Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici

UTM Authentification

Introduction

Pourquoi ?

Ce chapitre se concentre sur la configuration des différentes méthodes d’authentification des utilisateurs avec l’UTM. Les trois piliers fondamentaux pour la gestion des accès aux systèmes et ressources d’un SI repose sur le concept AAA (Authentication, Authorization and Accounting). Ce concept centralise les points suivants :

  • L’authentification (AuthN) vérifie l’identité d’un utilisateur. Une fois que l’authentification est réussie, l’autorisation intervient pour déterminer les privilèges et les niveaux d’accès accordés à cet utilisateur. Cela garantit que seules les personnes autorisées peuvent accéder aux ressources et aux fonctionnalités spécifiques d’un système.

  • L’autorisation (AuthZ) est généralement basée sur des règles et des politiques prédéfinies qui déterminent les droits d’accès en fonction de l’identité de l’utilisateur, de son rôle, de son groupe ou d’autres critères pertinents. Cela permet de contrôler finement ce à quoi un utilisateur a accès une fois qu’il est authentifié.

  • L’audit (Accounting) se réfère à la collecte et à l’enregistrement des informations sur les activités...

Point d’accès (Hotspot)

Pourquoi ?

Les points d’accès (hotspots) sont généralement utilisés pour contrôler les accès des utilisateurs ne faisant pas partie de votre SI (communément appelés les invités ou guests). Cette fonction permet d’afficher un portail captif sur l’interface sélectionnée de l’UTM (filaires ou Wi-Fi). Le portail dit captif s’ouvre automatiquement quand un utilisateur veut se connecter sur Internet avec un navigateur. Deux réglages sont possibles pour l’authentification :

  • Utilisateur sans informations d’authentification : portail captif avec agreement à valider.

  • Utilisateur avec informations d’authentification : portail captif avec ID + mot de passe ou mot de passe seul.

L’option Walled Garden du hotspot permet à l’utilisateur de naviguer sur des sites (des listes d’IP, des noms de domaine) validés par l’administrateur, cela sans avoir à s’authentifier au préalable.

Informations

Vous trouverez ci-dessous les choses à savoir avant le déploiement du hotspot.

Mise en place du portail captif

Sur chaque interface de votre UTM (sauf externe) vous pouvez placer un hotspot. Cependant, nous vous recommandons de ne pas placer de hotspot sur l’interface Trusted mais plutôt d’utiliser des interfaces personnalisées ou optionnelles. Une fois appliqué sur l’interface de l’UTM, le portail s’applique à toutes les connexions.

Si vous utilisez Utilisateur avec informations d’authentification, il faut créer un compte Admin invité pour :

  • créer les utilisateurs invités (guests) et générer les codes invités ;

  • imprimer les credentials des utilisateurs invités puis les donner aux guests ;

  • l’accès au portail pour gérer les guests (https://IPUTM:8080/wirelessguest).

Par défaut, il y a une limite max de deux mille utilisateurs invités sur le portail (possibilité de configurer jusqu’à 6000).

Comportement une fois la mise en place du portail captif avec stratégie Allow Hotspot-Users

Une fois le hotspot activé sur une interface, l’utilisateur doit obligatoirement valider un agreement ou un ID + mot de passe guest...

Serveurs d’authentification

Pourquoi ?

La cybersécurité du SI passe par une infrastructure de sécurité du type AAA. Cela consiste à centraliser les comptes utilisateurs ou identités (ID) du système d’information (SI) dans un annuaire (ADDS) ou encore une base de données (firebox-DB) afin d’améliorer la gestion des ID, notamment en ce qui concerne l’Authentification (AuthN), les Autorisations (AuthZ) et l’Audit (Accounting).

Dans notre contexte, l’idée de placer un UTM dans le SI est de pouvoir authentifier, autoriser et auditer les accès utilisateurs entre zones. Lors de l’utilisation d’un UTM WatchGuard, vous pouvez utiliser plusieurs types de serveurs d’authentification pour centraliser les identités (ID) et procéder à leurs authentifications (AuthN). Une fois l’utilisateur identifié, les stratégies (contenant les comptes/groupes utilisateurs identifiés) permettent d’appliquer les autorisations (AuthZ) sur les « five tuples » utilisés par les flux. L’audit est ensuite réalisé par l’activation des journaux (logs) sur les différents éléments de l’UTM. La console Traffic Monitor permet de consulter en temps réels le flux et Dimension permet de le conserver pour analyse et reporting ultérieur.

Mais pour ne rien oublier concernant l’authentification, il faut parler du SSO (Single Sign-On), ou authentification unique en français. C’est le mécanisme qui permet aux utilisateurs de s’authentifier une seule fois pour accéder à plusieurs ressources réseau, sans avoir à saisir à chaque fois leurs identifiants. Cela simplifie le processus de connexion et améliore l’expérience utilisateur en évitant d’avoir à se souvenir et à saisir des identifiants différents pour chaque application. Chez WatchGuard, il y a plusieurs approches :

  • sans agent SSO et donc nécessite un portail captif pour authentifier les utilisateurs ;

  • avec agent SSO et donc plus besoin de portail captif pour authentifier les utilisateurs.

