Contents

Rubriques Connexes

À propos des algorithmes et protocoles IPSec

IPSec est un ensemble de services cryptographiques et de protocoles de sécurité qui protègent les communications entre les périphériques qui envoient du trafic par l'intermédiaire d'un réseau non approuvé. IPSec étant basé sur un ensemble de protocoles et d'algorithmes courants, vous pouvez créer un VPN IPSec entre votre Firebox et de nombreux autres périphériques ou points de terminaison en nuage prenant en charge ces protocoles standards.

Algorithmes de chiffrement

Les algorithmes de chiffrement protègent les données afin qu'elles ne puissent être lues par un tiers lors de leur transfert. Fireware prend en charge trois algorithmes de chiffrement :

  • DES (norme de chiffrement de données) — Utilise une clé de chiffrement de 56 bits. Il s'agit du plus faible des trois algorithmes.
  • 3DES (Triple DES) — Un algorithme de chiffrement basé sur la norme DES qui utilise la norme DES pour chiffrer trois fois des données.
  • AES (norme de chiffrement avancée) — L'algorithme de chiffrement le plus puissant disponible. Fireware peut utiliser les clés de chiffrement AES suivantes : 128, 192 ou 256 bits.

Algorithmes d'authentification

Les algorithmes d'authentification vérifient l'intégrité des données et l'authenticité d'un message. Fireware prend en charge trois algorithmes d'authentification :

HMAC-MD5 (code d'authentification de message de hachage — Message Digest Algorithm 5)

MD5 produit un prétraitement de message de 128 bits (16 octets), ce qui le rend plus rapide que SHA-1 et SHA2. C'est l'algorithme le moins sécurisé.

HMAC-SHA1 (code d'authentification de message de hachage — Secure Hash Algorithm 1)

SHA-1 produit un prétraitement de message de 160 bits (20 octets). Bien qu'il soit plus lent que le MD5, ce prétraitement plus grand offre plus de résistance aux attaques en force.

HMAC-SHA2 (code d'authentification de message de hachage — Secure Hash Algorithm 2)

Fireware v11.8 et ultérieure gère trois variantes de SHA2 avec des longueurs de prétraitement de message différentes.

  • SHA2-256 — produit un prétraitement de message de 265 bits (32 octets)
  • SHA2-384 — produit un prétraitement de message de 384 bits (48 octets)
  • SHA2-512 — produit un prétraitement de message de 512 bits (64 octets)

SHA2 est plus sécurisé que SHA1 ou MD5.

SHA-2 n'est pas pris en charge sur les périphériques XTM 21, 22, 23, 505, 510, 520, 530, 515, 525, 535, 545, 810, 820, 830, 1050 et 2050. L'accélération cryptographique matérielle de ces modèles ne prend pas en charge le SHA-2. Tous les autres modèles prennent en charge le SHA-2.

Protocole IKE

Le protocole IKE (Internet Key Exchange) est un utilisé pour la négociation des associations de sécurité IPSec. Ces associations de sécurité établissent des secrets de session partagée à partir desquels des clés sont dérivées pour le chiffrement de données mises en tunnel. L'IKE est également utilisé pour authentifier les deux pairs IPSec. Fireware prend en charge IKEv1 et IKEv2 dans la configuration de la passerelle BOVPN ou d'une Interface Virtuelle BOVPN.

  • Le protocole IKEv1 est défini dans la RFC 2409.
  • Le protocole IKEv2 est défini dans la RFC 7296.

IKEv2 nécessite Fireware v11.11.2 ou une version ultérieure.

Algorithme d'échange de clé Diffie-Hellman

L'algorithme d'échange de clé Diffie-Hellman (DH) est une méthode utilisée pour créer une clé de chiffrement partagée accessible à deux entités sans échange de la clé. La clé de chiffrement pour les deux périphériques est utilisée comme clé symétrique pour le chiffrement de données. Seules les deux parties impliquées dans l'échange de clé DH peuvent déduire la clé partagée, et la clé n'est jamais transférée.

Un groupe de clé Diffie-Hellman est un groupe de nombres entiers utilisé pour l'échange de clé Diffie-Hellman. Fireware peut utiliser les groupes DH 1, 2, 5, 14, 15, 19 et 20.

Pour plus d'informations, voir À propos des groupes Diffie-Hellman.

AH

Définie dans la RFC 2402, l'en-tête d'authentification (AH) est un protocole que vous pouvez utiliser lors des négociations VPN de phase 2 en BOVPN manuel. Pour plus de sécurité, AH ajoute des informations d'authentification au datagramme IP. La plupart des tunnels VPN n'utilisent pas le protocole AH car il ne propose pas le chiffrement.

ESP

Définie dans RFC 2406, la charge utile de sécurité par encapsulage (ESP) permet l'authentification et le chiffrement des données. Le protocole ESP prend la charge utile d'un paquet de données et la remplace par des données chiffrées. Il ajoute des vérifications d'intégrité pour s'assurer que les données ne soient pas modifiées au cours du transfert, et que les données proviennent de la bonne source. Nous vous recommandons d'utiliser l'ESP pour les négociations de Phase 2 BOVPN car l'ESP offre plus de sécurité que l'AH. Mobile VPN with IPSec utilise toujours l'ESP.

Voir aussi

Fonctionnement des VPN IPSec

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.