VPN

VPN site à site

Utilisation des certificats

V1

Utilisation des certificats

P1

La réutilisation d’un certificat pour plusieurs clients empêche d’identifier celui qui l’utilise, augmente l’exposition du certificat, et en cas de compromission de celui-ci, la révocation/réémission du certificat impacte plusieurs clients.
Il est recommandé d’utiliser des certificats uniques et individuels par machine pour une meilleure traçabilité et permettre la révocation sans effets de bords en cas de besoin.
La signature de certificats numériques générés à partir de clés privées jugées obsolètes (ex: RSA 1024) est déprécié pour des raisons de sécurité. Il faut donc empêcher l’utilisation de ces certificats.

Application

Dans les menus :

  • Accueil > Configuration > Réseau > Connexions VPN > IPSec > Connexion IPsec

  • Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Serveur OpenVPN

  • Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Connexions OpenVPN sortantes

Une fois le certificat installé, décocher Utiliser le certificat usine, et dans le menu contextuel Choisir un certificat personnalisé, choisir le certificat nouvellement ajouté. Éviter l’utilisation du certificat par défaut qui n’est pas validé par une autorité de certification reconnue.

Se référer à la section Gestion des certificats pour générer des certificats clients et serveurs à l’état de l’art.

Algorithmes de chiffrement et d’authentification

V2

Algorithmes de chiffrement et d’authentification

P1

De nouvelles vulnérabilités sur les protocoles et algorithmes sont régulièrement découvertes, remettant en cause leur niveau de protection.
Les différents protocoles et algorithmes inhérents à l’usage des VPN doivent être configurés à l’état de l’art, afin d’éviter les faiblesses des algorithmes obsolètes (cassage…) (Annexes B1 du RGS).

Application

Dans les menus :

  • Accueil > Configuration > Réseau > Connexions VPN > IPSec > Connexion IPsec

  • Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Serveur OpenVPN

  • Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Connexions OpenVPN sortantes

Choisir les valeurs suivantes pour ces paramètres :

  • Algorithme de chiffrement / Chiffrement: AES-256-CBC ou AES-256-GCM

  • Algorithme d’authentification / Authentification: SHA-256, SHA-384 ou SHA-512

Interdire le trafic entre VPN

V3

Interdire le trafic entre VPN

P1

Les flux provenant du VPN à destination des autres VPN sont à sécuriser, car la zone d’origine n’est pas forcément une zone de confiance.
Il convient de maîtriser tous les flux à destination des VPN afin d’éviter toute tentative d’attaque.

Application

Dans le menu : Accueil > Configuration > Sécurité > Pare-feu

  • Décocher la case Autoriser le trafic entre VPN

OpenVPN : Gestion de l’authentification

V4

OpenVPN : Gestion de l’authentification

P1

L’authentification par mot de passe présente plusieurs risques : la fuite du mot de passe (son remplacement nécessite alors d’intervenir sur chaque équipement concerné), son manque de renouvellement, et sa robustesse. L’usage d’un certificat individuel pour l’authentification permet de bloquer les accès par révocation du certificat. La durée de vie des certificats est également fixée, ce qui impose la rotation des secrets dans une fenêtre de temps définie. Enfin, un certificat constitue généralement un secret plus robuste qu’un mot de passe. À ce titre, c’est le mode d’authentification préconisé par l’ANSSI.
Il est recommandé de gérer l’authentification des pairs OpenVPN par certificat.

Application

La configuration d’un tunnel VPN se fait en deux parties. Tout d’abord, un serveur VPN doit être configuré, puis pour accepter les connexions des clients, une connexion entrante par client doit être configurée.

  • Authentification côté serveur

    • Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Connexion OpenVPN

    • Définir un mot de passe fort. Ce mot de passe sera également utilisé par le routeur client initiant la connexion

    • Entrer le "Common Name" du certificat du routeur client que vous aurez préalablement généré et ajouter au routeur client initiant la connexion. Se référer à la section Gestion des certificats pour voir comment ajouter un certificat dans un routeur.

