Évaluer l'impact de l'activation du mode DR

Lisez attentivement la section suivante afin d'évaluer l'impact de l'activation du mode DR sur un firewall SNS, et plus globalement, sur l'architecture complète.

Interopérabilité

Lorsque le mode DR est activé sur un firewall dans une version SNS respectant les recommandations IPsec DR de l'ANSSI, la négociation de tunnels VPN est possible uniquement avec des correspondants respectant également ces recommandations. Ceci implique donc que tous les correspondants compatibles IPsec DR de l'architecture (firewalls SNS, équipements tiers et clients VPN) doivent respecter les recommandations IPsec DR de l'ANSSI.

Par exemple, un firewall dans une version SNS respectant ces recommandations et avec le mode DR activé :

  • Peut établir des tunnels VPN en mode DR avec des correspondants (firewalls SNS, équipements tiers et clients VPN) respectant les recommandations IPsec DR de l'ANSSI,

  • Ne peut pas établir de tunnels VPN :

    • Avec tout correspondant ne respectant pas ces recommandations, même si le mode DR est activé sur celui-ci. Ceci inclut les versions SNS non mentionnées ci-dessous,

    • Avec tout correspondant en mode IPsec "standard".

Versions SNS respectant les recommandations IPsec DR de l'ANSSI

  • SNS 4.3.21 LTSB et versions 4.3 LTSB supérieures,

  • SNS 4.7 et versions supérieures.

Compatibilité des clients VPN IPsec Stormshield avec le mode DR

Seul SN VPN Client Exclusive 7.4.018 (et versions supérieures) peut établir des tunnels VPN en mode DR avec des firewalls dans une version SNS respectant les recommandations IPsec DR de l'ANSSI.

Si vous utilisez des clients VPN Standard Stormshield, l'activation du mode DR nécessite de le désinstaller au profit de SN VPN Client Exclusive (soumis à l'achat d'une licence spécifique).

Impacts réseau

Les paquets de négociation du tunnel VPN IPsec ainsi que les paquets ESP sont échangés exclusivement sur le port UDP/4500.

Si le firewall à paramétrer en mode DR est séparé de son correspondant par d'autres équipements de sécurité, vous devez autoriser le port UDP/4500 entre le firewall SNS et son correspondant sur ces équipements.

Conditions à remplir pour qu'un tunnel soit compatible avec le mode DR

Profils de chiffrement IKE et IPsec

Les profils de chiffrement IKE et IPsec doivent obligatoirement répondre aux contraintes suivantes, établies par le référentiel IPsec DR :

  • Les méthodes Diffie-Hellman utilisées doivent obligatoirement appartenir aux groupes DH19 NIST Elliptic Curve Group (256-bits) ou DH28 Brainpool Elliptic Curve Group (256-bits).
  • Les algorithmes imposés pour la phase 1 (Parent Security Association) et la protection des renouvellements de phase 2 (Child Security Association) doivent être :
    • Soit AES_GCM_16. Il s'agit d'un algorithme de type AEAD (Authenticated Encryption with Associated DATA) et il n'est donc associé à aucun algorithme d'authentification.
    • Soit AES_CTR, impérativement associé à l'algorithme d'authentification SHA256.

Protocole IKE

Seule la version 2 du protocole IKE est autorisée.

Authentification des correspondants

Seule l'authentification par certificat est autorisée. Les contraintes de génération des bi-clés et de signature sont les suivantes :

  • Taille des clés utilisées dans les certificats fixée à 256 bits,
  • Signature ECDSA ou ECSDSA sur courbe ECP 256 (SECP) ou BP 256 (BRAINPOOL),
  • SHA256 comme algorithme de hachage.

IMPORTANT
Ces contraintes s'appliquent à l'ensemble de la chaîne de confiance, c'est-à-dire en partant depuis le certificat du correspondant et en remontant jusqu'au premier Trust Anchor (première CA ou sous-CA) respectant ces spécifications.

De plus, le champ ID du correspondant doit être obligatoirement renseigné en respectant l'un des deux formats suivants :

  • Distinguished Name (DN). Il s'agit du sujet du certificat du correspondant (exemple : C=FR,ST=Nord,L=Lille,O=Stormshield,OU=Doc,CN=DR-Firewall),
  • Subject Alternative Name (SAN). Il s'agit d'un des alias éventuellement définis lors de la création du certificat du correspondant (exemple : DR-Firewall.stormshield.eu).

NOTE
La longueur possible d'un sujet de certificat peut poser des problèmes de compatibilité avec des matériels tiers comme les chiffreurs, passerelles VPN... autres que les firewalls SNS. Il est dans ce cas fortement conseillé de définir un SAN lors de la création du certificat du correspondant et d'utiliser ce SAN comme ID de correspondant.

Vérification de révocation des certificats

Un mécanisme de vérification des Certificate Revocation List (CRL) de l'ensemble de la chaîne de confiance (CA racine [Root CA], sous-CA et certificats) doit être actif sur le firewall.

Le jeton de configuration CRLrequired doit être positionné à la valeur 1 ou auto dans la configuration de la politique VPN du firewall pour que ce mécanisme soit actif.

En plus de la vérification de révocation des certificats, la CRL doit être présente et toujours valide pour que la négociation soit fonctionnelle.

Matériel

Sur les firewalls modèles SN-S-Series-220, SN-S-Series-320, SN510, N-M-Series-520, SN710, SN-M-Series-720, SN910, SN-M-Series-920, SN1100, SN2000, SN2100, SN3000, SN3100, SN6000, SN6100, SNi20, SNi40 et SNxr1200), le mode DR permet l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Les instructions dites "AES-NI" bénéficient d'une dérogation car elles sont uniquement constituées "d'instructions simples d’accélération" de certaines opérations cryptographiques.

Sur les firewalls modèles SN160, SN160W, SN210, SN210W et SN310, le mode DR force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.