Optimiser les flux ISAKMP lors de la négociation des tunnels IPsec et sécuriser l'authentification
Il est recommandé de modifier plusieurs paramètres du firewall afin d'optimiser les flux ISAKMP de la négociation des tunnels IPsec et de sécuriser l'authentification.
Prérequis
Pour les besoins des exemples, les optimisations et sécurisations recommandées supposent que la politique IPsec utilisée sur le firewall pour les utilisateurs mobiles est la politique IPsec_01 (module Configuration > VPN > VPN IPsec).
Optimiser les flux liés aux tunnels en limitant les datagrammes IP
Selon les fournisseurs d'accès Internet, la taille maximale des paquets autorisés peut être très variable.
Stormshield conseille de limiter la taille des datagrammes IP des négociations ISAKMP à la valeur de 1280 octets :
- Connectez-vous à l'interface Web d'administration du firewall.
- Placez-vous dans le module Configuration > Système > Console CLI.
- Activez la fragmentation IKE en tapant la commande :
CONFIG IPSEC PEER UPDATE name=IPsec_Mobile_Profile_Name ike_frag=1
où IPsec_Mobile_Profile_Name représente le nom donné au profil des correspondants IPsec (mobile_IKEv2_EAP_CERT dans l'exemple). - Fixez la taille maximale des datagrammes ISAKMP à 1280 octets à l'aide de la commande :
CONFIG IPSEC UPDATE slot=xy FragmentSize=1280
où xy représente le numéro de la politique IPsec mobile.
Dans l'exemple, il s'agit de la politique IPsec 01 : xy vaudra donc 01. - Appliquez ces modifications en tapant la commande :
CONFIG IPSEC ACTIVATE
Recharger la politique IPsec pour prendre en compte les modifications précédentes
- Placez-vous dans le module Configuration > Système > Console CLI.
- Rechargez la politique IPsec en tapant la commande :
CONFIG IPSEC RELOAD
Attention : cette commande réinitialise les tunnels déjà établis.
Optimiser les flux liés aux tunnels : limiter la MSS
Les paquets échangés étant encapsulés dans le tunnel, une "surcharge" de plusieurs dizaines d'octets des données provient des en-têtes ESP.
Il convient donc d'activer la limitation automatique de la taille des segments (MSS : Maximum Segment Size) échangés entre le client et le firewall.
Cette option permet d'éviter (ou de limiter au maximum) la fragmentation de paquets. En effet, elle impose, pour les échanges de paquets entre le client et le firewall, une taille de paquets inférieure à la MTU (Maximum Transmission Unit) des différents équipements réseaux traversés lors de ces échanges.
Modifier un profil d'inspection TCP-UDP
Dans le module Protection applicative > Protocoles > protocoles IP > TCP-UDP :
- Sélectionnez le profil d'inspection TCP-UDP dans lequel vous souhaitez appliquer cette modification (tcpudp_03 dans l'exemple). Ce profil d'inspection est sélectionné automatiquement dans le profil global portant le même indice (03 dans l'exemple) et qui est appliqué dans la règle destinée à Autoriser les accès VPN IPsec dans la politique de filtrage.
- Cochez la case Imposer une limite MSS.
Saisissez la valeur 1300 (octets) (valeur conseillée par Stormshield). - Validez cette modification en cliquant sur Appliquer.
- Confirmez en cliquant sur Sauvegarder.