GUIDE DE L UTILISATEUR

(1)

www.fortinet.com

FortiClient End Point Security

Version 3.0 MR7

(2)

Guide de l'utilisateur FortiClient End Point Security Version 3.0 MR7

22 octobre 2008

04-30007-0271-20081022

© Copyright 2008 Fortinet, Inc. Tous droits réservés.. Aucune partie de ce document, y compris les textes, exemples, figures et illustrations, ne peut être reproduite, transmise ou traduite sous n’importe quelle forme et par n'importe quel moyen, électronique, mécanique, manuel, optique ou autre, à toute fin que ce soit, sans l'accord préalable écrit de Fortinet, Inc.

Marques déposées

Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard Antispam, FortiGuard Antivirus, FortiGuard Intrusion Prevention, FortiGuard Web Filtering, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP et FortiWiFi sont des marques de Fortinet, Inc. aux Etats-Unis et/ou dans d'autres pays. Les noms des sociétés et produits mentionnés peuvent être des marques de leurs propriétaires respectifs.

(3)

Table des matières

Présentation ... 7

À propos de FortiClient End Point Security... 7

À propos de ce document... 7

Icônes d’état de FortiClient... 8

Utilisation des menus de la barre d’état système de FortiClient ... 9

Documentation... 10

CD de documentation et d'outils Fortinet ... 10

Base de connaissances Fortinet ... 10

Commentaires sur la documentation technique de Fortinet... 10

Service clientèle et assistance technique ... 11

Installation ... 13

Configuration système requise ... 13

Modèles FortiGate et versions FortiOS pris en charge ... 14

Langues prises en charge ... 14

Installation de FortiClient... 14

Remarque à propos de l'installation sur des serveurs ... 15

Remarque à propos de l’installation à partir d’un disque créé à l’aide de la commande subst ... 15

Journal d'installation... 16

Paramètres généraux... 17

Saisie d’une clé de licence ... 17

Mise en conformité avec la stratégie d’entreprise ... 18

Verrouillage et déverrouillage du logiciel ... 18

Configuration des paramètres de serveur proxy... 19

VPN... 21

Configuration des VPN... 21

Configuration automatique d’un VPN... 22

Configuration manuelle d’un VPN ... 22

(4)

Table des matières

Utilisation du client VPN FortiClient ... 31

Tester la connexion... 31

Définition des options de connexion ... 32

Connexion au réseau distant ... 33

Connexion à un VPN avant l’ouverture d’une session Windows ... 33

Contrôle des connexions VPN ... 34

Exportation et importation des fichiers de stratégies VPN... 35

Dépannage des connexions VPN ... 36

Gestion des certificats numériques... 36

Obtention d’un certificat local signé ... 37

Obtention d’un certificat de carte à puce signé... 40

Obtention d’un certificat d’autorité de certification ... 41

Validation des certificats ... 42

Antivirus ... 43

Recherche de virus ... 43

Configuration des paramètres antivirus ... 46

Sélection des types de fichier à scanner ou à exclure... 48

Sélection de fichiers et dossier à exclure du scan ... 49

Spécification d’un serveur SMTP pour l’envoi des fichiers infectés... 49

Intégration du scan antivirus FortiClient au shell Windows... 50

Configuration de la protection en temps réel ... 50

Configuration du scan de courrier... 52

Gestion des fichiers en quarantaine... 52

Contrôle des entrées de la liste de démarrage Windows ... 54

Restauration des entrées modifiées ou rejetées de la liste de démarrage... 55

Pare-feu... 57

Sélection d’un mode de pare-feu ... 57

Sélection d’un profil de pare-feu ... 58

Affichage des informations de trafic ... 58

Configuration des autorisations d’accès des applications... 59

Gestion des groupes d’adresses, de protocoles et d’heures ... 61

Configuration des zones de sécurité de réseau... 61

Ajout d’adresses IP aux zones... 62

Personnalisation des paramètres de sécurité ... 62

Configuration de la détection des intrusions ... 63

Configuration des règles de pare-feu avancées... 64

Gestion des groupes... 65

(5)

Filtrage Web... 67

Définition du mot de passe d’administration... 67

Modification des paramètres de filtrage Web ... 68

Configuration des paramètres généraux de filtrage Web... 68

Gestion des profils de filtrage Web... 70

Configuration des paramètres de filtrage Web par utilisateur ... 71

Anti-Spam ... 73

Installation du plug-in anti-spam ... 74

Activation de la fonction Anti-Spam ... 74

Ajout de listes de mots autorisés, bloqués ou proscrits... 74

Marquage manuel des messages électroniques ... 75

Envoi des messages électroniques mal évalués à Fortinet ... 76

AntiLeak ... 77

Maintenance ... 79

Mise à jour de FortiClient... 79

Sauvegarde et restauration des paramètres FortiClient... 80

Journaux ... 81

Configuration des paramètres de journal ... 81

Gestion des fichiers journaux ... 83

Index... 85

(6)

Table des matières

(7)

Présentation

Ce chapitre présente le logiciel FortiClient End Point Security et les rubriques suivantes :

• À propos de FortiClient End Point Security

• À propos de ce document

• Icônes d’état de FortiClient

• Utilisation des menus de la barre d’état système de FortiClient

• Documentation

• Service clientèle et assistance technique

À propos de FortiClient End Point Security

L’agent de sécurité unifié FortiClient End Point Security pour ordinateurs Windows regroupe en un seul package logiciel un pare-feu personnel, un VPN IPSec, un antivirus, un anti-spyware, un anti-spam et une fonction de filtrage de contenu.

L’application FortiClient vous permet de :

• créer des connexions entre les VPN et les réseaux distants,

• rechercher des virus sur l’ordinateur,

• configurer une protection en temps réel contre les virus et les modifications non autorisées du registre Windows,

• limiter l’accès à votre système et vos applications en configurant des stratégies de pare-feu,

• limiter l’accès Internet en fonction des règles spécifiées,

• filtrer les messages électroniques entrants sur Microsoft Outlook® et Microsoft Outlook® Express pour collecter automatiquement le spam,

• utiliser la fonction de gestion à distance fournie par le système FortiManager.

À propos de ce document

Ce document explique le mode d'installation et d'utilisation des fonctions de FortiClient End Point Security.

Ce document contient les chapitres suivants :

• Installation : explique comment installer l'application FortiClient sur votre ordinateur.

• Paramètres généraux : décrit comment entrer une clé de licence, verrouiller ou déverrouiller les paramètres d'application et configurer des paramètres de serveur proxy facultatifs.

• VPN : décrit comment configurer un VPN IPSec grâce à l'application FortiClient.

(8)

Icônes d’état de FortiClient Présentation

• Antivirus : décrit comment rechercher des virus dans les fichiers, configurer un scan en temps réel des fichiers lors de leur ouverture, configurer un scan antivirus du courrier entrant et sortant et comment empêcher des modifications non autorisées de la liste de démarrage ou du registre Windows.

• Pare-feu : décrit comment configurer le pare-feu FortiClient. Vous pouvez utiliser des paramètres prédéfinis ou personnalisés.

• Filtrage Web : décrit comment configurer l'application FortiClient pour contrôler les types de contenu de page Web accessibles sur votre ordinateur à l'aide du service Fortinet FortiGuard Web Filtering.

• Anti-Spam : décrit comment configurer le filtrage anti-spam pour le client de messagerie électronique Microsoft Outlook ou Outlook Express. L'application FortiClient utilise le service Fortinet FortiGuard AntiSpam pour détecter les messages électroniques contenant du spam. Vous pouvez également créer vos propres listes noire et blanche d'adresses électroniques.

• AntiLeak ´: décrit comment empêcher une fuite accidentelle d'informations confidentielles via les messages électroniques Microsoft Outlook.

• Maintenance : décrit comment exécuter des mises à jour manuelles ou programmées des définitions de virus et du moteur antivirus et comment sauvegarder et restaurer les paramètres de l'application FortiClient.

