NCP Secure Enterprise VPN Client Windows

Fiche technique
NCP Secure Enterprise Client Windows
Suite Client VPN pour Windows
universelle et à gestion centralisée
 Gestion centralisée (Secure Enterprise
Management, SEM)
 Network Access Control /contrôle d'accès réseau
(Stratégie postes terminaux)
 Compatible avec toutes les grandes passerelles
VPN (norme IPsec)
 Microsoft Windows 10, 8, 7 et Vista
 Pare-feu personnel dynamique compatible iPv6
 Technologie VPN Path Finder (Backup IPsec/HTTPS)
 FIPS Inside
 Authentification renforcée
 Prise en charge multicertificat
 Prise en charge équipements 3G / 4G
 Itinérance continue pour travailler sans
interruption, même en cas de changement de
moyen de communication
Universalité et télécommunications
Le module Secure Enterprise Client (Client entreprise
sécurisé) appartient à la technologie d'accès à distance
au réseau nouvelle génération de NCP. En tant que
solution holistique VPN d'accès à distance, celle-ci est
destinée à tous les personnels dont le matériel
informatique repose sur Windows, qu'ils soient en
bureau ou nomades. Le module Secure Client (client
sécurisé) vous permet d'établir des liaisons de données
IPsec sécurisées de n'importe où dans le monde vers
des passerelles VPN d'entreprise, de NCP ou d'un autre
fabricant. L'établissement de connexion sur l'ensemble
des réseaux est entièrement indépendant du logiciel
de composition Microsoft, quel qu'il soit.
Pour le travail sur un ordinateur Windows nomade, le
service d'itinérance continue (Seamless Roaming)
veille au maintien d'une connexion permanente. A
cette fin, il sélectionne automatiquement le support
de connexion le plus rapide tout en préservant la
session d'application lors d'un passage sur un autre
support ou lors d'une courte interruption. La
technologie de recherche de chemin optimal de NCP,
dite "Path Finder Technology", permet un accès à
distance, même lorsque l'ordinateur se trouve derrière
un pare-feu ou proxy qui empêcherait normalement
l'établissement d'un tunnel IPsec.
Path Finder automatise le passage en mode de
protocole IPsec modifié utilisant le port HTTPS
disponible pour le tunnel VPN.
Le module Secure Client repose sur le Credential
Service Provider (service d'identification) pour la
connexion de domaine, ceci permettant aux
utilisateurs nomades de se connecter en toute sécurité
au domaine Windows.
Sécurité
Le module Secure Enterprise Client fournit également
des mécanismes de sécurité complémentaires, tels
qu'un pare-feu personnel dynamique intégré.
L'administrateur peut définir de manière centralisée
les règles relatives aux ports, adresses IP, sous-réseaux
IP et applications. En fonction des valeurs prédéfinies
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 1 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Client Windows
pour ces règles de sécurité, la fonction Friendly Net
Detection (FND) détecte si l'ordinateur de l'utilisateur
se trouve dans un réseau ami ou inconnu. La règle de
pare-feu correspondante est alors activée, en fonction
du réseau détecté et, de manière similaire, pour les
connexions à un point d'accès, notamment lors d'une
connexion ou déconnexion du réseau Wi-Fi.
Contrairement aux pare-feux classiques, le pare-feu
NCP entre en action dès le démarrage de l'ordinateur.
Parmi les autres fonctionnalités de sécurité, on peut
citer les solutions OTP (One-Time Password, mot de
passe à usage unique) et les certificats PKI (Public Key
Infrastructure, infrastructure de clés publiques), ainsi
que la vérification des stratégies des postes terminaux
(Endpoint Policy Check) empêchant l'accès au réseau
d'entreprise pour les ordinateurs présentant des
niveaux de sécurité inappropriés.
La prise en charge multicertificat (Multi Certificate
Support) permet les connexions VPN entre un
ordinateur donné et différentes sociétés, même
lorsque chaque société exige un certificat d'utilisateur
individuel. Elle définit pour cela un certain nombre de
paramètres de certificat, puis les attribue
individuellement aux profils de connexion spécifiques.
