Configuration d’IPSec, compliquée? C’est normal !

Q : Notre réseau prend en charge des postes clients VPN pour deux genres
d’utilisateurs : télétravailleurs et utilisateurs du réseau sans fil interne.
Nous acceptons des utilisateurs MAC et Windows et avons pu configurer
les fonctions IPsec de chaque système d’exploitation en harmonie avec
notre serveur SonicWALL VPN. Malheureusement, le processus de mise en
place est fastidieux et compliqué et nos utilisateurs commettent souvent
des erreurs en programmant la multitude des valeurs de configuration
IPsec.
L’une des étapes de la configuration demande aux utilisateurs d’entrer
une chaîne « secret partagé » VPN, qui est tout simplement le mot de
passe leur permettant de franchir la passerelle VPN. Cependant je ne suis
pas chaud pour distribuer le « secret partagé » VPN aux utilisateurs sous
la forme d’une chaîne en texte clair.

R :
La configuration IPsec est aussi compliquée pour la simple raison qu’elle
propose de nombreux choix : méthode de cryptage, taille des clés et authentification
de l’utilisateur. Vous n’êtes pas le seul à  rencontrer ce genre de
difficulté avec la mise en place de VPN. Heureusement plusieurs fournisseurs
offrent des utilitaires client qui automatisent la configuration VPN pour
soulager les techniciens du help desk. Ces mêmes utilitaires permettent
aussi de distribuer les clés en toute sécurité.

Pour déployer un utilitaire client VPN, vous demanderez généralement aux
utilisateurs d’utiliser un installateur générique, que vous pourrez leur offrir
gratuitement sur l’intranet. Le logiciel client est protégé par une clé de licence,
que vos utilisateurs devront peut-être entrer pour activer le programme.
Une fois installé, l’utilitaire VPN configure le moteur IPsec intégré
dans l’OS et gère l’activation de la connexion VPN. Vous pouvez configurer le client VPN de manière à  ce qu’il déclenche automatiquement un tunnel
VPN en cas de besoin, ou bien demander aux utilisateurs finaux de cliquer
sur un raccourci.

L’utilitaire client VPN automatise également l’authentification utilisateur.
Vous pouvez préstocker l’information d’authentification utilisateur, sous la
forme de certificats numériques, ou exiger que l’utilisateur entre un ID et
mot de passe utilisateur à  chaque tentative de connexion. Les certificats numériques
propres à  chaque utilisateur peuvent être distribués sans danger
par e-mail, sans risquer de diffuser des secrets partagés en texte clair.
Pour trouver un utilitaire client VPN approprié, il faut consulter en premier
lieu le fournisseur de l’appliance VPN concernée. Dans notre cas, SonicWALL
fournit un client Windows VPN qui convient pour l’accès Wi-Fi et WAN VPN.
Mieux encore, les clés de licence pour le client sont stockées dans l’appliance
VPN elle-même. Les utilisateurs ont simplement à  installer le client,
à  entrer l’adresse IP de la passerelle VPN, et à  se connecter avec leur ID et
mot de passe utilisateur. Le serveur SonicWALL VPN configure automatiquement
le client à  distance.
SonicWALL n’offre pas un client Macintosh équivalent, mais VPN Tracker de
Equinux Software fera l’affaire (www.equinux.com/products/vpntracker).
VPN Tracker est compatible avec une large palette d’appliances VPN, mais il
vous oblige à  entrer manuellement la clé de licence pour chaque utilisateur.
Si vous voulez utiliser des certificats numériques pour la distribution des
clés, il vous faudra VPN Tracker dans son édition Professionnelle.
D’autres fournisseurs de passerelles VP, comme Cisco (www.cisco.com/
en/US/products/sw/secursw/ps2308/index.html) et Juniper Networks
(www.juniper.net/products/ integrated/ipsec_client.html) ont une offre
client VPN similaire.