Configuration du pare-feu et des serveurs VPNIl existe deux méthodes d'utilisation d'un pare-feu avec un serveur VPN :
 
Le serveur VPN est connecté à Internet et le pare-feu se situe entre le serveur VPN et l'intranet.  
Le pare-feu est connecté à Internet et le serveur VPN se situe entre le pare-feu et l'intranet.  
Serveur VPN devant le pare-feu
Si le serveur VPN se trouve devant le pare-feu et est connecté à Internet, vous devez ajouter des filtres de paquets à l'interface Internet afin d'autoriser uniquement le trafic VPN à destination et à partir de l'adresse IP de l'interface Internet du serveur VPN.
 
Pour le trafic entrant, lorsque les données en tunnel sont décryptées par le serveur VPN, elles sont transférées au pare-feu. À l'aide de ses filtres, le pare-feu autorise le transfert du trafic aux ressources de l'intranet. Comme le trafic qui traverse le serveur VPN est exclusivement généré par les clients VPN authentifiés, dans ce scénario, le filtrage du pare-feu peut être utilisé pour empêcher les utilisateurs VPN d'accéder à des ressources intranet particulières. Comme le seul trafic Internet autorisé sur l'intranet doit passer par le serveur VPN, cette méthode empêche aussi le partage des ressources intranet FTP (File Transfer Protocol) ou Web avec des utilisateurs Internet qui n'appartenant pas au VPN.
 
L'illustration suivante montre le serveur VPN devant le pare-feu.
 
 
Agrandir l'illustration
   
Pour l'interface Internet du serveur VPN, configurez les filtres d'entrée et de sortie suivants à l'aide du service Routage et accès distant :
 
Filtres de paquets pour le protocole PPTP (Point-to-Point Tunneling Protocol)
Configurez les filtres d'entrée suivants en définissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants :
 
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port de destination TCP 1723.  
Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP.
 
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et ID de protocole IP 47.  
Ce filtre autorise les données en tunnel PPTP entre le client PPTP et le serveur PPTP.
 
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port TCP source [établi] 1723.  
Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur à routeur. Le trafic [établi] TCP est accepté uniquement si le serveur VPN a lancé la connexion TCP.
 
Configurez les filtres de sortie suivants en définissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants :
 
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port TCP source 1723.  
Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN.
 
Adresse IP source de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et ID de protocole IP 47.  
Ce filtre autorise les données en tunnel PPTP entre le serveur VPN et le client VPN.
 
Adresse IP source de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port de destination TCP 1723.  
Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur à routeur. Le trafic [établi] TCP est envoyé uniquement si le serveur VPN a lancé la connexion TCP.
 
Pour plus d'informations, consultez Ajouter des filtres PPTP.
 
Filtres de paquets pour le protocole L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security).
Configurez les filtres d'entrée suivants en définissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants :
 
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port de destination UDP 500.  
Ce filtre autorise le trafic IKE (Internet Key Exchange) vers le serveur VPN.
 
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port de destination UDP 1701.  
Ce filtre autorise le trafic L2TP entre le client VPN et le serveur VPN.
 
Adresse IP de destination de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port de destination UDP 4500.  
Ce filtre autorise le trafic NAT-T (network address translator traversal) IPSec.
 
Configurez les filtres de sortie suivants en définissant l'action de filtrage sur Rejeter tous les paquets sauf ceux qui répondent aux critères suivants :
 
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port UDP source 500.  
Ce filtre autorise le trafic IKE en provenance du serveur VPN.
 
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port UDP source 1701.  
Ce filtre autorise le trafic L2TP entre le serveur VPN et le client VPN.
 
Adresse IP d'origine de l'interface Internet du serveur VPN, masque de sous-réseau 255.255.255.255 et port UDP source 4500.  
Ce filtre autorise le trafic NAT-T IPSec.
 
Pour plus d'informations, consultez Ajouter des filtres L2TP/IPSec.
 
