<center>**Gestion de la sécurité VMware Horizon**</center>

# <center>**Gestion de la sécurité VMware Horizon**</center> --- # **SOMMAIRE** * Introduction * Connexion par tunnel sécurisé & connexion directe * Architectures DMZ * Installation et configuration (version 5.2) --- ![](https://i.imgur.com/9WGXrTe.jpg) --- # **INTRODUCTION** La gestion de la sécurité sur VMware Horizon se fait grace à une instance du *Connection Server*, appelée *Security Server*, qui decharge le *Connection Server* de toutes les requêtes depuis l'extérieur. **Prérequis** * Serveur physique ou virtuel * Si possiblee non intégré au domaine AD * Système d'exploitation pouvant gérer 2 processeurs * Ne doit pas être contrôleur de domaine AD, ni serveur Web, ni vCenter, ni Terminal server ou autre composant View * Au moins une adresse IP fixe avec un nom FQDN résoluble sur l'ensemble du réseau --- # **Connexion par tunnel sécurisé & connexion directe** # 1. Les connexions par tunnel sécurisé Par défaut, les connections entre le *View Client* et le *Connection Server* se font par le biais de tunnels sécurisés. * **Sans *Security Server*** ![](https://i.imgur.com/YaiGSUp.jpg) Une fois la premiere connexion établie entre le *Client* et le *Connection Server*, tout le traffic RDP est encapsulé dans un tunnel SSL. **La clé d'encryption est de type *Triple DES* (Data Encryption Standard)** --- * **Avec *Security Server*** ![](https://i.imgur.com/S2c2enu.jpg) **La clé d'encryption créée par le *Security Server* est une clé symétrique de type *Cypher*.** # 2. Les connexions directes Lors d'une connexion direct, le client léger fait une requète au *Connection Server*. Ce dernier cible une adresse IP pré-établie et créer une connection entre le client et le poste de travail virtuel. * **Sans *Security Server*** ![](https://i.imgur.com/abuHVX9.jpg) * **Avec *Security Server*** ![](https://i.imgur.com/bxo4IQ4.jpg) ### /!\ Le lien entre le client léger et le réseau interne se faisant sur le port RDP 3380, l'utilisation d'une connexion direct dans une infrastructure intégrant un *Security Server* est fortemment déconseillée /!\ **Avantages d'une connexion directe:** * Un seul *Connection Server* peut gérer plus de connexions * Sensiblement plus rapide * Moins de charge sur le réseau **Inconvénients d'une connexion directe:** * Moins sécurisé (man-in-the-middle) * Traffic non chiffré avec RDP **Autres considérations:** * Parfois nécessaire avec certain zéro client * Plutôt réservé aux connexions depuis l'interne --- # **Architectures DMZ** En informatique, une **zone démilitarisée**, ou **DMZ** (en anglais, demilitarized zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Les services susceptibles d'être accédés depuis Internet seront situés en DMZ, et tous les flux en provenance d'Internet sont redirigés par défaut vers la DMZ par le firewall. Le pare-feu bloquera donc les accès au réseau local à partir de la DMZ pour garantir la sécurité. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local. * **Architecture DMZ: 1 pare-feu + 3 interfaces réseau** ![](https://i.imgur.com/h52f7Sw.jpg) Le pare-feu fait office de switch entre les 3 interfaces. **1.** Vers le firewall depuis le réseau externe **2.** Vers la DMZ **3.** Vers le réseau interne **L'inconvénient est que si cet unique pare-feu est compromis, plus rien n'est contrôlé. Il est cependant possible d'utiliser deux pare-feu en cascade afin d'éliminer ce risque.** --- * **Architecture DMZ: 2 pare-feu en cascade** ![](https://i.imgur.com/OkEMVnD.jpg) **1.** 1 pare-feu entre le réseau extérieur et la DMZ **2.** 1 pare-feu entre la DMZ et le réseau interne **Rend les attaques depuis le réseau externe vers le réseau interne plus difficiles - architecture la plus répandue et la plus sécurisée.** --- # **Installation & configuration** **1.** Installation ![](https://i.imgur.com/miZYPlo.jpg) Lancez le programme d'installation de VMware *Connection Server* ![](https://i.imgur.com/CSJ93uf.jpg) Cliquez sur suivant jusqu'à ce que vous ayez le choix du serveur à installer - Choisissez *Serveur de sécurité View* ![](https://i.imgur.com/emQn1mw.jpg) Appuyez sur suivant puis, quand la possibilité se présente, renseignez l'adresse du *Connection Server* afin de le coupler au *Security Server* ![](https://i.imgur.com/MWTxYR8.jpg) Avant de cliquer sur suivant, rendez-vous sur la page de gestion du *Horizon View*, et ajoutez un mot de passe de couplage dans le menu "Plus de commandes" ![](https://i.imgur.com/GKwzpOO.jpg) ![](https://i.imgur.com/zj082CJ.jpg) Retournez sur l'installation de *Security Server*, et entrez le mot de passe que vous venez de créer ![](https://i.imgur.com/CdcS7vm.jpg) Cliquez sur suivant en laissant les paramètres par défaut. Le *Security Server* est désormait accessible sur la page de gestion Horizon View ![](https://i.imgur.com/elaXr9b.jpg) --- **2.** **Configuration** En cliquant sur le Security Server, vous avez la possibilité de modifier ses paramètres. ![](https://i.imgur.com/6zCXzsH.jpg) Vous pouvez changer l'adresse qui permettra d'y accéder depuis l'exterieur, ainsi qu'activer le PCoIP ou encore les connexions par tunnel ![](https://i.imgur.com/OxA9525.jpg) Les paramètres généraux permettent aussi d'affiner et sécuriser d'avantage les accès au réseau interne. ![](https://i.imgur.com/Bn6Fzjg.jpg) --- ---