Routeur» Paramètres «Adresse IP», masque de sous-réseau» et «Passerelle par défaut» : Entrer l adresse IP attribuée au routeur sur le réseau d entreprise, le masque du réseau et l adresse IP du routeur par défaut sur le réseau d entreprise». Page 24 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Paramètres «utiliser la passerelle par défaut comme serveur DNS» : Cocher cette case si la passerelle par défaut fait aussi office de serveur DNS. Paramètres «Adresse DNS primaire», «Adresse DNS secondaire» : Autrement saisir les adresses des serveurs DNS. Paramètre «Filtre pare-feu sur le trafic sortant» : Sélectionner dans la liste le filtre à appliquer au trafic IP. 8.2 Mode «Bridge» Paramètres «identifiant du compte internet» et «mot de passe» : Saisir l identifiant et le mot de passe associés au compte internet. Paramètres «Effectuer du NAT pour l interface LAN» : Cocher cette case si les trames IP provenant du réseau local doivent être présentées sur l internet avec l adresse source de l interface 4 du routeur SIG. Paramètres «Obtenir les adresses des serveurs DNS automatiquement», «Adresse DNS primaire», «Adresse DNS secondaire» : Cocher cette case si les adresses des serveurs DNS sont attribuées automatiquement par le serveur DHCP. Autrement saisir les adresses des serveurs DNS. Paramètre «Filtre pare-feu sur le trafic sortant» : Sélectionner dans la liste le filtre à appliquer au trafic IP. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 25

MISE EN SERVICE 9 Interconnexion de routeurs au moyen de VPNs Type de VPN 2 types de VPN peuvent être établis entre eux routeurs SIG : IPSec ou TLS/SSL. Une fois un type de VPN sélectionné (IPSEC ou TLS/SSL, il s applique à l ensemble des connexions avec les sites distants. IPSec On choisira IPSec pour assurer la compatibilité lorsque le routeur SIG doit communiquer avec un routeur d une autre marque. TLS/ SSL Ce protocole offre plus de souplesse qu IPSec ; on le choisira lorsqu il n est pas nécessaire d assurer la compatibilité avec d autres routeurs. Nœuds distants (ou connexions distantes) Chaque connexion distante définit un réseau IP avec lequel le routeur SIG peut échanger des trames IP. 128 connexions distantes peuvent être créées. Pour assurer une communication sûre et transparente, une connexion doit être de préférence réalisée au moyen d un VPN. Une connexion peut être entrante ou sortante. Si c est le routeur du site distant qui a l initiative de la connexion, alors elle est appelée «connexion entrante» et le routeur distant est appelé «routeur client VPN». Si c est le routeur SIG que l on est en train de configurer qui a l initiative de la connexion, elle est appelée «connexion sortante» ; le routeur distant est appelé «routeur serveur VPN». Paramétrage Pour paramétrer les connexions distantes, il faut procéder en deux étapes : Etape 1 : Configurer type de VPN qui sera utilisé (IPSec ou TLS/SSL). Etape 2 : Paramétrer les connexions distantes avec chacun des sites. Page 26 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Pour effectuer ces opérations, sélectionner le menu routage puis «Connexions distantes». 9.1 Mise en œuvre de connexions IPSec 9.1.1 Paramétrage du protocole IPSec Sélectionner le menu «Routage» puis «Connexions distantes». Sélectionner le choix IPSec puis cliquer sur «Propriétés» pour régler les paramètres. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 27

MISE EN SERVICE Paramètre «Protocole» : Choisir de préférence ESP qui réalise le cryptage. Paramètre «Authentification par» : Elle peut être assurée soit par une clé pré partagée, soit par un certificat numérique. La clé pré partagée est un code qu utilise le routeur pour s authentifier. La routeur SIG peut utiliser la clé pour toutes les connexions (y-compris pour les connexions avec des utilisateurs distants) ou bien utiliser des clés différentes. Le certificat est un fichier complexe qui est utilisé par les routeurs pour s authentifier. Paramètre «Valeur Clé» : Une clé doit être saisie uniquement si l authentification par clé a été choisie. Si l on utilise des clés différentes, le routeur doit posséder une adresse IP fixe ou bien un nom de domaine DYNDNS. Saisir la valeur de la clé qui identifie le routeur. Paramètres «Authentification» et «Cryptage» : Sauf difficulté particulière, on sélectionnera le choix «Auto». Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas Page 28 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. Paramètre «DPD Keepalives» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet une trame de maintien du VPN. Ce paramètre fixe la période d envoi de la trame de maintien du VPN. Paramètre «Mort de la connexion» : Ce paramètre fixe le délai maximum d attente d un message Keep alive. Une fois ce délai échu, et en l absence de réception du message Keep alive, le routeur coupe le VPN. ATTENTION : Une fois les paramètres IPSec configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer une connexion distante. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 29

MISE EN SERVICE 9.1.2 Configurer une connexion IPSEC sortante Adresse IP LAN (Interface 1) Connexion sortante VPN Réseau IP Adresse IP LAN distant Routeur Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» et choisir «Connexion sortante». Paramètre Adresse WAN distant : Saisir l adresse Ip de l interface WAN du routeur distant. Paramètres «Adresse LAN distante» et «masque du Lan distant» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Page 30 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Cas de l authentification par clé partagée Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucune configuration complémentaire ne doit être effectuée. Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur de la PSK : Saisir la clé (=PSK=pre-shared key). Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l»interface 4». Cas de l authentification par certificat Paramètre Mon SubjectAlt Name : Il s agit du champ «Adresse email du propriétaire» du certificat du routeur dont le paramétrage est en cours. Ce paramètre est utilisé par le routeur pour s authentifier. Pour obtenir la valeur de cette adresse email, sélectionner le menu «Sécurité» puis «Certificat X509». La liste des certificats enregistrés s affiche ; cliquer «Afficher». Le résumé du certificat s affiche ; copier le champ «Adresse email» de l alinéa «Propriétaire». Paramètre SubjectAlt Name distant : Saisir la valeur du champ «email» de l alinéa Propriétaire» du certificat du routeur distant. Pour obtenir cette adresse, accéder au routeur distant et procéder comme pour le paramètre précédent. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 31

