NCP Secure Enterprise VPN Server

Transcription

Fiche technique
Logiciel de passerelle hybride IPsec / SSL VPN
plateforme universelle pour un accès à distance
complet au réseau d'entreprise
 Fonctionnalités de routage IP et de pare-feu
intégrées
 Intégration de iPhone, iPad, iOS, Android,
Téléphone/portable Windows et Blackberry
 Reprise IPsec / HTTPS
(Technologie Path Finder VPN de NCP)
 Gestion de la bande passante
 Network Access Control* (contrôle d'accès réseau)
 FIPS Inside
 Multiclient
 Sécurité des postes terminaux (SSL VPN)
 Virtualisation simple, parfaite pour VPN et Cloud
 Cryptographie à courbe elliptique (ECC, Elliptic
Curve Cryptography)
 Prise en charge multiprocesseur
Universalité
Le serveur Secure Enterprise VPN offre une solution
VPN complète reposant sur la technologie d'accès à
distance au réseau nouvelle génération de NCP.
La passerelle VPN intègre un télétravailleur nomade et
sédentaire dans un réseau de données de société
croisée. Le logiciel peut être installé sur un PC standard
fonctionnant sous Windows ou Linux, et peut être
utilisé comme outil de commutation et de surveillance
centralisé derrière un pare-feu dans la zone DMZ
(Demilitarized zone, zone démilitarisée), directement
sur le réseau public (Wide Area Network), ou comme
VM (Virtual Machine, machine virtuelle).
Dans les environnements IPsec, le serveur Secure
Enterprise VPN de NCP est compatible avec les
passerelles VPN des fournisseurs tiers reconnus. Il
constitue une plateforme d'accès à distance
universelle offrant une connectivité à tous les
clients NCP et, qui plus est, pour tous les clients VPN
tiers reposant sur la norme IPsec.
Cette solution s'appuie en outre sur des normes
internationales et peut être intégrée facilement dans
une infrastructure IT déjà existante.
Grâce à la modularité de l'architecture logicielle du
serveur Secure Enterprise VPN, les sociétés bénéficient
d'une grande liberté de planification et d'un haut
niveau de sécurité pour leurs investissements. Le
nombre d'utilisateurs distants et de tunnels VPN peut
en outre être adapté au gré des besoins.
Gestion multiclient
La "prise en charge multisociété" ou multiclient
permet une utilisation parallèle d'une passerelle VPN
par plusieurs sociétés (partage des ressources). Les
administrateurs des sociétés connectées ont ainsi la
possibilité d'utiliser un système de gestion d'accès
pratique pour la gestion de leurs clients VPN NCP
respectifs*.
Le serveur Secure Enterprise NCP contient désormais
une carte de réseau virtuel, ce qui s'avère décisif pour
les environnements Cloud et SaaS (Software as a
service, logiciel à la demande). Il peut ainsi
entièrement isoler la communication de données de
l'opérateur de passerelle et des systèmes
d'exploitation environnants. Il assure ainsi une
meilleure protection en déchiffrant les données, en les
Technologie d'accès à distance au réseau nouvelle génération
Amériques : NCP engineering, Inc. · 444 Castro Street, Suite 711 · Mountain View, CA 94041 États-Unis · Tél : +1 (650) 316-6273 · www.ncp-e.com Page 1 / 9
Autres : NCP engineering GmbH · Dombuehler Str. 2 · 90449 Nuremberg · Allemagne· Tél +49 911 9968-0 · Fax +49 911 9968-299
Fiche technique
réacheminant automatiquement dans un tunnel VPN
différent, puis en les chiffrant à nouveau.
Dans les réseaux VPN d'accès à distance à grande
échelle comportant plusieurs passerelles VPN, les
services High Availability (HA, haute disponibilité)
offrent une haute disponibilité et une charge de travail
constante pour toutes les passerelles VPN installées.
Il est possible de mettre en œuvre directement une
gestion utilisateur flexible via la passerelle VPN ou les
systèmes principaux, tels que RADIUS LDAP ou MS
Active Directory. Les fonctionnalités de routage IP et
