Mise en place d’un VPN avec authenti cation fortejulien.lacava.free.fr/Global.pdf · Licence...
40
Licence professionnelle ASRALL Universit´ e Nancy 2 - IUT Nancy-Charlemagne Ann´ ee universitaire 2008/2009 Mise en place d’un VPN avec authentification forte Simac PSF 2, rue L´ eon Laval Leudelange, LUXEMBOURG Stagiaire : LACAVA Julien
Transcript of Mise en place d’un VPN avec authenti cation fortejulien.lacava.free.fr/Global.pdf · Licence...
Licence professionnelle ASRALLUniversite Nancy 2 - IUT Nancy-Charlemagne
Annee universitaire 2008/2009
Mise en place d’un VPN avec authentification forte
Simac PSF2, rue Leon Laval
Leudelange, LUXEMBOURG
Stagiaire : LACAVA Julien
Licence professionnelle ASRALLUniversite Nancy 2 - IUT Nancy-Charlemagne
Annee universitaire 2008/2009
Mise en place d’un VPN avec authentification forte
Simac PSF2, rue Leon Laval
Leudelange, LUXEMBOURG
Stagiaire : LACAVA JulienResponsable dans l’entreprise : M. REMY Pierre
Responsable universitaire : Mme BELLALEM NadiaPeriode : Du 06/04/09 au 26/06/09
1
Remerciements
Je tiens a remercier dans un premier temps, toute l’equipe pedagogique de l’IUT Charlemagneet les intervenants professionnels responsables de la formation ASRALL, pour avoir assure la partietheorique de celle-ci.
Je remercie egalement Madame Nadia BELLALEM pour son suivi tout au long de monstage.
Je tiens a remercier egalement les personnes suivantes, pour l’experience enrichissante etpleine d’interet qu’elles m’ont fait vivre durant ces trois mois au sein de l’entreprise Simac :
Monsieur Pierre REMY, tuteur et chef de service chez Simac PSF Luxembourg, pour sonacceuil et la confiance qu’il m’a accorde des mon arrivee dans l’entreprise et aussi pour le temps qu’ilm’a accorde tout au long de cette periode, sachant repondre a mes interrogations.
L’ensemble du personnel de Simac Luxembourg pour leur acceuil sympathique et leurcooperation professionnelle tout au long de ces trois mois.
2
Table des matieres
1 Introduction 5
2 Presentation de l’entreprise 6
2.1 Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Missions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3 Configuration de base du VPN (Juniper SA 2500) 9
3.1 Qu’est-ce qu’un VPN ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.2 Installation rapide du VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.3 Definition d’un serveur d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.4 Creation d’un role d’utilisateur (user role) . . . . . . . . . . . . . . . . . . . . . . . . 11
3.5 Definition d’un domaine d’authentification (user realm) . . . . . . . . . . . . . . . . . 12
3.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4 Installation du mecanisme d’authentification forte 13
4.1 Pourquoi ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.2 Presentation de l’authentification forte . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.3 Authentification forte avec l’active directory . . . . . . . . . . . . . . . . . . . . . . . 14
4.4 Authentification forte pour OWA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
5 Configuration avancee du VPN 17
5.1 Mise en production du VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
5.2 Integration de l’authentification forte via le VPN . . . . . . . . . . . . . . . . . . . . 18
5.3 Host Checker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
5.4 Cache Cleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5.5 Strategies d’ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5.6 Network Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
5.7 Acces a l’Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3
6 Acces cote client 22
6.1 Profil externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
6.1.1 Le WebMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
6.1.2 Intranet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
6.2 Profil interne sans laptop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
6.2.1 Les ressources reseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
6.3 Profil interne avec laptop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
6.3.1 Les sessions RDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.3.2 Mode Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
7 Conclusion 30
8 Glossaire 32
9 Annexes 33
A Interface admin du VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
B Digipass Audit Viewer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
C Authentification Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
D Snap-in de l’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
E Digipass Administration Microsoft Management Console . . . . . . . . . . . . . . . . 37
F VACMAN Radius Client Simulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4
1 Introduction
De plus en plus d’entreprises veulent offrir un systeme d’acces distant securise a leurs
ressources informatiques internes. C’est un besoin aujourd’hui necessaire pour Simac. Ces acces vont
du systeme de messagerie interne, a l’intranet, aux serveurs de fichiers etc. Ces nouveaux services
sont accessibles aussi bien par un portable d’entreprise que par un PDA* ou encore un Kiosk Internet.
Le nombre de personnes qui pourront acceder a ce VPN* etant assez consequent, le choix
d’un VPN SSL* de type appliance* a ete logique puisqu’aucune installation du cote client n’est
necessaire. L’acces au VPN se fera par le Web et donc accessible par tous et de n’importe quel
endroit. L’appliance utilisee est un Juniper Secure Access 2500 (SA 2500).