  • Authentification côté client

    • Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Connexions OpenVPN sortantes

    • Entrer le mot de passe fort partagé entre le serveur et le client

OpenVPN : Choix du Diffie-Hellman

V5

OpenVPN : Choix du Diffie-Hellman

P1

De nouvelles vulnérabilités sur les protocoles et algorithmes sont régulièrement découvertes, remettant en cause leur niveau de protection.
Les différents protocoles et algorithmes inhérents à l’usage de TLS doivent être configurés à l’état de l’art, afin d’éviter les faiblesses des algorithmes obsolètes (cassage…) (SDE-NT-35/ANSSI/SDE/NP).

Application

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Serveur OpenVPN

Pour le paramètre Diffie Hellman, choisir la valeur 4096 bits (Recommandé)

OpenVPN : Utilisation de tls-crypt v2

V6

OpenVPN : Utilisation de tls-crypt v2

P1

Les premiers échanges pour l’établissement de la connexion TLS entre le client et le serveur OpenVPN sont fait en clair. Cet échange de clés fait en clair peut induire une vulnérabilité de type Man-in-the-Middle.
Pour parer ce type d’attaques, il est recommandé de renseigner une clé pré-partagée tls-crypt permettant de chiffrer aussi les trames d’établissement du canal TLS.

Application

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Serveur OpenVPN

  • Cocher la case Activer tls-crypt-v2 et renseigner la clé tls-crypt-v2

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Connexions OpenVPN sortantes

  • Cocher la case Activer tls-crypt-v2 et renseigner la clé tls-crypt-v2

OpenVPN : Désactiver la compression LZO

V7

OpenVPN : Désactiver la compression LZO

P1

L’utilisation de la compression LZO est déconseillée, car le ratio de compression laisse fuiter de l’information sur les données compressées claires.
Il est donc recommandé de désactiver la compression LZO.

Application

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Serveur OpenVPN

  • Cocher la case Désactiver la compression

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > OpenVPN > Connexions OpenVPN sortantes

  • Cocher la case Désactiver la compression

IPsec : Gestion de l’authentification

V8

IPsec : Gestion de l’authentification

P1

L’authentification par mot de passe présente plusieurs risques : la fuite du mot de passe (son remplacement nécessite alors d’intervenir sur chaque équipement concerné), son manque de renouvellement, et sa robustesse. L’usage d’un certificat individuel pour l’authentification permet de bloquer les accès par révocation du certificat. La durée de vie des certificats est également fixée, ce qui impose la rotation des secrets dans une fenêtre de temps définie. Enfin, un certificat constitue généralement un secret plus robuste qu’un mot de passe. À ce titre, c’est le mode d’authentification préconisé par l’ANSSI.
Il est recommandé d’utiliser une authentification par certificats et non par clé pré-partagée (DAT-NT-003/ANSSI/SDE/NP).

Application

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > IPSec > Connexion IPSec

  • Configurer l’authentification par certificats

    • Dans le champ Authentification par, sélectionner Certificat client

    • Dans la partie IKE authentification, décocher Utiliser le certificat usine

    • Choisir votre certificat serveur ou certificat client

    • Choisir une Politique de révocation de certificat strict

  • Configurer l’authentification par PSK

    • Dans le champ Authentification par, sélectionner Clé pré partagée

    • Entrer la valeur de la PSK dans le champ Valeur clé. Une PSK devrait avoir une entropie minimale supérieure ou égale à 100 bits

IPsec : Groupe Diffie-Hellman

V9

IPsec : Groupe Diffie-Hellman

P1

De nouvelles vulnérabilités sur les protocoles et algorithmes sont régulièrement découvertes, remettant en cause leur niveau de protection.
Les différents protocoles et algorithmes inhérents à l’usage d’IPsec doivent être configurés à l’état de l’art, afin d’éviter les faiblesses des algorithmes obsolètes (cassage…) (DAT-NT-003/ANSSI/SDE/NP).

Application

Dans le menu : Accueil > Configuration > Réseau > Connexions VPN > IPSec > Connexion IPSec

Cocher la case Paramètres avancés, pour le paramètre Groupe DH choisir parmi ces valeurs : Groupe 14, Groupe 16, Groupe 18

VPN poste à site

Désactiver PPTP

V10

Désactiver PPTP

P1

Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques. Le protocole PPTP est maintenant considéré comme un protocole obsolète niveau sécurité, afin de restreindre l’exposition de l’équipement, il doit être désactivé.