• Journaux : décrit comment configurer la journalisation des événements de sécurité et afficher les informations de journal.

Icônes d’état de FortiClient

La barre d’état dans la partie inférieure droite de la fenêtre de l’application FortiClient affiche les icônes d’état de FortiClient.

Le service VPN est en cours d’exécution et une connexion est ouverte.

Le service VPN est désactivé.

Le service de scan antivirus est en cours d’exécution.

Le service de scan antivirus est désactivé.

Le service de mise à jour est en cours d’exécution.

Le service de mise à jour est désactivé.

Le service de protection en temps réel est en cours d’exécution.

Le service de protection en temps réel est désactivé.

La protection de pare-feu est activée.

La protection de pare-feu est désactivée.

(9)

Utilisation des menus de la barre d’état système de FortiClient

De nombreuses fonctions FortiClient fréquemment utilisées sont disponibles depuis les menus de la barre d’état système. Cliquez avec le bouton droit de la souris sur l’icône FortiClient pour accéder au menu.

Figure 1 : Menus de la barre d'état système de FortiClient

Ouvrir la console FortiClient

Ouvre la console de gestion pour pouvoir configurer les paramètres et utiliser les services.

FortiClient Aide Ouvre l’aide en ligne.

A propos de Affiche les informations de version et de copyright.

Make Compliant with Corporate Policy

Active les fonctions antivirus, anti-spam, de pare-feu ou de filtrage de contenu nécessaires pour se conformer à la stratégie de sécurité. Cet élément s’affiche lorsque l’ordinateur FortiClient est géré de manière centralisée, qu’une stratégie de sécurité est définie, mais que les paramètres FortiClient ne sont pas conformes à cette stratégie.

Pour plus d’informations, consultez la section “Mise en conformité avec la stratégie d’entreprise” à la page 18.

Compliant with Corporate Policy

FortiClient est conforme à la stratégie de sécurité. Cet élément s’affiche lorsque l’ordinateur FortiClient est géré de manière centralisée, qu’une stratégie de sécurité est définie et que les paramètres FortiClient sont conformes à cette stratégie.

VPN Si vous avez déjà ajouté des tunnels VPN, vous pouvez activer ou désactiver les connexions VPN en sélectionnant ou désélectionnant les noms de connexion. Consultez la section “Connexion au réseau distant” à la page 33.

Désactiver Protection Antivirus temps réel

Pour plus d’informations, consultez la section “Configuration de la protection en temps réel” à la page 50.

Activer le contrôleur de la base de registres

Pour plus d’informations, consultez la section “Contrôle des entrées de la liste de démarrage Windows” à la page 54.

Pare-feu Vous pouvez sélectionner Deny All (Tout refuser), Normal (Normal) ou Pass All (Tout accepter). Consultez la section

“Sélection d’un mode de pare-feu” à la page 57.

Désactiver filtrage Web Pour plus d’informations, consultez la section “Filtrage Web”

à la page 67.

Désactiver AntiSpam Pour plus d’informations, consultez la section “Anti-Spam” à la page 73.

(10)

Documentation Présentation

Documentation

Outre ce Guide de l'utilisateur de FortiClient End Point Security, l'aide en ligne de FortiClient fournit des informations et des procédures d'utilisation et de

configuration du logiciel FortiClient.

Si vous êtes chargé du déploiement de FortiClient End Point Security au sein d'une entreprise, consultez le Guide de l'administrateur de FortiClient End Point Security pour obtenir des informations sur l'installation personnalisée, la gestion centralisée à l'aide d'un système FortiManager, le filtrage Web par utilisateur sur l'ensemble du réseau, ainsi que la configuration de périphériques FortiGate pour les utilisateurs de VPN FortiClient.

Vous trouverez des informations sur les pare-feux antivirus de FortiGate dans l'aide en ligne de FortiGate et le Guide de l'administrateur de FortiGate.

CD de documentation et d'outils Fortinet

Toute la documentation sur Fortinet est disponible sur le CD de documentation et d'outils Fortinet livré avec votre produit (vous ne recevez pas ce CD si vous avez téléchargé l'application FortiClient). La dernière mise à jour des documents contenus dans le CD date de la période d'expédition. Pour obtenir les versions mises à jour de la documentation Fortinet, visitez le site Web de documentation technique Fortinet à l'adresse suivante : http://docs.forticare.com.

Base de connaissances Fortinet

Des informations techniques supplémentaires sur Fortinet sont disponibles dans la base de connaissances Fortinet. La base de connaissances contient des articles de dépannage et de conseils, des FAQ, des remarques techniques, un glossaire et bien plus encore. Visitez la base de connaissances Fortinet à l'adresse suivante : http://kc.forticare.com.

Commentaires sur la documentation technique de Fortinet

Envoyez vos informations relatives à toute erreur ou omission contenue dans ce document ou toute documentation technique de Fortinet à [email protected].

Montrer les fenêtres de Scan AV.

Affichage des fenêtres de scan antivirus ; masqué lors de scans programmés. Cet élément de menu est disponible uniquement lors d’un scan.

Arrêter FortiClient Arrête tous les services FortiClient et ferme la console FortiClient. Cette boîte de dialogue de confirmation n’affiche le bouton Oui qu’au bout de quatre secondes.

(11)

Service clientèle et assistance technique

L’assistance technique Fortinet offre des services destinés à garantir une

installation rapide, une configuration facile et une exploitation fiable des systèmes Fortinet au sein du réseau.

Visitez le site Web d’assistance technique Fortinet à l’adresse suivante : http://support.fortinet.com pour en savoir plus sur les services d’assistance technique fournis par Fortinet.

(12)

Service clientèle et assistance technique Présentation

(13)

Installation

Deux types de packages d'installation sont disponibles pour le logiciel FortiClient :

• un fichier exécutable Windows ;

• un fichier .zip (archive compressée) contenant un package d'installation Microsoft (MSI).

Le fichier exécutable Windows permet d'installer aisément le logiciel sur un seul ordinateur. Pour plus d'informations, consultez la section “Installation de

FortiClient” à la page 14.

Le package d'installation MSI peut être personnalisé en vue d'un déploiement plus large sur plusieurs ordinateurs. Pour plus d'informations, consultez le Guide de l'administrateur de FortiClient.

Si vous installez l'application FortiClient sur une plate-forme 64 bits, vous devez utiliser un programme d'installation 64 bits. Les fichiers du programme

d'installation 64 bits sont reconnaissables à la mention “_x64” figurant dans leur nom.

Configuration système requise

Pour installer FortiClient 3.0, vous devez disposer de la configuration minimale suivante :

• un ordinateur compatible PC équipé d'un processeur Pentium ou équivalent ;

• un système d’exploitation compatible et une RAM minimale de :

• Microsoft Windows 2000 : 128 Mo

• Microsoft Windows XP 32 bits et 64 bits : 256 Mo

• Microsoft Windows Server 2003 32 bits et 64 bits : 384 Mo

• Microsoft Windows Vista : 512 Mo

• une application de messagerie électronique compatible pour la fonction Anti-Spam :

• Microsoft Outlook 2000 ou ultérieure

• Microsoft Outlook Express 2000 ou ultérieure

• une application de messagerie électronique compatible pour la fonction AntiLeak (Anti-fuite) :

• Microsoft Outlook 2000 ou ultérieure

• 100 Mo d’espace disque ;

• un protocole de communication TCP/IP Microsoft natif ;

• un dialer PPP Microsoft natif pour les connexions commutées ;

• une connexion Ethernet.

Remarque : le logiciel FortiClient installe une carte réseau virtuelle.

(14)

Modèles FortiGate et versions FortiOS pris en charge Installation

Modèles FortiGate et versions FortiOS pris en charge

La fonction VPN de FortiClient est compatible avec tous les modèles FortiGate qui s'exécutent sur FortiOS version 2.36, 2.5, 2.8 et 3.0.

