IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Onglet Profils de Chiffrement
Profils de chiffrement par défaut
Les valeurs définies dans la phase 1 et la phase 2 seront présélectionnées pour chaque nouveau correspondant créé.
Profil de chiffrement IKE (phase 1)
La phase 1 du protocole IKE vise à établir un canal de communication chiffré et authentifié entre les deux correspondants VPN. Ce "canal" est appelé SA ISAKMP (différent de la SA IPsec). Deux modes de négociations sont possibles : le mode principal et le mode agressif.
La liste déroulante permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils pré-configurés : StrongEncryption, GoodEncryption, et Mobile. Il est également possible d’en créer d’autres.
Profil de chiffrement IPsec (phase 2)
La phase 2 du protocole IKE négocie de manière sécurisée (au moyen du canal de communication SA ISAKMP négocié dans la première phase) les paramètres des futures SA IPsec (une entrante et une sortante).
La liste déroulante permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils pré-configurés : StrongEncryption, GoodEncryption, et Mobile. Il est également possible d’en créer d’autres.
Tableau des profils
Ce tableau propose une série de profils de chiffrement prédéfinis, de phases 1 ou 2.
| Ajouter | En cliquant sur ce bouton, vous pouvez choisir d’ajouter un Profil de phase 1 (IKE) ou Profil de phase 2 (IPsec), qui sera affiché dans la colonne « Type ». Vous pouvez lui donner le « Nom » que vous souhaitez. Il est également possible de copier un profil et ses caractéristiques : pour cela, sélectionnez le profil voulu et cliquez sur l’option Copier la sélection, puis donnez-lui un nom. |
| Supprimer | Sélectionnez le profil de chiffrement à retirer de la liste et cliquez sur Supprimer. |
Profil de type IKE
Pour chaque profil IKE ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général » et « Propositions »).
Général
| Commentaire |
Description associée à votre profil de chiffrement. |
|
Diffie Hellman |
Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra. Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret commun, sans transmission d'informations sensibles sur le réseau. En complément, si vous optez pour un profil IPsec, le PFS vous sera proposé. Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est importante. Que vous choisissiez l’un ou l’autre, une liste déroulante vous propose de définir un nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent également être sélectionnés. NOTES
|
| Durée de vie maximum (en secondes) | Période de temps au bout de laquelle les clés sont renégociées. La durée de vie par défaut pour un profil de type IKE est 21600 secondes, et 3600 secondes pour un profil de type IPsec. |
Propositions
Cette grille vous propose de modifier ou d’ajouter des combinaisons d'algorithmes de chiffrement et d'authentification à la liste pré-établie du profil sélectionné.
| Ajouter | La combinaison proposée par défaut est la suivante :
Cliquez sur la flèche à droite de leur colonne « Algorithme » respective si vous souhaitez les modifier. |
| Supprimer | Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer. |
| Monter | Sélectionnez la ligne à déplacer vers le haut de la grille afin d'augmenter la priorité de la combinaison Chiffrement / Authentification correspondante. |
| Descendre | Sélectionnez la ligne à déplacer vers le bas de la grille afin de diminuer la priorité de la combinaison Chiffrement / Authentification correspondante. |
Chiffrement
| Algorithme | Plusieurs choix vous sont proposés :
L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le chiffrement. Il n'est donc pas proposé de choisir un algorithme d'authentification dans ce cas. |
| Force | Nombre de bits définis pour l’algorithme sélectionné. |
Authentification
| Algorithme | Plusieurs choix vous sont proposés :
|
| Force |
Nombre de bits définis pour l’algorithme sélectionné. |
Profil de type IPsec
Pour chaque profil IPsec ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général », « Propositions d’authentification » et « Propositions de chiffrement »).
Général
| Commentaire | Description associée à votre profil de chiffrement. |
|
Diffie Hellman |
Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra. Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret commun, sans transmission d'informations sensibles sur le réseau. En complément, si vous optez pour un profil IPsec, le PFS vous sera proposé. Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est importante. Que vous choisissiez l’un ou l’autre, une liste déroulante vous propose de définir un nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent également être sélectionnés. NOTES
|
| Durée de vie (en secondes) | Période de temps au bout de laquelle les clés sont renégociées. La durée de vie par défaut pour un profil de type IKE est 21600 secondes, et 3600 secondes pour un profil de type IPsec. |
Propositions d’authentification
Cette grille vous propose de modifier ou d’ajouter des algorithmes d’authentification à la liste pré-établie du profil sélectionné.
| Ajouter | L’algorithme d’authentification apparaissant par défaut en cliquant sur ce bouton est hmac_sha1, d’une « Force » de 160 bits. Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier. Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante. |
| Supprimer | Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer. |
| Algorithme | Plusieurs choix vous sont proposés :
|
| Force | Nombre de bits définis pour l’algorithme sélectionné. |
Propositions de chiffrement
Cette grille vous propose de modifier ou d’ajouter des algorithmes de chiffrement à la liste pré-établie du profil sélectionné.
| Ajouter | L’algorithme de chiffrement apparaissant par défaut en cliquant sur ce bouton est des, d’une « Force » de 64 bits. Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier. Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante. |
| Supprimer | Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer. |
| Algorithme | Plusieurs choix vous sont proposés :
L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le chiffrement. |
| Force | Nombre de bits définis pour l’algorithme sélectionné. |
Cliquez sur Appliquer une fois votre configuration effectuée.