Stormshield SN160 Manuel D'utilisation Et De Configuration page 422

Configuration avancée
Mode de négociation
Mode de secours
Adresse locale
Ne pas initier le tunnel
(Responder-only) :
Page 420/464
En IPSec, 2 modes de négociation sont possibles : le mode principal (ou « main »
mode) et le mode agressif. Ils influent notamment sur la « phase 1 » du protocole IKE
(phase « d'authentification »).
Mode principal : Dans ce mode, la phase 1 se déroule en 6 échanges. La machine
distante ne peut être identifiée que par son adresse IP avec une authentification en
clé pré-partagée.
En mode PKI, l'identifiant est dans le certificat. Le mode principal assure l'anonymat.
Mode agressif : dans ce mode, la phase 1 se déroule en 3 échanges entre le firewall et
la machine distante. La machine distante peut être identifiée avec une adresse IP,
FQDN ou une adresse mail mais pas avec un certificat par clé pré-partagée. Le mode
agressif n'assure pas l'anonymat.
NOTE
Le firewall paramètre automatiquement l'utilisation des méthodes
d'authentification par certificat, hybride ou XAuth en mode principal.
Si le client veut utiliser la PSK, il doit se positionner en mode agressif.
AVERTISSEMENT
L'utilisation du mode agressif + les clés pré-partagées (notamment pour les
tunnels VPN à destination de nomades) peut se révéler moins sécurisé que les
autres modes du protocole IPSec. Ainsi Stormshield Network recommande pour
les correspondants mobiles, l'utilisation du mode principal, soit avec une
authentification par certificats, soit en utilisant la méthode hybride.
Dans le cas d'une authentification par certificats, la PKI interne du firewall peut
tout à fait fournir les certificats nécessaires à une telle utilisation.
NOTE
Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est
indispensable de suivre les mêmes règles qu'un mot de passe utilisateur
décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs,
paragraphe Gestion des mots de passe de l'utilisateur.
Le mode de secours est le mode de bascule pour le failover IPSec, si un serveur n'est
plus accessible, un autre prend le relai, de manière transparente.
Néanmoins, ici, le champ est grisé car la configuration de secours n'est pas applicable
pour une configuration nomade.
NOTE
Ce champ n'est éditable qu'en mode expert (CLI). Reportez-vous à la
connaissances (version anglaise) du support technique pour davantage
d'informations (How can I modify the backup mode for a specific IPSec peer ?).
Objet sélectionné comme étant l'adresse IP locale utilisée pour les négociations IPSec
avec ce correspondant.
Ce champ est en « Any » par défaut.
Cette case est grisée et validée, car il est impossible d'initier un tunnel vers un client
mobile dont l'adresse IP est inconnue. Dans cette configuration, le firewall est donc en
mode de réponse uniquement.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
VPN IPSEC
Base de