Langues prises en charge

La documentation et l'interface utilisateur de FortiClient End Point Security sont localisées dans les langues suivantes :

• anglais ;

• français ;

• chinois simplifié ;

• japonais ;

• coréen ;

• slovaque.

Le logiciel d'installation de FortiClient détecte la langue du système d'exploitation et installe la version linguistique correspondante de l'application. Si une langue autre que celles mentionnées ci-dessus est détectée, la version anglaise du logiciel est installée.

Installation de FortiClient

Avant de procéder à l'installation, veillez à désinstaller tout autre logiciel de client VPN, tel que SSH Sentinel. Il est possible que FortiClient ne fonctionne pas correctement avec les autres clients VPN éventuellement installés sur le même ordinateur.

Si une version antérieure du logiciel FortiClient est installée sur votre ordinateur, la version exécutable Windows du programme d'installation mettra

automatiquement à niveau votre installation vers la nouvelle version, en

conservant votre configuration actuelle. FortiClient 3.0 peut réutiliser les données de configuration des versions 2.0, 1.6 ou 1.2 de FortiClient, mais pas celles de la version 1.0.

Vous pouvez également mettre à niveau votre installation FortiClient à l'aide de la version .zip du programme d'installation, qui contient un package

d'installation MSI.

Pour installer le logiciel FortiClient - Programme d'installation exécutable Windows

1 Double-cliquez sur le fichier du programme d'installation de FortiClient.

2 Suivez les instructions qui s'affichent à l'écran, en sélectionnant Next (Suivant) pour parcourir les options d'installation.

Lorsque l'installation est terminée, l'assistant de configuration démarre, à moins que vous ne mettiez à niveau une installation existante.

Remarque : Si les versions 1.0 et 1.2 de FortiClient sont installées, il est recommandé de les désinstaller avant de procéder à l'installation de la version 3.0 afin d'éviter tout dysfonctionnement.

(15)

Pour installer le logiciel FortiClient - Programme d'installation MSI 1 Extrayez les fichiers dans un dossier à partir de l'archive .zip du programme

d'installation de FortiClient.

2 Effectuez l'une des procédures suivantes :

• Dans le cas d'une nouvelle installation, double-cliquez sur le fichier FortiClient.msi.

• Dans le cas d'une mise à niveau, exécutez la commande suivante à l'invite de commandes (tapez-la intégralement sur une seule ligne, en respectant la casse comme illustré) :

msiexec /i <chemin_dossier_installation>\FortiClient.msi REINSTALL=ALL REINSTALLMODE=vomus

3 Suivez les instructions qui s'affichent à l'écran, en sélectionnant Next (Suivant) pour parcourir les options d'installation.

Lorsque l'installation est terminée, l'assistant de configuration démarre, à moins que vous ne mettiez à niveau une installation existante.

Pour configurer le logiciel FortiClient après son installation

1 Dans l'assistant de configuration de FortiClient, sélectionnez Basic Setup

(Configuration de base) si vous installez le logiciel sur un ordinateur indépendant, ou Advanced Setup (Configuration avancée) si vous l'installez sur un ordinateur connecté à un réseau.

2 Dans le cas d'une configuration de base, configurez les paramètres de mises à jour. Pour plus d'informations, consultez la section “Maintenance” à la page 79.

3 Dans le cas d'une configuration avancée, procédez comme suit :

• Ajoutez les adresses IP aux zones bloquées, sécurisées et publiques de FortiClient. Pour plus d'informations, consultez la section “Configuration des zones de sécurité de réseau” à la page 61.

• Si votre ordinateur utilise un serveur proxy, entrez les informations correspondantes. Consultez la section “Configuration des paramètres de serveur proxy” à la page 19.

• Configurez les paramètres de mise à jour. Consultez la section “Maintenance”

à la page 79.

Remarque à propos de l'installation sur des serveurs

Si vous installez FortiClient End Point Security sur un serveur, suivez les recommandations de l’antivirus en ce qui concerne les autres produits installés sur ce serveur. Vous devrez peut-être exclure de l’examen effectué par l’antivirus certains fichiers et répertoires tels que SQL Server, Exchange Server et d'autres logiciels avec backends de bases de données.

Remarque à propos de l’installation à partir d’un disque créé à l’aide de la commande subst

Il est impossible d’effectuer l’installation à partir d’un package MSI si le fichier MSI se trouve sur un disque créé à l’aide de la commande subst. Le cas échéant, vous pouvez :

• spécifier le chemin réel du fichier ;

• placer le fichier MSI à un endroit où cela ne pose pas de problème ;

(16)

Journal d'installation Installation

Journal d'installation

Pendant l'installation, FortiClient consigne automatiquement toutes les activités liées à l'installation dans un fichier journal. En cas de problème pendant l'installation, vous pouvez vous y référer afin de déterminer le moment et l'emplacement où s'est produit l'incident.

Le fichier journal d'installation, à savoir fcinstalllog.txt, se trouve dans le répertoire suivant :

• sous Windows 2000 : dans le répertoire c:\winnt\

• sous Windows XP : dans le répertoire c:\windows\

Lorsque vous effectuez l'installation à l'aide du fichier MSI, le fichier journal n’est pas créé automatiquement. Pour créer le fichier journal dans ce cas, tapez la commande suivante :

msiexec /i FortiClient.msi /L*v c:\logfile.txt

Vous pouvez également installer les stratégies de journalisation appropriées pour le groupe Active Directory.

(17)

Paramètres généraux

La page des paramètres généraux sert à diverses fins :

• afficher la version et le numéro de série du logiciel FortiClient,

• afficher l’état du service VPN,

• activer ou désactiver la protection antivirus en temps réel,

• activer ou désactiver le contrôle de la liste de démarrage du système Windows,

• afficher la version actuelle des fichiers de définition de virus et l’heure du dernier scan,

• configurer l’ouverture automatique de la console FortiClient au démarrage,

• entrer une clé de licence produit,

• vérifier la conformité des paramètres avec la stratégie de sécurité de l’entreprise et la restaurer au besoin,

• verrouiller ou déverrouiller l’application FortiClient.

Saisie d’une clé de licence

L’application FortiClient utilise des clés de licence différentes en fonction de la version logicielle : évaluation ou complète.

La version d’évaluation fournit des fonctions de pare-feu et de VPN IPSec complètes. Des mises à jour de définitions de virus sont disponibles pendant 90 jours. Les services anti-spam et de filtrage Web sont disponibles pendant 90 jours. Il n’est pas possible de prolonger la période d’évaluation en réinstallant le logiciel.

Lorsque vous achetez une clé de licence et l’entrez dans le logiciel, des mises à jour de définitions de virus sont disponibles jusqu’à l’expiration de la licence.

La page General > Status (Général > État) affiche le numéro de série et la date d’expiration de la licence.

Pour bénéficier des services anti-spam et de filtrage Web au-delà de la période d’évaluation, vous devez vous abonner au service FortiGuard. Pour plus

d’informations, consultez la page http://www.fortinet.com/products/fortiguard.html.

Contactez votre commercial Fortinet local ou consultez la page

https://shop.fortinet.com or encore http://www.fortinet.com/products/forticlient.html pour acheter ou renouveler une clé de licence.

Pour entrer une clé de licence

1 Accédez à General > Status (Général > État).

2 Sélectionnez Enter License Key.

3 Entrez la clé de licence.

4 Sélectionnez OK.

(18)

Mise en conformité avec la stratégie d’entreprise Paramètres généraux

Mise en conformité avec la stratégie d’entreprise

Si l’ordinateur FortiClient est géré de manière centralisée, une stratégie de sécurité peut être définie. Elle requiert l’activation des fonctions antivirus, anti- spam, de pare-feu et de filtrage Web. Si tel est le cas, la section de conformité avec la stratégie d’entreprise s’affiche sur la page General.

