Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq



Documents pareils
TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

LAB : Schéma. Compagnie C / /24 NETASQ

Arkoon Security Appliances Fast 360

Mise en route d'un Routeur/Pare-Feu

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Les réseaux des EPLEFPA. Guide «PfSense»

Sécurisation du réseau

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

Mettre en place un accès sécurisé à travers Internet


Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Configuration de base de Jana server2. Sommaire

Comment se connecter au VPN ECE sous vista

Utiliser le portail d accès distant Pour les personnels de l université LYON1

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Etape 1 : Connexion de l antenne WiFi et mise en route

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Sécurité des réseaux IPSec

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

Utilisation de KoXo Computers V2.1

Sécurité et Firewall

Configurer ma Livebox Pro pour utiliser un serveur VPN

Tutorial Terminal Server sous

NETASQ CLIENT VPN IPSEC GUIDE UTILISATEUR

Site Web : Contact : support@thegreenbow.com

Fédération de compte entre Votre compte Association (VCA) et l application de dépôt des comptes annuels des associations

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Passerelle de Sécurité Internet Guide d installation

CONFIGURATION FIREWALL

Personnaliser le serveur WHS 2011

Firewall ou Routeur avec IP statique

Assistance à distance sous Windows

Configurez votre Neufbox Evolution

Notice d installation des cartes 3360 et 3365

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Installer le patch P-2746 et configurer le Firewall avancé

TP réseaux Translation d adresse, firewalls, zonage

1. Présentation de WPA et 802.1X

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Informations Techniques Clic & Surf V 2.62

Contrôle Parental Numericable. Guide d installation et d utilisation

Travaux pratiques Configuration d un pare-feu sous Windows XP

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

1. DÉMARRER UNE SESSION SÉCURISÉE SUR LE MACINTOSH SESSIONS DES APPLICATIONS CLIENTES SUR LE MACINTOSH... 5

Plateforme de support en ligne. Guide d utilisation

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

PACK SKeeper Multi = 1 SKeeper et des SKubes

Création d une connexion VPN dans Windows XP pour accéder au réseau local de l UQO. Document préparé par le Service des technologies de l information

Client VPN IPSec TheGreenBow

Le protocole SSH (Secure Shell)

SPECIFICATIONS TECHNIQUES : Gestion des Médicaments et des commandes de médicaments

Manuel Utilisateur MISE A JOUR DU CLIENT SOFIE VERS LA VERSION 5. v0.99

TP LAN-WAN 2007/2008

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Mise en place d'un Réseau Privé Virtuel

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

INSTALLATION D UN PORTAIL CAPTIF PERSONNALISE PFSENSE

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Configuration de Outlook Express 6 pour utilisation avec belgacom.net

Guide de configuration. Logiciel de courriel

WinTask x64 Le Planificateur de tâches sous Windows 7 64 bits, Windows 8/ bits, Windows 2008 R2 et Windows bits

IPCOP 1.4.x. Mise en œuvre du Pare Feu. Des Addons

Contrôle d accès à Internet

Un serveur FTP personnel, ça ne vous a jamais dit?

GUIDE D UTILISATION ADMINISTRATEUR

Configuration de WebDev déploiement Version 7

VPN. Réseau privé virtuel Usages :

Guide d installation rapide. 30 mn chrono V 6

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Devoir Surveillé de Sécurité des Réseaux

Ces Lettres d informations sont envoyées aux extranautes inscrits et abonnés sur le site assistance (voir point N 3).

Gestionnaire des services Internet (IIS)

Réseaux Privés Virtuels

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Administration d un client Windows XP professionnel

Guide d installation et d utilisation

Sécurisation des accès au CRM avec un certificat client générique

VIDEO SURVEILLANCE SV82400 SV82500 SV82600 Type de panne cause Que faire? VIDEO SURVEILLANCE IPSV87050 VIDEO SURVEILLANCE IPSV87050 SERR1

Utilisation des ressources informatiques de l N7 à distance

TP Protocoles SMTP et POP3 avec Pratiquer l algorithmique

BARREAU PACK Routeur Sécurisé Avocat MANUEL D INSTALLATION

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

But de cette présentation

Office 365/WIFI/Courrier. Guide pour les étudiants

Un peu de vocabulaire

Transmission de données

Connexion à SQL server

IPS-Firewalls NETASQ SPNEGO

Mise en route d'une infrastructure Microsoft VDI

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Fonctionnement Kiwi Syslog + WhatsUP Gold

