Paramètres IPsec

Sur cet appareil, il est possible de définir les paramètres IPsec à l'aide de Web Image Monitor. Le tableau ci-après reprend individuellement les paramètres.

Éléments de paramètres IPsec

Param.

Description

Définition de la valeur

IPsec

Ce paramètre permet d'activer ou de désactiver l'IPsec.

Actif

Inactif

Exclure la communication HTTPS

Ce paramètre permet d'activer ou de désactiver l'Ipsec pour la communication HTTPS.

Actif

Inactif

Définissez "Actif" si vous ne voulez pas utiliser IPsec pour la transmission HTTPS.

Le paramètre IPsec peut également être configuré depuis le panneau de commande.

Param.	Description	Définition de la valeur
IPsec	Ce paramètre permet d'activer ou de désactiver l'IPsec.	Actif Inactif
Exclure la communication HTTPS	Ce paramètre permet d'activer ou de désactiver l'Ipsec pour la communication HTTPS.	Actif Inactif Définissez "Actif" si vous ne voulez pas utiliser IPsec pour la transmission HTTPS.

Niveau de sécurité de l'échange automatique de clés de cryptage

Lorsque vous sélectionnez un niveau de sécurité, certains paramètres de sécurité sont automatiquement définis. Le tableau suivant contient des informations relatives aux fonctions des différents niveaux de sécurité.

Niveau de sécurité

Fonctions du niveau de sécurité

Authentification uniquement

Sélectionnez ce niveau si vous souhaitez authentifier le partenaire de la transmission et garantir l'intégrité des données sans cryptage des paquets de données.
Dans la mesure où les données sont transmises en clair, les paquets de données peuvent être interceptés. Ne sélectionnez pas ce niveau si vous échangez des données sensibles.

Authentification et faible niveau de cryptage

Sélectionnez ce niveau si vous souhaitez crypter les paquets de données, authentifier le partenaire de la transmission et garantir l'intégrité des données. Le cryptage de paquets empêche toute interception de données. Ce niveau offre moins de sécurité que "Authentification et niveau de cryptage élevé".

Authentification et niveau de cryptage élevé

Sélectionnez ce niveau si vous souhaitez crypter les paquets de données, authentifier le partenaire de la transmission et garantir l'intégrité des données. Le cryptage de paquets empêche toute interception de données. Ce niveau offre plus de sécurité que "Authentification et faible niveau de cryptage".

Le tableau suivant répertorie les paramètres qui sont automatiquement définis en fonction du niveau de sécurité.

Param.

Authentification uniquement

Authentification et faible niveau de cryptage

Authentification et niveau de cryptage élevé

Stratégie de sécurité

Appliquer

Appliquer

Appliquer

Mode encapsulation

Transport

Transport

Transport

Niveau d'exigence IPsec

Utiliser dès que possible

Utiliser dès que possible

Toujours demander

Méthode d'authentification

PSK

PSK

PSK

Phase 1 Algorithme de hachage

MD5

SHA1

SHA256

Phase 1 Algorithme de cryptage

DES

3DES

AES-128-CBC

Phase 1 Groupe Diffie-Hellman

2

2

2

Phase 2 Protocole de sécurité

AH

ESP

ESP

Phase 2 Algorithme d'authentification

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

Phase 2 Permissions d'algorithme de cryptage

Texte en clair (Pas de cryptage)

3DES/AES-128/AES-192/AES-256

AES-128/AES-192/AES-256

Phase 2 PFS

Inactif

Inactif

2

Niveau de sécurité	Fonctions du niveau de sécurité
Authentification uniquement	Sélectionnez ce niveau si vous souhaitez authentifier le partenaire de la transmission et garantir l'intégrité des données sans cryptage des paquets de données. Dans la mesure où les données sont transmises en clair, les paquets de données peuvent être interceptés. Ne sélectionnez pas ce niveau si vous échangez des données sensibles.
Authentification et faible niveau de cryptage	Sélectionnez ce niveau si vous souhaitez crypter les paquets de données, authentifier le partenaire de la transmission et garantir l'intégrité des données. Le cryptage de paquets empêche toute interception de données. Ce niveau offre moins de sécurité que "Authentification et niveau de cryptage élevé".
Authentification et niveau de cryptage élevé	Sélectionnez ce niveau si vous souhaitez crypter les paquets de données, authentifier le partenaire de la transmission et garantir l'intégrité des données. Le cryptage de paquets empêche toute interception de données. Ce niveau offre plus de sécurité que "Authentification et faible niveau de cryptage".

Param.	Authentification uniquement	Authentification et faible niveau de cryptage	Authentification et niveau de cryptage élevé
Stratégie de sécurité	Appliquer	Appliquer	Appliquer
Mode encapsulation	Transport	Transport	Transport
Niveau d'exigence IPsec	Utiliser dès que possible	Utiliser dès que possible	Toujours demander
Méthode d'authentification	PSK	PSK	PSK
Phase 1 Algorithme de hachage	MD5	SHA1	SHA256
Phase 1 Algorithme de cryptage	DES	3DES	AES-128-CBC
Phase 1 Groupe Diffie-Hellman	2	2	2
Phase 2 Protocole de sécurité	AH	ESP	ESP
Phase 2 Algorithme d'authentification	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
Phase 2 Permissions d'algorithme de cryptage	Texte en clair (Pas de cryptage)	3DES/AES-128/AES-192/AES-256	AES-128/AES-192/AES-256
Phase 2 PFS	Inactif	Inactif	2

Éléments des paramètres d'échange automatique de clés de cryptage

Lorsque vous sélectionnez un niveau de sécurité, les paramètres correspondants sont automatiquement définis ; toutefois, il faut définir manuellement d'autres paramètres, tels que le type d'adresse, l'adresse locale et l'adresse distante.

