VPN dynamiques avec pulse secure clients

Comprendre la prise en charge de tunnels VPN dynamiques

Les tunnels VPN dynamiques sont configurés de la même manière que les tunnels VPN IPsec traditionnels. Cependant, toutes les options VPN IPsec ne sont pas prises en charge. Cette fonctionnalité est prise en charge sur les équipements SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM et SRX650.

La liste suivante décrit les exigences et les options prises en charge lors de la configuration de tunnels VPN dynamiques :

• Seuls les VPN basés sur des stratégies sont pris en charge. Les VPN basés sur le routage ne sont pas pris en charge avec les tunnels VPN dynamiques. Les protocoles de routage ne sont pas pris en charge.

• Seul l’IKEv1 est pris en charge. IKEv2 n’est pas pris en charge.

• Seuls le trafic IPv4 et les tunnels IPv4-in-IPv4 sont pris en charge. Le trafic et les tunnels IPv6 ne sont pas pris en charge.

• Seules les clés pré-partagées sont prises en charge pour l’authentification. PKI n’est pas pris en charge.

• Le mode agressif est pris en charge pour les échanges IKE de phase 1. Le mode principal n’est pas pris en charge.

• Le trafic VPN ne peut être initié qu’à partir du client distant. Le trafic VPN initié à partir de la passerelle SRX n’est pas pris en charge.

• La détection des pairs morts (DPD) est prise en charge. La surveillance VPN n’est pas prise en charge.

• L’authentification étendue (XAuth) avec configuration en mode est prise en charge.

• L’authentification est prise en charge à partir d’un profil local. Des attributs peuvent être fournis à partir d’un pool d’adresses local. Un serveur RADIUS peut fournir l’authentification et les attributs.

• Les clusters de châssis sont pris en charge.

• NAT-T est pris en charge.

• IKE dans les routeurs virtuels ou dans les instances de routage et de transfert virtuels est pris en charge.

• AutoVPN n’est pas pris en charge.

• L’insertion automatique de route (ARI) n’est pas prise en charge.

• Les droits d’administrateur sont requis pour installer le logiciel client Pulse, les droits d’administrateur sont requis.

• Les utilisateurs doivent ré-authentification pendant les clés de re-clés IKE de phase 1. L’heure de la clé en main est configurable.

Les ID IKE partagés ou de groupe peuvent être utilisés pour configurer un VPN unique partagé par tous les clients distants. Lorsqu’un seul VPN est partagé, le nombre total de connexions simultanées à la passerelle ne peut pas être supérieur au nombre de licences VPN dynamiques installées. Lors de la configuration d’une passerelle IKE ID partagée ou de groupe, vous pouvez configurer un nombre maximal de connexions supérieur au nombre de licences VPN dynamiques installées. Toutefois, si une nouvelle connexion dépasse le nombre de connexions sous licence, celle-ci sera refusée. Vous pouvez afficher les informations de licence VPN dynamiques à l’aide de la show system license usage commande.

Comprendre l’accès des clients distants au VPN

Un déploiement VPN dynamique commun consiste à fournir un accès VPN aux clients distants connectés via un réseau public tel qu’Internet. L’accès IPsec est fourni par le biais d’une passerelle sur l’équipement Juniper Networks. Le logiciel client Pulse Secure est utilisé pour l’accès VPN. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Le logiciel client Pulse Secure peut être obtenu sur le site de téléchargement du logiciel Juniper Networks à l’adresse https://www.juniper.net/support/downloads/?p=pulse#sw.

Les éléments suivants décrivent le processus d’accès au VPN d’un client distant Pulse Secure :

Pour obtenir des instructions détaillées sur la connexion du programme client distant à l’équipement SRX Series, voir KB17641. Consultez également la documentation sur Pulse Secure pour obtenir des informations client actuelles.

1. L’utilisateur télécharge et installe le logiciel client Pulse Secure sur son équipement.

2. L’utilisateur lance le programme client distant Pulse Secure.

   Dans le programme client distant Pulse Secure, l’utilisateur effectue les opérations suivantes :

   1. Cliquez sur Add connection.

   2. Pour Type, sélectionnez Firewall (SRX).

   3. Pour Nom, saisissez le nom d’hôte de la passerelle SRX.

      Sur l’équipement SRX Series, ce nom d’hôte est configuré avec la set security ike gateway gateway-name dynamic hostname hostname commande. L’administrateur SRX doit fournir le nom d’hôte aux utilisateurs distants.

