Créer un VPN d’accès distant – Juniper Secure Connect

Nom

Entrez un nom pour la connexion d’accès à distance. Ce nom sera affiché en tant que nom de domaine de l’utilisateur final dans le client Juniper Secure Connect.

Description

Saisissez une description. Cette description sera utilisée pour les propositions IKE et IPsec, les stratégies, le profil d’accès à distance, la configuration client et l’ensemble de règles NAT.

Lors de la modification, la description de la stratégie IPsec s’affiche. Les descriptions des stratégies IPsec et des profils d’accès à distance seront mises à jour.

Mode de routage

Cette option est désactivée pour l’accès à distance.

Le mode par défaut est le sélecteur de trafic (insertion automatique d’itinéraire).

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste que l’appareil utilise pour authentifier la source des messages IKE (Internet Key Exchange) :

• Clé pré-partagée (méthode par défaut) : spécifie qu’une clé pré-partagée, c’est-à-dire une clé secrète partagée entre les deux homologues, est utilisée lors de l’authentification pour identifier les homologues les uns avec les autres. La même clé doit être configurée pour chaque homologue. Il s’agit de la méthode par défaut.

• Basé sur un certificat : spécifie le type de signatures numériques, c’est-à-dire les certificats qui confirment l’identité du détenteur du certificat.

  La signature prise en charge est rsa-signatures. rsa-signatures spécifie qu’un algorithme de clé publique, qui prend en charge le chiffrement et les signatures numériques, est utilisé.

Création automatique d’une stratégie de pare-feu

Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement créée entre la zone interne et la zone d’interface de tunnel avec les réseaux protégés locaux comme adresse source et les réseaux protégés distants comme adresse de destination.

Une autre politique de pare-feu sera créée inversement.

Si vous choisissez Non, cela signifie que vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Utilisateur distant

Affiche l’icône de l’utilisateur distant dans la topologie. Cliquez sur l’icône pour configurer les paramètres du client Juniper Secure Connect.

Pour plus d’informations sur les champs, voir le tableau 2.

Passerelle locale

Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir le tableau 3.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec les algorithmes ou valeurs recommandés.

Pour plus d’informations sur les champs, voir le tableau 6.

Profil par défaut

Activez cette option pour utiliser le nom VPN configuré comme profil d’accès distant par défaut.

Mode de connexion

Sélectionnez l’une des options suivantes dans la liste pour établir la connexion client Juniper Secure Connect :

• Manual (Manuel) : vous devez vous connecter manuellement au tunnel VPN chaque fois que vous vous connectez.

• Toujours : vous êtes automatiquement connecté au tunnel VPN chaque fois que vous vous connectez.

Le mode de connexion par défaut est Manuel.

SSL VPN

Activez cette option pour établir une connexion SSL VPN entre le client Juniper Secure Connect et le périphérique SRX Series.

Par défaut, cette option est activée.

Authentification biométrique

Activez cette option pour authentifier le système client à l’aide de méthodes configurées uniques.

Une invite d’authentification s’affiche lorsque vous vous connectez au système client. La connexion VPN ne sera initiée qu’après une authentification réussie via la méthode configurée pour Windows Hello (reconnaissance d’empreintes digitales, reconnaissance faciale, saisie de code PIN, etc.).

Windows Hello doit être préconfiguré sur le système client si l’option d’authentification biométrique est activée.

Détection des pairs morts

Activez l’option Dead Peer Detection (DPD) pour permettre au client Juniper Secure Connect de détecter si le périphérique SRX Series est accessible.

Désactivez cette option pour permettre au client Juniper Secure Connect de détecter jusqu’à ce que l’accessibilité de la connexion du périphérique SRX Series soit rétablie.

Cette option est activée par défaut.

Intervalle DPD

Entrez la durée pendant laquelle l’homologue attend le trafic de son homologue de destination avant d’envoyer un paquet de demande DPD (Dead-Peer Detection). La plage est comprise entre 2 et 60 secondes et la valeur par défaut est de 60 secondes.

Seuil DPD

Entrez le nombre maximal de demandes DPD (Dead Peer Detection) infructueuses à envoyer avant que l’homologue ne soit considéré comme indisponible. La plage est comprise entre 1 et 5 et la valeur par défaut est 5.

Certificats

Activez Certificats pour configurer les options de certificat sur Secure Client Connect.

