Endpoint Security Client. Guide de l'utilisateur R72

(1)

Endpoint Security Client

Guide de l'utilisateur

R72

(2)

(3)

Tous droits réservés. Ce produit et la documentation associée sont protégés par copyright et distribués sous licence, ce qui restreint leur utilisation, leur copie, leur distribution et leur décompilation. Aucune partie de ce produit ou de la documentation associée ne peut être reproduite sous aucune forme ni par aucun moyen sans l'autorisation écrite préalable de Check Point. Bien que toute

précaution ait été prise pour la préparation du présent manuel, Check Point dénie toute responsabilité concernant d'éventuelles erreurs ou omissions. Cette

publication et les aspects qu'elle décrit sont sujets à modification sans préavis.

DROITS LIMITÉS D'UTILISATION :

L'utilisation, la duplication ou la diffusion par le gouvernement est soumise à restrictions comme indiqué dans le sous-paragraphe (c)(1)(ii) de la clause des droits des données techniques et des logiciels d'ordinateur à DFARS 252.227- 7013 and FAR 52.227-19.

MARQUES :

Vous trouverez la liste de nos marques sur la page : http://www.checkpoint.com/copyright.html

Pour consulter les notices des autres fournisseurs, voir : http://www.checkpoint.com/3rd_party_copyright.html

(4)

(5)

Sommaire

Introduction à Endpoint Security... 11

Présentation de la Page principale Endpoint Security... 11

Présentation de la Page principale Endpoint Security... 12

Icônes de la barre d'état... 12

Volets... 13

Volet Présentation ... 14

Réponse aux alertes... 18

Alertes Nouveau programme ... 18

Alertes Nouveau réseau et VPN ... 19

Alertes de conformité... 19

VPN ... 21

Principes de base du VPN ... 21

Types de VPN d'Endpoint Security ... 22

Interfaces VPN compactes et étendues ... 22

Démarrage et arrêt des services client VPN ... 23

Authentification ... 23

Modification des méthodes d'authentification... 24

Gestion des certificats ... 25

Configuration des profils et des sites ... 30

Gestion des profils de connexion... 31

Gestion des sites VPN ... 35

Connexion et déconnexion ... 39

Statut de connexion... 40

Configuration des options de connexion ... 43

Options de configuration avancées ... 50

Blocage des messages contextuels ... 50

(6)

Options de ligne de commande ...51

Anti-virus et Anti-espion ...55

Endpoint Security Anti-virus et Anti-espion...55

Activation des fonctions Anti-virus et Anti-espion ...56

Affichage de l'état de protection anti-virus et anti-espion ...56

Anti-virus et Anti-espion ...56

Analyse ...57

Signification des résultats de l'analyse ...58

Traitement manuel des fichiers ...58

Envoi d'informations sur des virus et de logiciels espions à Check Point ...59

Affichage des éléments placés en quarantaine ...60

Affichage des historiques...61

Options avancées ...63

Planification des analyses ...63

Mise à jour des définitions de virus et de logiciel espion ...64

Spécification des cibles de l'analyse ...65

Analyse en accès ...66

Spécification des méthodes de détection des logiciels espions ...67

Activation du traitement automatique des virus...67

Activation du traitement automatique des logiciels espions ...68

Réparation de fichiers d'archive...68

Options d'analyse de virus...69

Liste des exceptions de l'anti-virus...69

Liste d'exceptions de l'Anti-espion ...70

Pare-feu...73

Fonctionnement de la protection Pare-feu ...73

Comprendre les zones...74

Les zones permettent d'organiser la sécurité avec un Pare-feu ...74

Les zones permettent de contrôler les programmes ...75

Configuration des nouvelles connexions réseau ...76

Intégration au services réseau ...76

(7)

Activation du partage de fichiers et d'imprimantes... 76

Connexion à des serveurs de messagerie réseau... 77

Activation du partage de connexion Internet (ICS) ... 77

Sélection des niveaux de sécurité... 78

Configuration des options de sécurité avancées ... 79

Configuration des options de sécurité de la Passerelle... 79

Configuration des options ICS... 80

Configuration des options de sécurité générales... 81

Configuration des options de sécurité du réseau ... 82

Gestion du trafic des zones... 83

Affichage du trafic des zones... 83

Modification des sources de trafic des zones ... 84

Ajout à la zone sûre ... 84

Ajout à la zone bloquée... 86

Blocage et déblocage de ports ... 86

Paramètres d'autorisation de port par défaut ... 87

Ajout de ports personnalisés ... 89

Configuration de la connexion VPN pour le Pare-feu... 89

Protocoles VPN pris en charge ... 89

Configuration de la connexion VPN... 90

Contrôle des programmes ... 93

Comprendre le Contrôle des programmes ... 93

Contrôle d'accès des programmes ... 93

Authentification de programme ... 94

Définition des options du Contrôle des programmes ... 94

Définition du niveau de contrôle des programmes ... 94

Activation du verrouillage automatique ... 96

Configuration de l'accès des programmes... 96

Définition des droits d'accès de programme ... 97

Personnalisation des paramètres de contrôle des programmes... 98

Définition d'autorisations spécifiques ... 99

(8)

Utilisation de la liste des programmes...99

Ajout à la liste des programmes ...100

Octroi de droits d'accès Internet aux programmes...101

Octroi de droits de serveur aux programmes ...101

Octroi de droits d'envoi de courrier électronique aux programmes ...102

Contrôle des programmes Avancé ...102

Désactivation de la protection MailSafe en sortie...103

Définition des options d'authentification ...103

Octroi de l'autorisation d'utiliser des programmes pour d'autres utilisateurs ...103

Gestion des composants de programme ...104

Utilisation de programmes avec le client ...104

Utilisation du logiciel anti-virus ...105

Utilisation des navigateurs ...105

Utilisation des programmes de conversation ...105

Utilisation du courrier électronique ...106

Utilisation d'un répondeur Internet ...106

Utilisation du partage de fichiers ...107

Utilisation de FTP ...107

Utilisation de flux média...107

Utilisation des jeux ...107

Utilisation du Contrôle à distance ...108

Utilisation de VNC ...108

Utilisation de Voix sur IP ...109

Utilisation de programmes de conférence Web ...109

Full Disk Encryption ...111

Authentication au Full Disk Encryption...111

Garantie de la non-falsification de votre ordinateur ...112

Authentication pour la première fois ...112

Utilisation d'un mot de passe fixe ...112

Utilisation d'un jeton dynamique ...114

Utilisation d'une carte à puce ou d'un jeton USB ...115

(9)

Que faire en cas d'oubli du mot de passe ? ... 117

Que faire si je ne peux pas accéder à mon jeton ou à ma carte à puce ?... 117

Fonctionnalités facultatives de Full Disk Encryption... 118

Synchronisation des mots de passe ... 118

Sécurité du périphérique optimisée et à connexion unique ... 120

Connexion intégrée à Windows... 122

Utilisation du volet de Full Disk Encryption... 122

Affichage des informations de l'état et du cryptage ... 122

Modification de vos informations d'authentification ... 125

Modification de la langue de l'interface ... 126

Caractères pris en charge dans l'environnement de pré-amorçage ... 130

Media Encryption ... 131

Caractéristiques ... 131

Gestionnaire de stratégie... 132

Gestionnaire de supports amovibles... 132

Gestionnaire de périphériques ... 133

Surveillance de la sécurité des programmes ... 133

Mots de passe mis en cache ... 134

Utilisation du client EPM ... 135

Cryptage de support... 135

Cryptage des CD et DVD ... 138

Accès à un support crypté ... 138

Accès au support crypté à partir d'ordinateurs sans Media Encryption... 139

Effacement des CD et des DVD ... 141

Modification du mot de passe du périphérique crypté ... 141

Utilisation du gestionnaire de supports amovibles... 142

Autorisation des supports amovibles ... 142

Utilisation du Gestionnaire de périphériques ... 143

Utilisation de la surveillance de la sécurité des programmes ... 143

Section Maintenance ... 144

(10)

