Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

UTM Réseau privé VPN

Introduction

Pourquoi ?

Cette section se concentre sur la configuration des différents types de VPN proposés par l’UTM. Internet est un réseau constitué de multiples réseaux interconnectés. Cela présente à la fois l’avantage de pouvoir passer par différents réseaux pour échanger des données partout dans le monde, mais c’est également une faiblesse qui rend les flux vulnérables à de nombreuses attaques tout au long de leur parcours.

Cette situation est en partie due au fait que le modèle TCP/IP, bien qu’initialement développé par l’armée (DoD), n’a pas été conçu avec une sécurité native (Secure by Default). 

Avec les dispositifs d’interconnexion tels que des commutateurs (switches) ou des routeurs, il est possible pour des tiers d’intervenir sur le flux de données, voire de le lire et de le modifier à leur guise. Dans de telles conditions, il est nécessaire d’utiliser une solution VPN (Virtual Private Network) pour protéger sa connexion.

Un VPN permet de créer un tunnel privé et sécurisé entre deux ou plusieurs emplacements sur Internet. Cette technique offre une protection efficace contre de nombreuses attaques malveillantes qui pourraient mener à l’espionnage de votre flux de données....

Chronologie simplifiée de l’histoire des VPN

Dans les années 1970, environ dix ans après l’invention d’ARPANET, la DARPA, financée par la NSA, développe un modèle de protocoles orientés sécurité appelé ARPANET Encryption Devices (PLI, BCR, IPLI, etc.), qui sera normalisé en 1992 par l’Internet Engineering Task Force (IETF) sous le nom de suite IPsec. La NSA a donc été très impliquée dès les origines d’IPsec.

En 1986, la NSA et son programme Secure Data Network Systems (SDNS), réunissant plusieurs fabricants, livrent plusieurs protocoles de sécurité, dont le Security Protocol at Layer 3 (SP3), qui évolue en Network Layer Security Protocol (NLSP).

En 1992, l’IETF normalise IPsec.

En 1994, Trusted Information Systems (TIS) sort le premier VPN IPsec commercial dans son Gauntlet Firewall, sponsorisé par la DARPA. En 1995, l’IETF, l’US Naval Research Laboratory, Cisco et TIS publient un standard qui est utilisé pour les usages commerciaux d’IPSec.

En 1995, Microsoft développe le Point-to-Point Tunneling Protocol (PPTP), qui fonctionne sur la couche 2 du modèle OSI. Cependant, ce protocole est aujourd’hui obsolète en raison de failles et de son faible chiffrement. Celui-ci utilise le protocole GRE (Generic Routing Encapsulation) pour encapsuler...

VPN WatchGuard

Les VPN WatchGuard sont conformes au CyberSecurity Framework CIA et apportent les avantages suivants :

  • confidentialité : authentification des points de terminaison avec par exemple l’algorithme SHA2-512 ;

  • intégrité : chiffrement de la donnée de bout en bout avec par exemple l’algorithme AES 256 ;

  • disponibilité : redondance des équipements avec le service FireCluster.

Il existe deux grandes familles de VPN :

  • VPN S2S (VPN Site to Site) : il permet de relier deux ou plusieurs sites distants entre eux.

  • VPN P2S (VPN Point to Site) : il permet de relier un ordinateur à un site distant.

WatchGuard propose différents VPN sur ses UTM :

  • les Branch Office VPN (BOVPN) qui sont des VPN S2S ;

  • les Mobile VPN qui sont des VPN P2S.

WatchGuard propose quatre types de BOVPN :

  • passerelle BOVPN manuelle et ses tunnels : VPN S2S avec IKEv2/IPsec entre UTM ;

  • interface virtuelle BOVPN : VPN S2S avec IKEv2/IPsec entre UTM et solution cloud comme Azure ou AWS ;

  • tunnel VPN géré : VPN S2S IKEv1/IPsec entre UTM gérés de manière centralisée par Management Server ;

  • BOVPN over TLS : VPN S2S avec SSL/TLS entre UTM.

Ce livre ne couvre pas les tunnels VPN gérés.

WatchGuard propose quatre types de Mobile VPN :

  • IKEv2 : VPN P2S avec IKEv2/IPsec entre un ordinateur et un UTM ;

  • SSL : VPN P2S avec SSL/TLS entre un ordinateur et un UTM ;

  • L2TP : VPN P2S avec IPsec entre un ordinateur et un UTM ;

  • IPsec : VPN P2S avec IKEv1/IPsec entre un ordinateur et un UTM.

