Utiliser l'Authentification pour Restreindre les Connexions Entrantes

L'une des fonctions des paramètres d'authentification est de restreindre les connexions sortantes de votre Firebox. Vous pouvez également utiliser l'authentification pour limiter les connexions réseau entrantes. Lorsque vous avez un compte d'utilisateur sur le Firebox et que celui-ci a une adresse IP externe publique, vous pouvez vous authentifier au Firebox depuis un ordinateur externe à son réseau. Par exemple, vous pouvez saisir cette adresse dans votre navigateur web pour vous authentifier: https://<adresse IP de l'interface externe du Firebox:4100/.

Pour une plus grande sécurité, nous vous recommandons les paramètres suivants dans la stratégie d'Authentification de WatchGuard :

Une fois authentifié, vous pouvez vous connecter au réseau derrière le Firebox selon des règles d'accès définies dans les stratégies qui sont configurées sur celui-ci. Pour plus d'informations sur les accès authentifiés, reportez-vous à la section Utiliser l'Authentification pour les Connections aux Ressources Internes.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.

    La Page Stratégies de Pare-feu s'affiche.
  2. Cliquez sur la stratégie Authentification WatchGuard (WG-Auth) pour la modifier.
    Cette stratégie s'affiche lorsque vous avez ajouté un utilisateur ou un groupe à la configuration d'une stratégie.
    La page Modifier s'affiche.
  3. Dans la liste déroulante Les connexions sont, assurez-vous que l'option Autorisées est activée.
  4. Dans la section De, cliquez sur Ajouter.

    La boîte de dialogue Ajouter un membre s'affiche.
  5. Dans la liste déroulante Type de membre, sélectionnez Alias.
  6. Dans la liste des membres, sélectionnez Tout-Approuvé.
  7. Cliquez sur OK.
  8. Répétez les Étapes 4 à 5. Dans la liste des membres, sélectionnez Tout-Optionnel.
  9. Répétez les Étapes 4 à 5. Dans la liste des membres, sélectionnez une option pour les connexions externes.
    Par exemple, vous pouvez sélectionner Réseau IPv4 et saisir une adresse IP de réseau.
  10. Dans la section À, cliquez sur Ajouter.
  11. Dans la liste déroulante Type de membre, sélectionnez Alias.
  12. Dans la liste des membres, sélectionnez une option.
    Par exemple, pour restreindre les tentatives d'authentification à une adresse IP en particulier, sélectionnez Hôte IPv4 et saisissez une adresse IP. Dans notre exemple, nous autorisons les tentatives d'authentification à une adresse IP externe et une adresse IP interne. Astuce !
  13. Cliquez sur OK.

Capture d'écran de la page des paramètres de la stratégie d'authentification WatchGuard

  1. Cliquez sur Enregistrer.
  1. Ouvrir Policy Manager pour votre périphérique.
  2. Double-cliquez sur la stratégie Authentification WatchGuard. Cette stratégie s'affiche lorsque vous avez ajouté un utilisateur ou un groupe à la configuration d'une stratégie.
    La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
  3. Dans la liste déroulante Les connexions WG-Auth sont, assurez-vous que l'option Autorisées est activée.
  4. Dans la section De, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une adresse s'affiche.
  5. Dans la liste Membres Disponibles, sélectionnez Tout-Approuvé et Tout-Optionnel et cliquez sur Ajouter.
  6. Cliquez sur Ajouter autre.
  7. Dans la liste déroulante Choisir le Type, sélectionnez une option pour les connexions externes et cliquez sur OK.
    Par exemple, vous pouvez sélectionner Réseau IPv4 et saisir une adresse IP de réseau. Dans notre exemple, nous autorisons les tentatives d'authentification depuis le réseau local, ainsi que certains réseaux externes.
  8. Cliquez sur OK.
  9. Dans la section À, cliquez sur Ajouter.
  10. Dans la liste Membres Disponibles, sélectionnez Ajouter Autre.
  11. Dans la liste déroulante Choisir le Type, sélectionnez une option pour les connexions externes et cliquez sur OK.
    Par exemple, vous pouvez sélectionner Hôte IPv4 et saisir une adresse IP. Dans notre exemple, nous autorisons les tentatives d'authentification à une adresse IP externe et une adresse IP interne. Astuce !
  12. Cliquez sur OK.