FIPS : Le module cryptographique intégré est validé
conformément à la norme FIPS 140-2 (certificat
#1051).
La fonctionnalité intégrée d'authentification avancée
(Advanced Authentication) du système de gestion
d'entreprise sécurisée NCP prend en charge
l'authentification à deux facteurs via SMS. Grâce aux
services du connecteur d'authentification avancée NCP
ou d'un fournisseur de services SMS, l'utilisateur peut
recevoir un mot de passe à usage unique sur son
téléphone portable (adressage via la carte SIM).
Dans certains cas extrêmes, l'administrateur peut
bloquer tous les paramètres du client sécurisé,
empêchant tout changement par l'utilisateur. En
variante, il est également possible de débloquer de
manière individuelle certains paramètres dans des cas
spécifiques, ce qui permet une couverture appropriée
de toutes les situations.
Convivialité et rentabilité
Le module Secure Enterprise Client constitue un outil
unique sur le marché en termes de convivialité et de
gestion centralisée. La composition d'appel intégrée du
client sécurisé établit automatiquement la connexion à
Internet, tandis que la détection du type de support
sélectionne systématiquement le réseau de
communication disponible le plus rapide tout en
lançant l'établissement du tunnel VPN. Durant la vie de
ce tunnel, l'itinérance continue permet un passage
automatisé au support de communication optimal,
sans influencer l'état de celui-ci.
L'interface utilisateur graphique (GUI) intuitive du
client sécurisé maintient l'utilisateur informé de l'état
du réseau et de son niveau de sécurité, avant et
pendant une connexion VPN. Des journaux détaillés
contribuent à offrir une assistance rapide du support
technique en cas d'imprévus, tandis qu'un assistant de
configuration simplifie la création des profils. Le
module Secure Client prend en charge le Wi-Fi/WLAN
(Wireless Local Area Network, réseau local sans fil) et
le WWAN (Wireless Wide Area Network, réseau
étendu sans fil, 2G, 3G, 4G). La configuration de réseau
mobile/ sans fil, incluant le nom de point d'accès (APN,
Access Point Name), est automatiquement dérivée de
la carte SIM utilisée, ainsi que des informations
détaillées du fournisseur de services mobiles/sans fil
correspondant.
Cette
approche
s'avère
particulièrement avantageuse pour le travail à
l'étranger, l'utilisateur étant ainsi libre d'acheter et
d'utiliser une carte SIM auprès du fournisseur local le
plus rentable.
La prise en charge de l'interface haut débit mobile
(Mobile Broadband Interface) sous Windows 7 et 8
assure les meilleures performances en termes de
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 2 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Client Windows
connexion aux équipements 4 G/LTE, sans pour autant
nécessiter l'installation d'une application de gestion
fournie par le fabricant de carte.
Le gestionnaire de budget (Budget Manager) permet
d'atteindre une rentabilité de fonctionnement
optimale, grâce à la définition et la supervision des
budgets volumes et temps ou des fournisseurs.
La GUI du client sécurisé comprend une zone de
configuration libre destinée à afficher le logo du client
ou des infos support; elle est en outre elle-même
conçue pour un fonctionnement sans barrières,
prenant en charge le fonctionnement d'un lecteur
d'écran.
Gestion centralisée
La gestion d'entreprise sécurisée NCP propose un point
d'administration centralisé pour le déploiement, la
mise en service, et l'administration des modules
Secure Enterprise Client (condition préalable à une
utilisation de ces modules).
