Accès VPN nomade pour SI sensible
➖ Cette configuration VPN autorise un utilisateur nomade à accéder au réseau interne de son entreprise via un tunnel mobile IPsec basé sur IKE v2 et utilisant une authentification forte à deux facteurs :
✔️ Certificat RGS fourni par CertEurope - Tinexta InfoCert
✔️ Token Yubikey 5 NFC de Yubico comme moyen d'authentification
✔️ Couple identifiant / mot de passe issus d’un hashtag#annuaire hashtag#LDAP externe
✔️ Poste disposant du client VPN IPsec Enterprise TheGreenBow
✔️ Passerelle Internet sécurisée avec Stormshield
ℹ️ Tous les flux en provenance et à destination d'un poste nomade doivent être maîtrisés. Comment ?
📝 En mettant en place une passerelle Internet sécurisée comprenant plusieurs fonctions :
👉 La première est une fonction dite « entrante » et elle est composée d’équipements de sécurité permettant la connexion de l’utilisateur nomade (concentrateur VPN, pares-feux externe et interne, etc.) au SI Interne.
👉 Une fois que le tunnel VPN est établi, l’utilisateur nomade accède aux ressources internes de son entité (applications métiers dans la zone serveurs) mais il peut également accéder à Internet au moyen d’une fonction dite « sortante », disposant d’équipements de sécurité prévus pour cet usage (proxy Web, pares-feux externe et interne, etc.).
👉 Enfin, des fonctions strictement internes à la passerelle, qui peuvent être des services d’infrastructure (annuaire, etc.) ou des services de sécurité (sonde de détection réseau, etc.), peuvent être mises en place dans la zone des services internes.