Sélectionner un Type de Mobile VPN

Fireware prend en charge quatre types de tunnels Mobile VPN :

  • Mobile VPN with IKEv2
  • Mobile VPN with L2TP
  • Mobile VPN with SSL
  • Mobile VPN with IPSec

Votre Firebox peut prendre en charge les quatre types de Mobile VPN simultanément. Vous pouvez également configurer un ordinateur client de manière à utiliser un ou plusieurs types de Mobile VPN.

Avant de décider le type de Mobile VPN à utiliser, vous devez prendre en compte votre infrastructure actuelle, vos préférences de stratégie réseau et ces détails :

La fonctionnalité Mobile VPN with PPTP n'est pas disponible dans Fireware v12.0 et les versions ultérieures. Si votre Firebox exécute Fireware v11.12.4 ou une version antérieure, Mobile VPN with PPTP est automatiquement supprimé de votre configuration lorsque vous mettez Fireware à niveau vers la v12.0 ou une version ultérieure. Nous vous recommandons de migrer vers une autre solution Mobile VPN avant la mise à niveau. Pour de plus amples informations, consultez la section Migration de PPTP à L2TP avant de mettre à niveau Fireware v12.0 ? dans la Base de Connaissances WatchGuard. Pour obtenir la documentation de Mobile VPN with PPTP, consultez l'Aide Fireware v11.12.x.

Sécurité

Chaque type de Mobile VPN présente différentes caractéristiques de sécurité.

IKEv2

Mobile VPN with IKEv2 offre le meilleur niveau de sécurité. Mobile VPN with IKEv2 gère également la sécurité multicouche. Celle-ci ce limite cependant à RADIUS et à l'authentification locale du Firebox. L'authentification client par certificat est prise en charge au lieu d'une clé pré-partagée. Pour l'authentification, Mobile VPN with IKEv2 utilise les protocoles EAP et MS-CHAPv2.

Dans Fireware v12.2 et versions ultérieures, le Firebox prend en charge le chiffrement AES-GCM.

Dans Fireware v12.5 et versions ultérieures, le Firebox prend en charge les certificats ECDSA (EC) pour Mobile VPN with IKEv2. Votre client VPN IKEv2 doit également prendre en charge les certificats EC. La prise en charge varie selon le système d'exploitation. Pour plus d'informations, consultez À propos des Certificats Elliptic Curve Digital Signature Algorithm (ECDSA).

Le Mobile VPN with IKEv2 prend en charge l'authentification multifacteur pour les solutions MFA qui prennent en charge le protocole MS-CHAPv2.

AuthPoint est la solution MFA de WatchGuard. Pour utiliser AuthPoint pour Mobile VPN with IKEv2, consultez :

L2TP

Mobile VPN with L2TP offre un haut niveau de sécurité qui comprend une sécurité multicouche. Cependant, les options du serveur d'authentification sont limitées à l'authentification RADIUS et l'authentification locale du Firebox. Le client doit connaître la clé pré-partagée.

Mobile VPN with L2TP gère également l'authentification des clients par certificat au lieu de la clé pré-partagée.

Le Mobile VPN with L2TP prend en charge l'authentification à deux facteurs pour les solutions MFA qui prennent en charge le protocole MS-CHAPv2. AuthPoint, le service MFA de WatchGuard, prend en charge l'authentification RADIUS MS-CHAPv2.

Dans Fireware v12.5.3 et les versions ultérieures, Mobile VPN with L2TP prend en charge AuthPoint pour l'authentification multifacteur à Active Directory via NPS. AuthPoint est le service MFA de WatchGuard. Pour utiliser AuthPoint avec Mobile VPN with L2TP, consultez la section :

SSL

Mobile VPN with SSL est un choix de mobile VPN sécurisé, mais il est moins sécurisé que les VPN basés sur IPSec car :

  • Il ne prend pas en charge le chiffrement multicouche
  • Un attaquant n'a besoin de connaitre que l'adresse IP du Firebox et les informations d'identification du client pour se connecter.

Dans Fireware v12.2 et versions ultérieures, Mobile VPN with SSL prend en charge l'AES-GCM.

