Paramètres IPsec
Les paramètres IPsec de cet appareil peuvent être définis avec Web Image Monitor. Le tableau ci-après détaille les éléments de paramètrage individuel.
Échange automatique de clé de cryptage/Paramètres manuels - Paramètres partagés
Paramètre |
Description |
Valeur du paramètre |
|---|---|---|
IPsec |
Specifiez comment activer ou désactiver IPsec. |
|
Exclure la communication HTTPS |
Spécifiez si la fonction IPsec doit être activée pour la transmission HTTPS. |
Spécifiez "Actif" si vous ne voulez pas utiliser IPsec pour la transmission HTTPS. |
Paramètres manuels de clé de cryptage |
Spécifiez si vous voulez activer les paramètres manuels de clé de cryptage ou uniquement utiliser les paramètres d'échange automatique de clés de cryptage. |
Specifiez "Actif" si vous voulez utiliser les "Paramètres d'échange automatique de clés de cryptage". |
Niveau de sécurité d'échange automatique de clés de cryptage
Lorsque vous sélectionnez un niveau de sécurité, certains paramètres de sécurité sont automatiquement définis. Le tableau suivant détaillle les caractéristiques de niveaux de sécurité.
Niveau de sécurité |
Caractéristiques du niveau de sécurité |
|---|---|
Authentification uniquement |
Sélectionnez ce niveau si vous voulez authentifier le partenaire de transmission et empêcher la modification non autorisée des données mais sans effectuer un cryptage de paquet de données. Les données étant envoyées en texte clair, les paquets de données sont vulnérables aux attaques d'écoute. Ne sélectionnez pas cette option si vous échangez des données sensibles. |
Authentification et faible niveau de cryptage |
Sélectionnez ce niveau si vous voulez authentifier le partenaire de transmission et empêcher la modification non autorisée des données et effectuer un cryptage des paquet de données. Le cryptage aide à prévenir les attaques d'écoute. Ce niveau offre moins de sécurité que l'"Authentification et le cryptage de haut niveau". |
Authentification et niveau de cryptage élevé |
Sélectionnez ce niveau si vous voulez effectuer un cryptage des paquet de données, authentifier le partenaire de transmission et empêcher la modification non autorisée des données. Le cryptage aide à prévenir les attaques d'écoute. Ce niveau offre plus de sécurité que l'"Authentification et cryptage de faible niveau". |
Le tableau suivant détaille les paramètres automatiquement configurés selon le niveau de sécurité.
Paramètre |
Authentification seulement |
Authentification et cryptage de faible niveau |
Authentification et cryptage de haut niveau |
|---|---|---|---|
Stratégie de sécurité |
Appliquer |
Appliquer |
Appliquer |
Mode encapsulation |
Transport |
Transport |
Transport |
Niveau d'exigence IPsec |
Utiliser lorsque possible |
Utiliser lorsque possible |
Toujours exiger |
Méthode d'authentification |
PSK |
PSK |
PSK |
Phase 1 Algorithme de hachage |
MD5 |
SHA1 |
SHA1 |
Phase 1 Algorithme de cryptage |
DES |
3DES |
3DES |
Phase 1 Groupe Diffie-Hellman |
2 |
2 |
2 |
Phase 2 Protocole de sécurité |
AH |
ESP |
ESP |
Phase 2 Algorithme d'authentification |
HMAC-MD5-96/HMAC-SHA1-96 |
HMAC-MD5-96/HMAC-SHA1-96 |
HMAC-SHA1-96 |
Phase 2 Algorithme de cryptage |
Texte clair (cryptage NULL) |
DES/3DES/AES-128/AES-192/AES-256 |
3DES/AES-128/AES-192/AES-256 |
Phase 2 PFS |
Inactif |
Inactif |
2 |
Éléments de paramètres d'échange automatique de clés de cryptage
Lorsque vous spécifiez un niveau de sécurité, les paramètres correspondants de sécurité sont automatiquement définis mais les autres paramètres tels que le type d'adresse, l'adresse locale et l'adresse distante doivent toujours être manuellement configurés.
Après avoir spécifié un niveau de sécurité, vous pouvez toujours apporter des modifications aux paramètres automatiquement définis. Lorsque vous modifiez un paramètre automatiquement défini, le niveau de sécurité passe automatiquement à "Paramètre utilisateur".
