Paramètres de sécurité IPsec/IKE

La disponibilité de cette fonctionnalité dépend des quotas de service activés pour votre compte.

Le tableau suivant fournit plus de détails sur les paramètres de sécurité IPsec/IKE.

Paramètre Description
Algorithme de chiffrement L'algorithme de chiffrement qui sera utilisé pour s'assurer que les données ne peuvent pas être consultées pendant leur transit. Par défaut, tous les algorithmes sont sélectionnés. Vous devez configurer au moins un des algorithmes sélectionnés sur votre terminal de passerelle local pour chaque phase d'IKE.
Algorithme de hachage L'algorithme de hachage qui sera utilisé pour vérifier l'intégrité et l'authenticité des données. Par défaut, tous les algorithmes sont sélectionnés. Vous devez configurer au moins un des algorithmes sélectionnés sur votre terminal de passerelle local pour chaque phase d'IKE.
Numéros de groupes Diffie-Hellman

Les numéros de groupes Diffie-Hellman définissent la fiabilité de la clé utilisée dans le processus Internet Key Exchange (IKE).

Les numéros de groupes plus élevés sont plus sécurisés, mais nécessitent un temps de calcul plus long pour la clé.

Par défaut, tous les groupes sont sélectionnés. Vous devez configurer au moins un des groupes sélectionnés sur votre terminal de passerelle local pour chaque phase d'IKE.
Durée de vie (secondes)

La valeur de Durée de vie détermine la durée d'une instance de connexion avec un ensemble de clés de chiffrement/d'authentification pour les paquets utilisateur, de la négociation réussie à l'expiration.

Plage pour la phase 1 : 900-28 800 secondes avec par défaut 28 800.

Plage pour la phase 2 : 900-3 600 secondes avec par défaut 3 600.

La durée de vie de la phase 2 doit être inférieure à celle de la phase 1.

La connexion est renégociée via le canal de clés avant son expiration, voir Durée de marge du changement de clé. Si une divergence de durée de vie a lieu entre le site local et le site distant, un encombrement de connexions substituées se produira du côté où la durée de vie est la plus longue. Voir aussi Durée de marge du changement de clé et Fuzz du changement de clé.
Durée de marge du changement de clé (secondes) La durée de marge avant l'expiration de la connexion ou l'expiration du canal de changement de clé, au cours de laquelle le côté local de la connexion VPN essaie de négocier un remplacement. L'heure exacte du changement de clé est sélectionnée aléatoirement en fonction de la valeur de Fuzz du changement de clé. Pertinent uniquement au niveau local, le côté à distance n'a pas besoin de l'accepter. Plage : 900 à 3 600 secondes.La valeur par défaut est 3 600.
Taille de la fenêtre de réexécution (paquets)

La taille de la fenêtre de réexécution IPsec pour cette connexion.

La valeur par défaut -1 utilise la valeur configurée avec charon.replay_window dans le fichier strongswan.conf.

Les valeurs supérieures à 32 sont prises en charge uniquement lors de l'utilisation du back-end Netlink.

Une valeur de 0 désactive la protection contre les attaques par rejeu d'IPsec.
Fuzz du changement de clé (%)

Le pourcentage maximum pour lequel les valeurs marginbytes, marginpackets et margintime sont augmentées aléatoirement pour randomiser les intervalles de changement de clé (primordial pour les hôtes avec de nombreuses connexions).

La valeur fuzz du changement de clé peut dépasser 100 %. La valeur de marginTYPE, après l'augmentation aléatoire, ne doit pas dépasser celle de lifeTYPE, où TYPE correspond à Octets, Paquets ou Heure.

La valeur 0 % annule la randomisation. Pertinent uniquement au niveau local, le côté à distance n'a pas besoin de l'accepter.
Expiration du délai d'attente DPD (secondes) Durée après laquelle une expiration du délai d'attente de la fonction Dead peer detection (DPD) se produit. Vous pouvez spécifier la valeur 30 ou une valeur supérieure. La valeur par défaut est « 30 ».
Action d'expiration du délai d'attente de la fonction Dead peer detection (DPD)

L'action à effectuer après l'expiration du délai d'attente de la fonction dead peer detection (DPD).

Redémarrer : redémarrage de la session lors de l'expiration du délai d'attente DPD.

Effacer : fin de la session lors de l'expiration du délai d'attente DPD.

Aucun : aucune action lors de l'expiration du délai d'attente DPD.
Action de démarrage

Détermine quel côté démarre la connexion et établit le tunnel pour la connexion VPN.

Ajouter : votre passerelle VPN locale démarre la connexion.

Démarrer : la passerelle VPN dans le Cloud démarre la connexion.

Route : option adaptée aux passerelles VPN compatibles avec l'option de routage. Le tunnel est activé uniquement quand il y a un trafic provenant de la passerelle VPN locale ou la passerelle VPN dans le Cloud.