Déploiement de l`iPhone et de l`iPad Réseaux privés virtuels

Déploiement de l’iPhone
et de l’iPad
Réseaux privés virtuels (VPN)
L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iPhone et iPad via
des protocoles de réseau privé virtuel (VPN) standard bien établis. Les utilisateurs peuvent
facilement se connecter aux systèmes des entreprises via le client VPN intégré ou via
des applications tierces de Juniper Networks, Cisco, SonicWALL, Check Point,
Aruba Networks et F5 Networks.
iOS prend immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si
votre organisation prend en charge l’un de ces protocoles, aucune configuration réseau ni
application tierce n’est nécessaire pour connecter l’iPhone et l’iPad à votre VPN.
En outre, iOS prend en charge les VPN SSL pour l’accès aux serveurs VPN SSL de
Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. Pour
commencer, il suffit aux utilisateurs de se rendre sur l’App Store et de télécharger une
application client VPN développée par l’une de ces sociétés. Comme pour d’autres
protocoles VPN pris en charge par iOS, les VPN SSL peuvent être configurés manuellement
sur l’appareil ou via un Profil de configuration.
iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la
tunnelisation partagée, offrant une riche expérience VPN pour la connexion aux réseaux
d’entreprise. iOS est également compatible avec différents modes d’authentification
comme le mot de passe, le jeton à deux facteurs et les certificats numériques. Pour
simplifier la connexion dans des environnements où l’authentification par certificat est
utilisée, iOS intègre le VPN à la demande, qui lance de façon dynamique une session VPN
lors de la connexion aux domaines spécifiés.
Protocoles et modes d’authentification pris en charge
VPN SSL
Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs
et certificat.
IPSec Cisco
Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs
et l’authentification des appareils par secret partagé et certificat.
L2TP sur IPSec
Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à
deux facteurs et l’authentification des appareils par secret partagé.
PPTP
Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2 et jeton
à deux facteurs.
2
VPN à la demande
Pour les configurations utilisant l’authentification par certificat, iOS est compatible
avec le VPN à la demande. Le VPN à la demande peut établir automatiquement une
connexion lors de l’accès à des domaines prédéfinis, ce qui procure aux utilisateurs
une connectivité VPN totalement transparente.
Cette fonctionnalité d’iOS ne nécessite pas de configuration supplémentaire
du serveur. La configuration du VPN à la demande se déroule via un Profil de
configuration ou peut être effectuée manuellement sur l’appareil.
Les options de VPN à la demande sont les suivantes :
Toujours
Lance une connexion VPN pour les adresses qui correspondent au domaine spécifié.
Jamais
Ne lance pas de connexion VPN pour les adresses qui correspondent au domaine
spécifié, mais si une connexion VPN est déjà active, elle peut être utilisée.
Établir si nécessaire
Lance une connexion VPN pour les adresses qui correspondent au domaine spécifié
seulement si une recherche DNS a échoué.
Configuration VPN
•iOS s’intègre avec de nombreux réseaux VPN existants et ne demande qu’une
configuration minimale. La meilleure façon de préparer le déploiement consiste
à vérifier si les protocoles VPN et les modes d’authentification utilisés par votre
entreprise sont pris en charge par iOS.
• Il est aussi recommandé de vérifier le chemin d’authentification jusqu’à votre serveur
d’authentification pour vous assurer que les normes prises en charge par iOS sont
activées au sein de votre implémentation.
• Si vous comptez utiliser l’authentification par certificat, assurez-vous que votre
infrastructure à clé publique est configurée de manière à prendre en charge
les certificats d’appareil et d’utilisateur avec le processus de distribution de clés
correspondant.
• Si vous souhaitez configurer des réglages proxy propres à une URL, placez un fichier
PAC sur un serveur web qui soit accessible avec les réglages VPN de base et assurezvous qu’il soit hébergé avec le type MIME application/x-ns-proxy-autoconfig.
Configuration du proxy
Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour
configurer un seul proxy pour toutes les connexions, utilisez le paramètre Manuel et
fournissez l’adresse, le port et l’authentification si nécessaire. Pour attribuer à l’appareil
un fichier de configuration automatique du proxy à l’aide de PAC ou WPAD, utilisez
le paramètre Auto. Pour PACS, spécifiez l’URL du fichier PACS. Pour WPAD, l’iPhone et
l’iPad interrogeront les serveurs DHCP et DNS pour obtenir les bons réglages.
3
Scénario de déploiement
Cet exemple présente un déploiement standard avec un serveur/concentrateur VPN et avec un serveur d’authentification contrôlant
l’accès aux services réseau de l’entreprise.
Coupe-feu
Coupe-feu
3a
3b
Authentification
Certificat ou jeton
Serveur d’authentification VPN
Génération de jetons ou authentification
de certificats
Service
d’annuaire
2
1
4
Serveur/concentrateur VPN
Réseau privé
5
Internet public
Serveur proxy
1
L’iPhone et l’iPad demandent l’accès aux services réseau.
2
Le serveur/concentrateur VPN reçoit la requête, puis la transmet au serveur d’authentification.
3
Dans un environnement d’authentification à deux facteurs, le serveur d’authentification génère alors le jeton synchronisé en temps avec le
serveur de clés. Si une méthode d’authentification par certificat est déployée, un certificat d’identité doit être distribué avant l’authentification.
Si une méthode par mots de passe est déployée, la procédure d’authentification se poursuit avec la validation de l’utilisateur.
4
Une fois l’utilisateur authentifié, le serveur d’authentification valide les stratégies d’utilisateur et de groupe.
5
Une fois les stratégies d’utilisateur et de groupe validées, le serveur VPN autorise un accès chiffré par tunnel aux services réseau.
Si un serveur proxy est utilisé, l’iPhone et l’iPad se connectent via le serveur proxy pour accéder aux informations en dehors du coupe-feu.
© 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service
d’Apple Inc. Les autres noms de produits et de sociétés mentionnés sont des marques de leurs sociétés respectives. Les caractéristiques des produits sont susceptibles d’être modifiées sans préavis. Les
informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Septembre 2012