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 3 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Client Windows
Système d'exploitation
Microsoft Windows (32 et 64 bits): Windows 10, Windows 8.x, Windows 7, Windows Vista
Fonctionnalités relatives à la
sécurité
Le module Enterprise Client prend en charge toutes les normes IPsec courantes
conformément à RFC
Pare-feu personnel
Configuration de pare feu
Inspection de paquets avec état (Stateful Packet Inspection) ; IP-NAT (Network Address
Translation); Friendly Net Detection (règles de pare-feu adaptées automatiquement si le
réseau connecté est reconnu sur la base de son adresse de sous-réseau IP, de l'adresse MAC
du serveur DHCP ou d'un serveur FND NCP*); Démarrage d'action liée au FND; connexion
sécurisée aux points d'accès; règles de filtrage différencié relatives aux : protocoles, ports,
applications et adresses, protection de carte réseau sans fil, prise en charge IPv4 et IPv6,
administration centralisée*
Mise en réseau
privé virtuel
IPsec (Tunnellisation de couche 3), conformité RFC ; les propositions IPsec peuvent être
déterminées via la passerelle IPsec (IKEv1/IKEv2, IPsec Phase 2) ; journalisation des
événements ; communication uniquement dans le tunnel ; fragmentation en unités MTU et
réassemblage, DPD, traversée NAT (NAT-T) ; Mode tunnel IPsec
Chiffrement
Processus symétriques : AES 128,192,256 bits; Blowfish 128,448 bits; Triple-DES 112,168 bits;
Processus dynamiques pour l'échange de clés : RSA à 2048 bits; recomposition continue
(PFS);
Algorithmes de hachage : SHA-1, SHA-256, SHA384, SHA-512, MD5, groupe DH 1, 2, 5, 14-21,
25, 26
FIPS Inside
Le client IPsec intègre des algorithmes cryptographiques conformes à la norme FIPS. Le
module cryptographique intégré incluant ces algorithmes a subi une validation
conformément à la norme FIPS 140-2 (certificat #1051). La conformité FIPS sera
systématiquement conservée lors de l'utilisation des algorithmes cités ci-après pour
l'établissement et le chiffrement de la connexion IPsec :
 Groupe DH : Groupe 2 or supérieur (DH à partir d'une longueur de 1024 bits)
 Algorithmes de hachage : SHA1, SHA 256, SHA 384, ou SHA 512 bits
 Algorithmes de chiffrement : AES avec 128, 192 et 256 bits ou Triple DES
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 4 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Client Windows
Processus d'authentification
IKEv1 (Aggressive Mode et Main Mode, Quick Mode);
XAUTH pour une authentification utilisateur étendue;
Mode IKE config. pour une affectation dynamique d'une adresse virtuelle à partir du pool
d'adresses interne (IP privé); PFS; PAP, CHAP, MS CHAP V.2; IEEE 802.1x: protocole EAP-MD5
(Extensible Authentication Protocol) : authentification étendue relative aux commutateurs et
points d'accès (Couche 2); Protocole EAP-TLS (Extensible Authentication Protocol - Transport
Layer Security): authentification étendue relative aux commutateurs et points d'accès sur la
base de certificats (Couche 2); prise en charge de certificats sous PKI: certificats logiciels,
cartes à puce et jetons USB: secrets prépartagés, mots de passe à usage unique et systèmes
stimulation/réponse; RSA SecurID ready
Authentification renforcée
Norme X.509 v.3; Entrust Ready
Normes relatives à
Inscription PKI*
Interface PKCS#11 pour jetons de chiffrement (USB et cartes à puce); systèmes
d'exploitation de carte à puce: TCOS 1.2, 2.0 et 3.0; interfaces de lecteur de carte à puce:
PC/SC, CT-API; interface PKCS#12 pour les clés privées des certificats logiciels; CSP pour
l'utilisation de certificats utilisateur dans le magasin de certificats Windows
Stratégie PIN; spécification administrative pour l'entrée PIN dans n'importe quel niveau de
complexité;
Révocation: EPRL (End-entity Public-key Certificate Revocation List, anciennement CRL),
CARL (Certification Authority Revocation List, anciennement ARL), OCSP. Protocole CMP*
(Certificate Management Protocol)
Network Access Control
(contrôle d'accès réseau)
Application de stratégies de postes terminaux**
Fonctionnalités liées à la mise
en réseau
Émulation réseau local (LAN): Adaptateur Ethernet avec interface NDIS, prise en charge
complète WLAN (Wireless Local Area Network) et WWAN (Wireless Wide Area Network,
