À propos des Négociations VPN IPSec
Les périphériques situés aux extrémités d'un tunnel VPN IPSec sont des pairs IPSec. Pour établir le tunnel VPN, les pairs IPSec échangent une série de messages relatifs au chiffrement et à l'authentification puis tentent de s'accorder sur de nombreux paramètres. Ce processus est connu sous le nom de négociations VPN. Un périphérique dans la séquence de négociation est l'initiateur et l'autre le répondeur.
Les négociations VPN sont effectuées en deux phases : la Phase 1 et la Phase 2.
Phase 1
L'objectif principal de la phase 1 est la mise en place d'un canal chiffré sécurisé par l'intermédiaire duquel deux pairs peuvent négocier la phase 2. Lorsque la phase 1 se termine avec succès, les pairs passent rapidement aux négociations de phase 2. Si la phase 1 échoue, les périphériques ne peuvent entamer la phase 2.
Phase 2
L'objectif des négociations de phase 2 est que les deux pairs s'accordent sur un ensemble de paramètres qui définissent le type de trafic pouvant passer par le VPN et sur la manière de chiffrer et d'authentifier le trafic. Cet accord s'appelle une association de sécurité.
Les configurations de phase 1 et 2 doivent correspondre pour les périphériques situés aux extrémités du tunnel.
Négociations de phase 1
Lors des négociations de Phase 1, les deux périphériques de passerelle VPN échangent les informations d'identification. Les périphériques se reconnaissent et négocient pour définir un ensemble commun de paramètres de phase 1 à utiliser. Lorsque les négociations de phase 1 sont terminées, les deux périphériques disposent d'une association de sécurité (SA) de Phase 1. Cette SA est valable pour un laps de temps spécifié. Si les deux passerelles VPN n'achèvent pas les négociations de Phase 2 avant l'expiration de la SA de Phase 1, elles doivent effectuer à nouveau les négociations de Phase 1.
Le processus de négociation de Phase 1 dépend de la version d'IKE utilisée par les enpoints de passerelle. L'IKE authentifie les pairs IPSec et négocie les SA IKE lors de cette phase en configurant un canal de communication sécurisé permettant la négociation des SA IPSec lors de la Phase 2.
Les négociations de phase 1 comprennent les étapes suivantes :
- Les périphériques s'accordent sur la version d'IKE à utiliser (IKEv1 ou IKEv2). Chaque périphérique peut utiliser l'IKEv1 ou l'IKEv2. La version d'IKE des deux périphériques doit correspondre.
- Les périphériques échangent des informations d'identification.
Les informations d'identification peuvent être un certificat ou des clés pré-partagées. Les deux enpoints de passerelle doivent utiliser la même méthode d'informations d'identification, et les informations d'identification doivent correspondre.
- Les périphériques se reconnaissent.
Chaque périphérique fournit un identificateur de phase 1, qui peut être une adresse IP, un nom de domaine, des informations de domaine ou un nom X500. La configuration VPN de chaque périphérique spécifie l'identificateur de Phase 1 du périphérique local et du périphérique distant. Les configurations doivent correspondre.
- Avec l'IKEv1, les passerelles VPN décident d'utiliser le Mode Principal ou le Mode Agressif lors des négociations de Phase 1.
La passerelle VPN qui initie les négociations IKE envoie une proposition de Mode Principal ou de Mode Agressif. L'autre passerelle VPN peut rejeter la proposition si elle n'est pas configurée pour utiliser ce mode.
- Le Mode Principal garantit l'identité des deux passerelles VPN, mais peut uniquement être utilisé si les deux périphériques possèdent une adresse IP statique. Le Mode Principal valide l'adresse IP et l'identifiant de la passerelle.
- Le Mode Agressif est plus rapide, mais moins sûr que le Mode Principal, car il requiert moins d'échanges entre les deux passerelles VPN. En Mode Agressif, l'échange dépend principalement des types d'identifiants utilisés par les deux passerelles VPN. Le Mode Agressif ne garantit pas l'identité de la passerelle VPN. La faille du Mode Agressif d'IKEv1 décrite dans la CVE-2002-1623 signifie que le Mode Agressif est moins sûr que le Mode Principal, à moins de configurer un certificat.
- Les passerelles VPN s'accordent sur les paramètres de Phase 1.
- L'emploi éventuel du parcours NAT
- L'emploi éventuel de la Conservation d'activité IKE (uniquement entre Fireboxes)
- Ou encore pour la détection DPD (Dead Peer Detection) (détection de pair déconnecté) (RFC 3706)
La Conservation d'activité IKE est un paramètre obsolète. Nous recommandons plutôt la DPD.
Pour l'IKEv2, le Parcours NAT et la DPD sont toujours activés, tandis que la Conservation d'activité IKE n'est pas prise en charge.
