Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
activiteipsec [2021/12/05 22:04] techer.charles_educ-valadon-limoges.fr |
activiteipsec [2021/12/05 23:26] (Version actuelle) techer.charles_educ-valadon-limoges.fr |
||
---|---|---|---|
Ligne 12: | Ligne 12: | ||
* Depuis l' | * Depuis l' | ||
* Dans la rubrique **SITE À SITE (GATEWAY – GATEWAY)**, cliquez sur **Ajouter ⇒ Tunnel site à site**. | * Dans la rubrique **SITE À SITE (GATEWAY – GATEWAY)**, cliquez sur **Ajouter ⇒ Tunnel site à site**. | ||
- | {{ :vpn_01.png?400 |}} | + | {{ :vpn_01.png |}} |
* l' | * l' | ||
* les extrémités de trafic (objet réseaux local et objet réseau distant) | * les extrémités de trafic (objet réseaux local et objet réseau distant) | ||
* l’extrémité de tunnel distante (le correspondant). | * l’extrémité de tunnel distante (le correspondant). | ||
- | {{ :vpn_02.png?400 |}} | + | {{ :vpn_02.png |}} |
- | Si le correspondant n’existe pas, il faut le créer en cliquant sur le lien **Créer un correpondant | + | Si le correspondant n’existe pas, il faut le créer en cliquant sur le lien **Créer un correspondant |
- | {{ :vpn_03.png?400 |}} | + | {{ :vpn_03.png |}} |
* L' | * L' | ||
* la passerelle distante en renseignant l’objet machine qui porte l’adresse IP du correspondant. | * la passerelle distante en renseignant l’objet machine qui porte l’adresse IP du correspondant. | ||
* la clé partagée (PSK) | * la clé partagée (PSK) | ||
- | {{ :vpn_05.png?400 |}} | + | {{ :vpn_05.png |}} |
* La dernière étape liste les paramètres renseignés et permet éventuellement d’ajouter une passerelle de secours. | * La dernière étape liste les paramètres renseignés et permet éventuellement d’ajouter une passerelle de secours. | ||
- | * Cliquer | + | * Cliquez |
- | {{ :vpn_06.png?400 |}} | + | {{ :vpn_06.png |}} |
+ | * Sur la page de l' | ||
+ | |||
+ | Le tunnel VPN IPsec est ajouté sur une ligne distincte de la politique. | ||
+ | |||
+ | Un résumé détaillé des paramètres de configuration peut être affiché en cliquant sur le pictogramme représentant un oeil. | ||
+ | {{ :vpn_07.png |}} | ||
+ | |||
+ | * Cliquez sur **Enregistrer** pour créer le tunnel VPN et activer la politique. | ||
+ | ===== Profils de chiffrement ===== | ||
+ | * Le profil de chiffrement phase 1 appelé également profil IKE est configuré au niveau du correspondant. | ||
+ | * Le profil de chiffrement phase 2, appelé profil IPSEC est configuré au niveau du tunnel VPN. | ||
+ | {{ :vpn_08.png |}} | ||
+ | |||
+ | Pour les deux phases, il existe trois profils préconfigurés : | ||
+ | * StrongEncryption, | ||
+ | * GoodEncryption | ||
+ | * Mobile. | ||
+ | L’onglet **PROFILS DE CHIFFREMENT** du menu **VPN ⇒ VPN IPSec** permet de : | ||
+ | * Consulter et de modifier la configuration des profils préconfigurés, | ||
+ | * Définir les profils qui seront utilisés par défaut lors de l’ajout des tunnels, | ||
+ | * Créer de nouveaux profils phase 1 et phase 2 personnalisés. | ||
+ | {{ :vpn_09.png |}} | ||
+ | <WRAP center round todo> | ||
+ | **A faire :** | ||
+ | |||
+ | Configurez le tunnel VPN IPsec avec ces profils de chiffrement par défaut en configurant le SNS de l' | ||
+ | |||
+ | </ | ||
+ | |||
+ | ===== Fonction Keepalive ===== | ||
+ | |||
+ | La fonction Keepalive permet de maintenir le tunnel disponible en envoyant un paquet UDP à destination du réseau distant sur le port numéro 9, avec une certaine fréquence. | ||
+ | |||
+ | Cela provoque la négociation initiale du tunnel, puis ses renégociations périodiques. | ||
+ | |||
+ | Elle permet de configurer la fréquence en secondes avec laquelle les paquets UDP sont envoyés. | ||
+ | |||
+ | ===== Règles du pare-feu implicites===== | ||
+ | Lors de la création du tunnel VPN IPsec site-à-site, | ||
