Table des matières
SecuRemote / SecureClient
Ces deux produits sont des clients VPN logiciels à utiliser en complément d'une passerelle VPN-1. Ils permettent d'établir un tunnel chiffré entre un ordinateur et une passerelle VPN, pour protéger des flux sensibles.
Description
SecureRemote
Produit historique dans l'offre de CheckPoint, il dispose des fonctionnalités de base et sont utilisation ne nécessite pas l'achat de licence. Par contre son développement a été stoppé en faveur de SecureClient.
SecureClient
SecureClient est en quelque sorte un SecuRemote 2.0 avec les fonctionnalités supplémentaires suivantes :
- Possibilité de mettre en place une politique de sécurité sur le client (firewall local)
- Attribution d'une adresse IP dédiée au tunnel VPN
- Fonctions avancées de routage
Flux à ouvrir
Sur la passerelle VPN
- Voici les flux à ouvrir de l'adresse C du client à l'adresse V de la VPN :
- UDP 259 : RDP - Permet de déterminer avec quelles interfaces de la VPN le tunnel peut-être établi. Non nécessaire si la résolution des interfaces est désactivée.
- TCP 264 : FW1_topo - Permet de récupérer la topologie du domaine VPN.
- UDP/TCP 500 : IKE - Pour le tunnel VPN.
- Voici les flux à ouvrir de l'adresse C du client à l'adresse P du Policy Server (uniquement pour SecureClient) :
- TCP 18231 : FW1_pslogon_NG - En général, c'est la VPN qui fait office de Policy Server.
- Voici les flux à ouvrir du groupe d'utilisateurs VPN à l'adresse V, en spécifiant la communauté RemoteAccess dans la colonne VPN:
- UDP 18234 : tunnel_test - Permet comme son nom l'indique de tester un tunnel VPN.
- Les flux devant passer dans le tunnel VPN doivent être autorisés du groupe d'utilisateur VPN vers les serveurs visés , sur les ports voulus et en spécifiant la communauté RemoteAccess dans la colonne VPN.
Sur un pare-feu intermédiaire
- Voici les flux à ouvrir de l'adresse C du client à l'adresse V de la VPN :
- UDP 259 : RDP - Permet de déterminer avec quelles interfaces de la VPN le tunnel peut-être établi. Non nécessaire si la résolution des interfaces est désactivée.
- TCP 264 : FW1_topo - Permet de récupérer la topologie du domaine VPN.
- UDP/TCP 500 : IKE - Pour le tunnel VPN.
- IP 50 : ESP - Pour les flux chiffrés.
- UDP 2746 : VPN1_IPSEC_encapsulation - Pour les flux chiffrés, uniquement en cas d'utilisation des options d'amélioration de connectivité.
- Flux à ouvrir de V vers C pour les firewalls non statefull :
- UDP 259 : RDP - Permet de déterminer avec quelles interfaces de la VPN le tunnel peut-être établi. Non nécessaire si la résolution des interfaces est désactivée.
- UDP 500 : IKE - Pour le tunnel VPN.
- IP 50 : ESP - Pour les flux chiffrés.
- UDP 2746 : VPN1_IPSEC_encapsulation - Pour les flux chiffrés, uniquement en cas d'utilisation des options d'amélioration de connectivité.
- Voici les flux à ouvrir de l'adresse C du client à l'adresse P du Policy Server (uniquement pour SecureClient) :
- TCP 18231 : FW1_pslogon_NG - En général, c'est la VPN qui fait office de Policy Server.
Désactiver la résolution dynamique des interfaces
Si vous n'avez pas un besoin identifié d'utiliser cette fonction, il est conseillé de la désactiver. En effet, si elle est activée, le client va lancer une connexion RDP vers chaques interfaces de la VPN à chaque établissement de tunnel. Ce qui peut se révéler gênant car cela peut diffuser sur le réseau client des adresses internes de la VPN. Pour désactiver cette fonction, il faut :
- Editer l'objet de la passerelle VPN
- Se rendre dans VPN → VPN Advanced → Dynamic Interface resolving configuration…
- Décocher la case Enable dynamic resolution by SecuRemote/SecureClient
- Supprimer le port UDP/259 des règles concernant la passerelle VPN
- Appliquer la configuration
Problèmes rencontrés