WebCheck ...145

Comprendre WebCheck...145

Protection de WebCheck ...145

Mode Internet et mode entreprise ...146

Avrtissements de site douteux ...147

Bannière jaune Attention ...147

Avertissement en rouge "risque de phishing" ("Might Be Phishing") ...148

Alertes Avertissement en rouge...149

Protection des courriers électroniques ...151

Protection MailSafe en sortie ...151

Activation de la protection MailSafe en sortie ...152

Personnalisation de la protection MailSafe en sortie ...152

Activation de MailSafe par programme ...152

Configuration des options MailSafe ...153

Stratégies...155

Types de Stratégie ...155

Fonctionnement de l'arbitrage des stratégies...156

Affichage des Stratégies disponibles ...156

Utilisation du volet Stratégies...156

Alertes et historiques...159

Fonctionnement des alertes et des historiques ...159

A propos des alertes ...159

A propos de la consignation des événements...160

Configuration des options de base des alertes et des historiques ...161

Configuration du niveau d'alerte ...161

Configuration des options d'historique des événements et des programmes...161

Afficher ou masquer les alertes ...162

Afficher ou masquer les alertes de Pare-feu ...162

Configuration des options d'historique des événements et des programmes ...163

Formatage de l'apparence des historiques...163

Personnalisation de la consignation des événements...163

(11)

Personnalisation de la consignation des programmes ... 164

Affichage des entrées d'historique... 164

Affichage de l'historique texte... 166

Archivage des entrées d'historique ... 167

Utilisation d'Alert Advisor ... 168

Référence aux alertes ... 169

Alertes informatives ... 169

Alerte Pare-feu/de protection ... 169

Alerte MailSafe ... 171

Alertes Programme bloqué... 171

Alertes Verrouillage Internet ... 172

Alertes de conformité... 173

Alertes de programme ... 174

Alertes Nouveau programme ... 174

Alertes Programme connu ... 175

Alertes Programme modifié ... 176

Alertes Composant de programme ... 177

Alertes Programme serveur ... 179

Alertes Programme avancées ... 180

Alertes Action manuelle requise ... 182

Alertes Nouveau réseau... 182

Dépannage ... 185

Dépannage du VPN... 185

Configuration du client pour le trafic VPN ... 186

Configuration automatique du VPN et règles avancées ... 186

Délai de détection automatique du VPN... 186

Dépannage du réseau... 187

Afficher votre ordinateur sur votre réseau local ... 187

Partage local de fichiers et d'imprimantes... 188

Solutions en cas de démarrage lent ... 188

Dépannage des connexions Internet ... 188

(12)

Echec de la connexion à Internet après l'installation...189

Autorisation des messages de détection FAI...190

Connexion via un client ICS ...191

Connexion via un serveur proxy ...191

Glossaire ...193

Index ...207

(13)

Chapitre 1

Introduction à Endpoint Security

Check Point Endpoint Security™ est le premier et le seul agent autonome qui combine tous les composants essentiels pour une sécurité totale de l'extrémité : le pare-feu de niveau le plus élevé, l'Anti-virus, l'Anti-espion, le Full Disk Encryption, le Media Encryption avec protection des ports, le contrôle d'accès au réseau (NAC, network access control), le contrôle de programme et VPN.

Check Point Endpoint Security protège les ordinateurs et élimine le besoin de déployer et de gérer plusieurs agents, ce qui réduit le coût total de possession

Dans cette section

Présentation de la Page principale Endpoint Security 11

Réponse aux alertes 18

Présentation de la Page principale Endpoint Security

La Page principale Endpoint Security centralise l'accès aux différentes fonctionnalités de sécurité qui protègent votre ordinateur.

Pour ouvrir la Page principale Endpoint Security, sélectionnez Paramètres dans le menu Endpoint Security de la barre des tâches.

(14)

Présentation de la Page principale Endpoint Security

Figure 0-1 Page principale Endpoint Security

Le menu gauche permet d'accéder aux volets disponibles.

Icônes de la barre d'état

Les icônes qui s'affichent dans la barre d'état vous permettent de contrôler instantanément l'état de votre sécurité et l'activité Internet et d'accéder à vos paramètres de sécurité en quelques clics. Cliquez avec le bouton droit sur l'une des icônes ci-dessous pour faire apparaître un menu contextuel.

Table 0-1 Icônes de la barre d'état

(15)

Icône Description Le VPN est connecté.

Analyse de sécurité, cryptage ou modification des paramètres du client en cours

Attention requise

(par exemple : client non conforme à la stratégie, erreur d'application ou redémarrage nécessaire).

Volets

Votre client Endpoint Security peut avoir un ou tous les volets possibles, selon l'installation et la configuration que l'administrateur vous a créé.

VPN

Affiche si vous êtes connecté à VPN, si vous avez VPN installé sur votre client Endpoint Security.

Anti-virus et Anti-espion

Indique si chaque protection est activée et, le cas échéant, le nombre de virus ou d'espions traités.

Pare-feu

Indique si le pare-feu est activé et affiche le nombre d'alertes de pare-feu et de verrouillage Internet générées depuis la dernière réinitialisation. Si un message d'avertissement est affiché, cliquez sur le texte souligné pour accéder

immédiatement au volet dans lequel vous pouvez modifier vos paramètres.

Contrôle des programmes

Indique si le contrôle des programmes est configuré de manière sécurisée et affiche le nombre d'alertes de programme générées depuis la dernière

réinitialisation. Le client Endpoint Security vous avertit en cas de désactivation du contrôle des programmes.

(16)

Full Disk Encryption

Fournit l'accès aux options de Full Disk Encryption.

Media Encryption

Fournit l'accès aux options de Media Encryption et au client EPM.

WebCheck

Indique quelles options de WebCheck ont été fournies à ce client par l'administrateur Endpoint Security.

Protection des courriers électroniques

Indique si MailSafe est activé et affiche le nombre de pièces jointes qui ont été placées en quarantaine depuis la dernière réinitialisation. Si un message d'avertissement est affiché, cliquez sur le texte souligné. Le volet qui s'affiche vous permet d'ajuster vos paramètres.

Stratégies

Affiche une tables des stratégies disponibles et les détails de la stratégie active courante.

Volet Présentation

Le volet Présentation permet d'accéder rapidement aux problèmes les plus urgents et propose une analyse rapide de l'état des différentes zones de protection et de connexion.

Pour ouvrir le volet Présentation, procédez comme suit :

1. Cliquez avec le bouton droit sur l'icône Endpoint Security de la barre d'état.

2. Sélectionnez Paramètres.

La Page principale Endpoint Security affiche l'onglet Général du volet Présentation.

(17)

Utilisation de l'onglet Général du volet Présentation

L'onglet Général du volet Présentation indique si les paramètres de sécurité du pare- feu, des programmes et de la messagerie sont activés et affiche le récapitulatif des activités de sécurité. Dans l'onglet Général, vous pouvez :

• Vérifier rapidement si votre ordinateur est sécurisé.

• Consulter un résumé de l'activité du client

• Déterminer si votre version du client est à jour

• Accéder au didacticiel du produit

Définition des préférences

L'onglet Présentation|Préférences permet d'accéder aux paramètres courants.

Configuration du mot de passe de niveau utilisateur

Si vous configurez un mot de passe de niveau utilisateur, vous serez la seule personne à pouvoir fermer ou désinstaller le client Endpoint Security, et modifier vos paramètres de sécurité. La présence d'un mot de passe n'empêche pas les autres utilisateurs d'accéder à Internet depuis votre ordinateur.

Si votre version du client Endpoint Security a été installée par un administrateur avec un mot de passe d'installation, cet administrateur peut accéder à toutes les fonctions.

Lorsque vous définissez un mot de passe pour la première fois, veillez à vous déconnecter avant de vous absenter de votre ordinateur. Sinon, d’autres utilisateurs peuvent modifier vos paramètres.

