Publicité
Activer le mode
« Diffusion
Restreinte (DR) »
version 2020
Page 95/524
L'option Activer le mode « Diffusion Restreinte (DR) » version 2020 impose au
firewall de respecter les recommandations de l'ANSSI (Agence Nationale de la
Sécurité des Systèmes d'Information) concernant l'usage des coprocesseurs et
accélérateurs cryptographiques dans les produits visant une qualification. Elle est
impérative sur les réseaux répondant à la classification « Diffusion Restreinte ».
Ce mode repose notamment sur l'utilisation de versions logicielles pour les
algorithmes de cryptographie (asymétrique, génération d'aléa et symétrique).
Concernant les algorithmes de cryptographie symétrique, les instructions dites "AES-
NI", disponibles sur certains produits, bénéficient d'une dérogation car elles sont
uniquement constituées d'« instructions simples d'accélération » de certaines
opérations cryptographiques.
L'activation du mode « Diffusion Restreinte (DR) » en version SNS 4.6.4 implique les
comportements suivants :
IPsec : seule l'authentification par certificat est autorisée.
l
IPsec : les certificat utilisés (du certificat final jusqu'à la CA de confiance
l
commune) doivent respecter les spécifications suivantes: signature ECDSA ou
ECSDSA sur courbe SECP ou Brainpool, et SHA256 comme algorithme de hachage.
IPsec : vérification que le firewall utilise bien la version 2 du protocole IKE.
l
IPsec : vérification que le champ ID du correspondant est renseigné.
l
IPsec : vérification que les algorithmes de chiffrement utilisés appartiennent bien
l
aux groupes DH19 et DH28 (SECP et Brainpool 256).
IPsec : vérification que l'algorithme de chiffrement utilisé est soit AES_GCM_16
l
(AEAD : Authenticated Encryption with Associated DATA. AES_GCM_16 n'est donc
associé à aucun algorithme d'authentification), soit AES_CTR, impérativement
associé au protocole d'authentification SHA256.
IPsec : la vérification de révocation des certificats doit être active.
l
IPsec : la taille de la fenêtre d'anti-rejeu ne doit pas être nulle.
l
IPsec : l'algorithme de Pseudo-Random Function (PRF) doit être SHA256.
l
IMPORTANT
Lorsqu'une des conditions énoncées ci-dessus n'est pas respectée, la
configuration IPsec non conforme est désactivée et le message suivant est
affiché :
"Le mode 'Diffusion Restreinte' a désactivé la configuration VPN IPsec non
conforme".
Ceci afin d'inciter l'administrateur à modifier la politique IPsec afin de pouvoir
l'activer.
Sur les firewalls équipés de processeurs Intel, le mode « Diffusion Restreinte
l
(DR) » permet l'utilisation des jeux d'instructions cryptographiques matérielles du
coprocesseur. Sur les firewalls équipés d'autres types de processeurs, le mode
« Diffusion Restreinte (DR) » force la désactivation de ces jeux d'instructions, ce
qui entraîne des baisses de performances lors du chiffrement.
Le mode « Diffusion Restreinte (DR) » restreint les suites de chiffrement
l
utilisables pour le portail d'authentification et le VPN SSL : seules les suites de
chiffrement AES, SHA256, SHA384 et GCM sont autorisés.
NOTE
L'activation du mode « Diffusion Restreinte (DR) » nécessite un redémarrage
du firewall.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
12. CONFIGURATION
Publicité
