e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message



Accédez au menu
Contactez-nous

Automatiser la configuration des éléments de sécurité

Retour aux articles

Comment automatiser la configuration des éléments de sécurité ?


Catégorie : Articles

Date de publication : 4 juin 2018 - Dernière mise à jour : 12 juin 2018


Devant les demandes constantes des équipes Business, les administrateurs mettent en place des mécanismes d’automatisation de certains processus notamment des tâches récurrentes.

Cas d'utilisation d’e-Xpert Solutions

La société souhaite mettre en place une nouvelle solution VPN SSL basée sur la technologie BIG-IP de l’éditeur F5 Networks. Durant la phase d’initialisation du projet, l’administrateur réseau déclare que le processus actuel de création de comptes des utilisateurs VPN pour les partenaires est très fastidieux et qu’il serait judicieux de le faire évoluer.

Pour créer un nouvel utilisateur, une personne interne à la société doit :

Effectuer une demande de compte « Active Directory »,
Demander une création de compte dans l’annuaire LDAP utilisé par la solution VPN actuelle.

L’administrateur réseau crée alors le compte utilisateur dans la solution VPN et ajoute des règles de filtrage pour délimiter les accès du partenaire.
Il n’existe pas de workflow pour supprimer les comptes utilisateurs qui ne sont plus valables. La solution VPN existante contient de nombreux utilisateurs qui ont changé de statut ou de société.
Initialement très simples, les règles de Firewall sont devenues conséquentes et l’administrateur réseau n’est pas en mesure de déterminer si une règle Firewall est encore valide ou non.

Implémentation

La diversité de nos ingénieurs permet d’avoir des compétences sur la solution F5 Networks, les technologies Firewall implémentées, les annuaires LDAP et Active Directory. Pour simplifier le processus de gestion des utilisateurs, nous avons proposé :
De se baser sur les groupes AD/LDAP pour donner le droit d’accès au VPN,
De définir des règles de Firewalls par société partenaire,
D’unifier la base d’utilisateurs en s’appuyant sur l’annuaire LDAP uniquement.

En s’appuyant sur le module F5 Access Policy Manager, nous avons mis en place avec l’administrateur réseau du client une solution VPN SSL sur le nom de domaine suivant : vpn.twelvebox.ch

Les utilisateurs peuvent se connecter au VPN en utilisant le client VPN Edge Client :

Ils peuvent également lancer le VPN depuis un portail Web :

De là, l’administrateur réseau ajoute toujours manuellement les règles de Firewalls et se questionne sur les adresses IP Source à définir. Nous avons alors proposé trois alternatives :
1) Mettre en place des ACLs sur la solution VPN et configurer des règles Firewalls de base sur le Firewall réseau existant,
2) Mettre en place des règles de Firewalls complètes sur le Firewall réseau existant et définir des pools d’adresses IP pour les utilisateurs VPN en fonction de leur appartenance à une société.
3) Mettre en place des règles de filtrages dynamiques en fonction des groupes utilisateurs et pas des adresses IP en source. La proposition séduit l’administrateur car cette solution simplifie grandement le processus d’ajout ou de suppression des utilisateurs VPN.

Mise en place des règles de filtrages dynamiques en fonction des groupes d’utilisateurs

En collaboration avec l’administrateur réseau, nous avons ajouté un mécanisme permettant d’intégrer la solution VPN SSL avec le Firewall réseau via l’utilisation d’API REST disponible sur le Firewall.

Au niveau du VPN SSL, l’administrateur ajoute un élément de configuration. Il s’agit d’une iRule spécifique qui intercepte une requête d’un utilisateur authentifié qui lance le service VPN.

Une requête est envoyée au Firewall réseau et permet d’indiquer le couple nom d’utilisateur et l’adresse IP VPN.

Exemple de la requête :

POST /_IA_API/v1.0/add-identity HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT)
Host: checkpoint.gateway.local
Content-Type: application/json
Content-Length: 63
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Connection: Close
{ "shared-secret":"12lie32iudb43if7b213", "ip-address":"10.10.10.20", "user":"joe" }

Avec cette configuration, le contrôle d’accès réseau pour les utilisateurs VPN s’adapte automatiquement à leur nom d’utilisateur.

Pour conclure

En réalisant ce projet, la société est en mesure de fournir un portail VPN pour ses partenaires avec un minimum de configuration. Voici les bénéfices apportés par cette solution :
Après la configuration initiale, pas de configuration supplémentaire nécessaire sur la solution VPN F5,
On peut ajouter un accès VPN pour un utilisateur existant en lui attribuant le groupe reconnu par la solution VPN
Le processus de gestion des utilisateurs VPN est grandement simplifié puisqu’il suffit désormais d’ajouter un nouvel utilisateur et lui attribuer le bon groupe AD/LDAP.

Abonnez-vous
à nos newsletters