Académique Documents
Professionnel Documents
Culture Documents
Ce document décrit la procédure à suivre pour installer et configurer le client VPN1 permettant
d’accéder au réseau privé de l’EIVD par Internet. Le client VPN choisi se nomme SSH Sentinel.
Il utilise le protocole IPSec qui garantit une haute sécurité dans les échangés effectués par
Internet.
Pour pouvoir utiliser cette clé, les drivers adéquats doivent également être installés suivant la
procédure décrite dans ce document.
1 Configuration minimale....................................................................................................4
3 SSH Sentinel......................................................................................................................6
3.1 Installation du client SSH sentinel ....................................................................................6
3.1.1 Générer une paire de clés............................................................................................6
3.1.2 Création d’un certificat primaire .................................................................................7
3.1.3 Diagnostique des protocoles de chiffrement symétrique.............................................9
3.2 Communication avec etoken ..........................................................................................10
3.3 Configuration automatique de SSH Accession................................................................11
3.4 Configuration du client SSH sentinel..............................................................................12
3.5 Accès à l’utilitaire de configuration de sentinel................................................................13
3.6 Ajout de la CA root de l’eivd..........................................................................................14
3.7 Configuration des informations réseaux..........................................................................16
3.8 Configuration des paramètres cryptographiques. ............................................................18
3.9 Première connexion VPN ..............................................................................................22
4 Services VPN...................................................................................................................25
4.1 Accès à l’espace disque personnel...................................................................................25
VPN, manuel utilisateur -4-
1 Configuration minimale
Pour utiliser la connexion VPN décrite dans ce document, vous devez disposer au préalable des
éléments logiciels et matériels suivants :
Pour installer les drivers etoken, il est nécessaire d’utiliser un compte administrateur local sur la
machine.
Dans le CD fournit en annexe, ouvrir le répertoire correspondant à votre système d’exploitation
(Win2000, XP, 98 etc..).
Dans le répertoire win2000,XP lancer le package d’installation des drivers etoken aladdin
RTE.msi.
-5- 2 Clé USB Etoken
Ne pas introduire la clé etoken dans le port USB pendant la procédure d’installation du
driver !
Suivant la version de Windows, une boîte de dialogue vous informe qu’il est nécessaire de
redémarrer votre machine pour que la mise à jour soit effectuée. Une fois le système mis à jour,
retourner dans le répertoire correspondant à votre configuration sur le CD en annexe.
Ne pas introduire la clé etoken dans le port USB pendant la procédure d’installation du
driver !
Suivant la version de Windows, une boîte de dialogue vous informe qu’il est nécessaire de
redémarrer votre machine pour que la mise à jour soit effectuée. Une fois le système mis à jour,
retourner dans le répertoire correspondant à votre configuration sur le CD en annexe.
Ne pas introduire la clé etoken dans le port USB pendant la procédure d’installation du
driver !
3 SSH Sentinel
3.1 Installation du client SSH Sentinel
Pour installer SSH Sentinel, il est nécessaire d’utiliser un compte administrateur local sur la
machine.
Lors de l’installation de l’application SSH Sentinel, les étapes suivantes seront réalisées.
Remarque : Bien que la configuration qui sera réellement exploitée n’utilise pas le certificat et les
règles par défaut, ces étapes devront être réalisées lors de l’installation.
Ce logiciel d’installation vous guidera de manière intuitive dans les différentes étapes
d’installation. Pour ne pas perdre le fil, voici les différentes étapes qui devront être réalisée :
Comme déjà mentionné, la paire de clé qui sera créée dans cette étape ne sera en réalité jamais
utilisée, mais le logiciel SSH Sentinel nécessite une paire de clés et un certificat par défaut.
-7- 3 SSH Sentinel
Pour générer une paire de clés non prédictible, il est souhaitable de disposer d’une source
aléatoire. SSH Sentinel utilise les mouvements de la souris comme paramètre aléatoire (Figure 3).
