Contents

Rubriques Connexes

Sélectionner le Type de Mobile VPN à Utiliser

Fireware prend en charge trois types de Mobile VPN :

  • Mobile VPN with IPSec
  • Mobile VPN with SSL
  • Mobile VPN with L2TP

Votre Firebox peut prendre en charge simultanément les trois types de Mobile VPN. Vous pouvez également configurer un ordinateur client de manière à utiliser un ou plusieurs types de Mobile VPN. Avant de sélectionner le type de Mobile VPN à utiliser, vous devez prendre en compte votre infrastructure actuelle et votre préférences de stratégie réseau. Les sections suivantes décrivent certains des éléments à prendre en compte lors du choix du type de Mobile VPN à utiliser :

La fonctionnalité Mobile VPN with PPTP n'est pas disponible dans Fireware v12.0 et les versions ultérieures. Si votre Firebox exécute Fireware v11.12.4 ou une version antérieure, Mobile VPN with PPTP est automatiquement supprimé de votre configuration lorsque vous mettez Fireware à niveau vers la v12.0 ou une version ultérieure. Nous vous recommandons de migrer vers une autre solution Mobile VPN avant la mise à niveau. Pour de plus amples informations, consultez la section Migration de PPTP à L2TP avant de mettre à niveau Fireware v12.0 de la Base de Connaissances WatchGuard. Pour obtenir la documentation de Mobile VPN with PPTP, consultez l'Aide de Fireware v11.12.x.

Sécurité

Chaque type de Mobile VPN présente différentes caractéristiques de sécurité.

IPSec

Mobile VPN with IPSec offre le niveau de sécurité le plus élevé car il prend en charge un niveau de chiffrement maximal de 256 bits AES et le chiffrement multicouche. Vous pouvez utiliser toutes les méthodes d'authentification gérées par le Firebox, y compris l'authentification à deux facteurs (SecurID et VASCO). Une personne malveillante disposant des informations d'identification de connexion doit également disposer des informations de paramétrage détaillées pour se connecter au VPN, notamment la clé pré-partagée.

Mobile VPN with IPSec gère également l'authentification des clients par certificat au lieu de la clé pré-partagée.

SSL

Mobile VPN with SSL est légèrement moins sécurisé qu'IPSec, car le protocole ne gère pas le chiffrement multicouche. Dans ce cas, une personne malveillante disposant uniquement de l'adresse IP du Firebox et des identifiants de connexion du client peut se connecter.

L2TP

Mobile VPN with L2TP gère également la sécurité multicouche. Celle-ci ce limite cependant à RADIUS et à l'authentification locale du Firebox. Le client doit également connaître la clé pré-partagée.

Mobile VPN with L2TP gère également l'authentification des clients par certificat au lieu de la clé pré-partagée.

Simplicité d'Utilisation

SSL

Le client peut être facilement téléchargé et installé par les utilisateurs Windows et Mac OSX. Pour télécharger le client VPN, les utilisateurs se connectent au Firebox en HTTPS puis s'identifient. Une fois que l'utilisateur a téléchargé le client, il lui suffit de connaître ses identifiants pour se connecter. En tant qu'administrateur, vous pouvez activer ou désactiver l'option permettant au client VPN de se souvenir du nom d'utilisateur et du mot de passe.

Les clients équipés d'autres systèmes d'exploitation et de périphériques mobiles peuvent utiliser les clients OpenVPN pour se connecter. Pour utiliser un client OpenVPN, l'utilisateur a besoin du fichier client.ovpn qui se télécharge très facilement depuis le Firebox.

IPSec

Les utilisateurs Windows peuvent télécharger et installer le client Mobile VPN WatchGuard qui offre des fonctionnalités supplémentaires. A l'issue de l'essai gratuit de 30 jours, une licence payante est requise. La plupart des utilisateurs Windows préfèrent le client gratuit et simple Shrew VPN Client for Windows, également distribué par WatchGuard.

