Authentification ou Phase 1

6.3.1 Qu'est ce que la Phase 1 ?

La page 'Authentification' permet de configurer les différents éléments d'une Phase d'Authentification (alias Phase 1 ou Phase de négociation IKE).

Le but de la phase 1 est de négocier les règles de sécurité IKE, d'authentifier les correspondants, et de démarrer un tunnel sécurisé entre ces correspondants. Dans la Phase 1, chaque extrémité doit identifier et s'authentifier auprès des autres.

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

33

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.3.2 Phase 1 Description des paramètres

Nom Identifiant de la Phase d'Authentification utilisé uniquement par le logiciel. Ce paramètre n'est, par exemple, pas transmis dans la négociation IKE.

Il est possible de modifier le nom d'une Phase à tout moment. Une modification de nom sera reflété dans l'arborescence. Deux phases ne peuvent pas avoir le même nom.

Interface Adresse IP de l'interface réseau sur laquelle la connexion VPN s'établit (dans notre exemple : 195.100.205.101).

Lorsque cette adresse IP n'est pas prédéfinie (c'est le cas par exemple lorsqu'elle est allouée dynamiquement par un FAI), sélectionner l'option

" Automatique ".

Adresse Router Distant Adresse IP ou adresse DNS du routeur VPN distant (dans notre exemple : routeur.mydomain.com). Ce champ doit être

obligatoirement renseigné.

Clé partagée Mot de passe ou clé partagée par le routeur ou le destinataire.

Certificats Certificat X509 utilisé par le Client VPN (voir Configuration Client VPN avec Certificats)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

34

Propriete de TheGreenBow© - Sistech SA 2000-2007 IKE Chiffrement Algorithme de chiffrement négocié au cours de la Phase

d'Authentification (3DES, AES, ...)

IKE authentification Algorithme d'authentification négocié au cours de la Phase d'Authentification (MD5, SHA, ...)

IKE Groupe de clé Longueur de clé Diffie-Hellman.

Une fois configurés, cliquer sur 'Sauver & Appliquer' pour que les paramètres soient pris en compte.

6.3.3 Phase 1 Description des paramètres avancés

Config-Mode Si sélectionné, le Client VPN active le Config-Mode. Le Config-Mode permet de recupérer certains éléments de configuration VPN depuis la gateway/routeur. Si le Config-Mode est selectionné et disponible sur la gateway, les paramètres suivants sont négociés entre le Client VPN IPSec et la gateway distante durant la Phase 1 IKE:

· Adresse IP Virtuelle du Client VPN

· Adresse du serveur DNS (optionnel)

· Adresse du serveur WINS (optionnel)

Dans le cas où la gateway ne supporte pas le Config-Mode, il est possible de configurer ces adresses IP de serveurs DNS/WINS pour chaque tunnel dans le Client VPN (voir 'P2 avancé').

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

35

Propriete de TheGreenBow© - Sistech SA 2000-2007 Aggressive Mode Le Client VPN utilisera le mode agressif pour se connecter au

routeur VPN distant.

Redund. GW La fonctionnalité de Redundant Gateway (ou gateway de secours) permet au Client VPN TheGreenBow d'ouvrir un tunnel IPSec avec une gateway de secours dans le cas où la gateway primaire est indisponible ou inaccessible.

Pour activer la fonction de Gateway de Secours, saisir une adresse IP ou l'url de cette gateway (e.g. router.dyndns.com).

· Le Client VPN TheGreenBow va essayer de contacter la gateway primaire pour établir un tunnel. Si le tunnel ne peut être établi après plusieurs tentatives (5 par défaut, configurable dans la fenêtre "Paramètres" puis le champ "Retransmissions"), la gateway de secours est utilisée comme nouvelle destination.

Le délai entre chaque essais est de 10 sec environ.

· Dans le cas où la gateway primaire est accessible mais que l'ouverture du tunnel est impossible (e.g. problème de configuration VPN), le Client VPN n'essaye pas d'ouvrir les tunnels avec la gateway de secours. La configuration VPN nécessite des modifications.

· Dans le cas où le tunnel a été ouvert avec la gateway primaire et que celle-ci supporte le "Dead Peer Detection", le Client VPN essaye immédiatement d'ouvrir le tunnel avec la gateway de secours s'il détecte que la gateway primaire ne répond plus.

· Le même comportement s'applique pour la gateway de secours. Le Client VPN essayera d'ouvrir le tunnel avec la gateway de secours et primaire jusqu'à ce que l'utilisateur quitte le logiciel ou clique sur "Sauver & Appliquer".

Mode NAT-T Le mode NAT-T peut être Forcé, Désactivé ou Automatique.

NAT-T "Désactivé" interdit au Client VPN IPSec et à la gateway VPN de passer en mode NAT-Traversal.

NAT-T "Automatique" laisse la gateway VPN et le Client VPN IPSec négocier le mode NAT-Traversal.

Dans le mode NAT-T "Forcé" le Client VPN IPSec TheGreenBow force NAT-T par l'encapsulation systématique des packets IPSec dans des trames UDP pour résoudre les problèmes de NAT-Traversal dans certains routeurs intermédiaires.

Local ID Le 'Local ID' est l'identifiant de la Phase d'Authentification (Phase 1) que le Client VPN envoie au routeur VPN distant. Suivant le Type sélectionné, cet identifiant peut être :

· une adresse IP (type = Adresse IP), e.g. 195.100.205.101

· un nom de domaine (type = FQDN), e.g. gw.mydomain.net

· une adresse email (type = USER FQDN), e.g.

support@TheGreenBow.fr

· une chaîne de caractères (type = KEY ID), e.g. 123456

· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du Client VPN qui est utilisée par défaut.

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

36

Propriete de TheGreenBow© - Sistech SA 2000-2007 Remote ID Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir

du routeur VPN distant. Suivant le type sélectionné, cet identifiant peut être :

· une adresse IP (type = Adresse IP), par exemple : 80.2.3.4

· un nom de domaine (type = FQDN), par exemple : routeur.

mondomaine.com

· une adresse email (type = USER FQDN), par exemple : admin@mydomain.com

· une chaîne de caractères (type = KEY ID), par exemple : 123456

· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN qui est utilisée par défaut.

X-Auth Saisir le Login et mot de passe choisis pour la négociation X-AUTH IPSec.

Si "X-Auth popup" est sélectionné, une fenêtre de saisie du login/

mot de passe X-Auth apparaîtra à chaque tentative d'ouverture de tunnel. L'utilisateur à 20 secondes pour saisir les paramètres avant que l'authentification X-Auth n'expire. Si l'authentification X-Auth n'est pas effectuée, le tunnel ne peut pas être ouvert.

Hybrid Authentication Mode

Le Mode Hybrid est un mode d'authentification simplifié utilisé dans la Phase 1 IKE.

L'authentification X-Auth classique s'effectue par identification/

authentification mutuelles entre le Client et la Gateway VPN, basées sur les techniques standard d'échanges de clés publiques. Le Mode Hybrid permet une authentification "asymétrique" qui autorise le Client à utiliser une technique d'authentification plus simple, comme un 'challenge response', aboutissant à une authentification

"unidirectionnelle".

Hybrid Mode est implémenté dans le Client VPN IPSec

TheGreenBow conformément à la RFC 'draft-ietf-ipsec-isakmp-hybrid-auth-05.txt'.