Il s’agit de bouger le pointeur de la souris dans la fenêtre pendant une durée de temps
déterminée pour obtenir une variable aléatoire comme base au calcul de la clé de chiffrement.
Comme pour la clé de chiffrement par défaut, SSH Sentinel a besoin d’un certificat primaire de
base même si celui-ci ne sera jamais utilisé.
Dans la fenêtre Certificate Information laisser les informations par défaut (Figure 4).
VPN, manuel utilisateur -8-
Figure 4 Informations
La fenêtre suivante permet de générer le certificat de base à partir des informations introduites
précédemment. Il s’agit de choisir l’option Create a self-signed certificate qui est
l’option sélectionnée par défaut (Figure 5).
L’étape suivante permet de comparer les performances des algorithmes symétriques supportés
par SSH Sentinel (Figure 6). Cette étape n’étant pas nécessaire, elle peut être évitée en pressant le
bouton Skip puis Next.
Figure 6 Diagnostique
A ce stade, le client SSH Sentinel est installé. Il est nécessaire de redémarrer le système (Figure 7).
Figure 7 Redémarrer
Presser Finish.
VPN, manuel utilisateur - 10 -
Une fois le système redémarré, l’icône de SSH Sentinel apparaît à droite de la barre des tâches
(Figure 8). Lorsque l’agent SSH Sentinel est désactivé pour une quelconque raison, l’icône est
toujours présent mais sa texture est translucide.
Dans cette étape, il s’agira de configurer le client SSH Sentinel pour utiliser votre certificat
contenu dans la clé USB.
Les configurations proprement dites se feront de manière automatique, mais une légère
manipulation est nécessaire pour garantire que la procédure s’effectue sans encombre.
En cliquant sur le bouton de droite de la souris sur l’icône, un menu déroulant apparaît (Figure
9).
Cette opération a pour unique but de générer un fichier de configuration qu’il sera possible de
modifier de manière automatique.
L’étape suivante consiste à lancer l’exécutable vpn.exe qui se trouve sur le CD en annexe dans
le répertoire spécifique à votre configuration.
VPN, manuel utilisateur - 12 -
Ce logiciel va scanner votre disque à la recherche des fichiers de configuration de SSH Sentinel
puis effectuer les modifications permettant de communiquer avec la clé USB etoken.
Pour lancer l’exécutable, double cliquer sur l’icône suivant (Figure 12).
Figure 13 Vpn.exe
Une fois les modifications effectuées, une fenêtre vous informe que la configuration est effectuée.
Fermer cette fenêtre en appuyant sur « OK » puis fermer la fenêtre en pressant le bouton Quit.
Pour pouvoir communiquer correctement avec la passerelle VPN de l’EIVD, il est nécessaire de
configurer le client Sentinel avec soin.
Cette configuration se décompose en plusieurs étapes à effectuer dans l’ordre.
- 13 - 3 SSH Sentinel
Comme précédemment, cliquer sur le bouton droite de la souris sur l’icône de SSH Sentinel situé
à droite de la barre des tâches.
Une fenêtre de configuration intitulée SSH Sentinel Policy Editor s’ouvre. Toutes les
configurations propres au client SSH Sentinel se feront depuis cette fenêtre (Figure 15).
VPN, manuel utilisateur - 14 -
Dans cette étape, il s’agit d’ajouter l’autorité de certification de l’EIVD à la liste des autorités de
confiance reconnue par SSH Sentinel.
Depuis l’utilitaire de configuration de Sentinel, choisir l’onglet Key Management, puis cliquer
sur le répertoire Trusted Certificates, puis Certification Authorities double
cliquez sur le menu Add. (Figure 16)
- 15 - 3 SSH Sentinel
Une fois le certificat ajouté, il est nécessaire de mettre à jour la nouvelle configuration en cliquant
sur le bouton Apply dans la fenêtre SSH Sentinel Policy Editor.
Pour vérifier le bon déroulement de la procédure, introduire la clé eToken dans le port USB.
