Contents

Rubriques Connexes

Ajouter une proposition de phase 2

Vous pouvez configurer un tunnel de sorte à offrir à un pair plusieurs propositions pour la Phase 2 de l'IKE. Par exemple, vous pouvez spécifier [ESP]-[AES256]-[SHA2-256] dans une première proposition et [ESP]-[AES128]-[SHA1] dans une deuxième proposition. Lorsque le trafic transite par le tunnel, l'association de sécurité peut utiliser [ESP]-[AES256]-[SHA2-256] ou [ESP]-[AES128]-[SHA1] afin de se conformer aux paramètres de transformation du pair. Pour plus d'informations sur ces options, consultez À propos des algorithmes et protocoles IPSec.

Vous pouvez ajouter jusqu'à huit propositions à une configuration de tunnel. Le tunnel utilise des propositions configurées dans l'ordre indiqué dans la configuration du tunnel.

Il existe six propositions de Phase 2 préconfigurées et non modifiables. Les noms sont au format <Type>-<Authentification>-<Chiffrement>. Pour toutes les six, le paramètre Forcer l'Expiration de la Clé exprimé en Heure est configuré sur 8 heures.

Une proposition de Phase 2 peut utiliser le protocole ESP (Encapsulating Security Payload) ou AH (Authentication Header). Nous vous recommandons d'utiliser ESP. Les différences entre ESP et AH sont :

  • ESP associe l'authentification au chiffrement.
  • AH s'appuie uniquement sur l'authentification. L'authentification ESP n'inclut pas la protection de l'en-tête IP, contrairement à AH.
  • La fonction de transit IPSec prend en charge le protocole ESP, mais pas le protocole AH. Si vous envisagez d'utiliser la fonction de transit IPSec, vous devez spécifier ESP comme méthode de proposition. Pour plus d'informations sur le transit IPSec, voir À propos des paramètres VPN globaux.

Créer une nouvelle proposition de phase 2.

Pour créer une nouvelle proposition de Phase 2 dans Fireware Web UI ou Policy Manager :

  1. Sélectionnez VPN > Propositions de Phase 2.
  2. Cliquez sur Ajouter.
  1. Configurez les paramètres conformément aux indications de la section suivante.
  2. Dans la zone de texte Nom, entrez le nom de la nouvelle proposition.
  3. (Facultatif) Dans la zone de texte Description, tapez une description permettant d'identifier cette proposition.
  4. Dans la liste déroulante Type, sélectionnez ESP ou AH.
  5. Dans la liste déroulante Authentification, sélectionnez la méthode d'authentification.
    Les options sont Aucun, MD5, SHA1, SHA2-256, SHA2-384, et SHA2-512. Elles sont présentées par ordre croissant, de la moins sécurisée à la plus sécurisée. Astuce !Nous vous recommandons les variantes de SHA-2, qui sont plus sécurisées que SHA-1 et MD5.

SHA-2 n'est pas pris en charge sur les périphériques XTM 21, 22, 23, 505, 510, 520, 530, 515, 525, 535, 545, 810, 820, 830, 1050 et 2050. L'accélération cryptographique matérielle de ces modèles ne prend pas en charge le SHA-2. Tous les autres modèles prennent en charge le SHA-2.

  1. Si vous avez sélectionné ESP dans la liste déroulante Type, sélectionnez la méthode de chiffrement dans la liste déroulante Chiffrement.
    Les options DES, 3DES et AES (128 bits), AES (192 bits) et AES (256 bits) sont répertoriées de la moins sécurisée à la plus sécurisée. Astuce !Nous recommandons le chiffrement AES. Pour la meilleure performance, choisissez AES (128 bit). Pour le chiffrement le plus sécurisé, choisissez AES (256 bit). Nous ne recommandons pas DES ou 3DES.
  2. Pour que les points de terminaison de passerelle génèrent et échangent de nouvelles clés après un certain laps de temps ou le passage d'un certain volume de trafic, configurez les paramètres dans la section Forcer l'expiration de la clé.
    • Sélectionnez la case à cocher Temps pour que la clé expire après un temps donné. Tapez ou sélectionnez la durée qui doit s'écouler avant que la clé expire.
    • Sélectionnez la case à cocher Trafic pour que la clé expire après une quantité de trafic donnée. Tapez ou sélectionnez le nombre de kilo-octets de trafic qui doit passer avant que la clé expire. La valeur doit être au minimum 24 576 kilo-octets. Si vous la paramétrez à un nombre inférieur dans Fireware Web UI, elle revient automatiquement à 24 576 lorsque vous enregistrez la proposition.
    • Si les deux options Forcer l'expiration de la clé sont désactivées, l'intervalle d'expiration de la clé sera défini à 8 heures.

