Politique IPsec

Vérifier la version IKE utilisée par les correspondants

Dans le module Configuration > VPN > VPN IPsec > onglet Correspondants, pour chacun des correspondants listés dans partie gauche (Passerelles distantes et Correspondants mobiles) :

  1. Sélectionnez chaque correspondant utilisé dans la politique IPsec active.
  2. Dans le cadre Général, vérifiez que le champ Version IKE est sur IKEv2.
    Si ce n'est pas le cas, il est nécessaire de (faire) modifier la configuration IPsec du correspondant en ce sens et de sélectionner IKEv2 pour ce champ.

Vérifier la méthode d'authentification utilisée par les correspondants

Dans le module Configuration > VPN > VPN IPsec > onglet Correspondants, pour chacun des correspondants listé dans partie gauche (Passerelles distantes et Correspondants mobiles) :

  1. Sélectionnez chaque correspondant utilisé dans la politique IPsec active.
  2. Dans le cadre Identification, vérifiez que le champ Méthode d'authentification est positionné sur Certificat.
    Si ce n'est pas le cas, il est nécessaire de (faire) modifier la configuration IPsec du correspondant en ce sens et de sélectionner Certificat pour ce champ.
  3. Dans le cadre Identification, vérifiez que le champ ID du correspondant est renseigné.
    Ce champ représente votre correspondant : l'identifiant renseigné doit avoir la forme d’une adresse IP, d’un nom de domaine (FQDN ou Fully Qualified Domain Name), d’une adresse e-mail (user@fqdn) ou le sujet du certificat du correspondant si ce sujet est connu (C=pays, ST=état, O=organisation, OU=nom d'unité d'organisation, CN=nom [CN peut être une adresse e-mail]).

Sélectionner les algorithmes d'authentification et de chiffrement

Le mode DR impose que les algorithmes de chiffrement utilisés appartiennent aux groupes Diffie Helmann 19 et 28. Pour faciliter cette configuration, deux profils de chiffrement prédéfinis peuvent être sélectionnés.

Dans le module Configuration > VPN > VPN IPsec > onglet Profils de chiffrement :

  1. Dans le menu de gauche, section IKE, sélectionnez le profil DR.
    Les caractéristiques du profil s'affichent.
    Deux profils Diffie-Hellman sont proposés : DH28 Brainpool Elliptic Curve Group (256-bits), sélectionné par défaut, et DH19 NIST Elliptic Curve Group (256-bits).
    L'algorithme AES_GCM_16 est sélectionné comme proposition par défaut, AES_CTR étant la deuxième proposition. Vous pouvez augmenter la Force de chiffrement de chacun de ces algorithmes.
  2. Cliquez sur le menu Actions.
  3. Sélectionnez Définir le profil par défaut.
    Le profil IKE DR est désormais utilisé par défaut pour les nouveaux tunnels IPsec ajoutés dans la configuration du firewall.
  4. Dans le menu de gauche, section IPsec, sélectionnez le profil DR.
    Les caractéristiques du profil s'affichent.
    L'algorithme HMAC_SHA256 est sélectionné comme proposition d'authentification.
    L'algorithme AES_GCM_16 est sélectionné comme proposition de chiffrement par défaut, AES_CTR étant la deuxième proposition. Vous pouvez augmenter la Force de chiffrement de chacun de ces algorithmes.
  5. Cliquez sur le menu Actions.
  6. Sélectionnez Définir le profil par défaut.
    Le profil IPsec DR est désormais utilisé par défaut pour les tunnels IPsec définis dans la configuration du firewall.