Stormshield SN160 Manuel D'utilisation Et De Configuration page 427

Chiffrement
Algorithme
Force
Authentification
Algorithme
Force
Profil de type IPSec
Pour chaque profil IPSec ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à
droite de l'écran (champs « Général », « Propositions d'authentification » et « Propositions de
chiffrement »).
Général
Commentaire
Diffie Hellman
Durée de vie (en
secondes)
Page 425/464
6 choix vous sont proposés : des, 3des, blowfish, cast128, aes et aes_gcm_16.
L'algorithme aes_gcm-16 présente l'avantage de réaliser à la fois l'authentification et le
chiffrement. Il n'est donc pas proposé de choisir un algorithme d'authentification dans ce
cas.
Nombre de bits définis pour l'algorithme sélectionné.
5 choix vous sont proposés : sha1, md5, sha2_256, sha2_384, sha2_512.
Nombre de bits définis pour l'algorithme sélectionné.
Description associée à votre profil de chiffrement.
Ce champ représente deux types d'échange de clé: si vous avez sélectionné un profil de
chiffrement type IKE, c'est l'option Diffie-Hellman qui apparaîtra.
Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret
commun, sans transmission d'informations sensibles sur le réseau.
En complément, si vous optez pour un profil IPSec, le PFS vous sera proposé.
Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes
clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman
sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est
importante.
Que vous choisissiez l'un ou l'autre, une liste déroulante vous propose de définir un nombre
de bits qui permet de renforcer la sécurité lors de la transmission du secret commun ou mot
de passe d'un correspondant à l'autre. Des algorithmes de chiffrement basés sur des
courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature Algorithm) peuvent
également être sélectionnés.
NOTE
Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est
indispensable de suivre les mêmes règles qu'un mot de passe utilisateur décrites
dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe
Gestion des mots de passe de l'utilisateur.
REMARQUE
Plus la taille du mot de passe (ou « clé ») est grande, plus le niveau de sécurité est
élevé, mais consomme aussi davantage de ressources.
NOTE
La fonction PFS d'IPSEC (isakmp) est recommandée.
Période de temps au bout de laquelle les clés sont renégociées. La durée de vie par défaut
pour un profil de type IKE est 21600 secondes, et 3600 secondes pour un profil de type
IPSec.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
VPN IPSEC