Ce livre ne couvre pas Mobile L2TP et Mobile VPN IPsec. Concrètement, même s’ils sont « sûrement » encore utilisés par certains pour des cas spécifiques, il n’y a aucune raison a priori de les déployer ou de les utiliser actuellement. En règle générale, nous recommandons de privilégier les VPN IKEv2/IPsec et SSL/TLS.

VPN IKEv2/IPsec vs VPN SSL (TLS)

Pour commencer, citons le contexte actuel. Depuis les révélations de Snowden, il apparaît que la plupart des VPN sont probablement cassés depuis longtemps par la NSA (directement ou indirectement). Il faut donc prendre en compte que les VPN ne protègent pas d’attaques étatiques...

Troubleshooting Mobile VPN

Comme toutes les technologies, il arrive que l’on rencontre différents problèmes, et les VPN n’échappent pas à cette réalité.

Erreur : Muvpn-ipsec ’WG IKEv2 MVPN’ is already in use

Il peut arriver que lors de la configuration de Mobile VPN IKEv2, celui-ci indique qu’il est déjà utilisé.

Muvpn-ipsec ’WG IKEv2 MVPN’ is already in use when reconfig of mobile vpn ikev2

Cela se produit à travers l’interface GUI lorsque celle-ci n’a pas pris en compte que vous l’aviez précédemment désactivée.

 Allez donc avec le client lourd WSM (voir chapitre UTM WSM (FSM + WLS)) et désactivez correctement Mobile VPN IKEv2. Pour corriger l’erreur, sortez de l’interface GUI, lancez WSM, cliquez sur Se connecter au périphérique, puis utilisez les ID + mot de passe par défaut suivant :

  • Admin

  • readonly

 Cliquez sur Policy Manager, puis sur l’onglet VPN, Mobile VPN, IKEv2, et décochez Activer Mobile VPN with IKEv2. Sortez de la fenêtre et cliquez sur Enregistrer sur Firebox (disquette bleue). À partir de maintenant, vous pouvez relancer l’assistant de configuration Mobile VPN with IKEv2 en GUI.

Erreur : Client VPN SSL WatchGuard mismatch

Lorsque le client tente de se connecter, il est déconnecté automatiquement sans message...

Paramètres globaux

Pourquoi ?

Cette fenêtre permet d’appliquer des réglages globaux aux VPN IKEv1 et IKEv2/IPsec en BOVPN, BOVPN Virtual interface et Mobile VPN with IKEv2 tunnels. Les VPN SSL/TLS ne sont pas concernés.

Informations

Dans le menu Paramètres IPsec, les réglages ci-dessous sont disponibles :

  • Ajouter une stratégie pour activer le transit IPsec sortant : nécessaire pour sortir avec IPsec depuis un réseau Trusted ou Optional.

  • Activer le Type de Service (TOS) pour IPsec : permet de la QoS, du routage sur QoS ou encore la différenciation des classes service.

  • Activer l’utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPsec est utilisé (sert seulement pour BOVPN sans interface virtuelle).

  • Acti ...

Clients VPN

Pourquoi ?

Les clients VPN sont des logiciels ou des applications installés sur les appareils des utilisateurs finaux, tels que des ordinateurs, des smartphones ou des tablettes. Ils permettent aux utilisateurs de se connecter à un réseau privé virtuel (VPN) de manière sécurisée et d’accéder aux ressources du réseau privé à distance.

Configuration des paramètres de connexion

Généralement, les clients VPN permettent aux utilisateurs de spécifier les paramètres de connexion, tels que le protocole VPN à utiliser (IKEv2, OpenVPN, etc.), les informations d’authentification (nom d’utilisateur, mot de passe, certificats, etc.) et les adresses des serveurs VPN. Chez WatchGuard, il existe un client VPN par type de VPN.

Établissement de la connexion VPN

Les clients VPN établissent la connexion sécurisée avec le serveur VPN en utilisant les protocoles et les méthodes d’authentification configurés. Cela peut inclure l’échange de clés, la vérification des certificats et l’établissement d’un tunnel sécurisé.

Gestion des profils de connexion

Certains clients VPN permettent aux utilisateurs de créer et de gérer plusieurs profils de connexion VPN. Cela leur permet de se connecter à différents serveurs VPN avec...