Mise en place d un VPN avec authentification forte

Licence professionnelle ASRALL

Universit´e Nancy 2 - IUT Nancy-Charlemagne Ann´ee universitaire 2008/2009

Mise en place d’un VPN avec authentification forte

Simac PSF 2, rue L´eon Laval Leudelange, LUXEMBOURG

Stagiaire : LACAVA Julien

Licence professionnelle ASRALL

Universit´e Nancy 2 - IUT Nancy-Charlemagne Ann´ee universitaire 2008/2009

Mise en place d’un VPN avec authentification forte

Simac PSF 2, rue L´eon Laval Leudelange, LUXEMBOURG

Stagiaire : LACAVA Julien

Responsable dans l’entreprise : M. REMY Pierre Responsable universitaire : Mme BELLALEM Nadia

P´eriode : Du 06/04/09 au 26/06/09

Remerciements

Je tiens `a remercier dans un premier temps, toute l’´equipe p´edagogique de l’IUT Charlemagne et les intervenants professionnels responsables de la formation ASRALL, pour avoir assur´e la partie th´eorique de celle-ci.

Je remercie ´egalement Madame Nadia BELLALEM pour son suivi tout au long de mon stage.

Je tiens `a remercier ´egalement les personnes suivantes, pour l’exp´erience enrichissante et pleine d’int´erˆet qu’elles m’ont fait vivre durant ces trois mois au sein de l’entreprise Simac :

Monsieur Pierre REMY, tuteur et chef de service chez Simac PSF Luxembourg, pour son acceuil et la confiance qu’il m’a accord´e d`es mon arriv´ee dans l’entreprise et aussi pour le temps qu’il m’a accord´e tout au long de cette p´eriode, sachant r´epondre `a mes int´errogations.

L’ensemble du personnel de Simac Luxembourg pour leur acceuil sympathique et leur coop´eration professionnelle tout au long de ces trois mois.

Table des mati` eres

1 Introduction 5

2 Pr´esentation de l’entreprise 6

2.1 Historique . . . 6

2.2 Missions . . . 7

3 Configuration de base du VPN (Juniper SA 2500) 9 3.1 Qu’est-ce qu’un VPN ? . . . 9

3.2 Installation rapide du VPN . . . 10

3.3 D´efinition d’un serveur d’authentification . . . 11

3.4 Cr´eation d’un rˆole d’utilisateur (user role) . . . 11

3.5 D´efinition d’un domaine d’authentification (user realm) . . . 12

3.6 Conclusion . . . 12

4 Installation du m´ecanisme d’authentification forte 13 4.1 Pourquoi ? . . . 13

4.2 Pr´esentation de l’authentification forte . . . 13

4.3 Authentification forte avec l’active directory . . . 14

4.4 Authentification forte pour OWA . . . 15

5 Configuration avanc´ee du VPN 17 5.1 Mise en production du VPN . . . 17

5.2 Int´egration de l’authentification forte via le VPN . . . 18

5.3 Host Checker . . . 18

5.4 Cache Cleaner . . . 19

5.5 Strat´egies d’ouverture de session . . . 19

5.6 Network Connect . . . 20

5.7 Acc`es `a l’Outlook Web Access . . . 20

6 Acc`es cˆot´e client 22

6.1 Profil externe . . . 23

6.1.1 Le WebMail . . . 24

6.1.2 Intranet . . . 24

6.2 Profil interne sans laptop . . . 25

6.2.1 Les ressources r´eseaux . . . 26

6.3 Profil interne avec laptop . . . 27

6.3.1 Les sessions RDP . . . 28

6.3.2 Mode Tunneling . . . 29

7 Conclusion 30 8 Glossaire 32 9 Annexes 33 A Interface admin du VPN . . . 33

B Digipass Audit Viewer . . . 34

C Authentification Server Configuration . . . 35

D Snap-in de l’Active Directory . . . 36

E Digipass Administration Microsoft Management Console . . . 37

F VACMAN Radius Client Simulator . . . 38

1 Introduction

De plus en plus d’entreprises veulent offrir un syst`eme d’acc`es distant s´ecuris´e `a leurs ressources informatiques internes. C’est un besoin aujourd’hui n´ecessaire pour Simac. Ces acc`es vont du syst`eme de messagerie interne, `a l’intranet, aux serveurs de fichiers etc. Ces nouveaux services sont accessibles aussi bien par un portable d’entreprise que par un PDA* ou encore un Kiosk Internet.

Le nombre de personnes qui pourront acc´eder `a ce VPN* ´etant assez cons´equent, le choix d’un VPN SSL* de type appliance* a ´et´e logique puisqu’aucune installation du cˆot´e client n’est n´ecessaire. L’acc`es au VPN se fera par le Web et donc accessible par tous et de n’importe quel endroit. L’appliance utilis´ee est un Juniper Secure Access 2500 (SA 2500).

En ce qui concerne l’authentification, elle se fera d’une part avec l’active directory et d’autre part avec un token pour une authentification forte. De plus, la connexion `a l’Outlook Web Access se fera elle aussi de la mˆeme mani`ere afin de garantir la s´ecurit´e au sein du r´eseau interne. Pour l’authentification forte, elle se fera pas le biais de l’application Vacman Middleware qui sera utilis´ee pour valider l’authentification via les Digipass fournit aux utilisateurs.