Si votre serveur RADIUS prend en charge l'authentification multifacteur ou à deux facteurs, vous pouvez utiliser l'authentification multifacteur ou à deux facteurs avec Mobile VPN with SSL de Watchguard.

AuthPoint est la solution MFA de WatchGuard. Pour utiliser AuthPoint pour Mobile VPN with SSL, consultez la section Intégration Mobile VPN with SSL du Firebox à AuthPoint.

IPSec

Mobile VPN with IPSec prend en charge un niveau de chiffrement maximal AES 256 bits et le chiffrement multicouche.

Vous pouvez utiliser n'importe quelle méthode d'authentification acceptée par le Firebox.

Une personne malveillante disposant des informations d'identification de connexion doit également disposer des informations de paramétrage détaillées pour se connecter au VPN, qui inclut la clé pré-partagée.

Mobile VPN with IPSec gère également l'authentification des clients par certificat au lieu de la clé pré-partagée.

Si vous utilisez un serveur RADIUS gérant l'authentification multifacteur, vous pouvez l'utiliser avec Mobile VPN with IPsec de WatchGuard.

AuthPoint est la solution MFA de WatchGuard. Pour utiliser AuthPoint pour Mobile VPN with IPSec, consultez la section Intégration Mobile VPN with IPSec du Firebox à AuthPoint.

Nous recommandons Mobile VPN with IKEv2 comme alternative à Mobile VPN with IPSec. La faille Mode Agressif de l'IKEv1 décrite dans la CVE-2002-1623 concerne Mobile VPN with IPSec. Cette faille ne concerne pas Mobile VPN with IKEv2 ou L2TP. Si vous configurez Mobile VPN with IPSec, nous vous recommandons de configurer un certificat plutôt qu'une clé prépartagée si vous avez un Management Server WSM. Si vous n'avez pas de Management Server, nous vous recommandons de choisir une clé prépartagée robuste et de la changer régulièrement. Nous vous recommandons également de choisir un algorithme de hachage robuste tel que le SHA-256.

Facilité d'utilisation

IKEv2

Mobile VPN with IKEv2 prend en charge les connexions des clients VPN IKEv2 natifs des périphériques mobiles iOS, macOS et Windows. Les utilisateurs de périphériques Android peuvent configurer une connexion VPN IKEv2 avec l'application tierce strongSwan.

Les administrateurs peuvent télécharger du Firebox un script de configuration .bat pour configurer automatiquement un profil VPN IKEv2 sur les systèmes d'exploitation Windows pris en charge. De plus, le script de configuration installe automatiquement le certificat. Pour obtenir des informations relatives à la prise en charge des systèmes d'exploitation, consultez le Tableau de Compatibilité des Systèmes d'Exploitation dans les Notes de Version de Fireware.

Sur iOS et macOS, les Administrateurs peuvent télécharger un profil .mobileconfig depuis le Firebox pour configurer automatiquement le client VPN IKEv2 natif.

Sur Android, les administrateurs Firebox peuvent télécharger un fichier .sswan depuis le Firebox pour configurer automatiquement l'application strongSwan.

Mobile VPN with IKEv2 envoie l'ensemble du trafic via le tunnel VPN (tunnel complet).

L2TP

Vous pouvez utiliser Mobile VPN with L2TP avec des clients VPN natifs et n'importe quel client L2TPv2 conforme à la RFC 2661. Pour se connecter, l'utilisateur final doit spécifier un nom d'utilisateur et un mot de passe pouvant être enregistrés par certains clients VPN. Les utilisateurs doivent configurer manuellement le client L2TP.

Le routage du trafic client via L2TP est contrôlé par la configuration du client. Les clients disposent généralement d'une option permettant de router l'ensemble du trafic client via le tunnel ou de router le trafic client via le tunnel vers le sous-réseau /24 de l'adresse IP virtuelle.

