Configurer les Paramètres de Phase 2

Les paramètres de phase 2 comprennent les paramètres d'une association de sécurité (AS) qui définit la manière dont les paquets de données sont sécurisés lorsqu'ils sont transmis entre deux endpoints. L'association de sécurité conserve toutes les informations nécessaires pour que le Firebox traite le trafic entre les endpoints. Les paramètres de l'association de sécurité peuvent comprendre les éléments suivants :

  • algorithmes de chiffrement et d'authentification utilisés ;
  • durée de vie de l'association de sécurité (en secondes ou en nombre d'octets, ou les deux) ;
  • adresse IP du périphérique pour lequel l'association de sécurité est établie (à savoir le périphérique qui gère le chiffrement et le déchiffrement IPSec de l'autre côté du VPN, et non l'ordinateur situé derrière qui envoie ou reçoit du trafic) ;
  • adresses IP source et de destination du trafic auquel l'association de sécurité s'applique ;
  • sens du trafic auquel l'association de sécurité s'applique (il y a une association de sécurité pour chaque sens, c'est-à-dire pour le trafic entrant et pour le trafic sortant).

Vous pouvez ajouter plusieurs propositions de phase 2 dans l'onglet Paramètres de phase 2. Cependant, vous ne pouvez pas ajouter de propositions de Phase 2 AH et ESP à la liste des propositions IPSec pour le même tunnel VPN.

Si vous prévoyez d'utiliser la fonction de transit IPSec, vous devez utiliser une proposition qui spécifie ESP (Encapsulating Security Payload) comme méthode de proposition. La fonction de transit IPSec prend en charge le protocole ESP, mais pas le protocole AH. Pour plus d'informations sur le transit IPSec, consultez À propos des Paramètres VPN globaux.

Les paramètres de Phase 2 incluent également un paramètre Perfect Forward Secrecy (PFS). Le mode PFS offre une plus grande protection aux clés qui sont créées au cours d'une session. Les clés générées avec le mode PFS ne sont pas produites à partir d'une clé antérieure. Si une clé antérieure est compromise après une session, les clés de la nouvelle session sont sécurisées. Pour plus d'informations, consultez À propos des Groupes Diffie-Hellman.

Les paramètres de Phase 2 que vous pouvez configurer sont les mêmes pour une passerelle BOVPN que pour une interface virtuelle BOVPN.

  1. Dans la page Branch Office VPN d'un tunnel ou la page Interface virtuelle BOVPN, sélectionnez l'onglet Paramètres de Phase 2. Astuce !

Capture d'écran de l'onglet Paramètres de phase 2 du tunnel.

  1. Par défaut, Perfect Forward Secrecy (PFS) est activé et Diffie-Hellman Groupe 14 est spécifié. Vous pouvez désactiver PFS ou sélectionner un groupe Diffie-Hellman différent.
  2. Un tunnel VPN contient une proposition par défaut qui figure dans la liste Propositions IPSec. Cette proposition spécifie la méthode de protection des données ESP, le chiffrement AES 256 bit et l'authentification SHA2-256. Vous pouvez sélectionner une autre proposition dans la liste déroulante et cliquer sur Ajouter.

Si la proposition que vous souhaitez utiliser n'est pas dans la liste, vous pouvez ajouter une proposition supplémentaire, comme expliqué dans Ajouter une Proposition de Phase 2.

  1. Dans les boîtes de dialogue Nouveau tunnel ou Nouvelle interface virtuelle BOVPN, sélectionnez l'onglet Paramètres de Phase 2. Astuce !

Capture d'écran de la boîte de dialogue Nouveau tunnel avec l'onglet Paramètres de phase 2

  1. Par défaut, Perfect Forward Secrecy (PFS) est activé et Diffie-Hellman Groupe 14 est spécifié. Vous pouvez désactiver PFS ou sélectionner un groupe Diffie-Hellman différent.
  2. Un tunnel VPN contient une proposition par défaut qui figure dans la liste Propositions IPSec. Cette proposition spécifie la méthode de protection des données ESP, le chiffrement AES 256 bit et l'authentification SHA2-256. Vous pouvez :
  • Utilisez la proposition par défaut.
  • Supprimez la proposition par défaut et remplacez-la par une autre.
  • Ajoutez une transformation supplémentaire, tel qu'expliqué dans Ajouter une Proposition de Phase 2.