Ce paramètre permet aux autres personnes d'utiliser les programmes et d'accéder à Internet, mais les empêche de modifier vos paramètres de sécurité. Par exemple, il peut être utile d'empêcher vos enfants de modifier les paramètres de Endpoint Security, tout en leur permettant d'utiliser de nouveaux programmes sans

connaître votre mot de passe.

Remarque : Les autres utilisateurs ne pourront pas utiliser les programmes présents dans votre liste de programmes bloqués.

Pour définir ou modifier le mot de passe du client Endpoint Security :

1. Sélectionnez Présentation|Préférences.

2. Cliquez sur Définir le mot de passe.

3. Tapez votre mot de passe et confirmez-le dans les champs prévus à cet effet.

(18)

4. Sélectionnez Autoriser les autres utilisateurs à utiliser les programmes sans mot de passe.

5. Cliquez sur OK.

Remarque : pour être valide, un mot de passe doit comporter de 6 à 31 caractères. Les caractères valides sont les majuscules de A à Z, les minuscules de a à z, les chiffres de 0 à 9 et les caractères

!,@,#,$,%,^,&,*.

Après avoir défini un mot de passe, vous devez vous connecter pour pouvoir modifier les paramètres, désactiver le moteur de sécurité TrueVector ou désinstaller Endpoint Security.

Configuration des préférences générales

Par défaut, le client démarre automatiquement en même temps que l’ordinateur.

Utilisez les paramètres de la zone Général pour modifier l'option de démarrage automatique.

Pour définir les préférences générales d'affichage, procédez comme suit :

2. Dans la zone Général, spécifiez vos préférences.

• Charger le logiciel Check Point Endpoint Security au démarrage : Le client Endpoint Security démarre automatiquement au démarrage de votre ordinateur.

• Protéger le client Check Point Endpoint Security : empêche les chevaux de Troie d'envoyer des requêtes clavier et souris au client.

Pour assurer la sécurité maximale, ne désactivez cette fonctionnalité que si vous rencontrez des problèmes au niveau du clavier ou de la souris lors de l'exécution de programmes d'accès à distance.

Si vous vous connectez à un serveur proxy à partir de cet ordinateur, cliquez sur Options. Dans la fenêtre Options, indiquez les détails du serveur proxy.

Pour configurer un serveur proxy :

1. Sélectionnez Activer le serveur Proxy.

2. Dans le champ Serveur proxy, indiquez le nom de l'hôte ou l'adresse IP du serveur proxy.

3. Dans le champ Port, indiquez le port ouvert entre cet ordinateur et le serveur proxy.

(19)

4. Cliquez sur OK.

Configuration des préférences de contact

En définissant des préférences de contact, vous protégez la confidentialité de vos données lorsque le client communique avec Check Point (par exemple, pour détecter automatiquement les mises à jour).

Pour définir les préférences générales de contact :

2. Dans la zone Contact, spécifiez vos préférences.

• M'avertir par un message avant de prendre contact : Affiche un avertissement avant de contacter Check Point pour envoyer des informations

d'abonnement, obtenir des mises à jour, rechercher une alerte ou accéder à DNS pour chercher des adresses IP.

Remarque : si vous appartenez à la Communauté sécurisée Check Point, vous ne serez pas averti avant l'envoi de données anonymes.

• Masquer mon adresse IP si possible : Empêche l'identification de votre ordinateur lorsque vous contactez Check Point.

• Masquer le dernier octet de mon adresse IP si possible : Masque la dernière partie de votre adresse IP (par exemple 123.456.789.XXX) lorsque vous contactez Check Point.

Présentation de l'onglet Infos sur le produit

L'onglet Présentation|Infos sur le produit présente les informations de version des composants suivants :

• client Endpoint Security (inclut aussi les date et heure d'installation)

• Moteur de sécurité TrueVector

• Pilote

• Moteur du VPN (le cas échéant)

• Moteur anti-vrus Anti-virus

(20)

Réponse aux alertes

Durant les premiers jours d'utilisation du client, en général de nombreuses alertes s'affichent car le client Endpoint Security identifie vos différents programmes et réseaux et il vous permet de configurer la sécurité selon vos besoins.

La manière de répondre à une alerte dépend du type de l'alerte.

Alertes Nouveau programme

La majorité des premières alertes que vous verrez seront des alertes Nouveau programme. Ces alertes s'affichent lorsqu'un programme de votre ordinateur tente d'accéder à Internet ou à votre réseau local. Utilisez les alertes Nouveau

programme pour accorder des droits d’accès aux programmes qui en ont besoin, tels que votre navigateur ou votre programme de messagerie.

Remarque : cochez l'option Conserver cette réponse pour accorder l'accès de manière permanente aux programmes fiables.

Peu de programmes ou de processus nécessitent des droits de serveur pour

fonctionner normalement. Certains processus, toutefois, sont utilisés par Microsoft Windows pour effectuer des fonctions légitimes. Parmi les plus courants

rencontrés dans les alertes, on trouve :

• lsass.exe

• spoolsv.exe

• svchost.exe

• services.exe

• winlogon.exe

Si vous ne reconnaissez pas le programme ou le processus qui demande des droits de serveur, allez sur le site de l'assistance Microsoft

(http://support.microsoft.com/) pour vous renseigner sur le processus et déterminer sa nature et son rôle. N'oubliez pas que de nombreux processus Windows

légitimes, y compris ceux mentionnés plus haut, peuvent potentiellement être utilisés par des pirates pour déguiser des vers et des virus ou pour assurer à des chevaux de Troie un accès dérobé à votre système. Si vous n'étiez pas en train d'effectuer une fonction quand l'alerte est apparue (comme parcourir des fichiers, ouvrir une connexion sur un réseau ou télécharger des fichiers), la réaction la plus sûre consiste à refuser les droits de serveur. Vous pouvez à tout moment accorder des autorisations à des programmes et des services spécifiques depuis la liste des

(21)

programmes, accessible en sélectionnant l'ongletContrôle des programmes|Programmes.

Si de nombreuses alertes de programme serveur s'affichent, lancez une recherche anti-espion pour éliminer ce risque.

Alertes Nouveau réseau et VPN

Les autres alertes initiales que vous verrez sont les alertes Nouveau réseau et les alertes Configuration VPN. Celles-ci ont lieu lorsque le client détecte une

connexion à un réseau ou à un VPN. Elles vous aideront à configurer votre zone sûre, les autorisations de port/protocole et les autorisations des programmes afin de pouvoir travailler en toute sécurité sur votre réseau.

Alertes de conformité

Les alertes relatives à la conformité sont générées lorsque le serveur Endpoint Security associé au client Endpoint Security détermine que votre ordinateur n'est pas conforme aux exigences de sécurité de l'entreprise. En fonction du type de non-conformité, votre accès au réseau de l'entreprise peut être restreint ou même interrompu.

Les ordinateurs sur lesquels sont installées les versions et les types corrects de logiciels sont déclarés conformes aux exigences des entreprises en matière de sécurité. Si dans le cas contraire Endpoint Security détermine qu'un ordinateur n'est pas conforme :

• Il affiche une alerte de conformité (uniquement si l'affichage des alertes de conformité est activé dans la stratégie de sécurité active),

• Il vous dirige sur une page Web indiquant comment configurer votre ordinateur d'extrémité de manière à assurer sa conformité.

Ce qui se passe ensuite dépend des stratégies de sécurité de votre entreprise.

• Si la non-conformité n'exige pas de correction immédiate, votre accès au réseau de l'entreprise peut être restreint : Vous pouvez conserver l'accès à certaines ressources du réseau avant d'effectuer les corrections nécessaires pour rendre votre ordinateur conforme.

• Si la cause de non-conformité exige une correction immédiate, votre accès au réseau de l'entreprise peut être coupé : dans ce cas, vous n'aurez accès qu'à la page Web vous expliquant comment rendre votre ordinateur conforme aux exigences de sécurité de l'entreprise.