Aucun filtre n'est requis pour le trafic ESP (Encapsulating Security Payload) avec le protocole IP 50. L'en-tête ESP est supprimé par les composants IPSec avant que le paquet L2TP ne soit passé au Routage et accès distant.
 
Serveur VPN derrière le pare-feu
Dans une configuration plus courante, le pare-feu est connecté à Internet et le serveur VPN est une ressource intranet associée au réseau périphérique. Le serveur VPN possède une interface à la fois sur le réseau périphérique et sur l'intranet. Dans ce scénario, le pare-feu doit être configuré avec des filtres d'entrée et de sortie sur son interface Internet afin d'autoriser le trafic de maintenance du tunnel et les données en tunnel à accéder au serveur VPN. Des filtres supplémentaires peuvent autoriser le trafic à accéder au Web, à FTP et à d'autres types de serveurs situés sur le réseau périphérique. Pour fournir une couche de sécurité supplémentaire, le serveur VPN peut également être configuré avec des filtres de paquets PPTP ou L2TP/IPSec dans son interface de réseau périphérique.
 
Comme le pare-feu ne possède pas de clé de cryptage pour chaque connexion VPN, il ne peut effectuer le filtrage que sur les en-têtes en clair des données en tunnel. En d'autres termes, toutes les données en tunnel passent par le pare-feu. Cependant, il ne s'agit pas d'un problème de sécurité, car la connexion VPN exige un processus d'authentification qui empêche tout accès non autorisé au-delà du serveur VPN.
 
L'illustration suivante représente le serveur VPN derrière le pare-feu sur le réseau périphérique.
 
 
Agrandir l'illustration
   
Pour l'interface Internet et l'interface du réseau périphérique sur le pare-feu, configurez les filtres d'entrée et de sortie suivants à l'aide du service de configuration du pare-feu :
 
Filtres de paquets pour PPTP
Il est possible de configurer des filtres de paquets d'entrée et de sortie distincts sur l'interface Internet et l'interface du réseau périphérique.
 
Filtres sur l'interface Internet
Configurez les filtres de paquets d'entrée suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port de destination TCP 1723 (0x6BB)  
Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 47 (0x2F)  
Ce filtre autorise les données en tunnel PPTP entre le client PPTP et le serveur PPTP.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port source TCP 1723 (0x6BB)  
Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur à routeur. Ce filtre doit uniquement être utilisé avec les filtres de paquets PPTP décrits dans la section Serveur VPN devant le pare-feu et configuré sur l'interface du réseau périphérique du serveur VPN. En autorisant tout le trafic à destination du serveur VPN provenant du port TCP 1723, il est possible que des attaques réseau soient menées depuis des sources Internet utilisant ce port.
 
Configurez les filtres de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port source TCP 1723 (0x6BB)  
Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 47 (0x2F)  
Ce filtre autorise les données en tunnel PPTP entre le serveur VPN et le client VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port de destination TCP 1723 (0x6BB)  
Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur à routeur. Ce filtre doit uniquement être utilisé avec les filtres de paquets PPTP décrits dans la section Serveur VPN devant le pare-feu et configuré sur l'interface du réseau périphérique du serveur VPN. En autorisant tout le trafic en provenance du serveur VPN vers le port TCP 1723, il est possible que des attaques réseau soient menées depuis des sources Internet utilisant ce port.
 
Filtres sur l'interface du réseau périphérique
Configurez les filtres d'entrée suivants sur l'interface du réseau périphérique du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port source TCP 1723 (0x6BB)  
Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le serveur VPN et le client VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 47 (0x2F)  
Ce filtre autorise les données en tunnel PPTP entre le serveur VPN et le client VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port de destination TCP 1723 (0x6BB)  
Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur à routeur. Ce filtre doit uniquement être utilisé avec les filtres de paquets PPTP décrits dans la section Serveur VPN devant le pare-feu et configuré sur l'interface du réseau périphérique du serveur VPN. En autorisant tout le trafic en provenance du serveur VPN vers le port TCP 1723, il est possible que des attaques réseau soient menées depuis des sources Internet utilisant ce port.
 
