Configuration des réglages IPSec
Internet Protocol Security (IPSec ou IPsec) désigne une série de protocoles destinée à crypter les données transitant sur un réseau (y compris sur les réseaux Internet). Alors que le protocole TLS se contente de crypter les données destinées à une application spécifique (telle qu'un navigateur Web ou un programme de messagerie), le protocole IPSec crypte l'intégralité ou les charges utiles des paquets IP. Vous disposez ainsi d'un système de sécurité plus polyvalent. Le protocole IPSec de l'appareil fonctionne en mode Transport, mode pendant lequel les charges utiles des paquets IP sont cryptées. Grâce à cette fonction, l'appareil est capable de se connecter directement à un ordinateur appartenant au même réseau privé virtuel (VPN). Avant de régler l'appareil, prenez soin de vérifier la configuration requise et de définir les paramètres de configuration nécessaires sur l'ordinateur.
Configuration système requise
Le protocole IPSec pris en charge par l'appareil est conforme aux normes RFC4301, RFC4302, RFC4303 et RFC4305.
|
Systèmes d'exploitation pris en charge par les partenaires de communication
|
Windows Vista/7/8/10/Server 2008/Server 2012
|
|
|
Mode de connexion
|
Mode Transport
|
|
|
Protocole d'échange de clés
|
IKEv1
|
|
|
Mode d'impression
|
Mode principal
Mode agressif
|
|
|
Méthode d'authentification
|
Clé pré-partagée
Signature numérique
|
|
|
Algorithme de hachage
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Algorithme de cryptage
(et longueur de clé) |
3DES-CBC
AES-CBC (128 bits, 192 bits ou 256 bits)
|
|
|
Algorithme/Groupe d'échange de clés (et longueur de clé)
|
Diffie-Hellman (DH)
Groupe 1 (768 bits)
Groupe 2 (1 024 bits)
Groupe 14 (2 048 bits)
|
|
|
ESP (Encapsulating Security Payload)
|
Algorithme de hachage
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Algorithme de cryptage
(et longueur de clé) |
3DES-CBC
AES-CBC (128 bits, 192 bits ou 256 bits)
|
|
|
AH (Authentication Header)
|
Algorithme de hachage
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Avant de configurer les réglages des communications IPSecVérifiez les paramètres IPSec dans le système d'exploitation avec lequel l'appareil va communiquer. Si la combinaison des paramètres du système d'exploitation et des réglages de l'appareil n'est pas correcte, les communications IPSec ne peuvent pas fonctionner.
|
 |
Restrictions fonctionnelles pour IPSecIPSec gère les communications avec une adresse monodiffusion (ou un périphérique unique).
L'appareil ne peut pas utiliser simultanément les protocoles IPSec et DHCPv6.
IPSec n'est pas disponible sur les réseaux faisant appel à l'interface NAT ou IP.
L'option PFS n'est pas prise en charge dans IKEv1 phase 1.
Utilisation du protocole IPSec avec le filtre d'adresse IPLes paramètres IPSec sont appliqués avant les paramètres du filtre d'adresse IP lors de la réception des paquets, alors que les paramètres de l'adresse IP sont appliqués avant les paramètres IPSec lors de la transmission de paquets. Spécification d'adresses IP pour les règles de pare-feu
|
Enregistrement des politiques de sécurité
Pour appliquer le protocole IPSec aux communications cryptées, vous devez enregistrer les politiques de sécurité (SP) avant d'activer les réglages IPSec (Activation des communications IPSec). Une politique de sécurité est constituée des groupes de réglages décrits ci-dessous. Vous avez la possibilité d'enregistrer jusqu'à 10 politiques. Vous pouvez enregistrer plusieurs politiques en fonction d'une combinaison de l'adresse IP et du numéro de port. Une fois l'enregistrement terminé, indiquez l'ordre dans lequel elles sont appliquées.