(22)

(23)

Chapitre 2

VPN

Le réseau privé virtuel (VPN) vous permet d'utiliser Internet pour vous connecter à distance au réseau privé ou intranet de votre entreprise. Les réseaux VPN

autorisent une communication privée et sécurisée tout en utilisant des réseaux publics tels qu'Internet pour la transmission.

Dans cette section

Principes de base du VPN 21

Authentification 23

Configuration des profils et des sites 30

Connexion et déconnexion 39

Options de configuration avancées 50

Principes de base du VPN

Le VPN Endpoint Security vous permet de vous connecter de façon sécurisée au réseau de votre entreprise lorsque vous travaillez à distance. Une fois que votre ordinateur et le site VPN ont prouvé leur identité (ou se sont authentifiés), toutes les communications suivantes sont cryptées et sécurisées. Vous pouvez alors accéder à des fichiers privés via Internet en sachant que les personnes non autorisées ne peuvent ni les afficher ni les modifier. La connexion VPN peut être établie directement au serveur ou par l'intermédiaire d'un fournisseur d'accès à Internet (FAI). Les utilisateurs distants peuvent se connecter à l'organisation via n'importe quel adaptateur réseau (y compris sans fil) ou connexion par modem.

La fonction VPN de Endpoint Security authentifie les différents participants et crypte les données qu'ils transmettent. La fonction VPN utilise les protocoles Internet standard pour un cryptage et une authentification renforcés. Le cryptage permet de s'assurer que seules les parties authentifiées peuvent lire les données

(24)

transmises. L'intégrité des données est en outre assurée, c'est-à-dire que les données ne peuvent pas être modifiées durant leur transit.

Le volet Général du VPN présente des informations sur la connexion VPN en cours (le cas échéant) et sur l'état de votre connexion distante au serveur Endpoint Security. Le volet Général vous permet de lancer l'assistant de site pour créer un site VPN, vous connecter ou vous déconnecter d'un site VPN ou ouvrir la fenêtre Paramètres VPN pour configurer des profils et des sites, configurer des options de connexion particulières ou gérer les certificats.

Types de VPN d'Endpoint Security

Votre administrateur a configuré un type de VPN pour votre client. Il peut être un VPN Check Point Endpoint Connect ou le VPN hérité Endpoint Security. Les

options que vous devez choisir dépendent du type de VPN fourni dans votre client.

En général, vous savez que vous avez des options Check Point Endpoint Connect si vous voyez Options VPN (VPN Options) dans le volet VPN | Général (Main);

réciproquement, vous avez le client VPN hérité Endpoint Security si vous voyez les Paramètres VPn (VPN Settings).

Interfaces VPN compactes et étendues

Si votre Endpoint Security est configuré avec un VPN hérité, il est déployé avec une version compacte ou étendue de l'interface VPN.

Vous pouvez changer vous-même de version lors de l'exécution du client.

L'affichage compact fournit une vue simplifiée de l'interface VPN aux utilisateurs qui n'ont pas besoin de plusieurs sites ou profils.

L'affichage étendu est destiné aux utilisateurs plus avancés qui doivent se

connecter à des sites VPN différents et qui souhaitent gérer leur configuration VPN plus en détail.

Pour basculer entre les affichages étendu et compact, procédez comme suit : 1. Si vous passez de l'affichage étendu à l'affichage compact, vous devez

d'abord :

a. Supprimer tous les sites (voir Suppression de sites page 38).

b. Désactiver l'option de Connexion locale automatique (voir Connexion locale automatique page 45).

(25)

c. Désactiver l'option de Connexion sécurisée au domaine (voir Connexion sécurisée au domaine page 44).

2. Sélectionnez VPN | Général et cliquez sur Paramètres VPN.

3. Ouvrez l'onglet Avancé.

4. Dans la section Affichage du produit, sélectionnez Vue étendue ou Vue compacte et cliquez sur OK.

5. Cliquez sur OK pour confirmer le redémarrage des services VPN.

Le volet VPN présente un message indiquant que les services VPN redémarrent. Lorsque le volet VPN est restauré, il active l'affichage sélectionné.

Démarrage et arrêt des services client VPN

Si votre client Endpoint Security est configuré avec Check Point Endpoint Connect, vous pouvez démarrer et arrêter les services de client VPN.

Pour démarrer Endpoint Connect :

1. Démarrez > Programmes > Check Point Extrémité VPN 2. Cliquez sur Check Point Extrémité VPN.

Pour arrêter Endpoint Connect :

1. Cliquez avec le bouton droit sur l'icône de la barre d'état.

2. Cliquez sur Fermer Client (Shutdown Client).

Authentification

Lorsque vous vous connectez à un site VPN et fournissez vos informations d'identification, vous donnez vos informations d'authentification. Il existe de nombreuses méthodes d'authentification.

Contactez votre administrateur système pour qu'il vous envoie l'un des éléments suivants :

• Un certificat enregistré (sur disquette ou un jeton matériel) et un mot de passe (pour ouvrir le certificat)

• Un code d'enregistrement qui vous permet de terminer le processus de création du certificat en ligne.

(26)

• Nom d'utilisateur et mot de passe

• Carte SecurID

• Code de réponse pour une carte à puce

Modification des méthodes d'authentification

Votre administrateur peut vous demander de modifier la méthode

d'authentification VPN et il doit vous fournir les informations d'authentification. Si votre ordinateur portable joue le rôle de terminal pour d'autres utilisateurs (chaque utilisateur se connectant au site avec son propre certificat unique), vous devrez changer de certificat au moment nécessaire.

Remarque : vous ne pouvez pas changer de méthode d'authentification lorsque vous êtes connecté à un site VPN.

La procédure de changement des méthodes d'authentification diffère en fonction du type de VPN configuré pour votre client. Choisissez les instructions appropriées à votre client, selon les options disponibles.

Pour changer de méthode d'authentification, procédez comme suit :

1. Ouvrez VPN | Général.

2. Si vous êtes connecté à un site VPN, cliquez sur Déconnecter : 3. Si le bouton Paramètres VPN s'affiche :

a. Cliquez sur Paramètres VPN.

b. Sur l'onglet Connexions, sélectionnez un site et cliquez sur Propriétés.

c. Ouvrez l'onglet Authentification.

4. Si le bouton Options VPN s'affiche : a. Cliquez sur Options VPN.

b. Sur l'onglet Sites, sélectionnez le site approprié et cliquez sur Propriétés.

c. Ouvrez l'onglet Paramètres.

5. Sélectionnez la méthode d'authentification dans la liste déroulante Modèle.

6. Fournissez les informations relatives à votre méthode d'authentification.

Par exemple, si vous utilisez un certificat, cliquez sur Parcourir et choisissez le certificat.

(27)

7. Cliquez sur OK.

La première fois que vous configurez un VPN, la même option de configuration de modèle s'affiche dans la fenêtre Première configuration - Méthode

d'authentification. Sélectionnez la méthode d'authentification dans la liste déroulante Modèle et cliquez sur OK.

Gestion des certificats

Lors de l'établissement d'une connexion VPN, il est conseillé d'utiliser des certificats numériques pour l'authentification. Les certificats sont plus sûrs que les autres méthodes telles que le nom d'utilisateur et le mot de passe. Lors de l'authentification avec certificat, le client et le site VPN confirment tous deux que le certificat de l'autre partie a été signé par une autorité de certification connue et approuvée, et que le certificat n'a pas expiré ni été révoqué.

Vous ou votre administrateur devez vous inscrire auprès d'une autorité de

certification. Vous pouvez utiliser n'importe quelle autorité de certification tierce PKI (Infrastructure de clés publiques) OPSEC (Open Platform for Security) prenant en charge les standards PKCS#12, CAPI ou Entrust.

Le client Endpoint Security vous permet de créer ou de renouveler des certificats Check Point et de gérer les certificats Entrust.