Avertissement relatif à la date d’expiration

Activez cette option pour afficher l’avertissement d’expiration du certificat sur le client Secure Connect.

Cette option est activée par défaut.

Intervalle d’avertissement

Entrez l’intervalle (jours) auquel l’avertissement doit être affiché.

La plage est comprise entre 1 et 90. La valeur par défaut est 60.

Exigences de broches par connexion

Activez cette option pour entrer le code PIN du certificat lors d’une connexion.

Cette option est activée par défaut.

EAP-TLS (en anglais seulement)

Activez cette option pour le processus d’authentification. IKEv2 nécessite EAP pour l’authentification des utilisateurs. L’équipement SRX Series ne peut pas agir en tant que serveur EAP. Un serveur RADIUS externe doit être utilisé pour l’EAP IKEv2 afin d’effectuer l’authentification EAP. SRX agira comme un authentificateur pass-through relayant les messages EAP entre le client Juniper Secure Connect et le serveur RADIUS.

Cette option est activée par défaut.

Enregistrer le nom d’utilisateur

À partir de Junos OS version 22.1R1, vous pouvez activer cette option pour enregistrer le nom d’utilisateur distant.

Enregistrer le mot de passe

À partir de Junos OS version 22.1R1, vous pouvez activer cette option pour enregistrer le nom d’utilisateur et le mot de passe distants.

Ouverture de session Windows

Activez cette option pour permettre aux utilisateurs de se connecter en toute sécurité au domaine Windows avant de se connecter au système Windows. Le client prend en charge l’ouverture de session de domaine à l’aide d’un fournisseur de services d’informations d’identification après avoir établi une connexion VPN au réseau de l’entreprise.

Nom de domaine

Entrez le nom de domaine système sur lequel l’ordinateur utilisateur se connecte.

Mode

Sélectionnez l’une des options suivantes dans la liste pour vous connecter au domaine Windows.

• Manuel : vous devez saisir manuellement vos données d’ouverture de session sur l’écran d’ouverture de session Windows.

• Automatique : le logiciel client transfère les données saisies ici vers l’interface d’ouverture de session Microsoft (fournisseur d’informations d’identification) sans que vous n’agissiez.

Déconnexion à la fermeture de session

Activez cette option pour arrêter la connexion lorsque le système passe en mode veille prolongée ou veille. Lorsque le système sort de l’hibernation ou du mode veille, la connexion doit être rétablie.

Vider les informations d’identification à la fermeture de session

Activez cette option pour supprimer le nom d’utilisateur et le mot de passe du cache. Vous devez saisir à nouveau le nom d’utilisateur et le mot de passe.

Délai d’exécution Durée

Saisissez le délai d’initialisation entre l’ouverture de session réseau et l’ouverture de session au domaine.

Une fois la connexion établie, l’ouverture de session Windows ne sera exécutée qu’après l’expiration du délai d’initialisation défini ici.

Authentification EAP

Activez cette option pour exécuter l’authentification EAP avant la boîte de dialogue de destination dans le fournisseur d’informations d’identification. Ensuite, le système vous demandera le code PIN nécessaire, que le PAE soit requis ou non pour la connexion ultérieure.

Si cette option est désactivée, l’authentification EAP sera exécutée après la sélection de la destination.

Ouverture automatique de la boîte de dialogue

Activez cette option pour sélectionner si une boîte de dialogue doit s’ouvrir automatiquement pour l’établissement d’une connexion à un domaine distant.

Si cette option est désactivée, le mot de passe et le code PIN du client ne seront interrogés qu’après l’ouverture de session Windows.

La passerelle se trouve derrière le NAT

Activez cette option lorsque la passerelle locale se trouve derrière un périphérique NAT.

Adresse IP NAT

Entrez l’adresse IP publique (NAT) du périphérique SRX Series.

IKE ID

Ce champ est obligatoire. Saisissez l’ID IKE au format user@example.com.

Interface externe

Sélectionnez dans la liste une interface sortante à laquelle le client se connectera.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IPv4 sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste à laquelle le client souhaite se connecter.

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Create Tunnel Interface (Créer une interface de tunnel) s’affiche. Pour plus d’informations sur la création d’une interface de tunnel, reportez-vous au Tableau 4.

Cliquez sur Modifier pour modifier l’interface de tunnel sélectionnée.

Clé pré-partagée

Entrez l’une des valeurs suivantes de la clé prépartagée :

• ascii-text : clé de texte ASCII.