2 Pr´ esentation de l’entreprise

2.1 Historique

Simac a ´et´e fond´ee aux Pays-Bas, le 1er Octobre 1971 par MJ van Schagen. Utilisant sa chambre `a coucher en tant que Bureau, il a commenc´e comme le seul repr´esentant europ´een de la soci´et´e am´ericaine Singer Instrumentation. Simac est le r´esultat de la jonction de deux noms : SInger et MAC, le pr´enom de van Schagen.

La soci´et´e a ´et´e introduite sur le march´e parall`ele de la Bourse d’Amsterdam en 1986 et devint une partie du march´e officiel en 1994. Le 1er Janvier 1989 ´Eric van Schagen, fils de Mac van Schagen, entre au conseil d’administration de Simac Techniek NV.

Le holding Simac Techniek NV est pr´esent dans divers secteurs, qui sont l’information et la communication (TIC), l’industrie de l’´electronique et automatisation. A ce jour, Simac est devenu une grande entreprise avec pr`es de 800 employ´es travaillant `a plusieurs endroits `a travers les Pays-Bas, Belgique, Luxembourg, R´epublique tch`eque et la Slovaquie.

Simac est actif sur le march´e du Grand-Duch´e de Luxembourg depuis plus de 10 ans.

Leurs bureaux sont situ´es au sud de Luxembourg-Ville, `a Leudelange. Simac Luxembourg emploie aujourd’hui plus de 55 professionnels.

2.2 Missions

Figure 2.1 – Organigramme

Simac, int´egrateur syst`eme et r´eseau implant´e sur les march´es belge et luxembourgeois, propose une offre de services globale dans le domaine des infrastructures ICT* :

– consultance

– int´egration syst`emes et r´eseau – gestion de projet

– services g´er´es – maintenance – externalisation

Grˆace `a cette offre de services, Simac entend couvrir le cycle complet d’un projet, du conseil

`

a la gestion en passant par la conception et la mise en oeuvre.

Forte de trente ans d’exp´erience, Simac poss`ede une connaissance de pointe dans chaque aspect des infrastructures ICT :

– cˆablage structur´e

– conception infrastructurelle – environnement r´eseau LAN-WAN – syst`emes ouverts

– infrastructure client-serveur – services de gestion des donn´ees

Simac se concentre sur l’int´egration, par le biais de projets et de contrats `a long terme, et sur les services fournis par son ´equipe de 140 ing´enieurs de maintenance qualifi´es (Belgique et Luxem- bourg). L’activit´e principale de Simac consiste `a s’assurer que l’infrastructure des entreprises clientes est disponible et fonctionne comme elles le souhaitent jour apr`es jour. C’est pourquoi Simac fournit des services ICT, appel´es Services g´er´es, sept jours sur sept, 24 heures sur 24. D’o`u l’importance majeure que revˆet une pr´edisposition `a la collaboration et `a la communication et cela aussi bien en interne que dans ses rapports avec sa client`ele et ses fournisseurs.

3 Configuration de base du VPN (Juniper SA 2500)

3.1 Qu’est-ce qu’un VPN ?

Un r´eseau priv´e virtuel ou VPN, permet de relier des ordinateurs via une connexion Internet. Il suffit donc d’avoir une connexion pour pouvoir se connecter. Cependant, les donn´ees transitent en clair sur une connexion publique et il faut g´en´eralement installer un client VPN sur chaque machine qui devrait acc´eder au VPN. Cette contrainte ´etant un inconv´enient majeur pour Simac, le choix d’un ssl vpn a ´et´e avanc´e. De ce fait, le client vpn est jou´e par le navigateur web, qui va crypter les donn´ees envoy´ees et re¸cues par l’utilisateur et il n’est donc pas n´ecessaire d’installer des applications sur les postes clients.

Le VPN va permettre `a un salari´e nomade d’acc´eder `a une application de son entreprise en se connectant simplement `a un site web sp´ecifique en entrant ses identifiants.

Figure 3.1 – Fonctionnement d’un ssl vpn

3.2 Installation rapide du VPN

Lorsque l’on d´emarre pour la premi`ere fois le VPN, il faut se connecter au port console de la machine afin d’indiquer les informations r´eseaux qu’il utilisera pour ˆetre connect´e. Cette configuration de base se fait `a l’aide du port console du VPN. Une fois raccord´e `a un ordinateur, on utilise un ´emulateur de console de type HyperTerminal ou Tera Term pour pouvoir indiqu´e au VPN son IP, la Gateway ou encore les serveurs DNS* qu’il devra utiliser et bien sˆur un login et mot de passe pour le compte admin. De plus, pour garantir la s´ecurit´e du produit, il faut cr´eer un certificat qui devra ˆetre accept´e par les utilisateurs du VPN.

Figure 3.2 – Premi`ere configuration du VPN

Une fois cette configuration termin´ee, on peut d´econnecter le VPN de l’ordinateur. On peut alors acc´eder `a l’interface d’administration du VPN par l’url https ://a.b.c.d/admin.¹ (cf. annexe A) Avant toute configuration, il est pr´ef´erable d’activer la licence de l’appliance ainsi que de t´el´echarger

1. a.b.c.d : repr´esente l’adresse IP du VPN affect´ee lors de la premi`ere configuration en mode console

et installer la derni`ere version du logiciel utilis´e par celui-ci. Cela permettra d’avoir les derni`eres fonctionnalit´es du VPN accessible.

