Table des Matières
Publicité
Configuration avancée
Mode de négociation
Mode de secours
Adresse locale
Ne pas initier le tunnel
(Responder-only) :
Page 417/464
En IPSec, 2 modes de négociation sont possibles : le mode principal (ou « main »
mode) et le mode agressif. Ils influent notamment sur la « phase 1 » du protocole IKE
(phase « d'authentification »).
Ce mode est automatiquement déterminé en fonction des paramètres de
configuration ; le mode agressif n'est utilisé qu'en cas de configuration anonyme par
clé pré-partagées. Ce mode est néanmoins modifiable via une commande CLI.
Mode principal: Dans ce mode, la phase 1 se déroule en 6 échanges. La machine
l
distante ne peut être identifiée que par son adresse IP avec une authentification
par clé pré-partagée.
En mode PKI, l'identifiant est dans le certificat. Le mode principal assure
l'anonymat.
Mode agressif : dans ce mode, la phase 1 se déroule en 3 échanges entre le firewall
l
et la machine distante. Les identités des correspondants peuvent être une adresse
IP, un FQDN ou une adresse mail mais pas un certificat. L'authentification est faite
par clé pré-partagée. Le mode agressif n'assure pas l'anonymat.
AVERTISSEMENT
L'utilisation du mode agressif + les clés pré-partagées (notamment pour les
tunnels VPN à destination de nomades) peut se révéler moins sécurisé que les
autres modes du protocole IPSec. Ainsi Stormshield recommande l'utilisation du
mode principal et en particulier du mode principal + certificats pour les tunnels
à destination de nomades. En effet la PKI interne du firewall peut tout à fait
fournir les certificats nécessaires à une telle utilisation.
Notez que pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il
est indispensable de suivre les mêmes règles qu'un mot de passe utilisateur décrites
dans la section Bienvenue > Sensibilisation des utilisateurs > Gestion des mots de
passe de l'utilisateur .
Le mode de secours est le mode de bascule pour le failover IPSec.
Si un serveur n'est plus accessible, un autre prend le relai, de manière transparente.
Quand le tunnel est basculé sur le correspondant de secours, deux choix sont
possibles :
Le mode « temporaire » : une fois le correspondant principal de nouveau joignable,
l
le tunnel rebascule sur celui-ci.
Le mode « permanent » : le tunnel reste sur le correspondant de secours tant qu'il
l
est fonctionnel, même si le correspondant principal est de nouveau joignable.
NOTE
Ce champ n'est éditable qu'en mode expert (CLI). Reportez-vous à la
connaissances
(version anglaise - authentification nécessaire) du support
technique pour davantage d'informations.
Objet sélectionné comme étant l'adresse IP locale utilisée pour les négociations IPSec
avec ce correspondant.
Ce champ est en « Any » par défaut, ce qui correspond au choix automatique de
l'interface, basé sur la table de routage.
Si vous cochez cette option, le serveur IPSec sera mis en attente.
Il ne prendra pas l'initiative de négociation du tunnel. Cette option est utilisée dans le
cas où le correspondant est un mobile.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
VPN IPSEC
Base de
- Liens rapides:
- Gestion des Accès des Administrateurs
Hide quick links:
Publicité
Table des Matières
