Académique Documents
Professionnel Documents
Culture Documents
Si vous faites passer votre VPN à travers des pare-feu, il est utile de savoir quels protocoles
autoriser.
IPsec est une suite de protocoles distincts. Elle comprend :
- Internet Key Exchange (IKE) : IKE est utilisé pour authentifier les pairs, échanger des clés et
négocier le cryptage et les sommes de contrôle qui seront utilisés; il s'agit essentiellement
du canal de contrôle.
- AH contient l'en-tête d'authentification - les sommes de contrôle qui vérifient l'intégrité
des données.
- Encapsulation Security Payload (ESP) : ESP est la charge utile de sécurité encapsulée - la
charge utile chiffrée,
essentiellement, le canal de données.
Donc, si vous devez faire passer le trafic IPsec à travers un pare-feu, rappelez-vous : autoriser
un seul protocole ou numéro de port n'est généralement pas suffisant.
Notez que la RFC IPsec mentionne AH ; cependant, AH n'offre pas de cryptage, un avantage
important. AH n'est donc pas utilisé par FortiGate. Par conséquent, vous n'avez pas besoin
d'autoriser le protocole IP AH (51).
Pour créer un VPN, vous devez configurer des paramètres correspondants aux deux
extrémités, que le VPN soit entre deux dispositifs FortiGate, FortiGate et FortiClient, ou un
dispositif tiers et FortiGate. Si les paramètres ne correspondent pas, la configuration du
tunnel échoue.
Certains FAI bloquent le port UDP 500, ce qui empêche l'établissement d'un VPN IPsec. Vous
pouvez utiliser la commande CLI présentée sur la diapositive pour configurer des ports
personnalisés pour IKE et IKE NAT-T.
Le port UDP par défaut pour le trafic IKE est 500, mais vous pouvez sélectionner un port
personnalisé dans la plage de ports 1024 à 65535. Le port par défaut pour le trafic IKE en
mode NAT-T est 4500, mais vous pouvez le changer pour un port personnalisé de la plage de
ports 1024 à 65535.
IKE négocie les clés privées, les authentifications et le chiffrement que FortiGate utilise pour
créer un tunnel IPsec. Les associations de sécurité (SA) constituent la base de l'intégration
des fonctions de sécurité dans IPsec. IKE utilise deux phases distinctes : la phase 1 utilise une
seule SA bidirectionnelle, et la phase 2 utilise deux SA IPsec, une pour chaque direction de
trafic.
Ensuite, vous allez examiner les différences entre le mode agressif et le mode principal.
Cette diapositive montre le mode principal, où six paquets sont échangés :
1. Le client prend l'initiative en proposant les politiques de sécurité.
2. Le répondeur choisit la politique de sécurité qu'il accepte d'utiliser et répond.
3. L'initiateur envoie sa valeur publique Diffie Hellman.
4. Le répondeur répond avec sa propre valeur publique Diffie Hellman.
5. L'initiateur envoie son peer ID et son hash payloads.
6. Le répondeur répond avec son ID d'homologue et sa charge utile de hachage.