Configuration des réglages IPSec

L'utilisation du protocole IPSec permet d'empêcher des tiers d'intercepter ou d'interférer avec les paquets IP transportés sur le réseau IP. Du fait que IPSec ajoute des fonctions de sécurité sur IP, une suite de protocoles de base utilisée pour Internet, il peut fournir une sécurité qui est indépendante des applications ou de la configuration du réseau. Pour effectuer des communications IPSec avec cette machine, vous devez configurer des réglages tels que les paramètres d'application et l'algorithme pour l'authentification et le cryptage. Vous devez détenir les privilèges d'administrateur pour configurer ces réglages.

Activation de IPSec

Enregistrement d’une politique


Mode de communication Cet appareil ne prenant en charge que le mode de transport pour les communications IPSec, l'authentification et le cryptage ne sont appliqués qu'aux parties de données des paquets IP. Protocole d'échange de clés Cet appareil prend en charge Internet Key Exchange version 1 (IKEv1) pour l'échange de clés basé sur l'Internet Security Association et le Key Management Protocol (ISAKMP). Pour la méthode d'authentification, sélectionnez la méthode de la clé pré-partagée ou la méthode de la signature numérique. Pour configurer la méthode de la clé pré-partagée, vous devez choisir une phrase de passe (clé pré-partagée) à l'avance, qui est utilisée entre la machine et l'homologue de communication IPSec. Pour configurer la méthode de signature numérique, utilisez un certificat, une clé et un certificat au format PKCS#12 pour l'authentification mutuelle entre l'appareil et l'homologue de communication IPSec. Pour en savoir plus sur l'enregistrement de nouveaux certificats ou d'associations clés-certificats, consultez la section Enregistrement de la clé et du certificat pour les communications réseau. Notez que, pour que l'appareil utilise cette méthode, le protocole SNTP doit y être configuré. Réglages SNTP

Mode de communication

Cet appareil ne prenant en charge que le mode de transport pour les communications IPSec, l'authentification et le cryptage ne sont appliqués qu'aux parties de données des paquets IP.

Protocole d'échange de clés

Cet appareil prend en charge Internet Key Exchange version 1 (IKEv1) pour l'échange de clés basé sur l'Internet Security Association et le Key Management Protocol (ISAKMP). Pour la méthode d'authentification, sélectionnez la méthode de la clé pré-partagée ou la méthode de la signature numérique.

Pour configurer la méthode de la clé pré-partagée, vous devez choisir une phrase de passe (clé pré-partagée) à l'avance, qui est utilisée entre la machine et l'homologue de communication IPSec.

Pour configurer la méthode de signature numérique, utilisez un certificat, une clé et un certificat au format PKCS#12 pour l'authentification mutuelle entre l'appareil et l'homologue de communication IPSec. Pour en savoir plus sur l'enregistrement de nouveaux certificats ou d'associations clés-certificats, consultez la section Enregistrement de la clé et du certificat pour les communications réseau. Notez que, pour que l'appareil utilise cette méthode, le protocole SNTP doit y être configuré. Réglages SNTP


Indépendamment de la configuration de [Formater Méthode de cryptage en FIPS 140-2] pour la communication IPSec, un module de cryptage qui a déjà obtenu la certification FIPS 140-2 doit être employé. Pour que la communication IPSec soit conforme à la norme FIPS 140-2, vous devez régler la longueur de clé de DH et RSA pour la communication IPSec à 2048 bits ou une valeur supérieure dans l'environnement de réseau dont fait partie l'appareil. Seule la longueur de clé pour DH peut être spécifiée à partir de l'appareil. Veuillez en tenir compte lors de la configuration de votre environnement, car l'appareil ne propose pas de réglages pour RSA. Vous pouvez enregistrer jusqu'à 10 règles de sécurité.

Indépendamment de la configuration de [Formater Méthode de cryptage en FIPS 140-2] pour la communication IPSec, un module de cryptage qui a déjà obtenu la certification FIPS 140-2 doit être employé.

Pour que la communication IPSec soit conforme à la norme FIPS 140-2, vous devez régler la longueur de clé de DH et RSA pour la communication IPSec à 2048 bits ou une valeur supérieure dans l'environnement de réseau dont fait partie l'appareil.

Seule la longueur de clé pour DH peut être spécifiée à partir de l'appareil.

Veuillez en tenir compte lors de la configuration de votre environnement, car l'appareil ne propose pas de réglages pour RSA.

Vous pouvez enregistrer jusqu'à 10 règles de sécurité.

Activation de IPSec

Lancez l'IU distante. Lancement de l'interface utilisateur distante

Cliquez sur [Réglages/Enregistrement] dans la page du portail. Ecran de l'interface utilisateur distante

Cliquez sur [Réglages réseau]

[Réglages IPSec].

Sélectionnez [Utiliser IPSec] et cliquez sur [OK].

Pour recevoir uniquement des paquets qui correspondent à la politique de sécurité, sélectionnez [Refuser] pour [Réception des paquets sans politique].

