Cette boîte de dialogue vous permet de configurer une offre d’algorithme d’intégrité des données disponible lors de la négociation des associations de sécurité en mode rapide. Vous devez spécifier à la fois le protocole et l’algorithme utilisés pour protéger l’intégrité des données du paquet réseau.
La sécurité IPsec (Internet Protocol security) assure l’intégrité en calculant un hachage généré à partir des données du paquet réseau. Ce hachage est ensuite signé (chiffré) et incorporé dans le paquet IP. L’ordinateur de destination utilise le même algorithme pour calculer le hachage et compare son résultat au hachage incorporé dans le paquet reçu. En cas de correspondance, les informations reçues sont exactement identiques aux informations envoyées ; par conséquent, le paquet est accepté. Dans le cas contraire, le paquet est rejeté.
Le hachage chiffré du message transmis rend impossible, par calculs, la modification du message sans aboutir à une discordance du hachage. Ceci est crucial lorsque les données sont échangées sur un réseau non sécurisé, tel qu’Internet, car cela permet de savoir que le message n’a pas été modifié en transit.
 | Pour accéder à cette boîte de dialogue |
Dans la page du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.
Cliquez sur l’onglet Paramètres IPsec.
Sous Valeurs par défaut IPsec, cliquez sur Personnaliser.
Sous Protection des données (mode rapide), sélectionnez Avancé, puis cliquez sur Personnaliser.
Sous Intégrité de données, sélectionnez une combinaison d’algorithmes dans la liste, puis cliquez sur Modifier ou Ajouter.
Protocole
Les protocoles suivants sont utilisés pour incorporer les informations d’intégrité dans un paquet IP.
ESP (recommandé)
Le protocole ESP fournit l’authentification, l’intégrité et la protection anti-relecture pour la charge utile IP. En mode de transport, ESP ne signe pas l’ensemble du paquet. Seule la charge utile IP est protégée, et non l’en-tête IP. ESP peut être utilisé seul ou combiné à AH. Avec ESP, le calcul du hachage ne comprend que l’en-tête ESP, le code de fin et la charge utile. Le protocole ESP peut éventuellement fournir des services de confidentialité des données en chiffrant la charge utile ESP à l’aide de l’un des algorithmes de chiffrement pris en charge. Des services de relecture de paquet sont prévus, par l’insertion d’un numéro de séquence pour chaque paquet.
AH
Le protocole AH assure l’authentification, l’intégrité et la protection anti-relecture de l’ensemble du paquet (aussi bien l’en-tête IP que la charge utile de données transportée dans le paquet). Il n’assure pas la confidentialité, ce qui signifie qu’il ne chiffre pas les données. Les données peuvent être lues mais elles sont protégées contre toute modification. Certains champs qui sont autorisés à changer en cours de transit sont exclus du calcul de hachage. Des services de relecture de paquet sont prévus, par l’insertion d’un numéro de séquence pour chaque paquet.
 | Important |
Le protocole AH n’est pas compatible avec la traduction d’adresses réseau (NAT, Network Address Translation) car les périphériques NAT modifient les informations de certains en-têtes de paquets inclus dans le hachage d’intégrité. Pour autoriser le trafic IPsec à franchir un périphérique NAT, vous devez faire en sorte que le Parcours NAT (NAT Traversal, ou NAT-T) soit activé sur les ordinateurs homologues IPsec. |
Encapsulation nulle
L’encapsulation nulle spécifie que vous ne souhaitez pas utiliser de protection d’intégrité ou de chiffrement sur votre trafic réseau. L’authentification est tout de même effectuée si elle est requise par les règles de sécurité de connexion, mais aucune autre protection n’est fournie pour les paquets réseau échangés par le biais de cette association de sécurité.
 | Sécurité Remarques |
Étant donné que cette option ne fournit aucune protection de confidentialité ou d’intégrité, nous vous recommandons de l’utiliser uniquement si vous devez prendre en charge des logiciels ou périphériques réseau incompatibles avec ESP ou AH. |
Algorithmes
Les algorithmes d’intégrité suivants sont disponibles pour les ordinateurs exécutant cette version de Windows. Certains de ces algorithmes ne sont pas disponibles sur les ordinateurs exécutant d’autres versions de Windows. Si vous devez établir des connexions protégées IPsec avec un ordinateur exécutant une version antérieure de Windows, vous devez inclure des options d’algorithme compatibles avec la version antérieure.
Pour plus d’informations, voir
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
Attention L’algorithme MD5 n’est plus considéré comme sécurisé et ne doit être utilisé qu’à des fins de test ou lorsque l’ordinateur distant ne peut pas recourir à un algorithme plus sécurisé. Il est proposé uniquement à des fins de compatibilité descendante.
Durée de vie des clés
Les paramètres de durée de vie déterminent le moment où une clé est générée. Les durées de vie des clés vous permettent d’imposer la génération d’une nouvelle clé après un intervalle spécifique ou la transmission d’une certaine quantité de données. Par exemple, si la communication dure 100 minutes et que vous définissez une durée de vie des clés de 10 minutes, 10 clés seront générées durant l’échange (une toutes les 10 minutes). L’utilisation de plusieurs clés vous permet de vous assurer que la communication ne sera pas compromise dans son ensemble si un intrus obtient la clé d’accès à une partie de la communication.
 | Remarques |
Cette régénération de clé concerne uniquement l’intégrité des données en mode rapide. Ces paramètres n’affectent pas les paramètres de durée de vie des clés relatifs à l’échange de clé en mode principal. |
Minutes
Ce paramètre vous permet de configurer la durée de vie, en minutes, de la clé utilisée dans l’association de sécurité de mode rapide. Au terme de cet intervalle, une nouvelle clé est générée. Les communications ultérieures utilisent la nouvelle clé.
La durée de vie maximale est de 2 879 minutes (48 heures). La durée de vie minimale est de 5 minutes. Nous vous conseillons de générer une nouvelle clé uniquement selon la fréquence imposée par votre analyse des risques. Une génération de clé trop fréquente peut avoir un impact sur les performances.
Ko
Ce paramètre vous permet de configurer, en kilo-octets (Ko), la quantité de données envoyée à l’aide de la clé. Une fois ce seuil atteint, le compteur est réinitialisé et la clé est régénérée. Les communications ultérieures utilisent la nouvelle clé.
La durée de vie maximale est de 2 147 483 647 Ko. La durée de vie minimale est de 20 480 Ko. Nous vous conseillons de générer une nouvelle clé uniquement selon la fréquence imposée par votre analyse des risques. Une génération de clé trop fréquente peut avoir un impact sur les performances.