Configuration d un Client Mobile IPSec (Netasq) avec un Firewall Netasq v9

Documents pareils
Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

LAB : Schéma. Compagnie C / /24 NETASQ

Sécurisation du réseau

Arkoon Security Appliances Fast 360

NETASQ CLIENT VPN IPSEC GUIDE UTILISATEUR

Configuration de base de Jana server2. Sommaire

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Mettre en place un accès sécurisé à travers Internet

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Mise en route d'un Routeur/Pare-Feu

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

CONFIGURATION FIREWALL

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Gestionnaire des services Internet (IIS)

Site Web : Contact : support@thegreenbow.com

Transmission de données

Client VPN IPSec TheGreenBow

TP LAN-WAN 2007/2008

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

IPS-Firewalls NETASQ SPNEGO

Fiche de configuration Configuration liaison SIP Patton Firmware 5.4

Positionnement produit

Configuration d'un annuaire LDAP

Configurez votre Neufbox Evolution

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Guide de l'utilisateur vcloud Director

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Sécurité des réseaux IPSec

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

TP réseaux Translation d adresse, firewalls, zonage

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Sauvegardes par Internet avec Rsync

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Firewall ou Routeur avec IP statique

Tutorial Terminal Server sous

Assistance à distance sous Windows

Partie N 1 pour Windows VISTA

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Les réseaux des EPLEFPA. Guide «PfSense»

Sécurisation des accès au CRM avec un certificat client générique

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Configuration de Outlook Express 6 pour utilisation avec belgacom.net

VPN. Réseau privé virtuel Usages :

Sécurité et Firewall

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Manuel d installation UCOPIA Advance

But de cette présentation

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Le serveur SLIS - Utilisation de base

INTERCONNEXION ENT / BCDI / E - SIDOC

1. DÉMARRER UNE SESSION SÉCURISÉE SUR LE MACINTOSH SESSIONS DES APPLICATIONS CLIENTES SUR LE MACINTOSH... 5

PACK SKeeper Multi = 1 SKeeper et des SKubes

Se connecter en WiFi à une Freebox

Mise en route d'une infrastructure Microsoft VDI

Guide de Migration du Serveur IceWarp

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

MANUEL D UTILISATION LIVRET DE L ENSEIGNANT

Passerelle de Sécurité Internet Guide d installation

Le protocole SSH (Secure Shell)

Guide SQL Server 2008 pour HYSAS

Accéder à ZeCoffre via FTP

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Signature électronique sécurisée. Manuel d installation

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Manuel d'utilisation: Gestion commerciale - CRM

UCOPIA EXPRESS SOLUTION

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux Privés Virtuels

CAHIER DES CLAUSES TECHNIQUES

BlackBerry Business Cloud Services. Guide de référence sur les stratégies

Installation d'un serveur RADIUS

TP Protocoles SMTP et POP3 avec Pratiquer l algorithmique

Concept-Informatique 2007

Personnaliser le serveur WHS 2011

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Exemple de configuration USG

M2-RADIS Rezo TP13 : VPN

HYBIRD 120 GE POUR LES NULS

1. Présentation de WPA et 802.1X

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

z Fiche d identité produit

SSL ET IPSEC. Licence Pro ATC Amel Guetat

CONFIGURATION DE BASE

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

UCOPIA SOLUTION EXPRESS

Manuel d'installation de GESLAB Client Lourd

RAS-M156e RAS-I1128e RAS-G12e

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

Transcription:

Configuration d un Client Mobile IPSec (Netasq) avec un Firewall Netasq v9 Le but de ce document est de proposer un mode opératoire pour permettre à un utilisateur nomade de se connecter à son réseau d entreprise via un accès VPN IPSec fourni par un Firewall Netasq. Nous utiliserons dans les exemples suivants un Firewall Netasq en version 9.0.6, ainsi qu un client mobile Netasq VPN Client 5.52.1 Contenu Configuration d un Client Mobile IPSec (Netasq) avec un Firewall Netasq v9... 1 1) Création d un compte utilisateur dans la base LDAP Netasq... 2 2) Création du Slot VPN sur le Firewall Netasq... 5 3) Configuration du Client Mobile IPSec Netasq... 10 4) Vérification de l authentification auprès du Netasq... 15 5) Création d un slot de filtrage... 16 Exer 2013 Page 1