En ce qui concerne l’authentification, elle se fera d’une part avec l’active directory et d’autre
part avec un token pour une authentification forte. De plus, la connexion a l’Outlook Web Access
se fera elle aussi de la meme maniere afin de garantir la securite au sein du reseau interne. Pour
l’authentification forte, elle se fera pas le biais de l’application Vacman Middleware qui sera utilisee
pour valider l’authentification via les Digipass fournit aux utilisateurs.
5
2 Presentation de l’entreprise
2.1 Historique
Simac a ete fondee aux Pays-Bas, le 1er Octobre 1971 par MJ van Schagen. Utilisant sa
chambre a coucher en tant que Bureau, il a commence comme le seul representant europeen de
la societe americaine Singer Instrumentation. Simac est le resultat de la jonction de deux noms :
SI nger et MAC, le prenom de van Schagen.
La societe a ete introduite sur le marche parallele de la Bourse d’Amsterdam en 1986 et
devint une partie du marche officiel en 1994. Le 1er Janvier 1989 Eric van Schagen, fils de Mac van
Schagen, entre au conseil d’administration de Simac Techniek NV.
Le holding Simac Techniek NV est present dans divers secteurs, qui sont l’information
et la communication (TIC), l’industrie de l’electronique et automatisation. A ce jour, Simac est
devenu une grande entreprise avec pres de 800 employes travaillant a plusieurs endroits a travers les
Pays-Bas, Belgique, Luxembourg, Republique tcheque et la Slovaquie.
Simac est actif sur le marche du Grand-Duche de Luxembourg depuis plus de 10 ans.
Leurs bureaux sont situes au sud de Luxembourg-Ville, a Leudelange. Simac Luxembourg emploie
aujourd’hui plus de 55 professionnels.
6
2.2 Missions
Figure 2.1 – Organigramme
Simac, integrateur systeme et reseau implante sur les marches belge et luxembourgeois,
propose une offre de services globale dans le domaine des infrastructures ICT* :
– consultance
– integration systemes et reseau
– gestion de projet
– services geres
– maintenance
– externalisation
Grace a cette offre de services, Simac entend couvrir le cycle complet d’un projet, du conseil
a la gestion en passant par la conception et la mise en oeuvre.
7
Forte de trente ans d’experience, Simac possede une connaissance de pointe dans chaque
aspect des infrastructures ICT :
– cablage structure
– conception infrastructurelle
– environnement reseau LAN-WAN
– systemes ouverts
– infrastructure client-serveur
– services de gestion des donnees
Simac se concentre sur l’integration, par le biais de projets et de contrats a long terme, et sur
les services fournis par son equipe de 140 ingenieurs de maintenance qualifies (Belgique et Luxem-
bourg). L’activite principale de Simac consiste a s’assurer que l’infrastructure des entreprises clientes
est disponible et fonctionne comme elles le souhaitent jour apres jour. C’est pourquoi Simac fournit
des services ICT, appeles Services geres, sept jours sur sept, 24 heures sur 24. D’ou l’importance
majeure que revet une predisposition a la collaboration et a la communication et cela aussi bien en
interne que dans ses rapports avec sa clientele et ses fournisseurs.
8
3 Configuration de base du VPN
(Juniper SA 2500)
3.1 Qu’est-ce qu’un VPN ?
Un reseau prive virtuel ou VPN, permet de relier des ordinateurs via une connexion
Internet. Il suffit donc d’avoir une connexion pour pouvoir se connecter. Cependant, les donnees
transitent en clair sur une connexion publique et il faut generalement installer un client VPN sur
chaque machine qui devrait acceder au VPN. Cette contrainte etant un inconvenient majeur pour
Simac, le choix d’un ssl vpn a ete avance. De ce fait, le client vpn est joue par le navigateur web, qui
va crypter les donnees envoyees et recues par l’utilisateur et il n’est donc pas necessaire d’installer
des applications sur les postes clients.
Le VPN va permettre a un salarie nomade d’acceder a une application de son entreprise en
se connectant simplement a un site web specifique en entrant ses identifiants.
Figure 3.1 – Fonctionnement d’un ssl vpn
9
3.2 Installation rapide du VPN
Lorsque l’on demarre pour la premiere fois le VPN, il faut se connecter au port console
de la machine afin d’indiquer les informations reseaux qu’il utilisera pour etre connecte. Cette
configuration de base se fait a l’aide du port console du VPN. Une fois raccorde a un ordinateur, on
utilise un emulateur de console de type HyperTerminal ou Tera Term pour pouvoir indique au VPN
son IP, la Gateway ou encore les serveurs DNS* qu’il devra utiliser et bien sur un login et mot de
passe pour le compte admin. De plus, pour garantir la securite du produit, il faut creer un certificat
qui devra etre accepte par les utilisateurs du VPN.
