VPN SSL FortiGate : Comment configurer un accès distant sécurisé

VPN SSL FortiGate : Comment configurer un accès distant sécurisé

Image by: Dan Nelson

Prérequis et configuration initiale du FortiGate

Avant de configurer votre VPN SSL, assurez-vous que votre FortiGate dispose du firmware 7.0 ou ultérieur et d’une licence FortiOS valide. Selon une étude de Cybersecurity Ventures, 75% des violations de sécurité en télétravail résultent d’équipements mal configurés. Connectez-vous à l’interface d’administration via HTTPS (port 443 par défaut) et vérifiez :

  • L’adresse IP publique statique configurée sur l’interface WAN
  • Le certificat SSL valide (auto-signé ou commercial) sous Système > Certificats
  • Les règles NAT et firewall autorisant le trafic entrant sur le port 443 (ou port personnalisé)

Créez un pool d’adresses IP pour les clients VPN (Réseau > Pools IP) avec une plage hors de votre sous-réseau LAN (ex: 10.10.100.100-10.10.100.200). Cette segmentation est cruciale pour isoler le trafic distant selon les bonnes pratiques de l’ANSSI.

Création des utilisateurs et groupes VPN

Dans Utilisateurs et Authentification > Utilisateurs, créez vos utilisateurs télétravailleurs. Pour une sécurité optimale :

  1. Utilisez des mots de passe complexes (12 caractères minimum avec chiffres/symboles)
  2. Activez l’authentification à deux facteurs (2FA) via FortiToken ou notre guide d’intégration
  3. Limitez les comptes aux horaires de travail sous l’onglet Restrictions

Créez ensuite des groupes d’utilisateurs (Groupes d’utilisateurs) selon les privilèges nécessaires :

Type de groupe Accès autorisé Exemple
Admin_RH Serveurs RH (TCP 3389) 10.10.20.0/24
Dev_Team Réseau Dev + GitLab 10.10.30.0/24
Standard_User Partage fichiers 10.10.10.5

Cette granularité réduit les risques de mouvement latéral en cas de compromission, comme recommandé par le CISA.

Configuration du portail VPN SSL en mode tunnel

Accédez à Réseau privé virtuel > SSL-VPN Portals et créez un nouveau portail :

  1. Nom : Portail_Télétravail
  2. Mode tunnel : Full (chiffrement intégral)
  3. Adresse IP d’écoute : Interface WAN
  4. Port : 10443 (alternative au 443 standard)
  5. Pool d’IP : Sélectionnez le pool créé précédemment

Dans les paramètres d’authentification :

  • Méthode : LDAP ou Local selon votre infrastructure
  • Groupes d’accès : Sélectionnez les groupes créés
  • Désactivez Autoriser les connexions non authentifiées

Activez le DTLS (Datagram Transport Layer Security) pour améliorer les performances UDP. Testez la connectivité via nos outils de diagnostic avant le déploiement.

Politiques de sécurité et filtrage d’accès

Dans Politiques et objets > Politiques IPv4, créez une nouvelle politique :

Source : Interface SSL-VPN > Groupe d’utilisateurs concerné
Destination : Sous-réseaux internes autorisés
Service : Protocoles spécifiques (RDP, SMB, etc.)
Action : ACCEPTER avec inspection de sécurité

Appliquez les profils de sécurité indispensables :

  • Antivirus : Scan des fichiers entrants/sortants
  • IPS : Protection contre les exploits réseau
  • Filtrage web : Blocage des catégories à risque

Priorisez les politiques par ordre de spécificité (règles les plus restrictives en premier). Auditez régulièrement via les logs sous Rapport et analyse > Logs VPN.

Optimisation du VPN : split-tunneling et restrictions

Le split-tunneling est essentiel pour décharger votre infrastructure :

  1. Dans Réseau privé virtuel > SSL-VPN Settings
  2. Cochez Activer le routage divisé
  3. Ajoutez les sous-réseaux internes dans Routes
  4. Excluez le trafic Internet local via Exclure les routes

Pour restreindre les accès par privilèges :

  • Utilisez les Groupes d’accès comme source dans les politiques
  • Limitez les plages horaires via Calendriers
  • Activez le Contrôle d’accès à l’application pour bloquer Tor/BitTorrent

Implémentez un portail captif pour les terminaux non conformes aux politiques de sécurité, comme conseillé dans le guide NIST SP 800-46.

Frequently asked questions

Quel port recommandez-vous pour le VPN SSL FortiGate ?

Évitez le port 443 standard, souvent ciblé par les scans. Utilisez un port personnalisé (ex: 10443) tout en autorisant ce port dans les règles firewall. Cette pratique réduit les tentatives de brute-force de 70% selon les benchmarks de sécurité.

Comment forcer la mise à jour de FortiClient ?

Dans Réseau privé virtuel > Paramètres SSL-VPN, activez « Exiger la vérification de compatibilité ». Spécifiez la version minimale (ex: 7.0.7) sous l’onglet Enforcement. Les clients obsolètes seront redirigés vers le portail de téléchargement.

Peut-on intégrer l’authentification Azure AD ?

Oui, via le protocole SAML 2.0. Configurez Azure AD comme fournisseur d’identité dans Système > Authentification > SAML, puis sélectionnez-le comme méthode d’authentification dans le portail VPN. Consultez notre tutoriel dédié.

Comment auditer les connexions VPN actives ?

Utilisez la commande CLI diagnose vpn sslvpnd list ou accédez à Réseau privé virtuel > Moniteur SSL-VPN. Activez les logs détaillés sous Paramètres de log > Filtre d’événements VPN pour un suivi complet.

Conclusion

Configurer un VPN SSL sur FortiGate transforme votre infrastructure en plateforme de télétravail sécurisée. En combinant authentification forte, politiques granulaires et split-tunneling, vous réduisez les risques sans sacrifier les performances. Rappelez-vous que 95% des incidents VPN proviennent de configurations négligées – testez régulièrement votre setup avec FortiTester et formez vos utilisateurs aux bonnes pratiques. Pour approfondir votre sécurisation réseau, téléchargez notre guide avancé de hardening FortiGate incluant des templates de configurations reproductibles.