Gestion des certificats Entrust

Le client Endpoint Security reconnaît les certificats Entrust. Si vous le souhaitez, vous pouvez créer et récupérer des certificats à l'aide de Entrust Entelligence Si vous utilisez Entrust pour la gestion des certificats, le client se connecte

automatiquement à l'interface Entelligence lorsque cela est nécessaire.

Avant de commencer, assurez-vous que votre administrateur vous a fourni le numéro de référence et le code d'autorisation requis pour effectuer la procédure.

Pour effectuer l'authentification avec un certificat Entrust :

Tout d'abord, activez Entrust Entelligence :

2. Sur l'onglet Certificats, désélectionnez Ne pas utiliser Entrust Entelligence.

Ensuite, établissez le certificat Entrust :

1. Sur l'onglet Certificats, cliquez sur Sélectionner le fichier INI, recherchez et sélectionnez le fichier entrust.ini, puis cliquez sur Ouvrir.

(28)

2. Par défaut, le fichier entrust.ini se trouve dans le répertoire Windows (par exemple, C:\Windows).

3. Cliquez sur Configurer le fichier INI.

4. La fenêtre de Configuration de Entrust.INI s'affiche.

5. Indiquez les informations suivantes :

6. Le nom d'hôte ou l'adresse IP du gestionnaire de l'autorité de certification et son numéro de port. Le numéro de port par défaut est 709.

7. Le nom d'hôte ou l'adresse IP du serveur LDAP et son numéro de port. Le numéro de port par défaut est 389.

8. Cliquez sur OK.

Ensuite, créez le certificat Entrust :

1. Sur l'onglet Certificats, section des certificats Entrust, cliquez sur Créer.

2. La fenêtre de création d'un utilisateur s'affiche.

3. Cliquez sur Enregistrer dans un fichier. Ensuite, accédez au répertoire dans lequel enregistrer le certificat.

4. Saisissez et confirmez le mot de passe de votre profil. Votre mot de passe doit respecter les spécifications Entrust suivantes :

5. Comprendre au moins huit caractères

6. Comporter au moins une lettre majuscule ou un chiffre 7. Comporter au moins une lettre minuscule

8. Ne pas comporter de longues chaînes de caractères répétés 9. Ne pas inclure le nom d'utilisateur

10. Définissez les paramètres de votre profil en indiquant le Numéro de référence et le Code d'autorisation fournis par votre administrateur système.

11. Cliquez sur OK.

12. Dans la fenêtre de confirmation, cliquez de nouveau sur OK.

Gestion des certificats Check Point

Votre administrateur système peut vous demander de créer un nouveau certificat Check Point. Vous pouvez stocker un certificat Check Point sous forme de fichier PKCS#12 (Public-Key Cryptography Standard 12) ou sous forme de jeton matériel

(29)

ou logiciel (CAPI). Pour savoir sous quelle forme vous devez stocker le certificat, contactez votre administrateur système.

Avant de commencer, demandez à votre administrateur les informations suivantes :

• Le format du certificat à utiliser

• La clé d'enregistrement du certificat

• L'adresse IP (ou nom d'hôte) de la passerelle VPN Création d'un certificat Check Point PKCS#12

Si votre administrateur système vous a demandé d'enregistrer le certificat sous forme de fichier PKCS#12, suivez les instructions de cette section.

Pour créer un fichier PKCS#12 :

2. Sur l'onglet Certificats, cliquez sur Créer un certificat.

La fenêtre Certificat Check Point s'affiche.

3. Sélectionnez Stocker sous forme de fichier (PKCS #12). Cliquez sur Suivant.

4. Fournissez l'adresse IP ou le nom d'hôte du site de connexion et la clé d'enregistrement. Cliquez sur Suivant.

5. Saisissez et confirmez le mot de passe à utiliser avec le certificat. Cliquez sur Suivant.

6. Dans la fenêtre de confirmation, cliquez sur Terminer.

Création d'un jeton CAPI de certificat Check Point

Si votre administrateur système vous a demandé d'enregistrer le certificat sous forme de jeton matériel ou logiciel, suivez les instructions de cette section.

Avant de commencer, assurez-vous que votre administrateur a défini le fournisseur de services cryptographiques (CSP) à utiliser. Certains fournisseurs de services cryptographiques requièrent l'utilisation de matériel spécifique (par exemple un dispositif de lecture/écriture de jeton). Endpoint Security fonctionne avec les fournisseurs pris en charge par Windows, et l'autorité de certification interne de la passerelle fournie par Check Point constitue le fournisseur de services

cryptographiques.

Pour créer un jeton matériel ou logiciel :

(30)

2. Sur l'onglet Certificats, cliquez sur Créer un certificat.

3. Sélectionnez Stocker dans un jeton matériel ou logiciel (CAPI). Cliquez sur Suivant.

4. Sélectionnez le fournisseur de service cryptographique (CSP) correspondant à votre stockage de certificat, puis cliquez sur Suivant.

Remarque : chaque fournisseur de service cryptographique affiche une fenêtre de configuration spécifique. Il peut donc y avoir des

différences avec les instructions fournies ici. Pour plus d'informations, consultez la documentation de votre fournisseur de services

cryptographiques.

5. Fournissez l'adresse IP ou le nom d'hôte du site de connexion et la clé d'enregistrement. Cliquez sur Suivant.

6. Cliquez sur Niveau de sécurité, sélectionnez le niveau indiqué par votre administrateur, puis cliquez sur Suivant.

7. Dans la fenêtre qui s'affiche, cliquez sur Terminer.

8. Cliquez sur Oui.

9. Dans la fenêtre qui s'affiche, cliquez sur Terminer.

Stockage de PKCS#12 dans le magasin CAPI

Si vous utilisez l'autorité de certificat interne (Internal Certificate Authority, ICA) du Check Point de la passerelle de sécurité comme un CSP, vous pouvez utiliser cette procédure pour stocker les fichiers PKCS#12 files dans le magasin CAPI.

Pour saisir le fichier PKCS#12 dans le magasin CAPI :

1. Double-cliquez sur le fichier avec l'extension p12.

L'assistant d'importation de certificat s'ouvre.

2. Cliquez sur Suivant (Next).

Le chemin correct vers le fichier que vous souhaitez importer est affiché automatiquement :

3. Cliquez sur Suivant (Next), et entrez le mot depasse pour la clé privée.

Ceci est la clé obtenue de votre administrateur système.

• Activer une forte protection de clé privée : vous serez invité à entrer le mot de passe chaque fois que la clé privée est utilisée par le client.

• Marquez cette clé comme étant exportable : la clé peut être sauvegardée ou transportée plus tard.

(31)

4. Cliquez sur Suivant (Next), et autorisez le fichier à être stocké automatiquement ou naviguez vers un dossier de stockage spécifique.

5. Cliquez sur Finir (Finish) pour exécuter l'assistant d'iportation de certificat.

Sauvegarde du certificat à un autre endroit

Vous ou votre administrateur pouvez choisir de ne pas sauvegarder votre certificat dans le magasin CAPI.

Par exemple, si vous utilisez plusieurs stations de travail et portables, il y aurait plus de sécurité à ne pas laisser votre certificat sur différentes machines.

De plus, si un portable est volé, et que le certificat n'est pas dessus, les voleurs ne pourront pas utiliser le client pour se connecter à votre VPN sans connaître le mot de passe, même s'ils ont le PKCS#12. Pour cette raison, votre administrateur système peut alterner entre utiliser le certificat stocké dans le CAPI et vous demander de vous authentifier en utilisant le certificat PKCS#12 directement. Si cela arrive, un message s'affiche quand vous essayez de vous connecter au site actif. Naviguez vers le dossier où le certificat est stocké.

Pour enregistrer le certificat :

1. enregistrez le certificat PKCS#12 sur une disquette ou une clé USB.

2. Configurez le schéma d'authentification pour utiliser les certificats (fenêtre Propriétés de l'onglet du site | Authentification).

