L’onglet « Correspondants»

Cet onglet est divisé en deux écrans :

  • A gauche : la liste des correspondants VPN IPSec et VPN IPSec nomades.
  • A droite : Les informations du correspondant sélectionné.

La liste des correspondants

Chercher dans les correspondants

Ce champ permet d’effectuer une recherche sur le nom de l’objet et ses différentes propriétés, par occurrence, lettre ou mot.

Filtrer

3 choix sont possibles :

 


Vous pouvez afficher dans la liste « Tous les correspondants », passerelles et nomades confondus.

 

Vous pouvez également ne laisser apparaître que les « Passerelles » ou uniquement les « Correspondants mobiles » (nomades).

Ajouter

Il est possible d’ajouter des correspondants à cet endroit précis. Pour cela, choisissez parmi la liste déroulante le type de correspondant à créer : un « Nouveau site distant », un « Nouveau site distant IKEv2 », un « Nouveau correspondant anonyme (nomade) » ou un « Nouveau correspondant anonyme (nomade) IKEv2 ».

 

Vous pouvez aussi « Copier depuis la sélection » un correspondant, celui-ci sera dupliqué.

 

Pour cela, positionnez-vous sur le correspondant à copier et entrez son nouveau nom dans la fenêtre affichée.

Supprimer

Sélectionnez le correspondant à retirer de la liste et cliquez sur Supprimer.

Renommer Sélectionnez le correspondant dans la liste puis cliquez sur Renommer.
Nom

Nom donné au correspondant lors de sa création.

Les informations des correspondants

Correspondant (de type « passerelle »)

Commentaire

Description associée au correspondant local.

Adresse distante

Objet sélectionné pour caractériser l'adresse IP distante lors de la création du correspondant via l’assistant.

Configuration de secours

Ce champ précise si vous avez défini une configuration de secours lors de la création du correspondant, il affichera « None » par défaut si vous n’en avez créé aucune.

 

Vous pouvez toutefois en définir une en la sélectionnant dans la liste déroulante contenant vos autres correspondants distants.

Profil IKE

Cette option permet de choisir le modèle de protection associé à la phase 1 de votre politique VPN, parmi les 3 profils préconfigurés : StrongEncryption, GoodEncryption, Mobile. Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement.

Version d’IKE

Cette option permet de choisir la version du protocole IKE (IKEv1 ou IKEv2) utilisée par le correspondant.

 

Identification

Méthode d’authentification

Ce champ affichera la méthode d’authentification choisie lors de la création de votre correspondant via l’assistant.

 

Vous pouvez modifier votre choix en sélectionnant une autre méthode d’authentification présente dans la liste déroulante.

NOTE

Pour un correspondant de type « passerelle », vous avez le choix entre Certificat ou Clé pré partagée (PSK).

Certificat

Si vous avez choisi la méthode d’authentification par certificat, ce champ affichera votre certificat.

 

Si vous avez opté pour la clé pré partagée, ce champ sera grisé.

Local ID (Optionnel)

Ce champ représente une extrémité du tunnel VPN IPSec, partageant le « secret » ou la PSK avec le « Peer ID », autre extrémité. Le « Local ID » vous représente.

 

Cet identifiant doit avoir la forme d’une adresse IP, d’un nom de domaine (FQDN ou Full Qualified Domain Name) ou d’une adresse e-mail (user@fqdn).

ID du correspondant (optionnel)

Ce champ représente une extrémité du tunnel VPN IPSec, partageant le « secret » ou la PSK avec le « Local ID », autre extrémité. Le « Peer ID » représente votre correspondant.

 

Le format est analogue au champ précédent.

Clé pré partagée (ASCII)

Dans ce champ apparaît votre PSK sous le format que vous avez choisi précédemment lors de la création du correspondant via l’assistant : caractères ASCII ou hexadécimaux (case à cocher au bas du champ si vous souhaitez en changer).

Confirmer

Confirmation de votre clé pré partagée (PSK).

Configuration avancée

Mode de négociation

En IPSec, 2 modes de négociation sont possibles : le mode principal (ou « main » mode) et le mode agressif. Ils influent notamment sur la « phase 1 » du protocole IKE (phase « d’authentification »).

 

Ce mode est automatiquement déterminé en fonction des paramètres de configuration ; le mode agressif n’est utilisé qu’en cas de configuration anonyme par clé pré-partagées. Ce mode est néanmoins modifiable via une commande CLI.

 

Mode principal: Dans ce mode, la phase 1 se déroule en 6 échanges. La machine distante ne peut être identifiée que par son adresse IP avec une authentification en clés pré-partagée.

En mode PKI, l’identifiant est dans le certificat. Le mode principal assure l'anonymat.

 

Mode agressif : dans ce mode, la phase 1 se déroule en 3 échanges entre le firewall et la machine distante. Les identités des correspondants peuvent être une adresse IP, un FQDN ou une adresse mail mais pas un certificat. L’authentification est  faite par clé pré-partagée. Le mode agressif n'assure pas l'anonymat.