3.3 D´ efinition d’un serveur d’authentification

Pour pouvoir tester le VPN, il est n´ecessaire de d´efinir un serveur d’authentification. Le plus simple, au d´epart, est d’utiliser le syst`eme d’authentification local, c’est-`a-dire que les donn´ees d’authentifications sont stock´ees sur l’appliance elle-mˆeme. Pour se faire, il faut aller dans le menu Auth.Servers. Il faut cr´eer le serveur en sp´ecifiant le type voulu sachant qu’un menu d´eroulant impose une certaine restriction (Local Authentification, Radius Server, Active Directory/Windows NT ...).

En choisissant Local Authentification, des options peuvent ˆetre d´efinies comme par exemple le fait d’imposer la longueur minimale d’un mot de passe pour les utilisateurs.

Toujours dans ce mˆeme menu, on peut cr´e´e les utilisateurs qui se connecteront via la Local Authen- tification. La cr´eation d’utilisateurs permet de d´efinir un login, un nom complet et un mot de passe.

On peut aussi forcer l’utilisateur cr´e´e `a changer de mot de passe lors de sa premi`ere connexion au VPN.

3.4 Cr´ eation d’un rˆ ole d’utilisateur (user role)

Un rˆole d’utilisateur est une entit´e qui d´efinit les param`etres de sessions d’utilisateur (param`etres et options de la session), les param`etres de personnalisation (personnalisation de l’interface utilisateur et signets), ainsi que les fonctionnalit´es d’acc`es activ´ees (acc`es au Web, aux fichiers, aux applications, `a Telnet/SSH, aux services de terminal, au r´eseau, aux r´eunions et au courriel).

Par exemple, un rˆole d’utilisateur peut d´eterminer si un utilisateur peut ou non naviguer sur le Web via le VPN. Toutefois, les ressources Web pr´ecises auxquelles l’utilisateur pourra acc´eder sont d´efinies par des strat´egies de ressources Web, qu’il faut configurer s´epar´ement. Pour la cr´eation d’un nouveau rˆole, il faut aller dans le menu User Roles. Le menu de cr´eation d’un nouveau rˆole propose diff´erentes options comme par exemple la possibilit´e pour les utilisateurs d’ouvrir des sessions TSE, ou avoir l’acc`es aux partages windows.

3.5 D´ efinition d’un domaine d’authentification (user realm)

Le domaine d’authentification, ici user realm, d´efinit les conditions que l’utilisateur doit remplir afin de pouvoir ouvrir une session sur le VPN. Cette cr´eation se fait dans le menu User Realms. Lorsque que l’on cr´ee ce domaine, on doit indiquer via quel serveur d’authentification, les utilisateurs affect´es `a ce domaine devront s’identifier.

3.6 Conclusion

Un serveur d’authentification nomm´eActive Directory Simacest cr´e´e. Ce serveur est de type Active Directory*. Ensuite, un rˆole utilisateur nomm´eUser AD de Simac est cr´e´e avec comme option l’acc`es au Web via le VPN. Et enfin un domaine d’authentification Domaine AD Simac. Ce dernier utilise pour se connecter le serveurActive Directory Simac et le rˆole utilisateur affect´e estUser AD de Simac. Les utilisateurs qui se connecteront au VPN entreront leurs identifiants de l’Active Directory pour se connecter et ils pourront acc´eder au Web via le VPN.

4 Installation du m´ ecanisme d’authentification forte

4.1 Pourquoi ?

Pourquoi Simac d´esir mettre en place une authentification forte ?

Simac est agr´ement´ee ”professionnels du secteur financier” (PSF), ce qui lui permet d’avoir des clients provenant de ces secteurs, plus pr´ecis´ement des d’´etablissement de cr´edit, d’organisme de placement collectif, des entreprises d’investissement ou encore de bourse.

Cependant, pour pouvoir exercer ces activit´es aupr`es de ses clients du secteur financier, Si- mac est r´egie par la Commission de Surveillance du secteur financier ce qui implique diff´erentes contraintes. Ainsi, Simac doit disposer, entre autre, d’un solide dispositif de gouvernance interne, des processus efficaces de d´etection et de d´eclaration des risques auxquels il pourrait ˆetre expos´e, des m´ecanismes ad´equats de contrˆole interne, y compris des proc´edures administratives et comptables saines ainsi que des m´ecanismes de contrˆole et de s´ecurit´e de ses syst`emes informatiques. C’est pour cette derni`ere raison, que la mise en place d’un VPN avec Authentification forte a ´et´e pr´econis´ee.

La s´ecurit´e des donn´ees de l’entreprise garantissant donc le secret professionnel, fait partie des conditions requises pour ˆetre PSF.

4.2 Pr´ esentation de l’authentification forte

Dans le but de s´ecuriser de mani`ere forte l’acc`es au VPN et ainsi prot´eger les donn´ees internes, il a ´et´e n´ecessaire de mettre en place une authentification forte.

