Configuration des réglages IPSec

Internet Protocol Security (IPSec ou IPsec) désigne une série de protocoles destinée à crypter les données transitant sur un réseau (y compris sur les réseaux Internet). Alors que le protocole TLS se contente de crypter les données destinées à une application spécifique (telle qu'un navigateur Web ou un programme de messagerie), le protocole IPSec crypte l'intégralité ou les charges utiles des paquets IP. Vous disposez ainsi d'un système de sécurité plus polyvalent. Le protocole IPSec de l'appareil fonctionne en mode Transport, mode pendant lequel les charges utiles des paquets IP sont cryptées. Grâce à cette fonction, l'appareil est capable de se connecter directement à un ordinateur appartenant au même réseau privé virtuel (VPN). Avant de paramétrer l'appareil, prenez soin de vérifier la configuration requise (Fonctions de gestion) et de définir les paramètres de configuration nécessaires sur l'ordinateur.
Utilisation du protocole IPSec avec le filtre d'adresse IP
Les réglages du filtre d'adresse IP sont appliqués avant les politiques IPSec. Spécification d'adresses IP pour les réglages de pare-feu

Configuration des réglages IPSec

Avant d'appliquer IPSec aux communications cryptées, vous devez enregistrer les politiques de sécurité (SP). Une politique de sécurité est constituée des groupes de réglages décrits ci-dessous. Une fois leur enregistrement terminé, indiquez l'ordre dans lequel elles sont appliquées.
Sélecteur
Le sélecteur définit les conditions d'application des paquets IP aux communications IPSec. Les adresses IP, les numéros de port de l'appareil et les périphériques avec lesquels il est possible de communiquer sont autant de conditions sélectionnables.
IKE
IKE configure le mode IKEv1 utilisé par le protocole d'échange de clés. Les instructions varient en fonction de la méthode d'authentification sélectionnée.
[Méthode Clé prépartagée]
Cette méthode d'authentification utilise un mot-clé commun, appelé clé partagée, pour les communications entre l'appareil et les autres périphériques. Activez TLS pour l'interface utilisateur distante avant de spécifier la méthode d'authentification (Configuration de la clé avec certificat utilisée pour TLS).
[Méthode Signature numérique]
L'appareil et les autres périphériques s'identifient mutuellement en vérifiant leurs signatures numériques. Générez ou installez au préalable la clé avec certificat (Enregistrement de la clé avec certificat utilisée pour les communications réseau).
AH/ESP
Configurez les protocoles AH/ESP ajoutés aux paquets lors d'une communication IPSec. Il est possible d'utiliser simultanément AH et ESP. Indiquez également s'il est nécessaire ou non d'activer PFS pour appliquer un niveau de sécurité plus rigoureux.
 
Pour plus d'informations sur les procédures de base à réaliser pour configurer l'appareil depuis l'interface utilisateur distante, voir Configuration des options de menu de l'interface utilisateur distante.
1
Lancez l'interface utilisateur distante et connectez-vous en mode Administrateur système. Démarrage de l'interface utilisateur distante
2
Cliquez sur [Réglages/Enregistrement] sur la page du portail. Écran de l'interface utilisateur distante
3
Sélectionnez [Réglages réseau]  [Réglages IPSec].
4
Cliquez sur [Modifier].
5
Cochez la case [Utiliser IPSec] et cliquez sur [OK].
Si vous voulez que l'appareil ne reçoive que les paquets correspondant à l'une des politiques de sécurité que vous définissez lors des étapes qui suivent, décochez la case [Recevoir des paquets sans politique].
6
Cliquez sur [Mémoriser une nouvelle politique].
7
Spécifiez les réglages de la politique.
1
Pour identifier la politique, saisissez un nom en caractères alphanumériques dans la zone de texte [Nom de la politique].
2
Cochez la case [Activer la politique].
8
Spécifiez les réglages du sélecteur.
[Adresse locale]
Cliquez sur la case d'option pour définir le type d'adresse IP de l'appareil auquel appliquer la politique.
[Toutes les adresses IP]
Permet d'appliquer IPSec à tous les paquets IP.
