Lors de la création de tunnels IPSec entre deux dispositifs Edge, vous pouvez modifier les paramètres de configuration de la stratégie de sécurité au niveau de la configuration du client.

Procédure

  1. Sur le portail opérateur, accédez à Gérer les clients (Manage Customers).
  2. Sélectionnez un client, puis cliquez sur Actions > Modifier (Modify) ou sur le lien d'accès au client.
  3. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Clients (Customers).
  4. Sur la page Configuration du client (Customer Configuration), configurez les paramètres de sécurité suivants dans la zone Stratégie de sécurité.
    1. Hachage (Hash) : par défaut, aucune fonction d'algorithme de hachage sécurisé n'est configurée. Si vous désactivez Galois/Counter Mode (GCM), vous pouvez sélectionner l'une des fonctions d'algorithme de hachage sécurisé prises en charge répertoriées dans la liste déroulante qui s'affiche. Ces fonctions sont les suivantes :
      • SHA 1
      • SHA 256
    2. Chiffrement (Encryption) : AES 128-mode Galois/Compteur (GCM), AES 256-GCM, AES 128-Chaînage de chiffrement de blocs (CBC) et AES 256-CBC sont les modes d'algorithme de chiffrement utilisés pour fournir la confidentialité. Sélectionnez AES 128 ou AES 256 comme taille de clé des algorithmes AES de chiffrement des données. Le mode d'algorithme de chiffrement par défaut est AES 128-GCM, lorsque la case Désactiver GCM (Disable GCM) n'est pas cochée.
    3. Groupe DH (DH Group) : sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est recommandé d'utiliser le groupe DH 14.
    4. PFS : sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. Par défaut, PFS est désactivé.
    5. Désactiver GCM (Disable GCM) : par défaut, AES 128-GCM est activé. Si nécessaire, cochez la case pour désactiver ce mode. La désactivation de la case active le mode AES 128-CBC.
  5. Après avoir configuré les paramètres, cliquez sur Enregistrer les modifications (Save Changes).
    Note : Lorsque vous modifiez les paramètres de sécurité, les modifications peuvent entraîner des interruptions des services actuels. Par ailleurs, ces paramètres peuvent réduire le débit global et augmenter le temps requis pour la configuration du tunnel VCMP, ce qui peut affecter la configuration du tunnel dynamique branche vers branche et la récupération après une défaillance du dispositif Edge dans un cluster.