AVERTISSEMENT

L’utilisation du mode agressif + les clés pré-partagées (notamment pour les tunnels VPN à destination de nomades) peut se révéler moins sécurisé que les autres modes du protocole IPsec. Ainsi Stormshield Network recommande l’utilisation du mode principal et en particulier du mode principal + certificats pour les tunnels à destination de nomades. En effet la PKI interne du firewall peut tout à fait fournir les certificats nécessaires à une telle utilisation.

NOTE

Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.

Mode de secours

Le mode de secours est le mode de bascule pour le failover IPSec, si un serveur n'est plus accessible, un autre prend le relai, de manière transparente.

 

Quand le tunnel est basculé sur le correspondant de secours, deux choix sont possibles :

Le mode « temporaire » : une fois le correspondant principal de nouveau joignable, le tunnel rebascule sur celui-ci.

 

Le mode « permanent » : le tunnel reste sur le correspondant de secours tant qu’il est fonctionnel, même si le correspondant principal est de nouveau joignable.

NOTE

Ce champ n’est éditable qu’en mode expert (CLI). Reportez-vous à la Base de connaissances (version anglaise) du support technique pour davantage d'informations (How can I modify the backup mode for a specific IPSec peer ?), disponible depuis votre espace privé.

Adresse locale

Objet sélectionné comme étant l'adresse IP locale utilisée pour les négociations IPSec avec ce correspondant.

 

Ce champ est en « Any » par défaut, ce qui correspond au choix automatique de l’interface, basé sur la table de routage.

Ne pas initier le tunnel (Responder-only) :

Si vous cochez cette option, le serveur IPSec sera mis en attente.

 

Il ne prendra pas l'initiative de négociation du tunnel. Cette option est utilisée dans le cas où le correspondant est un mobile.

DPD

Ce champ permet de configurer la fonctionnalité VPN dite de DPD (Dead Peer Detection). Celui-ci permet de vérifier qu’un correspondant est toujours opérationnel.

Quand le DPD est activé sur un correspondant, des requêtes de test de disponibilité (R U there) sont envoyées à l’autre correspondant. Ce dernier devra acquitter la requête pour valider sa disponibilité (R U there ACK).

 

Ces échanges sont sécurisés via les SAs (Security Association) ISAKMP (Internet Security Association and Key Management Protocol).

Si on détecte qu’un correspondant ne répond plus, les SAs négociées sont détruites.

AVERTISSEMENT

Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré.

 

Pour configurer l’option de DPD, quatre choix sont disponibles :

 

Inactif : les requêtes DPD provenant du correspondant sont ignorées.

 

Passif : les requêtes DPD émises par le correspondant obtiennent une réponse du firewall. Par contre, le firewall n’en envoie pas.

 

Bas : la fréquence d’envoi des paquets DPD est faible, et le nombre d’échecs tolérés est élevé (delay 600, retry 10, maxfail 5).

 

Haut : la fréquence d’envoi des paquets DPD est élevée et le nombre d’échecs est relativement bas (delay 30, retry 5, maxfail 3).

 

La valeur delay définit le temps après une réponse avant l’envoi de la prochaine demande.

La valeur retry, définit le temps d’attente d’une réponse avant la réémission de la demande.

La valeur maxfail, c'est le nombre de demandes sans réponses avant de considérer le correspondant comme absent.

 

NOTE

Pour chaque champ comportant la mention « Passerelle » et l’icône , vous pourrez ajouter un objet à la base existante en précisant son nom, sa résolution DNS, son adresse IP et en cliquant ensuite sur Appliquer.

Le mode de négociation (principal ou agressif), lorsqu’il a été forcé, est conservé quand on modifie la configuration d’un correspondant IPSec.

Correspondant (de type nomade/ « correspondant mobile »)

Commentaire

Description associée au correspondant distant.

Passerelle distante

Ce champ est grisé pour les correspondants de type nomade.

Configuration de secours

Ce champ est grisé pour les correspondants de type nomade.

Profil IKE

Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils préconfigurés: StrongEncryption, GoodEncryption, et Mobile. Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement.

Version d’IKE

Cette option permet de choisir la version du protocole IKE (IKEv1 ou IKEv2) utilisée par le correspondant.

 

Identification

Méthode d’authentification

Ce champ affichera la méthode d’authentification choisie lors de la création de votre correspondant via l’assistant.

Vous pouvez modifier votre choix en sélectionnant une autre méthode d’authentification présente dans la liste déroulante.

NOTE

Pour un correspondant de type « nomade », vous avez le choix entre Certificat, Clé pré partagée (PSK), Hybride, Certificat et Xauth (iPhone).

 

Certificat

Si vous avez choisi la méthode d’authentification par Certificat, Hybride ou Certificat et XAuth, ce champ affichera votre certificat ou vous proposera de le sélectionner au sein de la liste déroulante.

