Rubriques Connexes
À propos des groupes Diffie-Hellman
Les groupes Diffie-Hellman déterminent la force de la clé utilisée dans le processus d'échange de clés. Les groupes portant un numéro supérieur sont plus sûrs, mais il faut plus de temps pour créer la clé.
Fireware prend en charge ces groupes Diffie-Hellman :
- Groupe Diffie-Hellman 1 : groupe 768 bits
- Groupe Diffie-Hellman 2 : groupe 1 024 bits
- Groupe Diffie-Hellman 5 : groupe 1 536 bits
- Groupe Diffie-Hellman 14 : groupe 2 048 bits
- Groupe Diffie-Hellman 15 : groupe 3 072 bits
- Groupe Diffie-Hellman 19 : groupe de courbe elliptique 256 bits
- Groupe Diffie-Hellman 20 : groupe de courbe elliptique 384 bits
Les deux pairs d'un échange VPN doivent utiliser le même groupe, qui est négocié pendant la phase 1 du processus de négociation IPSec. Lorsque vous définissez un tunnel BOVPN manuel, vous spécifiez le groupe Diffie-Hellman pendant la phase de création d'une connexion IPSec. Cette phase désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer.
Groupes Diffie-Hellman et Perfect Forward Secrecy (PFS)
Outre la Phase 1, vous pouvez également spécifier le groupe Diffie-Hellman à utiliser pendant la Phase 2 d'une connexion IPSec. La configuration de phase 2 comprend les paramètres d'une association de sécurité, qui définit la manière dont les paquets de données sont sécurisés lorsqu'ils sont transmis entre deux points de terminaison. Vous ne spécifiez le groupe Diffie-Hellman pendant la phase 2 que lorsque vous sélectionnez la confidentialité Perfect Forward Secrecy (PFS)
Avec cette confidentialité, les clés sont plus sûres, car les nouvelles clés ne sont pas créées à partir des précédentes. Si une clé est comprise, les clés de la nouvelle session sont tout de même sécurisées. Lorsque vous spécifiez la confidentialité PFS pendant la phase 2, il y a un échange Diffie-Hellman à chaque nouvelle négociation d'une association de sécurité.
Il n'est pas nécessaire que le groupe choisi pour la phase 2 corresponde au groupe choisi pour la phase 1.
Comment choisir un groupe Diffie-Hellman
Le groupe Diffie-Hellman 2 est le groupe Diffie-Hellman par défaut des Phases 1 et 2 pour les tunnels Branch Office VPN et les interfaces virtuelles BOVPN. Il garantit une sécurité de base et une bonne performance. Si la lenteur d'initialisation du tunnel et de renouvellement des clés n'est pas un problème, utilisez le groupe Diffie-Hellman le plus élevé. La vitesse réelle d'initialisation et de renouvellement dépend de plusieurs facteurs. Il peut s'avérer utile d'essayer les groupes Diffie-Hellman les plus élevés pour décider si le ralentissement des performances est un problème pour votre réseau. Si le niveau de performance est inacceptable, optez pour un groupe inférieur.
Voir aussi
Configurer les Paramètres IPSec de Phase 1