Autre pr\u00e9requis l autorit\u00e9 de certification VPN SSL Lauthe ntification entre le

Autre prérequis l autorité de certification vpn ssl

This preview shows page 22 - 25 out of 27 pages.

Autre prérequis : l’ autorité de certification VPN SSL : L’authe ntification entre le client et le serveur VPN SSL s’effe ctue par certificat. Pour cela, une autorité de certification (CA) racine existe dans la config usine du FW. Cette CA , nommée sslvpn-full-defaultauthority , contient un certificat serveur (qui identifie le serveur VPN SSL), et un certificat client (qui identifie tous les clients ; chacun d’e ntre eux sera ensuite différencié par un couple login/mot de passe). Droits d’accès au VPN SSL : Pour autoriser un utilisateur à ouvrir un tunnel VPN SSL, il faut lui attribuer les droits dans le menu CONFIG > UTILISATEURS > Droits d accès. Il est possible de choisir un accès par défaut quel que soit l’utilisateu r dans l’o nglet ACCÈS DÉTAILLÉ > Encadré VPN SSL. Choisir Autoriser dans le champ Politique VPN SSL par défaut :
Image of page 22
TP5 Authentification VPN IPsec VPN SSL/TLS Page 23 Cependant, une gestion plus fine des droits d’a ccès est préconisée en laissant la politique VPN SSL par défaut à Interdire et en ajoutant les utilisateurs ou les groupes d’utilisateu rs dans l’o nglet ACCÈS DÉTAILLÉ Ajouter, avec le droit VPN SSL à Autoriser : Règle de filtrage implicite pour le VPN SSL : Pour permettre aux clients VPN SSL d’accéder au portail d’authe ntification sur les interfaces associées aux profils d’authe ntification du FW, la règle de filtrage implicite nommée « Autoriser l’accès au portail d’authentification et au VPN SSL » pour les interfaces externes associées aux profils d’authentification (Authd) doit être activée. NB : Si ce n’était pas le cas, il serait impératif d’ajoute r des règles de filtrage explicites dans la politique active, autorisant les flux sur l’i nterface publique avec le port d’écoute du service. Paramétrage du service VPN SSL : Le paramétrage du Service VPN SSL s’effe ctue dans Config > VPN > VPN SSL : Encadré Paramètres réseaux : - @ IP (ou FQDN) du FW utilisée : c’est l’ @ sur laquelle vont se connecter les clients VPN SSL (@ IP publique du FW la plupart du temps), - Ports UDP et TCP : ports d’écoute du service VPN SSL, - Réseaux ou machines accessibles : éléments auxquels les nomades peuvent avoir accès, - Réseau assigné aux clients (UDP) : réseau attribué aux clients nomades une fois le tunnel établi via le protocole UDP ; taille minimale : /29 - Réseau assigné aux clients : idem, mais pour un tunnel établi via TCP,
Image of page 23
TP5 Authentification VPN IPsec VPN SSL/TLS Page 24 Rq1 : les réseaux assignés aux client UDP et TCP doivent être différents . Rq2 : Attention, certains ports sont à usage interne et ne peuvent être sélectionnés : smtp_proxy : 8081/TCP, ftp_proxy : 8083/TCP, pop3_proxy : 8082/TCP, ssl_proxy : 8084/TCP, http_proxy : 8080/TCP, loopback_proxyssl : 8085/TCP, firewall_srv : 1300/TCP, ldap : TCP/389, ldaps TCP/636, pptp : TCP/1723, TCP/4444, TCP/8087, smux_tcp : TCP/199, isakmp : UDP/500, isakmp_nat : UDP/4500, bootps : UDP/67, bootpc : UDP/68.
Image of page 24
Image of page 25

You've reached the end of your free preview.

Want to read all 27 pages?

  • Spring '20
  • Management, site web, LOGICIEL, MOT DE PASSE, Chiffrement, Certificat électronique

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern

Stuck? We have tutors online 24/7 who can help you get unstuck.
A+ icon
Ask Expert Tutors You can ask You can ask You can ask (will expire )
Answers in as fast as 15 minutes
A+ icon
Ask Expert Tutors