Enregistrement d’une politique

Lancez l'IU distante. Lancement de l'interface utilisateur distante

Cliquez sur [Réglages/Enregistrement] dans la page du portail. Ecran de l'interface utilisateur distante

Cliquez sur [Réglages réseau]

[Liste de politique IPSec].

Cliquez sur [Mémoriser la nouvelle politique IPSec].

Configurer une politique.

[Nom de la politique]

Saisissez un nom pour identifier la politique.

[Activer/désactiver politique]

Sélectionnez [Oui] pour activer la politique enregistrée.

[Autoriser uniquement 256 bits pour la longueur de clé AES]

Cochez cette case pour limiter la longueur de la clé de la méthode de cryptage AES à 256 bits et répondre aux normes d'authentification CC.

Configurez les paramètres d'application IPSec.

Cliquez sur [Réglages du sélecteur].

Spécifiez l'adresse IP à laquelle appliquer la politique IPSec.

Spécifiez l'adresse IP de cette machine dans [Adresse locale], et spécifiez l'adresse IP de l'homologue de communication dans [Adresse distante].

[Toutes les adresses IP]	IPSec est appliqué à tous les paquets envoyés et réceptionnés.
[Adresse IPv4]	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv4 de cet appareil.
[Adresse IPv6]	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv6 de cet appareil.
[Toutes les adresses IPv4]	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv4 de l'homologue de communication.
[Toutes les adresses IPv6]	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv6 de l'homologue de communication.
[Réglages manuels IPv4]	Spécifiez l'adresse IPv4 à laquelle appliquer IPSec. Sélectionnez [Adresse unique] pour saisir une adresse IPv4 individuelle. Sélectionnez [Plage d'adresses] pour spécifier une plage d'adresses IPv4. Saisissez une adresse séparée pour [Première adresse] et [Dernière adresse]. Sélectionnez [Réglages de sous-réseau] pour spécifier une plage d'adresses IPv4 en utilisant un masque de sous-réseau. Saisissez des valeurs séparées pour [Première adresse] et [Réglages de sous-réseau].
[Réglages manuels IPv6]	Spécifiez l'adresse IPv6 à laquelle appliquer IPSec. Sélectionnez [Adresse unique] pour saisir une adresse IPv6 individuelle. Sélectionnez [Plage d'adresses] pour spécifier une plage d'adresses IPv6. Saisissez une adresse séparée pour [Première adresse] et [Dernière adresse]. Sélectionnez [Adresse de préfixe] pour spécifier une plage d'adresses IPv6 en utilisant un préfixe. Saisissez des valeurs séparées pour [Première adresse] et [Longueur du préfixe].

Spécifiez le port auquel appliquer IPSec.

Sélectionnez [Spécifier par numéro de port] pour utiliser des numéros de port lors de la spécification des ports auxquels appliquer IPSec. Sélectionnez [Tous les ports] pour appliquer IPSec à tous les numéros de port. Pour appliquer IPSec à un numéro de port spécifique, appuyez sur [Port unique] et saisissez le numéro de port. Spécifiez le port de cette machine dans [Port local] et spécifiez le port de l'homologue de communication dans [Port distant].

Pour spécifier les ports auxquels appliquer IPSec par nom de service, sélectionnez [Spécifier par nom de service] et sélectionnez les services à utiliser.

Cliquez sur [OK].

Configurez les réglages d'authentification et de cryptage.

Cliquez sur [Réglages IKE].

Configurez les réglages nécessaires.

[Mode IKE]

Sélectionnez le mode de fonctionnement pour le protocole d'échange de clés. La sécurité est renforcée si vous sélectionnez [Principal] parce que la session IKE est cryptée, mais la vitesse de la session est inférieure à celle de l'option [Agressif], qui ne crypte pas l'intégralité de la session.

[Validité]

Définissez la période de validité de l'IKE SA généré.

[Méthode d'authentification]

Sélectionnez l'une des méthodes d'authentification décrite ci-dessous.

[Méthode clé prépartagée]	Configurez la même phrase de passe (clé pré-partagée) que celle configurée pour l'homologue de communication. Sélectionnez [Réglages clé partagée], saisissez la chaîne de caractères à utiliser comme clé partagée, et sélectionnez [OK].
[Méthode de signature numérique]	Configurez la clé et le certificat à utiliser pour l'authentification mutuelle avec l’homologue de communication. Cliquez sur [Clé et certificat], puis cliquez sur [Utiliser] pour la clé à utiliser.

[Algorithme d'authentification/cryptage]

Sélectionnez [Auto] ou [Réglages manuels] pour définir la configuration de l'algorithme d'authentification et de cryptage pour la phase 1 IKE. Si vous sélectionnez [Auto], un algorithme pouvant être utilisé à la fois par cette machine et l'homologue de communication est automatiquement configuré. Si vous souhaitez configurer un algorithme particulier, sélectionnez [Réglages manuels] et effectuez les réglages ci-dessous.

[Authentification]	Sélectionnez l'algorithme de hachage.
[Cryptage]	Sélectionnez l'algorithme de cryptage.
[Groupe DH]	Sélectionnez le groupe pour la méthode d'échange de clés Diffie-Hellman pour définir la puissance des clés.

