Publicité
Profil IPsec
Pour chaque profil IPsec ajouté ou sélectionné, vous verrez apparaître ses caractéristiques à
droite de l'écran (champs « Général », « Propositions d'authentification » et « Propositions de
chiffrement »).
Général
Commentaire
Diffie Hellman
Durée de vie
(en secondes)
Propositions d'authentification
Cette grille vous propose de modifier ou d'ajouter des algorithmes d'authentification à la liste
pré-établie du profil sélectionné.
Ajouter
Supprimer
Page 481/524
Description associée à votre profil de chiffrement.
Ce champ représente deux types d'échange de clé: si vous avez sélectionné un profil de
chiffrement type IKE , c'est l'option Diffie-Hellman qui apparaîtra.
Diffie-Hellman permet à 2 correspondants de générer chacun de leur côté un secret
commun, sans transmission d'informations sensibles sur le réseau.
En complément, si vous optez pour un profil IPsec , le PFS vous sera proposé.
Le Perfect Forward Secrecy permet de garantir qu'il n'y a aucun lien entre les différentes
clés de chaque session. Les clés sont recalculées par l'algorithme de Diffie-Hellman
sélectionné. Plus le nombre indiquant la taille de la clé est élevée, plus la sécurité est
importante.
Que vous choisissiez l'un ou l'autre, une liste déroulante vous propose de définir un
nombre de bits qui permet de renforcer la sécurité lors de la transmission du secret
commun ou mot de passe d'un correspondant à l'autre. Des algorithmes de chiffrement
basés sur des courbes elliptiques (algorithme ECDSA : Elliptic Curve Digital Signature
Algorithm) peuvent également être sélectionnés.
NOTES
Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est
l
indispensable de suivre les mêmes règles qu'un mot de passe utilisateur décrites
dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe
Gestion des mots de passe de l'utilisateur.
Plus la taille du mot de passe (ou « clé ») est grande, plus le niveau de sécurité
l
est élevé, mais consomme aussi davantage de ressources.
La fonction PFS d'IPsec (isakmp) est recommandée.
l
Période de temps au bout de laquelle les clés sont renégociées.
La durée de vie par défaut pour un profil de type IPsec est de 3600 secondes.
L'algorithme d'authentification apparaissant par défaut en cliquant sur ce bouton est
hmac_sha256, d'une « Force » de 256 bits.
Cliquez sur la flèche à droite de la colonne « Algorithme » si vous souhaitez le modifier.
Chaque fois que vous ajoutez une ligne au tableau, celle-ci passe en priorité suivante.
Sélectionnez la ligne à retirer de la liste et cliquez sur Supprimer .
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
56. VPN IPSEC
Publicité
