L’onglet Profils de Chiffrement

Profils de chiffrement par défaut

Les valeurs définies dans la phase 1 et la phase 2 seront présélectionnées pour chaque nouveau correspondant créé.

IKE

La phase 1 du protocole IKE vise à établir un canal de communication chiffré et authentifié entre les deux correspondants VPN. Ce "canal" est appelé SA ISAKMP (différent de la SA IPsec). Deux modes de négociations sont possibles : le mode principal et le mode agressif.

La liste déroulante permet de choisir le modèle de protection associé à votre politique VPN, parmi les 4 profils pré-configurés : GoodEncryption, Mobile, DR et StrongEncryption. Il est également possible d’en créer d’autres à l'aide du bouton Ajouter.

IPsec

La phase 2 du protocole IKE négocie de manière sécurisée (au moyen du canal de communication SA ISAKMP négocié dans la première phase) les paramètres des futures SA IPsec (une entrante et une sortante).

La liste déroulante permet de choisir le modèle de protection associé à votre politique VPN, parmi les 4 profils pré-configurés : GoodEncryption, Mobile, DR et StrongEncryption. Il est également possible d’en créer d’autres à l'aide du bouton Ajouter.

Tableau des profils

Ce tableau propose une série de profils de chiffrement prédéfinis, de phases 1 (IKE) ou 2 (IPsec).

Les actions possibles

Ajouter En cliquant sur ce bouton, vous pouvez choisir d’ajouter un Nouveau profil de phase 1 (IKE) ou un Nouveau profil de phase 2 (IPsec), qui sera affiché dans la colonne lui correspondant.
Vous pouvez lui donner le « Nom » que vous souhaitez.
Il est également possible de copier un profil et ses caractéristiques : pour cela, sélectionnez le profil voulu et cliquez sur l’option Copier la sélection, puis donnez-lui un nom.
Actions

Ce menu déroulant vous offre la possibilité d'appliquer l'une des 4 actions suivantes au profil sélectionné :

  • Dupliquer le profil,
  • Définir le profil par défaut,
  • Supprimer le profil,
  • Vérifier l'utilisation du profil.

Profil IKE

Pour le profil IKE ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général » et « Propositions »).

Général

Commentaire

Description associée à votre profil de chiffrement.

Diffie Hellman

Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra.
Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret commun, sans transmission d'informations sensibles sur le réseau.

En complément, si vous optez pour un profil IPsec, le PFS vous sera proposé.
Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est importante.

Que vous choisissiez l’un ou l’autre, une liste déroulante vous propose de définir un nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent également être sélectionnés.
NOTES
  • Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.
  • Plus la taille du mot de passe (ou « clé ») est grande, plus le niveau de sécurité est élevé, mais consomme aussi davantage de ressources.
  • La fonction PFS d'IPsec (isakmp) est recommandée.
Durée de vie maximum (en secondes) Période de temps au bout de laquelle les clés sont renégociées.
La durée de vie par défaut pour un profil de type IKE est 21600 secondes.

Propositions

Cette grille vous propose de modifier ou d’ajouter des combinaisons d'algorithmes de chiffrement et d'authentification à la liste pré-établie du profil sélectionné.

Ajouter La combinaison proposée par défaut est la suivante :
  • Algorithme de chiffrement des d’une « Force » de 64 bits,
  • Algorithme d'authentification sha1 d’une « Force » de 160 bits.

Cliquez sur la flèche à droite de leur colonne « Algorithme » respective si vous souhaitez les modifier.
Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante.
Supprimer Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer.
Monter Sélectionnez la ligne à déplacer vers le haut de la grille afin d'augmenter la priorité de la combinaison Chiffrement / Authentification correspondante.
Descendre Sélectionnez la ligne à déplacer vers le bas de la grille afin de diminuer la priorité de la combinaison Chiffrement / Authentification correspondante.

Chiffrement

Algorithme 4 choix vous sont proposés :
  • 3des (obsolète),
  • aes,
  • aes_gcm_16 (recommandé),
  • aes_ctr.

Lorsque vous sélectionnez un profil prédéfini, les choix recommandés sont automatiquement proposés par défaut.

 

L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le chiffrement. Il n'est donc pas proposé de choisir un algorithme d'authentification dans ce cas.
Force Nombre de bits définis pour l’algorithme sélectionné.

Authentification

Algorithme 4 choix vous sont proposés :
  • sha1 (obsolète),
  • sha2_256,
  • sha2_384,
  • sha2_512.
Force

Nombre de bits définis pour l’algorithme sélectionné.

Groupe DH

Il est possible d’associer à chaque proposition de Chiffrement / Authentification IKE listée dans cette grille un groupe DH différent du groupe Diffie-Hellman par défaut sélectionné dans le cadre Général.

Si aucun groupe DH spécifique n'est précisé pour une proposition, c'est le groupe Diffie-Hellman par défaut du cadre Général qui sera appliqué à cette proposition.

Profil IPsec

Pour chaque profil IPsec ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général », « Propositions d’authentification » et « Propositions de chiffrement »).

Général

Commentaire Description associée à votre profil de chiffrement.

Diffie Hellman

Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra.
Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret commun, sans transmission d'informations sensibles sur le réseau.

En complément, si vous optez pour un profil IPsec, le PFS vous sera proposé.
Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est importante.

Que vous choisissiez l’un ou l’autre, une liste déroulante vous propose de définir un nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent également être sélectionnés.
NOTES
  • Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.
  • Plus la taille du mot de passe (ou « clé ») est grande, plus le niveau de sécurité est élevé, mais consomme aussi davantage de ressources.
  • La fonction PFS d'IPsec (isakmp) est recommandée.
Durée de vie (en secondes) Période de temps au bout de laquelle les clés sont renégociées.
La durée de vie par défaut pour un profil de type IPsec est de 3600 secondes.

Propositions d’authentification

Cette grille vous propose de modifier ou d’ajouter des algorithmes d’authentification à la liste pré-établie du profil sélectionné.

Ajouter L’algorithme d’authentification apparaissant par défaut en cliquant sur ce bouton est hmac_sha256, d’une « Force » de 256 bits.
Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier.
Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante.
Supprimer Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer.
Algorithme 4 choix vous sont proposés :
  • hmac_sha1 (obsolète),
  • hmac_sha256,
  • hmac_sha384,
  • hmac_sha512.
Force Nombre de bits définis pour l’algorithme sélectionné.

Propositions de chiffrement

Cette grille vous propose de modifier ou d’ajouter des algorithmes de chiffrement à la liste pré-établie du profil sélectionné.

Ajouter L’algorithme de chiffrement apparaissant par défaut en cliquant sur ce bouton est aes_gcm_16 (recommandé), d’une « Force » de 256 bits.
Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier.
Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante.
Supprimer Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer.
Algorithme 4 choix vous sont proposés :
  • 3des (obsolète),
  • aes,
  • aes_gcm_16 (recommandé),
  • aes_ctr.
L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le chiffrement.
Force Nombre de bits définis pour l’algorithme sélectionné.

Propositions PFS

Ajouter Vous pouvez ajouter des groupes Diffie-Hellmann à associer aux propositions de chiffrement / authentification IPSec.
Supprimer Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer.
Groupe DH Après avoir cliqué sur Ajouter, sélectionnez un groupe Diffie-Hellmann à ajouter à la liste des propositions.

Cliquez sur Appliquer une fois votre configuration effectuée.