L’authentification forte est un syst`eme qui permet un acc`es informatique apr`es une double v´erification. L’objectif est de pallier les faiblesses de l’authentification unique par mot de passe. En effet, les mots de passe sont g´en´eralement peu s´ecuris´e (ex : date de naissance, nom de famille..) et

donc peuvent ˆetre facilement forc´e.

L’authentification forte se retrouve de plus en plus fr´equemment utilis´ee par des entreprises de tailles moyennes qui d´esirent donner un acc`es externe `a leur syst`eme d’information via des r´eseaux priv´es virtuels (VPN de l’entreprise).

Les mots de passe `a usage unique (one time password ou OTP en anglais) sont un syst`eme d’authentification forte. Le concept est d’utiliser un mot de passe pour une et une seule session.

Pour chaque nouvelle session le mot de passe OTP sera diff´erent. De plus, ce mot de passe est `a usage unique, c’est-`a-dire que mˆeme si ce mot de passe est intercept´e sur le r´eseau, il ne sera plus utilisable ce qui enl`eve tout risque d’utilisation frauduleuse. Ce mot de passe est g´en´er´e en fonction du temps et est associ´e `a un utilisateur qui lui est propre.

Cela supprime un certain nombre de contrainte :

– La dur´ee de vie du mot de passe, en effet, il est utilis´e une seule fois

– La simplicit´e du mot de passe, il est g´en´er´e automatiquement et non choisi par un utilisa- teur

– Le brute force ou sniffer, si on arrive `a cracker ou sniffer le mot de passe sur le r´eseau, c’est qu’il a d´ej`a ´et´e utilis´e donc obsol`ete !

La solution choisie par Simac a donc ´et´e l’utilisation du produit Vacman Middle- ware avec les Digipass Go3, de Vasco.

4.3 Authentification forte avec l’active directory

Afin de mettre en place le Vacman Middleware, il est n´ecessaire de choisir une base de donn´ees afin de stocker les comptes des utilisateurs. Deux solutions existent. On peut soit cr´eer une nouvelle base de donn´ees de type ODBC ou PostgreSQL et cr´eer des comptes, soit utiliser les comptes d’un active directory d´ej`a pr´esent. Cette deuxi`eme solution a ´et´e privil´egi´ee car plus simple et plus logique dans le cadre du VPN. En effet, pourquoi devoir recr´eer des comptes qui sont d´ej`a existants ?

Pour pouvoir utiliser les donn´ees de l’active directory, il est n´ecessaire d’ajouter une exten- sion de sch´ema `a l’active directory. Cette extension a pour but de cr´eer des ”ou” (Organisational Unit*) dans lesquelles seront stock´ees diff´erentes donn´ees concernant les digipass. Cette extension de sch´ema est fournie par Vasco.

Une fois le serveur Vacman Middleware install´e, on peut acc´eder `a diff´erents outils qui ont

´et´e cr´e´e lors de l’installation.

Il y a tout d’abord le Digipass Audit Viewer (cf. annexe B). Cet outil va permettre de voir les logs d’authentification au serveur Vasco. Il affichera la source de la demande, l’identifiant de l’utilisateur qui essaye de se connecter, le domaine windows, la politique utilis´ee.

Ensuite, il y a l’outil Authentification Server Configuration (cf. annexe C) qui va permettre de configurer le serveur Vasco. On peut ainsi lui pr´eciser les ports d’authentification, l’adresse ip, l’emplacement des fichiers de logs, les param`etres de connecxion `a l’Active Directory ...

Il y a ´egalement un ”Snap-in”* de l’Active Directory (cf. annexe D) qui permet la gestion des digipass (assignement, test, p´eriode d’utilisation ...).

Et enfin le Digipass Administration Microsoft Management Console (cf. annexe E) qui va permettre de g´erer les services li´es aux Digipass. Cet outil va permettre par exemple de cr´eer des politiques d’authentification au server Vasco.

Pour pouvoir faire des tests en local, il est possible d’installer un simulateur de client radius (cf. annexe F), fourni par Vasco. Cet outil est tr`es utile car il permet d’effectuer une multitude de tests en fonction des politiques qui sont attribu´ees au Middleware et ainsi mieux comprendre le fonctionnement du serveur d’authentification.

4.4 Authentification forte pour OWA

Simac met `a la disposition de ses employ´es un acc`es `a sa messagerie via une interface web nomm´ee Outlook Web Access, qui communique avec le serveur exchange. Les utilisateurs se connectaient avec leurs identifiants de l’active directory. Cependant, il a ´et´e d´ecid´e qu’une authentification forte sur cette interface ´etait n´ecessaire. Pour se faire, un module compl´ementaire de Vasco existe. Il est compatible avec exchange 2007 install´e chez Simac.

Une fois le module install´e, il faut ajouter un composant et une politique pour le serveur Vacman. Les personnes qui se connecteront `a OWA devront remplir deux champs :

– Le login, qui est celui de l’active directory

Exemple :

Mot de passe de l’AD : toto Digipass : 123456

Mot de passe OWA : toto123456

Le module de Vasco va intercepter les donn´ees d’identification pour les confronter

`

a son serveur d’authentification et renvoy´e le mot de passe de l’AD, seul.