de pare-feu intégrées gèrent ainsi la connectivité et la
sécurité liées à la mise en réseau par exemple d'une
filiale.
Les administrateurs configurent et gèrent le serveur
Secure Enterprise VPN via la gestion d'entreprise
sécurisée NCP (Secure Enterprise Management, SEM)
grâce à un plug-in ou une interface Web. La
fonctionnalité de gestion fait office de commande et
de surveillance centralisée pour tous les
composants VPN. L'automatisation intégrée optimise
les performances, assure la transparence, la sécurité,
et la rentabilité de la solution VPN.
Technologie Path Finder VPN de NCP
Le VPN Path Finder (recherche de chemin) de NCP
constitue une technologie unique en son genre,
permettant aux utilisateurs de bénéficier d'un accès à
distance sécurisé, même derrière les pare-feux, dont
les paramètres de port refusent généralement la
communication IPsec (par exemple comme dans les
hôtels).
Sécurité/Authentification renforcée
Le serveur Secure Enterprise VPN est compatible avec
toutes les normes relatives au transfert de données
hautement sécurisé dans tous les environnements
d'accès à distance.
Le serveur NCP prend en charge des fonctionnalités
d'authentification renforcée telles que les jetons à mot
de passe à usage unique (OTP), les messages texte
(SMS) ou les certificats matériels ou logiciels ainsi que
les certificats reposant sur la cryptographie à courbe
elliptique. Sur la base de listes de révocation, le
serveur vérifie la validité des certificats par rapport à
l'Autorité de certification (AC) hors ligne, ou en ligne
pour chaque composition d'appel.
L'authentification avancée NCP intègre une
authentification à 2 facteurs avec mot de passe à
usage unique (OTP) dans la gestion d'entreprise
sécurisée via SMS. Chaque mot de passe est créé par
un générateur de nombres aléatoires à l'intérieur du
connecteur d'authentification renforcée NCP.
Sécurité des postes terminaux et bac à sable
(Network Access Control, contrôle d'accès
réseau = NAC**)
L'état de sécurité des appareils terminaux nomades et
sédentaires est vérifié avant que chaque appareil n'ait
accès au réseau d'entreprise. Tous les paramètres sont
définis de manière centralisée, les droits d'accès des
personnes travaillant à distance dépendant de la
conformité à ces paramètres.
Pour l'accès VPN IPsec, les options sont les suivantes :
"disconnect" (déconnecter) ou "continue in the
quarantine zone" (continuer dans la zone de
quarantaine). Pour un accès VPN SSL, une autorisation
pour certaines applications est accordée sur la base de
niveaux de sécurité prédéfinis. Durant la session VPN
SSL, toutes les données sont stockées dans le bureau
privé virtuel de NCP (bac à sable), lequel est un espace
de travail séparé du système d'exploitation. Au terme
de la session VPN SSL, le bac à sable efface
automatiquement toutes les données de ce conteneur.
Cela signifie que les stratégies de sécurité sont
obligatoires pour chaque appareil terminal et que
l'utilisateur ne peut ni les éviter, ni les manipuler.
Fiche technique
IPsec et SSL
Grâce au serveur Secure Enterprise VPN NCP, les
sociétés sont en mesure de configurer des connexions
de données vers leur réseau d'entreprise sur la base
d'un VPN IPsec et/ou SSL.
Les personnes travaillant à distance sur la suite Secure
Client de NCP disposent d'un accès transparent à
toutes les applications et fonctionnalités de réseau,
comme si elles étaient au bureau. Cette approche
comprend également le service VoIP (voix sur IP).
Il est possible d'attribuer la même adresse IP à un
client sécurisé à chaque paramétrage de connexion.
Cette adresse IP constitue une adresse IP privée
comprise dans la plage d'adresses de la société. Ceci
permet une identification de chaque personne