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

M2-RADIS Rezo TP13 : VPN

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Transcription:

Configuration d un Client Mobile IPSec «TheGreenBow» avec un Firewall Netasq Le but de ce document est de proposer un mode opératoire pour permettre à un utilisateur nomade de se connecter à son réseau d entreprise via un accès VPN IPSec fournit par un Firewall Netasq. Nous utiliserons dans les exemples suivants un Firewall Netasq en version 6.2.3 ainsi qu un client mobile TheGreenBow. 1) Création d un compte utilisateur dans la base LDAP Netasq Les utilisateurs nomades se connectant au Firewall depuis des adresses IP dynamiques (HotSpot Wi-Fi, UMTS/Edge, RTC ), il est impossible de distinguer un utilisateur nomade d un autre en se basant sur l IP Source. Pour contourner le problème, Netasq permet l utilisation de la clef pré partagée pour authentifier de manière transparente un utilisateur. Nous supposons que la base LDAP Interne du firewall est initialisée. Si vous utilisez une base LDAP Externe, il faut alors modifier son schéma (cf. documentation technique Netasq «na_tn_attributs_001_fr11.pdf» ). Exer Datacom 2007 Page 1

Sur cette fiche, il faut impérativement remplir le champ «login» et le champ «e-mail» (c est l e-mail qui servira d authentifiant pour le VPN Nomade). Ensuite, il faut spécifier la clef pré partagée de cet utilisateur dans l onglet «Accès». Il suffit alors d envoyer pour que cet utilisateur soit créé. Si plusieurs utilisateurs doivent accéder au VPN, il suffit de créer plusieurs objets «utilisateur» en prenant soin d inscrire un login et un e-mail différents pour chacun. Pour des raisons de sécurité, il est fortement conseillé que la clé pré partagée IPSec soit différente pour chaque utilisateur). Exer Datacom 2007 Page 2

2) Création du Slot VPN sur le Firewall Netasq Lors de la création d un nouveau slot VPN, nous sommes aidés par un assistant qui nous demande certaines informations : Le nom n a aucune importance, par contre, nous choisissons le modèle «Good Encryption» qui consiste en un pré réglage des algorithmes et des puissances de chiffrement. Exer Datacom 2007 Page 3

Sur l écran suivant, nous devons choisir le type de tunnel. Nous choisissons «Dynamique» et par «Clés pré partagées». Ne pas oublié de cocher l option «Mode Avancé», car nous aurons besoin de définir des extrémités de tunnel et de trafic à «Any» (puisque les nomades se connectent à partir d IP Dynamiques). Exer Datacom 2007 Page 4

Sur cet écran, nous devons spécifier les extrémités du tunnel VPN. L interface locale indique où les flux arrivent, c est généralement l interface «Firewall_Out», sauf si l on utilise une Dialup (PPPoE ) dans ce cas, c est «Firewall_Dialup». Le correspondant indique l IP Source de l extrémité distante du tunnel. Dans le cadre d un tunnel nomade, nous devons choisir «any» (bouton en bas à gauche sur l interface objets). Exer Datacom 2007 Page 5

A cette étape, il faut indiquer les extrémités de trafic, c'est-à-dire, entre quelles et quelles machines les données utiles vont communiquées. La «Machine Locale» correspond au réseau ou à la machine que l on souhaite rendre joignable par les utilisateurs nomades. C est un premier niveau de sécurité. Si vous indiquer une machine, vous ne pourrez accéder au maximum qu à celle-ci, et ce, quelles que soit vos règles de filtrages. Bien souvent lorsque plusieurs machines d un même réseau doivent être accessibles, on choisit le réseau (exemple «Network_Bridge»), sachant que c est au niveau des règles de filtrage que l on précisera quelles machines et quels services seront joignables. La «Machine Distante» est à nouveau «Any» puisque les nomades se connectent avec des adresses IP changeantes. Exer Datacom 2007 Page 6

Nous arrivons finalement sur la page récapitulative de la configuration du tunnel. Il ne reste plus qu à modifier quelques paramètres : La Négociation de Phase 1 doit être changé en «Mode agressif». Le Type d identité doit être mis en «Adresse IP» et il faut entrer l adresse IP Publique de l interface du Firewall qui va recevoir les flux VPN. La configuration du VPN au niveau du Netasq est réalisée! Exer Datacom 2007 Page 7

