Configuration des profils IPSec (mode de frappe automatique) sur les modèles RV160 et RV260

Options de téléchargement

PDF (1.9 MB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (2.1 MB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (1.3 MB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:7 janvier 2019

ID du document:1546898623282132

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Objectif

Ce document explique comment créer un nouveau profil IPsec (Internet Protocol Security) à l'aide du mode de frappe automatique sur les routeurs des gammes RV160 et RV260.

Introduction

IPsec garantit que vous avez une communication privée sécurisée sur Internet. Elle assure la confidentialité, l'intégrité et l'authenticité de deux hôtes ou plus pour la transmission d'informations sensibles sur Internet. IPsec est couramment utilisé dans les réseaux privés virtuels (VPN) et est mis en oeuvre au niveau de la couche IP. Son utilisation peut aider de nombreuses applications qui manquent de sécurité. Un VPN est utilisé pour fournir un mécanisme de communication sécurisé pour les données sensibles et les informations IP qui sont transmises via un réseau non sécurisé tel qu'Internet. Elle offre une solution flexible aux utilisateurs distants et à l'entreprise pour protéger les informations sensibles provenant d'autres parties sur le même réseau.

Pour que les deux extrémités d'un tunnel VPN soient correctement chiffrées et établies, elles doivent toutes deux s'entendre sur les méthodes de chiffrement, de déchiffrement et d'authentification. Le profil IPsec est la configuration centrale d'IPsec qui définit les algorithmes tels que le chiffrement, l'authentification et le groupe Diffie-Hellman (DH) pour la négociation des phases I et II en mode automatique ainsi qu'en mode de saisie manuelle. La phase 1 établit les clés pré-partagées pour créer une communication authentifiée sécurisée. La phase 2 est l’étape au cours de laquelle le trafic est chiffré. Vous pouvez configurer la plupart des paramètres IPsec tels que le protocole, le mode, l'algorithme, le PFS (Perfect Forward Secrecy), la durée de vie de l'association de sécurité (SA) et le protocole de gestion des clés.

Notez que lorsque vous configurez un VPN site à site, le routeur distant doit disposer des mêmes paramètres de profil que votre routeur local.

Pour plus d'informations sur la technologie Cisco IPsec, cliquez sur ce lien : Présentation de la technologie Cisco IPSec.

Pour configurer le profil IPsec et le VPN site à site à l'aide de l'Assistant de configuration VPN, cliquez sur le lien : Assistant de configuration VPN sur les routeurs RV160 et RV260.

Pour configurer un VPN site à site, consultez le document suivant : Configuration d'un VPN site à site sur les routeurs RV160 et RV260.

Périphériques pertinents

· RV160

·RV260

Version du logiciel

·1.0.00.13

Configuration des profils IPsec

Étape 1. Connectez-vous à la page de configuration Web de votre routeur.

Étape 2. Accédez à VPN > IPSec VPN > IPSec Profiles.

Étape 3. Dans le tableau Profils IPSec, cliquez sur Ajouter pour créer un nouveau profil IPsec. Vous avez également la possibilité de modifier, de supprimer ou de cloner un profil.

Étape 4. Entrez un nom de profil et sélectionnez le mode de frappe (Auto ou Manual).

HomeOffice est entré en tant que nom de profil.

Auto est sélectionné pour le mode de frappe.

Étape 5. Choisissez Internet Key Exchange Version 1 (IKEv1) ou Internet Key Exchange Version 2 (IKEv2) comme version IKE. IKE est un protocole hybride qui implémente l’échange de clés Oakley et Skeme dans le cadre de l’ISAKMP (Internet Security Association and Key Management Protocol). Oakley et Skeme définissent tous deux comment dériver le matériel de génération de clé authentifié, mais Skeme inclut également un rafraîchissement rapide des clés. IKE fournit l'authentification des homologues IPsec, négocie les clés IPsec et négocie les associations de sécurité IPsec. IKEv2 est plus efficace car il prend moins de paquets pour effectuer l'échange de clés, prend en charge plus d'options d'authentification tandis que IKEv1 ne fait que l'authentification basée sur une clé partagée et un certificat. Dans cet exemple, IKEv1 a été sélectionné comme version IKE.