Sélecteur
Le sélecteur définit les conditions d'application des paquets IP aux communications IPSec. Les adresses IP, les numéros de port de l'appareil et les périphériques avec lesquels il est possible de communiquer sont autant de conditions sélectionnables.
IKE
IKE configure le mode IKEv1 utilisé par le protocole d'échange de clés. Les instructions varient en fonction de la méthode d'authentification sélectionnée.
[Méthode clé prépartagée ]
Une clé d'au plus 24 caractères alphanumériques peut être partagée avec les autres périphériques. Activez TLS pour l'interface utilisateur distante à l'avance (Utilisation du protocole TLS pour les communications cryptées).
Une clé d'au plus 24 caractères alphanumériques peut être partagée avec les autres périphériques. Activez TLS pour l'interface utilisateur distante à l'avance (Utilisation du protocole TLS pour les communications cryptées).
[Méthode de signature numérique ]
L'appareil et les autres périphériques s'identifient mutuellement en vérifiant leurs signatures numériques. Vous devez disposer d'une paire de clés prêtes à l'emploi (Utilisation de paires de clés et de certificats numériques émis par une autorité de certification).
L'appareil et les autres périphériques s'identifient mutuellement en vérifiant leurs signatures numériques. Vous devez disposer d'une paire de clés prêtes à l'emploi (Utilisation de paires de clés et de certificats numériques émis par une autorité de certification).
Configuration des protocoles et des options
Configurez les protocoles ESP et EH ajoutés aux paquets lors d'une communication IPSec. Il est impossible d'utiliser simultanément AH et ESP. Indiquez également s'il est nécessaire ou non d'activer PFS pour appliquer un niveau de sécurité plus rigoureux.
1
Lancez l'interface utilisateur distante et connectez-vous en mode Administrateur. Démarrage de l'interface utilisateur distante
2
Cliquez sur [Réglages/Enregistrement].
3
Cliquez sur [Sécurité] 
[Réglages IPSec].
[Réglages IPSec].
4
Cliquez sur [Liste de politique IPSec].
5
Cliquez sur [Mémoriser politique IPSec].
6
Saisissez le nom d'une politique dans [Nom de la politique] et cochez la case [Activer la politique].
[Nom de la politique]
Pour identifier la politique, saisissez un nom composé de 24 caractères alphanumériques maximum.
Pour identifier la politique, saisissez un nom composé de 24 caractères alphanumériques maximum.
[Activer la politique]
Cochez la case pour activer la politique. Décochez-la pour ne pas appliquer la politique.
Cochez la case pour activer la politique. Décochez-la pour ne pas appliquer la politique.
7
Spécifiez les réglages du sélecteur.
[Adresse locale ]
Sélectionnez le type d'adresse IP de l'appareil auquel appliquer la politique dans la liste suivante.
Sélectionnez le type d'adresse IP de l'appareil auquel appliquer la politique dans la liste suivante.
|
[Toutes les adresses IP]
|
Permet d'appliquer IPSec à tous les paquets IP.
|
|
[Adresse IPv4]
|
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv4 de l'appareil.
|
|
[Adresse IPv6]
|
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par l'adresse IPv6 de l'appareil.
|
|
[Réglages manuels IPv4]
|
Permet de spécifier une adresse IPv4 unique ou une plage d'adresses IPv4 auxquelles appliquer IPSec. Saisissez l'adresse IPv4 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement ].
|
|
[Réglages manuels IPv6]
|
Permet de spécifier une adresse IPv6 unique ou une plage d'adresses IPv6 auxquelles appliquer IPSec. Saisissez l'adresse IPv6 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement ].
|
[Adresses à régler manuellement ]
Si [Réglages manuels IPv4] ou [Réglages manuels IPv6] est sélectionné pour [Adresse locale ], saisissez l'adresse IP à laquelle appliquer la politique.
Si [Réglages manuels IPv4] ou [Réglages manuels IPv6] est sélectionné pour [Adresse locale ], saisissez l'adresse IP à laquelle appliquer la politique.
