IMPORTANT
Action requise : Appliquez le correctif pour les disques SSD des firewalls SNS.
Merci de suivre la procédure détaillée dans l’article How to update my SSD Firmware - Stormshield Knowledge Base (authentification nécessaire).
Tunnels VPN IPsec
Ce module permet de visualiser les tunnels de la politiques IPsec active sur le firewall (tunnels définis à l'aide de l'interface IPsec native ou d'interfaces IPsec virtuelles).
La barre d'actions
| Actualiser | Ce bouton permet de rafraîchir les informations affichées dans les grilles. |
| Configurer le service VPN IPsec | Ce lien permet d'accéder directement à la configuration du service VPN IPsec (module Configuration > VPN > VPN IPsec). |
La grille « Politiques »
Les données affichées dans la grille « Politiques » sont classées suivant le type de politique :
- Tunnels site à site,
- Tunnels mobiles,
- Politiques d'exception (bypass).
Ces données sont les suivantes :
| Type | Il s'agit du type de politique IPsec : Tunnels site à site, Tunnels mobiles et Politiques d'exception (bypass). |
| État | Un voyant vert accompagné de la mention OK, ou rouge accompagné de la mention KO, indique l'état des tunnels de la politique concernée. |
| Nom de règle | Nom donné à la règle IPsec (boite d'édition de la règle > Paramètres généraux > Configuration avancée > Nom). |
| Source | Nom de l'objet correspondant au réseau local. |
| Adresse source | Réseau des machines ayant initié le trafic traversant le tunnel IPsec sélectionné (extrémité de trafic). |
| Masque | Masque réseau associé à l'adresse source. |
| Passerelle locale | Nom de l'objet correspondant à la passerelle IPsec locale (extrémité locale du tunnel). |
| Adresse IP passerelle locale | Adresse IP présentée par le firewall local pour établir le tunnel. |
| Local ID | Identifiant (optionnel) local précisé lors de la création du correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle locale. |
| Passerelle distante | Nom de l'objet correspondant à la passerelle IPsec distante (extrémité distante du tunnel). |
| Adresse IP passerelle distante | Adresse IP présentée par le firewall distant pour établir le tunnel avec le firewall local. |
| Correspondant | Nom du correspondant ayant servi à établir le tunnel. |
| ID du correspondant | Identifiant (optionnel) attribué au correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle distante. |
| Extrémité de trafic distante | Nom de l'objet correspondant au réseau de la machine distante avec laquelle le trafic est échangé au sein du tunnel. |
| Adresse distante | Réseau des machines distantes dialoguant au travers du tunnel sélectionné (extrémité de trafic). |
| Masque réseau distant | Masque réseau associé à l'adresse distante. |
| Politique |
Type de politique IPsec. Ce champ peut prendre deux valeurs :
|
| Encapsulation | Protocole utilisé pour l'encapsulation des données du tunnel. |
| Version IKE | Version (1 ou 2) du protocole IKE utilisé pour l'établissement du tunnel. |
| Durée de vie | Durée de vie maximale du tunnel avant renégociation des clés. |
Menu contextuel
Un clic droit sur les champs Type, État, Nom de la règle, Masque du réseau source, Local ID, Correspondant, ID du correspondant, Masque du réseau distant, Type de politique, Encapsulation, Version IKE ou Durée de vie donne accès aux menus contextuels suivants :
- Accéder aux logs de cette politique IPsec,
- Copier la ligne sélectionnée dans le presse-papier,
- Accéder à la configuration de cette politique IPsec,
- Accéder à la configuration de ce correspondant.
Un clic droit sur les champs Passerelle locale, Adresse IP de la passerelle locale, Passerelle distante ou Adresse IP de la passerelle distante donne accès aux menus contextuels suivants :
- Rechercher cette valeur dans la vue "Tous les journaux",
- Afficher les détails de la machine,
- Placer cet objet en liste noire (pour 1 minute, pour 5 minutes, pour 30 minutes ou pour 3 heures),
- Accéder aux logs de cette politique IPsec,
- Copier la ligne sélectionnée dans le presse-papier,
- Accéder à la configuration de cette politique IPsec,
- Accéder à la configuration de ce correspondant.