travaillant à distance par son adresse IP et simplifie
l'administration à distance ainsi que la prise en charge
de l'utilisateur.
Grâce à une attribution dynamique d'une adresse IP
depuis un pool, le système réserve l'adresse pour un
utilisateur donné dans les limites d'une période définie
(durée de bail) En cas de recours à des adresses IP
variables, le serveur Secure Enterprise VPN prend
également en charge le DNS dynamique (DynDNS)
pour l'accessibilité de la passerelle VPN.
La solution VPN SSL de NCP propose les options
suivantes concernant l'accès au réseau d'entreprise :
(TCP/IP). Connexion aux applications clientes
locales (prenant en charge HTTP) via un
réacheminement de port. Le système télécharge
automatiquement le client léger vers le poste
terminal et est nécessaire pour les options de
sécurité supplémentaires telles que le cache de
protection, la sécurité des postes terminaux et le
bureau privé virtuel de NCP.
 PortableLAN – Le client lourd propose un accès
au réseau transparent et doit être installé sur
chaque poste terminal.
Pour des informations détaillées, veuillez consulter la
fiche technique séparée du serveur VPN SSL NCP.
*) uniquement en association avec la gestion d'entreprise
sécurisée NCP
**) Le contrôle d'accès réseau est un composant fixe des
passerelles VPN SSL de NCP. Un VPN IPsec demande
toutefois d'utiliser la gestion d'entreprise sécurisée NCP.
 Proxy Web – Ce module fournit à des utilisateurs
autorisés un accès sécurisé à des applications
Web internes.
 Réacheminement de port – Le client léger
fournit un accès aux applications client/serveur
Fiche technique
VPN IPsec et VPN SSL –
Généralités
Systèmes d'exploitation
32 bits: Linux Kernel 2.6 à partir de 2.6.16 (distributions à la demande)
64 bits: Windows Server 2008, Windows Server 2008 R2, Windows 2012 / 2012 R2
Linux Kernel 2.6 à partir de 2.6.16 (distributions à la demande)
Gestion
Les administrateurs configurent et gèrent le serveur Secure Enterprise VPN NCP via la gestion
d'entreprise sécurisée NCP (Secure Enterprise Management, SEM) grâce à un plug-in de
serveur VPN ou une interface Web.
Network Access Control
(contrôle d'accès réseau)
(Sécurité des postes
terminaux)
Application de stratégies pour les postes terminaux pour les connexions de données
entrantes. Vérification de paramètres clients pertinents pour la sécurité prédéfinis. Mesures
en cas d'écarts cibles/réels dans le VPN IPsec:
 Déconnexion ou poursuite dans la zone de quarantaine avec instructions à suivre
(boîte de message) ou démarrage d'applications externes (par ex. mise à jour
d'antivirus), enregistrement dans des fichiers de journalisation.
(Veuillez vous référer à la fiche technique sur la gestion d'entreprise sécurisée NCP pour
des informations détaillées)
Mesures en cas d'écarts cibles/réels dans le VPN SSL:
 Gradation individuelle de l'autorisation d'accès pour certaines applications
conformément aux niveaux de sécurité définis
DNS dynamique (DynDNS)
Configuration de connexion via Internet avec des adresses IP dynamiques. Enregistrement de
chaque adresse IP actuelle avec un fournisseur de DNS dynamiques externe. Dans ce cas, le
tunnel VPN est établi via l'attribution de nom (condition préalable : le client VPN doit être
compatible avec la résolution DNS - ce qui est le cas pour les clients sécurisés NCP)
DDNS
Enregistrement des clients VPN connectés sur le serveur de noms de domaine via DDNS,
accessibilité du client VPN sous un nom (permanent) malgré l'adresse IP variable
Protocoles de réseau
Prise en charge IP, VLAN
Multiclient
Capacité de groupe; prise en charge au maximum de 256 groupes de domaine (c'est-à-dire
configuration de l'authentification, du réacheminement, des groupes de filtres, des pools IP,