Si les paramètres de l’ordinateur FortiClient ne sont pas conformes à la stratégie de sécurité, il n’est pas possible d’exploiter un tunnel VPN.

La section Corporate Policy Compliance (Conformité avec la stratégie

d’entreprise) indique que FortiClient est conforme à la stratégie d’entreprise ou affiche la case à cocher Make FortiClient compliant with corporate policy (Mettre FortiClient en conformité avec la stratégie d’entreprise). Cochez la case pour mettre les paramètres FortiClient en conformité avec la stratégie.

Verrouillage et déverrouillage du logiciel

Vous pouvez modifier les paramètres du logiciel FortiClient uniquement si votre compte Windows dispose de privilèges administratifs. Vous pouvez empêcher d’autres utilisateurs disposant de privilèges administratifs de modifier les paramètres en verrouillant FortiClient avec un mot de passe. Si le logiciel FortiClient est géré à distance à l’aide du système FortiManager, l’administrateur FortiManager peut verrouiller vos paramètres de configuration. Si votre

application FortiClient est verrouillée, la page des paramètres généraux affiche un bouton Unlock (Déverrouiller).

Pour verrouiller localement l’application FortiClient

1 Sous l’onglet General (Général), sélectionnez Lock Settings (Verrouiller les paramètres).

2 Entrez le mot de passe dans le champ Password (Mot de passe) et entrez-le de nouveau dans le champ de confirmation.

3 Sélectionnez OK.

Pour déverrouiller localement l’application FortiClient 1 Demandez le mot de passe à l’administrateur.

2 Sous l’onglet General (Général), sélectionnez Unlock (Déverrouiller).

3 Entrez le mot de passe dans le champ Password (Mot de passe).

4 Vous pouvez également sélectionner Remove Password (Supprimer le mot de passe) pour déverrouiller l’application de manière permanente.

Cette option n’est pas disponible si FortiManager a verrouillé l’application FortiClient.

5 Sélectionnez OK.

6 Une fois les paramètres modifiés, sélectionnez Relock (Verrouiller à nouveau).

Remarque : même si le logiciel FortiClient est verrouillé, vous pouvez exécuter des scans antivirus, utiliser les tunnels VPN, modifier les certificats VPN et listes de révocation de certificats.

(19)

Configuration des paramètres de serveur proxy

Si vous utilisez un serveur proxy pour votre réseau LAN, vous pouvez configurer les paramètres de serveur proxy de sorte que le logiciel FortiClient passe par le serveur proxy pour obtenir des mises à jour de signatures de virus, envoyer des fichiers infectés par des virus et obtenir des certificats en ligne à l’aide du protocole SCEP.

Le logiciel FortiClient prend en charge les protocoles de proxy HTTP, SOCKS v4 et SOCKS v5.

Pour configurer les paramètres de serveur proxy 1 Accédez à General > Connection (Général > Connexion).

2 Sélectionnez Enable proxy for Updates (Activer les mises à jour via le proxy), Virus submission (Envoi de fichiers infectés) et Online SCEP (SCEP en ligne) si nécessaire.

3 Pour le type de proxy, sélectionnez HTPP, SOCK V4 ou SOCK V5.

4 Entrez l’adresse IP et le numéro de port du serveur proxy.

Vous pouvez demander ces informations à votre administrateur réseau.

5 Entrez le nom d’utilisateur et le mot de passe.

6 Sélectionnez Apply (Appliquer).

(20)

Configuration des paramètres de serveur proxy Paramètres généraux

(21)

VPN

FortiClient End Point Security permet de créer un tunnel VPN entre votre

ordinateur et une unité FortiGate ou une autre passerelle VPN. Grâce à ce guide, vous devez uniquement vous procurer quelques informations auprès de

l’administrateur VPN afin de configurer les paramètres VPN de FortiClient.

Configuration des VPN

Si la passerelle VPN est une unité FortiGate exécutant FortiOS 3.0, elle peut télécharger les paramètres sur l’application FortiClient. Vous devez uniquement connaître l’adresse IP ou le nom de domaine de la passerelle VPN. Consultez la section “Configuration automatique d’un VPN” à la page 22.

Si la passerelle VPN est une unité FortiGate exécutant FortiOS 2.80 ou inférieur ou s’il s’agit d’une passerelle tierce, vous devez configurer manuellement les paramètres VPN de FortiClient. Vous devez connaître :

• l’adresse IP ou le nom de domaine de la passerelle VPN ;

• l’adresse IP et le masque réseau des réseaux auxquels vous souhaitez accéder via la passerelle VPN ;

• dans certains cas, une adresse IP virtuelle ;

• les paramètres de stratégie IKE et IPsec, sauf si les paramètres par défaut sont utilisés ;

• le nom d’utilisateur et le mot de passe en cas d’utilisation de l’authentification étendue.

Consultez la section “Configuration manuelle d’un VPN” à la page 22.

Si vous configurez un VPN pour qu’il utilise des certificats numériques locaux ou un certificat de carte à puce/eToken pour l’authentification, consultez la section

“Gestion des certificats numériques” à la page 36 avant de commencer.

La configuration des connexions VPN de FortiClient ne requiert pas l’utilisation de certificats numériques. Les certificats numériques constituent une fonction avancée destinée à faciliter les tâches des administrateurs système. Ce guide suppose que l’utilisateur sait comment configurer des certificats numériques en vue de les implémenter.

(22)

Configuration automatique d’un VPN VPN

Configuration automatique d’un VPN

Si la passerelle FortiGate distante est configurée comme serveur de déploiement de stratégie VPN, vous pouvez configurer le logiciel FortiClient pour qu’il

télécharge les stratégies VPN depuis la passerelle FortiGate.

Le serveur de stratégies dispose d’un démon exécuté en tout temps pour répondre aux requêtes entrantes de téléchargement de stratégie. Ce démon communique avec l’ordinateur FortiClient pour authentifier utilisateur, ainsi que pour rechercher et fournir des stratégies. Une fois la stratégie envoyée, le démon ferme la connexion SSL et vous pouvez démarrer le tunnel VPN depuis

l’ordinateur FortiClient.

Sur l’ordinateur FortiClient, vous devez uniquement créer un nom de VPN et indiquer l’adresse IP de la passerelle FortiGate.

Pour ajouter un VPN à l’aide de la configuration automatique sur l’ordinateur FortiClient

1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez Advanced (Avancé) puis Add (Ajouter).

3 Dans la boîte de dialogue New Connection (Nouvelle connexion), entrez un nom de connexion.

4 Pour le type de configuration, sélectionnez Automatic (Automatique).

5 Dans la section Policy Server (Serveur de stratégies), entrez l’adresse IP ou le nom de domaine complet de la passerelle FortiGate.

6 Sélectionnez OK.

Configuration manuelle d’un VPN

La configuration VPN décrite dans cette section utilise les paramètres FortiClient par défaut et des clés pré-partagées pour l’authentification des VPN.

Pour pouvoir configurer une connexion VPN, les paramètres FortiClient doivent correspondre à ceux du serveur VPN, une unité FortiGate par exemple.

Pour utiliser des certificats numériques pour l’authentification VPN, consultez la section “Gestion des certificats numériques” à la page 36.

Configuration des paramètres VPN de base pour FortiClient

Accédez à VPN > Connections (VPN > Connexions) pour ajouter, supprimer, modifier ou renommer une connexion VPN.

Pour ajouter un ordinateur FortiClient à un VPN FortiGate, procédez comme suit :

• Créez le tunnel VPN depuis l’ordinateur FortiClient jusqu’à la passerelle FortiGate distante.

• Si requis par l’administrateur, configurez le VPN de FortiClient pour qu’il utilise une adresse IP virtuelle, attribuée manuellement ou à l’aide du protocole DHCP via IPSec.