Figure 4.1 – Principe de fonctionnement du module OWA

5 Configuration avanc´ ee du VPN

5.1 Mise en production du VPN

Figure 5.1 – Emplacement du VPN au sein du r´eseau

Ce sch´ema repr´esente l’emplacement du VPN au sein du r´eseau de l’entreprise. Le VPN est plac´e dans la DMZ* et utilise l’Active Directory et le serveur Vasco, qui se trouvent sur un autre vlan, pour l’authentification. Le VPN permet d’acc´eder aux ressources internes situ´ees dans le mˆeme vlan que l’active directory. Pour pouvoir acc´eder `a toutes ces ressources, il a fallu ouvrir des ports sur le firewall pour permettre certaines connexions comme par exemple le port 389 pour l’authentification via l’active directory ou encore le port 3389 pour les sessions TSE*.

5.2 Int´ egration de l’authentification forte via le VPN

Apr`es avoir install´e le serveur vasco et fait quelques tests en local, il a fallu introduire l’au- thentification forte pour le VPN. Pour se faire, il a fallu cr´eer un nouveau serveur d’authentification de type Radius cette fois-ci. On lui indique l’adresse Ip du serveur Vasco, le secret partag´e et il faut aussi pr´eciser qu’on va utiliser un One-Time-Password (OTP) pour se connecter.

Ensuite il a ´et´e d´ecid´e de coupler l’authentification Active Directory avec celle de Vasco, d’une part pour encore plus de s´ecurit´e et d’autre part pour pouvoir utiliser les informations de l’active directory pour OWA ou les sessions TSE. Il faut donc cr´eer un nouveau domaine d’authentification en choisissant comme premier serveur d’authentification, l’active directory, et comme second, le serveur Vasco. Pour r´esumer, lors de l’authentification, les utilisateurs devront rentrer le login de l’active directory, le mot de passe de l’active directory ainsi que l’OTP affich´e sur le Token. Comme il a ´et´e indiqu´e pr´ec´edemment, le compte Token est associ´e `a un compte active directory, il faut donc avoir le bon Token avec le bon compte pour pouvoir s’authentifier.

Pour pouvoir entrer les deux mots de passe, il a alors fallu modifier la page d’authentifica- tion via le menu Signing In. Il a fallu pr´eciser qu’il fallait trois champs au total pour s’identifier.

Et ajouter les instructions d’utilisation du Token.

5.3 Host Checker

Pour avoir une confiance totale sur les machines qui se connectent au VPN, il a ´et´e mis en place Host Checker. Host Checker est un agent cˆot´e client qui effectue des contrˆoles de s´ecurit´e sur les machines acc´edant au VPN. Host Checker est lanc´e d`es qu’un utilisateur se connecte `a ce VPN.

Diff´erents v´erifications sont ´etablies pour la connexion au VPN :

– V´erification sur l’Anti-Virus

– V´erification sur les MAC Adresses

En ce qui concerne les Anti-Virus, une liste de produits est pr´esente dans la configuration du VPN. Cette liste peut bien ´evidemment ˆetre mise `a jour. La v´erification se fait sur deux crit`eres.

Host Checker v´erifie si l’Anti-Virus est actif et si un scan de la machine a ´et´e fait r´ecemment.

Comme indiqu´e plus tard, il y aura trois profiles pr´esents, cependant, certains profiles ne sont acces- sibles que par certaines personnes. Il y a donc une v´erification sur la MAC Adresse de la carte r´eseau du client pour savoir s’il a le droit d’acc`es `a un certain profile.

5.4 Cache Cleaner

Les donn´ees internes sont confidentielles. En acc´edant au VPN depuis une machine externe tel qu’une borne Internet ou dans un Cyber Caf´e, les documents visionn´es ne doivent pas laisser de trace sur la machine cliente. C’est donc pour cette raison que Cache Cleaner a ´et´e mis en place.

Cache Cleaner est un agent cˆot´e client pour Windows qui supprime ces donn´ees, comme les fichiers temporaires ou les m´emoires cache d’application, laiss´ees sur une machine cliente. Par exemple, si un utilisateur se connecte `a partir d’une borne Internet et ouvre un document Word pr´esent sur un serveur pr´ed´efini dans la configuration du VPN, Cache cleaner va supprimer tous les contenus du cache du navigateur provenant de ce serveur. Ainsi, les futurs utilisateurs de cette borne ne pourront donc pas avoir acc`es `a ce document.

5.5 Strat´ egies d’ouverture de session

Les strat´egies d’ouverture de session unique permettent de transmettre automatiquement les donn´ees d’identification des utilisateurs `a une application Web par exemple. Ces strat´egies vont transmettre des donn´ees d’identification du VPN telles que le nom de l’utilisateur et le mot de passe.

Il a ´et´e n´ecessaire de cr´eer une strat´egie pour l’application OWA, de type POST*, afin que les utilisateurs du VPN n’aient aucunement besoin de renseigner leurs identifiants. Le VPN, `a chaque connexion `a l’OWA, interceptera toutes les connexions de type POST afin de lui renseigner auto- matiquement les champs n´ecessaires pour valider l’authentification. Cette strat´egie utilisera donc les logins et mots de passe de l’active directory utilis´es lors de l’identification au VPN.