de la limitation de bande passante, etc.)
Administration utilisateur
Administration utilisateur local (jusqu'à 750 utilisateurs) ; serveur OPT; RADIUS; LDAP, Novell
NDS, MS Active Directory Services
Statistiques et journalisation
Statistiques détaillées, fonctionnalité de journalisation, envoi de messages SYSLOG
Fiche technique
FIPS Inside
Le IPsec Client intègre des algorithmes cryptographiques conformes à la norme FIPS. Le
module cryptographique intégré, contenant les algorithmes correspondants, a été certifié
conformément à la norme FIPS 140-2 (certificat #1051).
En cas de recours à l'un des algorithmes suivants pour la configuration et le chiffrement
d'une connexion IPsec, la compatibilité FIPS est systématiquement donnée:
 Diffie Hellman-Group : Groupe 2 or supérieur (DH à partir d'une longueur de 1024 bits)
 Algorithmes de hachage : SHA1, SHA 256, SHA 384, ou SHA 512 bits
 Algorithmes de chiffrement : AES avec 128, 192 et 256 bits ou Triple DES
IF-MAP
Le projet ESUCOM a pour objectif la conception et le développement d'une solution de
sécurité en temps réel pour les réseaux d'entreprise, qui fonctionne sur la base d'une
consolidation des métadonnées. Il se concentre en particulier sur la menace liée aux
terminaux nomades, comme par exemple les smartphones. ESUKOM s'intéresse à
l'intégration de solutions de sécurité existantes (commercialisées et à code source libre)
reposant sur un format de métadonnées constant conformément aux spécifications IF-MAP
du Trusted Computing Group (TCG).
Le serveur IF-MAP de l'Université de Hanovre (Hannover University of Applied Science and
Arts) est actuellement mis à disposition pour une mise à l'essai gratuite. URL :
http://trust.f4.hs-hannover.de/
Processus d'authentification
client/utilisateur
Jeton OTP, certificats (X.509 v.3) : certificats utilisateur et matériel (IPsec), nom d'utilisateur
et mot de passe (XAUTH)
Certificats (X.509 v.3)
Certificats de serveur
Il est possible d'utiliser des certificats fournis via les interfaces suivantes : interface PKCS#11
pour jetons de chiffrement (USB et cartes à puce); interface PKCS#12 pour clés privées dans
des certificats logiciels
Listes de révocation
Révocation : EPRL (End-entity Public-key Certificate Revocation List, anciennement CRL),
CARL (Certification Authority Revocation List, anciennement ARL)
Vérification en ligne
Téléchargements automatiques de listes de révocation à partir de l'AC à des intervalles
donnés;
Vérification en ligne : vérification des certificats via OCSP ou OCSP sur http
Fiche technique
VPN IPsec et VPN SSL gestion de la composition
d'appel
Supports de communication
LAN; fonctionnement direct sur le WAN: Prise en charge de 120 canaux B RNIS au max. (donc
S2M)
Gestion de ligne
DPD avec intervalle de temps configurable ; mode de veille automatique ; regroupement de
canaux (dynamique dans RNIS) avec valeur de seuil à configuration libre ; délai d'expiration
(contrôlé par le temps et les frais);
Protocoles point-à-point
PPP sur ISDN, PPP sur GSM, PPP sur PSTN, PPP sur Ethernet; LCP, IPCP, MLP, CCP, PAP, CHAP,
ECP
Gestion d'adresses de pool
Réservation d'une adresse IP dans un pool dans les limites d'une période définie (durée de
bail)
Appel déclencheur
Composition directe de la passerelle VPN distribuée via RNIS, "knocking in the D-channel"
(appel canal D)
VPN IPsec
Mise en réseau privé virtuel
IPsec (Tunnellisation de couche 3), conformité RFC;
Traitement automatique de taille MTU, fragmentation et réassemblage;
DPD;
Traversée NAT-(NAT-T);
Modes IPsec ; mode tunnel, mode transport;
Recomposition continue; PFS
Internet Society
RFC (demandes de
changement) et projets
RFC 2401 –2409 (IPsec), RFC 3947 (négociations NAT-T ), RFC 3948 (encapsulation UDP),
