Créer un VPN d’accès distant — Juniper Secure Connect

Nom

Saisissez un nom pour la connexion d’accès à distance. Ce nom sera affiché en tant que nom de domaine des utilisateurs finaux dans le client Secure Connect de Juniper.

Description

Saisissez une description. Cette description sera utilisée pour les propositions IKE et IPsec, les stratégies, le profil d’accès distant, la configuration du client et l’ensemble de règles NAT.

Lors de la modification, la description de la stratégie IPsec s’affiche. Les stratégies IPsec et les descriptions des profils d’accès distant seront mises à jour.

Mode de routage

Cette option est désactivée pour l’accès distant.

Le mode par défaut est le sélecteur de trafic (insertion de route automatique).

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste que l’équipement utilise pour authentifier la source des messages Internet Key Exchange (IKE) :

• Clé pré-partagée (méthode par défaut) : spécifie qu’une clé prépartage, c’est-à-dire une clé secrète partagée entre les deux pairs, est utilisée lors de l’authentification pour identifier les pairs entre eux. La même clé doit être configurée pour chaque pair. Il s’agit de la méthode par défaut.

• Basé sur les certificats : spécifie le type de signatures numériques, qui sont des certificats qui confirment l’identité du détenteur du certificat.

  La signature prise en charge est rsa-signatures. rsa-signatures spécifie qu’un algorithme à clé publique, qui prend en charge le chiffrement et les signatures numériques, est utilisé.

Stratégie de pare-feu de création automatique

Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement créée entre la zone interne et la zone d’interface du tunnel avec les réseaux locaux protégés comme adresse source et les réseaux protégés à distance comme adresse de destination.

Une autre politique de pare-feu sera créée visa-versa.

Si vous choisissez Non, vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Utilisateur distant

Affiche l’icône de l’utilisateur distant dans la topologie. Cliquez sur l’icône pour configurer les paramètres du client Juniper Secure Connect.

Pour plus d’informations sur les champs, voir le tableau 2.

Passerelle locale

Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir le tableau 3.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec des algorithmes ou des valeurs recommandés.

Pour plus d’informations sur les champs, voir le tableau 6.

Profil par défaut

Activez cette option pour utiliser le nom VPN configuré comme profil d’accès distant par défaut.

Mode de connexion

Sélectionnez l’une des options suivantes dans la liste pour établir la connexion client Juniper Secure Connect :

• Manuelle : vous devez vous connecter manuellement au tunnel VPN chaque fois que vous vous connectez.

• Toujours : vous êtes automatiquement connecté au tunnel VPN chaque fois que vous vous connectez.

Le mode de connexion par défaut est manuel.

SSL VPN

Activez cette option pour établir une connexion VPN SSL entre le client Juniper Secure Connect et l’équipement SRX Series.

Par défaut, cette option est activée.

Authentification biométrique

Activez cette option pour authentifier le système client à l’aide de méthodes configurées uniques.

Une invite d’authentification s’affiche lorsque vous vous connectez au système client. La connexion VPN ne sera lancée qu’après une authentification réussie via la méthode configurée pour Windows Hello (reconnaissance des empreintes digitales, reconnaissance faciale, saisie pin, etc.).

Windows Hello doit être préconfiguré sur le système client si l’option d’authentification biométrique est activée.

Détection des pairs morts

Activez l’option DPD (Dead Peer Detection) pour permettre au client Juniper Secure Connect de détecter si l’équipement SRX Series est accessible.

Désactivez cette option pour permettre au client Juniper Secure Connect de détecter jusqu’à ce que l’accessibilité de la connexion des équipements SRX Series soit rétablie.

Cette option est activée par défaut.

Intervalle DPD

Saisissez le temps pendant lequel l’homologue attend le trafic de son homologue de destination avant d’envoyer un paquet de demande DPD (Dead-Peer-Detection). La plage est de 2 à 60 secondes et la valeur par défaut est de 60 secondes.

Seuil DPD

Saisissez le nombre maximal de demandes de détection d’homologues morts (DPD) infructueuses à envoyer avant qu’elles ne soient considérées comme indisponibles. La plage est de 1 à 5 et la valeur par défaut est de 5.