Figure 3.2 – Premiere configuration du VPN
Une fois cette configuration terminee, on peut deconnecter le VPN de l’ordinateur. On peut
alors acceder a l’interface d’administration du VPN par l’url https ://a.b.c.d/admin. 1 (cf. annexe A)
Avant toute configuration, il est preferable d’activer la licence de l’appliance ainsi que de telecharger
1. a.b.c.d : represente l’adresse IP du VPN affectee lors de la premiere configuration en mode console
10
et installer la derniere version du logiciel utilise par celui-ci. Cela permettra d’avoir les dernieres
fonctionnalites du VPN accessible.
3.3 Definition d’un serveur d’authentification
Pour pouvoir tester le VPN, il est necessaire de definir un serveur d’authentification. Le
plus simple, au depart, est d’utiliser le systeme d’authentification local, c’est-a-dire que les donnees
d’authentifications sont stockees sur l’appliance elle-meme. Pour se faire, il faut aller dans le menu
Auth.Servers. Il faut creer le serveur en specifiant le type voulu sachant qu’un menu deroulant
impose une certaine restriction (Local Authentification, Radius Server, Active Directory/Windows
NT ...).
En choisissant Local Authentification, des options peuvent etre definies comme par exemple le fait
d’imposer la longueur minimale d’un mot de passe pour les utilisateurs.
Toujours dans ce meme menu, on peut cree les utilisateurs qui se connecteront via la Local Authen-
tification. La creation d’utilisateurs permet de definir un login, un nom complet et un mot de passe.
On peut aussi forcer l’utilisateur cree a changer de mot de passe lors de sa premiere connexion au
VPN.
3.4 Creation d’un role d’utilisateur (user role)
Un role d’utilisateur est une entite qui definit les parametres de sessions d’utilisateur
(parametres et options de la session), les parametres de personnalisation (personnalisation de
l’interface utilisateur et signets), ainsi que les fonctionnalites d’acces activees (acces au Web, aux
fichiers, aux applications, a Telnet/SSH, aux services de terminal, au reseau, aux reunions et au
courriel).
Par exemple, un role d’utilisateur peut determiner si un utilisateur peut ou non naviguer sur
le Web via le VPN. Toutefois, les ressources Web precises auxquelles l’utilisateur pourra acceder
sont definies par des strategies de ressources Web, qu’il faut configurer separement. Pour la creation
d’un nouveau role, il faut aller dans le menu User Roles. Le menu de creation d’un nouveau
role propose differentes options comme par exemple la possibilite pour les utilisateurs d’ouvrir des
sessions TSE, ou avoir l’acces aux partages windows.
11
3.5 Definition d’un domaine d’authentification (user realm)
Le domaine d’authentification, ici user realm, definit les conditions que l’utilisateur doit
remplir afin de pouvoir ouvrir une session sur le VPN. Cette creation se fait dans le menu User
Realms. Lorsque que l’on cree ce domaine, on doit indiquer via quel serveur d’authentification, les
utilisateurs affectes a ce domaine devront s’identifier.
3.6 Conclusion
Un serveur d’authentification nomme Active Directory Simac est cree. Ce serveur est de type
Active Directory*. Ensuite, un role utilisateur nomme User AD de Simac est cree avec comme option
l’acces au Web via le VPN. Et enfin un domaine d’authentification Domaine AD Simac. Ce dernier
utilise pour se connecter le serveur Active Directory Simac et le role utilisateur affecte est User AD de
Simac. Les utilisateurs qui se connecteront au VPN entreront leurs identifiants de l’Active Directory
pour se connecter et ils pourront acceder au Web via le VPN.
12
4 Installation du mecanisme
d’authentification forte
4.1 Pourquoi ?
Pourquoi Simac desir mettre en place une authentification forte ?
Simac est agrementee ”professionnels du secteur financier” (PSF), ce qui lui permet d’avoir des
clients provenant de ces secteurs, plus precisement des d’etablissement de credit, d’organisme de
placement collectif, des entreprises d’investissement ou encore de bourse.
Cependant, pour pouvoir exercer ces activites aupres de ses clients du secteur financier, Si-
mac est regie par la Commission de Surveillance du secteur financier ce qui implique differentes
contraintes. Ainsi, Simac doit disposer, entre autre, d’un solide dispositif de gouvernance interne,
des processus efficaces de detection et de declaration des risques auxquels il pourrait etre expose, des
mecanismes adequats de controle interne, y compris des procedures administratives et comptables
saines ainsi que des mecanismes de controle et de securite de ses systemes informatiques. C’est pour
cette derniere raison, que la mise en place d’un VPN avec Authentification forte a ete preconisee.
La securite des donnees de l’entreprise garantissant donc le secret professionnel, fait partie des
conditions requises pour etre PSF.
4.2 Presentation de l’authentification forte
Dans le but de securiser de maniere forte l’acces au VPN et ainsi proteger les donnees
internes, il a ete necessaire de mettre en place une authentification forte.
L’authentification forte est un systeme qui permet un acces informatique apres une double
verification. L’objectif est de pallier les faiblesses de l’authentification unique par mot de passe. En
effet, les mots de passe sont generalement peu securise (ex : date de naissance, nom de famille..) et
13
donc peuvent etre facilement force.
L’authentification forte se retrouve de plus en plus frequemment utilisee par des entreprises
de tailles moyennes qui desirent donner un acces externe a leur systeme d’information via des
reseaux prives virtuels (VPN de l’entreprise).
Les mots de passe a usage unique (one time password ou OTP en anglais) sont un systeme
d’authentification forte. Le concept est d’utiliser un mot de passe pour une et une seule session.
Pour chaque nouvelle session le mot de passe OTP sera different. De plus, ce mot de passe est a
usage unique, c’est-a-dire que meme si ce mot de passe est intercepte sur le reseau, il ne sera plus
utilisable ce qui enleve tout risque d’utilisation frauduleuse. Ce mot de passe est genere en fonction
du temps et est associe a un utilisateur qui lui est propre.
Cela supprime un certain nombre de contrainte :
– La duree de vie du mot de passe, en effet, il est utilise une seule fois
– La simplicite du mot de passe, il est genere automatiquement et non choisi par un utilisa-
teur
– Le brute force ou sniffer, si on arrive a cracker ou sniffer le mot de passe sur le reseau,
c’est qu’il a deja ete utilise donc obsolete !
La solution choisie par Simac a donc ete l’utilisation du produit Vacman Middle-
ware avec les Digipass Go3, de Vasco.
4.3 Authentification forte avec l’active directory
Afin de mettre en place le Vacman Middleware, il est necessaire de choisir une base de
donnees afin de stocker les comptes des utilisateurs. Deux solutions existent. On peut soit creer
une nouvelle base de donnees de type ODBC ou PostgreSQL et creer des comptes, soit utiliser les
comptes d’un active directory deja present. Cette deuxieme solution a ete privilegiee car plus simple
et plus logique dans le cadre du VPN. En effet, pourquoi devoir recreer des comptes qui sont deja
existants ?
Pour pouvoir utiliser les donnees de l’active directory, il est necessaire d’ajouter une exten-
sion de schema a l’active directory. Cette extension a pour but de creer des ”ou” (Organisational
Unit*) dans lesquelles seront stockees differentes donnees concernant les digipass. Cette extension
de schema est fournie par Vasco.
14
Une fois le serveur Vacman Middleware installe, on peut acceder a differents outils qui ont
ete cree lors de l’installation.
Il y a tout d’abord le Digipass Audit Viewer (cf. annexe B). Cet outil va permettre de voir
les logs d’authentification au serveur Vasco. Il affichera la source de la demande, l’identifiant de
l’utilisateur qui essaye de se connecter, le domaine windows, la politique utilisee.
Ensuite, il y a l’outil Authentification Server Configuration (cf. annexe C) qui va permettre
de configurer le serveur Vasco. On peut ainsi lui preciser les ports d’authentification, l’adresse ip,
l’emplacement des fichiers de logs, les parametres de connecxion a l’Active Directory ...
Il y a egalement un ”Snap-in”* de l’Active Directory (cf. annexe D) qui permet la gestion
des digipass (assignement, test, periode d’utilisation ...).
Et enfin le Digipass Administration Microsoft Management Console (cf. annexe E) qui va
permettre de gerer les services lies aux Digipass. Cet outil va permettre par exemple de creer des
politiques d’authentification au server Vasco.
Pour pouvoir faire des tests en local, il est possible d’installer un simulateur de client radius
(cf. annexe F), fourni par Vasco. Cet outil est tres utile car il permet d’effectuer une multitude de
tests en fonction des politiques qui sont attribuees au Middleware et ainsi mieux comprendre le
fonctionnement du serveur d’authentification.
4.4 Authentification forte pour OWA
Simac met a la disposition de ses employes un acces a sa messagerie via une interface
web nommee Outlook Web Access, qui communique avec le serveur exchange. Les utilisateurs
se connectaient avec leurs identifiants de l’active directory. Cependant, il a ete decide qu’une
authentification forte sur cette interface etait necessaire. Pour se faire, un module complementaire
de Vasco existe. Il est compatible avec exchange 2007 installe chez Simac.
Une fois le module installe, il faut ajouter un composant et une politique pour le serveur
Vacman. Les personnes qui se connecteront a OWA devront remplir deux champs :
– Le login, qui est celui de l’active directory
– Le mot de passe, qui est celui de l’active directory suivi du digipass
15
Exemple :
Mot de passe de l’AD : toto
Digipass : 123456
Mot de passe OWA : toto123456
Le module de Vasco va intercepter les donnees d’identification pour les confronter
a son serveur d’authentification et renvoye le mot de passe de l’AD, seul.