• hexadecimal : clé hexadécimale.

Certificat local

Sélectionnez un certificat local dans la liste.

Le certificat local répertorie uniquement les certificats RSA.

Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, reportez-vous à la section Ajouter un certificat d’appareil.

Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’appareil, reportez-vous à la section Importation d’un certificat d’appareil.

Autorité de certification/groupe de confiance

Sélectionnez un profil d’autorité de certification/de groupe de confiance dans la liste.

Pour ajouter un profil d’autorité de certification, cliquez sur Ajouter un profil d’autorité de certification. Pour plus d’informations sur l’ajout d’un profil d’autorité de certification, consultez Ajouter un profil d’autorité de certification.

Authentification de l’utilisateur

Ce champ est obligatoire. Sélectionnez dans la liste le profil d’authentification qui sera utilisé pour authentifier l’utilisateur accédant au VPN d’accès à distance.

Cliquez sur Ajouter pour créer un nouveau profil. Pour plus d’informations sur la création d’un profil d’accès, consultez Ajouter un profil d’accès.

Profil VPN SSL

Sélectionnez le profil VPN SSL dans la liste qui sera utilisé pour mettre fin aux connexions d’accès à distance.

Pour créer un profil VPN SSL :

1. Cliquez sur Ajouter.

2. Saisissez les informations suivantes :

   • Name (Nom) : entrez le nom d’un profil VPN SSL.

   • Journalisation : activez cette option pour la journalisation du VPN SSL.

   • Profil de terminaison SSL : sélectionnez un profil de terminaison SSL dans la liste.

     Pour ajouter un nouveau profil de terminaison SSL :

     1. Cliquez sur Ajouter.

        La page Créer un profil de résiliation SSL s’affiche.

     2. Saisissez les informations suivantes :

        • Name (Nom) : entrez un nom pour le profil de terminaison SSL.

        • Certificat de serveur : sélectionnez un certificat de serveur dans la liste.

          Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, reportez-vous à la section Ajouter un certificat d’appareil.

          Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’appareil, reportez-vous à la section Importation d’un certificat d’appareil.

        • Cliquez sur OK.

     3. Cliquez sur OK.

3. Cliquez sur OK.

Trafic NAT source

Cette option est activée par défaut.

Tout le trafic provenant du client Juniper Secure Connect est NATé vers l’interface sélectionnée par défaut.

Si cette option est désactivée, vous devez vous assurer que votre réseau dispose d’un itinéraire pointant vers les périphériques SRX Series pour gérer correctement le trafic de retour.

Interface

Sélectionnez une interface dans la liste par laquelle transite le trafic NAT source.

Réseaux protégés

Cliquez sur +. La page Create Protected Networks (Créer des réseaux protégés) s’affiche.

La zone

Sélectionnez dans la liste une zone de sécurité qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse mondiale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche vers la droite pour la déplacer vers la colonne Sélectionné.

Cliquez sur Ajouter pour sélectionner les réseaux auxquels le client peut se connecter.

La page Créer une adresse globale s’affiche. Pour plus d’informations sur les champs, voir le tableau 5.

Modifier

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône en forme de crayon.

La page Modifier les réseaux protégés s’affiche avec des champs modifiables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression.

Le message de confirmation s’affiche.

Cliquez sur Oui pour supprimer le réseau protégé.

Unité d’interface

Entrez le numéro de l’unité logique.

Description

Entrez une description pour l’interface logique.

La zone

Sélectionnez une zone dans la liste pour l’ajouter à l’interface du tunnel.

Cette zone est utilisée dans la création automatique de la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Entrez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Nom

Entrez un nom pour l’adresse globale. Le nom doit être une chaîne unique commençant par un caractère alphanumérique et pouvant inclure des signes deux-points, des points, des tirets et des traits de soulignement. aucun espace n’est autorisé ; 63 caractères maximum.

Type d’IP

Sélectionnez IPv4.

Adresse IPv4

Saisissez une adresse IPv4 valide.

Sous-réseau

Entrez le sous-réseau pour l’adresse IPv4.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est AES-CBC 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, SHA 256 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Secondes à vie

Sélectionnez la durée de vie (en secondes) d’une association de sécurité (SA) IKE.

La valeur par défaut est de 28 800 secondes. Autonomie : 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’homologue mort, qu’il y ait ou non du trafic IPsec sortant vers l’homologue.