Certificats

Activez les certificats pour configurer les options de certificat sur Secure Client Connect.

Avertissement relatif à l’expiration

Activez cette option pour afficher l’avertissement d’expiration du certificat sur le client Secure Connect.

Cette option est activée par défaut.

Intervalle d’avertissement

Saisissez l’intervalle (jours) auquel l’avertissement doit s’afficher.

La portée est de 1 à 90. La valeur par défaut est 60.

Req pin par connexion

Activez cette option pour saisir l’épingle du certificat sur la connexion.

Cette option est activée par défaut.

EAP-TLS

Activez cette option pour le processus d’authentification. IKEv2 nécessite EAP pour l’authentification de l’utilisateur. L’équipement SRX Series ne peut pas agir comme un serveur EAP. Un serveur RADIUS externe doit être utilisé pour IKEv2 EAP pour effectuer l’authentification EAP. Le SRX fera office d’authentificateur de transmission des messages EAP entre le client Juniper Secure Connect et le serveur RADIUS.

Cette option est activée par défaut.

Connexion Windows

Activez cette option pour permettre aux utilisateurs de se connecter en toute sécurité au domaine Windows avant de se connecter au système Windows. Le client prend en charge la connexion de domaine à l’aide d’un fournisseur de services d’identification après avoir établi une connexion VPN au réseau de l’entreprise.

Nom de domaine

Saisissez le nom de domaine du système sur lequel l’ordinateur utilisateur se connecte.

Mode

Sélectionnez l’une des options suivantes dans la liste pour vous connecter au domaine Windows.

• Manuelle : vous devez saisir manuellement vos données d’ouverture de session sur l’écran d’ouverture de session Windows.

• Automatique : le logiciel client transfère les données saisies ici vers l’interface de connexion Microsoft (fournisseur d’informations d’identification) sans que vous n’agissez.

Déconnectez-vous lors de la déconnexion

Activez cette option pour arrêter la connexion lorsque le système passe en mode hibernation ou veille. Lorsque le système reprend de l’hibernation ou du mode veille, la connexion doit être rétablie.

Vidage des informations d’identification lors de la déconnexion

Activez cette option pour supprimer le nom d’utilisateur et le mot de passe du cache. Vous devez réintégrer le nom d’utilisateur et le mot de passe.

Durée des délais

Saisissez le délai d’initialisation entre l’ouverture de session réseau et l’ouverture de session de domaine.

Une fois la connexion configurée, l’ouverture de session Windows ne sera exécutée qu’après l’expiration du temps d’initialisation défini ici.

Authentification EAP

Activez cette option pour exécuter l’authentification EAP avant la boîte de dialogue de destination dans le fournisseur d’informations d’identification. Ensuite, le système vous demandera le NIP nécessaire, que l’EAP soit requis ou non pour une connexion ultérieure.

Si cette option est désactivée, l’authentification EAP sera exécutée après la sélection de la destination.

Boîte de dialogue automatique ouverte

Activez cette option pour sélectionner si une boîte de dialogue doit s’ouvrir automatiquement pour établir la connexion à un domaine distant.

Si cette option est désactivée, le mot de passe et le code PIN du client ne seront interrogés qu’après l’ouverture de session Windows.

La passerelle est derrière NAT

Activez cette option lorsque la passerelle locale est derrière un équipement NAT.

Adresse IP NAT

Saisissez l’adresse IP publique (NAT) de l’équipement SRX Series.

IKE ID

Ce champ est obligatoire. Saisissez l’ID IKE au format user@example.com.

Interface externe

Sélectionnez une interface sortante dans la liste à laquelle le client se connectera.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IPv4 sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste à qui le client doit se connecter.

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Créer une interface tunnel s’affiche. Pour plus d’informations sur la création d’une nouvelle interface tunnel, reportez-vous au tableau 4.

Cliquez sur Modifier pour modifier l’interface du tunnel sélectionné.

Clé pré-partagée

Saisissez l’une des valeurs suivantes de la clé prépartagée :

• ascii-text : clé de texte ASCII.

• hexadécimale : clé hexadécimale.

