VPN IPsec

Protocole standard, l’IPsec (IP Security) permet la création de tunnels VPN entre deux machines, entre une machine et un réseau, entre deux réseaux et tout type d’objet supportant le protocole.

Les services proposés par l’IPsec Stormshield Network offrent le contrôle d'accès, l'intégrité en mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la confidentialité au niveau du chiffrement et sur le flux de trafic. Vous pouvez par exemple créer un tunnel entre deux firewalls ou entre le firewall et des clients nomades sur lesquels seraient installés des clients VPN.

Recommandations

Lorsqu’un VPN IPsec est configuré, il est recommandé de :

  • Configurer une route statique à destination de la boucle locale (blackholing) pour joindre les réseaux distants accessibles au travers de tunnels VPN IPsec,

  • S’assurer que la politique IPsec n’est jamais désactivée y compris lors de phases transitoires,

  • S’assurer que les règles de filtrage sont toujours plus spécifiques que les règles de NAT avant IPsec,

  • S’assurer que les flux (adresse IP source et destination) après la translation (NAT) correspondent à la politique IPsec,

  • S’assurer qu’en l’absence de règles de NAT, les règles de filtrage sont toujours plus spécifiques que la politique IPsec.

Mécanisme d’optimisation des opérations de chiffrement et déchiffrement

Le service IPsec bénéficie d'un mécanisme destiné à optimiser la répartition des opérations de chiffrement et de déchiffrement. Son but est d'améliorer de manière notable les débits IPsec notamment dans le cas d'une configuration comportant un seul tunnel IPsec.

Il dispose de 3 modes de configuration :

Mode Automatique (auto)

Il s'agit du mode par défaut. Il permet au mécanisme d'optimisation de s'enclencher automatiquement et de manière transparente dans le cas où les deux conditions suivantes sont remplies :

  • La politique IPsec active possède un seul tunnel VPN actif.

  • Le modèle de firewall supporte le mode Automatique.

Les modèles qui supportent le mode Automatique sont : SN510, SN710, SN2000, SN2100, SN3000, SN3100, SN6000, SN6100 et SNi40. Pour les autres, seul le mode Activé permet d'enclencher le mécanisme d'optimisation.
Mode Activé (1) Il permet d'enclencher de manière permanente et sans condition particulière le mécanisme d'optimisation. Il peut être paramétré sur tous les modèles de firewalls.

Son utilisation n'est pas recommandée dans le cas où une politique IPsec possède un nombre important de tunnels VPN actifs. De manière générale, assurez-vous que l'utilisation du mode Activé n'affecte pas la qualité de votre service.
Mode Désactivé (0) Il permet de désactiver de manière permanente le mécanisme d'optimisation. 

La configuration du mode s'effectue uniquement à l'aide de la commande CLI / Serverd suivante :

CONFIG IPSEC UPDATE slot=<n> CryptoLoadBalance=<0|1|auto>

Le détail de cette commande est disponible dans le Guide de référence des commandes CLI / Serverd.

Écran du module VPN IPsec

L’écran du module VPN IPsec est composé de 4 onglets :

  • Politique de chiffrement – Tunnels : créez des tunnels IPsec entre deux firewalls (Site à site – Gateway- Gateway) ou entre un firewall multifonctions Stormshield Network et un utilisateur nomade (Anonyme – Utilisateurs nomades).
    10 profils de chiffrement vierges peuvent être configurés, activés et édités. La politique anonyme permet aussi de configurer des tunnels avec un autre firewall, mais qui ne dispose pas d'une adresse IP fixe. Il a alors la même contrainte qu'un nomade "classique": une adresse IP non prévisible.
  • Correspondants : créez de nouveaux correspondants (site distant ou correspondant anonyme nomade) en renseignant notamment leur profil IKE, leur méthode de négociation, ainsi que les paramètres spécifiques à chaque méthode de négociation.
  • Identification : listez vos autorités de certification acceptées dans les tunnels utilisant les méthodes PKI, ainsi que  les clés pré-partagées (PSK) de vos tunnels nomades.
  • Profils de chiffrement : définissez vos profils de chiffrement IKE (phase 1) et IPsec (phase 2), ajoutez-en de nouveaux, établissez leur durée de vie maximum (en secondes). Vous pouvez également définir les propositions de négociation au niveau des algorithmes d’authentification et de chiffrement.
NOTES
  • Les politiques VPN IPsec proposent d’éditer leur configuration en mode Global. Pour activer l’option, sélectionnez "Afficher les politiques globales" dans le module Préférences.
  • Il n’existe pas de droit spécifique au "vpn_global".