Réglages IPSec

IPSec est un protocole permettant de garantir la sécurité des paquets IP envoyés et reçus via le réseau en les protégeant de menaces comme le vol, la modification ou l'usurpation d'identité. IPSec s'applique pour les paquets TCP, UDP (User Datagram Protocol) et ICMP (Internet Control Message Protocol). IPSec est plus performant que les autres protocoles de sécurité car en plus d'ajouter des fonctions de sécurité à l'IP, la principale tâche d'un protocole Internet, il ne dépend pas du logiciel d'application ni de la configuration réseau.
Cette section décrit la procédure pour créer une politique de sécurité afin de définir les communications IPSec à l'aide du panneau de commande de la machine. Une politique de sécurité mémorise les paramètres IPSec, tels que les paquets à traiter avec IPSec, et l'algorithme à utiliser pour l'authentification et le cryptage. On appelle une IPSec SA (association de sécurité) une connexion logique établie pour des communications en fonction de la politique de sécurité IPSec.
Les caractéristiques de l'IPSec utilisées par la machine sont les suivantes.

Mode de communication

Etant donné que l'IPSec de la machine ne prend en charge que le mode de transport, seules les données des paquets IP sont authentifiées et cryptées.

Méthode d'authentification et de cryptage

Une des méthodes suivantes doit être configurée sur la machine. Ces deux méthodes ne peuvent pas être configurées simultanément.
AH (Authentication Header)
Protocole permettant de garantir l'authentification en détectant les modifications des données communiquées, dont les en-têtes IP. Les données communiquées ne sont pas cryptées.
ESP (Encapsulating Security Payload)
Protocole permettant une confidentialité via le cryptage tout en garantissant uniquement l'intégrité et l'authentification des données utiles se trouvant dans les données communiquées.

Protocole d'échange de clé

Prend en charge IKEv1 (Internet Key Exchange version 1) pour l'échange de clés sur ISAKMP (Internet Security Association and Key Management Protocol). IKE est composé de deux phases : dans la première, l'association de sécurité (SA) utilisée pour IKE (IKE SA) est créée, dans la seconde, l'association de sécurité utilisée pour IPSec (IPSec SA) est créée.
Pour configurer l'authentification avec la méthode de clé pré-partagée, il est nécessaire d'avoir choisi préalablement une clé pré-partagée. Celle-ci constitue un mot-clé et est utilisée pour envoyer et recevoir des données. Utiliser le panneau de commande de la machine pour définir cette clé pré-partagée en tant que destination pour établir des communications IPSec et exécuter une authentification à l'aide de la méthode de clé pré-partagée.
Pour sélectionner une authentification à l'aide de la méthode de signature numérique, un certificat CA (certificat X.509) doit être mémorisé pour une authentification bilatérale de la destination IPSec. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur la mémorisation du fichier de certificat CA, voir "Mémorisation/modification d'un fichier de certificat CA".
Les types de paires de clés et le certificat qui peuvent être utilisés pour l'authentification avec la méthode de signature numérique sont indiqués ci-dessous.
Algorithme RSA (Rivest Shamir Adleman)
Format de paire de clés PKCS#12

IMPORTANT
Les restrictions suivantes sont applicables si plusieurs politiques de sécurité doivent être mémorisées lors de la configuration du mode principal ou de la méthode d'authentification de clé prépartagée dans l'écran Réglages IKE.
Méthode de clé prépartagée : lors de la définition de plusieurs adresses IP à distance auxquelles une politique de sécurité est appliquée, toutes les clés prépartagées pour cette politique de sécurité sont identiques (ceci ne s'applique pas si une seule adresse est définie).
Priorité : la priorité est donnée aux politiques de sécurité définies pour une seule adresse IP et non à celles qui s'appliquent à de multiples adresses IP à distance.
12HR-1S3