Certificat local

Sélectionnez un certificat local dans la liste.

Le certificat local ne répertorie que les certificats RSA.

Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’équipement, voir Ajouter un certificat d’équipement.

Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’équipement, voir Importer un certificat d’équipement.

Ca/groupe de confiance

Sélectionnez un profil d’autorité de certification/de groupe de confiance dans la liste.

Pour ajouter un profil d’autorité de certification, cliquez sur Ajouter un profil d’autorité de certification. Pour plus d’informations sur l’ajout d’un profil d’autorité de certification, voir Ajouter un profil d’autorité de certification.

Authentification de l’utilisateur

Ce champ est obligatoire. Sélectionnez le profil d’authentification dans la liste qui sera utilisé pour authentifier l’utilisateur accédant au VPN d’accès distant.

Cliquez sur Ajouter pour créer un nouveau profil. Pour plus d’informations sur la création d’un nouveau profil d’accès, voir Ajouter un profil d’accès.

Profil VPN SSL

Sélectionnez le profil VPN SSL dans la liste qui sera utilisé pour mettre fin aux connexions d’accès à distance.

Pour créer un nouveau profil VPN SSL :

1. Cliquez sur Ajouter.

2. Saisissez les détails suivants :

   • Nom : saisissez le nom d’un profil VPN SSL.

   • Journalisation : activez cette option pour vous connecter au VPN SSL.

   • Profil de terminaison SSL : sélectionnez un profil de terminaison SSL dans la liste.

     Pour ajouter un nouveau profil de terminaison SSL :

     1. Cliquez sur Ajouter.

        La page Créer un profil de terminaison SSL s’affiche.

     2. Saisissez les détails suivants :

        • Nom : saisissez un nom pour le profil de terminaison SSL.

        • Certificat de serveur : sélectionnez un certificat de serveur dans la liste.

          Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’équipement, voir Ajouter un certificat d’équipement.

          Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’équipement, voir Importer un certificat d’équipement.

        • Cliquez sur OK.

     3. Cliquez sur OK.

3. Cliquez sur OK.

Trafic NAT source

Cette option est activée par défaut.

Par défaut, tout le trafic du client Juniper Secure Connect est en natété vers l’interface sélectionnée.

En cas de désactivation, vous devez vous assurer que vous disposez d’un routage de votre réseau pointant vers les équipements SRX Series pour gérer correctement le trafic de retour.

Interface

Sélectionnez une interface dans la liste par laquelle transite le trafic NAT source.

Réseaux protégés

Cliquez sur +. La page Créer des réseaux protégés s’affiche.

Zone

Sélectionnez une zone de sécurité dans la liste qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse globale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée.

Cliquez sur Ajouter pour sélectionner les réseaux que le client peut se connecter.

La page Créer une adresse globale s’affiche. Pour plus d’informations sur les champs, voir le tableau 5.

Modifier

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône du crayon.

La page Modifier les réseaux protégés s’affiche avec des champs éditables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression.

Le message de confirmation apparaît.

Cliquez sur Oui pour supprimer le réseau protégé.

Unité d’interface

Saisissez le numéro de l’unité logique.

Description

Saisissez une description de l’interface logique.

Zone

Sélectionnez une zone dans la liste pour l’ajouter à l’interface du tunnel.

Cette zone est utilisée dans la création automatique de la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Saisissez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Nom

Saisissez un nom pour l’adresse globale. Le nom doit être une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des points, des points, des tirets et des soulignements ; pas d’espaces autorisés ; 63 caractères maximum.

IP Type

Sélectionnez IPv4.

Adresse IPv4

Saisissez une adresse IPv4 valide.

Sous-réseau

Saisissez le sous-réseau pour l’adresse IPv4.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est AES-CBC 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, SHA 256 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Secondes à vie

Sélectionnez une durée de vie (en quelques secondes) d’une association de sécurité (SA) IKE.

La valeur par défaut est de 28 800 secondes. Portée : 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’homologues morts, qu’il y ait ou non un trafic IPsec sortant vers l’homologue.