+ | |||
+ | Ces règles ne concernent que les flux entrants car les flux sortants sont déjà couverts par les règles flux implicites du firewall. | ||
+ | {{ :vpn_10.png |}} | ||
+ | |||
+ | ===== Règles du pare-feu explicites===== | ||
+ | Le trafic autorisé entre les usagers du tunnel doit être explicitement défini par des règles de filtrage : | ||
+ | * La première règle permet l’initiation de connexions à partir du réseau local Network_in et à destination du réseau distant LAN_IN_B. | ||
+ | * La deuxième règle permet, quant à elle, l’initiation de connexions à partir du réseau distant LAN_IN_B à destination du réseau local Network_in. La directive via Tunnel VPN IPSec a été ajoutée à la source de cette règle pour s’assurer que le trafic du réseau distant provient bien du tunnel VPN IPSec. | ||
+ | |||
+ | <WRAP center round info> | ||
+ | **NOTE :** ces règles sont très permissives puisqu’elles ne spécifient pas de flux particuliers. En situation réelle, il convient de définir une politique de filtrage qui décrit strictement les flux à autoriser afin de couvrir rigoureusement les communications nécessaires entre les différentes machines des deux sites. | ||
+ | </ | ||
+ | {{ :vpn_11.png |}} | ||
+ | |||
+ | ===== Les logs de la négociation IKE ===== | ||
+ | Le menu LOGS ⇒ VPN affiche les évènements relatifs au déroulement de la négociation IKE. | ||
+ | |||
+ | Les extrémités de trafic qui ont provoqué les négociations et pour lesquelles le tunnel est disponible apparaissent explicitement sur la ligne de log concernant la négociation de phase 2. | ||
+ | |||
+ | Dans le cadre d’un diagnostic, en particulier en cas de message d’erreur ou d’avertissement, | ||
+ | |||
+ | Davantage d’informations, | ||
+ | {{ :vpn_12.png |}} | ||
+ | |||
+ | ===== Supervision des tunnels VPN IPsec ===== | ||
+ | |||
+ | Le menu **Supervision ⇒ Tunnels VPN IPSec** permet de visualiser la politique VPN IPSec active sur le firewall. | ||
+ | |||
+ | Lorsque l’option **Masquer les tunnels établis pour afficher uniquement les politiques présentant des problèmes** est cochée, seules les politiques qui n'ont pas de tunnels négociés s’affichent. | ||
+ | {{ :vpn_13.png |}} | ||
+ | |||
+ | En dessous, la section **Tunnels** permet, de superviser les tunnels disponibles. | ||
+ | |||
+ | L’âge actuel des SA et les algorithmes retenus lors des négociations apparaissent. | ||
+ | |||
+ | La colonne État peut afficher trois valeurs : | ||
+ | * **Larval* : le tunnel est en cours de négociation, | ||
+ | * **Mature** : la négociation des SA de phase 2 a abouti et le tunnel est opérationnel, | ||
+ | * **Dying** : les SA de phase 2 ont atteint 80 % de leurs durées de vie. | ||
+ | {{ :vpn_14.png |}} | ||
+ | ====== Activité complémentaire 1 ====== | ||
+ | Créez les profils de chiffrement suivants : | ||
+ | * IKE Phase 1 : Diffie-Hellman (DH15 MODP), Durée de vie maximum (21600s), algorithme d’authentification (sha2_512) et algorithme de chiffrement (AES 256bits). | ||
+ | * IPSEC Phase 2 : PFS (DH15 MODP), durée de vie (3600s), algorithme d’authemtificatiom (hmac_sha512) et algorithme de chiffrement (AES 256bits). | ||
+ | |||
+ | Appliquez vos nouveaux profils de chiffrement sur votre VPN. Puis vérifiez que tout fonctionne correctement. | ||
+ | ====== Activité complémentaire 2 ====== | ||
+ | Configure un tunnel VPN IPsec avec des certificats de votre autorité de certification. | ||
+ | ====== Activité complémentaire 3 ====== | ||
+ | Créez les profils de chiffrement suivants : | ||
+ | |||
+ | Réalisez l’interconnexion de ces mêmes réseaux, mais en configurant des tunnels basés sur des VTI avec au choix du routage statique ou par politique (PBR). | ||
+ | |||
+ | Documentation Stormshield sur les {{ : |