Publicité
56. VPN IPsec
Protocole standard, l'IPsec (IP Security) permet la création de tunnels VPN entre deux
machines, entre une machine et un réseau, entre deux réseaux et tout type d'objet supportant
le protocole.
Les services proposés par l'IPsec Stormshield Network offrent le contrôle d'accès, l'intégrité en
mode non connecté, l'authentification de l'origine des données, la protection contre le rejeu, la
confidentialité au niveau du chiffrement et sur le flux de trafic. Vous pouvez par exemple créer
un tunnel entre deux firewalls ou entre le firewall et des clients nomades sur lesquels seraient
installés des clients VPN.
56.0.1 Recommandations
Lorsqu'un VPN IPsec est configuré, il est recommandé de :
Configurer une route statique à destination de la boucle locale (blackholing) pour joindre
l
les réseaux distants accessibles au travers de tunnels VPN IPsec,
S'assurer que la politique IPsec n'est jamais désactivée y compris lors de phases
l
transitoires,
S'assurer que les règles de filtrage sont toujours plus spécifiques que les règles de NAT
l
avant IPsec,
S'assurer que les flux (adresse IP source et destination) après la translation (NAT)
l
correspondent à la politique IPsec,
S'assurer qu'en l'absence de règles de NAT, les règles de filtrage sont toujours plus
l
spécifiques que la politique IPsec.
56.0.2 Mécanisme d'optimisation des opérations de chiffrement et déchiffrement
Le service IPsec bénéficie d'un mécanisme destiné à optimiser la répartition des opérations de
chiffrement et de déchiffrement. Son but est d'améliorer de manière notable les débits IPsec
notamment dans le cas d'une configuration comportant un seul tunnel IPsec.
Il dispose de 3 modes de configuration :
Mode Automatique
(auto)
Mode Activé (1)
Mode Désactivé (0)
Page 461/524
Il s'agit du mode par défaut. Il permet au mécanisme d'optimisation de s'enclencher
automatiquement et de manière transparente dans le cas où les deux conditions
suivantes sont remplies :
La politique IPsec active possède un seul tunnel VPN actif.
l
Le modèle de firewall supporte le mode Automatique.
l
Les modèles qui supportent le mode Automatique sont : SN510, SN710, SN2000,
SN2100, SN3000, SN3100, SN6000, SN6100 et SNi40. Pour les autres, seul le mode
Activé permet d'enclencher le mécanisme d'optimisation.
Il permet d'enclencher de manière permanente et sans condition particulière le
mécanisme d'optimisation. Il peut être paramétré sur tous les modèles de firewalls.
Son utilisation n'est pas recommandée dans le cas où une politique IPsec possède
un nombre important de tunnels VPN actifs. De manière générale, assurez-vous que
l'utilisation du mode Activé n'affecte pas la qualité de votre service.
Il permet de désactiver de manière permanente le mécanisme d'optimisation.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
56. VPN IPSEC
Publicité