Remarque : pour les VPN à configuration automatique, seules les clés pré-partagées sont prises en charge. Les certificats ne sont pas pris en charge.

(23)

• Vous pouvez également ajouter les adresses IP des réseaux supplémentaires se trouvant derrière la passerelle distante.

• Configurez la navigation Internet via IPSec pour accéder à Internet via le tunnel VPN.

Figure 2 : Création d'une nouvelle connexion VPN

Pour créer une connexion VPN FortiClient

2 Sélectionnez Advanced (Avancé) puis Add (Ajouter).

3 Entrez les informations suivantes et sélectionnez OK.

Pour définir l’adresse IP virtuelle

If votre configuration requiert une adresse IP virtuelle, procédez comme suit : 1 Accédez à VPN > Connections (VPN > Connexions).

2 Double-cliquez sur une connexion.

La boîte de dialogue Edit Connection (Modification de connexion) s’ouvre.

3 Sélectionnez Advanced (Avancé).

Nom de la connexion Entrez un nom descriptif pour la connexion.

Configuration Sélectionnez Manual (Manuelle).

Passerelle distante Entrez l’adresse IP ou le nom de domaine complet de la passerelle distante.

Réseau distant Entrez l’adresse IP et le masque réseau du réseau situé derrière l’unité FortiGate.

Méthode d’authentification Sélectionnez Pre-shared Key (Clé pré-partagée).

Clé partagée Entrez la clé pré-partagée.

(24)

Configuration manuelle d’un VPN VPN

4 Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez Acquire Virtual IP Address (Obtenir une adresse IP virtuelle) et sélectionnez Config.

5 Dans la boîte de dialogue Virtual IP Acquisition (Acquisition d’adresse IP virtuelle), sélectionnez DHCP over IPSec (DHCP via IPSec) ou définissez manuellement une adresse IP, si nécessaire. Pour plus d’informations, consultez la section

“Configuration de l’acquisition d’adresses IP virtuelles” à la page 28.

6 Sélectionnez OK.

7 Sélectionnez OK.

Pour ajouter des réseaux distants supplémentaires à une connexion 1 Accédez à VPN > Connections (VPN > Connexions).

2 Double-cliquez sur la connexion pouvant accéder au réseau à ajouter.

La boîte de dialogue Advanced Settings (Paramètres avancés) s’ouvre.

4 Dans la section Remote Network (Réseau distant), sélectionnez Add (Ajouter).

5 Dans la boîte de dialogue Network Editor (Modifications de réseaux), entrez l’adresse IP et le masque de sous-réseau du réseau distant puis sélectionnez OK.

6 Renouvelez les étapes 4 et 5 pour chaque réseau supplémentaire que vous souhaitez ajouter.

Vous pouvez spécifier jusqu’à 16 réseaux distants.

7 Sélectionnez OK.

8 Sélectionnez OK.

Pour utiliser la navigation Internet via IPSec 1 Accédez à VPN > Connections (VPN > Connexions).

4 Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez Add (Ajouter).

5 Entrez 0.0.0.0./0.0.0.0 et sélectionnez OK.

6 Sélectionnez OK.

7 Sélectionnez OK.

Pour transférer les paramètres de configuration VPN vers votre dispositif mobile Windows

1 Connectez votre dispositif mobile à l’ordinateur à l’aide du câble USB.

2 Démarrez Microsoft ActiveSync et vérifiez que le programme détecte votre dispositif.

Remarque : pour que l’ordinateur FortiClient puisse utiliser la navigation Internet via IPSec, la passerelle FortiGate distante doit également être configurée de manière à autoriser ce trafic.

(25)

4 Sélectionnez Advanced (Avancé) puis Sync to Mobile Device (Synchroniser avec le dispositif mobile).

Les définitions de tunnel sont transférées sur votre dispositif mobile.

Configuration des stratégies IKE et IPSec

FortiClient dispose de deux stratégies IKE et IPSec préconfigurées :

• Utilisez la stratégie héritée pour la connexion d’un VPN à une unité FortiGate exécutant FortiOS v2.36 et pour toute passerelle Cisco prenant uniquement en charge les paramètres hérités.

• Utilisez la stratégie par défaut pour la connexion d’un VPN à une unité FortiGate exécutant FortiOS v2.50 ou supérieur.

Pour modifier les paramètres de stratégie hérités ou par défaut 1 Accédez à VPN > Connections (VPN > Connexions).

4 Sous Policy (Stratégie), sélectionnez Legacy (Héritée) ou Default (Par défaut).

Les paramètres de stratégie s’affichent dans les boîtes IKE et IPSec. Vous pouvez utiliser les stratégies héritées ou les stratégies par défaut. Pour configurer les paramètres détaillés, suivez les étapes ci-dessous.

5 Sous Policy (Stratégie), sélectionnez Config.

6 Dans la boîte de dialogue Connection Detailed Settings (Paramètres détaillés de connexion), configurez les paramètres du tableau suivant. Sélectionnez OK pour enregistrer les paramètres. Vous pouvez également sélectionner Legacy (Héritée) ou Default (Par défaut) pour restaurer les paramètres hérités ou par défaut d’origine.

(26)

Figure 3 : Modification des paramètres de configuration détaillés

Tableau 1 : Les paramètres IKE de FortiClient correspondent aux paramètres de première étape de FortiGate

Propositions IKE Ajoutez ou supprimez des algorithmes de chiffrement et d’authentification.

La liste de propositions sert lors de la négociation IKE entre le logiciel FortiClient et l’unité FortiGate distante. Le logiciel

FortiClient propose les combinaisons d’algorithme dans l’ordre en commençant par le début de la liste.

La passerelle FortiGate distante doit utiliser les mêmes propositions.

Mode Sélectionnez Main (Principal) ou Aggressive (Agressif).

Le mode principal fournit une fonction de sécurité supplémentaire appelée “protection de l’identité” qui masque les identités des homologues VPN pour qu’elles ne soient pas détectées par des logiciels d’écoute passive. Par rapport au mode agressif, le mode principal requiert l’échange d’un plus grand nombre de messages.

Il est également difficile de l’utiliser efficacement lorsqu’un homologue VPN se sert de son identité dans le cadre de

processus d’authentification. Lors de l’utilisation du mode agressif, les homologues VPN échangent ouvertement les informations d’identification.

(27)

Groupe DH Sélectionnez un ou plusieurs groupes Diffie-Hellman parmi les groupes DH 1, 2 et 5.

• Lorsque les homologues VPN disposent d’adresses IP statiques et utilisent le mode agressif, sélectionnez un seul groupe DH correspondant.

• Lorsque les homologues VPN utilisent le mode agressif dans une configuration de numérotation, sélectionnez jusqu’à trois groupes DH pour le serveur de numérotation et un seul groupe DH pour l’utilisateur de numérotation (client ou passerelle).

• Lorsque les homologues VPN utilisent le mode principal, vous pouvez sélectionner plusieurs groupes DH.

Durée de vie de la clé

Entrez le nombre en secondes.

La validité de la clé correspond au temps restant en secondes avant l’expiration de la clé de chiffrement IKE. Lorsque la clé expire, une nouvelle clé est générée sans interrompre le service.

La validité de la clé de la proposition P1 peut être de 120 à 172 800 secondes.

Identifiant local Si vous utilisez des ID homologue pour l’authentification, entrez l’ID homologue que FortiClient utilisera pour s’authentifier sur la passerelle FortiGate distante.

Si vous utilisez des certificats pour l’authentification, entrez l’ID local qui correspond au nom unique du certificat local.

Le nombre d’homologues FortiClient pouvant utiliser le même ID local n’est pas limité.

Tableau 2 : Les paramètres IPSec de FortiClient correspondent aux paramètres de deuxième étape de FortiGate

Propositions IPSec Ajoutez ou supprimez des algorithmes de chiffrement et d’authentification.