SSL

Pour les utilisateurs Windows et macOS, le client est simple à télécharger et à installer. Pour télécharger le client VPN, les utilisateurs se connectent via HTTPS au Firebox et s'identifient. Une fois que les utilisateurs ont téléchargé le client, il leur suffit de connaitre leurs identifiants pour se connecter. En tant qu'administrateur, vous pouvez activer ou désactiver l'option permettant au client VPN de se souvenir du nom d'utilisateur et du mot de passe.

Les clients équipés d'autres systèmes d'exploitation et de périphériques mobiles peuvent utiliser les clients OpenVPN pour se connecter. Pour utiliser un client OpenVPN, l'utilisateur a besoin du fichier client.ovpn qui se télécharge très facilement depuis le Firebox.

IPSec

Les utilisateurs Windows peuvent télécharger et installer le client Mobile VPN WatchGuard qui offre des fonctionnalités supplémentaires. A l'issue de l'essai gratuit de 30 jours, une licence payante est requise.

Les deux clients ont besoin du fichier de configuration. Si vous utilisez le Client Mobile VPN IPSec WatchGuard, il est parfois nécessaire de saisir votre clé pré-partagée. Pour distribuer le fichier de configuration, nous vous recommandons d'utiliser une méthode sûre telle qu'un e-mail chiffré.

Le spectre du routage du tunnel des deux clients Windows peut être configuré en fonction des ressources autorisées que vous configurez.

Sur les périphériques macOS, vous devez configurer un profil Mobile VPN correspondant aux paramètres par défaut du client du périphérique et configurer le client de manière à vous connecter au VPN. Le client requiert un nom d'utilisateur et un mot de passe pour se connecter.

Pour obtenir des informations concernant les systèmes d'exploitation compatibles avec chaque type de Mobile VPN, consultez la liste de Compatibilité des Systèmes d'Exploitation des Notes de Publication Fireware. Vous trouverez les Notes de Publication de la version de votre système d'exploitation Fireware OS à la page Notes de Publication Fireware du site Web de WatchGuard.

Portabilité

La portabilité indique les environnements de réseau depuis lesquels le client VPN peut se connecter.

IKEv2

Par défaut, IKEv2 utilise IPSec, qui emploie les ports UDP 500 et 4500 et le Protocole IP ESP 50. Il est impossible de désactiver IPSec.

L2TP

Par défaut, L2TP utilise IPSec, qui emploie les ports UDP 500 et 4500 et le Protocole IP ESP 50.

Si vous désactivez IPSec, Mobile VPN with L2TP nécessite uniquement le port UDP 1701. Ce type de configuration L2TP doit être autorisée dans la plupart des environnements, à moins que le réseau ne soit configuré de manière extrêmement restrictive. Cependant, cette configuration n'assure pas la sécurité offerte par IPSec.

Si vous désactivez IPSec dans la configuration Mobile VPN with L2TP, vous devez également le désactiver sur les périphériques clients. Cette procédure est parfois plus complexe sur certains périphériques. Pour obtenir des informations concernant les paramètres IPSec d'un périphérique, consultez la documentation du fabricant.

SSL

Vous pouvez configurer Mobile VPN with SSL pour utiliser n'importe quel port TCP ou UDP ou le paramètre par défaut, TCP 443. Si vous utilisez un port UDP, vous devez tout de même indiquer un port TCP pour la requête d'authentification initiale. Cela rend Mobile VPN with SSL portable dans presque tous les environnements qui autorisent le HTTPS sortant et ne déchiffrent pas le trafic.

Bien que Mobile VPN with SSL fonctionne généralement sur la plupart des réseaux, il peut ne pas fonctionner en raison de restrictions de pare-feu :

  • Inspection du contenu — Si un périphérique réseau déchiffre le trafic HTTPS pour rechercher du contenu malveillant, Mobile VPN with SSL ne fonctionnera pas.
  • Application du protocole — Si vous activez l'option Autoriser uniquement le trafic conforme à TLS sur votre Firebox, Mobile VPN with SSL peut ne pas fonctionner.
  • Application control — Si un service de Application control bloque le logiciel open source OpenVPN, Mobile VPN with SSL ne fonctionnera pas.

