Spécification des paramètres IPsec sur l'ordinateur
Spécifiez exactement les mêmes paramètres pour les paramètres SA IPsec sur votre ordinateur que ceux spécifiés par le niveau de sécurité de la machine sur la machine. Les méthodes varient en fonction du système d'exploitation de la machine. L'exemple de procédure illustré ici utilisez Windows XP lorsque le niveau Authentification et Sécurité de cryptage faible niveau est sélectionné.
Dans le menu [Démarrer], cliquez sur [Panneau de configuration], cliquez sur [Performances et Maintenance], et cliquez ensuite sur [Outils d'administration].
Cliquez sur [Politique de sécurité locale].
Cliquez sur [Politiques de sécurité IP sur ordinateur local].
Dans le menu "Action", cliquez sur [Créer politique de sécurité IP].
L'Assistant politique de sécurité IP apparaît.
Cliquez sur [Suivant].
Saisissez un nom de politique de sécurité dans "Nom" et cliquez ensuite sur [Suivant].
Désactivez la case à cocher "Activez la règle de réponse par défaut" et cliquez ensuite sur [Suivant].
Sélectionnez "Editer propriétés" et cliquez ensuite sur [Terminer].
Dans l'onglet "Général", cliquez sur [Avancé].
Dans "Authentifier et générer une nouvelle clé tous les", entrez la même période de validité (en minutes) que celle spécifiée sur la machine dans Paramètres d'échange automatique de la clé de cryptage Phase 1, et cliquez ensuite sur [Méthodes].
Confirmez que la combinaison du condensé numérique (sur Windows XP, "Intégritééquot;), l'algorithme de cryptage (sur Windows XP, "Cryptage") et les paramètres du groupe Diffie-Hellman dans "Ordre de préférence de la méthode de sécurité" correspond aux paramètres spécifiés dans Paramètres d'échange automatique de la clé de cryptage Phase 1.
Si les paramètres ne sont pas affichés, cliquez sur [Ajouter].
Cliquez deux fois sur [OK].
Cliquez sur [Ajouter] dans l'onglet "Règles".
L'Assistant Règle de sécurité apparaît.
Cliquez sur [Suivant].
Sélectionnez "Cette règle ne spécifie pas de tunnel" et cliquez ensuite sur [Suivant].
Sélectionnez le type de réseau pour IPsec et cliquez ensuite sur [Suivant].
Sélectionnez la "Méthode d'authentification initiale" et cliquez ensuite sur [Suivant].
Si vous sélectionnez "Certificat" pour la méthode d'authentification dans Paramètres d'échange automatique de la clé de cryptage, spécifiez le certificat du périphérique. Si vous sélectionnez PSK, entrez le même texte PSK spécifié sur la machine avec la clé pré-partagée.
Cliquez sur [Ajouter] dans la liste Filtre IP.
Dans [Nom], entrez un nom de filtre IP et cliquez ensuite sur [Ajouter].
L'Assistant filtre IP apparaît.
Cliquez sur [Suivant].
Sélectionnez "Mon adresse" dans "Adresse source" et cliquez ensuite sur [Suivant].
Sélectionnez "Une adresse spécifique" dans "Adresse de destinataire", saisissez l'adresse IP de la machine et cliquez ensuite sur [Suivant].
Sélectionnez le type de protocole pour IPsec et cliquez ensuite sur [Suivant].
Cliquez sur [Terminer].
Cliquez sur [OK].
Sélectionnez le filtre IP que vous venez de créer et cliquez ensuite sur [Suivant].
Sélectionnez le filtre de sécurité IPsec et cliquez ensuite sur [Edition].
Cliquez sur [Ajouter], activez la case à cocher "Personnalisé" et cliquez ensuite sur [Paramètres].
Dans "Algorithme d'intégrité", sélectionnez l'algorithme d'authentification qui a été spécifié sur la machine dans Paramètres d'échange automatique de la clé de cryptage Phase 2.
Dans "Algorithme de cryptage", sélectionnez l'algorithme de cryptage qui est spécifié sur la machine dans Paramètres d'échange automatique de la clé de cryptage Phase 2.
Dans Paramètres clés de la session, sélectionnez "Générer une nouvelle clé tous les" et entrez la période de validité (en secondes) spécifiée dans la machine dans Paramètres d'échange automatique de la clé de cryptage Phase 2.
Cliquez sur [OK] trois fois.
Cliquez sur [Suivant].
Cliquez sur [Terminer].
Cliquez sur [OK].
Cliquez sur [Fermer].
La nouvelle politique de sécurité IP (Paramètres IPsec) est spécifiée.
Sélectionnez la politique de sécurité qui a été créée, cliquez avec le bouton droit et cliquez ensuite sur [Assigner].
Les paramètres IPsec de l'ordinateur sont activés.
Pour désactiver les paramètres IPsec de l'ordinateur, sélectionnez la politique de sécurité, cliquez avec le bouton droit et cliquez ensuite sur [Annuler assignation].
Si vous spécifiez le niveau de sécurité "Authentification et cryptage de niveau élevé" dans les paramètres d'échange automatique de la clé de cryptage, activement également la case à cocher "Perfect Forward Secrecy (PFS) clé principale" dans l'écran Propriétés du filtre de sécurité (qui apparaît à l'étape 29). Si vous utilisez PFS dans Windows XP, le numéro du groupe PFS utilisé à la phase 2 est automatiquement négocié dans la phase 1 du numéro du groupe Diffie-Hellman (défini à l'étape 11). Par conséquent, si vous modifiez les paramètres automatiques spécifiés dans le niveau de sécurité de la machine et si "Paramètre utilisateur" apparaît, vous devez définir le même numéro de groupe pour "Phase 1 groupe Diffie-Hellman" et "Phase 2 PFS" sur la machine pour établir une communication IPsec.