   4. Pour le nom de l’URL du serveur, saisissez l’adresse IP de la passerelle SRX.

      Sur l’équipement SRX Series, cette adresse IP est l’adresse IP de la external-interface commande configurée set security ike gateway gateway-name . L’administrateur SRX doit fournir l’adresse IP aux utilisateurs distants.

3. Cliquez sur Add, puis cliquez sur Connect. Le programme client distant Pulse Secure se connecte à la gamme SRX Series à l’aide de HTTPS.

4. Saisissez vos nom d’utilisateur et mot de passe lorsque vous y êtes invité. Les informations de configuration sont téléchargées depuis l’équipement SRX Series vers le client distant afin de permettre au client d’établir un IKE SA avec l’équipement SRX Series.

5. Si vous accédez pour la première fois à un VPN dynamique, saisissez à nouveau vos données d’identification utilisateur pour établir un SA IPsec. Une adresse IP est attribuée au client distant à partir d’un pool d’adresses local ou à partir d’un serveur RADIUS externe.

   Les informations d’identification utilisateur que vous saisissez à l’étape 4 permettent de télécharger la configuration sur le client distant et d’établir un certificat IKE SA entre le client et l’équipement SRX Series. Les données d’identification de l’utilisateur saisies dans cette étape sont utilisées pour établir un SA IPsec. Les données d’identification utilisateur peuvent être identiques ou différentes, en fonction de la configuration de l’équipement SRX Series.

6. Une fois l’authentification et l’attribution de l’adresse réussies, un tunnel est établi.

Ensembles de proposition VPN dynamiques

Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM. La configuration de propositions personnalisées d’IKE (Internet Key Exchange) et de sécurité IP (IPsec) pour les stratégies IKE et IPsec peut s’avérer fastidieuse et chronophage lorsqu’il existe de nombreux clients VPN dynamiques . L’administrateur peut sélectionner des ensembles de proposition de base, compatibles ou standard pour les clients VPN dynamiques. Chaque ensemble de propositions se compose d’au moins deux propositions prédéfinies. Le serveur sélectionne une proposition prédéfinie dans l’ensemble et la transmet au client dans la configuration du client. Le client utilise cette proposition dans le cadre de négociations avec le serveur pour établir la connexion.

Les valeurs par défaut pour la re-clé en main IKE et IPsec Security Association (SA) sont les suivantes :

• Pour les SAS IKE, le délai d’expiration de la clé en main est de 28 800 secondes.

• Pour les SAS IPsec, le délai d’expiration de la clé en main est de 3 600 secondes.

Étant donné que la configuration de l’ensemble de propositions ne permet pas la configuration du délai d’expiration de la clé en main, ces valeurs sont incluses dans la configuration du client qui est envoyée au client au moment du téléchargement du client.

Les cas d’utilisation de base pour les propositions sont les suivants :

• IKE et IPsec utilisent tous deux des ensembles de proposition.

  Le serveur sélectionne une proposition prédéfinie dans l’ensemble de propositions et l’envoie au client, ainsi que la valeur de délai d’expiration de la nouvelle clé par défaut.

• IKE utilise un ensemble de propositions et IPsec utilise une proposition personnalisée.

  Le serveur envoie au client une proposition IKE prédéfinie à partir de la proposition IKE configurée, ainsi que la valeur de délai d’expiration de la re-clé par défaut. Pour IPsec, le serveur envoie le paramètre configuré dans la proposition IPsec.

• IKE utilise une proposition personnalisée et IPsec utilise un ensemble de propositions.

  Le serveur envoie au client une proposition IPsec prédéfinie de la proposition IPsec configurée, ainsi que la valeur de délai d’expiration de la nouvelle clé par défaut. Pour IKE, le serveur envoie le paramètre configuré dans la proposition IKE.

Si IPsec utilise un ensemble de propositions standard et que le secret de transfert parfait (PFS) n’est pas configuré, alors le secret de transfert parfait (PFS) par défaut est group2. Pour les autres ensembles de propositions, le PFS ne sera pas défini, car il n’est pas configuré. De plus, pour l’ensemble de propositions IPsec, la configuration de la group stratégie perfect-forward-secrecy keys ipsec remplace le paramètre de groupe Diffie-Hellman (DH) dans les jeux de propositions.