Vous pouvez configurer le proxy HTTPS d'un Firebox pour autoriser les requêtes HTTPS non-conformes. Pour plus d'informations sur le proxy HTTPS, consultez Proxy HTTPS : Paramètres généraux.

IPSec

Mobile VPN with IPSec exige que le client accède au Firebox via les ports UDP 500 et 4500 et le Protocole IP ESP 50. Une configuration spéciale de la passerelle Internet du client doit souvent être appliquée de manière à éviter que les clients ne se connectent depuis des points d'accès ou des connexions mobiles à Internet.

Vous pouvez configurer un Firebox de manière à autoriser les requêtes IPSec sortantes. Pour plus d'informations sur la fonction de transit IPSec sortant, consultez À propos des Paramètres VPN globaux.

Performances

IKEv2

Mobile VPN with IKEv2 fonctionne mieux que Mobile VPN with L2TP et Mobile VPN with SSL.

L2TP

Mobile VPN with L2TP est plus rapide que Mobile VPN with SSL, mais plus lent que Mobile VPN with IKEv2.

SSL

Mobile VPN with SSL est plus lent que les autres types de Mobile VPN. Ce n'est pas la meilleure option pour le trafic sensible à la latence comme la VoIP ou les transferts de fichiers volumineux. Cependant, vous pouvez améliorer les performances de Mobile VPN with SSL si vous sélectionnez UDP pour le canal de données et les chiffrements AES-GCM.

Capacité du Tunnel VPN

Lorsque vous sélectionnez un type de VPN, tenez compte du nombre de tunnels pris en charge par votre périphérique.

Le nombre maximal de tunnels Mobile VPN IKEv2, L2TP, SSL et IPSec dépend du modèle de Firebox.

Vous pouvez consulter le nombre maximal de chaque type de tunnel VPN pris en charge par votre Firebox dans sa clé de fonctionnalité. Pour plus d'informations, consultez Capacité et Octroi de Licence pour Tunnel VPN.

Prise en charge de l'authentification

Assurez-vous que la solution Mobile VPN choisie prend en charge le type du serveur d'authentification que vous utilisez.

Type de Mobile VPN AuthPoint Active Directory LDAP RADIUS SecurID Authentification Locale du Firebox (Firebox-DB)
Mobile VPN with IKEv2 Oui Oui* Non Oui Non Oui
Mobile VPN with L2TP Oui Oui* Non Oui Non Oui
Mobile VPN with SSL Oui Oui Oui Oui Oui Oui

Mobile VPN with IPSec pour iOS, Windows et Mac OS
(client premium WatchGuard/NCP)

 Oui Oui Oui Oui

Oui

 Oui

Mobile VPN with IPSec pour Android (client natif)

 Oui Oui Oui Oui Non Oui

* L'authentification Active Directory pour l'IKEv2 et le L2TP est uniquement prise en charge via un serveur RADIUS.

Le serveur RADIUS doit renvoyer l'attribut FilterID (attribut RADIUS n° 11) dans sa réponse Access-Accept. La valeur de l'attribut Filter-Id doit correspondre au nom du groupe adéquat (Utilisateurs-SSLVPN ou le nom de groupe défini dans la configuration Mobile VPN with SSL ou Mobile VPN with IPSec).

Autres considérations

  • Mobile VPN with IKEv2 offre le plus haut niveau de sécurité, les meilleures performances et le déploiement le plus simple. Ce type de VPN dispose d'une authentification client par certificat au lieu d'une clé prépartagée.
  • Mobile VPN with IKEv2, L2TP et IPSec ne fonctionnent que lorsque les ports et protocoles requis sont autorisés sur les réseaux distants. Cela signifie que ces types de Mobile VPN peuvent ne pas fonctionner sur tous les réseaux distants.
  • Avec Mobile VPN with L2TP, vous pouvez utiliser L2TP pour transporter des protocoles autres que le protocole IP.
  • Mobile VPN with IPSec est le seul type de VPN vous autorisant à configurer différents profils de configuration VPN pour différents groupes d'utilisateurs.
  • Nous recommandons Mobile VPN with SSL lorsque le trafic IPSec IKEv2 n'est pas autorisé sur le réseau distant ou lorsqu'un tunneling fractionné est requis.

