Publicité
Les algorithmes cryptographiques d'IKE et d'IPsec mis en œuvre doivent être :
l
Identification
Authentification /
Intégrité
Négociation de clé
Chiffrement
(1) : Pour une utilisation au delà de l'année 2030, la taille minimale d'une clé RSA doit être
de 3072 bits.
(2) : Bien que l'usage de RSA soit prohibé dans un environnement DR, un certificat racine
RSA peut être utilisé pour signer un certificat intermédiaire, dédié à IPsec par exemple, à
partir du moment où l'autorité de certification utilisée comme ancre de confiance sur le
firewall est le certificat intermédiaire.
Ces algorithmes cryptographiques sont nécessaires pour la conformité au Référentiel
général de sécurité (RGS) défini par l'ANSSI.
Notez bien que les recommandations sur la mise en œuvre du mode IPsec renforcé, appelé
Diffusion Restreinte (DR), en conformité avec le référentiel de l'ANSSI à propos de l'IPsec
DR, sont détaillées dans la
1.2 Sensibilisation des utilisateurs
1.2.1 Gestion des accès des administrateurs
L'administrateur de l'appliance firewall-VPN est responsable de la formation des utilisateurs
quant à la sécurité du réseau, des équipements qui le composent et des informations qui y
transitent.
En effet, la plupart des utilisateurs d'un réseau sont néophytes en informatique et à fortiori en
sécurité des réseaux. Il incombe donc à l'administrateur ou au responsable de la sécurité du
réseau de mettre en place des sessions de formation ou tout du moins des campagnes de
sensibilisation à la sécurité des réseaux.
Lors de ces sessions, il est important d'insister sur la gestion des mots de passe de l'utilisateur
et de son environnement de travail et la gestion de leurs accès aux ressources de l'entreprise,
comme indiqué dans la section suivante.
Première connexion au boîtier
La première connexion au boîtier nécessite une procédure de sécurisation si celle-ci s'effectue
au travers d'un réseau qui ne soit pas de confiance. Cette opération n'est pas nécessaire si la
station d'administration est branchée directement au produit.
L'accès au portail d'administration est sécurisé via le protocole SSL/TLS. Cette protection
permet d'authentifier le portail via un certificat, assurant ainsi à l'administrateur qu'il est bien
connecté au boîtier désiré. Ce certificat peut être le certificat par défaut du boitier ou celui
renseigné dans sa configuration (Authentification > Portail captif).
Page 17/524
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
Standard IPsec
Clé pré-partagée ou certificat avec
une clé RSA ou ECDSA ( 1 )
SHA-2 en 256, 384 ou 512 bits
Groupes Diffie-Hellman
14,15,16,17,18,19,20,21,28,29,30.
AES en 128, 192 ou 256 bits en mode
CBC, CTR ou GCM
Note technique SNS "IPsec - mode Diffusion
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
1. BIENVENUE
IPsec DR
Certificat avec une clé ECDSA
ou ECDSA ( 2 )
SHA-2 en 256 bits
Groupe Diffie-Hellman 28
AES en 256 bits en mode GCM
ou CTR
Restreinte".
Publicité