Comme le client accepte une seule proposition pour négocier l’établissement d’un tunnel avec le serveur, le serveur sélectionne en interne une proposition parmi l’ensemble de propositions à envoyer au client. La proposition sélectionnée pour chaque ensemble est répertoriée comme suit :

Pour IKE

• Niveau sec de base : clé pré-partagée, g1, des, sha1

• Compatible au niveau sec : clé pré-partagée, g2, 3des, sha1

• Norme sec : clé pré-partagée, g2, aes128, sha1

Pour IPsec

• Niveau sec de base : esp, pas de pfs (si non configuré) ou groupx (si configuré), des, sha1

• Compatible au niveau sec : esp, pas de pfs (si non configuré) ou groupx (si configuré), 3des, sha1

• Norme sec : g2 (si non configuré) ou groupx (si configuré), aes128, sha1

Présentation de la configuration dynamique des VPN

Le VPN dynamique vous permet de fournir aux utilisateurs distants un accès IPsec à une passerelle sur un équipement Juniper Networks. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Il existe deux cas à prendre en compte lors de la configuration d’un VPN dynamique :

• Lorsque les utilisateurs sont configurés localement, ils sont configurés au niveau de la hiérarchie [edit access profile profile-name client client-name] et organisés en groupes d’utilisateurs à l’aide de l’option client-group de configuration.

• Les utilisateurs peuvent être configurés sur un serveur d’authentification externe, tel qu’un serveur RADIUS. Les utilisateurs configurés sur un serveur d’authentification externe n’ont pas besoin d’être configurés au niveau de la hiérarchie [edit access profile profile-name].

Pour les utilisateurs configurés localement, le groupe d’utilisateurs doit être spécifié dans la configuration VPN dynamique afin qu’un utilisateur puisse être associé à une configuration client. Vous spécifiez un groupe d’utilisateurs avec l’option user-groups au niveau de la hiérarchie [edit security dynamic-vpn clients configuration-name].

Lorsqu’un utilisateur est authentifié, le groupe d’utilisateurs est inclus dans la réponse d’authentification. Ces informations sont extraites et les groupes d’utilisateurs configurés au niveau de la hiérarchie [edit security dynamic-vpn clients configuration-name] sont cherchés afin de déterminer la configuration du client à récupérer et à retourner au client pour l’établissement d’un tunnel.

Si un utilisateur est associé à plusieurs groupes d’utilisateurs, la première configuration de groupe d’utilisateurs correspondant est utilisée. Si un utilisateur crée une deuxième connexion, la prochaine configuration de groupe d’utilisateurs correspondant est utilisée. Les connexions utilisateur suivantes utilisent la configuration de groupe d’utilisateurs correspondant jusqu’à ce qu’il n’y a plus de configurations équivalentes.

La procédure suivante répertorie les tâches de configuration d’un VPN dynamique.

1. Configurez l’authentification et l’attribution de l’adresse pour les clients distants :

   1. Configurez un profil XAuth pour authentifier les utilisateurs et attribuer des adresses. Il est possible d’utiliser une authentification locale ou un serveur RADIUS externe. Utilisez l’instruction profile de configuration au niveau de la hiérarchie [edit access] pour configurer le profil XAuth.

   2. Attribuez des adresses IP à partir d’un pool d’adresses locales si l’authentification locale est utilisée. Utilisez l’instruction address-assignment pool de configuration au niveau de la hiérarchie [edit access]. Un sous-réseau ou une plage d’adresses IP peuvent être spécifiés. Les adresses IP des serveurs DNS et WINS peuvent également être spécifiées.

2. Configurer le tunnel VPN :

   1. Configurez la stratégie IKE. Le mode doit être agressif. Des ensembles de proposition basiques, compatibles ou standard peuvent être utilisés. Seules les clés pré-partagées sont prises en charge pour l’authentification de phase 1. Utilisez l’instruction policy de configuration au niveau de la hiérarchie [edit security ike].

   2. Configurez la passerelle IKE. Il est possible d’utiliser des ID IKE partagés ou de groupe. Vous pouvez configurer le nombre maximum de connexions simultanées à la passerelle. Utilisez l’instruction gateway de configuration au niveau de la hiérarchie [edit security ike].

   3. Configurez le VPN IPsec. Des ensembles de proposition de base, compatibles ou standard peuvent être spécifiés avec l’instruction policy de configuration au niveau de la hiérarchie [edit security ipsec]. Utilisez l’instruction vpn de configuration au niveau de la hiérarchie [edit security ipsec] pour configurer la passerelle et la stratégie IPsec.

      Une vérification de la configuration peut être effectuée pour vérifier que tous les paramètres IKE et IPsec nécessaires au VPN dynamique sont correctement configurés. Si la configuration n’est pas valide pour IKE ou IPsec, un message d’erreur s’affiche. Vous activez le contrôle de configuration à l’aide de la set security dynamic-vpn config-check commande.

   4. Configurez une stratégie de sécurité pour autoriser le trafic des clients distants vers la passerelle IKE. Utilisez l’instruction policy de configuration au niveau de la hiérarchie [edit security policies from-zone zone to-zone zone].