Figure 4.1 – Principe de fonctionnement du module OWA
16
5 Configuration avancee du VPN
5.1 Mise en production du VPN
Figure 5.1 – Emplacement du VPN au sein du reseau
17
Ce schema represente l’emplacement du VPN au sein du reseau de l’entreprise. Le VPN est
place dans la DMZ* et utilise l’Active Directory et le serveur Vasco, qui se trouvent sur un autre vlan,
pour l’authentification. Le VPN permet d’acceder aux ressources internes situees dans le meme vlan
que l’active directory. Pour pouvoir acceder a toutes ces ressources, il a fallu ouvrir des ports sur le
firewall pour permettre certaines connexions comme par exemple le port 389 pour l’authentification
via l’active directory ou encore le port 3389 pour les sessions TSE*.
5.2 Integration de l’authentification forte via le VPN
Apres avoir installe le serveur vasco et fait quelques tests en local, il a fallu introduire l’au-
thentification forte pour le VPN. Pour se faire, il a fallu creer un nouveau serveur d’authentification
de type Radius cette fois-ci. On lui indique l’adresse Ip du serveur Vasco, le secret partage et il faut
aussi preciser qu’on va utiliser un One-Time-Password (OTP) pour se connecter.
Ensuite il a ete decide de coupler l’authentification Active Directory avec celle de Vasco, d’une
part pour encore plus de securite et d’autre part pour pouvoir utiliser les informations de l’active
directory pour OWA ou les sessions TSE. Il faut donc creer un nouveau domaine d’authentification
en choisissant comme premier serveur d’authentification, l’active directory, et comme second, le
serveur Vasco. Pour resumer, lors de l’authentification, les utilisateurs devront rentrer le login de
l’active directory, le mot de passe de l’active directory ainsi que l’OTP affiche sur le Token. Comme
il a ete indique precedemment, le compte Token est associe a un compte active directory, il faut
donc avoir le bon Token avec le bon compte pour pouvoir s’authentifier.
Pour pouvoir entrer les deux mots de passe, il a alors fallu modifier la page d’authentifica-
tion via le menu Signing In. Il a fallu preciser qu’il fallait trois champs au total pour s’identifier.
Et ajouter les instructions d’utilisation du Token.
5.3 Host Checker
Pour avoir une confiance totale sur les machines qui se connectent au VPN, il a ete mis en
place Host Checker. Host Checker est un agent cote client qui effectue des controles de securite sur
les machines accedant au VPN. Host Checker est lance des qu’un utilisateur se connecte a ce VPN.
Differents verifications sont etablies pour la connexion au VPN :
– Verification sur l’Anti-Virus
18
– Verification sur les MAC Adresses
En ce qui concerne les Anti-Virus, une liste de produits est presente dans la configuration
du VPN. Cette liste peut bien evidemment etre mise a jour. La verification se fait sur deux criteres.
Host Checker verifie si l’Anti-Virus est actif et si un scan de la machine a ete fait recemment.
Comme indique plus tard, il y aura trois profiles presents, cependant, certains profiles ne sont acces-
sibles que par certaines personnes. Il y a donc une verification sur la MAC Adresse de la carte reseau
du client pour savoir s’il a le droit d’acces a un certain profile.
5.4 Cache Cleaner
Les donnees internes sont confidentielles. En accedant au VPN depuis une machine externe
tel qu’une borne Internet ou dans un Cyber Cafe, les documents visionnes ne doivent pas laisser de
trace sur la machine cliente. C’est donc pour cette raison que Cache Cleaner a ete mis en place.
Cache Cleaner est un agent cote client pour Windows qui supprime ces donnees, comme les fichiers
temporaires ou les memoires cache d’application, laissees sur une machine cliente. Par exemple, si
un utilisateur se connecte a partir d’une borne Internet et ouvre un document Word present sur un
serveur predefini dans la configuration du VPN, Cache cleaner va supprimer tous les contenus du
cache du navigateur provenant de ce serveur. Ainsi, les futurs utilisateurs de cette borne ne pourront
donc pas avoir acces a ce document.
5.5 Strategies d’ouverture de session
Les strategies d’ouverture de session unique permettent de transmettre automatiquement
les donnees d’identification des utilisateurs a une application Web par exemple. Ces strategies vont
transmettre des donnees d’identification du VPN telles que le nom de l’utilisateur et le mot de passe.
Il a ete necessaire de creer une strategie pour l’application OWA, de type POST*, afin que les
utilisateurs du VPN n’aient aucunement besoin de renseigner leurs identifiants. Le VPN, a chaque
connexion a l’OWA, interceptera toutes les connexions de type POST afin de lui renseigner auto-
matiquement les champs necessaires pour valider l’authentification. Cette strategie utilisera donc les
logins et mots de passe de l’active directory utilises lors de l’identification au VPN.
19
5.6 Network Connect
Network Connect est un outil integre au VPN qui permet aux clients d’experimenter un
VPN sans client. Cet outil fait office de mecanisme d’acces distant supplementaire aux ressources de
l’entreprise qui permet le trafic SSL du client aux ressources de l’entreprise.
Lorsqu’un utilisateur lance Network Connect, Network Connect transmet tout le trafic en di-
rection et en provenance du client par le biais du tunnel securise Network Connect. Le seul itineraire
faisant exception concerne le trafic entre le client et l’interface https du vpn.
Lorsque Network Connect est execute, le client devient donc un noeud sur le reseau LAN
distant de l’entreprise et devient donc invisible sur le reseau LAN local de l’utilisateur. Le systeme
fait office de passerelle DNS pour le client et ignore donc tout du reseau local de l’utilisateur.
Cependant, il est possible de definir des strategies pour continuer a acceder au reseau LAN local
tout en etant connecte au reseau local distant.
Network Connect doit etre configure avec differents parametres. Il faut tout d’abord lui preciser
un pool d’adresses IP qui seront utilisees par les clients. En effet, lorsqu’un client execute Network
Connect, une IP, provenant donc de ce pool, lui est attribue. Des regles de firewall ont donc ete
mise en place pour permettre un acces aux ressources de l’entreprise. Il est aussi possible de choisir
la methode d’encryption de donnees ainsi que les DNS a utiliser puisque les DNS vont servir a la
resolution des noms internes pour pouvoir mapper les ressources reseaux.
5.7 Acces a l’Outlook Web Access
Le modele Web Microsoft Outlook (OWA) est un profil de ressources controlant l’acces a
l’application et configurant les parametres OWA dans la mesure necessaire. Ce modele, predefini
donc, reduit considerablement la duree necessaire a la configuration puisque regroupant les pa-
rametres de configuration et en predefinissant un certain nombre de parametres des strategies de
ressources en fonction du type de configuration selectionne. Le VPN prend en charge les mecanismes
pour agir comme intermediaire vers Microsoft OWA via un modele de profil de ressources.
Les utilisateurs du VPN auront la possibilite de consulter leurs mails internes via l’interface
Outlook Web Access de l’entreprise. Contrairement a l’OWA presente au dessus, celui-ci n’utilisera
pas d’OTP pour se connecter, d’une part parce qu’il ne sera accessible qu’en interne et d’autre part
pour pouvoir utiliser les identifiants de connexions du VPN pour s’y connecter.
Un modele OWA 2007 est present dans le menu du VPN nomme Users − > Resource Profiles − >
20
Web. Dans ce menu, il faut donc creer un nouveau profile avec pour type Microsoft OWA 2007. Il
faut preciser l’URL de connexion a l’OWA. Pour eviter que les utilisateurs soient a nouveau obliges
de renseigner leurs identifiants, on peut lui preciser une politique de Single Sign-on qui a ete cree.
21
6 Acces cote client
Pour vous connecter au VPN, vous devez remplir deux criteres. Tout d’abord, vous devez
faire partie de l’Active Directory (avoir un compte) chez Simac, de plus vous devez avoir en votre
possession un Digipass Go3 qui vous aura ete remis par l’administrateur.
Figure 6.1 – Digipass Go3
L’url du vpn est la suivante, https://vpn.simac.lu.
Figure 6.2 – Erreur de certificat
22
Si cette page apparait, vous devez accepter le certificat pour pouvoir acceder au site. Cela
provient du fait que le vpn emet son propre certificat de securite auto-signe. Comme il ne s’agit
pas d’une autorite officielle en matiere de certificats, le navigateur affiche un avertissement ou un
message d’erreur.
Voici la page de connexion au VPN :
Figure 6.3 – Page d’authentification au VPN
Dans le champ Username, vous devez rentrer le nom d’utilisateur de votre compte Active
Directory.
Dans le champ Password, vous devez rentrer le mot de passe de votre compte Active Directory.
Dans le champ Digipass, vous devez rentrer le code affiche sur l’ecran du Digipass Go3 fournit par
votre Administrateur. Ce code est a usage unique et se renouvelle toute les 36 secondes.
Vous devez egalement choisir le profil de connexion sur lequel vous desirez vous connecter. En fonction
de vos droits, certains profils ne seront pas accessibles.
6.1 Profil externe
Le profil externe correspond aux utilisateurs externes de simac qui ont des missions en
externe. Lors de la connexion, deux ressources sont predefinies et disponibles a savoir le Webmail et
l’acces a l’intranet.
23
Figure 6.4 – Profile externe
6.1.1 Le WebMail
Lorsque vous vous connecterez au VPN, un signet web sera preenregistre sous le nom de OWA
pour Outlook Web Access. En cliquant sur ce lien vous accederez directement a votre boite mail de
votre adresse [email protected]. Vous pourrez ainsi lire, envoyer et recevoir vos mails via cette
interface. Les identifiants qui sont utilises sont ceux que vous avez rentre lors de l’authentification
au VPN, il n’est donc pas necessaire de les renseigner a nouveau.
Figure 6.5 – Outlook Web Access
6.1.2 Intranet
En plus du webmail, il est aussi possible de consulter l’intranet de Simac afin de se renseigner
sur les differents evenements a venir ou obtenir des renseignements sur l’activite du groupe.
24
Figure 6.6 – intranet
6.2 Profil interne sans laptop
Ce profil correspond aux employees interne de Simac qui se connecte au VPN avec une
autre machine que leur laptop personnel. Ce profil permet d’acceder aux memes ressources que les
externes avec en plus le partage des ressources reseaux. Pour plus de securite, il a ete mis en place un
mecanisme de suppression de cache a la deconnexion de l’utilisateur. C’est-a-dire que si on telecharge
un document du reseau interne sur une machine connectee, a la fin de la session VPN, le cache de la
machine sera vide, ainsi le document ne sera plus accessible.
Figure 6.7 – accueil interne sans laptop
25
6.2.1 Les ressources reseaux
Comme on peut le voir sur l’image precedente, des partages sont affiches en favori afin
d’etre directement accessibles, comme par exemple Home julienl on SLP01 qui correspond a un
favori enregistre qui renvoie au Home de votre compte sur le serveur SPL01.
Cependant, dans la zone de texte en haut a droite, vous pouvez egalement indiquer l’emplacement
d’un partage reseau par exemple \\192.168.21.x\Partage1.$
Dans la section Files, Home julienl on SLP01 correspond a un favori enregistre qui renvoie
au Home de votre compte sur le serveur SLP01.
Pour ajouter un favori dans la section Files, entrez le chemin du partage, selectionnez un
dossier a mettre en favori et cliquez sur Bookmark Selected. Vous pouvez choisir le nom que vous
voulez donner a ce favori ainsi qu’une description. Le favori sera affiche a la page d’accueil dans la
section Files sous le nom que vous aurez defini.
Figure 6.8 – Selection d’un dossier pour le mettre en favori
26
Figure 6.9 – Choix du nom et description du favori
Figure 6.10 – Page d’accueil avec le nouveau favori
Comme on peut le voir sur ces images, il est tres facile d’ajouter ou de supprimer des favoris.
Le VPN est intuitif ce qui le rendre accessible par le plus grand nombre.
6.3 Profil interne avec laptop
Ce profil correspond aux employes internes qui accedent au VPN avec leur laptop personnel.
La verification du laptop se fait sur la MAC Address de la carte reseau. Ce profil permet d’acceder
a toutes les ressources de l’entreprise via un mode tunnel securise.
27
Figure 6.11 – accueil interne sans laptop
6.3.1 Les sessions RDP
Dans la zone de texte en haut a droite, vous pouvez ecrire la commande pour lancer
une session TSE d’une machine presente sur le reseau affilie au VPN de la maniere suivante :
rdp ://192.168.21.x.
Pour lancer une session de services de terminal, l’utilisateur doit disposer d’un client RDP* sur son
systeme (pour acceder a un serveur de terminal Windows). Le systeme IVE permet de telecharger
une version Java du client RDP. De plus, lors du lancement d’un raccourci RDP, la connexion se fait
automatiquement avec les identifiants de connexions au VPN.
Figure 6.12 – Ouverture d’une session TSE
28
6.3.2 Mode Tunneling
Comme on peut le voir sur la page d’accueil du VPN, il y a une application nommee Network
Connect que l’on peut demarrer. Lors de son premier lancement, l’application s’installera sur votre
ordinateur. Cette application permet d’activer le mode tunneling. Avec votre portable, il sera possible
de lancer outlook pour acceder aux mails, les partages du poste de travail tel que snlforall seront
disponibles. Cet outil permet de se connecter comme si nous etions dans le reseau de l’entreprise car
il attribue une nouvelle adresse ip a la machine. L’utilisateur n’aura donc plus acces a ses partages
en local mais a ceux du reseau d’entreprise. Une icone jaune represente ”network connect” connecte
lorsqu’il fonctionne.
Figure 6.13 – Mapping des drives
29
7 Conclusion
Ce stage m’a permis de decouvrir et de mettre en place un ssl vpn, ce qui n’etait pas
au programme de ma formation. J’ai donc du apprendre a utiliser l’outil et comprendre son
fonctionnement afin de pouvoir le configurer dans les meilleures conditions.
J’ai aussi decouvert le mecanisme d’authentification forte dont j’ignorais l’existence. J’ai donc appris
les principes de ce mecanisme et je me suis documente pour comprendre dans quelle mesure il serait
utile.
L’objectif fixe a ete atteint puisque le VPN est officiellement accessible. La phase de test est
en cours et les remontees des utilisateurs sont globalement positives et constructives. En effet, les
differents problemes recontres ont ete regles rapidement pour l’instant. Grace a ce projet, les donnees
de Simac sont securisees et l’utilisation du VPN, ne demandant aucune connaissance particuliere en
informatique, est accessible par tous et facilement.
