L’onglet Identification
Autorités de certification acceptées
Cette grille permet de lister les autorités pour identifier vos correspondants au sein du module VPN IPsec.
| Ajouter | Lorsque vous cliquez sur ce bouton, une fenêtre regroupant les CA et sous CA que vous avez créées au préalable apparaît. Sélectionnez les autorités qui permettront de vérifier les identités de vos correspondants, en cliquant sur Sélectionner. La CA ou sous CA choisie vient s’ajouter au tableau. |
| Supprimer | Sélectionnez la CA à retirer de la liste et cliquez sur Supprimer. |
CA
En dessous de ce champ figurent les autorités de certification ajoutées et acceptées.
Tunnels mobiles : clés pré-partagées (PSK)
Si vous avez préalablement créé un correspondant nomade ayant pour méthode d’authentification la Clé pré-partagée (PSK), cette grille sera déjà pré-remplie.
Vous aviez dû éditer une clé en lui définissant un ID et une valeur (en caractères hexadécimaux ou ASCII).
| Rechercher | Bien que la grille affiche toutes vos clés pré-partagées de tunnels nomades par défaut, vous pouvez effectuer une recherche par occurrence, lettre ou mot, de manière à ce que seules les clés souhaitées s’affichent à l’écran. |
| Ajouter | En cliquant sur ce bouton, une fenêtre d’édition de clé s’affichera : vous devrez lui fournir un ID, une valeur, et confirmer cette dernière. Vous pourrez choisir d’éditer en caractères hexadécimaux ou ASCII. |
| Supprimer | Sélectionnez la clé à retirer de la liste et cliquez sur Supprimer. |
Identité
Cette colonne affiche les ID de vos clés pré-partagées, qui peuvent être représentés par un nom de domaine (FQDN), une adresse e-mail (USER_FQDN) ou une adresse IP.
Clé
Cette colonne affiche les valeurs de vos clés pré-partagées en caractères hexadécimaux.
- La création de clés pré-partagées est illimitée.
- La suppression d'une clé pré-partagée appartenant à un tunnel VPN IPsec entraîne le dysfonctionnement de ce tunnel.
- Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.
Clés pré-partagées post-quantiques (PPK)
La puissance de calcul d'un ordinateur quantique pourra très probablement à l'avenir lui permettre de déchiffrer des clés négociées via les méthodes Diffie-Hellman (DH) et Elliptic Curve Diffie-Hellman (ECDH), et mettre en danger la sécurité du protocole IKEv2.
Un utilisateur malveillant pourrait dès à présent réaliser une attaque de type "stocker maintenant, déchiffrer plus tard" : intercepter des communications IPsec et les stocker afin de les déchiffrer ultérieurement à l'aide d'un ordinateur quantique.
Pour les clients qui souhaitent dès à présent se protéger de telles attaques, il est déjà possible d'utiliser des clés pré-partagées post-quantiques (PPK) destinées à protéger les échanges des clés de chiffrement des données.
Pour en savoir plus sur l'utilisation de clés pré-partagées post-quantiques pour le protocole IKEv2, nous vous invitons à consulter la RFC 8784.
Afin de suivre ces recommandations, les version SNS 4.8 et supérieures offrent la possibilité de définir des clés pré-partagées post-quantiques pour les correspondants utilisant le protocole IKEv2 avec authentification par certificats.
NOTE
Pour être efficaces, ces PPK doivent respecter une entropie suffisamment élevée (256 bits minimum selon la RFC 8784).
IMPORTANT
Si vous avez préalablement créé ou modifié un correspondant nomade pour lui créer une PPK qui n'existait pas, cette PPK ne sera pas ajoutée automatiquement à la grille.
Les actions possibles
| Clé recherchée | Vous pouvez effectuer une recherche par occurrence, lettre ou mot, de manière à ce que seules les clés souhaitées s’affichent à l’écran. |
| Ajouter |
En cliquant sur ce bouton, une fenêtre d’édition de clé s’affiche.
Vous pouvez choisir de saisir / éditer la valeur de la clé en caractères hexadécimaux ou ASCII. |
| Supprimer | Sélectionnez la clé à retirer de la liste et cliquez sur Supprimer. |
| Éditer la sélection | Sélectionnez la clé à éditer et effectuez les modifications souhaitées. |
| Exporter la liste des PPK | Ce bouton vous permet d'exporter la liste des PPK au format CSV et de la télécharger sur votre poste de travail. |
NOTE
Une PPK créée directement au niveau du correspondant n'apparaît pas dans cette grille.
Configuration avancée
| Activer la recherche au travers de plusieurs annuaires LDAP (modes clé pré-partagée ou certificats) | Lorsque plusieurs annuaires LDAP sont définis, cocher cette case permet au firewall de parcourir ces annuaires séquentiellement pour authentifier un correspondant mobile. Cette méthode est disponible quel que soit le type d'authentification choisi (clé pré-partagée ou certificat). Si cette case est décochée, le firewall consulte uniquement l'annuaire défini par défaut. |
Liste des annuaires
Les différents annuaires listés sont parcourus selon leur ordre dans la grille.
| Ajouter | En cliquant sur ce bouton, une ligne est ajoutée à la grille, sous forme de liste déroulante permettant de sélectionner un des annuaires définis sur le firewall. Ce bouton est grisé lorsque tous les annuaires du firewall ont été sélectionnés. |
| Supprimer | Sélectionnez la clé à retirer de la liste et cliquez sur Supprimer. |
| Monter | Ce bouton permet de monter l'annuaire sélectionné dans la liste afin que le firewall le parcoure de manière plus prioritaire. |
| Descendre | Ce bouton permet de descendre l'annuaire sélectionné dans la liste afin que le firewall le parcoure de manière moins prioritaire.. |