{"id":121,"date":"2020-09-01T17:48:01","date_gmt":"2020-09-01T15:48:01","guid":{"rendered":"https:\/\/whatifsecu.tech\/?p=121"},"modified":"2020-09-01T17:56:36","modified_gmt":"2020-09-01T15:56:36","slug":"recommandations-de-securite-relatives-a-ipsec","status":"publish","type":"post","link":"https:\/\/whatifsecu.tech\/?p=121","title":{"rendered":"Recommandations de s\u00e9curit\u00e9 relatives \u00e0 IPsec"},"content":{"rendered":"\n

Source: https:\/\/www.ssi.gouv.fr\/uploads\/2012\/09\/NT_IPsec.pdf<\/a> <\/p>\n\n\n\n

Le document en question r\u00e9dig\u00e9 par l\u2019ANSSI pr\u00e9sente les \u00ab Recommandations de s\u00e9curit\u00e9 relatives \u00e0 IPsec a pour la protection des flux r\u00e9seau \u00bb. Il est t\u00e9l\u00e9chargeable sur le site www.ssi. gouv.fr\/ipsec. Il constitue une production originale de l\u2019ANSSI. Il est \u00e0 ce titre plac\u00e9 sous le r\u00e9gime de la \u00ab Licence ouverte \u00bb publi\u00e9e par la mission Etalab (www.etalab.gouv.fr). Il est par cons\u00e9quent diffusable sans restriction. Ces recommandations sont livr\u00e9es en l\u2019\u00e9tat et adapt\u00e9es aux menaces au jour de leur publication. Au regard de la diversit\u00e9 des syst\u00e8mes d\u2019information, l\u2019ANSSI ne peut garantir que ces informations puissent \u00eatre reprises sans adaptation sur les syst\u00e8mes d\u2019information cibles. Dans tous les cas, la pertinence de l\u2019impl\u00e9mentation des \u00e9l\u00e9ments propos\u00e9s par l\u2019ANSSI doit \u00eatre soumise, au pr\u00e9alable, \u00e0 la validation de l\u2019administrateur du syst\u00e8me et\/ou des personnes en charge de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information. <\/p>\n\n\n\n

Ce pr\u00e9sent article n’est qu’un condens\u00e9 technique des bonnes pratiques \u00e9voqu\u00e9es, et utilisant la convention Rx.<\/p>\n\n\n\n

R1= Il est recommand\u00e9 de recourir \u00e0 la liste des produits suivantes [\u00e9valu\u00e9s par l\u2019ANSSI] , en priorit\u00e9 \u00e0 ceux qui sont qualifi\u00e9s (ou sinon certifi\u00e9s) d\u00e8s lors qu\u2019il existe un besoin de produits de confiance.
Disponible sur www.ssi.gouv.fr\/fr\/certification-qualification\/<\/p>\n\n\n\n

R2= [A choisir entre VPN SSL et VPN IPSEC, si priorit\u00e9 est donn\u00e9 \u00e0 la s\u00e9curit\u00e9] il est recommand\u00e9 d\u2019utiliser IPsec plut\u00f4t que TLS. <\/p>\n\n\n\n

R3= L\u2019emploi d\u2019IPsec doit se faire avec le protocole ESP. Bien qu\u2019il ne pr\u00e9sente pas de risque de s\u00e9curit\u00e9 en soi, l\u2019emploi d\u2019AH est d\u00e9conseill\u00e9 <\/p>\n\n\n\n

R7\/R10= Il est pr\u00e9f\u00e9rable de fixer a priori les algorithmes et tailles de cl\u00e9s employ\u00e9s (ou de r\u00e9duire le nombre de SA<\/strong> possible) et de n\u2019utiliser IKE que pour l\u2019\u00e9change de cl\u00e9s. On privil\u00e9giera la configuration statique des SP lorsque le cadre d\u2019emploi le permet <\/p>\n\n\n\n