 

Si vous avez opté pour la clé pré partagée, ce champ sera grisé.

Local ID (Optionnel)

Ce champ représente une extrémité du tunnel VPN IPSec, partageant le « secret » ou la PSK avec le « Peer ID », autre extrémité. Le « Local ID » vous représente.

 

Cet identifiant doit avoir la forme d’une adresse IP, d’un nom de domaine (FQDN ou Full Qualified Domain Name) ou d’une adresse e-mail (user@fqdn).

NOTE

Ce champ n’est accessible que si vous avez choisi la méthode d’authentification par Clé pré partagée.

Cliquer ici pour éditer la liste des PSK

En cliquant sur ce lien, vous basculerez dans l’onglet Identification du module VPN IPSec.

Vous pourrez y ajouter vos Autorités de certification acceptées ainsi que vos Tunnels nomades : clés pré partagées.

Configuration avancée

Mode de négociation

En IPSec, 2 modes de négociation sont possibles : le mode principal (ou « main » mode) et le mode agressif. Ils influent notamment sur la « phase 1 » du protocole IKE (phase « d’authentification »).

 

Mode principal : Dans ce mode, la phase 1 se déroule en 6 échanges. La machine distante ne peut être identifiée que par son adresse IP avec une authentification en clé pré-partagée.

En mode PKI, l’identifiant est dans le certificat. Le mode principal assure l'anonymat.

 

Mode agressif : dans ce mode, la phase 1 se déroule en 3 échanges entre le firewall et la machine distante. La machine distante peut être identifiée avec une adresse IP, FQDN ou une adresse mail mais pas avec un certificat par clé pré-partagée. Le mode agressif n'assure pas l'anonymat.

NOTE

Le firewall paramètre automatiquement l’utilisation des méthodes d’authentification par certificat, hybride ou XAuth en mode principal.

Si le client veut utiliser la PSK, il doit se positionner en mode agressif.

AVERTISSEMENT

L’utilisation du mode agressif + les clés pré-partagées (notamment pour les tunnels VPN à destination de nomades) peut se révéler moins sécurisé que les autres modes du protocole IPSec. Ainsi Stormshield Network recommande pour les correspondants mobiles, l’utilisation du mode principal, soit avec une authentification par certificats, soit en utilisant la méthode hybride.

Dans le cas d’une authentification par certificats, la PKI interne du firewall peut tout à fait fournir les certificats nécessaires à une telle utilisation.

NOTE

Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.

Mode de secours

Le mode de secours est le mode de bascule pour le failover IPSec, si un serveur n'est plus accessible, un autre prend le relai, de manière transparente.

 

Néanmoins, ici, le champ est grisé car la configuration de secours n’est pas applicable pour une configuration nomade.

NOTE

Ce champ n’est éditable qu’en mode expert (CLI). Reportez-vous à la Base de connaissances (version anglaise) du support technique pour davantage d'informations (How can I modify the backup mode for a specific IPSec peer ?), disponible depuis votre espace privé.

Adresse locale

Objet sélectionné comme étant l'adresse IP locale utilisée pour les négociations IPSec avec ce correspondant.

Ce champ est en « Any » par défaut.

Ne pas initier le tunnel (Responder-only) :

Cette case est grisée et validée, car il est impossible d’initier un tunnel vers un client mobile dont l’adresse IP est inconnue. Dans cette configuration, le firewall est donc en mode de réponse uniquement.

 

DPD

Ce champ permet de configurer la fonctionnalité VPN dite de DPD (Dead Peer Detection). Celle-ci permet de vérifier qu’un correspondant est toujours opérationnel.

Quand le DPD est activé sur un correspondant, des requêtes de test de disponibilité (R U there) sont envoyées à l’autre correspondant. Ce dernier devra acquitter la requête pour valider sa disponibilité (R U there ACK).

 

Ces échanges sont sécurisés via les SA (Security Association) ISAKMP (Internet Security Association and Key Management Protocol).

Si on détecte qu’un correspondant ne répond plus, les SA négociées avec celui-ci sont détruites.

 

AVERTISSEMENT

Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré.

 

Pour configurer l’option de DPD, quatre choix sont disponibles :

 

Inactif : les requêtes DPD provenant du correspondant sont ignorées.

 

Passif : les requêtes DPD émises par le correspondant obtiennent une réponse du firewall. Par contre, le firewall n’en n’envoie pas.

 

Bas : la fréquence d’envoi des paquets DPD est faible, et le nombre d’échecs tolérés est élevé (delay 600, retry 10, maxfail 5).

 

Haut : la fréquence d’envoi des paquets DPD est élevée et le nombre d’échecs est relativement bas (delay 30, retry 5, maxfail 3).

 

La valeur delay définit le temps après une réponse avant l’envoi de la prochaine demande.

La valeur retry, définit le temps d’attente d’une réponse avant la réémission de la demande.

La valeur maxfail, c'est le nombre de demandes sans réponses avant de considérer le correspondant comme absent.