Note:
Les paramètres suivants sont générés automatiquement et ne sont pas affichés dans l’interface utilisateur de J-Web :
Si la méthode d’authentification est Pre-Shared Key, la version IKE est 1, ike-user-type est shared-ike-id et mode est Aggressive.
Si la méthode d’authentification est basée sur un certificat, la version IKE est 2, ike-user-type est group-ike-id et mode est Main.
Algorithme de chiffrement
Sélectionnez le mécanisme de chiffrement approprié dans la liste.
La valeur par défaut est AES-CBC 256 bits.
Algorithme d’authentification
Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, SHA 256 bits.
Groupe DH
Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.
Secondes à vie
Sélectionnez la durée de vie (en secondes) d’une association de sécurité (SA) IKE.
La valeur par défaut est de 28 800 secondes. Autonomie : 180 à 86 400 secondes.
Détection des pairs morts
Activez cette option pour envoyer des requêtes de détection d’hom*ologue mort, qu’il y ait ou non du trafic IPsec sortant vers l’hom*ologue.
DPD Mode
Sélectionnez l’une des options dans la liste :
optimized : envoie des sondes uniquement lorsqu’il y a du trafic sortant et aucun trafic de données entrant - RFC3706 (mode par défaut).
probe-idle-tunnel : envoie les sondes de la même manière qu’en mode optimisé et également lorsqu’il n’y a pas de trafic de données entrant et sortant.
always-send : envoie des sondes périodiquement, quel que soit le trafic de données entrant et sortant.
Intervalle DPD
Sélectionnez un intervalle (en secondes) pour envoyer des messages de détection d’hom*ologue mort. L’intervalle par défaut est de 10 secondes. La plage est de 2 à 60 secondes.
Seuil DPD
Sélectionnez un nombre compris entre 1 et 5 pour définir le seuil d’échec DPD.
Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés lorsqu’il n’y a pas de réponse de l’hom*ologue. Le nombre par défaut de transmissions est de 5 fois.
NAT-T
Activez cette option pour que le trafic IPsec passe par un périphérique NAT.
NAT-T est un algorithme IKE de phase 1 utilisé pour tenter d’établir une connexion VPN entre deux périphériques de passerelle, où un périphérique NAT se trouve devant l’un des pare-feu SRX Series.
NAT Rester en vie
Sélectionnez l’intervalle keepalive approprié en secondes. Portée : 1 à 300.
Si l’on s’attend à ce que le VPN ait de longues périodes d’inactivité, vous pouvez configurer des valeurs keepalive pour générer un trafic artificiel afin de maintenir la session active sur les périphériques NAT.
Limite de connexion IKE
Entrez le nombre de connexions simultanées prises en charge par le profil VPN.
La plage est comprise entre 1 et 4294967295.
Lorsque le nombre maximal de connexions est atteint, plus aucun point de terminaison utilisateur d’accès distant (VPN) ne tentant d’accéder à un VPN IPsec ne peut commencer des négociations IKE (Internet Key Exchange).
IKEv2 Fragmentation
Cette option est activée par défaut. La fragmentation IKEv2 divise un message IKEv2 volumineux en un ensemble de messages plus petit* afin qu’il n’y ait pas de fragmentation au niveau IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément.
Note:
Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Taille des fragments IKEv2
Sélectionnez la taille maximale, en octets, d’un message IKEv2 avant qu’il ne soit divisé en fragments.
La taille s’applique au message IPv4. Plage : 570 à 1320 octets.
La valeur par défaut est de 576 octets.
Note:
Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Algorithme de chiffrement
Sélectionnez la méthode de chiffrement. La valeur par défaut est AES-GCM 256 bits.
Algorithme d’authentification
Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, HMAC-SHA-256-128.
Note:
Cette option est disponible lorsque l’algorithme de chiffrement n’est pas gcm.
Confidentialité persistante parfaite
Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’appareil utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.
PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés plus haut offrent plus de sécurité, mais nécessitent plus de temps de traitement.
Note:
group15, group16 et group21 prennent uniquement en charge la gamme SRX5000 de périphériques avec une carte SPC3 et un package junos-ike installés.
Secondes à vie
Sélectionnez la durée de vie (en secondes) d’une association de sécurité IPsec (SA). Lorsque la SA expire, elle est remplacée par une nouvelle SA et un nouvel index des paramètres de sécurité (SPI) ou résiliée. La valeur par défaut est de 3 600 secondes. Autonomie : 180 à 86 400 secondes.
Kilo-octets sur toute la durée de vie
Sélectionnez la durée de vie (en kilo-octets) d’une SA IPsec. La valeur par défaut est de 256 Ko. Portée : 64 à 4294967294.
Anti Replay
IPsec protège contre les attaques VPN en utilisant une séquence de numéros intégrée au paquet IPsec : le système n’accepte pas de paquet portant le même numéro de séquence.
Cette option est activée par défaut. L’Anti-Replay vérifie les numéros de séquence et applique la vérification, plutôt que de simplement ignorer les numéros de séquence.
Désactivez l’anti-relecture en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets dans le désordre, ce qui empêche le bon fonctionnement.
Intervalle d’installation
Sélectionnez le nombre maximal de secondes pour autoriser l’installation d’une association de sécurité sortante (SA) recléée sur l’appareil. Sélectionnez une valeur comprise entre 1 et 10.
Temps d’inactivité
Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes expirent après un certain temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.
Embout DF
Sélectionnez la façon dont l’appareil gère le bit Don’t Fragment (DF) dans l’en-tête externe :
clear : efface (désactive) le bit DF de l’en-tête externe. Il s’agit de l’option par défaut.
copy : copie le bit DF dans l’en-tête externe.
set : définissez (activez) le bit DF dans l’en-tête externe.
Copier le DSCP externe
Cette option est activée par défaut. Cela permet de copier le point de code de services différenciés (DSCP) (DSCP+ECN externe) du paquet chiffré de l’en-tête IP externe vers le message texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles CoS internes (DSCP+ECN).