MISE EN SERVICE 9.1.3 Configurer une connexion IPSec entrante Adresse IP LAN (Interface 1) Routeur Connexion entrante Adresse IP WAN (Interface 4) VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» puis choisir «Connexion entrante». Paramètres «Adresse du réseau LAN distant» et «Masque du réseau LAN distant» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Cas de l authentification par clé pré partagée : Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucun paramétrage complémentaire ne doit être effectué. Page 32 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur PSK : Saisir la clé partagée (=PSK). Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l interface WAN. Paramètre Adresse IP WAN distante : Saisir l adresse IP de l interface WAN du routeur distant. Cas de l authentification par certificat : Paramètre Mon SubjectAlt Name : Il s agit du champ «email» du certificat du routeur dont le paramétrage est en cours. Ce paramètre est utilisé par le routeur pour s authentifier. Pour obtenir la valeur de cette adresse email, sélectionner le menu «Securité» puis «Certificat X509». La liste des certificats enregistrés s affiche ; cliquer «Afficher». Le résumé du certificat s affiche ; copier le champ «Adresse email» de l alinéa «Propriétaire». Paramètre SubjectAlt Name distant : Il s agit du champ «email» du certificat du routeur distant Ce paramètre est utilisé par le routeur distant pour s authentifier. Pour obtenir cette adresse, accéder au routeur distant et procéder comme pour le paramètre précédent. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 33

MISE EN SERVICE 9.2 Mise en œuvre de connexions TLS 9.2.1 Paramétrage du protocole TLS / SSL Si l on choisit un tunnel TLS / SSL, l authentification réciproque des routeurs est assurée au moyen des certificats numériques complétés par des codes de sécurité (Login et mot de passe). Le routeur SIG est livré avec un certificat chargé en usine. Ce certificat est délivré par ETIC TELECOM agissant en autorité de certification. Si nécessaire, un ou des certificats numériques supplémentaires peuvent être ajoutés (voir menu «Sécurité» puis «Certificats». Pour paramétrer le type de VPN «TLS», sélectionner le menu «Routage» puis «Connexions distantes». Choisir le type de VPN «TLS», puis cliquer sur le bouton «Propriétés». Paramètres «Numéro de port» et «protocole» : On choisira de préférence le protocole UDP plutôt que TCP pour une meilleure efficacité. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Paramètres «Adresse réseau VPN» et masque réseau VPN : Une adresse IP doit être attribuée à chaque extrémité du tunnel. Il s agit d une adresse IP appartenant à un réseau privé et nécessaire pour le fonctionnement du tunnel, mais non visible pour les applications. Cette adresse IP ne doit pas être confondue avec l adresse IP du routeur sur le réseau WAN. Cette valeur est utilisée seulement lors de la configuration d'un nœud entrant. Page 34 Notice d utilisation ref 9016909-02 Routeur ref. SIG

Adresse IP LAN (Interface 1) Adresse IP du réseau VPN (172.16.1.0 par défaut) MISE EN SERVICE Adresse IP LAN distant Adresses IP de l' interface WAN (Ethernet 4) VPN IP network Adresses IP de l' interface WAN Paramètre «délai de détection» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet à l autre une trame de maintien du VPN. A l issue du «délai de détection», et en l absence de réception de cette trame, le VPN est coupé. Paramètre «Délai de retransmission» : A compléter Paramètres «Algorithmes de cryptage et de hachage» : Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. ATTENTION : Une fois les paramètres TLS configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer un nœud distant. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 35

MISE EN SERVICE 9.2.2 Configurer une connexion TLS sortante Adresse IP LAN (Interface 1) Routeur Connexion sortante Adresse IP WAN (Interface 4) VPN Réseau IP Adresse IP WAN distant Adresse IP LAN distant Routeur distant Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter une connexion» Choisir «Connexion sortante». Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe qui seront utilisés pour s'authentifier auprès du noeud distant en complément du certificat. Paramètre Adresse WAN distante : L adresse WAN distante est soit l adresse IP fixe Internet du routeur distant, soit son nom de domaine sur DynDns.org. Page 36 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE 9.2.3 Configurer une connexion TLS entrante Adresse IP LAN (Interface 1) Routeur Connexion entrante Adresse IP WAN (Interface 4) VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter une connexion». Choisir «Connexion entrante». Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe qui seront utilisés pour s'authentifier auprès du noeud distant Paramètre «Adresse LAN distante» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Paramètre «Nom commun» : Entrer la valeur du champ "Commun name" du certificat que le routeur distant devra utiliser pour s'identifier. 9.3 Ajouter un certificat Chaque produit est livré avec un certificat délivré par ETIC. On peut vouloir cependant utiliser un autre certificat délivré par une autre autorité de certification. Ce certificat peut être introduit soit en format PKCS#12 avec mot de passe ou en en format PEM. Un seul certificat peut être actif à la fois. Attention : Pour pouvoir établir une connexion VPN, les certificats des deux routeurs doivent avoir été délivrés par la même autorité de certification. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 37