5.6 Network Connect

Network Connect est un outil int´egr´e au VPN qui permet aux clients d’exp´erimenter un VPN sans client. Cet outil fait office de m´ecanisme d’acc`es distant suppl´ementaire aux ressources de l’entreprise qui permet le trafic SSL du client aux ressources de l’entreprise.

Lorsqu’un utilisateur lance Network Connect, Network Connect transmet tout le trafic en di- rection et en provenance du client par le biais du tunnel s´ecuris´e Network Connect. Le seul itin´eraire faisant exception concerne le trafic entre le client et l’interface https du vpn.

Lorsque Network Connect est ex´ecut´e, le client devient donc un noeud sur le r´eseau LAN distant de l’entreprise et devient donc invisible sur le r´eseau LAN local de l’utilisateur. Le syst`eme fait office de passerelle DNS pour le client et ignore donc tout du r´eseau local de l’utilisateur.

Cependant, il est possible de d´efinir des strat´egies pour continuer `a acc´eder au r´eseau LAN local tout en ´etant connect´e au r´eseau local distant.

Network Connect doit ˆetre configur´e avec diff´erents param`etres. Il faut tout d’abord lui pr´eciser un pool d’adresses IP qui seront utilis´ees par les clients. En effet, lorsqu’un client ex´ecute Network Connect, une IP, provenant donc de ce pool, lui est attribu´e. Des r`egles de firewall ont donc ´et´e mise en place pour permettre un acc`es aux ressources de l’entreprise. Il est aussi possible de choisir la m´ethode d’encryption de donn´ees ainsi que les DNS `a utiliser puisque les DNS vont servir `a la r´esolution des noms internes pour pouvoir mapper les ressources r´eseaux.

5.7 Acc` es ` a l’Outlook Web Access

Le mod`ele Web Microsoft Outlook (OWA) est un profil de ressources contrˆolant l’acc`es `a l’application et configurant les param`etres OWA dans la mesure n´ecessaire. Ce mod`ele, pr´ed´efini donc, r´eduit consid´erablement la dur´ee n´ecessaire `a la configuration puisque regroupant les pa- ram`etres de configuration et en pr´ed´efinissant un certain nombre de param`etres des strat´egies de ressources en fonction du type de configuration s´electionn´e. Le VPN prend en charge les m´ecanismes pour agir comme interm´ediaire vers Microsoft OWA via un mod`ele de profil de ressources.

Les utilisateurs du VPN auront la possibilit´e de consulter leurs mails internes via l’interface Outlook Web Access de l’entreprise. Contrairement `a l’OWA pr´esent´e au dessus, celui-ci n’utilisera pas d’OTP pour se connecter, d’une part parce qu’il ne sera accessible qu’en interne et d’autre part pour pouvoir utiliser les identifiants de connexions du VPN pour s’y connecter.

Un mod`ele OWA 2007 est pr´esent dans le menu du VPN nomm´e Users − >Resource Profiles −>

Web. Dans ce menu, il faut donc cr´eer un nouveau profile avec pour type Microsoft OWA 2007. Il faut pr´eciser l’URL de connexion `a l’OWA. Pour ´eviter que les utilisateurs soient `a nouveau oblig´es de renseigner leurs identifiants, on peut lui pr´eciser une politique de Single Sign-on qui a ´et´e cr´e´e.

6 Acc` es cˆ ot´ e client

Pour vous connecter au VPN, vous devez remplir deux crit`eres. Tout d’abord, vous devez faire partie de l’Active Directory (avoir un compte) chez Simac, de plus vous devez avoir en votre possession un Digipass Go3 qui vous aura ´et´e remis par l’administrateur.

Figure 6.1 – Digipass Go3 L’url du vpn est la suivante, https://vpn.simac.lu.

Figure 6.2 – Erreur de certificat

Si cette page apparait, vous devez accepter le certificat pour pouvoir acc´eder au site. Cela provient du fait que le vpn ´emet son propre certificat de s´ecurit´e auto-sign´e. Comme il ne s’agit pas d’une autorit´e officielle en mati`ere de certificats, le navigateur affiche un avertissement ou un message d’erreur.

Voici la page de connexion au VPN :

Figure 6.3 – Page d’authentification au VPN

Dans le champ Username, vous devez rentrer le nom d’utilisateur de votre compte Active Directory.

Dans le champ Password, vous devez rentrer le mot de passe de votre compte Active Directory.

Dans le champ Digipass, vous devez rentrer le code affich´e sur l’´ecran du Digipass Go3 fournit par votre Administrateur. Ce code est `a usage unique et se renouvelle toute les 36 secondes.

Vous devez ´egalement choisir le profil de connexion sur lequel vous d´esirez vous connecter. En fonction de vos droits, certains profils ne seront pas accessibles.

6.1 Profil externe

Le profil externe correspond aux utilisateurs externes de simac qui ont des missions en externe. Lors de la connexion, deux ressources sont pr´ed´efinies et disponibles `a savoir le Webmail et l’acc`es `a l’intranet.