[Réglages de sous-réseau ]
Pour spécifier des adresses IPv4 manuellement, vous pouvez exprimer la plage d'adresses au moyen du masque de sous-réseau. Saisissez ce dernier en séparant les nombres par des points (exemple :"255.255.255.240").
Pour spécifier des adresses IPv4 manuellement, vous pouvez exprimer la plage d'adresses au moyen du masque de sous-réseau. Saisissez ce dernier en séparant les nombres par des points (exemple :"255.255.255.240").
[Adresse distante ]
Sélectionnez le type d'adresse IP des autres périphériques auxquels appliquer la politique dans la liste suivante.
Sélectionnez le type d'adresse IP des autres périphériques auxquels appliquer la politique dans la liste suivante.
|
[Toutes les adresses IP]
|
Permet d'appliquer IPSec à tous les paquets IP.
|
|
[Toutes les adresses IPv4]
|
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par une adresse IPv4.
|
|
[Toutes les adresses IPv6]
|
Sélectionnez cette option pour utiliser IPSec pour tous les paquets IP qui sont envoyés ou reçus par une adresse IPv6.
|
|
[Réglages manuels IPv4]
|
Permet de spécifier une adresse IPv4 unique ou une plage d'adresses IPv4 auxquelles appliquer IPSec. Saisissez l'adresse IPv4 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement ].
|
|
[Réglages manuels IPv6]
|
Permet de spécifier une adresse IPv6 unique ou une plage d'adresses IPv6 auxquelles appliquer IPSec. Saisissez l'adresse IPv6 (ou la plage d'adresses) dans la zone de texte [Adresses à régler manuellement ].
|
[Adresses à régler manuellement ]
Si [Réglages manuels IPv4] ou [Réglages manuels IPv6] est sélectionné pour [Adresse distante ], saisissez l'adresse IP à laquelle appliquer la politique.
Si [Réglages manuels IPv4] ou [Réglages manuels IPv6] est sélectionné pour [Adresse distante ], saisissez l'adresse IP à laquelle appliquer la politique.
[Réglages de sous-réseau ]
Pour spécifier des adresses IPv4 manuellement, vous pouvez exprimer la plage d'adresses au moyen du masque de sous-réseau. Saisissez ce dernier en séparant les nombres par des points (exemple :"255.255.255.240").
Pour spécifier des adresses IPv4 manuellement, vous pouvez exprimer la plage d'adresses au moyen du masque de sous-réseau. Saisissez ce dernier en séparant les nombres par des points (exemple :"255.255.255.240").
[Port local ]/[Port distant]
Si vous comptez créer des politiques spécifiques pour chaque protocole (HTTP ou SMTP, par exemple), saisissez le numéro de port approprié pour le protocole pour déterminer s'il est nécessaire ou non d'utiliser IPSec.
Si vous comptez créer des politiques spécifiques pour chaque protocole (HTTP ou SMTP, par exemple), saisissez le numéro de port approprié pour le protocole pour déterminer s'il est nécessaire ou non d'utiliser IPSec.
IPSec n'est pas appliquée aux paquets pour lesquels une adresse de multidiffusion ou de diffusion est spécifiée.
8
Spécifiez les réglages IKE.
[Mode IKE]
Le mode utilisé par le protocole d'échange de clés est affiché. Normalement, on sélectionne le mode principal.
Sélectionnez le mode agressif lorsque l'adresse IP n'est pas fixée. Notez que la sécurité est plus faible en mode agressif qu'en mode principal.
[Méthode AUTH ]
Sélectionnez [Méthode clé prépartagée ] ou [Méthode de signature numérique ] pour la méthode utilisée pour authentifier l'appareil.
Sélectionnez [Méthode clé prépartagée ] ou [Méthode de signature numérique ] pour la méthode utilisée pour authentifier l'appareil.
Si le mode agressif est sélectionné dans [Mode IKE], la [Méthode clé prépartagée ] ne crypte pas la clé partagée.
