Évaluer l'impact du mode DR (SNS v4.2 ou supérieure)
L’activation du mode « Diffusion Restreinte (DR) » en version 4.2 ou supérieure impose le respect des contraintes suivantes.
Impacts réseau
L'encapsulation des paquets ESP dans UDP/4500 et la mise en œuvre des mécanismes de NAT Traversal dès le début de la négociation sont imposés.
Si le firewall à paramétrer en mode DR est séparé de son correspondant par d'autres équipements de sécurité, il est donc nécessaire d'autoriser le port UDP/4500 entre le firewall SNS et son correspondant sur ces équipements.
Interopérabilité
Le mode DR des versions SNS 4.2 et supérieures implique :
- Qu'un firewall en mode DR version SNS 4.2 (ou supérieure) ne peut pas établir de tunnels IPsec avec un firewall SNS en mode DR d'une version SNS 4.1 ou antérieure,
- Qu'un firewall en mode DR en version SNS 4.2 (ou supérieure) ne peut pas établir de tunnels IPsec avec un firewall SNS ou un équipement tiers en mode IPsec "standard".
Authentification des correspondants
Seule l'authentification par certificat est autorisée pour les correspondants et les certificat utilisés (du certificat final jusqu'à la CA de confiance commune) doivent respecter les spécifications suivantes :
- Signature ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256,
- SHA256 comme algorithme de hachage SHA256.
De plus, le champ ID du correspondant doit être obligatoirement renseigné.
Certificats
La vérification de révocation des certificats utilisés par les correspondants doit être active.
Protocole IKE
Seule la version 2 du protocole IKE est autorisée.
Profils de chiffrement IKE / IPsec
Les algorithmes de chiffrement doivent obligatoirement appartenir aux groupes DH19 NIST Elliptic Curve Group (256-bits) ou DH28 Brainpool Elliptic Curve Group (256-bits).
L'algorithme de chiffrement IPsec utilisé doit être :
- Soit AES_GCM_16 (AEAD : Authenticated Encryption with Associated DATA. AES_GCM_16 n'est donc associé à aucun algorithme d'authentification),
- Soit AES_CTR, impérativement associé à l'algorithme d'authentification SHA256.
La négociation et le support de l'anti-rejeu via ESN en émission / réception sont imposés. La taille de la fenêtre d'anti-rejeu ne peut pas être nulle.
L'algorithme de Pseudo-Random Function (PRF) doit être SHA256.
IMPORTANT
Si la politique IPsec nouvellement configurée sur le firewall utilise des paramètres incompatibles avec le Mode DR SNS 4.2 (ou supérieure), l'activation du mode DR entraîne la désactivation de cette politique IPsec et l'affichage du message d'avertissement :
"Le mode 'Diffusion Restreinte' a désactivé la configuration VPN non conforme".
Matériel
Sur les firewalls équipés de processeurs Intel (SNi20, SNi40, SN510, SN710, SN910, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100), le mode « Diffusion Restreinte (DR) » permet l'utilisation des jeux d'instructions cryptographiques matérielles du coprocesseur. Sur les firewalls équipés d'autres types de processeurs (SN160, SN160W, SN210, SN210W et SN310), le mode « Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce qui entraîne des baisses de performances lors du chiffrement.
IMPORTANT
L’activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage du firewall pour être prise en compte.
Client VPN IPsec Stormshield
Seul SN VPN Client Exclusive est compatible avec le mode DR des versions SNS 4.2 et supérieures. Si vous utilisez SN VPN Client Standard, l'activation du mode DR nécessite d'installer SN VPN Client Exclusive à la place (soumis à l'achat d'une nouvelle licence).