Déploiement d`iPhone et d`iPad Réseaux privés virtuels
Transcription
Déploiement d`iPhone et d`iPad Réseaux privés virtuels
Déploiement d’iPhone et d’iPad Réseaux privés virtuels L’accès sécurisé aux réseaux d’entreprise privés est possible sur iPhone et iPad grâce aux protocoles standard établis en matière de réseaux privés virtuels (RPV). Les utilisateurs peuvent facilement se connecter aux systèmes d’entreprise par l’intermédiaire du client de RPV d’iOS ou au moyen d’une application tierce fournie par Juniper, Cisco et F5 Networks. Dès le départ, iOS prend en charge Cisco IPSec, L2TP sur IPSec et PPTP. Si votre entreprise utilise l’un de ces protocoles, aucune autre configuration réseau ni aucune autre application tierce ne sont nécessaires pour relier iPhone et iPad à votre réseau privé virtuel. En outre, iOS prend en charge les RPV SSL, permettant l’accès aux serveurs de réseaux privés virtuels SSL Juniper série SA, Cisco ASA et F5 BIG-IP Edge Gateway. Il suffit aux utilisateurs de télécharger une application client de RPV développée par Juniper, Cisco ou F5 à partir de l’App Store pour commencer. Comme les autres protocoles de RPV pris en charge par iOS, les RPV SSL peuvent être configurés manuellement sur l’appareil ou par l’intermédiaire du Profil de configuration. iOS prend en charge les technologies standard telles que IPv6, les serveurs mandataires et la tunnellisation fractionnée, permettant d’obtenir une expérience de RPV riche lors de la connexion aux réseaux d’entreprise. De plus, iOS est compatible avec différentes méthodes d’authentification, y compris les mots de passe, les jetons à deux facteurs et les certificats numériques. Afin de simplifier la connexion dans les environnements où l’authentification par certificat est utilisée, iOS est doté de la technologie VPN On Demand, qui démarre une session de RPV de façon dynamique lors de la connexion aux domaines indiqués. Méthodes d’authentification et protocoles pris en charge RPV SSL Prend en charge l’authentification de l’utilisateur par mot de passe, par jeton à deux facteurs et par certificat. Cisco IPSec Prend en charge l’authentification de l’utilisateur par mot de passe et par jeton à deux facteurs ainsi que l’authentification de l’ordinateur par secret partagé et certificat. L2TP sur IPSec Prend en charge l’authentification de l’utilisateur par mot de passe MS-CHAP v2 et par jeton à deux facteurs ainsi que l’authentification de l’ordinateur par secret partagé et certificat. PPTP Prend en charge l’authentification de l’utilisateur par mot de passe MS-CHAP v2 et par jeton à deux facteurs. Cahier de spécifications Produit 2 VPN On Demand Dans le cas des configurations utilisant l’authentification par certificat, iOS prend en charge la technologie VPN On Demand. VPN On Demand établit automatiquement une connexion lors de l’accès aux domaines prédéfinis, permettant aux utilisateurs de se connecter aux RPV de façon transparente. Cette fonctionnalité d’iOS ne nécessite aucune autre configuration du serveur. La configuration de la technologie VPN On Demand s’effectue par l’intermédiaire d’un profil de configuration ou peut être effectuée manuellement sur l’appareil. Options de VPN On Demand : Toujours Établit une connexion à un RPV pour toute adresse correspondant au domaine indiqué. Jamais N’établit pas de connexion à un RPV pour les adresses qui correspondent au domaine indiqué, mais si le RPV est déjà actif, il peut être utilisé. Au besoin Établit une connexion à un RPV pour les adresses correspondant au domaine indiqué uniquement si la recherche d’un DNS n’a donné aucun résultat. Configuration du RPV • Une configuration minimale permet à iOS de s’intégrer à de nombreux réseaux RPV existants. Le meilleur moyen de préparer le déploiement consiste à vérifier si iOS prend en charge les protocoles et les méthodes d’authentification du RPV actuel de votre entreprise. • Nous vous recommandons de passer en revue le chemin d’authentification menant à votre serveur d’authentification afin de vérifier que les standards pris en charge par iOS sont activés au sein de votre déploiement. • Si vous avez l’intention d’utiliser l’authentification par certificat, assurez-vous que votre infrastructure de clé publique est configurée de manière à prendre en charge les certificats appareil et utilisateur avec le processus de distribution de clé correspondant. • Pour configurer des réglages de serveur mandataire en fonction d’une URL en particulier, placez un fichier PAC sur un serveur Web auquel il est possible d’accéder en utilisant les réglages de RPV de base et assurez-vous qu’il est hébergé avec le type MIME application/x-ns-proxy-autoconfig. Configuration du serveur mandataire Pour toutes les configurations, vous pouvez également définir un serveur mandataire de RPV. Pour configurer un serveur mandataire unique pour toutes les connexions, utilisez le réglage manuel et indiquez l’adresse, le port et l’authentification si nécessaire. Pour fournir un fichier de configuration automatique du serveur mandataire à l’appareil en utilisant un protocole PAC ou WPAD, utilisez la configuration automatique. Dans le cas des éléments PAC, indiquez l’URL du fichier PAC. Si le protocole WPAD est employé, iPhone et iPad recherchent les réglages appropriés dans le DHCP et le DNS. 3 Scénario de déploiement Cet exemple décrit un déploiement classique avec serveur de RPV-concentrateur et serveur d’authentification contrôlant l’accès aux services réseau de l’entreprise. Coupe-feu Coupe-feu 3a 3b Authentification certificat ou jeton Serveur d’authentification du RPV Génération de jeton ou authentification par certificat Service de répertoire 2 1 4 Serveur de RPV-concentrateur Réseau privé 5 Internet public Serveur mandataire 1 iPhone et iPad demandent l’accès aux services réseau. 2 Le serveur de RPV-concentrateur reçoit la demande et la transmet au serveur d’authentification. 3 Dans un environnement à deux facteurs, le serveur d’authentification gère alors la génération synchronisée d’un jeton clé avec le serveur de clés. Si une méthode d’authentification par certificat est déployée, un certificat de clé publique doit être distribué avant l’authentification. Si une méthode d’authentification par mot de passe est déployée, l’authentification passe à la validation de l’utilisateur. 4 Une fois l’utilisateur authentifié, le serveur d’authentification valide les politiques d’utilisateur et de groupe. 5 Une fois les politiques d’utilisateur et de groupe validées, le serveur de RPV établit l’accès par tunnel chiffré aux services réseau. 6 Si un serveur mandataire est actif, iPhone et iPad se connectent par l’intermédiaire du serveur mandataire pour accéder aux données à l’extérieur du coupe-feu. © 2011 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques de commerce d’Apple Inc., enregistrées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres produits et dénominations sociales mentionnés ici peuvent être des marques de commerce de leurs sociétés respectives. Les caractéristiques des produits peuvent changer sans préavis. Le présent document n’est fourni qu’à titre d’information; Apple se dégage de toute responsabilité quant à son utilisation. Octobre 2011 L419828B