IPSec Configuration ou Phase 2

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

36

Propriete de TheGreenBow© - Sistech SA 2000-2007 Remote ID Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir

du routeur VPN distant. Suivant le type sélectionné, cet identifiant peut être :

· une adresse IP (type = Adresse IP), par exemple : 80.2.3.4

· un nom de domaine (type = FQDN), par exemple : routeur.

mondomaine.com

· une adresse email (type = USER FQDN), par exemple : admin@mydomain.com

· une chaîne de caractères (type = KEY ID), par exemple : 123456

· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN qui est utilisée par défaut.

X-Auth Saisir le Login et mot de passe choisis pour la négociation X-AUTH IPSec.

Si "X-Auth popup" est sélectionné, une fenêtre de saisie du login/

mot de passe X-Auth apparaîtra à chaque tentative d'ouverture de tunnel. L'utilisateur à 20 secondes pour saisir les paramètres avant que l'authentification X-Auth n'expire. Si l'authentification X-Auth n'est pas effectuée, le tunnel ne peut pas être ouvert.

Hybrid Authentication Mode

Le Mode Hybrid est un mode d'authentification simplifié utilisé dans la Phase 1 IKE.

L'authentification X-Auth classique s'effectue par identification/

authentification mutuelles entre le Client et la Gateway VPN, basées sur les techniques standard d'échanges de clés publiques. Le Mode Hybrid permet une authentification "asymétrique" qui autorise le Client à utiliser une technique d'authentification plus simple, comme un 'challenge response', aboutissant à une authentification

"unidirectionnelle".

Hybrid Mode est implémenté dans le Client VPN IPSec

TheGreenBow conformément à la RFC 'draft-ietf-ipsec-isakmp-hybrid-auth-05.txt'.

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

37

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.4.2 Phase 2 Description des paramètres

Nom Identifiant de la Configuration IPSec utilisé uniquement par le logiciel.

Ce paramètre n'est pas transmis dans la négociation IPSec.

Il est possible de modifier le nom d'une Phase à tout moment.

Une modification de nom sera reflétée dans l'arborescence.

Deux phases ne peuvent avoir le même nom.

Adresse du Client VPN Adresse IP source affectée aux trames IPSec avant le tunneling.

Cette adresse est utilisée pour définir l'adresse IP "virtuelle" du poste sur le réseau distant, c'est-à-dire, l'adresse avec laquelle le poste sera "vu" sur le réseau distant par les autres machines.

Dans notre exemple, cette adresse vaut 192.168.1.50.

Type d'adresse L'extrémité du tunnel peut être un réseau ou un poste distant.

· Choisir 'Adresse réseau' pour un réseau. Dans ce cas, les deux paramètres 'Adresse Réseau Distant' et 'Masque Réseau' sont disponibles.

· Choisir 'Plage d'adresses' pour un réseau avec possibilité de restreindre la plage d'adresses IP sur lesquelles le trafic déclenche l'ouverture du tunnel automatiquement.

· Choisir 'Adresse Poste' pour un poste distant. Dans ce cas, seul le paramètre 'Poste distant' est disponible.

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

38

Propriete de TheGreenBow© - Sistech SA 2000-2007 Adresse Réseau Distant /

Adresse Poste Distant

Adresse IP distante, ou adresse IP du routeur, qui déclenche l'ouverture du tunnel.

Masque réseau Masque de réseau (subnet mask)

Certificat Certificat X509 utilisé par le Client VPN (voir Mise en œuvre des Certificats)

ESP Chiffrement Algorithme de chiffrement négocié au cours de la Phase IPSec (3DES, AES, ...)

ESP Authentification Algorithme d'authentification négocié au cours de la Phase IPSec (MD5, SHA, ...)

ESP mode Mode d'encapsulation IPSec : Tunnel ou Transport PFS Groupe Longueur de clé Diffie-Hellman.

Ouvrir le tunnel Ce bouton permet d'ouvrir manuellement le tunnel. Ce bouton se transforme en 'Fermer le tunnel' dès que le tunnel est ouvert.

Scripts Des scripts ou applications (e.g. script security admin , Outlook, CRM apps, ..) peuvent être configurés, voir 'Configuration des Scripts'.

Note: La fonctionnalité "Plage d'adresses" combinée avec la fonctionnalité "Ouverture du tunnel sur trafic" permet d'ouvrir automatiquement un tunnel sur détection de trafic vers l'une des adresses dans la plage d'adresses specifiée.

Une fois la configuration terminée, cliquer sur "Sauver et Appliquer" pour que cette configuration soit prise en compte par le Client VPN.

Note: De nombreux exemples et guides de configuration, suivant les passerelles/routeurs utilisés, sont disponibles sur notre site web.

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

39

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.4.3 Phase 2 Description des paramètres Avancés

Mode d'ouverture automatique

Le Client VPN peut ouvrir un tunnel (Phase2) automatiquement sur événements particuliers:

· Ouvrir automatiquement le tunnel au démarrage du Client VPN.

Comme le Client VPN peut être configuré pour démarrer pendant le boot de la machine (avant le login Windows, voir "

Préférences"), cette configuration peut être utilisée pour ouvrir un tunnel vers un serveur sur lequel se connecte le poste avant l'ouverture de Windows, par exemple pour des opérations de maintenance.

· Ouvrir automatiquement le tunnel sur insertion d'un Stick USB et à condition que ce dernier contienne les éléments de sécurité nécessaires (PreShared Key, Certificats, ..). La détection du Stick USB est automatique. Voir Mode USB.

· Ouvrir automatiquement le tunnel quand le Client VPN détecte du trafic à destination du réseau privé distant spécifié pour ce tunnel.

Config Mode manuel Les adresses IP des serveurs DNS et WINS du réseau LAN distant peuvent être saisies manuellement dans cette fenêtre. Cette option permet de faciliter la résolution d'adresse des serveurs d'entreprise.

Les adresses sont prises en compte dès que le tunnel est ouvert et aussi longtemps qu'il le reste.

6.4.4 Configuration des Scripts

Des scripts ou applications peuvent être configurés dans la fenêtre de 'Configuration de Scripts'.

Cette fenêtre est accessible par le bouton 'Scripts' dans la Phase 2.

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

40

Propriete de TheGreenBow© - Sistech SA 2000-2007 Des scripts ou applications peuvent être activés pour chaque étape d'un processus d'ouverture et de fermeture d'un tunnel VPN:

· avant l'ouverture d'un tunnel

· après l'ouverture d'un tunnel

· avant la fermeture d'un tunnel

· après la fermeture d'un tunnel

Cette fonctionnalité permet d'exécuter des scripts (batch, scripts, applications,…) à chaque étape, par exemple, pour se connecter directement sur le serveur intranet de l'entreprise, pour vérifier l'installation d'une mise à jour, pour vérifier la disponibilité d'une base de données avant le lancement d'une application de backup, pour vérifier qu'un logiciel est démarré, ... Elle permet également de modifier la configuration réseau avant ou après l'ouverture du tunnel, et de la restaurer à la fermeture.