Utilisation de la communication IPsec
Configurez le réglage si votre environnement requiert IPsec.
La technologie IPsec empêche la falsification ou la fuite des données par paquet IP en recourant à la technologie du cryptage. Étant donné qu'IPsec crypte les données dans la couche réseau, la communication est sécurisée, même si vous utilisez des protocoles dans une couche supérieure ou des applications ne prenant pas en charge le cryptage.
En mode Administrateur, sélectionnez [Réseau] - [Paramètre TCP/IP] - [IPsec] - [Réglages IPsec], puis cliquez sur [OK].
Cliquez sur [Modifier] dans [IKEv1] ou [IKEv2] in [Réglage IPsec] et configurez les réglages suivants.
Paramètres
Description
[Algorithme d'encryptage]
Sélectionnez l'algorithme de cryptage pour créer une clé commune utilisée pour la communication.
[Algorithme d'authentification]
Sélectionnez l'algorithme d'authentification pour créer une clé commune utilisée pour la communication.
[Période de validité clé de cryptage]
Spécifiez la période de validité d'une clé commune afin de créer de manière sécurisée une clé commune utilisée pour crypter les communications.
Après expiration de cette période, une nouvelle clé est créée. Ce qui permet de sécuriser la communication.
[Groupe Diffie-Hellman]
Sélectionnez le groupe Diffie-Hellman.
[Mode Négociation]
Sélectionnez la méthode permettant de créer de manière sécurisée une clé commune utilisée pour crypter les communications.
Depuis [SA] dans [Réglages IPsec], cliquez sur [Créer] et enregistrez l'association de sécurité (SA).
Il est possible d'enregistrer jusqu'à 10 groupes pour la SA.Paramètres
Description
[Nom]
Entrez le nom de la SA (1 à 10 caractères, à l'exclusion de ").
[Mode d'encapsulation]
Sélectionnez un mode de fonctionnement IPsec.
[Protocole de sécurité]
Sélectionnez un protocole de sécurité.
[Méthode échange clé]
Sélectionnez la méthode de remplacement de la clé afin de créer de manière sécurisée une clé commune utilisée pour crypter les communications.
[Point de fin du tunnel]
Entrez l'adresse IP de la passerelle IPsec du peer.
Cela est nécessaire si vous avez sélectionné [Tunnel] dans [Mode d'encapsulation].
[Durée de vie après établissement SA]
Saisissez la durée de vie d'une clé commune utilisée pour crypter les communications.
[Réglages IKE]
Configurez les réglages IKE utilisés pour cette SA.
Cela est nécessaire si vous avez sélectionné [IKEv1] ou [IKEv2] dans [Méthode échange clé].
[Méthode d'authentification]
Sélectionnez une méthode d'authentification.
[Méthode authentific locale]
Sélectionnez la méthode d'authentification de la machine quand [IKEv2] est sélectionné dans [Méthode échange touche].
[Méthode d'authentification peer]
Sélectionnez la méthode d'authentification peer quand [IKEv2] est sélectionné dans [Méthode échange touche].
[Algorithme Cryptage ESP]
Si vous sélectionnez [ESP] pour le [Protocole de sécurité], configurez l'algorithme de cryptage ESP.
[Algorithme Authentification ESP]
Si vous sélectionnez [ESP] pour le [Protocole de sécurité], configurez l'algorithme d'authentification ESP.
[Algorithme Authentification AH]
Si vous sélectionnez [AH] pour le [Protocole de sécurité], configurez l'algorithme d'authentification AH.
[Confidentialité parfaite Transfert]
Cochez cette case si vous souhaitez augmenter la puissance IKE.
Si vous cochez cette case, la durée de communication augmente.
[Groupe Diffie-Hellman(IKEv1)]/[Groupe Diffie-Hellman(IKEv2)]
Sélectionnez le groupe Diffie-Hellman.
[Réglages clé manuelle]
Si vous utilisez un périphérique qui ne supporte pas l'échange de clé automatique avec IKE, configurez chaque paramètre manuellement.
Cela est nécessaire si vous avez sélectionné [Clé Manuelle] dans [Méthode échange clé].
[Algorithme d'encryptage]
Sélectionnez l'algorithme à utiliser pour le cryptage.
[Algorithme d'authentification]
Sélectionnez l'algorithme à utiliser pour l'authentification.
[Index SA]
Spécifiez l'index de paramètre de sécurité SA à ajouter à l'en-tête IPsec.
[Clé de cryptage commune]
Spécifiez la clé commune utilisée pour le cryptage.
Vous pouvez spécifier différentes clés communes pour l'envoi et la réception.
[Clé d'authentification commune]
Spécifiez la clé commune utilisée pour l'authentification.
Vous pouvez spécifier différentes clés communes pour l'envoi et la réception.
Depuis [Peer] dans [Réglages IPsec], cliquez sur [Créer] et enregistrez les homologues de cette machine.
Vous pouvez enregistrer jusqu'à 10 homologues.Paramètres
Description
[Nom]
Entrez le nom d'homologue (1 à 10 caractères, à l'exclusion de ").
[Définir adresse IP]
Spécifier l'adresse IP du peer.
[Texte Clé commune]
Entrez le texte de clé commune à partager avec l'homologue (peer).
[ASCII] : entrez le texte de clé commune avec des caractères ASCII (128 max.).- [HEX] : entrez le texte de clé commune avec des caractères hexadécimaux (256 max.).
Spécifiez le même texte que celui pour l'homologue.
[Texte ID Clé]
Saisissez l'ID de clé à spécifier pour la clé prépartagée (128 caractères max.).