3. Dans la liste Certificat (Certificate), sélectionnez Depuis le fichier (From File).

4. Naviguez vers les certificats stockés sur une disquette ou une clé USB.

5. Entrez le mot de passe du certificat.

6. Cliquez sur Connecter (Connect).

Renouvellement des certificats Check Point

Le client Endpoint Security affiche automatiquement un message vous invitant à renouveler votre certificat Check Point peu de temps avant son expiration. Vous pouvez également renouveler le certificat à tout moment.

Pour renouveler un certificat avec les paramètres VPN (VPN Endpoint Security hérité) :

2. Sur l'onglet Certificats, cliquez sur Renouveler le certificat.

Le client affiche automatiquement la fenêtre de Renouvellement du certificat Check Point lorsque votre certificat arrive à expiration.

(32)

3. Dans le champ Certificat, confirmez l'emplacement du certificat actuel ou sélectionnez le nouvel emplacement.

4. Dans le champ Mot de passe actuel, entrez le mot de passe qui permet d'ouvrir le certificat.

5. Cliquez sur Suivant.

La fenêtre d'enregistrement du certificat s'affiche.

6. Confirmez le nom et l'emplacement du certificat.

7. Saisissez le nouveau mot de passe dans les champs Mot de passe et Confirmez le mot de passe.

Votre mot de passe doit comporter au moins six caractères, dont quatre doivent être uniques.

9. Cliquez sur Terminer.

Le client utilisera ce certificat lors de votre prochaine authentification.

Pour renouveler un certificat avec les paramètres VPN (VPN Check Point Endpoint Connect) :

1. Sélectionnez VPN | Général et cliquez sur Options VPN.

2. Sur l'onglet Sites, sélectionnez le site et cliquez sur Propriétés.

3. Ouvrez l'onglet Paramètres et cliquez sur Renouveler

4. Cliquez sur la liste déroulante Certificat et sélectionnez votre certificat.

La fenêtre Création d'une nouvelle clé de signature RSA apparaît.

5. Cliquez sur OK et patientez jusqu'à l'affichage de la fenêtre indiquant Renouvellement réussi.

Configuration des profils et des sites

Un site représente l'organisation à laquelle vous souhaitez vous connecter. Le profil définit les paramètres utilisés par le client pour se connecter à votre site.

Remarque : les profils sont pris en charge par le VPN Endpoint Security hérité.

Pour que le VPN Endpoint Security se connecte à un site, il doit obtenir des informations sur la structure de celui-ci, par exemple les ordinateurs et les

(33)

serveurs disponibles dans l'organisation. L'assistant de connexion réunit ces informations sur le site. La connexion initiale, qui diffère de toutes les prochaines, obtient la structure (ou topologie) du site. Au cours de ce processus, vous êtes invité à prouver votre identité, par le biais d'un certificat ou d'un autre moyen. Si vous utilisez des certificats pour vous authentifier mais que votre administrateur système ne vous a pas encore envoyé le vôtre, vous serez invité à vous enregistrer.

L'enregistrement d'un certificat consiste à terminer le processus de création du certificat commencé par votre administrateur système. Lorsque ce processus de définition d'un site est terminé, les connexions normales peuvent s'établir.

La fenêtre Paramètres affiche tous vos profils de connexion (ceux que vous avez créés vous-même et ceux créés par votre administrateur système). Cette fenêtre vous permet de définir votre site et les méthodes d'authentification.

Gestion des profils de connexion

Un profil de connexion définit les paramètres utilisés par le client pour se

connecter à votre site. La plupart des utilisateurs n'ont besoin que d'un seul profil.

Toutefois, si votre environnement réseau change fréquemment (par exemple, si vous vous connectez dans un hôtel ou sur le réseau d'une société partenaire), la création de plusieurs profils différents peut s'avérer nécessaire. Vous pouvez effectuer vous-même cette opération ou la confier à l'administrateur système.

Chaque profil se connecte au site d'une manière légèrement différente, par

exemple en utilisant le mode bureau ou le mode concentrateur. Le client Endpoint Security télécharge automatiquement les informations des nouveaux profils

lorsque vous faites une mise jour du site. Si vous avez plusieurs profils, contactez votre administrateur pour savoir lequel utiliser.

Les fonctions décrites dans cette section ne sont disponibles qu'en affichage étendu. (pour obtenir des informations sur l'affichage étendu, voir Interfaces VPN compactes et étendues page 22.)

Création de profils

Si vous utilisez l'affichage étendu du VPN, votre administrateur système peut vous demander de créer un nouveau profil de connexion pour un site particulier. Notez que pour créer un nouveau profil de connexion, vous devez avoir déjà défini au moins un site.

Pour créer un nouveau profil de connexion : 1. Effectuez l'une des opérations suivantes :

(34)

• Sélectionnez VPN | Général et cliquez sur Paramètres VPN.

• Cliquez avec le bouton droit ou double-cliquez sur l'icône de la barre d'état système, sélectionnez Se connecter au VPN, puis cliquez sur Options.

2. Dans l'onglet Connexions, cliquez sur Nouveau | Profil.

La fenêtre des Propriétés du profil s'ouvre.

3. Entrez un nom de profil et une description.

4. Sélectionnez un site dans la liste déroulante Site.

5. Sélectionnez une passerelle dans la liste déroulante Passerelle .

6. Ouvrez l'onglet Avancé et sélectionnez les options de configuration définies par votre administrateur.

7. Cliquez sur OK pour fermer la fenêtre des propriétés du profil, puis sur OK pour fermer la fenêtre Paramètres VPN.

Exportation et importation de profils

Vous pouvez exporter (enregistrer) et importer des profils existants. Par exemple, si votre administrateur crée un profil et vous demande de l'importer.

Pour exporter un profil :

2. Sur l'onglet Connexions, cliquez sur l'une des options suivantes :

• Sélectionnez le profil désiré et cliquez sur Options | Exporter le profil.

• Cliquez avec le bouton droit sur le profil désiré et sélectionnez Exporter le profil.

Le profil est enregistré sous forme de fichier avec l'extension srp.

Pour importer un profil :

• Cliquez sur Nouveau|Importer un profil.

Clonage de profils

Vous pouvez cloner un profil, le modifier, puis l'enregistrer sous la forme d'un nouveau profil.

(35)

Pour cloner un profil :

• Sélectionnez le profil souhaité et cliquez sur Nouveau | Cloner le profil.

• Cliquez avec le bouton droit sur le profil désiré et sélectionnez Cloner le profil.

3. Modifiez les propriétés du profil selon vos besoins. Par exemple, modifiez le nom, la description ou la passerelle.

4. Cliquez sur OK.

Modification des profils

Si vous utilisez l'affichage VPN étendu et si vous avez configuré plusieurs profils, vous pouvez changer le profil avec lequel vous vous connectez.

Remarque : vous ne pouvez pas modifier les profils lorsque vous êtes connecté à un site VPN.

Pour changer de profil :

1. Si vous êtes connecté à un site VPN, déconnectez-vous de l'une des manières suivantes :

• Cliquez avec le bouton droit sur l'icône de la barre système Endpoint Security et sélectionnez Déconnexion du VPN.

• Sélectionnez VPN et cliquez sur Déconnecter.

2. Ouvrez la fenêtre Connexion VPN de l'une des manières suivantes :

• Cliquez avec le bouton droit sur l'icône de la barre système Endpoint Security et sélectionnez Connexion au VPN.

• Sélectionnez VPN et cliquez sur Connecter.

La fenêtre Connexion VPN s'ouvre.

3. Dans la liste déroulante Emplacement du profil, choisissez le profil souhaité.

4. Saisissez votre mot de passe et cliquez sur Connecter.

Le profil sélectionné est à présent défini par défaut.

(36)

Création d'un raccourci de bureau pour un profil

Vous pouvez créer un raccourci de bureau pour ouvrir la fenêtre Connexion VPN configurée pour utiliser le profil choisi. Cela fonctionne uniquement pour les profils qui définissent une passerelle particulière (par opposition aux profils qui utilisent le paramètre par défaut Toute Passerelle).

