Lors de la création de tunnels IPSec entre deux dispositifs Edge, vous pouvez modifier les paramètres de configuration de la stratégie de sécurité au niveau de la configuration du client.

Procédure

  1. Sur le portail opérateur, accédez à Gérer les clients (Manage Customers).
  2. Sélectionnez un client, puis cliquez sur Actions > Modifier (Modify) ou sur le lien d'accès au client.
  3. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Clients (Customers). La page Configuration du client (Customer Configuration) s'affiche.
  4. Dans la zone de Stratégie de sécurité (Security Policy), vous pouvez configurer les paramètres de sécurité suivants :
    1. Hachage (Hash) : par défaut, aucun algorithme d'authentification n'est configuré pour l'en-tête VPN. Lorsque le mode Galois/Compteur (GCM) est désactivé, vous pouvez sélectionner l'un des éléments suivants comme algorithme d'authentification pour l'en-tête VPN, dans la liste déroulante qui s'affiche :
      • SHA 1
      • SHA 256
      • SHA 384
      • SHA 512
    2. Chiffrement (Encryption) : AES 128-mode Galois/Compteur (GCM), AES 256-GCM, AES 128-Chaînage de chiffrement de blocs (CBC) et AES 256-CBC sont les modes d'algorithme de chiffrement utilisés pour fournir la confidentialité. Sélectionnez AES 128 ou AES 256 comme taille de clé des algorithmes AES de chiffrement des données. Le mode d'algorithme de chiffrement par défaut est AES 128-GCM, lorsque la case Désactiver GCM (Disable GCM) n'est pas cochée.
    3. Groupe DH (DH Group) : sélectionnez l'algorithme de groupe Diffie-Hellman (DH) à utiliser lors de l'échange d'une clé prépartagée. Le groupe DH définit la puissance de l'algorithme en bits. Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est recommandé d'utiliser le groupe DH 14.
    4. PFS : sélectionnez le niveau PFS (Perfect Forward Secrecy) pour renforcer la sécurité. Les niveaux de PFS pris en charge sont 2, 5, 14, 15 et 16. Par défaut, PFS est désactivé.
    5. Désactiver GCM (Disable GCM) : par défaut, AES 128-GCM est activé. Si nécessaire, cochez la case pour désactiver ce mode. La désactivation de la case active le mode AES 128-CBC.
    6. Durée de vie IPsec SA (IPsec SA Lifetime) : moment où le renouvellement de clés du protocole IPSec (Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IPsec minimale est de 3 minutes et la valeur maximale est de 480 minutes. La valeur par défaut est de 480 minutes.
    7. Durée de vie IKE SA (IKE SA Lifetime) : moment où le renouvellement de clés de l'échange de clés Internet (IKE, Internet Security Protocol) est initié pour les dispositifs Edge. La durée de vie IKE minimale est de 10 minutes et la valeur maximale est de 1 440 minutes. La valeur par défaut est de 1 440 minutes.
      Note : Il n'est pas recommandé de configurer des valeurs de durée de vie faibles pour IPsec (moins de 10 minutes) et IKE (moins de 30 minutes), car cela peut provoquer une interruption du trafic dans certains déploiements en raison des renouvellements de clés. Les valeurs de durée de vie faibles sont destinées uniquement à des fins de débogage.
  5. Après avoir configuré les paramètres, cliquez sur Enregistrer les modifications (Save Changes).
    Note : Lorsque vous modifiez les paramètres de sécurité, les modifications peuvent entraîner des interruptions des services actuels. Par ailleurs, ces paramètres peuvent réduire le débit global et augmenter le temps requis pour la configuration du tunnel VCMP, ce qui peut affecter la configuration du tunnel dynamique branche vers branche et la récupération après une défaillance du dispositif Edge dans un cluster.