architecture de sécurité IP, ESP, ISAKMP/Oakley, IKE, IKEv2 (dont MOBIKE), XAUTH, IKECFG,
DPD, traversée NAT (NAT-T), encapsulation UDP, IPCOMP
Chiffrement
Processus symétriques : AES 128, 192, 256 bits;
Blowfish 128,448 bits; Triple-DES 112,168 bits;
Processus dynamiques pour l'échange de clés : RSA jusqu'à 4096 bits;
Diffie-Hellman Groups 1, 2, 5, 14-21, 25, 26;
Algorithme de hachage: MD5, SHA1, SHA 256, SHA 384, SHA 512
Pare-feu
Inspection de paquets avec état;
IP-NAT (Network Address Translation);
Filtrage des ports ; Protection de carte réseau sans fil
Fiche technique
VPN Path Finder
(recherche de chemin VPN)
Technologie Path Finder NCP: reprise IPsec/ HTTPS (port 443) si le port 500 ou, le cas
échéant, une encapsulation UDP n'est pas possible (Condition préalable : Serveur Secure
Enterprise VPN NCP 8.0)
Itinérance continue
(seamless roaming)
Grâce à l'itinérance continue, le système connecte automatiquement le tunnel VPN à un
support de communication Internet différent (LAN/ WiFi/ 3G/ 4G) sans changer l'adresse IP,
de sorte que la communication de l'application via ce tunnel n'est pas perturbée et que la
session d'application n'est pas interrompue
Processus d'authentification
IKE (Aggressive and Main Mode), Quick Mode;
XAUTH pour une authentification utilisateur étendue;
Prise en charge de certificats sous PKI : Certificats logiciels, cartes à puce, jetons USB,
certificats avec technologie ECC; clés prépartagées;
Mots de passe à usage unique et systèmes stimulation/réponse; RSA SecurID ready
Attribution d'adresses IP
DHCP (Dynamic Host Control Protocol) sur IPsec;
DNS : Sélection de la passerelle centrale avec adresse IP publique variable en interrogeant
l'adresse IP via le serveur DNS ; mode config IKE pour attribution dynamique d'une adresse
virtuelle aux clients depuis la plage d'adresses interne (IP privée)
Compression de données
IPCOMP (lzs), compressé
Système recommandé
Exigences relatives à
l'ordinateur
Unité centrale : Pentium III ou supérieur, ou compatibilité unité centrale
RAM : 512 Méga-octets minimum plus 0,256 Méga-octet par tunnel VPN utilisé
simultanément, c'est-à-dire 64 Méga-octets pour 250 tunnels VPN utilisables parallèlement
Débit de données (dont chiffrement symétrique):
Cœur unique: débit de données [MBit/s] » fréquence d'horloge [MHz]/150 MHz*8,5 MBit/s.
Double cœur: débit de données [MBit/s] » fréquence d'horloge [MHz]/150 MHz*12,5 MBit/s.
Triple cœur: débit de données [MBit/s] » fréquence d'horloge [MHz]/150 MHz*15,5 MBit/s.
Quadruple cœur: débit de données [MBit/s] » fréquence d'horloge [MHz]/150 MHz*17,5 MBit/s.
Comme le montre la formule d'approximation pour le débit de donnés plus haut, une
augmentation supplémentaire du nombre de cœurs d'unité centrale ne se traduit pas par
une augmentation proportionnelle du débit de données
Clients VPN recommandés /
Compatibilité
Modules Secure Entry Client
NCP
Modules Secure Enterprise
Client NCP
Clients VPN tiers
Windows 32/64, Mac OS, Windows Mobile, Android
Windows 32/64, Mac OS, Windows Mobile, Android, Windows CE, Linux
iOS
Fiche technique
SSL-VPN
Protocoles
SSLv1, SSLv2, TLSv1 (Tunnellisation couche d'application)
Proxy Web
Accès aux applications Web internes et lecteurs réseau Microsoft via une interface Web.
Conditions préalables pour le poste terminal : navigateur web acceptant SSL avec
fonctionnalité Java Script
Accès aux fichiers à distance
sécurisé*
Téléchargement et chargement, création et effacement de répertoires, c'est-à-dire
globalement les fonctionnalités de l'explorateur de fichiers sous Windows. Conditions
préalables pour les postes terminaux: voir Proxy Web
Réacheminement de port
Accès aux applications client/serveur (TCP/IP),
Conditions préalables pour les postes terminaux : navigateur web acceptant SSL avec