Pour créer un raccourci de profil :

• Sélectionnez le profil souhaité et cliquez sur Options | Créer un raccourci.

• Cliquez avec le bouton droit sur le profil désiré et sélectionnez Créer un raccourci.

Vous pouvez alors double-cliquer sur le raccourci de votre bureau pour lancer une connexion VPN.

Affichage des propriétés du profil

Le client affiche les propriétés du profil dans la fenêtre Propriétés du profil. Cette fenêtre apparaît également lorsque vous clonez un profil ou créez un nouveau profil.

Pour afficher les propriétés d'un profil :

2. Dans la colonne Connexions, cliquez avec le bouton droit sur le profil et choisissez Propriétés.

3. Cliquez sur un onglet :

• Général : indique le nom du site, la description du site et la passerelle.

• Avancé : permet de définir le mode bureau, les améliorations de la connectivité, le mode visiteur et le mode concentrateur.

Suppression de profils

Si vous utilisez l'affichage VPN étendu, vous pouvez supprimer les profils devenus inutiles.

(37)

Remarque : vous pouvez supprimer uniquement les profils que vous avez créés. Vous ne pouvez pas supprimer un profil téléchargé par votre administrateur réseau.

Pour supprimer des profils

• Sélectionnez le profil et cliquez sur Supprimer.

• Cliquez avec le bouton droit sur le profil souhaité et sélectionnez Supprimer le profil.

3. Dans la fenêtre de confirmation, cliquez sur Oui.

Gestion des sites VPN

Avant d'établir une connexion VPN, vous devez définir un site de destination (un périphérique ou un serveur VPN) auquel vous connecter. La définition d'un site indique au client comment se connecter au site VPN. Lors de la connexion initiale, qui diffère de toutes les connexions suivantes, vous êtes invité à prouver votre identité par le biais d'un certificat ou d'une autre méthode d'authentification. Le client obtient alors la structure du site (ou topologie). Une fois le site défini, les connexions normales peuvent être établies.

Définition de sites

Avant de pouvoir établir une connexion VPN, vous devez définir un site. Si vous avez configuré le client pour afficher la version étendue de l'interface VPN, vous pouvez au besoin définir d'autres sites. Pour définir un nouveau site, suivez les instructions de cette section dans l'assistant de site.

Avant de définir un site, vous devez demander à l'administrateur :

• Les informations sur votre méthode d'authentification (nom d'utilisateur et mot de passe, certificat ou équivalent). Si vous prévoyez d'utiliser un certificat pour l'authentification, vous devez préalablement le créer ou le demander à votre administrateur (voir Gestion de certificats voir "Gestion des certificats" page 25).

• Nom ou adresse IP de la passerelle de sécurité qui fournit l'accès distant au réseau d'entreprise.

(38)

Préparation :

Si vous utilisez la fonction VPN de Endpoint Security pour la première fois sans avoir défini de site :

1. Sélectionnez VPN|Général et cliquez sur Connecter.

2. Dans la fenêtre qui s'ouvre, cliquez sur Oui.

Si vous avez déjà défini un site de destination VPN et souhaitez en définir un autre :

1. Sélectionnez VPN | Général et cliquez sur Paramètres VPN | Options VPN.

2. Ouvrez l'onglet Sites.

3. Effectuez l'une des opérations suivantes :

• Si vous avez choisi l'affichage étendu, cliquez sur Nouveau | Site.

• Si vous avez choisi l'affichage compact, cliquez sur Définir un serveur.

• Si vous avez ouvert l'onglet Sites, cliquez sur Nouveau.

L'assistant de site s'affiche.

Pour définir un site :

1. Fournissez l'adresse IP ou le nom d'hôte du site VPN.

2. Sélectionnez Nom d'affichage et entrez un nom.

Le client identifie le site, ce qui peut prendre quelques minutes.

4. Sélectionnez la méthode d'authentification. Les choix et actions suivants sont :

• Nom d'utilisateur et mot de passe : cliquez sur Suivant pour passer à la fenêtre Détails de l'utilisateur. Saisissez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Suivant.

• Certificat : cliquez sur Suivant pour passer à la fenêtre d'authentification de certificat. Localisez et sélectionnez votre certificat, puis saisissez son mot de passe. Cliquez sur Suivant.

• SecurID : cliquez sur Suivant pour passer à la fenêtre Authentification SecurID. Choisissez Utiliser le jeton matériel Key FOB, Utiliser une carte d'identification personnelle ou Utiliser un jeton logiciel SecurID. Cliquez sur Suivant. Fournissez les informations nécessaires pour votre type d'authentification. Cliquez sur Suivant.

(39)

• Réponse de vérification : cliquez sur Suivant pour passer à la fenêtre Réponse de vérification. Saisissez votre nom d'utilisateur et cliquez sur Suivant.

5. Le cas échéant, sélectionnez le type de configuration de la connectivité (Standard ou Avancé) et cliquez sur Suivant.

Après quelques instants d'attente, la fenêtre de validation du site affiche l'empreinte du certificat et le nom distinctif (DN).

Si votre administrateur vous a fourni l'empreinte du site et le DN, comparez-les à ceux indiqués sur cette fenêtre. S'ils correspondent, cliquez sur Suivant.

La fenêtre suivante indique que Le site a bien été créé.

6. Cliquez sur Terminer.

Affichage des propriétés du site

Le client permet de consulter les propriétés du site, telles que son adresse IP et la méthode d'authentification. Les informations de la fenêtre des propriétés du site sont organisées dans plusieurs catégories :

• Général : indique le nom et l'adresse IP du site et la date de sa dernière mise à jour.

• Authentification : afficher ou modifier la méthode d'authentification. Voir Modification des méthodes d'authentification page 24.

• Avancé : activez le protocole NAT-T. Voir Activation des améliorations de la connectivité voir "Tunnel de parcours NAT" page 50.

Pour afficher les propriétés d'un site :

1. Sélectionnez VPN | Général et cliquez sur Paramètres VPN | Options VPN.

2. Sur l'onglet Connexions ou Sites , cliquez avec le bouton droit sur le site souhaité (pas sur le profil, mais sur le site qui le contient) et sélectionnez Propriétés.

La fenêtre des Propriétés du site s'ouvre.

3. Ouvrez Général, Authentification ou l'onglet Avancé.

Mise à jour de sites

Lorsque vous actualisez un site, vous téléchargez les paramètres des nouveaux clients, les informations mises à jour sur ce site et les profils associés, y compris

(40)

les nouveaux profils configurés par votre administrateur. Pour mettre à jour un site, vous devez d'abord vous y connecter. Si vous n'êtes pas connecté lorsque vous tentez la mise à jour, le client vous invite à le faire.

Pour mettre à jour un site :

2. Sur l'onglet Connexions ou Sites , sélectionnez un site et cliquez sur Options | Mettre à jour le site.

Si vous êtes déjà connecté au site, une fenêtre indique l'avancement de la mise à jour.

Si vous n'êtes pas connecté, le client vous invite à le faire. Vous devez être connecté pour effectuer la mise à jour.

Désactivation de sites

Vous pouvez désactiver un site, puis l'activer par la suite. Notez qu'en désactivant un site, vous désactivez également tous les profils associés.

Pour désactiver un site :

2. Dans l'onglet Connexions, déconnectez votre connexion VPN.

• Sélectionnez le site souhaité et cliquez sur Options | Désactiver le site.

• Cliquez avec le bouton droit sur le site souhaité et sélectionnez Désactiver le site.

Une croix rouge apparaît sur les icônes du site et les profils associés pour indiquer qu'ils sont désactivés.

Pour réactiver un site :

• Sélectionnez le site souhaité et cliquez sur Options | Activer le site.

• Cliquez avec le bouton droit sur le site et sélectionnez Activer le site.

Suppression de sites

Vous pouvez supprimer les sites qui ne sont plus utiles.

(41)

Important : si vous supprimez un site, vous supprimez également tous les profils associés.

