C\u00f4t\u00e9 client nomade le tunnel est g\u00e9r\u00e9 par un client VPN SSL de Stormshield ou

Côté client nomade le tunnel est géré par un

This preview shows page 20 - 23 out of 27 pages.

Côté client nomade, le tunnel est géré par un client VPN SSL (de Stormshield ou OpenVPN ) à installer sur la machine de l’utilisateur . Une fois le tunnel ouvert, la machine distante récupère une @ IP fournie par le serveur VPN SSL. Elle sera considérée comme faisant partie des réseaux internes (protégés) du FW et l’utilisateu r sera vu comme authentifié.
Image of page 20
TP5 Authentification VPN IPsec VPN SSL/TLS Page 21 Le réseau VPN SSL , défini au niveau du serveur, est considéré comme un réseau interne => il ne doit pas recouvrir un réseau interne existant . Le réseau VPN SSL est découpé en sous- réseaux /30 : - le 1 er sous-réseau /30 est réservé pour le serveur ; une interface tun0 est créée, portant la 1 ère @ IP du réseau. Cette interface est visible seulement en ligne de commande, - les sous-réseaux suivants en /30 sont utilisés par les clients ; 1 sous-réseau par client. Ex : dans le cas où le réseau 192.168.100.0/24 est utilisé par le service VPN SSL, le 1 er client VPN SSL utilisera le 2 ème sous-réseau en /30 : - @ réseau : 192.168.100.4 - @ de l’interface du tunnel côté serveur : 192.168.100.5 - @ de l’interface du tunnel côté client : 192.168.100.6 - @ de diffusion (broadcast) : 192.168.100.7 Ainsi, le nombre maximum de clients VPN SSL sur ce réseau est donc de 63 (64 sous- réseaux /30, dont 1 utilisé par le serveur). Les 3 principales étapes pour l’établissement d’un tunnel VPN SSL : 1. Le client VPN SSL authentifie l’utilisateu r via le portail captif . Durant cette étape, le FW vérifie si l’utilisateu r authentifié possède les droits d’ouvrir un tunnel VPN SSL . 2. Une fois l’authe ntification réussie, le client envoie une requête pour récupérer les fichiers de config qui sont renvoyés par le FW dans un répertoire compressé « openvpn_client.zip ». Le répertoire contient les fichiers suivants : - l e certificat de l’auto rité de certification ( CA.cert.pem ), - le certificat du client et sa clé privée ( openvpnclient.cert.pem et openvpnclient.pkey.pem ), - la config du client OpenVPN. 3. Le client entame l’ouve rture du tunnel TLS avec une authentification par certificat en utilisant les certificats récupérés dans l’ étape précédente. Le FW vérifie que le nombre max d’utilisateurs n’ est pas atteint et q u’ un sous réseau est disponible pour ce nouveau client. Le tunnel est alors ouvert et l’utilisateu r est considéré comme authentifié :
Image of page 21
TP5 Authentification VPN IPsec VPN SSL/TLS Page 22 B. Comment mettre en œuvre un tunnel VPN SSL/TLS ? La 1 ère étape de l’établissement d’un tunnel VPN SSL est l’ authentification de l’utilisateur via le portail captif , ce qui signifie que : - un annuaire externe ou interne doit être configuré au niveau du FW, - un profil du portail captif doit être rattaché à l’interface depuis laquelle les utilisateurs se connectent, - une méthode d’authe ntification doit être configurée : Les méthodes d’authe ntification possibles pour le service VPN SSL sont les méthodes explicites qui nécessitent un couple identifiant/mot de passe, en l’occurrence LDAP (interne, externe ou Microsoft Active Directory), Kerberos et Radius.
Image of page 22
Image of page 23

You've reached the end of your free preview.

Want to read all 27 pages?

  • Spring '20
  • Management, site web, LOGICIEL, MOT DE PASSE, Chiffrement, Certificat électronique

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern

Stuck? We have tutors online 24/7 who can help you get unstuck.
A+ icon
Ask Expert Tutors You can ask You can ask You can ask (will expire )
Answers in as fast as 15 minutes
A+ icon
Ask Expert Tutors