[Algorithme d'authentification/de cryptage ]
Pour définir automatiquement l'algorithme utilisé pour l'échange de clés, cochez la case [Auto]. Si vous cochez la case à cocher, l'algorithme est défini comme indiqué ci-dessous.
Pour définir automatiquement l'algorithme utilisé pour l'échange de clés, cochez la case [Auto]. Si vous cochez la case à cocher, l'algorithme est défini comme indiqué ci-dessous.
|
[Authentification ]
|
[SHA1 et MD5]
|
|
[Cryptage ]
|
[3DES-CBC et AES-CBC]
|
|
[Groupe DH ]
|
[Groupe 2 (1024)]
|
Pour définir manuellement l'algorithme, décochez la case et sélectionnez l'algorithme.
|
[Authentification ]
|
Sélectionnez l'algorithme de hachage.
|
|
[Cryptage ]
|
Sélectionnez l'algorithme de cryptage.
|
|
[Groupe DH ]
|
Sélectionnez le groupe Diffie-Hellman qui détermine la puissance de la clé.
|
Utilisation de la [Méthode clé prépartagée ] pour l'authentification
|
1
|
Sélectionnez [Méthode clé prépartagée ] pour [Méthode AUTH ] et cliquez sur [Réglages clé partagée].
|
|
2
|
Saisissez une clé pré-partagée composée de 24 caractères alphanumériques maximum et cliquez sur [OK].
 |
Utilisation de la [Méthode de signature numérique ] pour l'authentification
|
1
|
Sélectionnez [Méthode de signature numérique ] pour [Méthode AUTH ], puis cliquez sur [Clé et certificat].
|
|
2
|
Sélectionnez la paire de clé à utiliser et cliquez sur [Réglages de clé par défaut].
 Affichage des détails d'une paire de clés ou d'un certificat
Vous pouvez vérifier les détails d'une paire de clés ou d'un certificat en cliquant sur le lien correspondant sous [Nom de clé], ou sur l'icône du certificat. Vérification des paires de clés et des certificats numériques
|
9
Spécifiez les réglages du réseau IPSec.
[Utiliser PFS]
Cochez la case permettant d'activer l'option PFS (Perfect Forward Secrecy) pour les clés de sessions IPSec. Cette option a pour effet de renforcer la sécurité et d'augmenter la charge qui s'exerce sur les communications. Assurez-vous également d'activer l'option PFS pour les autres périphériques. Décochez la case si vous ne voulez pas utiliser PFS.
[Validité ]
Spécifiez la durée pendant laquelle SA est utilisé comme tunnel de communication. Cochez la case [Spécifier avec l'heure] ou [Spécifier avec la taille] ou les deux. Si vous cochez les deux cases, la session SA prend fin dès que l'une des deux conditions est satisfaite.
Spécifiez la durée pendant laquelle SA est utilisé comme tunnel de communication. Cochez la case [Spécifier avec l'heure] ou [Spécifier avec la taille] ou les deux. Si vous cochez les deux cases, la session SA prend fin dès que l'une des deux conditions est satisfaite.
|
[Spécifier avec l'heure]
|
Indiquez la durée (en minutes) d'une session. La durée spécifiée s'applique à la fois à IPSec SA et à IKE SA.
|
|
[Spécifier avec la taille]
|
Indiquez la taille maximale (en mégaoctets) des données transportées au cours d'une session. La taille indiquée s'applique uniquement à IPSec SA.
|
Si vous n'avez coché que la case [Spécifier avec la taille]
La validité IKE SA ne pouvant être spécifiée par la taille, la valeur initiale (480 minutes) de [Spécifier avec l'heure] est appliquée.
[Algorithme d'authentification/de cryptage ]
Sélectionnez le protocole et l'algorithme à utiliser pour les communications IPSec.
Sélectionnez le protocole et l'algorithme à utiliser pour les communications IPSec.
