7. Configuration d'un VPN IPsec Flashcards
(6 cards)
7.2.1 Expliquez la notion de « confidentialité persistante parfaite » (Perfect Forward Secrecy).
7.2.1 Expliquez la notion de « confidentialité persistante parfaite » (Perfect Forward Secrecy).
La confidentialité persistante parfaite (PFS) garantit qu’à chaque renégociation de la phase 2 IPsec, on réalise un nouvel échange Diffie–Hellman pour générer une clé complètement indépendante des précédentes, de sorte qu’une clé compromise ne permette pas de déchiffrer d’autres sessions.
7.2.2 Quelle est l’utilité de l’option Dead Peer Detection (DPD) ?
7.2.2 Quelle est l’utilité de l’option Dead Peer Detection (DPD) ?
Le DPD envoie périodiquement des sondes selon trois modes (On demand, On Idle, Disable) pour vérifier qu’un pair IPsec est toujours joignable et, en cas d’absence de réponse, déclare le tunnel « down » afin de le retirer ou de le rétablir avec un chemin de secours.
7.2.3 Expliquez ce qu’est l’authentification XAuth. Dans quel cas est-elle utilisée ?
7.2.3 Expliquez ce qu’est l’authentification XAuth. Dans quel cas est-elle utilisée ?
L’authentification XAuth ajoute, après l’échange de clé pré-partagée, une demande de nom d’utilisateur et mot de passe pour valider individuellement chaque utilisateur, ce qui est particulièrement utile pour les VPN mobiles.
7.2.4 Quelles sont les méthodes d’authentification supportées durant la phase 1 de IKE ?
7.2.4 Quelles sont les méthodes d’authentification supportées durant la phase 1 de IKE ?
Pendant la phase 1 (IKE Main Mode ou Aggressive Mode), le FortiGate supporte :
Pre-shared Key : clé symétrique connue de chaque pair, à saisir manuellement.
Digital Signature (Certificat) : utilisation d’une infrastructure PKI : chaque pair possède un certificat X.509 signé par une CA ; la vérification de la signature assure l’identité.
XAuth (optionnel, en complément du PSK) : oblige l’utilisateur à fournir un identifiant et un mot de passe après la négociation PSK.
Ces méthodes peuvent être combinées selon le niveau de sécurité souhaité (par ex., PSK + XAuth pour un mobile).
7.2.5 Quel est le rôle des « Quick mode selectors » ?
7.2.5 Quel est le rôle des « Quick mode selectors » ?
Les Quick Mode selectors déterminent, pour chaque tunnel IPsec, les paires d’adresses source/destination autorisées et les paramètres cryptographiques (algorithmes, clés, durée de vie) à appliquer ; tout paquet ne correspondant à aucun selector est rejeté, garantissant ainsi un filtrage granulaire (ou, avec un selector 0.0.0.0/0→0.0.0.0/0, la couverture de tout le trafic).
7.2.6 Quelle est l’utilité de l’option Auto-negotiate de la phase 2 de IKE ?
7.2.6 Quelle est l’utilité de l’option Auto-negotiate de la phase 2 de IKE ?
L’option Auto-negotiate relance automatiquement la phase 2 avant l’expiration des SA IPsec, maintenant le tunnel actif même sans trafic et générant à intervalles réguliers de nouvelles clés PFS pour garantir continuité et confidentialité.
