Déploiement d`iPhone et d`iPad Réseaux privés virtuels

Déploiement d’iPhone et d’iPad
Réseaux privés virtuels
L’accès sécurisé aux réseaux d’entreprise privés est possible sur iPhone et iPad grâce aux
protocoles standard établis en matière de réseaux privés virtuels (RPV). Les utilisateurs
peuvent facilement se connecter aux systèmes d’entreprise par l’intermédiaire du client de
RPV d’iOS ou au moyen d’une application tierce fournie par Juniper, Cisco et F5 Networks.
Dès le départ, iOS prend en charge Cisco IPSec, L2TP sur IPSec et PPTP. Si votre entreprise
utilise l’un de ces protocoles, aucune autre configuration réseau ni aucune autre application
tierce ne sont nécessaires pour relier iPhone et iPad à votre réseau privé virtuel.
En outre, iOS prend en charge les RPV SSL, permettant l’accès aux serveurs de réseaux privés
virtuels SSL Juniper série SA, Cisco ASA et F5 BIG-IP Edge Gateway. Il suffit aux utilisateurs
de télécharger une application client de RPV développée par Juniper, Cisco ou F5 à partir
de l’App Store pour commencer. Comme les autres protocoles de RPV pris en charge par iOS,
les RPV SSL peuvent être configurés manuellement sur l’appareil ou par l’intermédiaire du
Profil de configuration.
iOS prend en charge les technologies standard telles que IPv6, les serveurs mandataires et
la tunnellisation fractionnée, permettant d’obtenir une expérience de RPV riche lors de la
connexion aux réseaux d’entreprise. De plus, iOS est compatible avec différentes méthodes
d’authentification, y compris les mots de passe, les jetons à deux facteurs et les certificats
numériques. Afin de simplifier la connexion dans les environnements où l’authentification
par certificat est utilisée, iOS est doté de la technologie VPN On Demand, qui démarre une
session de RPV de façon dynamique lors de la connexion aux domaines indiqués.
Méthodes d’authentification et protocoles pris en charge
RPV SSL
Prend en charge l’authentification de l’utilisateur par mot de passe, par jeton à deux facteurs
et par certificat.
Cisco IPSec
Prend en charge l’authentification de l’utilisateur par mot de passe et par jeton à deux
facteurs ainsi que l’authentification de l’ordinateur par secret partagé et certificat.
L2TP sur IPSec
Prend en charge l’authentification de l’utilisateur par mot de passe MS-CHAP v2 et par jeton à
deux facteurs ainsi que l’authentification de l’ordinateur par secret partagé et certificat.
PPTP
Prend en charge l’authentification de l’utilisateur par mot de passe MS-CHAP v2 et par jeton
à deux facteurs.
Cahier de spécifications
Produit
2
VPN On Demand
Dans le cas des configurations utilisant l’authentification par certificat, iOS prend en charge
la technologie VPN On Demand. VPN On Demand établit automatiquement une connexion
lors de l’accès aux domaines prédéfinis, permettant aux utilisateurs de se connecter aux RPV
de façon transparente.
Cette fonctionnalité d’iOS ne nécessite aucune autre configuration du serveur. La configuration
de la technologie VPN On Demand s’effectue par l’intermédiaire d’un profil de configuration
ou peut être effectuée manuellement sur l’appareil.
Options de VPN On Demand :
Toujours
Établit une connexion à un RPV pour toute adresse correspondant au domaine indiqué.
Jamais
N’établit pas de connexion à un RPV pour les adresses qui correspondent au domaine
indiqué, mais si le RPV est déjà actif, il peut être utilisé.
Au besoin
Établit une connexion à un RPV pour les adresses correspondant au domaine indiqué
uniquement si la recherche d’un DNS n’a donné aucun résultat.
Configuration du RPV
• Une configuration minimale permet à iOS de s’intégrer à de nombreux réseaux RPV
existants. Le meilleur moyen de préparer le déploiement consiste à vérifier si iOS prend en
charge les protocoles et les méthodes d’authentification du RPV actuel de votre entreprise.
• Nous vous recommandons de passer en revue le chemin d’authentification menant à votre
serveur d’authentification afin de vérifier que les standards pris en charge par iOS sont
activés au sein de votre déploiement.
• Si vous avez l’intention d’utiliser l’authentification par certificat, assurez-vous que votre
infrastructure de clé publique est configurée de manière à prendre en charge les certificats
appareil et utilisateur avec le processus de distribution de clé correspondant.
• Pour configurer des réglages de serveur mandataire en fonction d’une URL en particulier,
placez un fichier PAC sur un serveur Web auquel il est possible d’accéder en utilisant
les réglages de RPV de base et assurez-vous qu’il est hébergé avec le type MIME
application/x-ns-proxy-autoconfig.
Configuration du serveur mandataire
Pour toutes les configurations, vous pouvez également définir un serveur mandataire
de RPV. Pour configurer un serveur mandataire unique pour toutes les connexions, utilisez le
réglage manuel et indiquez l’adresse, le port et l’authentification si nécessaire. Pour fournir
un fichier de configuration automatique du serveur mandataire à l’appareil en utilisant un
protocole PAC ou WPAD, utilisez la configuration automatique. Dans le cas des éléments
PAC, indiquez l’URL du fichier PAC. Si le protocole WPAD est employé, iPhone et iPad
recherchent les réglages appropriés dans le DHCP et le DNS.
3
Scénario de déploiement
Cet exemple décrit un déploiement classique avec serveur de RPV-concentrateur et serveur d’authentification contrôlant l’accès aux services
réseau de l’entreprise.
Coupe-feu
Coupe-feu
3a
3b
Authentification
certificat ou jeton
Serveur d’authentification du RPV
Génération de jeton ou authentification par certificat
Service de
répertoire
2
1
4
Serveur de RPV-concentrateur
Réseau privé
5
Internet public
Serveur mandataire
1
iPhone et iPad demandent l’accès aux services réseau.
2
Le serveur de RPV-concentrateur reçoit la demande et la transmet au serveur d’authentification.
3
Dans un environnement à deux facteurs, le serveur d’authentification gère alors la génération synchronisée d’un jeton clé avec le serveur de clés.
Si une méthode d’authentification par certificat est déployée, un certificat de clé publique doit être distribué avant l’authentification. Si une méthode
d’authentification par mot de passe est déployée, l’authentification passe à la validation de l’utilisateur.
4
Une fois l’utilisateur authentifié, le serveur d’authentification valide les politiques d’utilisateur et de groupe.
5
Une fois les politiques d’utilisateur et de groupe validées, le serveur de RPV établit l’accès par tunnel chiffré aux services réseau.
6
Si un serveur mandataire est actif, iPhone et iPad se connectent par l’intermédiaire du serveur mandataire pour accéder aux données à l’extérieur
du coupe-feu.
© 2011 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques de commerce d’Apple Inc., enregistrées aux États-Unis et dans d’autres pays. App Store est une
marque de service d’Apple Inc. Les autres produits et dénominations sociales mentionnés ici peuvent être des marques de commerce de leurs sociétés respectives. Les caractéristiques des produits
peuvent changer sans préavis. Le présent document n’est fourni qu’à titre d’information; Apple se dégage de toute responsabilité quant à son utilisation. Octobre 2011 L419828B