Remarque : Si votre périphérique prend en charge IKEv2, il est recommandé d'utiliser IKEv2. Si vos périphériques ne prennent pas en charge IKEv2, utilisez IKEv1.

Étape 6. Phase I configure et échange les clés que vous utiliserez pour chiffrer les données de la phase II. Dans la section Phase I, sélectionnez un groupe Diffie-Hellman (DH). DH est un protocole d’échange de clés, avec deux groupes de longueurs de clés principales différentes, Groupe 2 - 1024 bits et Groupe 5 - 1536 bits. Nous avons sélectionné Groupe 2 - 1024 bits pour cette démonstration.

Remarque : Pour une vitesse plus rapide et une sécurité plus faible, choisissez Groupe 2. Pour une vitesse plus lente et une sécurité plus élevée, choisissez Groupe 5. Le groupe 2 est sélectionné par défaut.

Étape 7. Sélectionnez une option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer et déchiffrer les paquets ESP/ISAKMP. La norme 3DES (Triple Data Encryption Standard) utilise trois fois le chiffrement DES, mais elle est désormais un algorithme hérité. Cela signifie qu'il ne doit être utilisé que lorsqu'il n'existe pas de meilleure alternative, car il offre toujours un niveau de sécurité marginal mais acceptable. Les utilisateurs ne doivent l'utiliser que si elle est nécessaire pour la rétrocompatibilité, car elle est vulnérable à certaines attaques de type « blocage/collision ». Il n'est pas recommandé d'utiliser 3DES car il n'est pas considéré comme sécurisé. Advanced Encryption Standard (AES) est un algorithme cryptographique conçu pour être plus sécurisé que DES. AES utilise une taille de clé plus importante, ce qui garantit que la seule approche connue pour décrypter un message est qu'un intrus essaie toutes les clés possibles. Il est recommandé d'utiliser AES si votre périphérique peut le prendre en charge. Dans cet exemple, nous avons sélectionné AES-128 comme option de cryptage.

Remarque : Voici quelques ressources supplémentaires qui peuvent vous aider : Configuration de la sécurité pour les VPN avec IPsec et le cryptage de nouvelle génération.

Étape 8. La méthode d’authentification détermine comment les paquets d’en-tête ESP sont validés. Il s'agit de l'algorithme de hachage utilisé dans l'authentification pour valider que les côtés A et B sont réellement ce qu'ils prétendent être. MD5 est un algorithme de hachage unidirectionnel qui produit un condensé de 128 bits et est plus rapide que SHA1. SHA1 est un algorithme de hachage unidirectionnel qui produit un condensé de 160 bits tandis que SHA2-256 produit un condensé de 256 bits. SHA2-256 est recommandé car il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1 ou SHA2-256).

SHA2-256 a été sélectionné pour cet exemple.

Étape 9. La durée de vie SA (s) vous indique la durée pendant laquelle une SA IKE est active au cours de cette phase. Lorsque la SA expire après la durée de vie respective, une nouvelle négociation commence pour une nouvelle. La plage est comprise entre 120 et 86400 et la valeur par défaut est 28800.

Nous utiliserons la valeur par défaut de 28800 secondes comme durée de vie SA pour la phase I.

Remarque : Il est recommandé que la durée de vie de votre SA au cours de la phase I soit plus longue que la durée de vie de votre SA au cours de la phase II. Si vous raccourcissez la phase I par rapport à la phase II, vous devrez alors renégocier le tunnel en avant et en arrière fréquemment par opposition au tunnel de données. Le tunnel de données est ce qui nécessite plus de sécurité, il est donc préférable d'avoir une durée de vie plus courte dans la Phase II que dans la Phase I.