Cliquez sur [OK].


Si [Mode IKE] est réglé sur [Principal] dans l'écran [IKE] et [Méthode d'authentification] est défini sur [Méthode clé prépartagée], les restrictions suivantes s’appliquent lors de l'enregistrement de plusieurs politiques de sécurité. Clé selon la méthode des clés pré-partagées : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, toutes les clés partagées correspondant à cette règle de sécurité sont identiques (cela ne s'applique pas lorsqu'une seule adresse est spécifiée). Priorité : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, la priorité de cette règle de sécurité est inférieure aux règles de sécurité pour lesquelles une seule adresse est spécifiée.

Si [Mode IKE] est réglé sur [Principal] dans l'écran [IKE] et [Méthode d'authentification] est défini sur [Méthode clé prépartagée], les restrictions suivantes s’appliquent lors de l'enregistrement de plusieurs politiques de sécurité.

Clé selon la méthode des clés pré-partagées : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, toutes les clés partagées correspondant à cette règle de sécurité sont identiques (cela ne s'applique pas lorsqu'une seule adresse est spécifiée).

Priorité : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, la priorité de cette règle de sécurité est inférieure aux règles de sécurité pour lesquelles une seule adresse est spécifiée.

Configurer les réglages de communication IPSec.

Cliquez sur [Réglages réseau IPSec].

Configurez les réglages nécessaires.

[Validité]

Définissez la période d’expiration de l'IPSec SA généré. Assurez-vous d'attribuer une valeur au paramètre [Durée] ou [Taille]. Si vous attribuez une valeur aux deux paramètres, la valeur atteinte en premier est appliquée.

[PFS]

Si vous sélectionnez [Utiliser PFS], la confidentialité de la clé de cryptage est renforcée, mais la vitesse de communication est plus lente. De plus, la fonction Perfect Forward Secrecy (PFS) doit être activée sur l’homologue de communication.

[Algorithme d'authentification/cryptage]

Sélectionnez [Auto] ou [Réglages manuels] pour définir la configuration de l'algorithme d'authentification et de cryptage pour la phase 2 IKE. Si vous sélectionnez [Auto], l'algorithme d'authentification et de cryptage ESP est configuré automatiquement. Si vous souhaitez définir une méthode d'authentification particulière, sélectionnez [Réglages manuels] et sélectionnez l'une des méthodes d'authentification ci-dessous.

[ESP]	L'authentification et le cryptage sont tous deux exécutés. Sélectionnez l'algorithme pour [Authentification ESP] et [Cryptage ESP]. Sélectionnez [NULL] si vous ne voulez pas configurer l'algorithme d'authentification ou de cryptage.
[ESP (AES-GCM)]	AES-GCM est utilisé comme algorithme ESP, et l'authentification et le cryptage sont tous deux exécutés.
[AH (SHA1)]	L'authentification est exécutée, mais les données ne sont pas cryptées. SHA1 est utilisé comme algorithme.

Cliquez sur [OK].

Activez les politiques enregistrées et vérifiez l'ordre de priorité.

Les politiques sont appliquées dans l'ordre de la liste en commençant par le haut. Si vous souhaitez modifier l'ordre de priorité, sélectionnez une politique dans la liste et cliquez sur [Augmenter la priorité] ou [Réduire la priorité].


Gestion des politiques IPSec Vous pouvez modifier les politiques sur l'écran affiché à l'étape 4. Pour modifier les détails d'une politique, cliquez sur le nom de la politique dans la liste. Pour désactiver une politique, cliquez sur le nom de la politique dans la liste, sélectionnez [Non] pour [Activer/désactiver politique] cliquez sur [OK]. Pour supprimer une politique, sélectionnez-la dans la liste cliquez sur [Supprimer] [OK]. Utilisation du panneau de commande Vous pouvez également activer ou désactiver la communication IPSec de <Régler> dans l'écran <Accueil>. <Réglages IPSec> Importation/exportation de lots Ce réglage peut être importé/exporté avec des modèles qui prennent en charge l'importation en lot de ce réglage. Import/Export des données de réglage Ce réglage est compris dans [Informations de base Réglages/Enregistrement] lors de l'export de lot. Import/Export de tous les réglages

Gestion des politiques IPSec

Vous pouvez modifier les politiques sur l'écran affiché à l'étape 4.

Pour modifier les détails d'une politique, cliquez sur le nom de la politique dans la liste.

Pour désactiver une politique, cliquez sur le nom de la politique dans la liste,

sélectionnez [Non] pour [Activer/désactiver politique]

cliquez sur [OK].

Pour supprimer une politique, sélectionnez-la dans la liste

cliquez sur [Supprimer]

[OK].

Utilisation du panneau de commande

Vous pouvez également activer ou désactiver la communication IPSec de <Régler> dans l'écran <Accueil>. <Réglages IPSec>

Importation/exportation de lots

Ce réglage peut être importé/exporté avec des modèles qui prennent en charge l'importation en lot de ce réglage. Import/Export des données de réglage

Ce réglage est compris dans [Informations de base Réglages/Enregistrement] lors de l'export de lot. Import/Export de tous les réglages