1) Création d un compte utilisateur dans la base LDAP Netasq Les utilisateurs nomades se connectant au Firewall depuis des adresses IP dynamiques (Abonnement ADSL personnel, HotSpot Wi-Fi, UMTS/Edge, RTC ), il est impossible de distinguer un utilisateur nomade d un autre en se basant sur l IP Source. Pour contourner le problème, Netasq permet l utilisation de la clef pré partagée pour authentifier un utilisateur. Nous supposons que la base LDAP du firewall est initialisée. Créer un utilisateur depuis le menu UTILISATEURS > Utilisateurs : Ajouter un utilisateur Note : si l'utilisateur concerné existe déjà, cette étape n'est bien sût pas nécessaire. Veillez simplement à vérifier que le champ E-mail de sa fiche est bien renseigné (ce sera son identifiant dans son client IPsec) Sur cette fiche utilisateur, il faut impérativement remplir le champ «e-mail» (c est l e-mail qui servira pour faire le lien entre le compte LDAP et l authentifiant du VPN Nomade). Exer 2013 Page 2

Il faut ensuite autoriser l utilisateur à s authentifier via la base LDAP, et à utiliser le VPN IPsec : Dans Utilisateurs > Droits d accès > Politique d accès. Ajouter puis autoriser les utilisateurs (ou groupes d utilisateurs) puis autoriser les accès IPSEC. Ensuite, il faut déclarer cet utilisateur dans les correspondants nomades VPN IPsec et spécifier la clef prépartagée de cet utilisateur dans VPN > VPN IPsec > Identification Exer 2013 Page 3

Attention à bien faire correspondre l ID avec l email spécifié lors de la création du compte dans la base LDAP, sinon celui-ci ne pourra pas s authentifier. L'ID (E-mail) et la clé prépartagée seront à renseigner coté client IPSec Exer 2013 Page 4

2) Création du Slot VPN sur le Firewall Netasq Ensuite, sur VPN > VPN IPsec > Politique de chiffrement Tunnels > Anonyme Utilisateurs Nomades, cliquer sur «Ajouter» pour ouvrir l assistant. Choisir un nouveau nom pour votre tunnel IPsec (exemple nomade_sso). Exer 2013 Page 5

Choisir clé prépartagée (PSK) pour l identification. Choisir le (ou les) correspondant(s) précédemment créé (exemple laurenta@exer.fr). Exer 2013 Page 6

Confirmer les informations résumées par l assistant de création en cliquant sur 'Terminer'. La suite de l'assistant permet de définir les ressources à rendre accessibles à l'utilisateur nomade par le VPN (par exemple Network_bridge). Exer 2013 Page 7

Choisir «Network_bridge» (ou Network_In selon la configuration) pour permettre l accès aux machines locales (selon les règles de filtrage en place) aux utilisateurs du tunnel VPN. Le profil VPN IPsec est créé, vérifier que le profil de chiffrement est bien «GoodEncryption». Exer 2013 Page 8

Dans l onglet «Correspondants» vérifier : le profil IKE est bien «GoodEncryption». l authentification se fait en clé prépartagée (PSK). le mode de négociation est «AGGRESSIVE». la passerelle locale est Firewall_out (interface sur laquelle se connecte le client depuis internet, il peut s agir de Firewall_Dialup lorsque l on utilise un lien PPPoE - Modem). DPD est sur haut Ne pas oublier d'activer la politique VPN : Exer 2013 Page 9

3) Configuration du Client Mobile IPSec Netasq Le client Netasq VPN est disponible sur http://vpn.netasq.com. Vous disposez de 30 jours pour l'activer avec un numéro de licence. Sur l interface du client Netasq VPN, il faut créer les deux phases de négociation, à savoir la phase 1 correspondant à la négociation IKE et la phase 2 correspondant à la négociation IPSec. Il faut tout d abord changer les valeurs par défaut des durées de vie de la session d Authentification et de Chiffrement dans configuration Paramètres et les mettre respectivement à Authentification (IKE) = 21600 et Chiffrement (IPSec)= 3600. Ces valeurs correspondent aux profils IKE et IPSEC par défaut sur l'utm Netasq (Good Encryption). On peut cocher l option «Bloquer les flux non chiffrés» pour n autoriser que les flux chiffrés via l interface du tunnel IPSec si besoin (pas d accès à Internet lorsque le tunnel est monté dans ce cas). Exer 2013 Page 10

Création de la phase 1 Durant cette phase, chaque extrémité doit s identifier et s authentifier auprès de l autre. On crée la phase 1 (Configuration VPN Nouvelle Phase 1) Sur cette première page, on retrouve : L adresse du routeur distant : ceci correspond à l adresse publique affectée à l interface externe Firewall_out. La clé Partagée avec l utilisateur que nous crée auparavant dans la base LDAP. Les paramètres IKE à savoir Chiffrement : AES 128, Authentification : SHA et le Groupe de clé : DH1024 (correspondants au profil IKE Good Encryption de l'utm Netasq) Il est important de respecter ces paramètres pour être en accord avec votre configuration VPN du Firewall. Exer 2013 Page 11