Les deux clients ont besoin du fichier de configuration. Si vous utilisez le Client IPSec WatchGuard, il est parfois nécessaire de saisir votre clé pré-partagée. WatchGuard vous recommande d'utiliser une méthode sûre, comme un e-mail chiffré, pour distribuer le fichier de configuration.

Le spectre du routage du tunnel des deux clients Windows peut être configuré en fonction des ressources autorisées que vous configurez.

Sur les périphériques Mac OSX, vous devez configurer un profil Mobile VPN correspondant aux paramètres par défaut du client du périphérique et configurer le client de manière à vous connecter au VPN. Le client requiert un nom d'utilisateur et un mot de passe pour se connecter.

L2TP par IPSec

Vous pouvez utiliser Mobile VPN with L2TP sous Windows, Mac OSX, iOS, Android et la plupart des périphériques gérant le L2TP par IPSec. Pour se connecter, l'utilisateur final doit spécifier un nom d'utilisateur et un mot de passe pouvant être enregistrés par certains clients VPN.

Le routage du trafic client via L2TP est contrôlé par la configuration du client. Les clients disposent généralement d'une option permettant de router l'ensemble du trafic client via le tunnel ou de router le trafic client via le tunnel vers le sous-réseau /24 de l'adresse IP virtuelle.

Portabilité

La portabilité indique les environnements de réseau depuis lesquels le client VPN peut se connecter.

SSL

Vous pouvez configurer Mobile VPN with SSL pour utiliser n'importe quel port TCP ou UDP ou le paramètre par défaut, TCP 443. Si vous utilisez un port UDP, vous devez tout de même indiquer un port TCP pour la requête d'authentification initiale. Cela rend Mobile VPN with SSL portable vers la plupart des environnements autorisant le HTTPS sortant. De nombreuses applications de filtrage Internet gèrent désormais l'inspection de contenu HTTPS de manière à bloquer notamment le trafic Mobile VPN with SSL non conforme aux normes du protocole HTTPS.

Vous pouvez configurer le proxy HTTPS d'un Firebox pour autoriser les requêtes HTTPS non-conformes. Pour plus d'informations sur le proxy HTTPS, consultez HTTPS-Proxy : paramètres généraux.

IPSec

Mobile VPN with IPSec exige que le client accède au Firebox via les ports UDP 500 et 4500 et le Protocole IP ESP 50. Une configuration spéciale de la passerelle Internet du client doit souvent être appliquée de manière à éviter que les clients ne se connectent depuis des points d'accès ou des connexions mobiles à Internet.

Vous pouvez configurer un Firebox de manière à autoriser les requêtes IPSec sortantes. Pour plus d'informations sur la fonction de transit IPSec sortant, consultez À propos des paramètres VPN globaux.

L2TP

Par défaut, L2TP utilise IPSec, qui emploie les ports UDP 500 et 4500 et le Protocole IP ESP 50.

Si vous désactivez IPSec, Mobile VPN with L2TP nécessite uniquement le port UDP 1701. Ce type de configuration L2TP doit être autorisée dans la plupart des environnements, à moins que le réseau ne soit configuré de manière extrêmement restrictive. Cependant, cette configuration n'assure pas la sécurité offerte par IPSec.

Si vous désactivez IPSec dans la configuration Mobile VPN with L2TP, vous devez également le désactiver sur les périphériques clients. Cette procédure est parfois plus complexe sur certains périphériques. Pour obtenir des informations concernant les paramètres IPSec d'un périphérique, consultez la documentation du fabricant.

Capacité du Tunnel VPN

Lorsque vous sélectionnez un type de VPN, tenez compte du nombre de tunnels pris en charge par votre périphérique et envisagez de vous procurer une mise à niveau permettant d'augmenter cette valeur.

Le nombre maximal de tunnels Mobile VPN IPSec, SSL et L2TP dépend du modèle du Firebox. Sur certains modèles, vous devez vous procurer des licences supplémentaires pour activer la capacité maximale de tunnels gérée par votre modèle de Firebox.