Figure 6.4 – Profile externe

6.1.1 Le WebMail

Lorsque vous vous connecterez au VPN, un signet web sera pr´eenregistr´e sous le nom de OWA pour Outlook Web Access. En cliquant sur ce lien vous acc`ederez directement `a votre boite mail de votre adresse [email protected]. Vous pourrez ainsi lire, envoyer et recevoir vos mails via cette interface. Les identifiants qui sont utilis´es sont ceux que vous avez rentr´e lors de l’authentification au VPN, il n’est donc pas n´ecessaire de les renseigner `a nouveau.

Figure 6.5 – Outlook Web Access

6.1.2 Intranet

En plus du webmail, il est aussi possible de consulter l’intranet de Simac afin de se renseigner sur les diff´erents ´ev`enements `a venir ou obtenir des renseignements sur l’activit´e du groupe.

Figure 6.6 – intranet

6.2 Profil interne sans laptop

Ce profil correspond aux employ´ees interne de Simac qui se connecte au VPN avec une autre machine que leur laptop personnel. Ce profil permet d’acc´eder aux mˆemes ressources que les externes avec en plus le partage des ressources r´eseaux. Pour plus de s´ecurit´e, il a ´et´e mis en place un m´ecanisme de suppression de cache `a la d´econnexion de l’utilisateur. C’est-`a-dire que si on t´el´echarge un document du r´eseau interne sur une machine connect´ee, `a la fin de la session VPN, le cache de la machine sera vid´e, ainsi le document ne sera plus accessible.

Figure 6.7 – accueil interne sans laptop

6.2.1 Les ressources r´ eseaux

Comme on peut le voir sur l’image pr´ec´edente, des partages sont affich´es en favori afin d’ˆetre directement accessibles, comme par exemple Home julienl on SLP01 qui correspond `a un favori enregistr´e qui renvoie au Home de votre compte sur le serveur SPL01.

Cependant, dans la zone de texte en haut `a droite, vous pouvez ´egalement indiquer l’emplacement d’un partage r´eseau par exemple \\192.168.21.x\Partage1.$

Dans la section Files, Home julienl on SLP01 correspond `a un favori enregistr´e qui renvoie auHome de votre compte sur le serveur SLP01.

Pour ajouter un favori dans la section Files, entrez le chemin du partage, s´electionnez un dossier `a mettre en favori et cliquez sur Bookmark Selected. Vous pouvez choisir le nom que vous voulez donner `a ce favori ainsi qu’une description. Le favori sera affich´e `a la page d’accueil dans la sectionFiles sous le nom que vous aurez d´efini.

Figure 6.8 – S´election d’un dossier pour le mettre en favori

Figure 6.9 – Choix du nom et description du favori

Figure 6.10 – Page d’accueil avec le nouveau favori

Comme on peut le voir sur ces images, il est tr`es facile d’ajouter ou de supprimer des favoris.

Le VPN est intuitif ce qui le rendre accessible par le plus grand nombre.

6.3 Profil interne avec laptop

Ce profil correspond aux employ´es internes qui acc`edent au VPN avec leur laptop personnel.

La v´erification du laptop se fait sur la MAC Address de la carte r´eseau. Ce profil permet d’acc´eder

Figure 6.11 – accueil interne sans laptop

6.3.1 Les sessions RDP

Dans la zone de texte en haut `a droite, vous pouvez ´ecrire la commande pour lancer une session TSE d’une machine pr´esente sur le r´eseau affili´e au VPN de la mani`ere suivante : rdp ://192.168.21.x.

Pour lancer une session de services de terminal, l’utilisateur doit disposer d’un client RDP* sur son syst`eme (pour acc´eder `a un serveur de terminal Windows). Le syst`eme IVE permet de t´el´echarger une version Java du client RDP. De plus, lors du lancement d’un raccourci RDP, la connexion se fait automatiquement avec les identifiants de connexions au VPN.

Figure 6.12 – Ouverture d’une session TSE

6.3.2 Mode Tunneling

Comme on peut le voir sur la page d’accueil du VPN, il y a une application nomm´ee Network Connect que l’on peut d´emarrer. Lors de son premier lancement, l’application s’installera sur votre ordinateur. Cette application permet d’activer le mode tunneling. Avec votre portable, il sera possible de lancer outlook pour acc´eder aux mails, les partages du poste de travail tel que snlforall seront disponibles. Cet outil permet de se connecter comme si nous ´etions dans le r´eseau de l’entreprise car il attribue une nouvelle adresse ip `a la machine. L’utilisateur n’aura donc plus acc`es `a ses partages en local mais `a ceux du r´eseau d’entreprise. Une icˆone jaune repr´esente ”network connect” connect´e lorsqu’il fonctionne.

Figure 6.13 – Mapping des drives

7 Conclusion

Ce stage m’a permis de d´ecouvrir et de mettre en place un ssl vpn, ce qui n’´etait pas au programme de ma formation. J’ai donc dˆu apprendre `a utiliser l’outil et comprendre son fonctionnement afin de pouvoir le configurer dans les meilleures conditions.

J’ai aussi d´ecouvert le m´ecanisme d’authentification forte dont j’ignorais l’existence. J’ai donc appris les principes de ce m´ecanisme et je me suis document´e pour comprendre dans quelle mesure il serait utile.