R8 = Il est recommand\u00e9 d\u2019utiliser la version 2 d\u2019IKE.
> Lorsque la pr\u00e9sence de NAT peut aller aussi en faveur de IKE v2
> L’interop\u00e9rabilit\u00e9 entre plusieurs \u00e9diteurs de s\u00e9curit\u00e9 est parfois meilleure sur IKEv1.<\/strong><\/p>\n\n\n\n

R9= Pr\u00e9f\u00e9rer une initialisation reposant sur une PKI (auth par certificat) plutot que via PSK (cl\u00e9 pr\u00e9-partag\u00e9e)<\/p>\n\n\n\n

R12= Si possible, mettre en \u0153uvre la propri\u00e9t\u00e9 PFS en phase 2 \u00ab quick mode \u00bb<\/strong> l\u2019\u00e9change de cl\u00e9 Diffie-Hellman \u00e9ph\u00e9m\u00e8re classique ou sa variante sur courbes elliptiques. <\/p>\n\n\n\n

R13= Si possible, il est recommand\u00e9 de forcer le renouvellement <\/strong>p\u00e9riodique des cl\u00e9s, par exemple toutes les heures <\/strong>et tous les 100 Go de donn\u00e9es, afin de limiter l\u2019impact de la compromission d\u2019une cl\u00e9 sur le trafic des donn\u00e9es <\/p>\n\n\n\n

R15= Il est d\u00e9conseill\u00e9 d\u2019utiliser 3DES, SHA-1 ou ECDSA avec des cl\u00e9s de moins de 256 bits si des alternatives plus s\u00e9curis\u00e9es telles qu\u2019AES (AES-128 ou AES-256<\/strong>), SHA-2 (SHA224, SHA-256, SHA-384 ou SHA-512) ou ECDSA avec des cl\u00e9s d\u2019au moins 256 bits sont disponibles. <\/p>\n\n\n\n

R16= Ne plus utiliser les groupes Diffie-Hellman<\/strong> 1 et 2.
On privil\u00e9giera les groupes ayant des modules de taille plus importante (comme les groupes 14 et 15<\/strong>) voire (si possible) les groupes construits sur des courbes elliptiques d\u2019au moins 256 bits (comme la courbe ecp256, aussi nomm\u00e9e groupe 19 ou encore la courbe ecp384bp, normalis\u00e9e sous l\u2019appellation groupe 29). <\/p>\n\n\n\n

Sp\u00e9cificit\u00e9s FORTINET:
<\/em><\/strong>Au 1er Septembre 2020, FortiOS 6.2.4, la configuration par d\u00e9faut issue du Wizard Fortinet utilise:<\/p>\n\n\n\n

Phase1
<\/em><\/strong>IKE v1 – main mode
proposal: aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
dhgrp: 14 5
suiteb: disable<\/p>\n\n\n\n

Phase2:<\/em><\/strong>
proposal: aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
PFS: enable
DH Group: 14 5
<\/p>\n","protected":false},"excerpt":{"rendered":"

Source: https:\/\/www.ssi.gouv.fr\/uploads\/2012\/09\/NT_IPsec.pdf Le document en question r\u00e9dig\u00e9 par l\u2019ANSSI pr\u00e9sente les \u00ab Recommandations de s\u00e9curit\u00e9 relatives \u00e0 IPsec a pour la protection des flux r\u00e9seau \u00bb. Il est t\u00e9l\u00e9chargeable sur le site www.ssi. gouv.fr\/ipsec. Il constitue une production originale de… Continue Reading →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[6],"tags":[],"class_list":["post-121","post","type-post","status-publish","format-standard","hentry","category-best-practices"],"_links":{"self":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts\/121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=121"}],"version-history":[{"count":3,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts\/121\/revisions"}],"predecessor-version":[{"id":124,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts\/121\/revisions\/124"}],"wp:attachment":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}