Vous pouvez consulter le nombre maximal de chaque type de tunnel VPN pris en charge par votre Firebox dans sa clé de fonctionnalité. Pour plus d'informations, voir Capacité et Octroi de Licence pour Tunnel VPN.

Compatibilité avec le Serveur d'Authentification

Assurez-vous que la solution Mobile VPN choisie prend en charge le type du serveur d'authentification que vous utilisez.

  • Tous les types de Mobile VPN prennent en charge Firebox-DB, le serveur d'authentification local du Firebox. Firebox-DB vous permet de créer des utilisateurs et des groupes directement sur le Firebox.
  • L2TP prend uniquement en charge Firebox-DB et RADIUS.
  • Mobile VPN with SSL prend en charge toutes les méthodes d'authentification compatibles avec le Firebox.
  • Mobile VPN with IPSec gère également toutes les méthodes d'authentification, mais l'authentification à deux facteurs n'est pas gérée par le client gratuit de Shrew Soft.
Mobile VPN Firebox RADIUS Vasco/RADIUS SecurID LDAP Active Directory

Client VPN Mobile IPSec de WatchGuard pour Windows (Client Premium)

Oui Oui

Oui

Oui

Oui Oui
Client VPN IPSec de Shrew Soft pour Windows Oui Oui Non1 Non1 Oui Oui

Mobile VPN with IPSec pour Mac OS X ou iOS avec le client VPN natif

Oui Non2

Non

Oui Non2 Non2
Mobile VPN with SSL Oui Oui Oui Oui Oui Oui
Mobile VPN with L2TP Oui Oui Non Non Non Oui3

1. Le client VPN IPSec Shrew Soft ne prend pas en charge l'authentification à deux facteurs.

2. Les méthodes d'authentification RADIUS, LDAP et Active Directory ne sont pas prises en charge par le client VPN natif d'iOS et OS X, bien qu'elles puissent présenter un fonctionnement normal.

3. L'authentification Active Directory pour L2TP est uniquement prise en charge via un serveur RADIUS.

Autres remarques concernant la compatibilité :

RADIUS 

Le serveur RADIUS doit renvoyer l'attribut FilterID (attribut RADIUS n° 11) dans sa réponse Access-Accept. La valeur de l'attribut Filter-Id doit correspondre au nom du groupe adéquat (Utilisateurs-SSLVPN ou le nom de groupe défini dans la configuration Mobile VPN with SSL ou Mobile VPN with IPSec).

Vasco RADIUS

L'attribut FilterID de RADIUS n'est actuellement pas pris en charge par Vasco. Pour contourner le problème, utilisez le plug-in Microsoft® IAS RADIUS.

L'application Mobile VPN Android WatchGuard n'est plus disponible sur Google Play Store. L'application Mobile VPN iOS WatchGuard gratuite est disponible sur l'Apple Store. WatchGuard ne prend plus en charge ces anciennes applications.

Autres Considérations

  • Flexibilité — Mobile VPN with IPSec est le seul type de VPN vous autorisant à configurer différents profils de configuration VPN pour différents groupes d'utilisateurs.
  • Performances — Mobile VPN with SSL est le type de VPN le plus lent.
  • Prise en charge des protocoles — L'un des avantages de Mobile VPN with L2TP comparé à Mobile VPN with IPSec est qu'il vous permet d'utiliser le L2TP pour acheminer des protocoles autres que le protocole IP, comme le protocole IPX ou AppleTalk par exemple.

Détails du Protocole

Pour établir une connexion, chaque type de Mobile VPN utilise des ports, des protocoles et des algorithmes de chiffrement différents. Pour le bon fonctionnement de Mobile VPN, les ports et protocoles requis doivent être ouverts entre le périphérique mobile et le Firebox.

Pour Mobile VPN with SSL, vous pouvez choisir un port et un protocole différent. Pour plus d'informations, voir Choisir le port et le protocole pour Mobile VPN with SSL

Voir aussi

Mobile VPN with IPSec

Mobile VPN with SSL

Mobile VPN with L2TP

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique