IMPORTANT
Action requise : Appliquez le correctif pour les disques SSD des firewalls SNS.
Merci de suivre la procédure détaillée dans l’article How to update my SSD Firmware - Stormshield Knowledge Base (authentification nécessaire).
L’onglet Profils de Chiffrement
Profils de chiffrement par défaut
Les valeurs définies dans la phase 1 et la phase 2 seront présélectionnées pour chaque nouveau correspondant créé.
IKE
La phase 1 du protocole IKE vise à établir un canal de communication chiffré et authentifié entre les deux correspondants VPN. Ce "canal" est appelé SA ISAKMP (différent de la SA IPsec). Deux modes de négociations sont possibles : le mode principal et le mode agressif.
La liste déroulante permet de choisir le modèle de protection associé à votre politique VPN, parmi les 4 profils pré-configurés : GoodEncryption, Mobile, DR et StrongEncryption. Il est également possible d’en créer d’autres à l'aide du bouton Ajouter.
IPsec
La phase 2 du protocole IKE négocie de manière sécurisée (au moyen du canal de communication SA ISAKMP négocié dans la première phase) les paramètres des futures SA IPsec (une entrante et une sortante).
La liste déroulante permet de choisir le modèle de protection associé à votre politique VPN, parmi les 4 profils pré-configurés : GoodEncryption, Mobile, DR et StrongEncryption. Il est également possible d’en créer d’autres à l'aide du bouton Ajouter.
Tableau des profils
Ce tableau propose une série de profils de chiffrement prédéfinis, de phases 1 (IKE) ou 2 (IPsec).
Les actions possibles
| Ajouter | En cliquant sur ce bouton, vous pouvez choisir d’ajouter un Nouveau profil de phase 1 (IKE) ou un Nouveau profil de phase 2 (IPsec), qui sera affiché dans la colonne lui correspondant. Vous pouvez lui donner le « Nom » que vous souhaitez. Il est également possible de copier un profil et ses caractéristiques : pour cela, sélectionnez le profil voulu et cliquez sur l’option Copier la sélection, puis donnez-lui un nom. |
| Actions |
Ce menu déroulant vous offre la possibilité d'appliquer l'une des 4 actions suivantes au profil sélectionné :
|
Profil IKE
Pour le profil IKE ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général » et « Propositions »).
Général
| Commentaire |
Description associée à votre profil de chiffrement. |
|
Diffie Hellman |
Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra. Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret commun, sans transmission d'informations sensibles sur le réseau. En complément, si vous optez pour un profil IPsec, le PFS vous sera proposé. Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est importante. Que vous choisissiez l’un ou l’autre, une liste déroulante vous propose de définir un nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent également être sélectionnés. NOTES
|
| Durée de vie maximum (en secondes) | Période de temps au bout de laquelle les clés sont renégociées. La durée de vie par défaut pour un profil de type IKE est 21600 secondes. |
Propositions
Cette grille vous propose de modifier ou d’ajouter des combinaisons d'algorithmes de chiffrement et d'authentification à la liste pré-établie du profil sélectionné.
| Ajouter | La combinaison proposée par défaut est la suivante :
Cliquez sur la flèche à droite de leur colonne « Algorithme » respective si vous souhaitez les modifier. Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante. |
| Supprimer | Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer. |
| Monter | Sélectionnez la ligne à déplacer vers le haut de la grille afin d'augmenter la priorité de la combinaison Chiffrement / Authentification correspondante. |
| Descendre | Sélectionnez la ligne à déplacer vers le bas de la grille afin de diminuer la priorité de la combinaison Chiffrement / Authentification correspondante. |
Chiffrement
| Algorithme | 4 choix vous sont proposés :
Lorsque vous sélectionnez un profil prédéfini, les choix recommandés sont automatiquement proposés par défaut.
L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le chiffrement. Il n'est donc pas proposé de choisir un algorithme d'authentification dans ce cas. |
| Force | Nombre de bits définis pour l’algorithme sélectionné. |
Authentification
| Algorithme | 4 choix vous sont proposés :
|
| Force |
Nombre de bits définis pour l’algorithme sélectionné. |
Profil IPsec
Pour chaque profil IPsec ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à droite de l’écran (champs « Général », « Propositions d’authentification » et « Propositions de chiffrement »).
Général
| Commentaire | Description associée à votre profil de chiffrement. |
|
Diffie Hellman |
Ce champ représente deux types d’échange de clé: si vous avez sélectionné un profil de chiffrement type IKE, c’est l’option Diffie-Hellman qui apparaîtra. Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret commun, sans transmission d'informations sensibles sur le réseau. En complément, si vous optez pour un profil IPsec, le PFS vous sera proposé. Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est importante. Que vous choisissiez l’un ou l’autre, une liste déroulante vous propose de définir un nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent également être sélectionnés. NOTES
|
| Durée de vie (en secondes) | Période de temps au bout de laquelle les clés sont renégociées. La durée de vie par défaut pour un profil de type IPsec est de 3600 secondes. |
Propositions d’authentification
Cette grille vous propose de modifier ou d’ajouter des algorithmes d’authentification à la liste pré-établie du profil sélectionné.
| Ajouter | L’algorithme d’authentification apparaissant par défaut en cliquant sur ce bouton est hmac_sha256, d’une « Force » de 256 bits. Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier. Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante. |
| Supprimer | Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer. |
| Algorithme | 4 choix vous sont proposés :
|
| Force | Nombre de bits définis pour l’algorithme sélectionné. |
Propositions de chiffrement
Cette grille vous propose de modifier ou d’ajouter des algorithmes de chiffrement à la liste pré-établie du profil sélectionné.
| Ajouter | L’algorithme de chiffrement apparaissant par défaut en cliquant sur ce bouton est aes_gcm_16 (recommandé), d’une « Force » de 256 bits. Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier. Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante. |
| Supprimer | Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer. |
| Algorithme | 4 choix vous sont proposés :
|
| Force | Nombre de bits définis pour l’algorithme sélectionné. |
Cliquez sur Appliquer une fois votre configuration effectuée.