UTM Réseau privé VPN
Introduction
Pourquoi ?
Cette section se concentre sur la configuration des différents types de VPN proposés par l’UTM. Internet est un réseau constitué de multiples réseaux interconnectés. Cela présente à la fois l’avantage de pouvoir passer par différents réseaux pour échanger des données partout dans le monde, mais c’est également une faiblesse qui rend les flux vulnérables à de nombreuses attaques tout au long de leur parcours.
Cette situation est en partie due au fait que le modèle TCP/IP, bien qu’initialement développé par l’armée (DoD), n’a pas été conçu avec une sécurité native (Secure by Default).
Avec les dispositifs d’interconnexion tels que des commutateurs (switches) ou des routeurs, il est possible pour des tiers d’intervenir sur le flux de données, voire de le lire et de le modifier à leur guise. Dans de telles conditions, il est nécessaire d’utiliser une solution VPN (Virtual Private Network) pour protéger sa connexion.
Un VPN permet de créer un tunnel privé et sécurisé entre deux ou plusieurs emplacements sur Internet. Cette technique offre une protection efficace contre de nombreuses attaques malveillantes qui pourraient mener à l’espionnage de votre flux de données....
Chronologie simplifiée de l’histoire des VPN
Dans les années 1970, environ dix ans après l’invention d’ARPANET, la DARPA, financée par la NSA, développe un modèle de protocoles orientés sécurité appelé ARPANET Encryption Devices (PLI, BCR, IPLI, etc.), qui sera normalisé en 1992 par l’Internet Engineering Task Force (IETF) sous le nom de suite IPsec. La NSA a donc été très impliquée dès les origines d’IPsec.
En 1986, la NSA et son programme Secure Data Network Systems (SDNS), réunissant plusieurs fabricants, livrent plusieurs protocoles de sécurité, dont le Security Protocol at Layer 3 (SP3), qui évolue en Network Layer Security Protocol (NLSP).
En 1992, l’IETF normalise IPsec.
En 1994, Trusted Information Systems (TIS) sort le premier VPN IPsec commercial dans son Gauntlet Firewall, sponsorisé par la DARPA. En 1995, l’IETF, l’US Naval Research Laboratory, Cisco et TIS publient un standard qui est utilisé pour les usages commerciaux d’IPSec.
En 1995, Microsoft développe le Point-to-Point Tunneling Protocol (PPTP), qui fonctionne sur la couche 2 du modèle OSI. Cependant, ce protocole est aujourd’hui obsolète en raison de failles et de son faible chiffrement. Celui-ci utilise le protocole GRE (Generic Routing Encapsulation) pour encapsuler...
VPN WatchGuard
Les VPN WatchGuard sont conformes au CyberSecurity Framework CIA et apportent les avantages suivants :
-
confidentialité : authentification des points de terminaison avec par exemple l’algorithme SHA2-512 ;
-
intégrité : chiffrement de la donnée de bout en bout avec par exemple l’algorithme AES 256 ;
-
disponibilité : redondance des équipements avec le service FireCluster.
Il existe deux grandes familles de VPN :
-
VPN S2S (VPN Site to Site) : il permet de relier deux ou plusieurs sites distants entre eux.
-
VPN P2S (VPN Point to Site) : il permet de relier un ordinateur à un site distant.
WatchGuard propose différents VPN sur ses UTM :
-
les Branch Office VPN (BOVPN) qui sont des VPN S2S ;
-
les Mobile VPN qui sont des VPN P2S.
WatchGuard propose quatre types de BOVPN :
-
passerelle BOVPN manuelle et ses tunnels : VPN S2S avec IKEv2/IPsec entre UTM ;
-
interface virtuelle BOVPN : VPN S2S avec IKEv2/IPsec entre UTM et solution cloud comme Azure ou AWS ;
-
tunnel VPN géré : VPN S2S IKEv1/IPsec entre UTM gérés de manière centralisée par Management Server ;
-
BOVPN over TLS : VPN S2S avec SSL/TLS entre UTM.
Ce livre ne couvre pas les tunnels VPN gérés.
WatchGuard propose quatre types de Mobile VPN :
-
IKEv2 : VPN P2S avec IKEv2/IPsec entre un ordinateur et un UTM ;
-
SSL : VPN P2S avec SSL/TLS entre un ordinateur et un UTM ;
-
L2TP : VPN P2S avec IPsec entre un ordinateur et un UTM ;
-
IPsec : VPN P2S avec IKEv1/IPsec entre un ordinateur et un UTM.
