Cette boîte de dialogue vous permet de configurer une offre d’algorithme incluant à la fois l’intégrité des données et la confidentialité des données (chiffrement) et disponible lors de la négociation des associations de sécurité en mode rapide. Vous devez spécifier à la fois le protocole et l’algorithme utilisés pour protéger l’intégrité des données du paquet réseau.

La sécurité IPsec (Internet Protocol security) assure l’intégrité en calculant un hachage généré à partir des données du paquet réseau. Ce hachage est ensuite signé (chiffré) et incorporé dans le paquet IP. L’ordinateur de destination utilise le même algorithme pour calculer le hachage et compare le résultat au hachage incorporé dans le paquet reçu. En cas de correspondance, les informations reçues sont exactement identiques aux informations envoyées ; par conséquent, le paquet est accepté. Dans le cas contraire, le paquet est rejeté.

Le hachage chiffré du message transmis rend impossible, par calculs, la modification du message sans aboutir à une discordance du hachage. Ceci est crucial lorsque les données sont échangées sur un réseau non sécurisé (tel qu’Internet) et permet de savoir que le message n’a pas été modifié en transit.

Outre la protection de l’intégrité, cette boîte de dialogue vous permet de spécifier un algorithme de chiffrement qui aide à empêcher la lecture des données en cas d’interception du paquet réseau en transit.

Pour accéder à cette boîte de dialogue

  1. Dans la page du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.

  2. Cliquez sur l’onglet Paramètres IPsec.

  3. Sous Valeurs par défaut IPsec, cliquez sur Personnaliser.

  4. Sous Protection des données (mode rapide), sélectionnez Avancé, puis cliquez sur Personnaliser.

  5. Sous Intégrité de données et chiffrement, sélectionnez une combinaison d’algorithmes dans la liste, puis cliquez sur Modifier ou Ajouter.

Protocole

Les protocoles suivants sont utilisés pour incorporer les informations d’intégrité et de chiffrement dans un paquet IP.

ESP (recommandé)

Outre l’authentification, l’intégrité et la fonction anti-relecture, le protocole ESP assure la confidentialité de la charge utile IP. En mode de transport, ESP ne signe pas l’ensemble du paquet. Seule la charge utile des données IP est protégée, et non l’en-tête IP. ESP peut être utilisé seul ou combiné au protocole d’authentification de l’en-tête (AH). Avec ESP, le calcul du hachage ne comprend que l’en-tête ESP, le code de fin et la charge utile. Le protocole ESP fournit des services de confidentialité des données en chiffrant la charge utile ESP à l’aide de l’un des algorithmes de chiffrement pris en charge. Des services de relecture de paquet sont prévus, par l’insertion d’un numéro de séquence pour chaque paquet.

ESP et AH

Cette option combine la sécurité du protocole ESP au protocole AH. Le protocole AH assure l’authentification, l’intégrité et l’anti-relecture de l’ensemble du paquet (aussi bien l’en-tête IP que la charge utile de données transportées dans le paquet).

Important

Le protocole AH n’est pas compatible avec le traducteur d’adresses réseau (NAT, Network Address Translation) car les périphériques NAT doivent modifier les informations des en-têtes des paquets. Pour autoriser le trafic IPsec à franchir un périphérique NAT, vous devez faire en sorte que le parcours NAT (NAT-T) soit pris en charge sur les ordinateurs homologues IPsec.

Algorithmes

Algorithme de chiffrement

Les algorithmes de chiffrement suivants sont disponibles pour les ordinateurs exécutant cette version de Windows. Certains de ces algorithmes ne sont pas disponibles sur les ordinateurs exécutant des versions antérieures de Windows. Si vous devez établir des connexions protégées IPsec avec un ordinateur exécutant une version antérieure de Windows, vous devez inclure des options d’algorithme compatibles avec la version antérieure.

Pour plus d’informations, voir Méthodes et algorithmes IPsec pris en charge dans Windows (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Sécurité Remarques

Nous vous conseillons de ne pas utiliser l’algorithme DES. Il est proposé uniquement à des fins de compatibilité descendante.

Remarques

Si vous spécifiez un algorithme AES-GCM pour le chiffrement, vous devez spécifier le même algorithme pour l’intégrité.

Algorithme d’intégrité

Les algorithmes d’intégrité suivants sont disponibles pour les ordinateurs exécutant cette version de Windows. Certains de ces algorithmes ne sont pas disponibles sur les ordinateurs exécutant d’autres versions de Windows. Si vous devez établir des connexions protégées IPsec avec un ordinateur exécutant une version antérieure de Windows, vous devez inclure des options d’algorithme compatibles avec la version antérieure.

Pour plus d’informations, voir Méthodes et algorithmes IPsec pris en charge dans Windows (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Sécurité Remarques

Nous vous conseillons de ne pas utiliser l’algorithme MD5. Il est proposé uniquement à des fins de compatibilité descendante.

Remarques

Si vous spécifiez un algorithme AES-GCM pour l’intégrité, vous devez spécifier le même algorithme pour le chiffrement.

Durée de vie des clés

Les paramètres de durée de vie déterminent le moment où une clé est générée. Les durées de vie des clés vous permettent d’imposer la génération d’une nouvelle clé après un intervalle spécifique ou la transmission d’une certaine quantité de données. Par exemple, si la communication dure 100 minutes et que vous définissez une durée de vie des clés de 10 minutes, 10 clés seront générées durant l’échange (une toutes les 10 minutes). L’utilisation de plusieurs clés vous permet de vous assurer que la communication ne sera pas compromise dans son ensemble si un intrus obtient la clé d’accès à une partie de la communication.

Remarques

Cette régénération de clé concerne l’intégrité et le chiffrement des données en mode rapide et n’affecte pas les paramètres de durée de vie des clés pour l’échange de clé en mode principal.

Minutes

Ce paramètre vous permet de configurer la durée de vie, en minutes, de la clé utilisée dans l’association de sécurité de mode rapide. Au terme de cet intervalle, la clé est régénérée. Les communications ultérieures utilisent la nouvelle clé.

La durée de vie maximale est de 2 879 minutes (48 heures). La durée de vie minimale est de 5 minutes. Nous vous conseillons de générer une nouvelle clé uniquement selon la fréquence imposée par votre analyse des risques. Une génération de clé trop fréquente peut avoir un impact sur les performances.

Ko

Ce paramètre vous permet de configurer, en kilo-octets (Ko), la quantité de données envoyée à l’aide de la clé. Une fois ce seuil atteint, le compteur est réinitialisé et la clé est régénérée. Les communications ultérieures utilisent la nouvelle clé.

La durée de vie maximale est de 2 147 483 647 Ko. La durée de vie minimale est de 20 480 Ko. Nous vous conseillons de générer une nouvelle clé uniquement selon la fréquence imposée par votre analyse des risques. Une génération de clé trop fréquente peut avoir un impact sur les performances.

Voir aussi

Table des matières