[Adresse IPv4]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv4 de l'appareil.
[Adresse IPv6]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv6 de l'appareil.
[Adresse distante]
Cliquez sur la case d'option pour définir le type d'adresse IP des autres appareils auxquels appliquer la politique.
[Toutes les adresses IP]
Permet d'appliquer IPSec à tous les paquets IP.
[Toutes les adresses IPv4]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv4 d'autres périphériques.
[Toutes les adresses IPv6]
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv6 d'autres périphériques.
[Réglages manuels IPv4]
Permet de spécifier une adresse IPv4 unique ou une plage d'adresses IPv4 auxquelles appliquer IPSec. Saisissez l'adresse IPv4 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement].
[Réglages manuels IPv6]
Permet de spécifier une adresse IPv6 unique ou une plage d'adresses IPv6 auxquelles appliquer IPSec. Saisissez l'adresse IPv6 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement].
[Adresses à régler manuellement]
Si [Réglages manuels IPv4] ou [Réglages manuels IPv6] est sélectionné pour [Adresse distante], saisissez l'adresse IP à laquelle appliquer la politique. Vous pouvez également saisir une plage d'adresses en insérant un tiret entre les adresses.
Saisie d'adresses IP
Description
Exemple
Saisie d'une adresse unique
IPv4 :
Séparez les nombres par des points.
192.168.0.10
IPv6 :
Séparez les caractères alphanumériques par le symbole deux-points.
fe80::10
Spécification d'une plage d'adresses
Insérez un tiret entre les adresses.
192.168.0.10-192.168.0.20
[Réglages du sous-réseau]
Pour spécifier une adresse IPv4 manuellement, vous pouvez exprimer la plage d'adresses au moyen du masque de sous-réseau. Saisissez ce dernier en séparant les nombres par des points (exemple :"255.255.255.240").
[Longueur du préfixe]
Spécifier manuellement la plage des adresses IPv6 vous permet également de spécifier la plage à l'aide de préfixes. Saisissez une plage comprise entre 0 et 128 comme longueur de préfixe.
[Port local]/[Port distant]
Si vous comptez créer des politiques spécifiques pour chaque protocole (HTTP ou WSD, par exemple), cliquez sur la case d'option [Port unique] et saisissez le numéro de port approprié pour le protocole pour déterminer s'il est nécessaire ou non d'utiliser IPSec.
IPSec n'est pas appliqué aux paquets suivants
Paquets en boucle, paquets multidiffusion et paquets de diffusion
Paquets IKE (avec UDP sur le port 500)
Paquets de sollicitation et d'annonce de voisinage ICMPv6
9
Spécifiez les réglages IKE.
[Mode IKE]
Le mode utilisé par le protocole d'échange de clés est affiché. L'appareil prend en charge le mode principal, et non le mode agressif.
[Méthode d'authentification]
Sélectionnez [Méthode Clé prépartagée] ou [Méthode Signature numérique] pour désigner la méthode d'authentification de l'appareil. Vous devez activer TLS pour l'interface utilisateur distante avant de sélectionner [Méthode Clé prépartagée]. Il convient de générer ou d'installer une clé avec certificat avant de sélectionner [Méthode Signature numérique]. Configuration de la clé avec certificat utilisée pour TLS
[Valide pendant]
Indiquez la durée d'une session pour IKE SA (ISAKMP SA). Exprimez-la en minutes.
[Authentification]/[Cryptage]/[Groupe DH]
Sélectionnez un algorithme dans la liste déroulante. Chaque algorithme est utilisé lors de l'échange de clés.
[Authentification]
Sélectionnez l'algorithme de hachage.
[Cryptage]
Sélectionnez l'algorithme de cryptage.
[Groupe DH]
Sélectionnez le groupe Diffie-Hellman qui détermine la puissance de la clé.
 Authentification d'un appareil à l'aide d'une clé pré-partagée
1
Cliquez sur la case d'option [Méthode Clé prépartagée] pour désigner la [Méthode d'authentification] souhaitée, puis cliquez sur [Réglages de la clé partagée].