Après quelques secondes, un nouveau répertoire nommé Accession Keys devrait apparaître
dans la fenêtre SSH Sentinel Policy Editor (Figure 17).
Vérifier que la clé eToken soit bien introduite dans le port USB (une lumière rouge doit
s’illuminer dans la clé).
Si tout s’est bien passé, le champ Certification path doit contenir votre e-mail. Vous êtes
donc en mesure de continuer la configuration.
Dans la fenêtre principale de configuration, choisir l’onglet Security Policy puis étendre
l’arborescence du répertoire VPN Connections.
Introduire comme champ Gateway name l’URL du gateway VPN, soit l’Url vpn.eivd.ch
Pour configurer les paramètres réseau dans le champ Remote network, appuyer sur le
bouton suivant (bouton brows à droite du champ Remote network ).
A ce stade, le client SSH Sentinel dispose de toutes les informations réseaux nécessaires.
Pour modifier les configurations cryptographiques par défaut, sélectionner la connexion vpn
eivd, puis presser Properties ou double cliquer sur la connexion.
- 19 - 3 SSH Sentinel
suivantes.
Dans la section Ipsec/IKE proposal sélectionner le certificat contenu dans la token USB.
Le nom du certificat doit être ca.tcom.ch et non pas le certificat par défaut.
Toujours dans la section IPSec/IKE proposal, presser le bouton Settings, une fenêtre de
configuration spécifique au paramètre de chiffrement apparaît (Figure 25).
- 21 - 3 SSH Sentinel
Sélectionner l’option.
Attach only the values to the proposal selected puis presser le bouton OK.
Dans la fenêtre Rule properties cliquer sur l’onglet Advanced en haut de la fenêtre (Figure
26).
VPN, manuel utilisateur - 22 -
A ce stade le client est parfaitement configuré, il s’agit d’appliquer les modifications en pressant le
bouton Apply.
Pour vous connecter au VPN, il suffit de cliquez sur le bouton droit de la souris sur l’icône SSH
Sentinel à droite de la barre des tâches. Puis dans le menu, choisir Select VPN puis
vpn.eivd.ch (Figure 27)
- 23 - 3 SSH Sentinel
Si la clé a été préalablement introduite dans le port USB, un message vous invite à introduire le
mot de passe servant à débloquer la clé (Figure 28).
En parallèle, une fenêtre vous indique l’état de la connexion, il est donc nécessaire d’introduire le
mot de passe assez rapidement (Figure 29).
Si la connexion s’est effectuée sans problème, une fenêtre vous l’indique clairement.
Il est possible de visualiser l’état de la connexion par un simple double click sur l’icône SSH
Sentinel à droite de la barre des tâches (Figure 30).
VPN, manuel utilisateur - 24 -
Pour fermer la connexion VPN il suffit de sélectionner le nom de la connexion et appuyer sur le
bouton Terminate .
- 25 - 4 Services VPN
4 Services VPN
Le VPN n’est autre qu’une extension du réseau interne de l’EIVD, il vous permet de bénéficier
de tous les services disponibles sur le réseau de l’EIVD . C’est-à-dire service mail, espace disque
personnel, intranet, etc.
Toutefois, certaines fonctionnalités ne sont pas accessibles de la même manière et méritent une
explication.
L’espace disque qui vous a été alloué sur le réseau de l’école ne peut pas être vu automatiquement
lors de la connexion VPN. Il est nécessaire de monter cet espace de manière manuelle.
Sous la rubrique tools , choisir Map Network Drive…
Soit \\ein04.einet.ad.eivd.ch\{login}$
Il est nécessaire de terminer le chemin par le caractère « $».
Puis Finish.
Une nouvelle fenêtre vous invite alors à vous authentifier (Figure 32).
Figure 32 Authentification
Connect AS : einet\{login}
Password : mot_de_passe_einet
Si tout s’est bien passé, un disque distant est apparu dans la liste des disques de votre machine
(Figure 33).