MISE EN SERVICE Pour ajouter un certificat, sélectionner le menu «Sécurité», puis «Connexion VPN», puis «Gestion de certificat», puis «cliquer «Ajouter un certificat». Page 38 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE 10 Configuration de routes statiques La fonction «Route statique» permet à un routeur de transmettre des trames IP destinées à des machines même si elles n appartiennent pas au réseau connecté à l autre extrémité de l une des connexions enregistrées (nœuds distants). Une route statique est un tableau qui associe un réseau de destination (@ IP & netmask) à l adresse IP du routeur vers lequel il faut transmettre les trames pour parvenir au réseau de destination. Ce routeur peut être un routeur raccordé au réseau local ou bien un routeur connecté à un réseau distant enregistré (Seulement TLS). Exemple : Network 4 192.168.40.0/24 Router 4 Network 3 192.168.30.0/24 192.168.30.128 Router 3 192.168.30.1 VPN Router 2 Network 2 192.168.20.0/24 192.168.10.1 Network 1 192.168.10.0/24 IP network VPN Router 1 192.168.10.128 Route statique à programmer dans le routeur 1: Active Nom de la Destination Masque de Passerelle route réseau Oui Network 2 192.168.20.0 255.255.255.0 192.168.10.1 Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 39

MISE EN SERVICE Route statique à programmer dans le routeur 3: Active Nom de la Destination Masque de Passerelle route réseau Oui Network 4 192.168.40.0 255.255.255.0 192.168.30.128 Oui Network 2 192.168.20.0 255.255.255.0 192.168.10.128 Pour programmer une route statique, sélectionner le menu «Routage» puis «Route statique» puis cliquer «Ajouter une route. Nom de la route : Entrer un mnémonique pour désigner la route. Adresse IP de destination & netmask : Entrer l adresse IP du réseau de destination et le netmask de ce réseau. Passerelle : Saisir l adresse IP de la passerelle (routeur) par défaut du réseau local. Page 40 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE 11 Connexion des utilisateurs distants 11.1 Présentation Le routeur SIG permet aux utilisateurs de PC distants de se connecter à travers un réseau IP étendu ou bien l Internet aux machines raccordées directement, ou par un VPN, au routeur SIG. La connexion des utilisateur s effectue avec un niveau de sécurité élevé. La sécurité repose sur l application des principes suivants : Authentification du PC et de l utilisateur L utilisation d un VPN permet authentifier le PC distant au moyen d un certificat (fonction optionnelle) et son utilisateur par un login et un mot de passe. Toute connexion indésirable est rejetée. Limitation du domaine accessible (pare-feu) En fonction de son identité (login et mot de passe), le domaine d adresses IP auxquelles chaque utilisateur peut accéder est limité (voir paramétrage du pare-feu). De plus, le PC distant ne peut se connecter qu aux machines déclarées dans le fire-wall du serveur RAS et pas aux autres machines du réseau. Discrétion Les données étant cryptées par le logiciel M2Me_Secure et décryptées par le routeur SIG, il est impossible d espionner les données échangées ni depuis une machine de l Internet. Pour mettre en service les connexions distantes des utilisateurs, il faut successivement configurer la communication par VPN, enregistrer les utilisateurs autorisés dans la «liste d utilisateurs», limiter le domaine d adresse IP accessibles à chaque utilisateur au moyen du pare-feu. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 41

MISE EN SERVICE 11.2 Paramétrage de la connexion VPN 3 types de VPN sont proposés : TLS/SSL., PPTP et L2TP/IPSec. Une fois l un de ces types de VPN sélectionné, il s applique à tous les utilisateurs. Nous conseillons de mettre en oeuvre une connexion TLS et d utiliser le logiciel M2Me_Secure, le client VPN proposé par ETIC Telecom. 11.2.1 Paramétrage d un VPN de type TLS Etape 1 : Configuration du routeur Sélectionner le menu «Système» puis «Liste d utilisateurs» puis «Paramètres VPN» Sélectionner le choix TLS pour assurer la compatibilité avec le logiciel M2Me_Secure. Cliquer le bouton «Propriétés». Paramètres «Numéro de port» et «protocoles» : Choisir le protocole de transport du VPN (UDP ou TCP) ; UDP est préférable à TCP. Le N de port peut être quelconque mais la valeur doit être choisie parmi celles qui sont autorisés sur le réseau du client. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Page 42 Notice d utilisation ref 9016909-02 Routeur ref. SIG

Paramètres «Authentification des utilisateurs» : MISE EN SERVICE Si l on choisit la valeur «Login / mot de passe», l authentification est réalisée à l aide de ces deux codes uniquement. Si l on choisit la valeur «Login / mot de passe et certificat numérique», la sécurité est renforcée. Le PC distant est authentifié au moyen du certificat enregistré dans le PC et l utilisateur est identifié au moyen du login et du mot de passe. Note : dans ce cas, le nom du certificat du PC de l utilisateur devra être enregistré dans le routeur SIG, dans la fiche de l utilisateur. Paramètres «Algorithme de cryptage» et «Algorithme de hachage» : Laisser les valeurs par défaut. Etape 2 : Configuration du logiciel M2Me_Secure du PC Cliquer l icône «Menu» puis «Nouveau site». La fenêtre de paramétrage du site apparaît. Sélectionner l onglet «Général», saisir le nom du site. Sélectionner l onglet «Connexion» ; cocher la case «Ce site est accessible par Internet». Dans le champ «Nom d hote ou adresse IP», saisir l adresse IP permettant d atteindre le routeur. Sélectionner l onglet «Avancé» ; Choisir le protocole (UDP ou TCP), le N du port et les algorithmes de cryptage et hachage. Ces paramètres doivent avoir la même valeur que ceux sélectionné dans le routeur. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 43

MISE EN SERVICE 11.2.2 Paramétrage d un VPN de type PPTP Etape 1 : Configurer le routeur Sélectionner le menu «Système» puis «Liste d utilisateurs» puis «Paramètres VPN». Sélectionner le choix PPTP. Etape 2 : Configurer la connexion PPTP dans le PC Voir procédure en annexe 2. 11.3 Paramétrage de la liste d utilisateurs La liste d utilisateurs du routeur SIG enregistre les utilisateurs autorisés à se connecter et leurs paramètres (email ) et droits associés. Cette liste désigne les utilisateurs distants qui sont autorisés à accéder au réseau local à distance. Lorsqu un utilisateur est connecté, tout se passe comme si son PC était raccordé directement sur le réseau «machines». Une adresse IP de ce réseau est automatiquement attribuée au PC distant. La seule restriction concerne les trafics broadcast et multicast qui sont bloqués, à l exception du trafic Netbios qui, lui, est autorisé. Le pare-feu (ou firewall) permet de limiter le domaine d adresses IP accessible à chaque utilisateur. Page 44 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Chaque ligne de la liste comporte 2 champs : Le nom de l utilisateur et le filtre de pare-feu qui lui est affecté. A la livraison, elle comporte l utilisateur «default user» dont les caractéristiques sont les suivantes : Nom d utilisateur : admin Mot de passe : admin 11.3.1 Définir des utilisateurs Visualiser ou modifier la fiche d un utilisateur Cliquer sur le bouton «Voir» ou bien sur «Modifier» Ajouter un utilisateur Cliquer sur le bouton «ajouter un utilisateur». Paramètre «Actif» (valeur OUI ou NON) il permet de retirer temporairement un utilisateur de la liste. Paramètre «Nom complet» : C est le libellé qui apparaît dans le premier champ de la liste des utilisateurs autorisés. Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal. Paramètres «Nom d utilisateur» et «mot de passe» : Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 45

MISE EN SERVICE Ce sont deux codes différents attribués à chaque utilisateur. Lorsqu il se connecte à distance, il doit saisir ces deux codes dans les champs correspondants de la fenêtre de CONNEXION DISTANTE. Le nom d utilisateur n a pas à être tenu secret ; il apparaît donc toujours en clair. Le mot de passe doit être gardé secret par chaque utilisateur ; il n apparaît jamais en clair. Paramètre «Filtre pare-feu» : Un filtre est un ensemble de règles de sécurité limitant l accès aux machines et services raccordées derrière le routeur. Un filtre peut être appliqué pour un ou plusieurs utilisateurs ce qui permet de différencier les droits d accès aux machines en fonction de qui se connecte. Par défaut, rien n est filtré. Paramètre «Nom commun» : Ce paramètre n apparaît que si l on a choisi un VPN TLS/SSL ou L2TP/IPSec avec authentification par Certificat numérique. Saisir le nom commun du certificat qui sera utilisé par le PC distant pour s authentifier. Si l on utilise le logiciel M2Me_Secure, le nom commun du certificat du PC peut être copié de la manière suivante : Cliquer «Menu» puis «Options» ; sélectionner l onglet «Certificat» ; le nom commun est la chaîne de caractères qui suit «CN=». Copier la chaîne de caractères. On trouvera ci-dessous la reproduction du début d un certificat : Certificate: Data: Version: 3 (0x2) Serial Number: 191 (0xbf) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security, CN=ETIC_Telecom_CA/emailAddress=Security@etictelecom.com Validity Not Before: Nov 22 14:46:58 2007 GMT Not After : Nov 14 14:46:58 2037 GMT Subject: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security, CN=b4b4d3c9-b200-4869-8637-edb3d421d55a/emailAddress=b4b4d3c9-b200-4869- 8637-edb3d421d55a@etictelecom.com Subject Public Key Info: Page 46 Notice d utilisation ref 9016909-02 Routeur ref. SIG

11.4 Utilisation du logiciel M2Me_Secure MISE EN SERVICE On décrit ci-dessous la procédure que doit suivre l utilisateur d un PC isolé ou en réseau équipé du logiciel M2Me_Secure fourni par ETIC Telecom pour se connecter à distance à un réseau de machines. Ouvrir le logiciel M2Me_Secure et entrer l identificateur et le mot de passe d utilisateur (admin et admin à la livraison). Sélectionner le site et cliquer le bouton de connexion dont la légende est «Accéder au site par Internet». La fenêtre «Connexion en cours» s affiche ; puis, quelques secondes après, le message «La connexion avec le site est établie». Une figurine s affiche à côté du nom de site pour indiquer que le PC est connecté. Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau lui a automatiquement été attribué. Note : Pour saisir l adresse IP ou bien le nom de domaine ou le nom de domaine DynDNS de destination, cliquer droit sur la ligne du site, puis sélectionner l onglet Connexion, cocher la case «Ce site est accessible par Internet» et saisir l adresse de destination ou le nom de domaine dans le champ «nom d hote ou adresse IP». Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 47

MISE EN SERVICE 12 Paramétrage du pare-feu 1.1 Présentation Le firewall (ou pare-feu) a pour but de filtrer les échanges de trames IP entre l interface WAN et l interface LAN pour protéger les équipements connectés au réseau LAN. Il comporte deux parties : Le filtre principal Il permet de rejeter les tentatives de connexion non authentifiées sur l Internet hormis les connexions VPN, les trames IP adressées à l interface LAN du routeur SIG et dont le N de port est autorisé par une régle de «redirection de port (DNAT)». Les connexions d utilisateurs distants authentifiés (PPTP, TLS, L2TP/IPSec, PPP). Les filtres d «Utilisateur distant» Ils permettent d autoriser ou d interdire l accès à chaque équipement connecté à l interface LAN en fonction de l identité de l utilisateur distant (Login et mot de passe et éventuellement certificat) lorsqu il se connecte au moyen de la connexion PPTP ou TLS. Par exemple, on peut attribuer à l utilisateur de login «admin» et de mot de passe «admin» un filtre bloquant toutes les trames issues de son PC sauf celle qui sont adressées à un équipement particulier de l interface LAN. Page 48 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE 1.2 Filtres d utilisateurs 1.2.1 Présentation Les filtres d utilisateur s appliquent aux trames IP circulant dans une connexion distante d utilisateur (TLS ou PPTP ou L2TP/IPSec). On peut composer 25 filtres d utilisateur au maximum. Un filtre d utilisateur est un ensemble d adresses IP de destination autorisées sur le réseau LAN. Exemple : Le filtre ci-dessous autorise l accès à l équipement PLC1 sur les portstcp/80 et TCP/502. Nom du filtre : Accès à l automate en html Politique du filtre : Tout ce qui n est pas autorisé est interdit Action Machine Service Autoriser PLC1 192.168.0.12 TCP / 80 Autoriser PLC1 192.168.0.12 TCP / Modbus 502 Chaque filtre doit être attribué à au moins un utilisateur pour être rendu actif. Note importante : A la livraison du produit, un utilisateur par défaut est enregistré; son login est «admin» et son mot de passe «admin». Le filtre appelé «none» lui est affecté. Ce filtre autorise l accès à tous les équipements du réseau LAN. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 49

MISE EN SERVICE 12.1 Composer un «filtre utilisateurs» Pour composer un filtre on peut d abord interdire toutes les adresses IP et services du réseau local, puis autoriser l accès à certaines machines et certains services explicitement désignés par les règles successives du tableau; c est la manière la plus prudente de rédiger une filtre. Pour cela, il faut cliquer «On désigne ce que l'on autorise et tout le reste est interdit». Pour composer un filtre, on peut aussi autoriser toutes les adresses IP et services du réseau local, puis interdire spécifiquement l accès à certaines machines et certains services explicitement désignés par les règles successives du tableau; pour cela il faut cliquer «On désigne ce que l'on interdit et tout le reste est autorisé». On ne procèdera ainsi que dans les cas simples, car on notera que si une nouvelle machine est connectée sur le réseau local, elle devient immédiatement et automatiquement accessible. Pour définir la liste des filtres, on procède par étapes : Etape 1 : Compléter éventuellement la liste des services accessibles (N de port) Etape 2 : Créer les machines (adresses IP) rendues accessibles à distance Etape 3 : Composer les filtres l un après l autre (menu Liste des filtres) Etape 4 : Affecter les filtres aux utilisateurs Etape 1 : Compléter la liste des services si nécessaire Note importante : de nombreux services sont créés en usine, tel que html, ftp etc, si bien que dans la plupart des cas, cette étape peut être passée. Sélectionner le menu «Système» puis «Liste des services» ; la liste des services déjà enregistrés s affiche. Ajouter un nouveau service en cliquant le bouton «Ajouter un service» en bas de l écran. Page 50 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Enregistrer un libellé (le nom que vous souhaitez donner au service), sélectionner un protocole dans la liste proposée (udp, tcp, icmp) et désigner le N de port attribué à ce service. Valider. Le service qui vient d être créé apparaît maintenant dans la liste des services. Etape 2 : Définir la liste des machines du réseau local Sélectionner le menu «Système» puis «Liste des machines» ; la liste des machines déjà enregistrés s affiche. Ajouter une nouvelle machine en cliquant le bouton «Ajouter une machine» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner à la machine) et saisir son adresse IP. Valider. La machine qui vient d être définie apparaît maintenant dans la liste des machines. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 51

MISE EN SERVICE Etape 3 : Composer un filtre Utilisateur Sélectionner le menu «sécurité» puis «pare-feu «puis «Filtres Utilisateurs» ; la liste des filtres déjà enregistrés s affiche. Créer un nouveau filtre en cliquant le bouton «Nouveau filtre». Saisir un libellé (le nom que vous souhaitez donner au filtre) ; exemple de libellé : Accès au serveur web de l automate N 1 Cliquer sur le bouton radio «On désigne ce que l'on autorise et tout le reste est interdit» si vous souhaitez que chaque règle désigne ensuite une machine explicitement autorisée ; c est la solution prudente. Cliquer sur le bouton radio «On désigne ce que l'on interdit et tout le reste est autorisé» si vous souhaitez que chaque règle désigne ensuite une machine interdite. Cliquer sur le bouton «ajouter une règle» ; une ligne s ajoute dans le tableau du filtre. Sélectionner une machine (autorisée ou interdite selon le cas) puis un service. Page 52 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE Ajouter autant de règles que nécessaire en cliquant sur «ajouter une règle». Lorsque le filtre est complet, valider en cliquant le bouton OK puis sauvegarder. La liste actualisée des filtres s affiche. Etape 4 : Affecter les filtres aux utilisateurs Une fois la liste de filtres composée, il faut les rendre actifs en les affectant aux utilisateurs. Sélectionner le menu «Système» puis «Utilisateurs». Sélectionner l utilisateur de la liste auquel vous souhaitez affecter un filtre, en cliquant le bouton «Modifier» ; la fiche de l utilisateur apparaît. Lui affecter un filtre en sélectionnant l un des filtres proposés et valider par «OK». Sauvegarder la liste d utilisateurs modifiée en cliquant «sauvegarder la liste». Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 53

MISE EN SERVICE 13 Portail web Par défaut, lorsque l on accède au service http (port 80) à l adresse du routeur, on arrive sur le serveur d administration. Cependant, Il est possible de créer un portail web contenant une liste de machines que l on peut joindre d un simple clic. Ce portail web se substitue au serveur d administration qui reste accessible par le port 8080. Le portail web affiche la liste des machines déclarées; chacune d entre elles est désignée par son libellé, son adresse IP et comporte 3 liens associés : Le lien «html» permet d aiguiller simplement l utilisateur distant vers le serveur web de la machine cible. Le lien «explore» permet d afficher sur le PC distant l explorateur de fichiers de la machine cible. Cette fonction n est opérationnelle que dans l environnement Windows. Le lien «ftp» permet d afficher sur le PC distant l explorateur de fichiers de la machine cible. Cette fonction n est pas liée à l environnement windows. Pour paramétrer le portail web, Sélectionner le menu «Système» puis «Liste des machines». et enregistrer les machines du réseau ; une machine est définie par une adresse IP et un libellé. Cocher la case «Afficher le portail web». Page 54 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MISE EN SERVICE 14 Configuration du serveur DNS Pour la résolution des noms de domaines, le routeur SIG se comporte comme un serveur et un relais DNS. Cette fonction est toujours active. Fonction Relais DNS : A la sortie de configuration usine, il n y a pas d entrée dans la table DNS du routeur SIG. Il se comporte exclusivement comme un relais DNS. Toute requête DNS qui lui est adressée sur le réseau local sera ré-émise vers le serveur DNS du FAI. Cette fonction est pratique par exemple pour l envoi d email depuis une machine. Si les adresses des serveurs DNS du FAI sont obtenus automatiquement à la connexion Internet du routeur, elles ne sont pas connues des machines. Dans ce cas on désigne dans ces machines l adresse du routeur SIG comme serveur DNS. Fonction Serveur DNS : Pour toutes les noms DNS qui ont été définies, le routeur SIG se comporte comme serveur DNS. Pour définir un nom DNS, il suffit de définir une machine dans la liste des machines. Sélectionner le menu «Systeme» cliquer sur «Liste des machines» Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 55

MISE EN SERVICE La liste des machines permet aussi de construire les filtres utilisateur du pare-feu pour les connexions des utilisateurs distants et de constituer le «portail» qui peut être affiché comme page d accueil de l utilisateur distant. Nom de domaine du site : Le nom de domaine est le suffixe DNS que l on peut saisir pour accéder à une machine. Par exemple, si l on désigne une machine par le libellé «assemblage» et que l on a saisi «grenoble» pour nom de domaine du site, on peut accéder aux services web de cette machine (en local ou à distance à travers un VPN) en tapant «assemblage.grenoble» dans le masque de saisie d adresse du navigateur html. Page 56 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MAINTENANCE 1 Sauvegarde et chargement d un fichier de paramètres Une fois configuré, le paramétrage peut être sauvegardé sous forme d un fichier qui peut ensuite être restitué pour faciliter un redémarrage en cas de remplacement du produit par exemple. Pour sauvegarder un fichier de paramètres, sélectionner le menu «Système» puis «Sauvegarde / restauration». Cliquer le bouton «Sauvegarder» puis «Enregistrer» quand la fenêtre apparaît. Désigner le nom du fichier et l emplacement de la sauvegarde. Le fichier a le suffixe.bin. Pour restaurer un fichier de paramètres sauvegardé sélectionner le menu «Système» puis «Sauvegarde / restauration». Cliquer le bouton «Parcourir» puis sélectionner le fichier (XXX.bin) à restituer. Cliquer le bouton «Charger» puis confirmer pour redémarrer le produit. Attention : Un fichier de paramètres ne peut être restauré que dans un produit possédant la même version de firmware que celle avec laquelle le fichier de paramètres a été produit initialement. 2 Menu Diagnostic Journal des connexions : Sélectionner la page le menu «Diagnostic» puis «Journal» Le journal permet de visualiser l enregistrement horodaté des connexions à distance et des connexions au serveur d administration. Il peut être imprimé. Contrôle des interfaces Ethernet et IP Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Status». Cette page visualise l état des interfaces 1 et 4. Diagnostic des connexions VPN : Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 57

MAINTENANCE Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Connexions VPN». Cette page donne la liste et les paramètres techniques des connexions VPN entrantes, sortantes et d utilisateurs qui sont établies. Ping : Cette page permet de commander l émission d une trame «ping» vers une machine du réseau raccordé au routeur. Page 58 Notice d utilisation ref 9016909-02 Routeur ref. SIG

