Rendre la politique IPsec conforme avec le mode DR
Sur le firewall SNS en version 5 :
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Correspondants.
- Sélectionnez le correspondant à rendre compatible avec le mode DR (Passerelles distantes et Correspondants mobiles).
- Dans le cadre Configuration avancée, cochez la case Compatible mode DR.
Les paramètres du correspondant qui ne sont pas compatibles avec le mode DR sont encadrés de rouge.
Suivez les procédures ci-dessous pour modifier ces paramètres si nécessaire.
Modifier la version IKE utilisée par le correspondant
- Sélectionnez IKEv2 pour le champ Version IKE.
-
Vous devez également réaliser cette modification sur le correspondant concerné. S'il s'agit d'un client mobile, suivez la procédure de mise en conformité décrite dans la section Créer un tunnel compatible avec le mode DR sur un client mobile.
Modifier la méthode d'authentification utilisée par le correspondant
- Dans le cadre Identification, positionnez le champ Méthode d'authentification sur Certificat.
- Renseignez le champ ID du correspondant. Ce champ doit respecter l'une des deux formes suivantes :
- Distinguished Name (DN). Il s'agit du sujet du certificat du correspondant (exemple : C=FR,ST=Nord,L=Villeneuve d'Ascq,O=Stormshield,OU=Documentation,CN=DR-Compliant-Gateway-Peer.stormshield.eu),
- Subject Alternative Name (SAN). Il s'agit d'un des alias éventuellement définis lors de la création du certificat du correspondant (exemple : DR-Compliant-Gateway-Peer.stormshield.eu).
NOTE
La longueur possible d'un sujet de certificat peut poser des problèmes de compatibilité avec des matériels tiers (chiffreurs, passerelles VPN... autres que les firewalls SNS). Il est dans ce cas fortement conseillé d'utiliser le SAN défini lors de la création du certificat du correspondant.
- Vous devez également réaliser cette modification sur le correspondant concerné. S'il s'agit d'un client mobile, suivez la procédure de mise en conformité décrite dans la section Créer un tunnel compatible avec le mode DR sur un client mobile.
Modifier les algorithmes d'authentification et de chiffrement
- Dans le cadre Général, assurez-vous que le champ Profil IKE est positionné sur un profil compatible avec le mode DR (profil DR fourni par défaut ou profil personnalisé - My DR Profile dans cet exemple).
- Vous devez également réaliser cette modification sur le correspondant concerné. S'il s'agit d'un client mobile, suivez la procédure de mise en conformité décrite dans la section Créer un tunnel compatible avec le mode DR sur un client mobile.
Ajouter la chaîne de confiance utilisée pour signer les certificats dans la liste des Autorités de certification acceptées
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Identification.
- Dans la grille Autorités de certification acceptées, vérifiez la présence de l'ensemble de la chaîne complète de confiance, c'est à dire de la CA Racine (Root CA) jusqu'à la sous-CA ayant signé les certificats utilisés pour le mode DR (IPsec-DR-CA dans cet exemple).
- Si ce n'est pas le cas, cliquez sur Ajouter et sélectionnez l'autorité de certification concernée.
-
Vous devez également réaliser cette modification sur le correspondant concerné. S'il s'agit d'un client mobile, suivez la procédure de mise en conformité décrite dans la section Créer un tunnel compatible avec le mode DR sur un client mobile.
Optionnel - Définir les profils de chiffrement DR (ou les profils personnalisés compatibles) comme profils par défaut
Cette procédure permet de définir les profils DR (ou les profils personnalisés compatibles) comme profils proposés par défaut pour tous les futurs correspondants et toutes les règles IPsec devant être créés sur le firewall.
- Placez-vous dans le module Configuration > VPN > VPN IPsec > onglet Profils de chiffrement.
- Dans le menu de gauche, section IKE, sélectionnez le profil DR (ou le profil personnalisé compatible avec le mode DR).
Vérifiez que les caractéristiques du profil sont les suivantes :- Deux profils Diffie-Hellman sont proposés : DH28 Brainpool Elliptic Curve Group (256-bits), sélectionné par défaut, et DH19 NIST Elliptic Curve Group (256-bits).
- L'algorithme AES_GCM_16 est sélectionné comme proposition par défaut, AES_CTR étant la deuxième proposition.
Ne modifiez surtout pas la Force de chiffrement de l'algorithme choisi.
- Deux profils Diffie-Hellman sont proposés : DH28 Brainpool Elliptic Curve Group (256-bits), sélectionné par défaut, et DH19 NIST Elliptic Curve Group (256-bits).
- Cliquez sur le menu Actions.
- Sélectionnez Définir le profil par défaut.
Ce profil IKE est désormais utilisé par défaut pour les nouveaux tunnels IPsec ajoutés dans la configuration du firewall. - Dans le menu de gauche, section IPsec, sélectionnez le profil DR (ou le profil personnalisé compatible avec le mode DR).
Vérifiez que les caractéristiques du profil sont les suivantes :- L'algorithme HMAC_SHA256 est sélectionné comme proposition d'authentification.
- L'algorithme AES_GCM_16 est sélectionné comme proposition de chiffrement par défaut, AES_CTR étant la deuxième proposition.
Ne modifiez surtout pas la Force de chiffrement de l'algorithme choisi.
- L'algorithme HMAC_SHA256 est sélectionné comme proposition d'authentification.
- Cliquez sur le menu Actions.
- Sélectionnez Définir le profil par défaut.
Ce profil IPsec est désormais utilisé par défaut pour les tunnels IPsec définis dans la configuration du firewall.