Paramètre |
Description |
Valeur du paramètre |
|---|---|---|
Type d'adresse |
Spécifiez le type d'adresse pour lequel est utilisée la transmission IPsec. |
|
Adresse locale |
Spécifiez l'adresse IP de l'appareil. Si vous utilisez de multiples adresses dans IPv6, vous pouvez aussi spécifier une plage d'adresses. |
L'adresse IPv4 ou IPv6 du système. Si vous ne définissez pas de plage d'adresses, saisissez 32 après une adresse IPv4 ou 128 après une adresse IPv6. |
Adresse distante |
Spécifiez l'adresse du partenaire de transmission IPsec. Vous pouvez aussi spécifier une plage d'adresses. |
L'adresse du partenaire de transmission IPsec pour IPv4 ou IPv6. Si vous ne définissez pas de plage d'adresses, saisissez 32 après une adresse IPv4 ou 128 après une adresse IPv6. |
Stratégie de sécurité |
Spécifiez la manière de gérer IPsec. |
|
Mode encapsulation |
Spécifiez le mode d'encapsulation. (configuration automatique) |
(Adresse de début de tunnel - Adresse de fin de tunnel) Si vous spécifiez "Tunnel", vous devez alors spécifier les "Points d'extrémités de tunnel", qui sont les adresses IP de début et de fin. Configurez la même adresse pour le point de début et pour celle définie dans "Adresse locale". |
Niveau d'exigence IPsec |
Spécifiez si vous voulez transmettre uniquement par IPsec ou permettre une transmission en texte clair lorsqu'IPsec ne peut pas être établie. (configuration automatique) |
|
Méthode d'authentification |
Spécifiez la méthode destinée à authentifier les partenaires de transmission. (configuration automatique) |
Si vous spécifiez PSK, vous devez alors définir le texte PSK (avec des caractères ASCII). Si vous spécifiez Certificat, le certificat pour IPsec doit être installé et spécifié avant d'être utilisé. |
Texte PSK |
Spécifiez la clé préalablement partagée pour l'authentification PSK. |
Saisissez la clé préalablement partagée pour l'authentification PSK. |
Phase 1 Algorithme de hachage |
Spécifiez l'algorithme HASH (hachage) à utiliser en phase 1. (configuration automatique) |
|
Phase 1 Algorithme de cryptage |
Spécifiez l'algorithme de cryptage devant être utilisé en phase 1. (configuration automatique) |
|
Phase 1 Groupe Diffie-Hellman |
Sélectionnez le numéro de groupe Diffie-Hellman utilisé pour la génération de clé de cryptage IKE. (configuration automatique) |
|
Phase 1 Période de validité |
Spécifiez la période pendant laquelle seront valides les paramètres AS en phase 1. |
Définissez en secondes, de 300 sec. (5 min.) à 172800 sec. (48 heures). |
Phase 2 Protocole de sécurité |
Spécifiez le protocole de sécurité à utiliser en Phase 2. Pour appliquer le cryptage et l'authentification aux données envoyées, définissez ESP ou ESP+AH. Spécifiez AH pour n'appliquer que l'authentification. (configuration automatique) |
|
Phase 2 Algorithme d'authentification |
Spécifiez l'algorithme d'authentification à utiliser en phase 2. (configuration automatique) |
|
Phase 2 Algorithme de cryptage Permissions |
Spécifiez l'algorithme de cryptage à utiliser en phase 2. (configuration automatique) |
|
Phase 2 PFS |
Spécifiez si vous voulez activer PFS. Puis, si PFS est activé, sélectionnez le groupe Diffie-Hellman. (configuration automatique) |
|
Phase 2 Période de validité |
Spécifiez la période pendant laquelle seront valides les paramètres AS en phase 2. |
Spécifiez une période (en secondes), de 300 sec. (5 min.) à 172800 sec. (48 heures). |
Éléments de paramètres manuels de clé de cryptage
Paramètre |
Description |
Valeur du paramètre |
|---|---|---|
Type d'adresse |
Spécifiez le type d'adresse pour lequel est utilisée la transmission IPsec. |
|
Adresse locale |
Spécifiez l'adresse IP du système. Si vous utilisez de multiples adresses IPv6, vous pouvez aussi spécifier une plage d'adresses. |
L'adresse IPv4 ou IPv6 du système. Si vous ne définissez pas de plage d'adresses, saisissez 32 après une adresse IPv4 ou 128 après une adresse IPv6. |
Adresse distante |
Spécifiez l'adresse du partenaire de transmission IPsec. Vous pouvez aussi spécifier une plage d'adresses. |
L'adresse du partenaire de transmission IPsec pour IPv4 ou IPv6. Si vous ne définissez pas de plage d'adresses, saisissez 32 après une adresse IPv4 ou 128 après une adresse IPv6. |
Mode encapsulation |
Sélectionnez le mode d'encapsulation. |
(Adresse de début de tunnel - Adresse de fin de tunnel) Si vous sélectionnez "Tunnel", définissez les "Points d'extrémités de tunnel", qui sont les adresses IP de début et de fin. Dans "Points d'extrémités de tunnel", définissez la même adresse pour le point de début et pour celle définie dans "Adresse locale". |
SPI (sortie) |
Spécifiez la même valeur que la valeur SPI d'entrée pour votre partenaire de transmission. |
Tout nombre entre 256 et 4095 |
SPI (entrée) |
Spécifiez la même valeur que la valeur de sortie SPI saisie pour votre partenaire de transmission. |
Tout nombre entre 256 et 4095 |
Protocole de sécurité |
Pour appliquer le cryptage et l'authentification aux données envoyées, définissez ESP ou ESP+AH. Pour n'appliquer que l'authentification, spécifiez AH. |
|
Algorithme d'authentification |
Spécifiez l'algorithme d'authentification. |
|
Clé d'authentification |
Spécifiez la clé pour l'algorithme d'authentification. |
Spécifiez une valeur dans la plage indiquée ci-dessous, selon l'algorithme de cryptage. Valeur hexadécimale 0-9, a-f, A-F
ASCII
|
Algorithme de cryptage |
Spécifiez l'algorithme de cryptage |
|
Clé de cryptage |
Spécifiez la clé pour l'algorithme de cryptage. |
Spécifiez une valeur dans la plage indiquée ci-dessous, selon l'algorithme de cryptage. valeur hexadécimale 0-9, a-f, A-F
ASCII
|
