Mettre la politique IPsec en conformité avec le mode DR
Vérifier / Modifier la version IKE utilisée par les correspondants
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Correspondants.
- Sélectionnez un correspondant utilisé dans la politique IPsec à rendre compatible avec le mode DR (Passerelles distantes et Correspondants mobiles).
- Dans le cadre Général, vérifiez que le champ Version IKE est sur IKEv2.
Si ce n'est pas le cas, vous devez modifier la configuration IPsec du correspondant en ce sens et de sélectionner IKEv2 pour ce champ.
Répétez cette procédure pour chacun des correspondants concernés (passerelles et correspondants mobiles).
Vérifier / Modifier la méthode d'authentification utilisée par les correspondants
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Correspondants.
- Sélectionnez un correspondant utilisé dans la politique IPsec à rendre compatible avec le mode DR (Passerelles distantes et Correspondants mobiles).
- Dans le cadre Identification, vérifiez que le champ Méthode d'authentification est positionné sur Certificat.
Si ce n'est pas le cas, vous devez (faire) modifier la configuration IPsec du correspondant en ce sens et de sélectionner Certificat pour ce champ. - Dans le cadre Identification, vérifiez que le champ ID du correspondant est renseigné.
Ce champ doit respecter l'une des deux formes suivantes : - Distinguished Name (DN). Il s'agit du sujet du certificat du correspondant (exemple : C=FR,ST=Nord,L=Lille,O=Stormshield,OU=Doc,CN=DR-Firewall),
- Subject Alternative Name (SAN). Il s'agit d'un des alias éventuellement définis lors de la création du certificat du correspondant (exemple : DR-Firewall.stormshield.eu).
NOTE
La longueur possible d'un sujet de certificat peut poser des problèmes de compatibilité avec des matériels tiers (chiffreurs, passerelles VPN... autres que les firewalls SNS). Il est dans ce cas fortement conseillé de définir un SAN lors de la création du certificat du correspondant et d'utiliser ce SAN comme ID de correspondant.
Répétez cette procédure pour chacun des correspondants concernés (passerelles et correspondants mobiles).
Ajouter dans les Autorités de certification acceptées la CA utilisée pour signer les certificats
Sur chaque correspondant concerné (passerelles uniquement) :
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Identification.
- Dans la grille Autorités de certification acceptées, vérifiez que l'autorité de certification utilisée pour signer les certificats du mode DR est présente (CA-DR dans cet exemple).
- Si ce n'est pas le cas, cliquez sur Ajouter et sélectionnez l'autorité de certification concernée.
Vérifier / Modifier les algorithmes d'authentification et de chiffrement
Sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI :
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Correspondants.
- Sélectionnez un correspondant utilisé dans la politique IPsec à rendre compatible avec le mode DR (Passerelles distantes et Correspondants mobiles).
- Dans le cadre Général, vérifiez que le champ Profil IKE est positionné sur un profil compatible avec le mode DR (profil DR fourni par défaut ou profil personnalisé - CUSTOM-DR-COMPLIANT dans cet exemple).
Si ce n'est pas le cas, vous devez modifier la configuration IPsec du correspondant en ce sens et de sélectionner un profil compatible avec le mode DR (profil DR fourni par défaut ou profil personnalisé - CUSTOM-DR-COMPLIANT dans cet exemple) pour ce champ.
Répétez cette procédure pour chacun des correspondants concernés (passerelles et correspondants mobiles).
Définir les profils de chiffrement DR comme profils par défauts
Cette procédure permet de définir les profils DR comme profils proposés par défaut pour tous les futurs correspondants devant être crées sur le firewall.
Sur l'ensemble des correspondants concernés (passerelles uniquement) :
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Profils de chiffrement.
- Dans le menu de gauche, section IKE, sélectionnez le profil DR.
Les caractéristiques du profil s'affichent :- Deux profils Diffie-Hellman sont proposés : DH28 Brainpool Elliptic Curve Group (256-bits), sélectionné par défaut, et DH19 NIST Elliptic Curve Group (256-bits).
- L'algorithme AES_GCM_16 est sélectionné comme proposition par défaut, AES_CTR étant la deuxième proposition.
Ne modifiez surtout pas la Force de chiffrement de l'algorithme choisi.
- Deux profils Diffie-Hellman sont proposés : DH28 Brainpool Elliptic Curve Group (256-bits), sélectionné par défaut, et DH19 NIST Elliptic Curve Group (256-bits).
- Cliquez sur le menu Actions.
- Sélectionnez Définir le profil par défaut.
Le profil IKE DR est désormais utilisé par défaut pour les nouveaux tunnels IPsec ajoutés dans la configuration du firewall. - Dans le menu de gauche, section IPsec, sélectionnez le profil DR.
Les caractéristiques du profil s'affichent :- L'algorithme HMAC_SHA256 est sélectionné comme proposition d'authentification.
- L'algorithme AES_GCM_16 est sélectionné comme proposition de chiffrement par défaut, AES_CTR étant la deuxième proposition.
Ne modifiez surtout pas la Force de chiffrement de l'algorithme choisi.
- L'algorithme HMAC_SHA256 est sélectionné comme proposition d'authentification.
- Cliquez sur le menu Actions.
- Sélectionnez Définir le profil par défaut.
Le profil IPsec DR est désormais utilisé par défaut pour les tunnels IPsec définis dans la configuration du firewall.