Application

Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès

Décocher la case Activer PPTP

Désactiver L2TP/IPSec

V11

Désactiver L2TP/IPSec

P1

Plus l’équipement est exposé, plus les sources possibles d’accès illégitimes sont nombreuses, et notamment les scans automatiques.
Il est conseillé de désactiver le serveur L2TP/IPSec afin de restreindre l’exposition de l’équipement.

Application

Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès

Décocher la case Activer L2TP/IPSec

Certificats utilisateurs

V12

Certificats utilisateurs

P1

La réutilisation d’un certificat pour plusieurs utilisateurs empêche d’identifier celui qui l’utilise, augmente l’exposition du certificat, et en cas de compromission de celui-ci, la révocation-réémission du certificat impacte plusieurs utilisateurs.
Les certificats utilisateurs doivent être nominatifs pour la traçabilité et permettre leur révocation en cas de besoin. Nous recommandons une validité maximum de 1 an.

Application

Dans le menu : Accueil > Configuration > Sécurité > Utilisateurs

Il est attendu le CN, i.e. Common Name, comme moyen d’identification du certificat. Renseigner le CN du certificat utilisateur dans le champ CN du certificat utilisateur. Nous recommandons de suivre la démarche suivante :

  • Délivrer un certificat par utilisateur, c’est-à-dire avec un CN unique, et ne le distribuer qu’à l’utilisateur concerné

  • Maintenir une liste des certificats attribués aux utilisateurs, ce qui facilite notamment leur révocation en cas de besoin

  • Définir une validité maximale de certificat d’un an

  • Utiliser un certificat serveur sur le routeur pour les VPN poste à site

Se référer à la section Gestion des certificats pour les bonnes pratiques de génération de certificats

Authentification deux facteurs

V13

Authentification deux facteurs

P1

Les postes mobiles des utilisateurs étant exposés, un facteur d’authentification simple peut fuiter. L’authentification des utilisateurs doit être à deux facteurs.

Application

Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès, onglets Propriétés OpenVPN et Propriétés OpenVPN (Accès SmartPhone)

Pour le paramètre Authentification des utilisateurs, choisir Login / Mot de passe + Certificat

Algorithmes de chiffrement et d’authentification

V14

Algorithmes de chiffrement et d’authentification

P1

De nouvelles vulnérabilités sur les protocoles et algorithmes sont régulièrement découvertes, remettant en cause leur niveau de protection.
Les différents algorithmes inhérents à l’usage de TLS pour l’établissement d’un VPN poste à site doivent être configurés à l’état de l’art afin d’éviter les faiblesses des algorithmes obsolètes (SDE-NT-35/ANSSI/SDE/NP).

Application

Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès, onglets Propriétés OpenVPN et Propriétés OpenVPN (Accès SmartPhone)

Choisir les valeurs suivantes pour ces paramètres :

  • Algorithme de chiffrement : AES-256-CBC ou AES-256-GCM

  • Algorithme de hachage : SHA-256, SHA-384 ou SHA-512

Une seule connexion distante à la fois

V15

Une seule connexion distante à la fois

P1

En changeant l’adresse IP du client "OpenVPN accès distant" pour une adresse IP d’un autre client "OpenVPN accès distant" déjà connecté au serveur d’accès distant, un attaquant obtient les droits de firewall de l’utilisateur usurpé.
Il est donc recommandé de n’autoriser qu’une seule connexion distante à la fois, de cette manière, les droits de firewall ne peuvent pas être usurpés.

Application

Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès, onglets Propriétés OpenVPN et Propriétés OpenVPN (Accès SmartPhone)

Cocher la case N’autoriser qu’une seule connexion distante à la fois

Désactiver la compression LZO

V16

Désactiver la compression LZO

P1

L’utilisation de la compression LZO est déconseillée, car le ratio de compression laisse fuiter de l’information sur les données compressées claires.
Il est donc recommandé de désactiver la compression LZO.

Application

Dans le menu : Accueil > Configuration > Accès distant > Moyens d’accès, onglets Propriétés OpenVPN et Propriétés OpenVPN (Accès SmartPhone)

Cocher la case Désactiver la compression