      Configurez la stratégie de sécurité en fonction des critères source-address anyde correspondance , destination-address anyet application any de l’action permit tunnel ipsec-vpn avec le nom du tunnel VPN dynamique. Placez cette politique à la fin de la liste.

   5. Configurez le trafic entrant de l’hôte pour qu’il autorise le trafic spécifique à atteindre l’équipement à partir des systèmes connectés à ses interfaces. Par exemple, le trafic IKE et HTTPS doit être autorisé. Découvrez comment contrôler le trafic entrant en fonction des types de trafic.

   6. (Facultatif) Si le pool d’adresses client appartient à un sous-réseau qui est directement connecté à l’équipement, il doit répondre aux requêtes ARP aux adresses du pool provenant d’autres équipements de la même zone. Utilisez l’instruction proxy-arp de configuration au niveau de la hiérarchie [edit security nat]. Indiquez l’interface qui connecte directement le sous-réseau à l’équipement et les adresses du pool.

3. Associer le VPN dynamique aux clients distants :

   1. Indiquez le profil d’accès à utiliser avec un VPN dynamique. Utilisez l’instruction access-profile de configuration au niveau de la hiérarchie [edit security dynamic-vpn].

   2. Configurez les clients qui peuvent utiliser le VPN dynamique. Indiquez les ressources protégées (le trafic de la ressource protégée passe par le tunnel VPN dynamique spécifié et est donc protégé par les stratégies de sécurité du pare-feu) ou les exceptions à la liste des ressources protégées (le trafic qui ne passe pas par le tunnel VPN dynamique et est envoyé en clair). Ces options contrôlent les routes transmises au client lorsque le tunnel est opérationnel, contrôlant ainsi le trafic envoyé par le tunnel. Utilisez l’instruction clients de configuration au niveau de la hiérarchie [edit security dynamic-vpn].

4. Pour consigner des messages VPN dynamiques, configurez l’instruction traceoptions au niveau de la hiérarchie [edit security dynamic-vpn].

Comprendre l’authentification locale et l’attribution d’adresses

Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM. Une application cliente peut demander une adresse IP pour le compte d’un client. Cette demande est faite en même temps que la demande d’authentification du client. Une fois l’authentification du client réussie, une adresse IP peut être attribuée au client à partir d’un pool d’adresses prédéfini ou une adresse IP spécifique peut être attribuée. D’autres attributs, tels que les adresses IP de serveur WINS ou DNS, peuvent également être fournis au client.

Les pools d’adresses sont définis avec pool l’instruction de configuration au niveau de la hiérarchie [edit access address-assignment]. Une définition de pool d’adresses contient des informations réseau (adresse IP avec netmask en option), des définitions de plages facultatives et des attributs DHCP ou XAuth pouvant être renvoyés au client. Si toutes les adresses d’un pool sont attribuées, une nouvelle demande d’adresse client échouera même si le client est authentifié.

Les profils d’accès sont définis à l’aide de l’instruction profile de configuration au niveau de la hiérarchie [edit access]. Un pool d’adresses défini peut être référencé dans une configuration de profil d’accès.

Vous pouvez également lier une adresse IP spécifique à un client dans un profil d’accès avec l’option xauth ip-address address . L’adresse IP doit se retrouver dans la plage d’adresses spécifiée dans le pool d’adresses. Elle doit également être différente de l’adresse IP spécifiée avec l’instruction host de configuration au niveau de la hiérarchie [edit access profile address-assignment pool pool-name family inet]. Pour toute application, si une adresse IP a été attribuée, elle ne sera pas réassignée tant qu’elle n’a pas été publiée.

Comprendre les ID IKE partagés et de groupe

Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM. Avec un VPN dynamique, un ID IKE (Internet Key Exchange) unique est utilisé pour chaque connexion utilisateur. Lorsqu’un grand nombre d’utilisateurs doivent accéder au VPN, la configuration d’une passerelle IKE individuelle, d’un VPN IPsec et d’une stratégie de sécurité pour chaque utilisateur peut s’avérer fastidieuse. Les fonctionnalités groupées IKE ID et IKE ID partagées permettent à un certain nombre d’utilisateurs de partager une configuration de passerelle IKE, réduisant ainsi le nombre de configurations VPN requises.

Nous vous recommandons de configurer les ID IKE de groupe pour les déploiements VPN dynamiques, car les ID IKE de groupe fournissent une clé pré-partagée unique et un ID IKE pour chaque utilisateur.

Cette rubrique comprend les sections suivantes :

• ID IKE de groupe
• ID IKE partagés