Dans l onglet P1 Avancé Il faut choisir Aggressive Mode, le NAT-T restant automatique. Dans la partie Local ID, il faut spécifier l identifiant que le client VPN envoie au Firewall pour s authentifier : dans notre cas, c est une adresse mail enregistrée dans la base LDAP. Le Remote ID est l identifiant que le client s attend à recevoir du Firewall distant, dans notre cas, c est l adresse publique de l interface Firewall_out. Note : le Mode Config et la redundant Gateway sont des options qui peuvent être paramétrées sur l'utm, mais ce n'est pas le cas par défaut. Exer 2013 Page 12

Création de la phase 2 On configure les éléments de la phase 2, dans laquelle on retrouve l adresse du réseau distant et les éléments du protocole ESP : Gateway > Nouvelle Phase 2. Le champ «Adresse du Client VPN», peut rester à 0.0.0.0 si l on ne souhaite pas définir une adresse IP particulière pour le client nomade. Toutefois, il est possible de fixer cette valeur si vous souhaitez pouvoir communiquer avec le client nomade une fois le tunnel établi. En laissant 0.0.0.0, le nomade se présentera avec l IP configurée sur son poste lors de la connexion (et par conséquent est aléatoire). Si vous décidez de fixer une adresse au poste, il est alors indispensable de choisir une adresse qui n appartient à aucun plan d adressage du firewall (pour éviter des erreurs de routage). Le réseau distant : Vous allez renseigner l adresse du réseau local à l'utm qui sera connecté au tunnel. Ce paramètre doit être strictement identique à ce qui est configuré sur le firewall (Network_bridge dans l exemple). Idem pour les autres paramètres (AES 128 / SHA-1 / Tunnel / DH2), qui doivent correspondre au profil IPSEC par féfaut Good encryption de l'utm Netasq Exer 2013 Page 13

Il ne faut pas oublier de sauver la configuration (bouton Sauver) avant d ouvrir le Tunnel IPSec (clic droit sur Tunnel > Ouvre Tunnel ), et de bien configurer vos règles de Filtrage comme précisé dans l étape 5. Vous pouvez ensuite monter le tunnel en cliquant sur Tunnel > Ouvre tunnel, et visualiser si vous êtes connecté. En lançant la Console (Outils > Console), vous pouvez suivre comme ci-dessous les logs d une bonne négociation des phases 1 et 2. laurenta@exer.fr, responder id 81.2.3.4 Exer 2013 Page 14

4) Vérification de l authentification auprès du Netasq Une fois le tunnel établi, on peut vérifier en se connectant sur Netasq Real-time Monitor que le tunnel est bien actif, et que l utilisateur est automatiquement authentifié (grâce à son e-mail permettant la liaison avec son compte LDAP). Ceci va nous permettre de créer des règles de filtrage très strictes, puisqu il nous est possible de distinguer un utilisateur nomade d un autre. Exer 2013 Page 15

5) Création d un slot de filtrage Netasq et Nomade IPSec Pour les connexions «nomades», le firewall ne crée pas de règles implicites. Aussi, il faut donc penser à laisser passer les flux en provenance de «Any» et à destination de l interface publique du Firewall, sur les ports 500/udp (isakmp), 4500/udp (isakmp_natt), ainsi que le protocole ESP (vpn_esp). Tout à l heure, lors de la configuration des extrémités de trafic VPN sur le Firewall, nous avons indiqué en destination le réseau local (Network_Bridge). Toutefois, sans règles de filtrage adéquates, aucun trafic ne sera autorisé à sortir du tunnel. Voici un exemple de filtrage permettant à l utilisateur Nomade «laurenta» de se connecter au réseau interne, via le tunnel IPSec, pour envoyer un ping sur une machine du réseau local. Notez l option source «via Tunnel IPSec» pour spécifier que les flux doivent provenir du tunnel. Notez également la syntaxe spécifique de la source qui indique que n importe quelle IP Source est acceptée, à condition que l utilisateur «laurenta» soit connecté sur le poste. Le Centre de Support Technique Exer Tel : +33 (0) 8 99 03 70 24 Distributeur à Valeur ajoutée - Sécurité - Mobilité - Stockage EuraTechnologies / Bâtiment Cube - 35, rue Winston Churchill - 59160 LILLE-LOMME Exer 2013 Page 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back