2
Saisissez la clé pré-partagée en caractères alphanumériques et cliquez sur [OK].
3
Spécifiez les réglages [Valide pendant] et [Authentification]/[Cryptage]/[Groupe DH].
 Authentification d'un appareil à l'aide de méthode de la signature numérique
1
Cliquez sur la case d'option [Méthode Signature numérique] pour désigner la [Méthode d'authentification] souhaitée, puis cliquez sur [Clé et certificat].
2
Cliquez sur [Mémoriser la clé par défaut] à droite de la clé avec certificat à utiliser.
Affichage des détails d'un certificat
Vous pouvez vérifier les détails d'une paire de clés ou d'un certificat en cliquant sur le lien correspondant sous [Nom de clé], ou sur l'icône du certificat.
3
Spécifiez les réglages [Valide pendant] et [Authentification]/[Cryptage]/[Groupe DH].
10
Spécifiez les réglages du réseau IPSec.
[Utiliser PFS]
Cochez la case permettant d'activer l'option PFS (Perfect Forward Secrecy) pour les clés de sessions IPSec. Cette option a pour effet de renforcer la sécurité et d'augmenter la charge qui s'exerce sur les communications. Assurez-vous également d'activer l'option PFS pour les autres périphériques.
[Spécifier par durée]/[Spécifier par taille]
Définissez les conditions dans lesquelles une session pour IPSec SA prend fin. IPSec SA fait office de tunnel de communication. Cochez l'une ou l'autre des cases à cocher (ou les deux). Si vous cochez les deux cases, la session IPSec SA prend fin dès que l'une des deux conditions est satisfaite.
[Spécifier par durée]
Indiquez la durée d'une session en nombre de minutes.
[Spécifier par taille]
Indiquez la taille maximale en mégaoctets des données transportées au cours d'une session.
[Sélectionner un algorithme]
Cochez la/les case(s) [ESP], [ESP (AES-GCM)] ou [AH (SHA1)] en fonction de l'en-tête IPSec et de l'algorithme utilisé. AES-GCM est un algorithme destiné à la fois à l'authentification et au cryptage. Si vous activez [ESP], pensez également à sélectionner les algorithmes d'authentification et de cryptage dans les listes déroulantes [Authentification ESP] et [Cryptage ESP].
[Authentification ESP]
Pour activer l'authentification ESP, sélectionnez [SHA1] en guise d'algorithme de hachage. Sélectionnez [Ne pas utiliser] si vous avez l'intention de désactiver l'authentification ESP.
[Cryptage ESP]
Sélectionnez l'algorithme de cryptage pour ESP. Vous sélectionnez [NULL] si vous ne voulez pas spécifier d'algorithme ou sélectionnez [Ne pas utiliser] pour désactiver le cryptage ESP.
[Mode de connexion]
Le mode de connexion IPSec s'affiche. L'appareil gère le mode Transport (mode pendant lequel les charges utiles des paquets IP sont cryptées). Le mode Tunnel, qui a pour effet d'encapsuler les paquets IP entiers (en-têtes et charges utiles), n'est pas disponible.
11
Cliquez sur [OK].
Si vous avez besoin d'enregistrer une politique de sécurité supplémentaire, revenez à l'étape 6.
12
Changez, si besoin est, l'ordre d'application des politiques sous [Politiques IPSec mémorisées].
Les politiques sont appliquées de façon hiérarchique (du rang supérieur au rang inférieur). Cliquez sur [Vers le haut] ou [Vers le bas] pour déplacer une politique d'un rang vers le haut ou vers le bas.
Modification d'une politique
Cliquez sur le lien de texte correspondant sous [Nom de la politique] pour modifier l'écran.
Suppression d'une politique
Cliquez sur [Supprimer] à droite du nom de la politique à supprimer  cliquez sur [OK]. 
13
Redémarrez l'appareil. Redémarrer l'appareil
Utilisation du panneau de commande
Vous pouvez également activer ou désactiver la communication IPSec à partir de <Menu> dans l'écran Accueil. <Utiliser IPSec>
8559-07J