Configuration automatique de la connexionSélectionnez [Auto].
|
[Authentification ESP ]
|
ESP est activé et l'algorithme d'authentification est réglé sur [SHA1 et MD5].
|
|
[Cryptage ESP]
|
ESP est activé et l'algorithme de cryptage est réglé sur [3DES-CBC et AES-CBC].
|
Utilisation d'ESPChoisissez [ESP] et sélectionnez l'algorithme d'authentification et l'algorithme de cryptage.
|
[Authentification ESP ]
|
Sélectionnez l'algorithme de hachage à utiliser avec l'authentification ESP.
|
|
[Cryptage ESP]
|
Sélectionnez l'algorithme de cryptage pour ESP.
|
Utilisation d'AHChoisissez [AH] et sélectionnez l'algorithme de hachage à utiliser pour l'authentification AH dans [Authentification AH ].
[Mode de connexion ]
Le mode de connexion IPSec s'affiche. L'appareil gère le mode Transport (mode pendant lequel les charges utiles des paquets IP sont cryptées). Le mode Tunnel, qui a pour effet d'encapsuler les paquets IP entiers (en-têtes et charges utiles), n'est pas disponible.
Le mode de connexion IPSec s'affiche. L'appareil gère le mode Transport (mode pendant lequel les charges utiles des paquets IP sont cryptées). Le mode Tunnel, qui a pour effet d'encapsuler les paquets IP entiers (en-têtes et charges utiles), n'est pas disponible.
10
Cliquez sur [OK].
Si vous avez besoin d'enregistrer une politique de sécurité supplémentaire, revenez à l'étape 5.
11
Changez, si besoin est, l'ordre d'application des politiques sous [Liste de politique IPSec].
Les politiques sont appliquées de façon hiérarchique (du rang supérieur au rang inférieur). Cliquez sur [Augmenter la priorité] ou [Réduire la priorité] pour déplacer une politique d'un rang vers le haut ou vers le bas.
Modification d'une politique
Vous pouvez cliquer sur le lien de texte sous [Nom de la politique] pour modifier les réglages.
Suppression d'une politique
Cliquez sur [Supprimer] à droite du nom de la politique que vous souhaitez supprimer.
12
Faites un redémarrage à froid.
Cliquez sur [Contrôle du périphérique], sélectionnez [Réinitialisation matérielle], puis cliquez sur [Exécuter].
Les réglages sont activés après un redémarrage à froid.
Activation des communications IPSec
Une fois les politiques de sécurité enregistrées, activez les communications IPSec.
1
Lancez l'interface utilisateur distante et connectez-vous en mode Administrateur. Démarrage de l'interface utilisateur distante
2
Cliquez sur [Réglages/Enregistrement].
3
Cliquez sur [Sécurité] [Réglages IPSec].
[Réglages IPSec].4
Cliquez sur [Modifier].
5
Cochez la case [Utiliser IPSec ] et cliquez sur [OK].
[Utiliser IPSec]
Cochez cette case pour utiliser IPSec dans l'appareil. Décochez-la si vous ne voulez pas l'utiliser.
[Autoriser la réception paquets sans politique]
Si vous cochez cette case lors de l'utilisation d'IPSec, les paquets qui ne sont pas disponibles pour les politiques enregistrées sont également envoyés/reçus. Pour désactiver l'envoi/la réception des paquets qui ne sont pas disponibles pour les politiques, décochez la case.
Si vous cochez cette case lors de l'utilisation d'IPSec, les paquets qui ne sont pas disponibles pour les politiques enregistrées sont également envoyés/reçus. Pour désactiver l'envoi/la réception des paquets qui ne sont pas disponibles pour les politiques, décochez la case.
6
Faites un redémarrage à froid.
Cliquez sur [Contrôle du périphérique], sélectionnez [Réinitialisation matérielle], puis cliquez sur [Exécuter].
Les réglages sont activés après le redémarrage à froid.
|
|
Utilisation du panneau de commandeVous pouvez aussi activer ou désactiver les communications IPSec depuis le menu des réglages du panneau de commande. IPSec
|