L’objectif fix´e a ´et´e atteint puisque le VPN est officiellement accessible. La phase de test est en cours et les remont´ees des utilisateurs sont globalement positives et constructives. En effet, les diff´erents probl`emes recontr´es ont ´et´e r´egl´es rapidement pour l’instant. Grˆace `a ce projet, les donn´ees de Simac sont s´ecuris´ees et l’utilisation du VPN, ne demandant aucune connaissance particuli`ere en informatique, est accessible par tous et facilement.

Ce que j’ai trouv´e tr`es utile chez Simac, c’est la pr´esence d’un environnement de laboratoire.

Grˆace `a ce ”lab”, j’ai pu effectuer tout les tests que j’ai voulus, dans toutes les situations possibles et envisageables sans pour autant affecter le r´eseau interne. Ce ”lab” dispose d’un environnement `a part enti`ere avec un domaine d´efini, un active directory et un serveur exchange.

De plus, tout le personnel ´etait accueillant, ce qui a facilit´e mon int´egration et certains probl`emes ont pus ˆetre r´esolus grˆace `a eux car ils ´etaient toujours disponibles.

Globalement, ce stage a confort´e mon choix dans mon orientation professionnelle puisqu’il m’a permis d’une part d’apprendre `a utiliser de nouveaux outils et d’autre part `a renforcer mon autonomie. Je suis donc tr`es satisfait par ce stage qui sera prolong´e par un CDD de 6 mois.

Bibliographie

[1] Guide de mise en place rapide du VPN,http ://www.juniper.net/techpubs/software/ive/guides/howtos/

How To IVE Startup Guide.pdf, Juniper Networks, Inc., Septembre 2005.

[2] Guide d’administration du VPN,http ://www.juniper.net/techpubs/software/ive/6.x/admin/530- 029892-01-AdminGuide.pdf, Juniper Networks, Inc., Mars 2009.

[3] Configuration LDAP/AD pour le VPN,http ://www.juniper.net/techpubs/software/ive/guides/howtos/

How To AD LDAP Configuration.pdf, Juniper Networks, Inc., Septembre 2005.

[4] Base de connaissance de Juniper,kb.juniper.net/, Juniper Networks.

[5] Guide d’installation du Vacman Middleware, VACMAN Middleware Installation Guide A4.pdf, VASCO Data Security Inc, 2007.

[6] Guide d’administration du Vacman Middleware,VACMAN Middleware Administration Reference A4.pdf, VASCO Data Security Inc, 2007.

[7] Guide d’administration du module OWA pour le Vacman Middleware, Digipass Pack for OWA Forms Authentication Guide A4.pdf, VASCO Data Security Inc, 2007.

[8] Base de connaissance de Vasco,http ://www.vasco.com/support/knowledge base/knowledgebase.aspx, VASCO Data Security Inc.

[9] Configuration du VPN avec le Vacman Middleware,http ://www.orbitone.com/en/blog/documents/

VASCO-Digipass-Configuration-Juniper-SSL-VPN.pdf, Orbit One Internet Solutions, Octobre 2008.

8 Glossaire

PDA : Assisstant personnel num´erique portable (Personal Digital Assistant) VPN : R´eseau priv´e virtuel ( Virtual Private Netwrok)

SSL : Protocole de s´ecurisation des ´echanges sur Internet ( Secure Sockets Layer)

Appliance : Se dit de toutes sortes de machines dont la principale caract´eristique est de pouvoir ˆetre (th´eoriquement) simplement branch´ees pour fonctionner imm´ediatement de mani`ere par- faitement op´erationnelle. L’appliance n’est pas destin´e `a ex´ecuter d’autres tˆaches que celles pour lesquelles il a ´et´e con¸cu

ICT : Technologies de l’information et de la communication (Information and Communication Technologies)

DNS : Service permettant d’´etablir une correspondance entre une adresse IP et un nom de domaine (Domain Name System)

Active Directory : Services d’identification et d’authentification `a un r´eseau d’ordinateurs utili- sant le syst`eme Windows

Organisational Unit : Objet conteneur qui permet de hi´erarchiser Active Directory

Snap-In : Composant logiciel qui est attach´e `a un autre logiciel et donc fonctionne en correspon- dance avec ce dernier. Ici, ce snap-in est une copie de l’active directory

DMZ : Sous-r´eseau isol´e par un pare-feu (DeMilitarized Zone)

TSE : Un composant de Microsoft Windows qui permet `a un utilisateur d’acc´eder `a des applications et des donn´ees sur un ordinateur distant (Terminal Server Edition)

POST : M´ethode HTTP permettant l’envoye de donn´ees `a un navigateur

RDP : Protocole qui permet `a un utilisateur de se connecter sur un ordinateur faisant tourner Microsoft Terminal Services (Remote Desktop Protocol)

9 Annexes

A Interface admin du VPN

Figure 9.1 – Interface admin du VPN

B Digipass Audit Viewer

Figure 9.2 – Outils permettant de voir les logs

C Authentification Server Configuration

Figure 9.3 – Outils de configuration r´eseau du serveur Vasco

D Snap-in de l’Active Directory

Figure 9.4 – Snap-in de l’Active Directory

E Digipass Administration Microsoft Management Console

Figure 9.5 – Console d’administration des Digipass

F VACMAN Radius Client Simulator

Figure 9.6 – Simulateur de client Radius