Configuration des réglages IPSec

Internet Protocol Security (IPSec ou IPsec) désigne une série de protocoles destinée à crypter les données transitant sur un réseau (y compris sur les réseaux Internet). Alors que le protocole TLS se contente de crypter les données destinées à une application spécifique (telle qu'un navigateur Web ou un programme de messagerie), le protocole IPSec crypte l'intégralité ou les charges utiles des paquets IP. Vous disposez ainsi d'un système de sécurité plus polyvalent. Le protocole IPSec de l'appareil fonctionne en mode Transport, mode pendant lequel les charges utiles des paquets IP sont cryptées. Grâce à cette fonction, l'appareil est capable de se connecter directement à un ordinateur appartenant au même réseau privé virtuel (VPN). Avant de paramétrer l'appareil, prenez soin de vérifier la configuration requise et de définir les paramètres de configuration nécessaires sur l'ordinateur.
Configuration système requise
REMARQUE
Restrictions fonctionnelles pour IPSec
IPSec gère les communications avec une adresse monodiffusion (ou un périphérique unique).
L'appareil ne peut pas utiliser simultanément les protocoles IPSec et DHCPv6.
IPSec n'est pas disponible sur les réseaux faisant appel à l'interface NAT ou IP.
Utilisation du protocole IPSec avec le filtre d'adresse IP
Les réglages du filtre d'adresse IP sont appliqués avant les politiques IPSec.

Configuration des réglages IPSec

Avant d'appliquer IPSec aux communications cryptées, vous devez enregistrer les politiques de sécurité (SP). Une politique de sécurité est constituée des groupes de réglages décrits ci-dessous. Vous avez la possibilité d'enregistrer jusqu'à 10 politiques. Une fois l'enregistrement terminé, indiquez l'ordre dans lequel elles sont appliquées.
Sélecteur
Le sélecteur définit les conditions d'application des paquets IP aux communications IPSec. Les adresses IP, les numéros de port de l'appareil et les périphériques avec lesquels il est possible de communiquer sont autant de conditions sélectionnables.
IKE
IKE configure le mode IKEv1 utilisé par le protocole d'échange de clés. Les instructions varient en fonction de la méthode d'authentification sélectionnée.
[Méthode Clé prépartagée :]
Une clé d'au plus 24 caractères alphanumériques peut être partagée avec les autres périphériques. Activez TLS pour l'interface utilisateur distante avant d'indiquer le mode d'authentification (Activation de communications cryptées TLS pour l'interface utilisateur distante).
[Méthode Signature numérique :]
L'appareil et les autres périphériques s'identifient mutuellement en vérifiant leurs signatures numériques. Générez ou installez au préalable la paire de clés (Configuration des paires de clés et des certificats numériques).
AH/ESP
Configurez les protocoles AH/ESP ajoutés aux paquets lors d'une communication IPSec. Il est possible d'utiliser simultanément AH et ESP. Indiquez également s'il est nécessaire ou non d'activer PFS pour appliquer un niveau de sécurité plus rigoureux.
1
Lancez l'interface utilisateur distante en mode Administrateur système. Lancez l'interface utilisateur distante.
2
Cliquez sur [Réglages/Enregistrement].
3
Cliquez sur [Réglages de sécurité]  [Réglages IPSec].
4
Cliquez sur [Modifier...].
5
Cochez la case [Utiliser IPSec] et cliquez sur [OK].
Si vous voulez que l'appareil ne reçoive que les paquets correspondant à l'une des politiques de sécurité que vous définissez lors des étapes qui suivent, désactivez la case [Recevoir des paquets sans politique].
6
Cliquez sur [Mémoriser une nouvelle politique...].
7
Spécifiez les réglages de la politique.
1
Pour identifier la politique, saisissez un nom composé de 24 caractères alphanumériques maximum dans la zone de texte [Nom de la politique].
2
Cochez la case [Activer la politique].
8
Spécifiez les réglages du sélecteur.
 
[Adresse locale :]
Cliquez sur la case d'option pour définir le type d'adresse IP de l'appareil auquel appliquer la politique.
[Toutes les adresses IP]
Permet d'appliquer IPSec à tous les paquets IP.
[Adresse IPv4]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv4 de l'appareil.
[Adresse IPv6]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv6 de l'appareil.
 