L'application Mobile VPN Android WatchGuard n'est plus disponible sur Google Play Store. L'application Mobile VPN iOS WatchGuard gratuite est disponible sur l'Apple Store. Nous ne prenons plus en charge ces applications obsolètes.

Détails du Protocole

Pour établir une connexion, chaque type de Mobile VPN utilise des ports, des protocoles et des algorithmes de chiffrement différents. Pour le bon fonctionnement de Mobile VPN, les ports et protocoles requis doivent être ouverts entre le périphérique mobile et le Firebox.

  • Ports requis : port ESP et UDP 500 ; port UDP 500 et port 4500 pour la NAT-T
  • Protocoles de transport et d'authentification :
    • IKEv2 (Internet Key Exchange Tunneling Protocol v2)
    • IPSec (Internet Protocol Security)
    • IKE (Internet Key Exchange)
    • ESP (Encapsulating Security Payload)
    • Authentification : MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
  • Protocoles de chiffrement : DES, 3DES, AES. AES-GCM est pris en charge par Fireware v12.2 et les versions ultérieures.
  • Niveau de chiffrement :
    • DES et 3DES: 56 bits et 168 bits
    • AES : 128, 192 ou 256 bits
    • AES-GCM : 128, 192 ou 256 bits (Fireware v12.2 et versions ultérieures)
  • Ports requis : port UDP 1701, UDP 500 et ESP pour l'IKE, UDP 500 et 4500 pour la NAT-T
  • Protocoles de transport et d'authentification :
    • L2TP (Layer 2 Tunneling Protocol)
    • IPSec (Internet Protocol Security)
    • IKE (Internet Key Exchange)
    • ESP (Encapsulating Security Payload)
    • Authentification : MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
  • Protocoles de chiffrement : DES, 3DES, AES.
  • Niveau de chiffrement :
    • DES et 3DES: 56 bits et 168 bits
    • AES : 128, 192 ou 256 bits
  • Ports requis :
    • TCP 443 (par défaut, recommandé)
    • UDP 53 (recommandé pour le canal de données si l'objectif est une amélioration des performances)
    • Les autres ports TCP et UDP sont moins susceptibles d'être autorisés par les réseaux distants
  • Protocoles de transport et d'authentification :
    • TLS (Transport Layer Security) — Dans Fireware v12.5.4 et les versions ultérieures, la version minimale acceptée de TLS pour les connexions VPN est TLS 1.2. Dans Fireware v12.5.5 et les versions ultérieures, votre navigateur Web doit prendre en charge TLS 1.2 ou une version ultérieure pour télécharger le client VPN SSL WatchGuard depuis le Firebox.
    • Authentification : SHA-1, SHA-256, SHA-512 Conseil !
  • Protocoles de chiffrement :
    • AES
    • AES-GCM (Fireware v12.2 et versions ultérieures)
    • 3DES
  • Niveau de chiffrement :
    • AES : 128, 192 ou 256 bits
    • AES-GCM : 128, 192 ou 256 bits (Fireware v12.2 et versions ultérieures)
    • 3DES : 168 bits

Pour Mobile VPN with SSL, vous pouvez choisir un port et un protocole différents dans certains cas. Pour plus d'informations, consultez Choisir le Port et le Protocole pour Mobile VPN with SSL

  • Ports requis :
    • Port UDP 500 pour IKE
    • Port UDP 4500 pour le parcours NAT (NAT-T)
  • Protocoles de transport et d'authentification :
    • IPSec (Internet Protocol Security)
    • IKE (Internet Key Exchange)
    • ESP (Encapsulating Security Payload)
    • Authentification : MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
  • Protocoles de chiffrement : DES, 3DES, AES.
  • Niveau de chiffrement :
    • DES et 3DES : 56 bits
    • AES : 128, 192 ou 256 bits

Voir Également

Mobile VPN with IKEv2

Mobile VPN with L2TP

À propos de Mobile VPN with SSL

Mobile VPN with IPSec