La passerelle FortiGate distante doit utiliser les mêmes propositions.

Groupe DH Sélectionnez un groupe Diffie-Hellman parmi les groupes DH 1, 2 et 5. Le groupe DH 1 est moins sécurisé. Le groupe DH 5 est le plus sécurisé. Il est impossible de sélectionner plusieurs groupes DH.

La passerelle FortiGate distante doit utiliser les mêmes paramètres de groupe DH.

Durée de vie de la clé

Sélectionnez Seconds (Secondes) ou KBytes (Koctets) pour la validité de clé, ou les deux options.

Le paramètre de validité de clé entraîne l’expiration de la clé IPSec après une période de temps spécifiée, après le traitement d’un nombre spécifié de kilo-octets de données, ou après ces deux options. Si vous sélectionnez les deux options, la clé arrivera à expiration uniquement une fois que le temps sera écoulé et que le nombre de kilo-octets de données aura été traité.

Lorsque la clé expire, une nouvelle clé est générée sans interrompre le service. La validité de la clé de la proposition P2 peut être de 120 à 172 800 secondes ou de 5 120 à 2 147 483 648 kilo-octets.

Tableau 1 : Les paramètres IKE de FortiClient correspondent aux paramètres de première étape de FortiGate (Continued)

(28)

Configuration de l’acquisition d’adresses IP virtuelles

Le logiciel FortiClient prend en charge deux méthodes d’acquisition d’adresses IP virtuelles : le DHCP (dynamic host configuration protocol ou configuration

dynamique des hôtes) via IPSec et la saisie manuelle.

Sélectionnez l’option DHCP over IPSec (DHCP via IPSec) pour autoriser le serveur DHCP du réseau distant à attribuer une adresse IP à l’ordinateur FortiClient de manière dynamique une fois la connexion VPN établie.

Sélectionnez l’option Manually Set (Définition manuelle) pour spécifier

manuellement une adresse IP virtuelle pour l’ordinateur FortiClient. Cette adresse IP virtuelle doit correspondre à une adresse réelle du réseau distant. Vous pouvez également spécifier les adresses IP des serveurs DNS et WINS du réseau distant.

Pour obtenir des informations sur la configuration de la passerelle FortiGate, consultez les sections Guide de l’administrateur de FortiGate et Guide des VPN IPSec de FortiGate.

Tableau 3 : Paramètres VPN avancés de FortiClient Rejouer la

détection

L’option Replay detection (Détection de rejeu) permet au logiciel FortiClient de vérifier si le numéro de séquence de chaque paquet IPSec a été reçu. Si des paquets identiques dépassent un ordre de séquence spécifié, le logiciel FortiClient les élimine.

Fonction PFS Le protocole FPS (Perfect forward secrecy ou confidentialité de protection parfaite) améliore la sécurité obligeant un nouvel échange Diffie-Hellman à chaque fois qu’une clé arrive à expiration.

Traduction d’adresses/ports sur le parcours

Activez cette option si vous souhaitez que le trafic VPN IPSec passe par

une passerelle exécutant le protocole NAT. Si aucun dispositif NAT n’est détecté, l’activation de l’option NAT traversal n’a aucun effet.

Si vous activez l’option NAT traversal, vous pouvez définir la fréquence de conservation de connexion active.

Le protocole NAT traversal est activé par défaut.

Fréquence du Keepalive

Si l’option NAT Traversal est sélectionnée, entrez la fréquence de conservation de connexion active en secondes.

La séquence de conservation de connexion active spécifie la fréquence à laquelle les paquets UDP vides sont envoyés via le dispositif NAT afin de garantir que le mappage NAT ne soit pas modifié avant l’expiration des clés IKE et IPSec.

La fréquence de conservation de connexion active peut être de 0 à 900 secondes.

Clé automatique persistante

Activez cette option pour maintenir ouverte la connexion VPN même si aucune donnée n’est transférée.

Détection de perte d’un tiers

Activez cette option pour effacer les connexions VPN indisponibles et en établir de nouvelles.

Remarque : si l’ordinateur est connecté à une passerelle FortiGate v2.50, vous ne pouvez pas définir l’adresse IP virtuelle dans le même sous-réseau de réseau distant car la passerelle FortiGate v2.50 ne prend pas en charge le proxy ARP. Si l’ordinateur est connecté à une passerelle FortiGate v2.80 ou supérieur, consultez votre administrateur réseau pour obtenir une adresse IP virtuelle correcte.

(29)

Figure 4 : Configuration de l'acquisition d'adresses IP virtuelles

Configuration de l’acquisition d’adresses IP virtuelles 1 Accédez à VPN > Connections (VPN > Connexions).

4 Sélectionnez Acquire virtual IP address (Obtenir une adresse IP virtuelle) et sélectionnez le bouton Config correspondant.

5 Sélectionnez Dynamic Host Configuration Protocol (DHCP) over IPSec (DHCP via IPSec) ou Manually Set (Définition manuelle).

L’option par défaut est DHCP.

6 Si vous sélectionnez Manually Set (Définition manuelle), entrez l’adresse IP et le masque de sous-réseau. Vous pouvez également spécifier les adresses IP des serveurs DNS et WINS.

7 Sélectionnez OK.

8 Sélectionnez OK.

9 Sélectionnez OK.

(30)

Configuration de l’authentification étendue

Si l’unité FortiGate distante est configurée comme un serveur d’authentification étendue, un nom d’utilisateur et un mot de passe seront requis sur l’ordinateur FortiClient lors d’une tentative de connexion VPN. Le nom d’utilisateur et le mot de passe sont définis par le serveur d’authentification étendue. Ils peuvent être sauvegardés dans le cadre d’une configuration VPN avancée ou saisis

manuellement à chaque tentative de connexion.

Pour obtenir des informations sur la configuration du serveur d’authentification avancée, consultez les sections Guide de l’administrateur de FortiGate et Guide des VPN IPSec de FortiGate.

Figure 5 : Configuration de l'authentification étendue

Pour configurer l’authentification avancée

4 Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez Config for eXtended Authentication (Configuration pour authentification étendue).

5 Dans la boîte de dialogue Authentification étendue, suivez l’une des étapes suivantes :

• Si vous souhaitez entrer le nom d’utilisateur et le mot de passe pour chaque connexion VPN, sélectionnez Inviter d’authentification. Vous pouvez choisir si FortiClient autorise trois, deux ou seulement une tentative de connexion avec le nom d’utilisateur et le mot de passe appropriés.

Lorsque FortiClient vous invite à vous connecter, vous pouvez sélectionner l’option de sauvegarde du mot de passe pour éviter de devoir le saisir à la prochaine invitation de connexion.

• Si vous souhaitez que FortiClient envoie automatiquement les informations d’authentification étendue, désactivez l’option Inviter d’authentification.

6 Sélectionnez OK.

7 Sélectionnez OK.

8 Sélectionnez OK.

(31)

Utilisation du client VPN FortiClient

Une fois les connexions VPN configurées, vous pouvez utiliser FortiClient pour établir des connexions sécurisées.

Tester la connexion

Après avoir configuré un VPN, vous pouvez tester la connexion VPN depuis l’ordinateur FortiClient. Cette option est facultative mais elle fournit plus d’informations que la fonction Connect (Connecter) en cas d’échec de la connexion.

Pour tester la connexion

2 Sélectionnez la connexion à tester.

3 Sélectionnez Advanced (Avancé) puis Test (Tester).

Une fenêtre de journal s’ouvre et commence à négocier la connexion VPN avec l’unité FortiGate distante.

Si le test réussit, la dernière ligne du journal affiche “IKE daemon stopped”.

Si la dernière ligne du journal affiche “Next_time = x sec” où x est un entier, le test a échoué. Le logiciel FortiClient tente toujours de négocier la connexion.

Consultez la section “Dépannage des connexions VPN” à la page 36.