Ce livre ne couvre pas Mobile L2TP et Mobile VPN IPsec. Concrètement, même s’ils sont « sûrement » encore utilisés par certains pour des cas spécifiques, il n’y a aucune raison a priori de les déployer ou de les utiliser actuellement. En règle générale, nous recommandons de privilégier les VPN IKEv2/IPsec et SSL/TLS.
VPN IKEv2/IPsec vs VPN SSL (TLS)
Pour commencer, citons le contexte actuel. Depuis les révélations de Snowden, il apparaît que la plupart des VPN sont probablement cassés depuis longtemps par la NSA (directement ou indirectement). Il faut donc prendre en compte que les VPN ne protègent pas d’attaques étatiques...
Troubleshooting Mobile VPN
Comme toutes les technologies, il arrive que l’on rencontre différents problèmes, et les VPN n’échappent pas à cette réalité.
Erreur : Muvpn-ipsec ’WG IKEv2 MVPN’ is already in use
Il peut arriver que lors de la configuration de Mobile VPN IKEv2, celui-ci indique qu’il est déjà utilisé.
Muvpn-ipsec ’WG IKEv2 MVPN’ is already in use when reconfig of mobile vpn ikev2
Cela se produit à travers l’interface GUI lorsque celle-ci n’a pas pris en compte que vous l’aviez précédemment désactivée.
Allez donc avec le client lourd WSM (voir chapitre UTM WSM (FSM + WLS)) et désactivez correctement Mobile VPN IKEv2. Pour corriger l’erreur, sortez de l’interface GUI, lancez WSM, cliquez sur Se connecter au périphérique, puis utilisez les ID + mot de passe par défaut suivant :
-
Admin
-
readonly
Cliquez sur Policy Manager, puis sur l’onglet VPN, Mobile VPN, IKEv2, et décochez Activer Mobile VPN with IKEv2. Sortez de la fenêtre et cliquez sur Enregistrer sur Firebox (disquette bleue). À partir de maintenant, vous pouvez relancer l’assistant de configuration Mobile VPN with IKEv2 en GUI.
Erreur : Client VPN SSL WatchGuard mismatch
Lorsque le client tente de se connecter, il est déconnecté automatiquement sans message...
Paramètres globaux
Pourquoi ?
Cette fenêtre permet d’appliquer des réglages globaux aux VPN IKEv1 et IKEv2/IPsec en BOVPN, BOVPN Virtual interface et Mobile VPN with IKEv2 tunnels. Les VPN SSL/TLS ne sont pas concernés.
Informations
Dans le menu Paramètres IPsec, les réglages ci-dessous sont disponibles :
-
Ajouter une stratégie pour activer le transit IPsec sortant : nécessaire pour sortir avec IPsec depuis un réseau Trusted ou Optional.
-
Activer le Type de Service (TOS) pour IPsec : permet de la QoS, du routage sur QoS ou encore la différenciation des classes service.
-
Activer l’utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPsec est utilisé (sert seulement pour BOVPN sans interface virtuelle).
-
Acti ...
Clients VPN
Pourquoi ?
Les clients VPN sont des logiciels ou des applications installés sur les appareils des utilisateurs finaux, tels que des ordinateurs, des smartphones ou des tablettes. Ils permettent aux utilisateurs de se connecter à un réseau privé virtuel (VPN) de manière sécurisée et d’accéder aux ressources du réseau privé à distance.
Configuration des paramètres de connexion
Généralement, les clients VPN permettent aux utilisateurs de spécifier les paramètres de connexion, tels que le protocole VPN à utiliser (IKEv2, OpenVPN, etc.), les informations d’authentification (nom d’utilisateur, mot de passe, certificats, etc.) et les adresses des serveurs VPN. Chez WatchGuard, il existe un client VPN par type de VPN.
Établissement de la connexion VPN
Les clients VPN établissent la connexion sécurisée avec le serveur VPN en utilisant les protocoles et les méthodes d’authentification configurés. Cela peut inclure l’échange de clés, la vérification des certificats et l’établissement d’un tunnel sécurisé.
Gestion des profils de connexion
Certains clients VPN permettent aux utilisateurs de créer et de gérer plusieurs profils de connexion VPN. Cela leur permet de se connecter à différents serveurs VPN avec...