Nom du modèle | Saisissez un nom pour le modèle (jusqu’à 16 caractères). |
Utiliser un modèle prédéfini | Sélectionnez Personnalisé, Sécurité élevée IKEv2 ou Sécurité moyenne IKEv2. Les éléments des paramètres varient selon le modèle sélectionné. |
Internet Key Exchange (IKE) | IKE est un protocole de communication qui permet d’échanger des clés de cryptage pour assurer les communications cryptées à l’aide d’IPsec. Pour assurer des communications cryptées à ce moment uniquement, l’algorithme de cryptage nécessaire pour IPsec est déterminé et les clés de cryptage sont partagées. Pour IKE, les clés de cryptage sont échangées à l’aide de la méthode d’échange de clés Diffie-Hellman et la communication cryptée limitée à IKE est assurée. Si vous avez sélectionné Personnalisé dans Utiliser un modèle prédéfini, sélectionnez IKEv2. |
Type d'authentification | - Groupe Diffie-Hellman
-
Cette méthode d’échange de clés permet d’échanger des clés secrètes de manière sécurisée sur un réseau non protégé. La méthode d’échange de clés Diffie-Hellman utilise un problème de logarithme discret, et non la clé secrète, pour envoyer et recevoir des informations ouvertes générées à l’aide d’un nombre aléatoire et de la clé secrète. Sélectionnez Groupe1, Groupe2, Groupe5 ou Groupe14. - Cryptage
- Sélectionnez DES, 3DES, AES-CBC 128 ou AES-CBC 256.
- Hachage
- Sélectionnez MD5, SHA1, SHA256, SHA384 ou SHA512.
- Durée de vie SA
-
Spécifiez la durée de vie IKE SA. Saisissez la durée (secondes) et le nombre de kilo-octets (Ko). |
Sécurité d'encapsulation | - Protocole
- Sélectionnez ESP.
ESP est un protocole permettant d’assurer des communications cryptées à l’aide d’IPsec. ESP crypte la charge active (les contenus communiqués) et ajoute des informations supplémentaires. Le paquet IP comprend l’en-tête et la charge active cryptée, laquelle vient après l’en-tête. En plus des données cryptées, le paquet IP inclut également des informations relatives à la méthode de cryptage et à la clé de cryptage, les données d’authentification et d’autres informations. - Cryptage
- Sélectionnez DES, 3DES, AES-CBC 128 ou AES-CBC 256.
- Hachage
- Sélectionnez MD5, SHA1, SHA256, SHA384 ou SHA512.
- Durée de vie SA
-
Spécifiez la durée de vie IKE SA. Saisissez la durée (secondes) et le nombre de kilo-octets (Ko). - Mode d'encapsulation
- Sélectionnez Transport ou Tunnel.
- Adresse IP routeur distant
-
Saisissez l’adresse IP (IPv4 ou IPv6) du routeur distant. Entrez uniquement cette information lorsque le mode Tunnel est sélectionné. SA (Security Association) est une méthode de communication cryptée utilisant IPsec ou IPv6 et permettant d’échanger et de partager des informations, telles que la méthode de cryptage et la clé de cryptage, afin d’établir un canal de communication sécurisé avant le début de la communication. SA peut également désigner un canal de communication virtuel crypté préalablement établi. Le SA utilisé pour IPsec établit la méthode de cryptage, échange les clés et assure l’authentification mutuelle selon la procédure standard IKE (Internet Key Exchange). De plus, le SA est régulièrement mis à jour. |
Confidentialité de transmission parfaite | PFS ne dérive pas les clés des clés précédentes qui ont été utilisées pour crypter des messages. De plus, si une clé utilisée pour crypter un message est dérivée d’une clé parente, cette clé parente n’est pas utilisée pour dériver d’autres clés. Par conséquent, même si une clé est compromise, le dommage est limité uniquement aux messages qui ont été cryptés à l’aide de cette clé. Sélectionnez Activé ou Désactivé. |
Méthode d'authentification | Sélectionnez la méthode d’authentification. Sélectionnez Clé pré-partagée, Certificats, EAP - MD5, ou EAP - MS-CHAPv2. EAP est un protocole d’authentification constituant une extension de PPP. En utilisant EAP avec IEEE802.1x, une clé différente est utilisée pour l’authentification de l’utilisateur pendant chaque session. Les paramètres suivants sont nécessaires uniquement lorsque EAP - MD5 ou EAP - MS-CHAPv2 est sélectionné dans Méthode d'authentification : Mode Sélectionnez Mode serveur ou Mode client. Certificat Sélectionnez le certificat. Nom d'utilisateur Saisissez le nom d’utilisateur (jusqu’à 32 caractères). Mot de passe Saisissez le mot de passe (jusqu’à 32 caractères). Vous devez entrer le mot de passe deux fois pour le confirmer. |
Clé pré-partagée | Lors du cryptage de la communication, la clé de cryptage est échangée et partagée avant l’utilisation d’un autre canal. Si vous avez sélectionné Clé pré-partagée pour la Méthode d'authentification, saisissez la Clé pré-partagée (jusqu’à 32 caractères). - Local/Type d'identifiant/Identifiant
-
Sélectionnez le type d’identifiant de l’expéditeur, puis saisissez l’identifiant. Sélectionnez Adresse IPv4, Adresse IPv6, FQDN, Adresse de courriel ou Certificat pour le type. Si vous sélectionnez Certificat, saisissez le nom commun du certificat dans le champ Identifiant. - Distant/Type d'identifiant/Identifiant
-
Sélectionnez le type d’identifiant du destinataire, puis saisissez l’identifiant. Sélectionnez Adresse IPv4, Adresse IPv6, FQDN, Adresse de courriel ou Certificat pour le type. Si vous sélectionnez Certificat, saisissez le nom commun du certificat dans le champ Identifiant. |
Certificat | Si vous avez sélectionné Certificats pour Méthode d'authentification, sélectionnez le certificat. Vous pouvez uniquement sélectionner les certificats créés à l’aide de la page Certificat de l’écran de configuration de sécurité de la gestion à partir du Web. |