AccueilWeb Management ToolUtilisation de la communication IPsec

Utilisation de la communication IPsec

Configurez le réglage si votre environnement requiert IPsec.

La technologie IPsec empêche la falsification ou la fuite des données par paquet IP en recourant à la technologie du cryptage. Étant donné qu'IPsec crypte les données dans la couche réseau, la communication est sécurisée, même si vous utilisez des protocoles dans une couche supérieure ou des applications ne prenant pas en charge le cryptage.

  1. Sélectionnez [Réseau] - [Paramètre TCP/IP] - [IPsec] - [Réglages IPsec] en mode administrateur de Web Connection (ou dans [Utilitaires] - [Administrateur] de cette machine) et cliquez sur [OK].

  2. Cliquez sur [Modifier] dans [IKEv1] ou [IKEv2] in [Réglage IPsec] et configurez les réglages suivants.

    Configuration

    Description

    [Algorithme Cryptage]

    Sélectionnez l'algorithme de cryptage pour créer une clé commune utilisée pour la communication.

    [Algorithme Authentification]

    Sélectionnez l'algorithme d'authentification pour créer une clé commune utilisée pour la communication.

    [Période de validité clé de cryptage]

    Spécifiez la période de validité d'une clé commune afin de créer de manière sécurisée une clé commune utilisée pour crypter les communications (par défaut : [28800] s).

    Après expiration de cette période, une nouvelle clé est créée. Ce qui permet de sécuriser la communication.

    [Groupe Diffie-Hellman]

    Sélectionnez le groupe Diffie-Hellman (par défaut : [Groupe 2]).

    [Mode Négociation]

    Sélectionnez le mode de négociation (par défaut : [Mode Comm]). Cette option n'est pas disponible dans [IKEv2].

  3. Depuis [SA] dans [Réglages IPsec], cliquez sur [Enregistrement] et enregistrez l'association de sécurité (SA).

    • Il est possible d'enregistrer jusqu'à 10 groupes pour la SA.

    Configuration

    Description

    [Nom]

    Entrez le nom de la SA (1 à 10 caractères, à l'exclusion de ").

    [Mode Encapsulation]

    Sélectionnez le mode opératoire (par défaut : [Transport]).

    [Protocole sécurité]

    Sélectionnez un protocole de sécurité.

    [Méthode Échange Touche]

    Sélectionnez la méthode de remplacement de la clé afin de créer de manière sécurisée une clé commune utilisée pour crypter les communications (par défaut : [IKEv1]).

    [Point de fin du tunnel]

    Si [Tunnel] est sélectionné dans [Mode Encapsulation], entrez l'adresse IP de la passerelle IPsec utilisée comme homologue (peer).

    [Durée de vie après établissement SA]

    Entrez la durée de vie d'une clé commune utilisée pour crypter les communications (par défaut : [3600] s).

    [Réglages IKE]

    Configurez les réglages IKE utilisés pour cette SA. Cette configuration est requise lorsque vous sélectionnez [IKEv1] ou [IKEv2] dans [Méthode échange touche].

    • [Méthode d'authentification] : sélectionnez la Méthode d'authentification.

    • [Méthode authentific. locale] : sélectionnez la méthode d'authentification de la machine quand [IKEv2] est sélectionné dans [Méthode échange clé].

    • [Méthode d'authentification peer] : sélectionnez la méthode d'authentification peer quand [IKEv2] est sélectionné dans [Méthode échange clé].

    • [ESN]  : pour utiliser le numéro de séquence étendu 64 bits, réglez cette option sur Oui.

    • [Détection relecture] : pour activer la défense de relecture, réglez cette option sur Oui.

    • [Algorithme cryptage ESP] : si vous sélectionnez [ESP] comme [protocole de sécurité], configurez l'algorithme de cryptage ESP.

    • [Algorithme authentification ESP] : si vous sélectionnez [ESP] comme [protocole de sécurité], configurez l'algorithme d'authentification ESP.

    • [Algorithme authentification AH] : si vous sélectionnez [AH] comme [protocole de sécurité], configurez l'algorithme d'authentification AH.

    • [Confidentialité parfaite Transfert] : pour augmenter l'intensité IKE, réglez cette option sur Oui. L'activation de cette option augmente la durée de communication.

  4. Depuis [Peer] dans [Configuration IPsec], cliquez sur [Enregistrement] et enregistrez les homologues de cette machine.

    • Vous pouvez enregistrer jusqu'à 10 homologues.

    Configuration

    Description

    [Peer]

    Pour enregistrer un homologue, réglez cette option sur Oui (par défaut : Non).

    [Nom]

    Entrez le nom d'homologue (1 à 10 caractères, à l'exclusion de ").

    [Définir adresse IP]

    Sélectionnez la méthode permettant de spécifier l'adresse de l'homologue. Spécifiez l'adresse IP de l'homologue en fonction de la méthode sélectionnée.

    [Texte Clé commune]

    Saisissez le texte Clé commune à partager avec l'homologue en utilisant jusqu'à 128 caractères ASCII ou 256 caractères hexadécimaux.

    Spécifiez le même texte que celui pour l'homologue.

    [Texte ID Clé]

    Entrez l'ID clé à spécifier pour la clé prépartagée (128 octets max.).

  5. Depuis [Spécification Protocole] dans [Configuration IPsec], cliquez sur [Enregistrement] et spécifiez le protocole utilisé pour la communication IPsec.

    • Vous pouvez spécifier jusqu'à 10 protocoles.