Depuis [Spécification Protocole] dans [Réglages IPsec], cliquez sur [Créer] et spécifiez le protocole utilisé pour la communication IPsec.
Vous pouvez spécifier jusqu'à 10 protocoles.Paramètres
Description
[Nom]
Entrez le nom du protocole (1 à 10 caractères, à l'exclusion de ").
[Paramètres Identification Protocole]
Sélectionnez un protocole utilisé pour la communication IPsec.
[Numéro de port]
Si [TCP] ou [UDP] a été sélectionné dans [Paramètres Identification Protocole], spécifiez le numéro de port utilisé pour la communication IPsec.
[Type de message ICMP]
Sélectionnez le type de message ICMP quand [ICMP] est sélectionné dans [Paramètres Identification Protocole].
- [Deman écho/Réponse] : spécifiez un message ICMP pour une demande d'écho ou une réponse.
- [Aucune sélection] : vous ne spécifiez pas le type de message ICMP.
[Type de message ICMPv6]
Sélectionnez le type de message ICMP quand [ICMPv6] est sélectionné dans [Paramètres identification protocole].
- [Deman écho/Réponse] : spécifiez un message ICMP pour une demande d'écho ou une réponse.
- [Aucune sélection] : vous ne spécifiez pas le type de message ICMP.
En mode Administrateur, sélectionnez [Réseau] - [Paramètre TCP/IP] - [IPsec] - [Réglages Utilisation IPsec], puis cliquez sur [OK].
Dans [Réglages Utilisation IPsec], configurez les réglages suivants.
Paramètres
Description
[IPsec]
Sélectionnez [ON] pour utiliser IPsec.
[Détection Peer Mort]
Si aucune réponse de la part de l'homologue ne peut être confirmée au cours d'une période donnée, la SA comprenant l'homologue est supprimée.
Sélectionnez le temps qui doit s'écouler avant l'envoi des informations de confirmation de la survie à l'homologue qui n'a pas répondu.
[Cookies]
Indiquez si vous souhaitez activer la défense en utilisant des cookies contre les attaques par déni de service.
[Réglages passage ICMP]
Indiquez si vous souhaitez appliquer IPsec au protocole Internet Control Message Protocol (ICMP).
Sélectionnez [Activer] pour autoriser le passage des paquets ICMP sans appliquer IPsec à ICMP.
[Réglages passage ICMPv6]
Indiquez si vous souhaitez appliquer IPsec au protocole Internet Control Message Protocol for IPv6 (ICMPv6).
Sélectionnez [Activer] pour autoriser le passage des paquets ICMPv6 sans appliquer IPsec à ICMPv6.
[Action par défaut]
Sélectionnez une action à entreprendre si aucun réglage ne répond à la [Politique IPsec] alors que la communication IPsec est activée.
Sélectionnez [Interdire] pour rejeter les paquets IP qui ne satisfont pas aux réglages [Politique IPsec].
[Réglages Niveau Vérification Certificat]
Pour vérifier le certificat, sélectionnez les éléments à vérifier.
Si vous sélectionnez [Confirmer] à chaque élément, le certificat est vérifié pour chaque élément.
[Période de validité]
Vérifiez si le certificat est encore valide.
[Confirmer] est spécifié par défaut.
[Utilisation Touche]
Vérifiez si le certificat est utilisé conformément à l'utilisation prévue approuvée par l'émetteur du certificat.
[Ne pas confirmer] est spécifié par défaut.
[Chaîne]
Vérifiez si la chaîne du certificat (chemin du certificat) présente un problème.
La chaîne est validée par référencement des certificats externes gérés sur cette machine.
[Ne pas confirmer] est spécifié par défaut.
[Confirmation Date d'expiration]
Vérifiez si le certificat a expiré.
Vérifiez l'expiration du certificat dans l'ordre suivant.
- Service OCSP (Online Certificate Status Protocol)
- CRL (Certificate Revocation List)
[Ne pas confirmer] est spécifié par défaut.
Depuis [Politique IPsec] dans [Réglages Utilisation IPsec], cliquez sur [Créer], puis configurez les paramètres suivants.
Les conditions des paquets IP peuvent être spécifiées pour laisser passer ou autoriser les paquets IP qui répondent à chacune des conditions.Paramètres
Description
[Nom]
Entrez le nom de la politique IPsec (1 à 10 caractères, à l'exclusion de ").
[Peer]
Sélectionnez un réglage peer.
Sélectionnez le réglage parmi ceux enregistrés dans [Peer] dans [Réglages IPsec].
[Réglage Protocole]
Sélectionnez un protocole.
Sélectionnez le réglage parmi ceux enregistrés dans [Spécification Protocole] dans [Réglages IPsec].
[Réglages IPsec]
Sélectionnez un réglage peer.
Sélectionnez le réglage parmi ceux enregistrés dans [SA] dans [Réglages IPsec].
[Direction communication]
Sélectionnez une direction de la communication IPsec.
[action]
Sélectionnez une action à entreprendre pour les paquets IP qui répondent aux conditions [Peer], [Réglage Protocole] et [Direction communication].
- [Protégé] : protégez les paquets IP qui répondent aux conditions.
- [Permettre] : ne protégez pas les paquets IP qui répondent aux conditions.
- [Interdire] : rejetez les paquets IP qui répondent aux conditions.
- [Annuler] : refusez les paquets IP qui répondent aux conditions.
En mode administrateur, sélectionnez [Réseau] - [Paramètre TCP/IP] - [IPsec] - [Contrôle communication], puis assurez-vous qu'une communication avec un homologue (peer) peut être établie normalement via le réglage spécifié.
Entrez l'adresse IP du peer sous [Adresse IP], puis cliquez sur [Vérif connexion].