Le protocole TLS fournit un tunnel sécurisé au-dessus de toute communication réseau. C'est un protocole de sécurité mature et éprouvé, et la plupart des protocoles industriels modernes proposent une option TLS. Malheureusement, tous les équipements terminaux ne prennent pas en charge le chiffrement TLS, et la gestion des certificats est souvent trop contraignante pour être déployée à grande échelle dans les installations.
Access Gate dispose de capacités intégrées pour créer des tunnels transparents au-dessus des actifs critiques, particulièrement utiles pour exposer un équipement sur un réseau étendu.
Prérequis
Access Gate doit être installé, avec son port Admin et son port Secure Twin configurés. Vous devez également disposer d'un client compatible TLS.
La plupart des protocoles peuvent être sécurisés via TLS, mais ce guide se concentre sur HTTP, en tant qu'option largement disponible. Nous allons sécuriser l'accès à l'interface d'administration d'un routeur managé Linksys, qui ne dispose pas de chiffrement (et est donc vulnérable à l'interception de mots de passe).
Actifs dans Access Gate
Le commutateur managé et les clients doivent être enregistrés comme actifs, sur les bons vnets (ils n'ont pas besoin d'être sur le même vnet, du moment que les deux sont gérés par Access Gate).
Une fois les deux équipements (Lab Switch et Tester dans cet exemple) enregistrés et ajoutés à la même enclave, il faut configurer le chiffrement TLS.
Gestion des certificats TLS
Utiliser la PKI native d'Access Gate
Par défaut, Access Gate exécute une PKI. Rendez-vous dans Paramètres -> Gestion PKI, puis cliquez sur Télécharger le certificat TLS. Ce certificat peut ensuite être installé sur votre machine pour gérer les tunnels sécurisés.
Générer un certificat TLS intermédiaire
Access Gate a besoin de certificats pour créer le tunnel TLS. Pour une sécurité renforcée, Access Gate gère une liste de certificats à deux niveaux :
- un certificat intermédiaire est signé par votre autorité de certification et ne quitte jamais l'équipement
- des certificats terminaux sont générés à la volée grâce au certificat intermédiaire, et envoyés aux équipements du réseau pour l'établissement des communications sécurisées.
Les tunnels TLS sont activés dans la page Paramètres > Réseau. Cliquez sur « Generate CSR » (CSR = demande de signature de certificat) pour obtenir le document de signature, puis signez-le avec votre autorité racine. Téléversez le certificat intermédiaire obtenu via « Upload SCA ».
Imposer le chiffrement pour l'accès
De retour sur la page Enclave, autorisez l'accès et sélectionnez l'option avancée « TLS only ». L'affichage se met à jour pour refléter votre choix.
À ce stade, TLS est entièrement configuré et prêt à l'emploi — par exemple, naviguez vers la page web et vérifiez l'icône de cadenas dans la barre de votre navigateur.
Étapes de dépannage
Le chiffrement TLS est très sensible à une configuration correcte des certificats — vérifiez que votre autorité de certification dispose :
- D'une durée de validité suffisante (généralement 10 ans) pour signer la demande de certificat
- De la profondeur correcte pour émettre des certificats terminaux (elle doit être d'au moins 2 : un pour le certificat intermédiaire, et un pour le certificat final)
- Si vous utilisez des restrictions de domaine sur l'autorité de certification (une bonne pratique !), vérifiez que tous les noms de vnets sont couverts par la limite de domaine
- The
Par défaut, le proxy TLS d'Access Gate est configuré pour trouver un équilibre raisonnable entre des algorithmes modernes (et sécurisés !) et une large compatibilité. Si vous avez des exigences spécifiques (équipement très ancien, conformité NIST), contactez votre interlocuteur commercial pour discuter des niveaux de licence avancés.