Capture d'écran de la boîte de dialogue Modifier les propriétés de la stratégie pour la stratégie d'authentification de WatchGuard.

  1. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de la stratégie.

Utiliser l'Authentification pour des Connections à des Ressources Internes

Un VPN est la manière la plus sécurisée pour la connexion des utilisateurs à des ressources internes. Si vous ne pouvez pas vous connecter avec un VPN, vous pouvez fournir un accès authentifié à des ressources internes. Par exemple, vous pouvez configurer une stratégie RDP qui s'applique uniquement aux utilisateurs authentifiés.

Avant de commencer, vérifiez que la stratégie d'Authentification WatchGuard (WG-Auth) autorise les connexions entrantes d'utilisateurs externes. Pour permettre à un utilisateur distant de s'authentifier depuis un réseau externe, consultez la section précédente.

  1. Suivez les instructions dans Configurer la traduction d'adresses réseau statique pour définir une action NAT statique.
    Dans notre exemple, les adresses IP sont 198.51.100.1 et 10.0.1.2.

  1. Sélectionnez Pare-feu > Stratégies de Pare-feu.
  2. Cliquez sur Ajouter une Stratégie.
  3. Dans la liste déroulante Filtre de Paquets, sélectionnez RDP.
  4. Cliquez sur Ajouter une Stratégie.
  5. Dans la liste De, sélectionnez Tout-Approuvé et cliquez sur Supprimer.
  6. Cliquez sur Ajouter.
  7. Dans la liste déroulante Type de Membre, sélectionnez Utilisateur de Pare-feu.
  8. Sélectionnez un nom d'utilisateur et cliquez sur OK.
  9. Dans la liste À, sélectionnez Tout-Externe et cliquez sur Supprimer.
  10. Cliquez sur Ajouter.
  11. Dans la liste déroulante Type de membre, sélectionnez NAT statique.
  12. Dans la liste à côté, sélectionnez le SNAT que vous avez créé.

Capture d'écran de la boîte de dialogue stratégie de membre

  1. Cliquez sur OK.
  1. Sélectionnez Modifier > Ajouter une Stratégie.
  2. Cliquez sur Filtres de Paquets.
  3. Sélectionnez RDP.
  4. Cliquez sur Ajouter.
  5. Dans la liste De, sélectionnez Tout-Approuvé et cliquez sur Supprimer.
  6. Cliquez sur Ajouter un Utilisateur.
  7. Sélectionnez un utilisateur et cliquez sur Sélectionner.

Capture d'écran de

  1. Dans la liste À, sélectionnez Tout-Externe et cliquez sur Supprimer.
  2. Cliquez sur Ajouter>Ajouter SNAT.
  3. Suivez les instructions dans Configurer la traduction d'adresses réseau statique pour définir une action NAT statique.
    Dans notre exemple, les adresses IP sont 198.51.100.1 et 10.0.1.2.

Vous avez maintenant deux stratégies :

  • Une stratégie d'Authentification WatchGuard (WG-Auth) qui autorise les utilisateurs à s'authentifier au Firebox à l'adresse https://[adresse IP ou nom de domaine externe]:4100
  • Une stratégie RDP qui autorise uniquement l'Utilisateur1 à accéder à l'ordinateur à l'adresse 10.0.1.2 avec RDP.

Ceci n'est qu'un exemple d'un accès authentifié. Vous pouvez ajouter plus d'utilisateurs, configurer des stratégies pour différents services et configurer des accès à différents réseaux.

Utiliser l'authentification via une passerelle Firebox

La passerelle Firebox est le Firebox WatchGuard que vous installez sur votre réseau pour protéger votre Management Server d'Internet.

Pour plus d'informations, consultez À propos de la Passerelle Firebox.

Pour envoyer une requête d'authentification via une passerelle Firebox à un autre périphérique, vous devez avoir une stratégie autorisant les connexions d'authentification sur le périphérique de passerelle. Si les connexions d'authentification sont refusées par le périphérique de passerelle, vous pouvez ajouter la stratégie WG-Auth. Cette stratégie contrôle les connexions sur le port TCP 4100. Vous devez configurer la stratégie pour qu'elle autorise les connexions à l'adresse IP du périphérique de destination.

Voir Également

À propos de l'Authentification des Utilisateurs

Ajouter des Stratégies à Votre Configuration