4 Sélectionnez Close (Fermer).

Figure 6 : Test de connexion réussi

Remarque : pour un VPN avec configuration automatique, le logiciel FortiClient télécharge d’abord la stratégie VPN. Pour tester la connexion VPN, le logiciel FortiClient tente de négocier la connexion VPN, mais n’ouvre pas de connexion VPN.

(32)

Définition des options de connexion VPN

Figure 7 : Échec d'un test de connexion

Définition des options de connexion

Les options suivantes s’appliquent aux connexions VPN. Vous pouvez les trouver sur la page VPN > Connections (VPN > Connexions). Sélectionnez Apply (Appliquer) après toute modification.

Start VPN before logging on to Windows

Sélectionnez cette option si vous devez vous connecter à un domaine Windows via un VPN au démarrage du poste de travail Windows. Consultez la section “Connexion à un VPN avant l’ouverture d’une session Windows” à la page 33.

Keep IPSec service running forever unless manually stopped

Choisissez de rétablir indéfiniment les connexions rejetées. Par défaut, le logiciel FortiClient tente de rétablir quatre fois une connexion rejetée.

Beep when connection error occurs

Choisissez si le logiciel FortiClient doit émettre une alarme en cas d’échec d’une connexion VPN.

Par défaut, l’alarme s’arrête après 60 secondes même si la connexion n’a pas été rétablie. Vous pouvez modifier la durée ou sélectionner Continuously (Continuellement) pour que l’alarme ne s’arrête qu’une fois la connexion rétablie.

(33)

Connexion au réseau distant

Après avoir configuré une connexion VPN, vous pouvez démarrer ou interrompre la connexion au besoin.

Pour se connecter à une passerelle FortiGate distante 1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez la connexion à lancer.

3 Sélectionnez Connect (Connecter).

Le logiciel FortiClient ouvre une fenêtre de journal et commence à négocier une connexion VPN avec le pare-feu FortiGate distant. Si la négociation réussit et la connexion est établie, la dernière ligne du journal affiche “Negotiation Succeeded!” (Négociation réussie).

4 Sélectionnez OK ou attendez que la fenêtre se ferme automatiquement.

Si la dernière ligne du journal affiche “Negotiation failed! Please check log” (Échec de la négociation. Vérifiez le journal) et si la fenêtre de journal ne se ferme pas automatiquement, la tentative de connexion a échoué. Testez la connexion pour vérifier la configuration.

5 Pour interrompre la connexion, sélectionnez Disconnect (Déconnecter).

Connexion à un VPN avant l’ouverture d’une session Windows

Vous pouvez vous connecter à un VPN avant d’ouvrir une session Windows si vous avez sélectionné l’option “Start VPN before logging on to Windows”

(Démarrer le VPN avant d’ouvrir une session Windows) (consultez la section

“Définition des options de connexion” à la page 32). L’icône d’un VPN FortiClient s’affiche sur l’écran de connexion Windows.

Figure 8 : Icône VPN icon sur l'écran de connexion Windows

Vous devez vous connecter au VPN avant d’ouvrir une session Windows

uniquement si le VPN est connecté à votre domaine Windows. Dans ce cas, vous ne devez pas vous déconnecter du VPN avant de fermer la session de domaine Windows.

Remarque : si l’ordinateur FortiClient est géré de manière centralisée et n’est pas conforme à la stratégie de sécurité d’entreprise, le VPN ne fonctionne pas. Sélectionnez Make Compliant with Corporate Policy (Mettre en conformité avec la stratégie d’entreprise) dans le menu de la barre d’état système afin d’effectuer les modifications requises des paramètres FortiClient. Pour plus d’informations, consultez la section “Mise en conformité avec la stratégie d’entreprise” à la page 18.

Aucune connexion VPN

Connexion VPN active

(34)

Contrôle des connexions VPN VPN

Pour se connecter à un VPN depuis l’écran de connexion Windows 1 Sélectionnez l’icône VPN.

2 Sélectionnez la connexion VPN requise dans la liste de connexions.

3 Sélectionnez Connect (Connecter).

Le logiciel FortiClient ouvre une fenêtre de journal et commence à négocier une connexion VPN avec le pare-feu FortiGate distant. Si la négociation réussit et la connexion est établie, la dernière ligne du journal affiche “Negotiation Succeeded!” (Négociation réussie).

4 Sélectionnez OK ou attendez que la fenêtre IKE Negotiation (Négociation IKE) se ferme automatiquement.

5 Connectez-vous au domaine Windows.

6 Après vous être déconnecté du domaine Windows, sélectionnez l’icône VPN pour vous déconnecter du VPN.

Contrôle des connexions VPN

Accédez à VPN > Monitor (VPN > Contrôle) pour afficher la connexion VPN actuelle et les informations de trafic.

Figure 9 : Contrôle VPN

Pour la connexion actuelle, vous pouvez afficher les informations suivantes.

Nom Nom de la connexion VPN actuelle.

Passerelle locale Adresse IP de la passerelle locale (ordinateur FortiClient).

Distant Adresse IP de la passerelle distante (unité FortiGate).

Délai d’attente (sec) Temps de connexion VPN restant.

(35)

Pour le trafic VPN entrant, vous pouvez afficher les informations suivantes.

Pour le trafic VPN sortant, vous pouvez afficher les informations suivantes.

Traffic summary

Le résumé du trafic affiche un graphique du trafic VPN entrant et sortant.

La colonne de gauche affiche le trafic entrant et la colonne de droite, le trafic sortant. Le nombre total d’octets entrants et sortants transférés est également affiché.

Exportation et importation des fichiers de stratégies VPN

Vous pouvez exporter un fichier de stratégies VPN vers votre ordinateur local ou de réseau comme sauvegarde des paramètres de configuration VPN. Au besoin, vous pouvez réimporter ce fichier sur votre ordinateur FortiClient local ou sur d’autres ordinateurs FortiClient.

Pour exporter un fichier de stratégies VPN

2 Sélectionnez la connexion pour laquelle vous souhaitez exporter le fichier de stratégies VPN.

3 Sélectionnez Advanced (Avancé) puis Export (Exporter).

4 Sélectionnez un dossier de fichiers et entrez un nom de fichier.

5 Sélectionnez Save (Enregistrer).

Pour importer un fichier de stratégies VPN

2 Sélectionnez Advanced (Avancé) puis Import (Importer).

3 Recherchez le fichier et sélectionnez Open (Ouvrir).

Paquets Nombre de paquets reçus.

Bytes Nombre d’octets reçus.

Chiffrement Algorithme et clé de chiffrement.

Auth. Algorithme et clé d’authentification.

Packets Nombre de paquets envoyés.

Bytes Nombre d’octets envoyés.

Chiffrement Algorithme et clé de chiffrement.

Auth. Algorithme et clé d’authentification.

Remarque : lorsque le trafic est transféré via une connexion VPN ouverte, l’icône de la barre d’état système de FortiClient représente un graphique de résumé de trafic. La colonne rouge indique le trafic entrant. La colonne verte indique le trafic sortant.

Remarque : si le fichier importé porte le même nom que celui d’une connexion existante, il le remplace.

(36)

Dépannage des connexions VPN VPN

Dépannage des connexions VPN

La plupart des pannes de connexion sont dues à une incompatibilité de configuration ente l’unité FortiGate distante et le logiciel FortiClient.

Voici quelques conseils pour réparer une panne de connexion VPN :

• Effectuez un test ping du pare-feu FortiGate distant depuis l’ordinateur FortiClient pour vérifier qu’une connexion existe entre les deux.

• Vérifiez la configuration du logiciel FortiClient.

Le Tableau 4 répertorie des erreurs de configuration courantes du logiciel FortiClient.

• Vérifiez la configuration du pare-feu FortiGate.

Le Tableau 5 répertorie des erreurs de configuration courantes du pare-feu antivirus FortiGate.