Le paramètre Trafic de la fonctionnalité Forcer l'expiration de la clé n'est pas activé par défaut. Ceci assure une meilleure interopérabilité VPN avec les appareils tiers.

Modifier ou cloner une proposition

Vous pouvez modifier une proposition dans Fireware Web UI ou Policy Manager. Vous pouvez également cloner n'importe quelle proposition prédéfinie ou définie par l'utilisateur dans Policy Manager. Quand vous clonez une proposition, vous copiez une proposition existante en l'enregistrant sous un autre nom. Vous devez procéder ainsi lorsque vous souhaitez modifier une proposition prédéfinie, car seules les propositions définies par l'utilisateur peuvent être modifiées.

Pour modifier une proposition à partir de Fireware Web UI :

  1. Sélectionnez VPN > BOVPN.
  2. Dans la section Propositions de Phase 2, sélectionnez une proposition définie par l'utilisateur et cliquez sur Modifier.
  3. Mettez les paramètres à jour, comme décrit dans la section précédente.

Pour modifier ou cloner une proposition à partir de Policy Manager :

  1. Sélectionnez VPN > Propositions de Phase 2.
    La boîte de dialogue Propositions de Phase 2 s'affiche.
  2. Sélectionnez une proposition ou cliquez sur Modifier ou Cloner.
  3. Mettez les paramètres à jour, comme décrit dans la section précédente.
  4. Cliquez sur OK.

Modifier les propositions de Phase 2 dans une interface virtuelle ou un tunnel BOVPN

Vous pouvez ajouter jusqu'à huit propositions à chaque tunnel ou interface virtuelle BOVPN. Si vous ajoutez plus d'une proposition de Phase 2, l'ordre de préférence des propositions de la liste va du haut vers le bas.

Pour ajouter une nouvelle proposition de Phase 2 à un tunnel BOVPN à partir de Fireware Web UI :Closed
  1. Pour modifier un tunnel BOVPN, sélectionnez VPN > Branch Office VPN.
    Ou sélectionnez VPN > Interfaces virtuelles BOVPN pour modifier une interface virtuelle BOVPN.
  2. Double-cliquez sur un tunnel ou une interface virtuelle BOVPN existant(e) pour le ou la modifier.
  3. Sélectionnez l'onglet Paramètres de phase 2.
  1. Dans la liste déroulante de la section Propositions IPSec, sélectionnez la proposition que vous voulez ajouter à ce tunnel.
  2. Cliquez sur Ajouter.
  3. Pour modifier la préférence d'une proposition dans la liste, sélectionnez la proposition et cliquez sur Monter ou Descendre.
  4. Pour supprimer une proposition de la liste, sélectionnez la proposition et cliquez sur Supprimer.
Pour ajouter une nouvelle proposition de Phase 2 à un tunnel BOVPN à partir de Policy Manager :Closed
  1. Pour modifier un tunnel BOVPN, sélectionnez VPN > Tunnels Branch Office.
    Ou sélectionnez VPN > Interfaces virtuelles BOVPN pour modifier une interface virtuelle BOVPN.
  2. Double-cliquez sur un tunnel ou une interface virtuelle BOVPN existant(e) pour le ou la modifier.
  3. Sélectionnez l'onglet Paramètres de phase 2.
  4. Dans la section Propositions IPSec, cliquez sur Ajouter.
    La boîte de dialogue Nouvelle proposition de phase 2 s'affiche.
  1. Pour utiliser une proposition existante, sélectionnez une proposition dans la liste déroulante.
  2. Pour créer une nouvelle proposition de Phase 2, sélectionnez Créer une nouvelle proposition de Phase 2 et configurez les paramètres de la proposition tel que décrit dans la section précédente.
  3. Cliquez sur OK pour ajouter la proposition à la liste des propositions de Phase 2.
  1. Pour modifier l'ordre de préférence d'une proposition dans la liste, cliquez sur Haut ou Bas.
  2. Pour supprimer une proposition de la liste, sélectionnez la proposition et cliquez sur Supprimer.

Si vous créez une nouvelle proposition de Phase 2 lors de la modification d'un tunnel dans Policy Manager, la nouvelle proposition est ajoutée à la liste des propositions de Phase 2 que vous pouvez utiliser pour tout autre tunnel VPN.

Voir aussi

Configurer les paramètres de phase 2

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.