Dans un premier temps, on peut contrôler l’accès à Internet des utilisateurs de votre système d’information...

Paramètres

Pourquoi ?

Ce menu permet de régler tous les paramètres concernant l’authentification utilisateur. Exemple : délai d’expiration des sessions utilisateurs, activation de la redirection automatique du portail captif, etc.

Informations

La plupart des réglages présents dans ce menu sont configurés dans les exemples pour la mise en place de l’authentification Firebox-DB, ADDS et ADDS + SSO.

images/03EP462.png

Utilisateurs et groupes (ADDS, etc.)

Pourquoi ?

Les utilisateurs des serveurs d’authentification tiers sont modifiables seulement ici. Par exemple, c’est le seul endroit qui permet de créer les comptes utilisateurs pour la correspondance avec le serveur d’authentification ADDS.

Vous pouvez choisir de :

  • créer ou modifier un compte utilisateur/groupe en cliquant sur Modifier ;

  • activer une limite de connexion simultanée pour chaque utilisateur ou groupe ;

  • activer le Endpoint Enforcement.

Informations

 Pour créer ou modifier les utilisateurs et groupes du serveur d’authentification Firebox-DB, allez directement dans AUTHENTIFICATION - Serveurs et Firebox-DB.

images/03EP463.png
images/03EP464.png

Single Sign-On (ADDS + SSO)

Pourquoi ?

Le SSO (Single Sign-On) permet à un utilisateur d’un domaine Active Directory Domain Services (ADDS) de s’identifier une seule fois lors de l’ouverture de Windows et d’accéder à Internet ou aux différents réseaux du SI. Dans ce cas de figure, il n’y a pas de portail captif pour entrer des identifiants et mots de passe utilisateurs.

En revanche, cela nécessite le déploiement d’un agent (SSOagent) sur le contrôleur de domaine et d’un agent (SSOclient) sur les postes clients en Windows. Lors de l’installation des agents, des ports en entrée sont ouverts automatiquement sur le contrôleur de domaine et sur les postes clients.

Une fois cela fait, l’UTM peut procéder aux étapes d’authentification, d’autorisation et d’audit (AAA).

Informations

En réalité, il y a quatre méthodes pour le SSO sur ADDS :

  • Méthode 1 : SSO agent. Cette méthode est désactivée par défaut et porte le nom de mode AD.

  • Méthode 2 : SSO agent et SSO client. Recommandée par WatchGuard.

  • Méthode 3 : SSO agent et Event Log Monitor (ELM). Recommandée mais pas obligatoire.

  • Méthode 4 : SSO agent et Exchange Monitor (EM). Recommandée mais pas obligatoire.

Cela fait beaucoup de méthodes pour pas grand-chose… Pour faire simple, toutes les méthodes impliquent d’utiliser un agent SSO agent sur le contrôleur de domaine (ADDS) pour avoir du SSO.

La méthode 1 SSO agent (mode AD) est désactivée par défaut car elle ne permet pas réellement de faire de l’authentification. La méthode 1 SSO agent (mode AD) utilise le compte de service de l’agent SSO agent pour toutes les connexions, ce qui n’est pas pertinent pour de l’authentification.

WatchGuard vous recommande donc la méthode 2 et d’installer un agent SSO agent sur le contrôleur de domaine (ADDS) et un agent SSO client sur les postes clients. Comme il est possible de cumuler plusieurs méthodes d’authentification afin d’améliorer la résilience de l’authentification, les méthodes...

Terminal Services (TO Agent)

Pourquoi ?

Dans votre réseau, l’UTM authentifie un utilisateur par corrélation ID + mot de passe et l’IP de son poste client. Cela fonctionne bien la plupart du temps, cependant cela pose un problème lors de l’authentification des utilisateurs sur des serveurs RDS (Remote Desktop Services).

Sur un serveur RDS, plusieurs utilisateurs différents peuvent ouvrir une session en même temps. En revanche, ils partagent tous la même IP (celle du serveur RDS). Pour l’autorisation et l’audit, c’est un problème à prendre en considération.

Pour solutionner ce problème, WatchGuard utilise un agent Terminal Services Agent (TO agent) à installer sur le ou les serveurs RDS. L’agent inclut deux éléments :

  • un agent Terminal Services (si vous utilisez l’authentification par portail captif) ;

  • un agent SSO Terminal Services (si vous utilisez SSO avec Active Directory).

Informations

Le TO agent (SSO Terminal Services), qui permet le SSO avec Active Directory sur des serveurs RDS, est autonome et ne fonctionne pas en complément avec les autres agents comme SSO agent, SSO client, ELM ou EM

Ainsi, les utilisateurs sur le serveur RDS avec TO agent (SSO Terminal Services) ne vont pas avoir besoin de passer par un portail captif pour naviguer sur Internet.

Dernier point important : il est possible d’utiliser...

Portail d’authentification

Pourquoi ?

Le portail d’authentification, disponible sur HTTPS://10.0.1.1:4100, peut être personnalisé (couleur, intitulé, logo, message de bienvenue et clauses, etc.).

 Pour cela, allez dans AUTHENTIFICATION - Portail d’authentification.

images/03EP501.png