3) Configuration du Client Mobile IPSec TheGreenBow Sur l interface du client TheGreenBow il faut créer les deux phases de négociation à savoir la phase 1 correspondant à la négociation IKE et la phase 2 correspondant à la négociation IPSec. Il faut tout d abord changer les valeurs par défaut des durée de vie de la session d Authentification et de Chiffrement dans configuration? Paramètres et les mettre respectivement à Authentification (IKE) = 21600 et Chiffrement (IPSec)= 3600. On peut cocher l option «Bloquer les flux non chiffrés» pour n autoriser que les flux chiffrés via l interface du tunnel IPSec. Exer Datacom 2007 Page 8

Création de la phase 1 Durant cette phase, chaque extrémité doit s identifier et s authentifier auprès de l autre. On crée la phase 1 (Configuration VPN? Nouvelle Phase 1) Sur cette première page, on retrouve : L adresse du routeur distant : ceci correspond à l adresse publique affectée à l interface externe Firewall_out. La clé Partagée avec l utilisateur que nous crée auparavant dans la base LDAP. Les paramètres IKE à savoir Chiffrement : AES 128, Authentification : SHA et le Groupe de clé : DH1024 Il est important de respecter ces paramètres pour être en accord avec votre configuration VPN du Firewall. Exer Datacom 2007 Page 9

Dans l onglet P1 Avancé - Il faut choisir Aggressive Mode, le NAT-T restant automatique. - Dans la partie Local et Remote ID, il faut spécifier respectivement l identifiant que le client VPN envoie au Firewall pour s authentifier, dans notre cas, c est une adresse mail préenregistré dans la base LDAP. - Le Remote ID est l identifiant que le client s attend à recevoir du Firewall distant, dans notre cas, c est l adresse publique de l interface Firewall_out. Exer Datacom 2007 Page 10

Création de la phase 2 On configure les éléments de la phase 2 dans laquelle on retrouve l adresse du réseau distant et les éléments du protocole ESP. Il ne faut rien spécifier dans «Adresse du Client VPN», ce champ doit rester à 0.0.0.0 car lors de la configuration du Firewall, nous avons indiqué au tunnel que le correspondant est Any, il ne peut pas par conséquent avoir une IP fixe en correspondant. Le réseau distant : Vous allez renseigner l adresse de votre réseau local qui sera connecté au tunnel. Il est conseillé de choisir une adresse réseau et d effectuer les règles de filtrage par la suite. La partie ESP est toujours AES 128 pour le chiffrement, SHA pour l authentification et le mode Tunnel. Exer Datacom 2007 Page 11

Il ne faut pas oublier de sauver la configuration avant d ouvrir le Tunnel IPSec et de bien configurer vos règles de Filtrage (essayez en «Pass All» sinon). Vous pouvez ensuite monter le tunnel en cliquant sur Ouvrir le tunnel et visualiser si vous êtes connecté. Vous pouvez voir ci-dessous les logs d une bonne négociation des phases 1 et 2 en allant dans la rubrique console. Exer Datacom 2007 Page 12

4) Vérification de l authentification auprès du Netasq Une fois le tunnel établit, on peut vérifier en se connectant sur le Firewall Netasq que l utilisateur est automatiquement authentifié (grâce à son e-mail). Ceci va nous permettre de créer des règles de filtrage très strict, puisqu il nous est possible de distinguer un utilisateur nomade d un autre. Exer Datacom 2007 Page 13

5) Création d un slot de fitrage Pour les connexions «nomades», le firewall ne créé pas de règles implicites. Aussi, il faut donc penser à laisser passer les flux en provenance de «Any» et à destination de l interface publique du Firewall, sur les ports 500/udp, 4500/udp, ainsi que le protocole ESP. Tout à l heure, lors de la configuration des extrémités de trafic VPN sur le Firewall, nous avons indiqués en destination le réseau local (Network_In). Toutefois, sans règles de filtrage adéquates, aucun trafic ne sera autorisé à sortir du tunnel. Voici un exemple de filtrage permettant à l utilisateur Nomade «laurenta» de se connecter en TSE sur le serveur SISYPHE, via le tunnel IPSec, ainsi que d envoyer des messages ICMP «Echo Request» (ping) vers ce même serveur. Notez l interface source «IPSec» pour spécifier que les flux doivent provenir du tunnel. Notez également la syntaxe spécifique de la source «laurenta@any» ceci indique que n importe quelle IP Source est acceptée, à condition que l utilisateur «laurenta» soit connecté sur le poste. J espère que cette documentation vous aura aidée! Bien Cordialement, Ahmad SAIF EDDINE Exer Datacom 2007 Page 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back