Échange de clés et authentification

Protocole IKE

Le niveau de protection offert par un tunnel VPN IPsec dépend de la robustesse de la suite cryptographique mise en place ainsi que la fiabilité du mécanisme d’échange des clés : cet échange peut se faire grâce au protocole IKEv2 sur les pare-feux SNS en version 2.0.0 et supérieure. L’utilisation des protocoles récents est conforme aux préconisations du guide Recommandations de sécurité relatives à IPsec.

R39 | SNS-SMC | Utiliser la version 2 du protocole IKE
Si tous les correspondants des tunnels VPN IPsec sont compatibles, il est recommandé d’utiliser le protocole IKE dans sa version 2.

Authentification

Pour éviter toute usurpation d’identité du correspondant, et ce quel que soit le type de tunnel configuré (site-à-site ou client-à-site), il est nécessaire d’authentifier le correspondant distant lors de la création du tunnel. Cette authentification réalisée par le protocole IKE peut se faire à l’aide d’une clé partagée ou de certificats. L’utilisation d’une clé partagée ne permet pas de distinguer chaque correspondant ni de leur appliquer des droits adaptés. De plus, si une clé doit être renouvelée (perte ou vol d’un équipement distant, perte des droits d’un utilisateur), il est nécessaire de renouveler la clé sur tous les pare-feux SNS configurés. Seule l’utilisation d’une IGC permet une identification de chaque correspondant et une gestion aisée des droits et des révocations.

R40 | SNS-SMC | Utiliser l'authentification mutuelle par certificat
Il est recommandé de mettre en œuvre une authentification mutuelle par certificat des correspondants d’un tunnel VPN IPsec en renseignant les autorités de certification acceptées dans le menu Configuration > VPN > VPN IPsec > Identification des pare-feux SNS et dans le menu Configuration > Topologies VPN du serveur SMC.

R40 ⁃ | SNS-SMC | Utiliser une clé partagée robuste
Si une authentification par clé partagée est choisie pour un VPN IPsec, il est recommandé de la choisir conforme aux recommandations de l'annexe B3 du RGS et du guide Recommandations relatives à l'authentification multifacteur et aux mots de passe.

ATTENTION
Si une authentification par clé partagée est choisie, il est impératif de respecter les prérequis suivants :

  • Le secret doit disposer d’une entropie d’au moins 128 bits (22 caractères aléatoires parmi les minuscules, les majuscules et les chiffres). Se référer à l’annexe B1 du RGS pour plus de précisions,

  • Le secret doit respecter les règles relatives à la génération des mots de passe décrites dans le guide Recommandations relatives à l'authentification multifacteur et aux mots de passe,

  • Un secret différent doit être utilisé pour chacun des tunnels VPN site-à-site,

  • Le secret doit être renouvelé régulièrement, sa cryptopériode (durée maximale durant laquelle perdre la confidentialité et l’intégrité du trafic est accepté si le secret venait à être compromis) doit être définie en fonction de la politique de sécurité de l’organisme.