BeWAN LanBooster 8104 Guide De L'utilisateur page 59

Guide de l'utilisateur - LanBooster 8104/8104 G
2. Le but de la Négociation phase 1 est de négocier les règles de sécurité IKE, d'authentifier les correspondants et
d'établir un canal sécurisé entre ces correspondants.
•
NAT Traversal (NATT) : Pour réaliser une translation d'adresse, le routeur gère une table de correspondance
entre l'adresse privée et l'adresse publique traduite. Il effectue de la translation d'adresse réseau (NAT: Network
Address Translation), traduction des adresses d'un système "privé" en adresse "publique" disponible sur Internet.
Toutefois, comme ils modifient l'en-tête du paquet IP, cela peut affecter les en-têtes IPSec (situés au même
niveau). Pour prendre en compte ce fonctionnement, le principe du NAT Traversal est aujourd'hui mis en oeuvre
dans la plupart des passerelles et routeurs VPN.
NAT Traversal offre une meilleure sécurité et permet à des serveurs et clients IPSec de traverser des segments
réseaux qui emploient NAT. NAT Traversal offre un moyen pour des applications de créer des associations de
ports sur les systèmes NAT locaux, tels que le partage de connexion Internet, ICS (Internet Connection Sharing)
ou d'autres passerelles comme UPnP.
Nous vous conseillons donc de ne pas le désactiver.
•
Dans la rubrique Mode IKE, sélectionnez soit le mode Principal ou le mode Agressif.
Remarque : lors d'une négociation en mode Agressif, l'ID est envoyé dans le premier paquet de la phase 1, et ce
quel que soit le mode d'authentification. De ce fait, si le routeur VPN distant ne reconnaît pas l'ID envoyé, il ne
doit pas répondre. Ce comportement permet d'éviter la majorité des attaques quand l'auteur n'a pas pu
identifier un ID valable au préalable.
•
Comportement IKE : longueur de clé Diffie-Hellman. Protocole de chiffrement de clé publique permettant à
deux routeurs d'établir un secret partagé. Les deux routeurs échangent publiquement des informations de support
de gestion de clés. Les routeurs n'échangent jamais la véritable clé mais, après avoir échangé le support de
gestion de clés, chacun peut générer une seule et même clé partagée.
Important : le Groupe 5 Diffie-Hellman (sécurité élevée : 1536 bits) est plus puissant que le Groupe 2 (sécurité
moyenne : 1024 bits), lequel est plus puissant que le Groupe 1 (sécurité plus faible : 768 bits). Lorsqu'un groupe
plus puissant est utilisé, la clé dérivée d'un échange Diffie-Hellman est plus puissante et donc plus difficile à
découvrir pour un intrus. En revanche, cela requiert un temps de traitement plus long et l'utilisation de
ressources supplémentaires.
La norme DES (Data Encryption Standard) prend en charge le chiffrement avec une clé de 56 bits. La norme
3DES (Triple Data Encryption Standard), plus efficace que le chiffrement DES, prend en charge le chiffrement
avec une clé de 3x56 bits.
•
Délai d'expiration : temps en secondes au bout duquel la connexion sécurisée expire. Après cet intervalle
spécifique, une nouvelle clé est générée de façon automatique. Ceci garantit que, même si un intrus parvient à
déchiffrer une partie de la communication protégée par une clé, de nouvelles clés protègent le reste.
Remarque : il est conseillé de conserver le délai d'expiration par défaut sauf si l'équipement distant possède des
paramètres différents. Dans ce cas, les paramètres doivent être identiques des deux côtés.
3. Le but de la Négociation phase 2 est de définir les algorithmes à utiliser.
•
Protocoles et chiffrements : algorithmes de chiffrements négociés au cours de la phase d'authentification
(3DES, AES,...).
•
Authentifications : algorithmes d'authentification négociés au cours de la phase d'authentification (MD5,
SHA1). SHA1 est l'algorithme d'authentification le plus sécurisé.
•
Délai d'expiration : entrez le nombre de secondes d'inactivité au terme duquel la connexion VPN sera
automatiquement interrompue si aucun ordinateur du réseau local ne l'utilise.
Remarque : il est conseillé de conserver le délai d'expiration par défaut sauf si l'équipement distant possède des
paramètres différents. Dans ce cas, les paramètres doivent être identiques des deux côtés.
•
PFS (Perfect Forward Secrecy) : PFS garantit qu'au cas où une clé spécifique serait compromise, seules les
données que cette dernière protège seraient accessibles, et pas nécessairement l'ensemble de la communication.
Pour cela, PFS empêche qu'une clé utilisée pour protéger une transmission puisse être employée pour générer
d'autres clés. De plus, si la clé utilisée a été construite à partir d'un support de gestion de clés spécifique, ce
dernier ne pourra pas servir à générer d'autres clés.
•
DPD (Dead Peer Detection) : ce principe permet au routeur de détecter si le lien est toujours actif avec le distant.
Il faut s'assurer que cette option est également cochée dans la configuration de l'équipement distant pour que
cela fonctionne.
Le routeur envoie des messages DPD à l'intervalle spécifié dans la rubrique Fréquence DPD.
59