Les informations des correspondants de type « nomade » / « correspondant mobile »

Sélectionnez un correspondant dans la liste pour en afficher les informations.

Commentaire Description associée au correspondant distant.
Passerelle distante Ce champ est grisé pour les correspondants de type nomade.
Adresse locale Ce champ permet de sélectionner l'interface externe présentée pour établir le tunnel avec le correspondant affiché.
Profil IKE Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils pré-configurés: StrongEncryption, GoodEncryption, et Mobile. Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement.
Version d’IKE Cette option permet de choisir la version du protocole IKE (IKEv1 ou IKEv2) utilisée par le correspondant.

Identification

Méthode d’authentification Ce champ affichera la méthode d’authentification choisie lors de la création de votre correspondant via l’assistant.
Vous pouvez modifier votre choix en sélectionnant une autre méthode d’authentification présente dans la liste déroulante.

NOTE
Pour un correspondant de type « nomade », vous avez le choix entre Certificat, Clé pré-partagée (PSK), EAP-Generic Token Card (GTC) ou Certificat et EAP-Generic Token Card (GTC).

Certificat

Ce champ n’apparaît que si vous avez choisi la méthode d’authentification par Certificat, EAP-Generic Token Card (GTC) ou Certificat et EAP-Generic Token Card (GTC). Il affiche le certificat que vous présentez pour établir le tunnel avec ce correspondant, ou vous propose de le sélectionner au sein de la liste déroulante.

L'icône indique les certificats dont la clé privée est protégée par le TPM. Pour plus d'informations sur le TPM, reportez-vous à la section Trusted Platform Module.

Local ID (Optionnel) Ce champ représente une extrémité du tunnel VPN IPsec, partageant le « secret » ou la PSK avec l' « ID du correspondant», autre extrémité.
Le « Local ID » vous représente.
Cet identifiant doit avoir la forme d’une adresse IP, d’un nom de domaine (FQDN ou Full Qualified Domain Name) ou d’une adresse e-mail (user@fqdn).

NOTE
Ce champ n’est accessible que si vous avez choisi la méthode d’authentification par Clé pré-partagée.

ID du correspondant (optionnel) Ce champ représente une extrémité du tunnel VPN IPsec, partageant le « secret » ou la PSK avec le « Local ID », autre extrémité.
L' « ID du correspondant » représente votre correspondant.
Le format est analogue au champ précédent.
Groupes

Cette grille n'apparaît que si vous avez choisi la méthode d'authentification EAP-Generic Token Card (GTC) ou Certificat et EAP-Generic Token Card (GTC).
Elle affiche les groupes d'utilisateurs rattachés à ce profil de correspondant définis lors de sa création.

Vous pouvez la modifier pour Ajouter ou Supprimer des groupes.

Clé pré-partagée (ASCII)

Ce champ n'est affiché que si vus avez choisi la méthode d'authentification par Clé pré-partagée (PSK).

Vous pouvez éditer ce champ pour visualiser / modifier votre PSK au format que vous avez choisi lors de la création du correspondant via l’assistant : caractères ASCII ou hexadécimaux (case à cocher au bas du champ si vous souhaitez en changer).

Éditer Ce bouton permet de modifier directement la clé pré-partagée servant à établir le tunnel IPsec avec ce correspondant.

Clés pré-partagées post-quantiques (PPK)

La puissance de calcul d'un ordinateur quantique pourra très probablement à l'avenir lui permettre de déchiffrer des clés négociées via les méthodes Diffie-Hellman (DH) et Elliptic Curve Diffie-Hellman (ECDH), et mettre en danger la sécurité du protocole IKEv2.

Un utilisateur malveillant pourrait dès à présent réaliser une attaque de type "stocker maintenant, déchiffrer plus tard" : intercepter des communications IPsec et les stocker afin de les déchiffrer ultérieurement à l'aide d'un ordinateur quantique.

Pour les clients qui souhaitent dès à présent se protéger de telles attaques, il est déjà possible d'utiliser des clés pré-partagées post-quantiques (PPK) destinées à protéger les échanges des clés de chiffrement des données.