Configurez les filtres de paquets de sortie suivants sur l'interface du réseau périphérique du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port de destination TCP 1723 (0x6BB)  
Ce filtre autorise le trafic de maintenance du tunnel PPTP entre le client PPTP et le serveur PPTP.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 47 (0x2F)  
Ce filtre autorise les données en tunnel PPTP entre le client PPTP et le serveur PPTP.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port source TCP 1723 (0x6BB)  
Ce filtre est requis uniquement lorsque le serveur VPN agit comme un client VPN (un routeur appelant) dans une connexion VPN de routeur à routeur. Ce filtre doit uniquement être utilisé avec les filtres de paquets PPTP décrits dans la section Serveur VPN devant le pare-feu et configuré sur l'interface du réseau périphérique du serveur VPN. En autorisant tout le trafic à destination du serveur VPN provenant du port TCP 1723, il est possible que des attaques réseau soient menées depuis des sources Internet utilisant ce port.
 
Filtres de paquets pour L2TP/IPSec
Il est possible de configurer des filtres de paquets d'entrée et de sortie distincts sur l'interface Internet et l'interface du réseau périphérique.
 
Filtres sur l'interface Internet
Configurez les filtres de paquets d'entrée suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port de destination UDP 50 (0x1F4)  
Ce filtre autorise le trafic IKE vers le serveur VPN.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port de destination UDP 4500 (0x1194).  
Ce filtre autorise le trafic NAT-T IPSec vers le serveur VPN.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 50 (0x32)  
Ce filtre autorise le trafic ESP IPSec entre le client VPN et le serveur VPN.
 
Configurez les filtres de paquets de sortie suivants sur l'interface Internet du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port source UDP 500 (0x1F4)  
Ce filtre autorise le trafic IKE en provenance du serveur VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port source UDP 4500.  
Ce filtre autorise le trafic NAT-T IPSec à partir du serveur VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 50 (0x32)  
Ce filtre autorise le trafic ESP IPSec entre le serveur VPN et le client VPN.
 
Aucun filtre n'est requis pour le trafic L2TP au niveau du port UDP 1701. Tout le trafic L2TP au niveau du pare-feu, y compris les données en tunnel et de maintenance du tunnel, est crypté comme une charge utile ESP IPSec.
 
Filtres sur l'interface du réseau périphérique
Configurez les filtres de paquets d'entrée suivants sur l'interface du réseau périphérique du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port source UDP 500 (0x1F4)  
Ce filtre autorise le trafic IKE en provenance du serveur VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et port source UDP 4500.  
Ce filtre autorise le trafic NAT-T IPSec à partir du serveur VPN.
 
Adresse IP source de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 50 (0x32)  
Ce filtre autorise le trafic ESP IPSec entre le serveur VPN et le client VPN.
 
Configurez les filtres de paquets de sortie suivants sur l'interface du réseau périphérique du pare-feu pour autoriser les types de trafic ci-dessous :
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port de destination UDP 50 (0x1F4)  
Ce filtre autorise le trafic IKE vers le serveur VPN.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et port de destination UDP 4500 (0x1194).  
Ce filtre autorise le trafic NAT-T IPSec vers le serveur VPN.
 
Adresse IP de destination de l'interface du réseau périphérique du serveur VPN et ID de protocole IP 50 (0x32)  
Ce filtre autorise le trafic ESP IPSec entre le client VPN et le serveur VPN.
 
Aucun filtre n'est requis pour le trafic L2TP au niveau du port UDP 1701. Tout le trafic L2TP au niveau du pare-feu, y compris les données en tunnel et de maintenance du tunnel, est crypté comme une charge utile ESP IPSec.