Déploiement de l`iPhone et de l`iPad Réseaux privés virtuels
Transcription
Déploiement de l`iPhone et de l`iPad Réseaux privés virtuels
Déploiement de l’iPhone et de l’iPad Réseaux privés virtuels (VPN) L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iPhone et iPad via des protocoles de réseau privé virtuel (VPN) standard bien établis. Les utilisateurs peuvent facilement se connecter aux systèmes des entreprises via le client VPN intégré ou via des applications tierces de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. iOS prend immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si votre organisation prend en charge l’un de ces protocoles, aucune configuration réseau ni application tierce n’est nécessaire pour connecter l’iPhone et l’iPad à votre VPN. En outre, iOS prend en charge les VPN SSL pour l’accès aux serveurs VPN SSL de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. Pour commencer, il suffit aux utilisateurs de se rendre sur l’App Store et de télécharger une application client VPN développée par l’une de ces sociétés. Comme pour d’autres protocoles VPN pris en charge par iOS, les VPN SSL peuvent être configurés manuellement sur l’appareil ou via un Profil de configuration. iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la tunnelisation partagée, offrant une riche expérience VPN pour la connexion aux réseaux d’entreprise. iOS est également compatible avec différents modes d’authentification comme le mot de passe, le jeton à deux facteurs et les certificats numériques. Pour simplifier la connexion dans des environnements où l’authentification par certificat est utilisée, iOS intègre le VPN à la demande, qui lance de façon dynamique une session VPN lors de la connexion aux domaines spécifiés. Protocoles et modes d’authentification pris en charge VPN SSL Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificat. IPSec Cisco Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs et l’authentification des appareils par secret partagé et certificat. L2TP sur IPSec Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs et l’authentification des appareils par secret partagé. PPTP Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2 et jeton à deux facteurs. 2 VPN à la demande Pour les configurations utilisant l’authentification par certificat, iOS est compatible avec le VPN à la demande. Le VPN à la demande peut établir automatiquement une connexion lors de l’accès à des domaines prédéfinis, ce qui procure aux utilisateurs une connectivité VPN totalement transparente. Cette fonctionnalité d’iOS ne nécessite pas de configuration supplémentaire du serveur. La configuration du VPN à la demande se déroule via un Profil de configuration ou peut être effectuée manuellement sur l’appareil. Les options de VPN à la demande sont les suivantes : Toujours Lance une connexion VPN pour les adresses qui correspondent au domaine spécifié. Jamais Ne lance pas de connexion VPN pour les adresses qui correspondent au domaine spécifié, mais si une connexion VPN est déjà active, elle peut être utilisée. Établir si nécessaire Lance une connexion VPN pour les adresses qui correspondent au domaine spécifié seulement si une recherche DNS a échoué. Configuration VPN •iOS s’intègre avec de nombreux réseaux VPN existants et ne demande qu’une configuration minimale. La meilleure façon de préparer le déploiement consiste à vérifier si les protocoles VPN et les modes d’authentification utilisés par votre entreprise sont pris en charge par iOS. • Il est aussi recommandé de vérifier le chemin d’authentification jusqu’à votre serveur d’authentification pour vous assurer que les normes prises en charge par iOS sont activées au sein de votre implémentation. • Si vous comptez utiliser l’authentification par certificat, assurez-vous que votre infrastructure à clé publique est configurée de manière à prendre en charge les certificats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Si vous souhaitez configurer des réglages proxy propres à une URL, placez un fichier PAC sur un serveur web qui soit accessible avec les réglages VPN de base et assurezvous qu’il soit hébergé avec le type MIME application/x-ns-proxy-autoconfig. Configuration du proxy Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour configurer un seul proxy pour toutes les connexions, utilisez le paramètre Manuel et fournissez l’adresse, le port et l’authentification si nécessaire. Pour attribuer à l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou WPAD, utilisez le paramètre Auto. Pour PACS, spécifiez l’URL du fichier PACS. Pour WPAD, l’iPhone et l’iPad interrogeront les serveurs DHCP et DNS pour obtenir les bons réglages. 3 Scénario de déploiement Cet exemple présente un déploiement standard avec un serveur/concentrateur VPN et avec un serveur d’authentification contrôlant l’accès aux services réseau de l’entreprise. Coupe-feu Coupe-feu 3a 3b Authentification Certificat ou jeton Serveur d’authentification VPN Génération de jetons ou authentification de certificats Service d’annuaire 2 1 4 Serveur/concentrateur VPN Réseau privé 5 Internet public Serveur proxy 1 L’iPhone et l’iPad demandent l’accès aux services réseau. 2 Le serveur/concentrateur VPN reçoit la requête, puis la transmet au serveur d’authentification. 3 Dans un environnement d’authentification à deux facteurs, le serveur d’authentification génère alors le jeton synchronisé en temps avec le serveur de clés. Si une méthode d’authentification par certificat est déployée, un certificat d’identité doit être distribué avant l’authentification. Si une méthode par mots de passe est déployée, la procédure d’authentification se poursuit avec la validation de l’utilisateur. 4 Une fois l’utilisateur authentifié, le serveur d’authentification valide les stratégies d’utilisateur et de groupe. 5 Une fois les stratégies d’utilisateur et de groupe validées, le serveur VPN autorise un accès chiffré par tunnel aux services réseau. Si un serveur proxy est utilisé, l’iPhone et l’iPad se connectent via le serveur proxy pour accéder aux informations en dehors du coupe-feu. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés sont des marques de leurs sociétés respectives. Les caractéristiques des produits sont susceptibles d’être modifiées sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Septembre 2012