Windows 7 Mobile Broadband)
Protocole de réseau
IP
Composition de numéros
Connecteur Internet NCP, composeur RAS Microsoft (pour composition d'appel ISP via script
de composition de numéro)
Itinérance continue**
En cas d'apparition d'une erreur de support de communication, une permutation
automatique de tunnel VPN sur un autre support de communication Internet
(LAN/WWAN/3G/4G) sans modification de l'adresse IP permet de s'assurer que les
applications communiquant via le tunnel ne sont pas dérangées et que la session
d'application n'est pas interrompue. (Condition préalable : Serveur Secure Enterprise VPN)
VPN Path Finder***
Technologie Path Finder NCP : backup IPsec/ HTTPS (port 443) si le port 500 ou, le cas
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 5 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Client Windows
(recherche de chemin VPN)
échéant, une encapsulation UDP n'est pas possible (condition préalable: technologie Path
Finder VPN NCP sur passerelle VPN)
Attribution d'adresses IP
DHCP (Dynamic Host Control Protocol), DNS: composition vers la passerelle centrale avec
adresses IP publiques variables par le biais d'une requête d'adresse IP via serveur DNS
Supports de communication
Internet, LAN, Wi-Fi, GSM (dont HSCSD), GPRS, 3G, LTE, HSDPA, PSTN, RNIS
Gestion de ligne
DPD avec intervalle de temps configurable ; mode de veille automatique ; itinérance Wi-Fi
(transfert intercellulaire) ; regroupement de canaux (dynamique dans RNIS) avec valeur de
seuil à configuration libre ; délai d'expiration (contrôlé par le temps et les frais) ; gestionnaire
de budget ; modes de connexion : automatique, manuel, variable (reconnexion en fonction
du mode de déconnexion invoqué précédemment)
APN provenant de la carte
SIM
L'APN (Access Point Name, nom de point d'accès) définit un point d'accès d'une connexion de
données mobiles chez un fournisseur. Si l'utilisateur change de fournisseur, le système utilise
automatiquement les données APN de la carte SIM pour configurer le client sécurisé.
Compression de données
IPCOMP (lzs), compressé
Fonctionnalités
supplémentaires
Encapsulation UDP, prise en charge WISPr, itinérance IPsec, itinérance Wi-Fi, séparation des
flux
Protocoles point-à-point
PPP sur ISDN, PPP sur GSM, PPP sur Ethernet; LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
Internet Society
RFC (demandes de
changement) et projets
RFC 2401 –2409 (IPsec), RFC 3947 (négociations NAT-T), RFC 3948 (encapsulation UDP),
architecture de sécurité IP, ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, traversée NAT
(NAT-T), encapsulation UDP, IPCOMP
Client Monitor
(surveillance client)
Interface graphique
utilisateur intuitive
Multilingue (anglais, espagnol, français, allemand)
Utilisation intuitive
Configuration, gestion et surveillance des connexions, statistiques de connexion, fichiers de
journalisation, test de disponibilité Internet, outil de suivi pour le diagnostic d'erreurs
Icône feu de signalisation pour l'affichage de l'état de connexion
Prise en charge intégrée de cartes Mobile Connect (intégrées)
La surveillance client (Client Monitor) peut être personnalisée avec le nom de la société et
des informations de support
Gestion de la configuration et gestion des profils protégées par mot de passe, verrouillage
des paramètres de configuration
*) Si vous souhaitez télécharger le Serveur FND de NCP comme additif, veuillez cliquer ici :
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 6 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
NCP Secure Enterprise Client Windows
https://www.ncp-e.com/en/resources/download-vpn-client.html
**) Condition préalable : Gestion d'entreprise sécurisée NCP (Secure Enterprise Management, SEM)
***) Condition préalable Serveur Secure Enterprise VPN NCP (Secure Enterprise VPN Server)
Des informations détaillées concernant le module Secure Enterprise Client NCP sont disponibles sur Internet à l'adresse
suivante :
http://www.ncp-e.com/en/products/centrally-managed-vpn-solution/managed-vpn-client-suite.html
FIPS 140-2 Inside
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 7 / 7
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299