Après avoir choisi un niveau de sécurité, vous pouvez encore modifier les paramètres définis automatiquement. Lorsque vous modifiez un paramètre automatiquement défini, le niveau de sécurité passe automatiquement à "Paramètre utilisateur".

Param.

Description

Définition de la valeur

Type d'adresse

Indiquez le type d'adresse pour lequel est utilisée la transmission IPsec.

Inactif

IPv4

IPv6

IPv4/IPv6 (Paramètres par défaut uniquement)

Adresse locale

Indiquez l'adresse de l'appareil. Si vous utilisez plusieurs adresses dans IPv6, vous pouvez également sélectionner une plage d'adresses.

L'adresse IPv4 ou IPv6 de l'appareil.
Si vous ne sélectionnez pas de plage d'adresses, saisissez 32 après une adresse IPv4 ou 128 après une adresse IPv6.

Adresse distante

Indiquez l'adresse du partenaire de la transmission IPsec. Vous pouvez aussi spécifier une plage d'adresses.

L'adresse IPv4 ou IPv6 du partenaire de la transmission IPsec.
Si vous ne sélectionnez pas de plage d'adresses, saisissez 32 après une adresse IPv4 ou 128 après une adresse IPv6.

Stratégie de sécurité

Spécifiez la manière de gérer IPsec.

Appliquer

Bypass

Écarter

Mode encapsulation

Sélectionnez le mode d'encapsulation.
(paramètre auto.)

Transport

Tunnel

Si vous sélectionnez "Tunnel", vous devez préciser les "Point de fin de tunnel" qui correspondent aux adresses IP initiale et finale. Pour le point initial, choisissez la même adresse que celle qui a été définie sous "Adresse locale".

Niveau d'exigence IPsec

Spécifiez si vous souhaitez transmettre uniquement par IPsec ou permettre une transmission en texte clair lorsqu'IPsec ne peut pas être établi.
(paramètre auto.)

Utiliser dès que possible

Toujours demander

Méthode d'authentification

Indiquez la méthode d'authentification des partenaires de transmission.
(paramètre auto.)

PSK

Certificat

Si vous spécifiez "PSK", vous devez alors définir le texte PSK (avec des caractères ASCII).

Si vous utilisez "PSK", définissez un mot de passe PSK de 32 caractères ASCII au maximum.

Si vous spécifiez "Certificat", le certificat pour IPsec doit être installé et spécifié avant de pouvoir être utilisé.

PSK Texte

Spécifiez la clé préalablement partagée pour
l'authentification PSK.

Saisissez la clé préalablement partagée pour l'authentification PSK.

ID distant

Spécifiez l'ID distant pour l'authentification du certificat.

Lorsque vous sélectionnez Certificat pour la méthode d'authentification, saisissez les noms distinctifs (DN) du sujet que la partie en communication indique.
Vous pouvez saisir les noms distinctifs (DN) des sujets en utilisant jusqu'à 191 caractères ASCII.

Phase 1

Algorithme de hachage

Spécifiez l'algorithme de hachage à utiliser en phase 1.
(paramètre auto.)

MD5

SHA1

SHA256

SHA384

SHA512

Phase 1

Algorithme de cryptage

Sélectionnez l'algorithme de cryptage à utiliser au cours de la phase 1.
(paramètre auto.)

DES

3DES

AES-128-CBC

AES-192-CBC

AES-256-CBC

Phase 1

Groupe Diffie-Hellman

Sélectionnez le numéro de groupe Diffie-Hellman utilisé pour la génération de clé de cryptage IKE.
(paramètre auto.)

1

2

14

Phase 1

Période de validité

Définissez la durée de validité des paramètres de SA de la phase 1.

Définissez ce paramètre en secondes, en choisissant une valeur comprise entre 300 secondes (5 mn) et 172 800 secondes (48 h).

Phase 2

Protocole de sécurité

Définissez le protocole de sécurité à utiliser au cours de la phase 2.

Pour appliquer à la fois le cryptage et l'authentification aux données envoyées, spécifiez "ESP" ou "ESP+AH".

Pour n'appliquer que l'authentification des données, définissez "AH".

(paramètre auto.)

ESP

AH

ESP+AH

Phase 2

Algorithme d'authentification

Définissez l'algorithme d'authentification à utiliser au cours de la phase 2.
(paramètre auto.)

HMAC-MD5-96

HMAC-SHA1-96

HMAC-SHA256-128

HMAC-SHA384-192

HMAC-SHA512-256

Phase 2

Permissions d'algorithme de cryptage

Sélectionnez l'algorithme de cryptage à utiliser au cours de la phase 2.
(paramètre auto.)

Texte en clair (Pas de cryptage)

DES

3DES

AES-128

AES-192

AES-256

Phase 2

PFS

Indiquez si vous souhaitez ou non activer PFS. Sélectionnez le groupe Diffie-Hellman si PFS est actif.
(paramètre auto.)

Inactif

1

2

14

Phase 2

Période de validité

Définissez la durée de validité des paramètres de SA de la phase 2.

Définissez une durée comprise entre 300 secondes (5 min.) et 172 800 secondes (48 h).