Gestion des certificats numériques

Pour utiliser des certificats numériques locaux ou de carte à puce, les éléments suivants sont nécessaires :

• un certificat signé ;

• les certificats d’autorité de certification pour toutes les autorités de certification utilisées ;

• toute liste de révocation de certificats applicable ou l’URL pour valider le protocole OCSP.

Tableau 4 : Erreurs de configuration courantes du logiciel FortiClient Erreur de configuration Correction

Informations de réseau distant non

valides. Vérifiez les adresses IP de la passerelle et du

réseau distants.

Clé pré-partagée non valide. Entrez de nouveau la clé pré-partagée.

ID homologue de mode agressif non

valide. Entrez l’ID homologue approprié.

Combinaison de propositions IKE ou IPSec incompatible dans la liste de propositions.

Vérifiez que le logiciel FortiClient et la passerelle FortiGate distante utilisent les mêmes propositions.

Groupe Diffie-Hellman IKE ou IPSec non

valide ou incompatible. Assurez-vous de sélectionner le groupe DH approprié des deux côtés.

Aucun protocole PFS lorsque requis. Activez le protocole PFS.

Tableau 5 : Erreurs de configuration courantes du pare-feu antivirus FortiGate Erreur de configuration Correction

Sens non valide de la stratégie de chiffrement. Par exemple, “externe vers interne”au lieu d’“interne vers externe”.

Remplacez le sens de la stratégie par “interne vers externe”.

Adresses source et de destination de

stratégie de pare-feu non valides. Entrez à nouveau les adresses source et de destination.

Classement non valide de la stratégie de chiffrement dans le tableau de stratégies de pare-feu.

La stratégie de chiffrement doit être placée au- dessus de stratégies autres.

(37)

Obtention d’un certificat local signé

Pour obtenir un certificat local signé par le serveur de l’autorité de certification et l’importer dans FortiClient, suivez les étapes ci-dessous :

Le logiciel FortiClient peut utiliser une méthode d’inscription manuelle basée sur fichiers ou le protocole SCEP pour obtenir des certificats. L’utilisation du protocole SCEP est plus simple, mais ne peut avoir lieu que si l’autorité de certification prend en charge le protocole SCEP.

Pour une inscription basée sur fichiers, il est nécessaire de copier et coller des fichiers texte de l’ordinateur local vers l’autorité de certification et de l’autorité de certification vers l’ordinateur local. Le protocole SCEP permet d’automatiser ce processus, mais il est quand même nécessaire de copier et coller manuellement les listes de révocation de certificats entre l’autorité de certification et l’ordinateur local.

Étapes générales pour obtenir un certificat local signé

1 Générez la requête de certificat local. Consultez la section “Pour générer une requête de certificat local” à la page 38.

2 Exportez la requête de certificat local vers un fichier .csr. Consultez la section

“Pour exporter la requête de certificat local” à la page 39.

3 Envoyez la requête de certificat local signé à une autorité de certification.

Consultez la section “Pour envoyer la requête de certificat à une autorité de certification” à la page 39.

4 Récupérez le certificat signé auprès d’une autorité de certification. Consultez la section “Pour récupérer le certificat local signé auprès de l’autorité de

certification” à la page 40.

5 Importez le certificat local signé dans FortiClient. Vous pouvez également sauvegarder le certificat en l’exportant. Consultez les sections “Pour importer le certificat local signé” à la page 40 et “Pour exporter le certificat local signé” à la page 40.

Remarque : les certificats numériques doivent être conformes au standard X.509.

(38)

Obtention d’un certificat local signé VPN

Figure 10 : Génération d'une requête de certificat local

Pour générer une requête de certificat local

1 Accédez à VPN > My Certificates (VPN > Mes certificats).

2 Sélectionnez Generate (Générer).

3 Entrez un nom de certificat.

4 Dans les informations d’objet, sélectionnez le type d’ID de l’objet.

Vous pouvez choisir entre un nom de domaine, une adresse électronique ou une adresse IP.

5 Entrez les informations du type d’ID sélectionné.

6 Vous pouvez au choix sélectionner Advanced (Avancé) et entrer les informations de paramètres avancés.

7 Sélectionnez OK. Le logiciel FortiClient génère des clés de 1024 bits.

Domain name Si vous avez sélectionnez Domain name (Nom de domaine), entrez le nom de domaine complet de l’ordinateur FortiClient en cours de certification.

Email address Si vous avez sélectionné Email address (Adresse électronique), entrez l’adresse électronique de l’ordinateur FortiClient en cours de certification.

IP address Si vous avez sélectionné IP address (Adresse IP), entrez l’adresse IP de l’ordinateur FortiClient en cours de certification.

Email Entrez une adresse électronique de contact pour l’utilisateur de l’ordinateur FortiClient.

Department Entrez un nom identifiant le département ou l’unité de l’entreprise requérant le certificat pour l’ordinateur FortiClient (p. ex. Fabrication).

Company Entrez le nom légal de l’entreprise requérant le certificat pour l’ordinateur FortiClient.

City Entrez le nom de la ville dans laquelle se trouve l’ordinateur FortiClient.

State/Province Entrez le nom de l’état ou de la région dans lesquels se trouve l’ordinateur FortiClient.

Country Entrez le nom du pays dans lequel se trouve l’ordinateur FortiClient.

(39)

8 Sélectionnez File Based (Basé sur fichiers) ou Online SCEP (SCEP en ligne) comme méthode d’inscription.

9 Si vous avez sélectionné l’inscription basée sur fichiers, cliquez sur OK.

La paire de clés privée/publique est générée et la requête de certificat, ainsi que le type de requête apparaissent dans la liste My Certificates (Mes certificats).

Poursuivez avec la section “Pour exporter la requête de certificat local”.

10 Si vous avez sélectionné Online SCEP (SCEP en ligne) comme méthode d’inscription, sélectionnez une autorité de certification émettrice dans la liste fournie ou entrez l’URL du serveur de l’autorité de certification.

Si l’ordinateur FortiClient utilise un serveur proxy, vous devez configurer les paramètres de serveur proxy pour pouvoir utiliser le protocole SCEP en ligne.

Consultez la section “Configuration des paramètres de serveur proxy” à la page 19.

11 Dans le champ Challenge Phrase (Phrase secrète), entrez la phrase secrète si l’autorité de certification la requiert.

12 Sélectionnez OK.

Le logiciel FortiClient :

• envoie la requête de certificat local ;

• récupère et importe le certificat local signé ;

• récupère et importe le certificat d’autorité de certification.

Le certificat local signé, ainsi que le type de certificat apparaissent dans la liste de certificats locaux. Le certificat d’autorité de certification apparaît dans la liste des certificats d’autorité de certification. Les dates d’expiration des certificats sont répertoriées dans la colonne Valid To (Validité) de chaque liste.

Poursuivez avec la section “Validation des certificats” à la page 42.

Pour exporter la requête de certificat local

1 Accédez à VPN > My Certificates (VPN > Mes certificats).

2 Dans la liste de certificats, sélectionnez le certificat local à exporter.

3 Sélectionnez Export (Exporter).

4 Nommez le fichier et enregistrez-le dans un répertoire de l’ordinateur FortiClient.

Après avoir exporté la requête de certificat, vous pouvez l’envoyer à l’autorité de certification pour qu’elle signe le certificat.

Pour envoyer la requête de certificat à une autorité de certification 1 Sur l’ordinateur FortiClient, ouvrez la requête de certificat local à l’aide d’un

éditeur de texte.

2 Connectez-vous au serveur Web de l’autorité de certification.

3 Suivez les instructions du serveur Web de l’autorité de certification pour :

• effectuer une requête supplémentaire de certificat PKCS#10 encodée base64 au serveur Web de l’autorité de certification ;

• coller la requête de certificat faite au serveur Web de l’autorité de certification ;

• envoyer la requête de certificat au serveur Web de l’autorité de certification.