Pour en savoir plus sur l'utilisation de clés pré-partagées post-quantiques pour le protocole IKEv2, nous vous invitons à consulter la RFC 8784.

Afin de suivre ces recommandations, les version SNS 4.8 et supérieures offrent la possibilité de définir des clés pré-partagées post-quantiques pour les correspondants utilisant le protocole IKEv2 avec authentification par certificats.

NOTE
Pour être efficaces, ces PPK doivent respecter une entropie suffisamment élevée (256 bits minimum selon la RFC 8784).

Identifiant de PPK

Cet identifiant doit avoir la forme d’une adresse IP, d’un nom de domaine (FQDN ou Full Qualified Domain Name) ou d’une adresse e-mail (user@fqdn).

Si cet identifiant correspond à celui d'une PPK déjà définie sur le firewall (onglet Identification du module VPN IPsec), cette PPK sera automatiquement utilisée. Il n'est pas nécessaire dans ce cas d'utiliser le champ Mot de passe de la PPK.

Ce champ doit être obligatoirement renseigné si la case PPK requise est cochée.

Mot de passe de la PPK Si l'Identifiant de PPK précédemment renseigné ne correspond à aucune PPK définie sur le firewall (onglet Identification du module VPN IPsec), un clic sur le bouton Éditer ouvre la boite de dialogue destinée à renseigner le mot de passe (aussi appelé secret) pour cette nouvelle PPK. Ce mot de passe peut être renseigné en caractères ASCII ou en caractères hexadécimaux.
PPK requise En cochant cette case, vous indiquez qu'il est obligatoire d'utiliser une PPK pour établir un tunnel avec le correspondant.

Configuration avancée

Ne pas initier le tunnel (Responder-only) Cette case est grisée et validée, car il est impossible d’initier un tunnel vers un client mobile dont l’adresse IP est inconnue. Dans cette configuration, le firewall est donc en mode de réponse uniquement.
DPD Ce champ permet de configurer la fonctionnalité VPN dite de DPD (Dead Peer Detection). Celle-ci permet de vérifier qu’un correspondant est toujours opérationnel.
Quand le DPD est activé sur un correspondant, des requêtes de test de disponibilité (R U there) sont envoyées à l’autre correspondant. Ce dernier devra acquitter la requête pour valider sa disponibilité (R U there ACK).

Ces échanges sont sécurisés via les SA (Security Association) ISAKMP (Internet Security Association and Key Management Protocol).
Si on détecte qu’un correspondant ne répond plus, les SA négociées avec celui-ci sont détruites.

IMPORTANT
Cette fonctionnalité apporte une stabilité au service VPN sur les Firewalls Stormshield Network, à la condition que le DPD soit correctement configuré.


Pour configurer l’option de DPD, quatre choix sont disponibles :
  • Inactif : les requêtes DPD provenant du correspondant sont ignorées.
  • Passif : les requêtes DPD émises par le correspondant obtiennent une réponse du firewall. Par contre, le firewall n’en n’envoie pas.
  • Bas : la fréquence d’envoi des paquets DPD est faible, et le nombre d’échecs tolérés est élevé (delay 600, retry 10, maxfail 5).
  • Haut : la fréquence d’envoi des paquets DPD est élevée et le nombre d’échecs est relativement bas (delay 30, retry 5, maxfail 3).

La valeur delay définit le temps après une réponse avant l’envoi de la prochaine demande.
La valeur retry, définit le temps d’attente d’une réponse avant la réémission de la demande.
La valeur maxfail, c'est le nombre de demandes sans réponses avant de considérer le correspondant comme absent.
DSCP Ce champ permet de préciser la valeur du champ DSCP affecté aux paquets réseau IKE émis à destination de ce correspondant.
Sélectionnez l'une des valeurs proposées ou précisez un champ DSCP personnalisé (entier compris entre 0 et 63).
Encapsuler le trafic ESP dans UDP Ce champ n'apparaît que lorsque la compatibilité avec le mode DR a été activée.
Il permet d'activer / désactiver l'encapsulation du trafic ESP dans le protocole UDP pour chaque correspondant afin de suivre la recommandation de l'ANSSI.