MAINTENANCE 3 Mise à jour du firmware Elle s effectue en local par la prise Ethernet ou bien, éventuellement, à distance. Etape 1 : Préparation des équipements - Préparer un PC et un câble Ethernet. - Télécharger le logiciel FTP serveur depuis notre site de maintenance (contacter notre service client). Etape 2 : Téléchargement du firmware - Télécharger le firmware depuis notre serveur de maintenance vers le PC et décompresser. Etape 3 : Préparation de la mise à jour : - Vérifier que les adresses IP du PC et du produit à mettre à jour sont compatibles. - Connecter le PC au produit par la prise Ethernet. - Lancer le logiciel TFTP serveur (tftp32.exe) et sélectionner sur le disque du PC, le dossier où est enregistré le firmware. - Dans le logiciel TFTP, cliquer le bouton "Show dir" pour visualiser les fichiers du firmware (jffs2root, rfsmini.tgz, u-boot.bin et uimage). Etape 4 : Mise à jour du firmware - Lancer le navigateur html et entrer l adresse du produit à mettre à jour. La page d accueil du serveur html du produit ETIC s affiche. - Sélectionner le menu «Systeme» puis «Mise à jour». - Dans le champ «adresse IP du serveur TFTP», entrer l adresse IP du PC ; elle est inscrite dans le masque "Server Interface" du logiciel TFTP. - Cliquer sur «Enregistrer» puis sur «Mise à jour». Le chargement s effectue et la led RUN clignote. A la fin du chargement, le produit s initialise ; la led RUN clignote en rouge. o Vérifier que la mise à jour a été chargée en contrôlant le N de version dans le menu «A propos». Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 59

MAINTENANCE Page 60 Notice d utilisation ref 9016909-02 Routeur ref. SIG

ANNEXE 1 Arborescence du serveur d administration Système Protocole IP Enregistrer l @ IP attribuée au routeur SIG. Enregistrer l @IP attribuée à l utilisateur distant. Ports Ethernet Définir le fonctionnement des ports Ethernet. Liste des utilisateurs Liste des machines Liste des services Date et heure Enregistrer la liste d utilisateurs autorisés et leur attribuer des droits (voir pare-feu). Enregistrer les machines IP auxquelles s appliquera le fire-wall et constituer le «portail» d accueil. Visualiser, sélectionner, modifier la liste des protocoles et ports TCP/UDP Mettre à jour la date et l heure. Serveur DHCP Paramétrer le serveur DHCP sur l interface «Réseau local» Sauvegarde / restauration Sauvegarder la configuration du produit dans un fichier du PC, ou au contraire, la charger dans le produit. Redémarrer Initialiser le routeur SIG lorsque les modifications du paramétrage rendent cette opération nécessaire. Routage Connexions distantes Définir les caractéristiques des routeurs avec lesquels un VPN sera établi. Routes statiques Pour les routeurs non accessibles directement, définir la passerelle permettant d y accéder. RIP Activer le protocole RIP Sécurité Droits d administration Protéger et limiter l accès au serveur d administration. Pare-feu Connexions VPN Constituer les filtres qui limitent l accès aux machines et applications (ports) du réseau local. Régler les paramètres des VPN Internet Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 61

ANNEXE 1 Arborescence du serveur d administration Connexion Client DynDNS Définir comment aller vers Internet et enregistrer les paramètres de l abonnement Internet du routeur. Déterminer les conditions d envoi de l @IP publique du Routeur vers le distant Diagnostic Journal Etat du réseau Etat des passerelles Table de routage Ping Visualiser la liste horodatée des événements : connexions inter-sites, utilisateurs qui se sont connectés à distance, Afficher l état actuel du produit : @ MAC, @IP, ADSL, VPN Etat et diagnostic des passerelles liaison série Afficher la table de routage interne Tester le fonctionnement du système. A propos Afficher les informations d identification du produit. Page 62 Notice d utilisation ref 9016909-02 Routeur ref. SIG

ANNEXE 2 Créer une connexion VPN de type PPPT pour Internet sous XP Une connexion PPPT permet de connecter un PC isolé ou en réseau au routeur par l internet. Pour créer une connexion PPPT, Cliquer Démarrer, puis Connexions, puis afficher toutes les connexions. Sélectionner «Créer une nouvelle connexion», puis «Connexion au réseau d entreprise» puis «Connexion réseau privé virtuel», puis «ne pas établir la connexion initiale. Dans le champ Nom d hôte ou adresse IP, saisir le nom de domaine DynDNS (par exemple, etic_ras.dyndns.org Donner un nom à la connexion (par exemple, connexion pptp), puis cliquer «Terminer». La fenêtre de la connexion apparaît ; cliquer «Propriétés» puis sélectionner l onglet «Gestion de réseau». Dans le champ «Type de réseau VPN, faire le choix «PPTP» puis cliquer OK pour sauvegarder. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 63

ANNEXE 3 Modifier la connexion Ethernet IP du PC Pour effectuer la première configuration du routeur, il faut connecter le PC la prise Ethernet du PC à celle du RAS et attribuer au PC une adresse IP compatible avec celle qui est programmée dans le RAS à la livraison. Pour modifier l adresse IP du PC, Ouvrir le panneau de configuration Ouvrir le dossier connexion réseau et accès à distance Cliquer droit sur la connexion au réseau local existante puis «propriétés» Sélectionner Protocole internet (TCP/IP) Cliquer sur Propriétés Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 65

ANNEXE 3 Modifier la connexion Ethernet IP du PC Cliquer sur «utiliser l adresse IP suivante». Attribuer au PC une adresse IP et un masque de réseau compatible de l adresse IP affectée au serveur d administration du routeur. Note : L adresse «Usine» du routeur est 192.168.0.128 ; pour la première configuration, on pourra affecter au PC l adresse IP 192.168.0.127. Page 66 Notice d utilisation ref 9016909-02 Routeur ref. SIG