    Configuration

    Description

    [Spécification Protocole]

    Pour enregistrer la configuration du protocole, réglez cette option sur Oui (par défaut : Non).

    [Nom]

    Entrez le nom de groupe spécifiant le protocole (1 à 10 caractères, hormis ").

    [Paramètres Identification Protocole]

    Sélectionnez un protocole utilisé pour la communication IPsec (par défaut : [Aucune sélection]).

    [Numéro de port]

    Si [TCP] ou [UDP] a été sélectionné dans [Paramètres Identification Protocole], spécifiez le numéro de port utilisé pour la communication IPsec.

    [Type de message ICMP]

    Spécifiez le type de message ICMP quand [ICMP] est sélectionné dans [Paramètres Identification Protocole].

    [Type de message ICMPv6]

    Spécifiez le type de message ICMP quand [ICMPv6] est sélectionné dans [Paramètres identification protocole].

  6. Sélectionnez [Réseau] - [Paramètre TCP/IP] - [IPsec] - [Réglages utilisation IPsec] en mode administrateur de Web Connection (ou dans [Utilitaires] - [Administrateur] de cette machine) et cliquez sur [OK].

  7. Dans [Réglages Utilisation IPsec], configurez les réglages suivants.

    Configuration

    Description

    [IPsec]

    Si vous utilisez IPsec, réglez cette option sur Oui (par défaut : Non).

    [Détection Peer Mort]

    Si aucune réponse de la part de l'homologue ne peut être confirmée au cours d'une période donnée, la SA comprenant l'homologue est supprimée. Sélectionnez le délai avant envoi des informations de confirmation d'activité à l'homologue qui n'a pas répondu (par défaut : [15] s).

    [Cookies]

    Indiquez si vous souhaitez activer la défense d'utiliser des cookies contre les attaques par déni de service (par défaut : [Désactiver]).

    [Réglages passage ICMP]

    Indiquez si vous souhaitez appliquer IPsec au protocole Internet Control Message Protocol (ICMP) (par défaut : [Désactiver]). Sélectionnez [Activer] pour autoriser le passage des paquets ICMP sans appliquer IPsec à ICMP.

    [Réglages passage ICMPv6]

    Indiquez si vous souhaitez appliquer IPsec au protocole Internet Control Message Protocol pour IPv6 (CMPv6) (par défaut : IPv6 ICMPv6 [Désactiver]). Sélectionnez [Activer] pour autoriser le passage des paquets ICMPv6 sans appliquer IPsec à ICMPv6.

    [action par défaut]

    Sélectionnez une action à entreprendre si aucun réglage ne répond à la [Politique IPsec] alors que la communication IPsec est activée (par défaut : [Autoriser]). Sélectionnez [Interdit] pour rejeter les paquets IP qui ne satisfont pas aux réglages [Politique IPsec].

    [Réglages Niveau Vérification Certificat]

    Pour vérifier le certificat, sélectionnez les éléments à vérifier.

    • [Date d'expiration] : confirmez si le certificat se situe dans la période de validité (par défaut : Oui).

    • [Utilisation de la clé] : vérifiez si le certificat est utilisé conformément à l'utilisation prévue approuvée par l'émetteur du certificat (par défaut : Non).

    • [Chaîne] : confirmez s'il y a un problème dans la chaîne du certificat (chemin du certificat) (par défaut : Non). La chaîne est validée par référencement des certificats externes gérés sur cette machine.

    • [Confirmation Date d'expiration] : confirmez si le certificat a expiré (par défaut : Non). La confirmation de la date d'expiration du certificat s'effectue dans l'ordre du service OCSP (Online Certificate Status Protocol), puis CRL (Certificate Revocation List).

  8. Depuis [Politique IPsec] dans [Réglages Utilisation IPsec], cliquez sur [Enreg.] et configurez les réglages suivants.

    • Les conditions des paquets IP peuvent être spécifiées pour laisser passer ou autoriser les paquets IP qui répondent à chacune des conditions.

    Configuration

    Description

    [Politique IPsec]

    Indiquez si vous souhaitez utiliser la politique IPsec (par défaut : [Désactiver]).

    [Nom]

    Entrez le nom de la politique IPsec (1 à 10 caractères, à l'exclusion de ").

    [Peer]

    Sélectionnez un réglage Peer. Sélectionnez le réglage parmi ceux enregistrés dans [Peer] dans [Réglages IPsec].

    [Spécification Protocole]

    Sélectionnez un protocole. Sélectionnez le réglage parmi ceux enregistrés dans [Spécification Protocole] dans [Réglages IPsec].

    [Réglages IPsec]

    Sélectionnez un réglage SA. Sélectionnez le réglage parmi ceux enregistrés dans [SA] dans [Réglages IPsec].

    [Direction communication]

    Sélectionnez une direction de la communication IPsec.

    [action]

    Sélectionnez l'opération du paquet IP qui correspond à la condition spécifiée.

    • [Protégé] : protégez les paquets IP qui répondent aux conditions.

    • [Autoriser] : ne protégez pas les paquets IP qui répondent aux conditions.

    • [Interdit] : rejetez les paquets IP qui répondent aux conditions.

    • [Annuler] : refusez les paquets IP qui répondent aux conditions.

  9. Sélectionnez [IPsec] - [Contrôle communication] et vérifiez que la connexion avec l'homologue a pu être établie normalement par le réglage configuré.

    • Entrez l'adresse IP du peer dans [Adresse IP], puis cliquez sur [Vérif connex.]