[Adresse distante :]
Cliquez sur la case d'option pour définir le type d'adresse IP des autres appareils auxquels appliquer la politique.
[Toutes les adresses IP]
Permet d'appliquer IPSec à tous les paquets IP.
[Toutes les adresses IPv4]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv4 d'autres périphériques.
[Toutes les adresses IPv6]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv6 d'autres périphériques.
[Réglages manuels IPv4]
Permet de spécifier une adresse IPv4 unique ou une plage d'adresses IPv4 auxquelles appliquer IPSec. Saisissez l'adresse IPv4 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement :].
[Réglages manuels IPv6]
Permet de spécifier une adresse IPv6 unique ou une plage d'adresses IPv6 auxquelles appliquer IPSec. Saisissez l'adresse IPv6 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement :].
 
[Adresses à régler manuellement :]
Si [Réglages manuels IPv4] ou [Réglages manuels IPv6] est sélectionné pour [Adresse distante :], saisissez l'adresse IP à laquelle appliquer la politique. Vous pouvez également saisir une plage d'adresses en insérant un tiret entre les adresses.
REMARQUE :
Saisie d'adresses IP
Description
Exemple
Saisie d'une adresse unique
IPv4 :
Séparez les nombres par des points.
192.168.0.10
IPv6 :
Séparez les caractères alphanumériques par le symbole deux-points.
fe80::10
Spécification d'une plage d'adresses
Insérez un tiret entre les adresses.
192.168.0.10-192.168.0.20
Spécification d'une plage d'adresses avec un préfixe (IPv6 uniquement)
Saisissez l'adresse suivie d'une barre oblique et d'un nombre représentant la longueur du préfixe.
fe80::1234/64
 