Étape 10. La phase II consiste à chiffrer les données qui sont échangées entre elles. Dans la Phase 2 Options, Sélectionnez un protocole dans la liste déroulante, les options sont les suivantes :

· Encapsulating Security Payload (ESP) : sélectionnez ESP pour le cryptage des données et saisissez le cryptage.

· Authentication Header (AH) : sélectionnez cette option pour l'intégrité des données dans les situations où les données ne sont pas secrètes, c'est-à-dire qu'elles ne sont pas chiffrées mais doivent être authentifiées. Elle sert uniquement à valider la source et la destination du trafic.

Dans cet exemple, nous allons utiliser ESP comme sélection de protocole.

Étape 11. Sélectionnez une option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer et déchiffrer les paquets ESP/ISAKMP.

Dans cet exemple, nous allons utiliser AES-128 comme option de cryptage.

Remarque : Voici quelques ressources supplémentaires qui peuvent vous aider : Configuration de la sécurité pour les VPN avec IPsec et le cryptage de nouvelle génération.

Étape 12. La méthode d’authentification détermine comment les paquets d’en-tête ESP (Encapsulating Security Payload Protocol) sont validés. Sélectionnez une authentification (MD5, SHA1 ou SHA2-256).

SHA2-256 a été sélectionné pour cet exemple.

Étape 13. Entrez la durée pendant laquelle un tunnel VPN (SA IPsec) est actif au cours de cette phase. La valeur par défaut de la phase 2 est de 3 600 secondes. Nous allons utiliser la valeur par défaut pour cette démonstration.

Étape 14. Cochez la case Enable pour activer la confidentialité de transmission parfaite. Lorsque le protocole PFS (Perfect Forward Secrecy) est activé, la négociation IKE Phase 2 génère de nouveaux éléments clés pour le cryptage et l'authentification du trafic IPsec. PFS est utilisé pour améliorer la sécurité des communications transmises sur Internet à l’aide de la cryptographie à clé publique. Ceci est recommandé si votre périphérique le prend en charge.

Étape 15. Sélectionnez un groupe Diffie-Hellman (DH). DH est un protocole d’échange de clés, avec deux groupes de longueurs de clés principales différentes, Groupe 2 - 1024 bits et Groupe 5 - 1536 bits. Nous avons sélectionné Groupe 2 - 1024 bits pour cette démonstration.

Remarque : Pour une vitesse et une sécurité plus rapides, choisissez Groupe 2. Pour une vitesse et une sécurité plus lentes, choisissez Groupe 5. Le groupe 2 est sélectionné par défaut.

Étape 16. Cliquez sur Apply pour ajouter un nouveau profil IPsec.

Conclusion

Vous devriez maintenant avoir créé un nouveau profil IPsec. Veuillez continuer ci-dessous pour vérifier que votre profil IPsec est ajouté. Vous pouvez également suivre les étapes pour copier votre fichier de configuration en cours dans le fichier de configuration initiale afin que toute votre configuration soit conservée entre les redémarrages.

Étape 1. Après avoir cliqué sur Apply, votre nouveau profil IPsec doit être ajouté.

Étape 2. En haut de la page, cliquez sur le bouton Save pour accéder à Configuration Management et enregistrer votre configuration en cours dans la configuration initiale. Ceci permet de conserver la configuration entre les redémarrages.

Étape 3. Dans la Gestion de la configuration, vérifiez que la source est en cours d’exécution et que la destination est la configuration initiale. Appuyez ensuite sur Apply pour enregistrer votre configuration en cours dans la configuration initiale. Toutes les configurations actuellement utilisées par le routeur se trouvent dans le fichier de configuration en cours, qui est volatile et n'est pas conservé entre les redémarrages. La copie du fichier de configuration en cours dans le fichier de configuration initiale conserve toute la configuration entre les redémarrages.

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)