fonctionnalité Java Script, environnement d'exécution Java (>= V5.0) ou ActiveX, Client léger
SSL pour Windows 7(32/64 bits), Windows Vista (32/64 bits), Windows XP (32/64 bits) et
Linux
Bureau privé virtuel NCP
Le bureau privé virtuel est un espace de travail déconnecté du système d'exploitation de
base et uniquement disponible temporairement durant une seule session SSL VPN. Toute
application démarrée par l'utilisateur dans cet espace de travail est déconnectée du système
d'exploitation, et le bureau privé virtuel stocke les données d'application dans un conteneur
à chiffrement AES, comme par exemple les pièces jointes de courriels. Au terme de la
session VPN SSL, le bac à sable efface automatiquement toutes les données de ce conteneur
Protection du cache pour
Internet Explorer 7, 8 et 9
Toutes les données transmises sont automatiquement effacées du poste terminal après
déconnexion.
Conditions préalables pour les postes terminaux : Navigateur web acceptant SSL avec
fonctionnalité Java Script, environnement d'exécution Java (>= V5.0), Client léger SSL pour
Windows 7(32/64 bits), Windows Vista (32/64 bits), Windows XP (32/64 bits)
PortableLAN
Accès transparent au réseau d'entreprise. Conditions préalables pour les postes terminaux :
Navigateur web acceptant SSL avec fonctionnalité Java Script, environnement d'exécution
Java (>= V5.0) ou commande ActiveX, client PortableLAN pour Windows 7(32/64 bits),
Windows Vista (32/64 bits), Windows XP (32/64 bits)
Single Sign-on
(authentification unique)
L'authentification unique est utilisée dans tous les cas où la connexion au serveur Web
nécessite les mêmes données d'accès que le client VPN SSL. Il est possible de gérer de
manière centralisée l'ID utilisateur et le mot de passe via Active Directory, RADIUS ou LDAP.
En fonction de l'application, vous pouvez faire la distinction entre une authentification
unique avec authentification HTTP (Basic (RFC2617), HTTP Digest (RFC2617) et NTLM
(Microsoft)) et une méthode d'authentification unique reposant sur un formulaire de
publication.
Fiche technique
L'authentification unique a été testée avec des applications Web telles que Outlook Web
Access (OWA) 2003, 2007 et 2010, RDP Client et CITRIX Web interface 4.5, 5.1.
L'authentification unique avec réacheminement de port n'est prise en charge que par des
applications pouvant accepter un paramétrage (tels que ID utilisateur et mot de passe) dans
leur ligne de commande
Exigences relatives au
système recommandé
1-100 Clients parallèles:
Unité centrale : Intel Dual Core 1,83 GHz ou processeur x86 comparable, 1024 MB RAM
200+ Clients parallèles:
Unité centrale : Intel Dual Core 1,83 GHz ou processeur x86 comparable, 1024 MB RAM
*) Dépend du type de poste terminal. Les terminaux nomades tels que les tablettes PC (utilisant IOS
ou Android), Smartphones, ANP et autres dispositifs similaires sont soumis à certaines restrictions.
**) Les valeurs données constituent des recommandations et sont fortement influencées par le
comportement des utilisateurs et par les applications.
En cas de grands volumes simultanés de transferts de données (téléchargements et chargements de
données) à calculer, nous recommandons d'augmenter les valeurs de mémoire susmentionnées d'un
facteur 1,5.
FIPS 140-2 Inside

NCP Secure Enterprise VPN Server

Transcription

Documents pareils

ScreenOS bootcamp Firewall Contenu pédagogique

Routeur VPN avec switch 4 ports 10/100Mbps Firewall D

NCP Secure Enterprise VPN Client Windows

TheGreenBow IPsec VPN Client

NCP Secure Enterprise Management

Page 1 Vincent RABAH Mob.: (+33) 6 84 311 804 email : vincent

connexion vpn sous microsoft windows (xp)

Série VM - Palo Alto Networks

Installation et configuration du client VPN IPSEC Shrewsoft pour