- Les passerelles VPN s'accordent sur les paramètres de Transformation de Phase 1. Les paramètres de transformation de Phase 1 de chaque périphérique IPSec doivent être exactement identiques. Dans le cas contraire, les négociations IKE échouent.
Les éléments que vous pouvez définir dans les transformations de Phase 1 sont les suivants :
- Authentification — Type d'authentification (SHA-2, SHA-1 ou MD5).
- Chiffrement — Type d'algorithme de chiffrement (DES, 3DES ou AES) et longueur de la clé
- Vie de la SA — Le délai avant l'expiration de l'Association de Sécurité de Phase 1
- Groupe de Clés — Le groupe de clés Diffie-Hellman
SHA-2 n'est pas pris en charge sur les périphériques XTM
Négociations de phase 2
Les négociations de phase 2 comprennent les étapes suivantes :
- Les passerelles VPN utilisent le SA de Phase 1 pour sécuriser les négociations de Phase 2. Les passerelles VPN s'accordent sur l'utilisation de Perfect Forward Secrecy (PFS).
Les clés de chiffrement VPN sont modifiées à la fréquence définie par le paramètre Forcer l'Expiration de la Clé. L'intervalle par défaut est de huit heures. Pour éviter que les SA n'utilisent les clés de Phase 1 pour la Phase 2, PFS force un nouveau calcul DH. Cela signifie que la Phase 1 et la Phase 2 présentent toujours des clés différentes, ce qui les rend plus difficiles à casser, à moins de sélectionner un groupe DH inférieur à 14.
Nous vous recommandons d'utiliser PFS pour assurer la sécurité de vos données. Si vous souhaitez utiliser PFS, il doit être activé sur les deux passerelles VPN, et les deux passerelles doivent utiliser les mêmes groupes de clés Diffie-Hellman.
-
Les passerelles VPN s'accordent sur une proposition de Phase 2.
La proposition de Phase 2 contient l'algorithme à utiliser pour authentifier les données, l'algorithme à utiliser pour chiffrer les données et indique la fréquence de création de nouvelles clés de chiffrement de Phase 2.
Les éléments que vous pouvez définir dans une proposition de phase 2 sont les suivants :
- Type — Pour un réseau BOVPN manuel, vous pouvez sélectionner le type de protocole à utiliser : AH (Authentication Header) ou ESP (Encapsulating Security Payload). AH et ESP chiffrent tous deux les données afin de les protéger contre l'usurpation et la manipulation de paquets (détection de réexécution). Nous vous recommandons d'utiliser ESP, car vous pouvez vous protéger des usurpations par d'autres moyens. Les réseaux BOVPN gérés et Mobile VPN with IKEv2, Mobile VPN with IPSec et Mobile VPN with L2TP utilisent toujours ESP.
- Authentification — L'authentification garantit que les informations reçues sont exactement les mêmes que les informations envoyées. Vous pouvez choisir SHA-1, SHA-2 ou MD5 comme algorithme utilisé par les passerelles VPN pour authentifier mutuellement leurs messages IKE. SHA-2 constitue la seule option sûre.
- Chiffrement — Le chiffrement garantit la confidentialité des données. Vous pouvez sélectionner les chiffrements DES, 3DES, AES ou AES-GCM. Les variantes AES et AES-GCM constituent les seules options sûres.
- Forcer l'Expiration de la Clé — Afin de garantir le changement périodique des clés de chiffrement de Phase 2, indiquez un intervalle d'expiration de la clé. Le paramètre par défaut est 8 heures. Plus la période d'utilisation d'une clé de chiffrement de phase 2 est longue, plus nombreuses seront les données qu'une personne mal intentionnée pourra collecter pour organiser une attaque de la clé. Nous vous déconseillons de sélectionner l'option Trafic, car elle entraîne une charge élevée du Firebox ainsi que des problèmes de débit, de pertes de paquets et des interruptions fréquentes et aléatoires. L'option Trafic n'est pas compatible avec la plupart des périphériques tiers.
-
Les passerelles VPN échangent les sélecteurs de trafic de Phase 2 (routes de tunnel).
Vous pouvez définir les sélecteurs de trafic de Phase 2 des passerelles VPN locale et distante sous forme d'adresse IP d'hôte, d'adresse IP réseau ou de plage d'adresses IP. Les sélecteurs de trafic de Phase 2 sont toujours envoyés par paire lors d'une proposition de Phase 2 : l'un indique les adresses IP situées derrière le périphérique local pouvant envoyer du trafic via le VPN, tandis que l'autre indique les adresses IP situées derrière le périphérique distant pouvant envoyer du trafic via le VPN. Cette connexion est également appelée une route de tunnel.