IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
VPN IPSEC
Protocole standard, l’IPsec (IP Security) permet la création de tunnels VPN entre deux machines, entre une machine et un réseau, entre deux réseaux et tout type d’objet supportant le protocole.
Les services proposés par l’IPsec Stormshield Network offrent le contrôle d'accès, l'intégrité en mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la confidentialité au niveau du chiffrement et sur le flux de trafic. Vous pouvez par exemple, créer un tunnel entre deux firewalls ou entre le firewall et des clients nomades sur lesquels seraient installés des clients VPN.
Le service IPsec bénéficie d'un mécanisme destiné à optimiser la répartition des opérations de chiffrement et de déchiffrement. Son but est d'améliorer de manière notable les débits IPsec notamment dans le cas d'une configuration comportant un seul tunnel IPsec.
Ce mécanisme d'optimisation est uniquement disponible sur les modèles SN510, SN2000, SN2100, SN3100 et SN6100.
Il dispose de 3 modes de configuration :
| Mode Désactivé (0) | Il s'agit du mode par défaut. Il désactive de manière permanente le mécanisme d'optimisation. |
| Mode Automatique (auto) |
Le mécanisme d'optimisation s'enclenche automatiquement et de manière transparente seulement lorsque la politique IPsec active possède un seul tunnel VPN actif. |
| Mode Activé (1) | Le mécanisme d'optimisation s'enclenche de manière permanente même si la politique IPsec active possède plus d'un tunnel VPN actif. Son utilisation n'est pas recommandée dans le cas où une politique IPsec possède un nombre important de tunnels VPN actifs. De manière générale, assurez-vous que l'utilisation du mode Activé n'affecte pas la qualité de votre service. |
La configuration du mode s'effectue uniquement à l'aide de la commande CLI / Serverd suivante :
CONFIG IPSEC UPDATE slot=<n> CryptoLoadBalance=<0|1|auto>
- Les politiques VPN IPsec proposent d’éditer leur configuration en mode Global. Pour activer l’option, sélectionnez "Afficher les politiques globales" dans le module Préférences.
- Il n’existe pas de droit spécifique au "vpn_global".
L’écran du module VPN IPsec est composé de 4 onglets :
- Politique de chiffrement – Tunnels : cet onglet permet de créer vos tunnels IPsec entre deux firewalls (Site à site – Gateway- Gateway) ou entre un firewall multifonctions Stormshield Network et un utilisateur nomade (Anonyme – Utilisateurs nomades).
10 profils de chiffrement vierges peuvent être configurés, activés et édités. La politique anonyme permet aussi de configurer des tunnels avec un autre firewall, mais qui ne dispose pas d'une adresse IP fixe. Il a alors la même contrainte qu'un nomade "classique": une adresse IP non prévisible. - Correspondants : vous pourrez ici créer de nouveaux correspondants (site distant ou correspondant anonyme nomade) en renseignant notamment leur profil IKE, leur méthode de négociation, ainsi que les paramètres spécifiques à chaque méthode de négociation.
- Identification : cet onglet permet de lister vos autorités de certification acceptées dans les tunnels utilisant les méthodes PKI, ainsi que les clés pré-partagées (PSK) de vos tunnels nomades dans deux tableaux.
- Profils de chiffrement : définissez ici vos profils de chiffrement IKE (phase 1) et IPsec (phase 2), ajoutez-en de nouveaux, établissez leur durée de vie maximum (en secondes). Vous pouvez également définir les propositions de négociation au niveau des algorithmes d’authentification et de chiffrement.