[Réglages du sous-réseau :]
Pour spécifier une adresse IPv4 manuelle, vous pouvez exprimer la plage d'adresses au moyen du masque de sous-réseau. Saisissez ce dernier en séparant les nombres par des points (Exemple : "255.255.255.240").
[Longueur du préfixe :]
Lorsque vous spécifiez manuellement IPv6, vous définissez la longueur du préfixe.
[Port local :]/[Port distant :]
Si vous comptez créer des politiques spécifiques pour chaque protocole (HTTP ou SMTP, par exemple), saisissez le numéro de port approprié pour le protocole pour déterminer s'il est nécessaire ou non d'utiliser IPSec.
IMPORTANT :
IPSec n'est pas appliqué aux paquets suivants
Paquets en boucle, paquets multidiffusion et paquets de diffusion
Paquets IKE (avec UDP sur le port 500)
Paquets de sollicitation et d'annonce de voisinage ICMPv6
9
Spécifiez les réglages IKE.
[Mode IKE :]
Le mode utilisé par le protocole d'échange de clés est affiché. L'appareil prend en charge le mode principal, et non le mode agressif.
[Méthode d'authentification :]
Sélectionnez [Méthode Clé prépartagée :] ou [Méthode Signature numérique :] pour désigner la méthode d'authentification de l'appareil. Vous devez activer TLS pour l'interface utilisateur distante avant de sélectionner [Méthode Clé prépartagée :] (Activation de communications cryptées TLS pour l'interface utilisateur distante). Il convient de générer ou d'installer une paire de clés avant de sélectionner [Méthode Signature numérique :] (Configuration des paires de clés et des certificats numériques).
[Valide pendant :]
Indiquez la durée d'une session pour IKE SA (ISAKMP SA). Exprimez-la en minutes.
[Authentification :]/[Cryptage :]/[Groupe DH :]
Sélectionnez un algorithme dans la liste déroulante. Chaque algorithme est utilisé lors de l'échange de clés.
[Authentification :]
Sélectionnez l'algorithme de hachage.
[Cryptage :]
Sélectionnez l'algorithme de cryptage.
[Groupe DH :]
Sélectionnez le groupe Diffie-Hellman qui détermine la puissance de la clé.
 Utilisation d'une clé pré-partagée pour l'authentification
1
Cliquez sur la case d'option [Méthode Clé prépartagée :] pour désigner la [Méthode d'authentification :] souhaitée, puis cliquez sur [Réglages de la clé partagée...].
2
Saisissez une clé pré-partagée composée de 24 caractères alphanumériques maximum et cliquez sur [OK].
3
Spécifiez les réglages [Valide pendant :] et [Authentification :]/[Cryptage :]/[Groupe DH :]
 Utilisation d'une paire de clés et de certificats CA pré-installés en vue de l'authentification
1
Cliquez sur la case d'option [Méthode Signature numérique :] pour désigner la [Méthode d'authentification :] souhaitée, puis cliquez sur [Clé et certificat...].
2
Cliquez sur [Mémoriser la clé par défaut] à droite de la paire de clés à utiliser.
REMARQUE :
Affichage des détails d'une paire de clés ou d'un certificat
Vous pouvez vérifier les détails d'une paire de clés ou d'un certificat en cliquant sur le lien correspondant sous [Nom de clé], ou sur l'icône du certificat. Vérification des paires de clés et des certificats numériques
3
Spécifiez les réglages [Valide pendant :] et [Authentification :]/[Cryptage :]/[Groupe DH :]
10
Spécifiez les réglages du réseau IPSec.
[Utiliser PFS]
Cochez la case permettant d'activer l'option PFS (Perfect Forward Secrecy) pour les clés de sessions IPSec. Cette option a pour effet de renforcer la sécurité et d'augmenter la charge qui s'exerce sur les communications. Assurez-vous également d'activer l'option PFS pour les autres périphériques.
[Spécifier par durée]/[Spécifier par taille]
Définissez les conditions dans lesquelles une session pour IPSec SA prend fin. IPSec SA fait office de tunnel de communication. Cochez l'une ou l'autre des cases à cocher (ou les deux). Si vous cochez les deux cases, la session IPSec SA prend fin dès que l'une des deux conditions est satisfaite.
[Spécifier par durée]
Indiquez la durée d'une session en nombre de minutes.
[Spécifier par taille]
Indiquez la taille maximale en méga-octets des données transportées au cours d'une session.
[Sélectionner un algorithme :]
Cochez la/les case(s) [ESP], [ESP (AES-GCM)] ou [AH (SHA1)] en fonction de l'en-tête IPSec et de l'algorithme utilisé. AES-GCM est un algorithme destiné à la fois à l'authentification et au cryptage. Si vous activez [ESP], pensez également à sélectionner les algorithmes d'authentification et de cryptage dans les listes déroulantes [Authentification ESP :] et [Cryptage ESP :].
[Authentification ESP :]
Pour activer l'authentification ESP, sélectionnez [SHA1] en guise d'algorithme de hachage. Sélectionnez [Ne pas utiliser] si vous avez l'intention de désactiver l'authentification ESP.
[Cryptage ESP :]
Sélectionnez l'algorithme de cryptage pour ESP. Vous sélectionnez [NULL] si vous ne voulez pas spécifier d'algorithme ou sélectionnez [Ne pas utiliser] pour désactiver le cryptage ESP.
[Mode de connexion]
Le mode de connexion IPSec s'affiche. L'appareil gère le mode Transport (mode pendant lequel les charges utiles des paquets IP sont cryptées). Le mode Tunnel, qui a pour effet d'encapsuler les paquets IP entiers (en-têtes et charges utiles), n'est pas disponible.
11
Cliquez sur [OK].
Si vous avez besoin d'enregistrer une politique de sécurité supplémentaire, revenez à l'étape 6.
12
Changez, si besoin est, l'ordre d'application des politiques sous [Politiques IPSec mémorisées].
Les politiques sont appliquées de façon hiérarchique (du rang supérieur au rang inférieur). Cliquez sur [Vers le haut] ou [Vers le bas] pour déplacer une politique d'un rang vers le haut ou vers le bas.
REMARQUE :
Modification d'une politique
Cliquez sur le lien correspondant sous [Nom de la politique] pour accéder à l'écran d'édition.
Suppression d'une politique
Cliquez sur [Supprimer] à droite du nom de la politique à supprimer  cliquez sur [OK].
13
Redémarrez l'appareil.
Éteignez l'appareil et attendez au moins 10 secondes avant de le rallumer.
0RH5-085