DPD Mode

Sélectionnez l’une des options dans la liste :

• optimisé : envoyez des sondes uniquement lorsqu’il y a du trafic sortant et qu’il n’y a pas de trafic de données entrant - RFC3706 (mode par défaut).

• tunnel de sonde inactif : envoyez des sondes de la même manière qu’en mode optimisé et en l’absence de trafic de données sortant et entrant.

• toujours envoyer : envoyez régulièrement des sondes, quel que soit le trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle (en quelques secondes) pour envoyer des messages de détection des pairs morts. L’intervalle par défaut est de 10 secondes. La portée est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un nombre de 1 à 5 pour définir le seuil de défaillance DPD.

Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés en l’absence de réponse de l’homologue. Le nombre de transmissions par défaut est 5 fois.

NAT-T

Activez cette option pour que le trafic IPsec passe par un équipement NAT.

NAT-T est un algorithme IKE de phase 1 qui est utilisé pour établir une connexion VPN entre deux équipements de passerelle, où il y a un équipement NAT devant l’un des équipements SRX Series.

NAT en vie

Sélectionnez l’intervalle de maintien approprié en quelques secondes. Portée : 1 à 300.

Si le VPN doit avoir de longues périodes d’inactivité, vous pouvez configurer des valeurs de conservation pour générer du trafic artificiel afin de maintenir la session active sur les équipements NAT.

Limite de connexion IKE

Saisissez le nombre de connexions simultanées que le profil VPN prend en charge.

La portée est de 1 à 4294967295.

Lorsque le nombre maximal de connexions est atteint, plus aucun point de terminaison d’utilisateur d’accès distant (VPN) qui tente d’accéder à un VPN IPsec ne peut commencer les négociations Internet Key Exchange (IKE).

IKEv2 Fragmentation

Cette option est activée par défaut. La fragmentation IKEv2 divise un grand message IKEv2 en un ensemble de messages plus petits afin qu’il n’y ait pas de fragmentation au niveau de l’IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément.

Taille du fragment IKEv2

Sélectionnez la taille maximale(en octets) d’un message IKEv2 avant qu’il ne soit divisé en fragments.

La taille s’applique au message IPv4. Plage : 570 à 1 320 octets.

La valeur par défaut est de 576 octets.

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est AES-GCM 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, HMAC-SHA-256-128.

Confidentialité de transfert parfaite

Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’équipement utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés les plus élevés offrent plus de sécurité, mais nécessitent plus de temps de traitement.

Secondes à vie

Sélectionnez la durée de vie (en quelques secondes) d’une association de sécurité IPsec (SA). Lorsque le SA expire, il est remplacé par un nouvel index SA et des paramètres de sécurité (SPI) ou terminé. Par défaut est de 3 600 secondes. Portée : 180 à 86 400 secondes.

Kilo-octets à vie

Sélectionnez la durée de vie (en kilooctets) d’une SA IPsec. Par défaut, 256 ko. Portée : 64 à 4294967294.

Anti Replay

IPsec protège contre les attaques VPN en utilisant une séquence de nombres intégrée au paquet IPsec: le système n’accepte pas un paquet avec le même numéro de séquence.

Cette option est activée par défaut. L’anti-replay vérifie les numéros de séquence et applique la vérification, plutôt que d’ignorer simplement les nombres de séquence.

Désactivez l’anti-replay en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets en panne, ce qui empêche les fonctionnalités appropriées.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour permettre l’installation d’une association de sécurité sortante (SA) rekeyed sur l’équipement. Sélectionnez une valeur de 1 à 10 secondes.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes s’arrêtent après un certain laps de temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.

DF Bit

Sélectionnez la façon dont l'équipement gère le bit Don't Fragment (DF) dans l'en-tête externe :

• clear :effacer (désactiver) le DF bit de l’en-tête externe. C’est la valeur par défaut.

• copy : copiez le bit DF dans l’en-tête externe.

• set : définissez (activez) le bit DF dans l’en-tête externe.

Copier le DSCP externe

Cette option est activée par défaut. Cela permet de copier le point de code de services différencié (DSCP+ ECN) à partir du paquet chiffré d’en-tête IP externe vers le message en texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles coS internes (DSCP+ECN).