Pour supprimer des sites :

1. Sélectionnez VPN | Général et cliquez sur l'onglet Paramètres VPN | Connexions.

2. Déconnectez votre connexion VPN.

• Sélectionnez le site et cliquez sur Supprimer.

• Cliquez avec le bouton droit sur le site et sélectionnez Supprimer le site.

4. Sur la fenêtre de confirmation, cliquez sur Oui.

Connexion et déconnexion

Cette section décrit la connexion, puis la déconnexion d'un site VPN. Pour suivre ces instructions, vous devez préalablement définir au moins un site.

Pour vous connecter à un site existant :

• Cliquez sur l'option Connexion rapide, si elle est disponible. Vous êtes connecté avec des informations d'identification prédéfinies.

1. Si cette option n'apparaît pas, procédez comme suit :

• Cliquez avec le bouton droit sur l'icône de la barre d'état système Endpoint Security et sélectionnez Connexion au VPN.

• Dans Endpoint Security | VPN, cliquez sur Connecter.

La fenêtre Connexion VPN s'ouvre. Selon votre méthode d'authentification, les champs de la fenêtre diffèrent. Par exemple, si vous utilisez un certificat pour vous authentifier, le chemin du certificat s'affiche et vous êtes invité à saisir votre mot de passe.

2. Saisissez les informations appropriées et cliquez sur Connecter.

Endpoint Security affiche une fenêtre d'avancement et indique si la connexion est établie.

Pour vous déconnecter :

(42)

• Cliquez avec le bouton droit sur l'icône de la barre d'état système Endpoint Security et sélectionnez Déconnexion du VPN.

• Dans Endpoint Security, ouvrez VPN | Déconnecter.

Une fenêtre de confirmation s'affiche.

2. Cliquez sur Oui.

Statut de connexion

Vous pouvez afficher différents types d'informations sur l'état de la connexion.

Pour afficher les informations d'état de la connexion :

• Ouvrez VPN : affichez l'état de la connexion actuelle, le nom de profil actif, la durée de la connexion et le temps restant avant la réauthentification.

• Sélectionnez VPN|Activité : affichez les détails sur la compression et la décompression des paquets IP.

• Sélectionnez VPN et cliquez sur le lien Détails de la connexion : affichez les détails sur la connexion.

Comprendre les Détails de la connexion - VPN hérité

le client d'Endpoint Security fournit les catégories suivantes d'informations

concernant la connexion actuelle, si votre VPN est SecureClient (VPN hérité Check Point).

Table 0-2 Détails de connexion du VPN hérité Type

d'informations

Description Status Summary

(Résumé de l'état) :

Statut de la connexion client, adresse IP passerelle, adresse IP de l'ordinateur actuelle.

Connexions nom, adresse IP, nom du site et propriétés de tunnel de chaque passerelle disponible. La passerelle est désignée par la mention « (Primary (Principale)) ».

informations passerelle

Plus d'informations passerelle.

Encapsulation UDP Permet au client Endpoint Security de résoudre les problèmes dû à un périphérique NAT masqué.

(43)

Mode Visiteur : Permet au client Endpoint Security de se connecter via une passerelle qui limite les connexions au port 80 ou 443.

Mode bureau Empêche les conflits d'adresse IP sur des réseaux distants en s'assurant que le client reçoit une adresse IP unique de la passrelle passerelle.

Tunnel actif indique si le tunnel VPN est ouvert.

Compression IP Indique si les données sont compressées pour des liaisons lentse, telle que la connexion par modem.

IKE sur TCP : Indique si la négociation IKE est sur TCP ou pas (si elle ne l'est pas, elle est sur UDP) Permet l'IKE complexe.

Propriétés MTU du tunnel :

Unité de transmission maximale actuelle (MTU, Current Maximum Transmission Unit). Lorsque le client

communique avec un site par plusieurs routeurs, c'est la plus petite unité de transmission maximale (MTU) de tous les routeurs qui est importante.

Ordinateur : état de la connexion de l'ordinateur actif et autres informations sur la connexion.

Paramètres actifs de la connexion :

Résmé du profil actuel, comprenant : site auquel se connecter, nom d'hôte de passerelle, spécifications de protocole.

Nom Nom du profil de connexion, tel qu'affiché dans la fenêtre Connexion VPN. Il peut s'agir d'une adresse IP.

Description Nom descriptif du profil, donnant d'autres informations.

Site Nom du site auquel se connecter.

Profile de Passerelle

Nom de la passerelle spécifiée dans le profil de connexion.

Profile de passerelle sélectionné

Passerelle réelle choisie pour la connexion ; ele peut différer de la passerelle définie dans le profil de connexion.

Passerelle définie dans le profil de connexion

Nom de la passerelle définie.

Prise en charge du mode bureau

indique si le mode bureau est pris en charge.

Prise en charge d'IKE sur TCP

indique si la négociation de tunnel a lieu sur TCP et non sur UDP pour éviter la fragmentation des paquets.

Imposer l'encapsulation

indique si l'encapsulation UDP est utilisée pour résoudre les problèmes dus aux périphériques NAT masqués qui ne

(44)

UDP prennent pas en charge la fragmentation des paquets.

Mode Visiteur indique si le mode Visiteur est actif.

Acheminer le trafic par l'intermédiaire d'une passerelle (mode

concentrateur)

indique si le mode concentrateur est actif.

Identification du MTU du tunnel

Indique si le processus qui identifie le MTU d'Endpoint Security vers la passerelle est actif.

Description des détails de la connexion - VPN Endpoint Connect

Le client Endpoint Security fournit les informations suivantes si votre réseau virtuel privé (VPN) est Endpoint Connect.

Détails, onglet Description

Nom Nom du site VPN passerelle auquel vous êtes connecté.

Adresse IP Adresse IP du site VPN.

Dernière connexion Jour, date et heure de votre dernière connexion à ce site.

Dernière adresse IP du mode bureau

Adresse IP du mode bureau de la passerelle du VPN, le cas échéant.

Description des paramètres de connexion - VPN Endpoint Connect

Paramètres, onglet

Description

Toujours connecter Si la configuration de votre client vous autorise à modifier cette option, sélectionnez Activer Toujours connecter pour établir automatiquement la connexion au VPN actif à chaque fois que cela est possible.

Tunnel VPN Si la configuration de votre client vous autorise à modifier cette option, sélectionnez Chiffrer la totalité du trafic et l'acheminer vers la passerelle pour utiliser la fonction de tunnel VPN pour tout trafic provenant de ce client.

(45)

Authentification Sélectionnez la méthode d'authentification dans la liste déroulante.

Activation de la connexion

En vue d'un dépannage éventuel, votre administrateur système peut vous demander de créer un journal de rapport.. Ce journal contient des informations spécifiques au site et doit demeurer confidentiel. N'envoyez le rapport qu'à votre administrateur système ou à une autre autorité compétente.

Pour activer la consignation :

1. Ouvrir VPN | Main et cliquer sur VPN Settings ou VPN Options.

2. Dans l'onglet Advanced, sélectionner Enable Logging.

Pour envoyer des journaux :

1. Dans l'onglet Advanced, cliquer sur Save Logs oo Collect Logs.

Si l'administrateur a une adresse e-mail pré-configurée pour les journaux, votre programme d'e-mail par défaut s'ouvre avec l'adresse de prise en charge saisie et les journaux en pièce jointe comme fichier CAB.

Si un message apparaît (Send this report only to your system administrateur.) cliquer sur OK.

2. Attendre pendnat que les journaux sont connectés. Un message de confirmation message s'affichera ; cliquer sur OK.

Le dossier où les journaux sont enregistrés est ouvert.

3. Envoyer le fichier CAB ou TGZ à l'administrateur.

Configuration des options de connexion

Cette section décrit les options de connexion.

Remarque : les options de connexion automatique, connexion sécurisée au domaine et connexion locale automatique ne sont pas disponibles dans la version compacte de l'interface VPN.

Connexion automatique

Cette option est disponible uniquement dans VPN Endpoint Security hérité.