Ce que j’ai trouve tres utile chez Simac, c’est la presence d’un environnement de laboratoire.
Grace a ce ”lab”, j’ai pu effectuer tout les tests que j’ai voulus, dans toutes les situations possibles
et envisageables sans pour autant affecter le reseau interne. Ce ”lab” dispose d’un environnement a
part entiere avec un domaine defini, un active directory et un serveur exchange.
De plus, tout le personnel etait accueillant, ce qui a facilite mon integration et certains problemes
ont pus etre resolus grace a eux car ils etaient toujours disponibles.
Globalement, ce stage a conforte mon choix dans mon orientation professionnelle puisqu’il
m’a permis d’une part d’apprendre a utiliser de nouveaux outils et d’autre part a renforcer mon
autonomie. Je suis donc tres satisfait par ce stage qui sera prolonge par un CDD de 6 mois.
30
Bibliographie
[1] Guide de mise en place rapide du VPN, http ://www.juniper.net/techpubs/software/ive/guides/howtos/
How To IVE Startup Guide.pdf, Juniper Networks, Inc., Septembre 2005.
[2] Guide d’administration du VPN, http ://www.juniper.net/techpubs/software/ive/6.x/admin/530-
029892-01-AdminGuide.pdf, Juniper Networks, Inc., Mars 2009.
[3] Configuration LDAP/AD pour le VPN, http ://www.juniper.net/techpubs/software/ive/guides/howtos/
How To AD LDAP Configuration.pdf, Juniper Networks, Inc., Septembre 2005.
[4] Base de connaissance de Juniper, kb.juniper.net/, Juniper Networks.
[5] Guide d’installation du Vacman Middleware, VACMAN Middleware Installation Guide A4.pdf,
VASCO Data Security Inc, 2007.
[6] Guide d’administration du Vacman Middleware, VACMAN Middleware Administration Reference
A4.pdf, VASCO Data Security Inc, 2007.
[7] Guide d’administration du module OWA pour le Vacman Middleware, Digipass Pack for OWA
Forms Authentication Guide A4.pdf, VASCO Data Security Inc, 2007.
[8] Base de connaissance de Vasco, http ://www.vasco.com/support/knowledge base/knowledgebase.aspx,
VASCO Data Security Inc.
[9] Configuration du VPN avec le Vacman Middleware, http ://www.orbitone.com/en/blog/documents/
VASCO-Digipass-Configuration-Juniper-SSL-VPN.pdf, Orbit One Internet Solutions, Octobre
2008.
31
8 Glossaire
PDA : Assisstant personnel numerique portable (Personal Digital Assistant)
VPN : Reseau prive virtuel ( Virtual Private Netwrok)
SSL : Protocole de securisation des echanges sur Internet ( Secure Sockets Layer)
Appliance : Se dit de toutes sortes de machines dont la principale caracteristique est de pouvoir
etre (theoriquement) simplement branchees pour fonctionner immediatement de maniere par-
faitement operationnelle. L’appliance n’est pas destine a executer d’autres taches que celles
pour lesquelles il a ete concu
ICT : Technologies de l’information et de la communication (Information and Communication
Technologies)
DNS : Service permettant d’etablir une correspondance entre une adresse IP et un nom de domaine
(Domain Name System)
Active Directory : Services d’identification et d’authentification a un reseau d’ordinateurs utili-
sant le systeme Windows
Organisational Unit : Objet conteneur qui permet de hierarchiser Active Directory
Snap-In : Composant logiciel qui est attache a un autre logiciel et donc fonctionne en correspon-
dance avec ce dernier. Ici, ce snap-in est une copie de l’active directory
DMZ : Sous-reseau isole par un pare-feu (DeMilitarized Zone)
TSE : Un composant de Microsoft Windows qui permet a un utilisateur d’acceder a des applications
et des donnees sur un ordinateur distant (Terminal Server Edition)
POST : Methode HTTP permettant l’envoye de donnees a un navigateur
RDP : Protocole qui permet a un utilisateur de se connecter sur un ordinateur faisant tourner
Microsoft Terminal Services (Remote Desktop Protocol)
32
9 Annexes
A Interface admin du VPN
Figure 9.1 – Interface admin du VPN
33
B Digipass Audit Viewer
Figure 9.2 – Outils permettant de voir les logs
34
C Authentification Server Configuration
Figure 9.3 – Outils de configuration reseau du serveur Vasco
35
D Snap-in de l’Active Directory
Figure 9.4 – Snap-in de l’Active Directory
36
E Digipass Administration Microsoft Management Console
Figure 9.5 – Console d’administration des Digipass
37
F VACMAN Radius Client Simulator
Figure 9.6 – Simulateur de client Radius
38
