Connexion 2FA VPNSSL avec le portail captif

Tutoriel Stormshield

Tutorial Thumbnail
  1. Tutoriels
  2. Stormshield
  3. Connexion 2FA VPNSSL avec le portail captif

Dans le cadre de la mise en place d'un VPN SSL, la meilleure solution reste la mise en place d'une authentification avec double facteur (mot de passe + code à usage unique).


Le problème étant que si vous avez une perturbation pendant la connexion VPN (coupure réseau, mise en veille de l'ordinateur...) il peut être assez contraignait et barbant de devoir se reconnecter et de devoir ressaisir à chaque fois son mot de passe + code à usage unique qui a changé depuis le temps.


Dans ce tutoriel, nous allons présenter une configuration capable de garder cette authentification multi facteur et éviter ainsi la déconnexion de notre client VPN SSL. Nous porterons l'authentification MFA sur le portail captif, qui une fois connecté avec les identifiants, effectuera une ouverture de port conditionnelle pour le service OpenVPN (service VPN sur Stormshield Network Security). Le client VPN réalisera uniquement une authentification LDAP.


Sommaire
  1. Configuration de l'authentification
    1. Modifier la politique d'authentification 2FA pour VPNSSL
    2. Ajouter la politique 2FA pour le portail captif
  2. Portail Captif
    1. Activation du portail captif
  3. Règle de filtrage
  4. Tests de connexion

Configuration de l'authentification

Nous allons devoir configurer dans un premier temps les éléments de connexions au VPNSSL. Nous allons adapter la configuration MFA existante et déporter cette dernière au travers du portail captif.


Modifier la politique d'authentification 2FA pour VPNSSL

Sur votre Stormshield Network Security (SNS), rendez-vous dans CONFIGURATION > UTILISATEURS > Authentification.


Nous allons nous intéresser aux onglets suivants :

  • Méthodes Disponibles
  • Politique d'authentification


Dans le premier onglet, assurez vous d'avoir activé une authentification Radius (ou la méthode OTP intégrée du firewall SNS) :




Dans le second onglet, modifiiez votre règle destinée aux clients VPN SSL et remplacez la méthode d'origine RADIUS par LDAP :



Afin de créer une règle, cliquer sur Nouvelle règle :




La construction de la règle d'authentification est la suivante :

  • Action : Autoriser
  • Utilisateur ou groupe : Any [email protected]
  • Source : Ajouter une interface > VPN SSL - nom système BSD = sslvpn

  • Méthode d'authentification : LDAP
Appliquez, puis Validez les modifications.


Ajouter la politique 2FA pour le portail captif

Comme précédemment, ajoutez une nouvelle règle. Elle doit comporter les mêmes éléments

  • Action : Autoriser
  • Utilisateur ou groupe : Any [email protected]
  • Source : Interface publique auquel le portail captif est exposé (exemple : si le portail est exposé sur Internet, utilisez Firewall_out / @IP publique si config. par défaut) - ici ovh_pppoe
  • Méthode d'authentification : RADIUS



Portail Captif

Activation du portail captif

Dans l'onglet Portail Captif, vous devez ajouter une règle qui permets d'ouvrir une écoute sur l'interface spécifiée précédemment (ovh_pppoe).

Nous allons donc définir la correspondance entre le profil d'authentification et l'interface publique.


Allez dans CONFIGURATION > UTILISATEURS > Authentification ; PORTAIL CAPTIF



La règle doit se construire telle que :

  • Ajoutez une règle avec votre interface (ovh_pppoe) ;
  • Définir le profil en "External" (si le portail est exposé à l'extérieur sur Internet)
  • Méthode annuaire : LDAP


Appliquez, puis Validez les modifications.


Règle de filtrage

Après cette configuration, nous devons nous assurer de respecter la logique de l'ouverture de port conditionnelle par authentification via le portail captif avec les informations LDAP (user + pass) + MFA.

Dans l'état des choses, le port UDP (1194) et TCP (443) pour OpenVPN. Sur le firewall, nous allons créer une règle de filtrage permettant de "dropper" toutes les connexions vers les ports OpenVPN sans authentification.




Assurez-vous d'avoir désactivé les règles implicites au préalable, car sinon l'ordre de priorité sur les règles de filtrages explicits ne sera pas appliqué.



Tests de connexion

En se rendant sur le portail captif, authentifiez vous avez les informations LDAP (user + pass) + MFA.




Cliquez sur OK et maintenant l'authentification via portail captif doit être établie :




Etablissez maintenant une connexion VPN SSL avec le client VPN Stormshield (en mode automatique, à l'avantage de récupérer dynamiquement la dernière configuration du serveur OpenVPN sur le firewall SNS) ou OpenVPN (nécessite le chargement du fichier .ovpn, téléchargeable sur le firewall).


Cette fois-ci, vous devez saisir uniquement votre identifiant + mot de passe (sans MFA, d'où l'intérêt du tuto 😉).

Maintenant la connexion doit etre établie, vous devriez être connecté en VPN !



Niveau Avancé

Technologie utilisée :

Prérequis :

Proposer une modification
Antoine
Par Antoine
Rédigé le Samedi 08 Février 2025