Réglages IPSec

IPSec est un protocole permettant de garantir la sécurité des paquets IP envoyés et reçus via le réseau en les protégeant de menaces comme le vol, la modification ou l'usurpation d'identité. IPSec s'applique pour les paquets TCP, UDP (User Datagram Protocol) et ICMP (Internet Control Message Protocol). IPSec est plus performant que les autres protocoles de sécurité car en plus d'ajouter des fonctions de sécurité à l'IP, la principale tâche d'un protocole Internet, il ne dépend pas du logiciel d'application ni de la configuration réseau.

Cette section décrit la procédure pour créer une politique de sécurité afin de définir les communications IPSec à l'aide du panneau de commande de la machine. Une politique de sécurité mémorise les paramètres IPSec, tels que les paquets à traiter avec IPSec, et l'algorithme à utiliser pour l'authentification et le cryptage. On appelle une IPSec SA (association de sécurité) une connexion logique établie pour des communications en fonction de la politique de sécurité IPSec.

Les caractéristiques de l'IPSec utilisées par la machine sont les suivantes.

Etant donné que l'IPSec de la machine ne prend en charge que le mode de transport, seules les données des paquets IP sont authentifiées et cryptées.

Une des méthodes suivantes doit être configurée sur la machine. Ces deux méthodes ne peuvent pas être configurées simultanément.

Prend en charge IKEv1 (Internet Key Exchange version 1) pour l'échange de clés sur ISAKMP (Internet Security Association and Key Management Protocol). IKE est composé de deux phases : dans la première, l'association de sécurité (SA) utilisée pour IKE (IKE SA) est créée, dans la seconde, l'association de sécurité utilisée pour IPSec (IPSec SA) est créée.

Pour configurer l'authentification avec la méthode de clé pré-partagée, il est nécessaire d'avoir choisi préalablement une clé pré-partagée. Celle-ci constitue un mot-clé et est utilisée pour envoyer et recevoir des données. Utiliser le panneau de commande de la machine pour définir cette clé pré-partagée en tant que destination pour établir des communications IPSec et exécuter une authentification à l'aide de la méthode de clé pré-partagée.

Pour sélectionner une authentification à l'aide de la méthode de signature numérique, un certificat CA (certificat X.509) doit être mémorisé pour une authentification bilatérale de la destination IPSec. Pour plus d'informations sur l'installation du fichier de certificat CA à l'aide de l'interface utilisateur distante, voir "Installation d'un fichier de certificat CA". Pour des instructions sur la mémorisation du fichier de certificat CA, voir "Mémorisation/modification d'un fichier de certificat CA".

Les types de paires de clés et le certificat qui peuvent être utilisés pour l'authentification avec la méthode de signature numérique sont indiqués ci-dessous.