Un clic droit sur les champs Source, Adresse de la source, Extrémité de trafic distante ou Adresse distante donne accès aux menus contextuels suivants :
- Rechercher cette valeur dans la vue "Tous les journaux",
- Afficher les détails de la machine,
- Placer cet objet en liste noire (pour 1 minute, pour 5 minutes, pour 30 minutes ou pour 3 heures),
- Accéder aux logs de cette politique IPsec,
- Copier la ligne sélectionnée dans le presse-papier,
- Ajouter la machine à la base Objet et / ou l'ajouter dans un groupe,
- Accéder à la configuration de cette politique IPsec,
- Accéder à la configuration de ce correspondant.
Détails complémentaires d'un tunnel
La sélection d'une ligne de tunnel permet l'affichage de détails complémentaires dans les grilles suivantes :
- Associations de sécurité (SA) IKE,
- Associations de sécurité (SA) IPsec.
La grille « Associations de sécurité (SA) IKE »
| Nom de règle | Nom (optionnel) donné à la règle VPN IPsec correspondant au tunnel établi. Pour rappel, ce nom permet une recherche dans les logs IPsec des événements liés au tunnel. |
| IKE | Indique la version du protocole IKE pour le tunnel concerné. |
| Passerelle locale | Nom de l'objet correspondant à la passerelle locale (extrémité locale du tunnel). |
| Adresse passerelle locale | Adresse IP présentée par la passerelle locale pour établir le tunnel IPsec concerné. |
| Passerelle distante | Nom de l'objet correspondant à la passerelle distante (extrémité distante du tunnel). |
| Adresse passerelle distante | Adresse IP présentée par la passerelle distante pour établir le tunnel IPsec concerné. |
| État | Indique l'état de la SA IKE (exemple: established). |
| Rôle | Rôle de la passerelle locale dans l'établissement du tunnel (initiator ou responder). |
| Cookie initiateur | Marqueur d'identité temporaire de l'initiateur de la négociation. Exemple : « 0xae34785945ae3cbf ». |
| Cookie réception | Marqueur d'identité temporaire du correspondant de la négociation. Exemple : « 0x56201508549a6526 ». |
| Local ID | Identifiant (optionnel) local précisé lors de la création du correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle locale. |
| ID du correspondant | Identifiant (optionnel) attribué au correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle distante. |
| NAT-T | Indique si le NAT-T (Nat Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique) est activé utilisé pour ce tunnel. |
| Authentification | Algorithme d’authentification utilisé pour la phase IKE du tunnel. |
| Chiffrement | Algorithme de chiffrement utilisé pour la phase IKE du tunnel. |
| PRF | PseudoRandom Function négociée et utilisée pour la dérivation des clés. |
| DH | Profil Diffie-Hellman utilisé pour le tunnel. |
| Durée de vie | Durée de vie écoulée de la SA (Security Association) IKE pour le tunnel concerné. |
La grille « Associations de sécurité (SA) IPsec »
| État | Indique l'état de la SA IPsec (exemple: installed / rekeying). |
| Passerelle locale | Nom de l'objet correspondant à la passerelle locale (extrémité locale du tunnel). |
| Passerelle distante | Nom de l'objet correspondant à la passerelle distante (extrémité distante du tunnel). |
| Octets entrants | Quantité de données (en octets) ayant transité dans le tunnel à destination de l'extrémité locale de trafic. |
| Octets sortants | Quantité de données (en octets) ayant transité dans le tunnel à destination de l'extrémité distante de trafic. |
| Chiffrement | Algorithme de chiffrement utilisé pour la phase IPsec du tunnel. |
| Authentification | Algorithme d'authentification utilisé pour la phase IPsec du tunnel. |
| Durée de vie écoulée | Durée de vie écoulée de la SA IPsec pour le tunnel concerné. |
| ESN |
Indique si l'option ESN (Extended Sequence Number) est activée. Cette option n'est disponible que pour IKEv2. |
| Encapsulation UDP |
Indique si l'encapsulation UDP des paquets ESP est activée. Cette encapsulation est automatiquement forcée lorsque le mode DR est activé (Configuration > Système > Configuration > onglet Configuration Générale > Activer le mode "Diffusion Restreinte (DR)").
|
Pour plus de détails sur ces commandes, veuillez vous référer au