ANNEXE 4 La technique des VPN 1 La fonction des VPN VPN est l acronyme de «virtual private network» ; réseau privé virtuel en français. Le VPN est une technique qui permet d interconnecter deux réseaux IP à travers l internet en offrant une sécurité maximale. Un VPN est établi entre deux routeurs des réseaux à relier. Une fois le VPN établi, chaque machine du premier réseau peut communiquer avec chaque machine de l autre comme si les deux réseaux étaient virtuellement connectés l un à l autre, et avec la sécurité maximale. L interconnexion de sites à travers Internet s effectue au moyen de tunnels VPN (virtual private network) sécurisés. Lorsqu un VPN est établi entre deux routeurs SIG, c est comme si ces deux routeurs étaient reliés directement par un câble ethernet. VPN Internet La technique du VPN permet aussi de relier le PC isolé d un utilisateur distant au routeur d un réseau de machines. VPN Internet 2 Fonctions assurées par un VPN Un VPN réalise les fonctions suivantes : Authentification réciproque : Chaque routeur est titulaire d un code appelé clé ou bien certificat ; à la connexion, l échange des clés permet à chaque routeur de s assurer de l identité de son homologue. Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 67

ANNEXE 4 La technique des VPN Intégrité des données Le VPN garantit que toutes les données reçues sont conformes à ce que l homologue à transmis. Discrétion Les clés permettent également de crypter les donnés pour assurer la discrétion de la transmission ; un observateur sur l internet ne peut les décoder s il ne possède pas la clé. 3 Les clés Chaque extrémité enregistre une clé qui permettra à la fois le cryptage, le décryptage, la vérification de l intégrité et l authentification des parties. Deux type de clé peuvent être utilisées : La clés secrète : Il s agit d un code enregistré dans chaque routeur ; les deux extrémités enregistrent la même clé. L authentification, le cryptage, le décryptage, ainsi que le contrôle de l intégrité sont réalisés au moyen de cette clé ; c est donc son caractère secret qui garantit la sécurité. Le certificat : Il s agit d un fichier tenant lieu de carte d identité ; il est délivrée par une autorité de certification. Il est unique ; Il contient une suite d informations qui identifient son détenteur ainsi que l autorité qui l a délivré ; il contient également un code appelé clé publique et un autre appelé clé privée. La sécurité repose sur le temps déraisonnable qui devrait être passé pour déduire la clé privée associée à la clé publique. ETIC Télécom est une autorité de certification reconnue et habilitée à fournir des certificats. Chaque routeur est équipé d un certificat au format défini par la norme X509. Pour pouvoir établir une liaison, chaque extrémité doit connaître la clé publique de l autre extrémité. Page 68 Notice d utilisation ref 9016909-02 Routeur ref. SIG

ANNEXE 4 La technique des VPN 3.1 Fonctionnement Authentification A la connexion, les routeurs établissent entre eux un dialogue visant à s authentifier mutuellement. Si l on a choisi un système à clé partagée, les clé sont échangées après avoir été cryptées. Si on a choisi l utilisation de certificats, chaque routeur transmet à l autre un message chiffré au moyen de sa propre clé privée ; le destinataire le décrypte au moyen de la clé publique de l émetteur ; il en a connaissance parce qu elle a été déclarée lors du paramétrage. Clé privée de l'émetteur Clé publique de l'émetteur Message Chiffrement Internet déchiffrement d'authentification Données en clair Transmission Une fois l authentification effectuée, le tunnel est constitué entre les deux routeurs ; les adresses IP sources et destination sont celles des deux extrémités du VPN. Elle ne sont pas cryptées. Celui qui prend l initiative de la connexion est appelé client VPN; le serveur VPN est celui qui accepte la connexion. Dans ce flux de trames IP entre les deux routeurs est transporté le trafic utile : Les trames IP provenant des machines du premier réseau vers des machines du second. Ce trafic est crypté (si on choisit cette option). Routeur ref. SIG Notice d utilisation ref. 9016909-02 Page 69

ANNEXE 4 La technique des VPN Cryptage des données Dans le cas où l on a choisi le système à clé partagée, le cryptage et le décryptage s effectuent avec la même clé. Dans le cas où l on a choisi le système de certificats, le cryptage et le décryptage ne sont pas symétriques : les données sont cryptées au moyen de la clé publique du destinataire qui les décrypte au moyen de sa clé privée. Entretien et coupure du VPN Régulièrement, en l absence de trafic, chaque routeur envoie à son homologue une trame de vie permettant de s assurer qu il est actif ; en l absence de réponse, le tunnel VPN est rompu à l échéance d une temporisation. 4 Types de VPN supportés pour l interconnexion de sites Le routeur SIG supporte deux types de VPN pour les interconnexions de sites: IPSec et TLS/SSL. Pour chacun de ces deux types, le routeur SIG peut être client VPN ou serveur VPN. Toutes les connexions doivent être du même type (SSL ou IPSec) ; 16 VPN simultanés peuvent être établis. IPSec est le protocole le plus couramment utilisé pour établir des VPN. On choisira donc d utiliser IPSec si c est la solution qui est imposée ; par exemple, dans le cas où un routeur SIG doit communiquer avec un routeur d une autre marque qui ne supporte que le protocole IPSEC. TLS/SSL est le protocole VPN offre plus de souplesse tout en garantissant un niveau de sécurité équivalent à IPSec. On préférera TLS à chaque fois qu il s agit d une connexion entre deux routeurs fabriqués par ETIC. Page 70 Notice d utilisation ref 9016909-02 Routeur ref. SIG

13, Chemin du Vieux Chêne 38240 Meylan - France Tél : 33 4 76 04 20 00 Fax : 33 4 76 04 20 01 E-mail : contact@etictelecom.com Web : www.etictelecom.com