DPD Mode

Sélectionnez l’une des options dans la liste :

• optimized : envoie des sondes uniquement lorsqu’il y a du trafic sortant et aucun trafic de données entrant - RFC3706 (mode par défaut).

• probe-idle-tunnel : envoie les sondes de la même manière qu’en mode optimisé et également lorsqu’il n’y a pas de trafic de données entrant et sortant.

• always-send : envoie des sondes périodiquement, quel que soit le trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle (en secondes) pour envoyer des messages de détection d’homologue mort. L’intervalle par défaut est de 10 secondes. La plage est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un nombre compris entre 1 et 5 pour définir le seuil d’échec DPD.

Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés lorsqu’il n’y a pas de réponse de l’homologue. Le nombre par défaut de transmissions est de 5 fois.

NAT-T

Activez cette option pour que le trafic IPsec passe par un périphérique NAT.

NAT-T est un algorithme IKE de phase 1 utilisé pour tenter d’établir une connexion VPN entre deux périphériques de passerelle, où il y a un périphérique NAT devant l’un des périphériques SRX Series.

NAT Rester en vie

Sélectionnez l’intervalle keepalive approprié en secondes. Portée : 1 à 300.

Si l’on s’attend à ce que le VPN ait de longues périodes d’inactivité, vous pouvez configurer des valeurs keepalive pour générer un trafic artificiel afin de maintenir la session active sur les périphériques NAT.

Limite de connexion IKE

Entrez le nombre de connexions simultanées prises en charge par le profil VPN.

La plage est comprise entre 1 et 4294967295.

Lorsque le nombre maximal de connexions est atteint, plus aucun point de terminaison utilisateur d’accès distant (VPN) ne tentant d’accéder à un VPN IPsec ne peut commencer des négociations IKE (Internet Key Exchange).

IKEv2 Fragmentation

Cette option est activée par défaut. La fragmentation IKEv2 divise un message IKEv2 volumineux en un ensemble de messages plus petits afin qu’il n’y ait pas de fragmentation au niveau IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément.

Taille des fragments IKEv2

Sélectionnez la taille maximale, en octets, d’un message IKEv2 avant qu’il ne soit divisé en fragments.

La taille s’applique au message IPv4. Plage : 570 à 1320 octets.

La valeur par défaut est de 576 octets.

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est AES-GCM 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, HMAC-SHA-256-128.

Confidentialité persistante parfaite

Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’appareil utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés plus haut offrent plus de sécurité, mais nécessitent plus de temps de traitement.

Secondes à vie

Sélectionnez la durée de vie (en secondes) d’une association de sécurité IPsec (SA). Lorsque la SA expire, elle est remplacée par une nouvelle SA et un nouvel index des paramètres de sécurité (SPI) ou résiliée. La valeur par défaut est de 3 600 secondes. Autonomie : 180 à 86 400 secondes.

Kilo-octets sur toute la durée de vie

Sélectionnez la durée de vie (en kilo-octets) d’une SA IPsec. La valeur par défaut est de 256 Ko. Portée : 64 à 4294967294.

Anti Replay

IPsec protège contre les attaques VPN en utilisant une séquence de numéros intégrée au paquet IPsec : le système n’accepte pas de paquet portant le même numéro de séquence.

Cette option est activée par défaut. L’Anti-Replay vérifie les numéros de séquence et applique la vérification, plutôt que de simplement ignorer les numéros de séquence.

Désactivez l’anti-relecture en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets dans le désordre, ce qui empêche le bon fonctionnement.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour autoriser l’installation d’une association de sécurité sortante (SA) recléée sur l’appareil. Sélectionnez une valeur comprise entre 1 et 10 secondes.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes expirent après un certain temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.

Embout DF

Sélectionnez la façon dont l’appareil gère le bit Don’t Fragment (DF) dans l’en-tête externe :

• clear : efface (désactive) le bit DF de l’en-tête externe. Il s’agit de l’option par défaut.

• copy : copie le bit DF dans l’en-tête externe.

• set : définissez (activez) le bit DF dans l’en-tête externe.

Copier le DSCP externe

Cette option est activée par défaut. Cela permet de copier le point de code de services différenciés (DSCP) (DSCP+ECN externe) du paquet chiffré de l’en-tête IP externe vers le message texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles CoS internes (DSCP+ECN).